La pandemia ancora in corso ha messo in serie difficoltà molteplici settori della nostra società; e se in diversi di questi la crisi sembrerebbe aver raggiunto il suo climax, nel mondo informatico, così come in quello giuridico, siamo ancora in piena lotta: per questo motivo è utile fare il punto sulle possibili relazioni esistenti tra sicurezza informatica, pandemia e fake news, analizzando quelli che potrebbero essere i possibili scenari.
Indice degli argomenti
La sicurezza informatica nel contesto pandemico
Smart working, didattica a distanza, VPN e tante altre parole sono entrate oramai nel gergo collettivo per cause di forza maggiore. Se da un lato, la capacità umana di fronteggiare le difficoltà ha portato a trovare strumenti alternativi per permettere di mantenere quanto più possibile una pseudonormalità nella vita quotidiana, dall’altro lato tali strumenti – che da più di un anno ormai utilizziamo giornalmente per lavorare e studiare – hanno prodotto come effetto collaterale quello di portare ancora più persone a essere connesse a Internet per gran parte della loro giornata.
Questo fatto ha avuto molteplici risvolti, tra i quali quello di creare un immenso “parco giochi” per i cyber criminali sparsi per il mondo, i quali si son ritrovati nel giro di poco tempo ad avere una superficie di attacco cresciuta esponenzialmente.
La situazione emergenziale, infatti, ha obbligato moltissime organizzazioni e i comuni cittadini a continuare le proprie attività sul mondo digitale anche quando questi erano completamente impreparati a una transizione di questo tipo.
Ciò è avvenuto, parallelamente, in una contesto tale per cui un crescendo di leggi, norme e disposizioni ha obbligato (o quantomeno fortemente consigliato) ai cittadini e alle organizzazioni di munirsi di nuove tecnologie, anche non usate in precedenza, per poter svolgere specifiche nuove attività. E tutto è avvenuto molto rapidamente e senza che il profilo della sicurezza sia sempre stato considerato.
Abbiamo così assistito alla nascita di applicazioni di Stato atte a “leggere i green pass”, ad attribuire “cashback di Stato” e a “verificare se ti sei avvicinato a una persona contagiata”.
Tutto ciò non ha fatto altro che favorire il lavoro dei criminali informatici, i quali si sono ritrovati con molteplici vittime, le quali erano completamente indifese e impreparate a fronteggiare le sfide che, dal punto di vista della sicurezza, il mondo cibernetico pone ai suoi utilizzatori.
Basti pensare ai numerosi incidenti informatici che hanno avuto un risalto mediatico in quest’ultimo anno, per immaginare quanto la situazione sia critica.
Dalle prime avvisaglie con i casi c.d. di “Zoombombing” e il caso di SolarWinds, fino ad arrivare ai giorni più recenti con i casi nostrani: l’attacco alla regione Lazio e alla SIAE.
Parallelamente, le tecnologie che la legge ha obbligato (o suggerito) di adottare, si sono anch’esse palesate come un aumento della superficie di attacco. Abbiamo assistito ad applicazioni fake relative al cashback, così come, recentemente, a quelle fake relative al controllo del green pass, nonché ad attacchi perpetuati verso le stesse applicazioni di Stato per il tracciamento.
In questo scenario, dai tratti quasi di guerriglia, con notifiche di data breach e di società messe sotto scacco da attacchi ransomware all’ordine del giorno, è di recente pubblicazione l’ENISA Threat Landscape 2021, il report annuale per il 2021 da parte dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA – European Union Agency for Cybersecurity) che delinea il panorama delle minacce alla sicurezza informatica in relazione agli interessi dell’UE.
Per le varie minacce identificate, il report fornisce:
- i trend associati alle minacce osservate;
- le tipologie di attori che muovono tali minacce;
- le tecniche di attacco associate alle minacce mosse;
- infine, vengono fornite relativamente alle varie minacce delle misure di mitigazione pertinenti.
Le evidenze principali del rapporto ENISA
Uno dei primi punti su cui il report pone la propria attenzione è quello relativo all’obiettivo condiviso tra i vari Paesi membri dell’Unione di voler creare una strategia condivisa e uniforme per quanto concerne le minacce mosse alla sicurezza informatica.
La Direttiva NIS e il Regolamento sulla Cibersicurezza, a livello europeo; il D.L. 105/2019 e il D.P.C.M. 131/2020) a livello italiano sono i principali strumenti con cui il legislatore comunicatorio e quello italiano stanno affrontando il problema della sicurezza informatica, e con i lavori dedicati alla creazione di una nuova Direttiva c.d. “NIS 2.0”, la direzione sembra essere tracciata in modo molto chiaro.
Il tutto è anche avvalorato dai dati raccolti dall’ENISA in quanto, uno dei trend evidenziati in questo report evidenzia proprio come vi sia sempre maggior interesse da parte dei cyber criminali di prendere di mira infrastrutture critiche in modo tale da massimizzare l’impatto delle proprie azioni. Esempi e conferme in tal senso, rimanendo nel panorama italiano, sono i recenti attacchi mossi a diverse infrastrutture della pubblica amministrazione quali il già citato attacco alla regione Lazio.
Altra tematica particolarmente approfondita all’interno del report è quella relativa alla criptovalute e alla remunerazione delle attività criminali.
Dalle analisi dell’Agenzia europea, infatti, parrebbe che il paradigma del profilo del criminale informatico stia cambiando nel corso di questi ultimi anni. La figura, infatti, del hacktivism spinto ad agire da motivazioni ideologiche socio-politiche che ha trovato particolare risalto nella prima metà dello scorso decennio – grazie, ad esempio, a gruppi di attivisti cibernetici quali Anonymous tra i principali – sta invece, oggigiorno, lasciando il passo a dei più “semplici” criminali informatici mossi da avidità e desiderio di arricchirsi ([1]).
Questa sempre più preponderante presenza di black hat hacker trova poi nel mondo delle criptovalute e degli attacchi ransomware una sorta di relazione ormai quasi monotona.
I ransomware risultano essere, infatti, la principale minaccia ravvisata dall’analisi svolte dall’ENISA tra l’aprile 2020 e luglio 2021 circa, mentre le criptovalute risultano essere il metodo di pagamento più sfruttato. E rimanendo in linea con questa mentalità emergente della monetizzazione degli attacchi informatici e del cambiamento degli ideali dei criminali informatici, trovano fondamenta quelle evidenze raccolte dall’ENISA circa lo sviluppo di veri e propri modelli di business intorno al mondo del cyber crime, su tutti: il Ransom as a Service (RaaS) e il Phishing as a Service (PhaaS).
Il phishing, infatti, è stato visto come uno dei principali mezzi di diffusione e propagazione dei ransomware, insieme allo sfruttamento di vulnerabilità e/o alla violazione dei servizi di remote desktop (Remote Desktop Services – RDP), spesso impiegati dalle organizzazioni per fornire servizi di assistenza e help desk ai propri dipendenti in smart working o, più classicamente, operativi in sedi geograficamente diverse da quella in cui risiedono i tecnici assegnati al servizio di manutenzione.
Il focus: la minaccia della misinformazione e disinformazione
Nella lista delle nove principali minacce identificate dall’ENISA in questo report([2]), risulta esserci una categoria tanto particolare quanto interessati che è quella della misinformation – disinformation.
Si tratta di fenomeni per i quali un quadro normativo di contrasto, come noto, non è sempre del tutto definito.
Tale aspetto, dunque, permette anche ai cyber criminali di cavalcare l’onda della cattiva informazione con maggior libertà, in quanto non vi sono, ad oggi, dei chiari, netti e consolidati riferimenti normativi e giurisprudenziali sul tema.
L’ENISA, in particolare sul tema, ha notato che l’attenzione mediatica rivolta a tutti gli argomenti collegati in una qualche maniera alla pandemia ha generato diverse campagne di phishing e, più in generale, attacchi informatici veicolati via e-mail che sfruttavano la situazione sanitaria attuale come tema per ingannare le vittime.
Le campagne di phishing (e similari) a tema COVID-19 nel periodo di raccolta dei dati per la creazione del report, infatti, sono risultate essere la tipologia dominante nella categoria.
Legato a questo tema, inoltre, è stato osservato come vi sono state anche forti attività di misinformazione e disinformazione da parte dei criminali informativi.
Nel report, infatti, l’ENISA si è soffermata molto su questi due aspetti ritenendoli – aspetto molto interessante – dei veri e propri attacchi seppur, più che altro, dalla natura propedeutica per futuri attacchi, tipicamente social-engineering based, come potrebbero essere i più canonici attacchi di phishing, smishing, vishing e farming:
- per quanto riguarda la misinformazione, l’ENISA identifica tale attività come un potenziale attacco involontario, dove la condivisione di informazioni avviene inavvertitamente. La divulgazione, successivamente, di queste informazioni imprecise può portare al consolidamento di erronee credenze nelle persone che poi potrebbero essere sfruttate dagli attaccanti per attività dei bias cognitivi;
- per quanto riguarda la disinformazione, l’ENISA identifica tale attività come un potenziale attacco intenzionale che consiste nella creazione o condivisione di informazioni false o fuorvianti. Se nel caso precedente, quindi, gli attacchi sfruttano credenze e convinzioni che si erano create per cause non predeterminate, con tale attacco l’ENISA ravvisa invece una componente attiva da parte del criminale informatico nel creare e diffondere informazioni e notizie false.
Intuitivamente, il principale mezzo di diffusione di questi attacchi risultano essere i social network che grazie alla loro capacità di rendere le informazioni accessibili a un vastissimo numero di persone e alla possibilità di ricondividerle in modo immediato e relativamente semplice per chiunque.
Legato al tema social network e “malinformazione”, inoltre, è stato messo in risalto un altro fenomeno da parte dell’ENISA – già da tempo oggetto di studi prevalentemente sociologici e antropologici – che visto ciò scritto poc’anzi può avere ripercussioni molto importanti sulla sicurezza informatica.
Tale fenomeno è quelle delle echo chamber, ossia gruppi/associazioni di persone che condividono delle stesse credenze/convinzioni e per, tal motivo, si è portati a rafforzare la fiducia in informazioni che in un qualche modo si allineano al pensiero e alla visione della realtà comune e dominante nel gruppo.
In taluni casi, si parla di questo fenomeno anche in termini di “polarizzazione di gruppo”: la polarizzazione emerge da un’analisi comportamentale sul modo di porsi di un individuo con una determinata opinione all’interno di gruppi di persone. Ciò è amplificato, in ambiente social, dalla c.d. “bolla di Pariser”.
Se le altre persone del gruppo hanno i nostri stessi sentimenti su un determinato argomento allora le nostre condizioni saranno rafforzate; viceversa sarà più difficoltoso instaurare una conversazione e tentare di mutare le convinzioni del gruppo nel caso l’informazione andasse contro quello che è il sentimento comune.
Inoltre, nel caso l’individuo avesse un’opinione debole o fosse scarsamente informato sull’argomento della discussione, e si trovasse a interagire con persone che manifestano una maggiore competenza sull’argomento (indipendentemente se le conoscenze sul punto siano corrette o meno), allora l’individuo tenderà inevitabilmente a pensarla come tali soggetti.
In ultima analisi sul tema, l’ENISA ha ravvisato alcuni pericolosi nuovi trend da parte dei criminali informatici per quanto riguarda la diffusione di informazioni false al fine di favorire futuri attacchi:
- l’utilizzo di soluzioni basate su intelligenza artificiale per rendere più efficaci ed efficienti campagne di disinformazione;
- Disinformation-as-a-Service (Daas), un nuovo business model che sta nascendo e che consiste, intuitivamente, nel fornire un servizio di creazione e gestione di campagne di disinformazione mirate su precise tematiche.
Conclusioni
L’ENISA Threat Landscape è un report annuale che ormai da nove anni risulta essere una delle “bussole” per gli esperti e gli operatori del settore che vogliono rimanere aggiornati rispetto alle più recenti minacce e abitudini dei criminali informatici. Pregno di informazioni sulle principali minacce, i profili degli attaccanti e le possibili contromisure da attuare per mantenere un’infrastruttura informatica, e i suoi utilizzatori, al passo con i tempi in termini di misure di sicurezza, tale documento presenta anche della analisi e spunti di riflessioni interessanti circa la rilevazione di possibili minacce alla sicurezza informatica.
Quest’anno la circostanza secondo la quale sono stati analizzati i processi di misinformazione e disinformazione (che a un’analisi superficiale potrebbero passare inosservate) apre a nuove prospettive e scenari, allargando nuovamente la concezione di sicurezza informatica e portandoci a riflettere sull’impatto che certi fenomeni possono avere sulla security.
Dall’analisi svolta dall’Agenzia europea, infatti, tali attacchi – come anche già menzionato – potenzialmente hanno come obiettivo quello di “plasmare” le credenze delle persone al fine di renderle più vulnerabili a più classici attacchi di ingegneria sociale.
Alla luce ciò, dunque, parrebbe essere necessario inizia a domandarsi se sia necessario o meno riformulare il paradigma della sicurezza informatica secondo un’ottica in cui non sono solo le informazioni e/o i dati contenuti nei calcolatori e i calcolatori stessi a dover essere protetti, ma anche gli operatori che poi, nel concreto, utilizzano tali elementi.
Dopotutto, come ha asserito più volte Kevin Mitnick: “Companies spend millions of dollars on firewalls, encryption, and secure access devices and it’s money wasted because none of these measures address the weakest link in the security chain: the people who use, administer, operate and account for computer systems that contain protected information”.
NOTE
Esula da questo discorso quello relativamente al mondo dei gruppi di criminali informatici gestiti in maniera più o meno diretta dai vari Stati. Motivazioni e attività di tali gruppi, infatti, risiedono su un tutt’altro livello rispetto a quello in cui si muovono criminali informatici e/o gruppi di criminali informatici indipendenti e non affiliati a nazioni. ↑
Di seguito le nove principale minacce identificate: ransomware, malware, cryptojacking, e-mail related threats, threats against data, threats againt availability and integrity, disinformation-misinformation, non-malicious threats e supply-chain attack. ↑