La pandemia ha evidenziato una diffusa fragilità dei sistemi di cyber security. Dai server della Regione Lazio, al Colonial Pipeline, il più grande oleodotto statunitense, oltre 9.000 chilometri di lunghezza, fino alla JBS, il più grande fornitore di carne del pianeta: il mondo si è improvvisamente ritrovato sotto attacco dei cyber criminali.
Ma cosa significa esattamente essere vulnerabili in termini di cyber sicurezza?
Indice degli argomenti
La lezione del caso Pegasus
Non è semplice trovare una risposta a questo genere di domande, ma emblematico in questo senso può essere l’affair “Pegasus”.
Con Pegasus si intende, infatti, un sistema di spionaggio per device mobili, smartphone e tablet (Android e iOS), che consente di installare da remoto uno spyware, cioè un software di spionaggio che è in grado di catturare tutte le comunicazioni e i dati gestiti dal dispositivo infettato.
Questo software prende il controllo del dispositivo e crea un canale di comando e controllo verso quello che viene definito un “punto di ascolto”. Da quel momento in poi, oltre ad aver accesso alle informazioni già presenti sul telefono, sia a tutto quello che si fa con il dispositivo, lo spywere può intercettare anche tutto quello che accade intorno.
Pegasus è recentemente tornato sotto i riflettori della cronaca perché una maxi inchiesta internazionale ha messo in luce come diversi paesi – tra cui anche l’Ungheria – abbiano spiato per anni giornalisti, avvocati, politici e attivisti per i diritti umani, hackerando i loro cellulari proprio attraverso questo spywere. Per comprendere meglio quanto tutti i sistemi possano essere suscettibili alle minacce infomatiche, è utile osservare come funzioni Pegasus.
Pegasus è massacro dei diritti: ecco perché è urgente regolare i software spia
Come funzionano i sistemi di cyber spionaggio
Pegasus e i sistemi simili a esso hanno tre tipi di componenti principali: il sistema di inoculazione, lo spyware e il sistema di ricezione delle informazioni catturate. Il sistema di inoculazione è esso stesso un insieme di tool che consentono di sfruttare le debolezze che i vari software installati nello smartphone espongono.
Una volta definito l’obiettivo, questi tool consentono di provare più attacchi per cercare di sfruttare i diversi 0-day, cioè le vulnerabilità già note al mondo hacker ma sconosciute o ancora non corrette dai produttori dei software.
Questa sequenza di attacchi mirati prima o poi riesce a sfruttare uno degli 0-day e ad installare il primo mattoncino di questo spyware che ha il compito di esplorare il device, individuare eventuali sistemi di controllo per aggirarli e infine avviare le attività di spionaggio.
Una minaccia molto diffusa
Purtroppo virus come Pegasus sono molto più diffusi di quanto si creda. Ci sono due classi di spyware: quelli “amatoriali” anche noti come RAT Remote Access Trojan auto sviluppati dagli hacker e facili da comperare nel dark web e, quindi, potenzialmente alla portata di tutti e quelli “professionali” sviluppati da società specializzate come ad esempio l’israeliana NSO e venduti solo a enti governativi.
Il principio di funzionamento delle due tipologe è lo stesso, ma oltre ad un grossissimo gap tecnologico tra queste due classi di tool (d’altronde le aziende possono investire moltissimo in ricerca poichè ne traggono grossi profitti) è importante osservare come essi vengano impiegati: i primi sono utilizzati per “campagne a strascico“ come virus per adescare potenziali vittime, mentre quelli professionali molto spesso sono utilizzati per colpire target ben precisi e preselezionati
Poche tutele dallo spionaggio governativo
Ora la domande che sorge spontanea è se esita una forma di tutela che protegga persone, enti, aziende dagli esiti di questo genere di attacco.
Certamente esistono leggi che prevedono pene anche severe per chi accede abusivamente ad un sistema informatico, per chi intercetta illecitamente le comunicazioni, per lo spionaggio e via dicendo. Finché si tratta di hacking, il problema è identificare l’illecito, raccogliere le prove e attribuire il reato ad un colpevole. Non è facile, ma la magistratura con le forze dell’ordine, grazie a queste leggi sono in grado di essere efficaci.
Le cose si fanno più complesse, invece, quando parliamo di attività di spionaggio governativo. Al massimo potremmo arrivare a capire che uno stato contrapposto o addirittura alleato sta spiando i nostri concittadini, i nostri politici, manager, giornalisti, ma in queste circostanze le leggi a cui accennavamo prima sono inutili e la partita si sposta sul piano del contro-spionaggio e della diplomazia.
La situazione in Italia
E il nostro Paese come si pone su questi temi? L’Italia è un paese garantista e anche in questo settore le leggi che consentono la difesa dei diritti costituzionali di liberta di espressione e comunicazione ci difendono attraverso procedure molto rigide che normano l’utilizzo di questi strumenti sia a fini di polizia giudiziaria sia per scopi di intellicence.
Quindi siamo tutelati da hacking e attività criminali perpetrate con strumenti come gli spyware, mentre dal punto di vista della diplomazia bisogna fare i conti con il peso economico e politico che il nostro Paese ha a livello internazionale.
In sintesi possiamo senza dubbio affermare che la cyberpandemia sia la nuova emergenze e che l’unico modo per correrre ai ripari sia investire in cyber security. In Italia, da qualche anno, è partito un processo di rafforzamento dei livelli di sicurezza di tutte le infrastrutture critiche e anche di quelle sanitarie, grazie all’introduzione del regolamento europeo.
Purtroppo, tutto l’apparato della PA manca di investimenti nella Information tecnology in generale – l’attacco ai server della Regione Lazio ne è un esempio – quindi spesso i sistemi sono obsoleti.
L’auspicio è che parte dei fondi del Recovery Fund siano utilizzati in questo senso.
