RISCHIO DI CONTAGIO

Introduzione Vocale sul Rischio di Contagio Digitale

Come Appassionata di digitale, come Brand Ambassador di Mashable Social Media Day Italia e discutendo di digitale con l'Avvocato Andrea Pontecorvo a IusLaw Web Radio, la radio dell'avvocatura, non potevo non affrontare un discorso così importante con una persona che ho il piacere e l'onore di intervistare: Giovanni Nacci

Giovanni Nacci è Ufficiale in congedo della Marina Militare Italiana, ha servito presso il 5° Reparto “Cooperazione Internazionale e Infrastrutture NATO” dell’Ufficio Centrale del Bilancio e Affari Finanziari del Ministero della Difesa, Roma. Esperto in metodi e sistemi OSINT ha pubblicato con Epoké, Nyberg, Intelligence&Storia, AnalisiDifesa. Già coordinatore dell’Osservatorio Infowarfare dell’Istituto Italiano di Studi Strategici Machiavelli, è stato docente al Master in Studi di Intelligence e Sicurezza Nazionale della Link Campus University (Roma) e relatore al tirocinio di Intelligence del Corso di Laurea in Scienze dell’Investigazione dell’Università dell’Aquila. Attualmente è Data Protection Officer presso un Ente Pubblico Economico.

A partire dal 13 maggio 2017 forte è stata la eco mediatica relativa ad un attacco hacker senza precedenti che avrebbe colpito 99 paesi in tutto il mondo: l'improvvisa diffusione del virus WANNACRY avrebbe generato una sequenza di gravissimi problemi alle infrastrutture informatiche delle strutture sanitarie inglesi, le telefonie spagnole, problemi all’impianto di produzione di Nissan, Renault, ferrovie tedesche e molto altro. Un vero e proprio assalto informatico con l’obiettivo di estorcere denaro (in bitcoin) per riscattare i dati “oscurati” da WANNACRY. Ho volutamente atteso qualche tempo per intervistare Giovanni Nacci per fare qualche considerazione “a freddo”.

1. Giovanni vorrei innanzitutto chiederti di spiegarci esattamente che cos’è un attacco hacker e come viene effettuato.

Una risposta tecnica a questa domanda richiede expertise diversa dalla mia. Ciononostante proverò a rispondere da un diverso punto di vista, quello di chi si occupa di impiego strategico delle informazioni.

 Normalmente agli elaboratori elettronici viene “chiesto” di svolgere compiti che potremmo definire “produttivi”. In altre parole eseguono programmi realizzati in modo tale da generare una “utilità” per l'utente: un wordprocessor produce un testo, il programma per la fatturazione produce fatture, un client di posta elettronica invia e riceve le email. Tale concetto di utilità comprende ovviamente anche tutte le applicazioni ludiche e di intrattenimento (il lettore multimediale o il simulatore di volo).

 Il “virus informatico” non è altro che un programma come tutti gli altri. L’unica differenza è che non genera “utilità” per l'utente/proprietario del sistema ma un danno. Agli albori dei virus informatici probabilmente la motivazione di chi li programmava risiedeva nella soddisfazione (effimera, se vogliamo) di rendere inservibile un sistema o magari ottenervi fraudolentemente l’accesso.

Successivamente – probabilmente anche sulla scorta della considerazione che per il legittimo proprietario il valore delle informazioni presenti sui suoi sistemi informatici (ovvero la percezione di quel valore) è di gran lunga superiore sia al valore del sistema informatico (in termini di costi HW e SW) sia al reale valore “commerciale” che quelle stesse informazioni potrebbero ipoteticamente avere sul mercato (non tutti ospitiamo sui nostri computer informazioni sulla sicurezza nazionale…) - si è intravista la possibilità di un lucro immediato realizzabile tramite l’“oscuramento”(con tecnica crittografica) dei file contenenti i dati dell’utente e relativa richiesta di un riscatto per ottenere (o sperare di ottenere) la “chiave” che permette all'utente di riavere di dati in chiaro

 Con i virus di tipo “ransomware“ dunque per i cybercriminali è aumentata da un lato la possibilità statistica di ottenere una utilità economica immediata (in quanto si è ampliata la gamma di potenziali bersagli includendo, ad esempio, anche i nonni che conservano lustri di documentazioni fotografiche dei nipotini che crescono) e dall’altro lato è diminuito il lasso di tempo che intercorre tra l’ “attacco” e l’ottenimento di quella – illecita - utilità.

Un “attacco informatico” è una qualsiasi attività posta in essere - volontariamente e sistematicamente - da uno o più individui ai “danni” di altri individui (o classi di individui) finalizzata al rovesciamento di quel concetto di “produzione di utilità” (quale che sia) di un sistema informatico sottraendola al legittimo proprietario per consegnarla invece all’ “attaccante”.

L'attacco informatico è una attività sistematica, mirata, con obiettivi e profili di finalizzazione specifica. Per questo motivo per il fenomeno dei “virus” - che ha caratteri più generali e dove il target è generalmente meno definito e di solito non preventivamente identificato - si preferisce però fare riferimento al termine “contagio”. Le prassi di diffusione dei virus informatici possono infatti essere genericamente ricondotte a quelle dei virus biologici. E ciò con particolar riferimento alle prassi comportamentali che gli “obiettivi” attuano. Tutto ciò non esclude ovviamente l'impiego dei virus come parte di una strategia per un attacco informatico.

2. La narrazione che i media hanno fatto di WannaCry descrive un attacco velocissimo che nel giro di poche ore ha fatto danni gravissime, raggiungendo velocemente milioni di pc. In questi giorni e subito dopo l’accaduto, abbiamo ascoltato moltissime interviste a specialisti, guardato video su You Tube e su internet secondo i quali sarebbe bastato un semplice software antivirus per prevenire questo “attacco”. A questo punto è ovvio che sorgano delle domande, non da esperti informatici ma da utenti. Possibile che sarebbe bastato questo software per evitare una situazione di tale gravità?

Come dicevo più che di “attacco” è forse più corretto parlare di “contagio”. In un “attacco” normalmente l’obiettivo è noto e conosciuto e si agisce per colpire quello e solo quello (o comunque solo i sistemi strumentali a all’obiettivo). In un “contagio” – come nel caso dei virus in generale e del ransomware WannaCry – per così dire si lancia l’amo (o si getta la rete) e poi si vede chi “abbocca”. Nei due casi le prassi di reazione e prevenzione in qualche modo variano. Generalmente le attività di prevenzione e reazione ad un “vero” attacco informatico richiedono expertise abbastanza specifiche.

La prevenzione e la reazione ai virus, invece, sono in linea di massima attuabili inculcando comportamenti “virtuosi” in utenti e amministratori di sistema: uso di password di adeguata complessità e riservatezza, particolare attenzione nel mantenere sistemi e software perfettamente aggiornati, attuazione di una adeguata politica di backup (copie di sicurezza), uso di adeguati sistemi commerciali di protezione (antivirus, firewall, intrusion detection, ecc.).

Il punto è che grosse infrastrutture informatiche richiedono giocoforza prassi e strutture di gestione – gli “amministratori di sistema”, appunto – che possono, anzi devono, occuparsi di queste incombenze. Al contrario nelle piccole realtà o per utenti singoli e familiari l’”amministratore di sistema” coincide perfettamente con l’utente il quale - per mille ragioni - può non avere le conoscenze necessarie oppure, peggio, la necessaria sensibilità per percepire la problematicità di certi contesti.

3. Sono stati così sprovveduti gli informatici di queste realtà? Mi pare assurdo ed incredibile che solo dopo l’evento sia andato in onda tutto questo materiale sembra vada a sminuire il problema e che dia addirittura dello “sprovveduto” all’informatico responsabile dei sistemi informatici. Come mai non sono stati presi dei provvedimenti prima?

Non mi pare si possa dire una cosa del genere. O comunque non mi pare si possa generalizzare estendendo l’accusa a tutta la categoria degli “amministratori di sistema” o degli addetti alla sicurezza informatica. Dopotutto le professionalità legate in qualche modo al concetto di “sicurezza” vivono da sempre una situazione scomoda: se non succede nulla, si tende a sottintendere la loro inutilità (proprio per il fatto che non sta succedendo nulla). Quando qualcosa invece accade, gli si dà la colpa per non essere riusciti ad evitarlo.

Possono certamente essersi verificati casi di inadeguatezza di conoscenze, risorse o percezione del rischio, ma bisogna anche considerare il fatto che se fosse davvero banale reagire a queste minacce probabilmente non staremmo qui ancora a parlarne. Inoltre anche nelle realtà più grandi è ancora assai raro trovare risorse e intelligenze specificatamente impiegate nel settore “security”; nelle realtà più piccole invece – quando le cose vanno bene – al “più bravo coi computer” viene demandato anche l’aspetto della sicurezza informatica. E questa – a prescindere dalle capacità del prescelto -  non è esattamente una buona prassi.

Diversa invece è la cosa nel caso di utenti singoli o familiari. Per quanto non si possa negare che una “cultura della sicurezza informatica” sia ormai necessaria nella attuale “società digitale”, non si può nemmeno pretendere che chi acquista un computer, un software o accede ad internet, debba per forza di cose acquisire preventivamente competenze specialistiche su virus, firewall, attacchi informatici, DDoS, protocolli di rete, tecniche e algoritmi crittografici, eccetera.

Così come è puerile mettersi a criticare – lo dico per aver assistito personalmente ad un episodio simile - un nonno settantenne (che vuole soltanto scaricarsi il filmato della recita dei nipotini) solo perché ha scelto di acquistare un computer dotato di quel particolare sistema operativo a finestre invece di quell’altro sistema operativo con un pinguino nel logo (o una mela morsicata, a seconda dei casi) che sembra essere sensibilmente  più sicuro.

A questo punto il discorso, infatti, si sposta dallo strato tecnologico a quello socio-economico. Se il nonno di cui sopra decide di acquistare una utilitaria per accompagnare i nipotini a scuola, di certo non si aspetterà mai di doversi preventivamente istruire sulla tecnologia che gestisce elettronicamente l’alimentazione del motore; allo stesso modo per guidare “in sicurezza” non avrà bisogno di conoscere se l’azienda che produce il ferodo contenuto nelle pastiglie dei freni gode di migliore o peggiore reputazione rispetto ad una azienda concorrente.

Il nonno invece si aspetterà che gli airbag della sua nuova utilitaria funzionino correttamente a prescindere dal fatto che egli conosca o meno la tecnologia che li attiva, anzi egli può addirittura permettersi di ignorare dove gli airbag sono collocati. Se acquisto una automobile – o un frullatore, o un televisore a LED, o una racchetta elettrica antizanzare – mi aspetto la sua piena e sicura funzionalità nel contesto d’impiego indicato dal produttore (di certo non si può pretendere che l’utilitaria galleggi e sia a tenuta stagna, quindi è ovvio che non sarà più “sicura” nel caso in cui la calassi in acqua dalla banchina di un porto turistico).

Stranamente per qualche motivo non richiediamo questo stesso tipo di “prestazione di sicurezza” quando acquistiamo o usiamo un sistema informatico. Siamo in questo senso molto più “teneri” con le tecnologie ICT di quanto siamo disposti ad esserlo nei confronti di qualsiasi altra tecnologia: quando usiamo un ascensore ci aspettiamo forse di doverci formare su quale sia il valore ottimale della tensione del cavo in acciaio che sostiene la cabina? O su quali siano le manovre di sblocco in caso di black out? O su come funzioni il sistema che permette alla cabina di fermarsi sempre perfettamente al livello del piano a prescindere dal fatto che l’ascensore viaggi vuoto o a pieno carico?

Ebbene quando approcciamo alle tecnologie ICT sin dall’inizio presupponiamo invece di dover ulteriormente impiegare tempo e risorse nella acquisizione di un certo background tecnico per poterle impiegare con una “certa” tranquillità. E’ come se sul cruscotto della utilitaria il nonno settantenne trovasse scritto: “attenzione: se non si conosce l’ordine di accensione dei cilindri l’auto potrebbe spegnersi ripetutamente”. Oppure, al contrario, come se sulla scatola del sistema operativo a finestre campeggiasse la dicitura “attenzione: il sistema potrebbe essere soggetto all’azione di virus e attacchi informatici”. Chi di noi sarebbe disposto ad acquistare (ed usare...) quel software?

4. Considerato che l’attacco – il virus - può contagiare una così basta gamma di utenti, dai pc degli ospedali a quelli delle case automobilistiche, viene anche da domandarsi come noi comuni utenti inesperti come possiamo proteggere i nostri pc? Quando acquistiamo un pc o uno apparato elettronico pensiamo che sia già protetto dalla casa produttrice e che non dobbiamo fare interventi. Probabilmente ci aspettiamo che il computer ci avvisi quando è necessario un intervento da parte nostra, ma certamente è più difficile aspettarsi di dover intervenire sul sistema preventivamente. I produttori di software non dovrebbero considerare questo aspetto ed intervenire a monte dell’acquisto? Se non lo fanno dove potrebbero, perché?

In risposta a questa domanda spesso viene evocata la già citata “cultura della sicurezza informatica”, che auspicabilmente dovrebbe diventare patrimonio di ogni utente. La presenza negli utenti di uno strato culturale “tecnico” di fondo – o molto più semplicemente di una serie di abilità tecniche - è senza ombra dubbio qualcosa di assai positivo, ma di certo – da un punto di vista strategico - non è il massimo risultato a cui tendere.

Agli albori dell'automobilismo, quando le auto erano poco più di carrozze semoventi dotate dei primi, pericolosi motori a combustione interna, per poterle guidarle era necessario essere anche dei discreti meccanici: occorreva saper regolare con continuità la carburazione, l'anticipo, il flusso di carburante ed era indispensabile saper ovviare ai “problemi bloccanti” che sovente capitavano. Oggi, come già detto, non guidiamo più l'automobile da  “tecnici”, ma bensì da semplici “utenti”, serenamente ignari – come è giusto che sia – di ciò che di tecnologico accade al di là del piantone dello sterzo e della pedaliera.

Ecco si potrebbe forse dire che nelle ICT, almeno per quel che concerne il rapporto tra utente e la gestione dell'aspetto della sicurezza, siamo ancora al livello delle carrozze a motore.

Un elaboratore, un tablet, uno smartphone, un apparato informatico in genere (qualunque esso sia) nel momento in cui esprime la sua “utilità” all'utente dovrebbe essere in grado di offrire by design un concreto livello di sicurezza, senza che l'utente avverta la necessità di intervenire successivamente sul sistema modificandolo o integrando delle componenti esterne (per lo più a pagamento).

Diversa è la questione comportamentale. E' ovvio che – come anche nelle automobili e nelle carrozze semoventi – una condotta sconsiderata dell'utente lo espone in ogni caso ad un certo numero e tipo di rischi, a prescindere dalle garanzie di sicurezza che il sistema offre (o promette). Dunque anche nell'uso degli apparati informatici una condotta attenta e prudente è certamente una componente fondamentale di ciò che possiamo definire “condizione minima sicurezza”. Tale condotta però non può sconfinare – o non può sconfinare troppo – verso competenze tecniche specialistiche: si può accettare di prestare attenzione a ciò che si scarica da internet sul proprio computer, si può anche accettare il fatto di dover acquistare e installare un antivirus sul proprio sistema, si può accettare di eseguire copie giornaliere sul cd-rom: ma chi tra noi sa configurare correttamente un firewall? Chi tra noi è davvero in grado di interpretare i messaggi di un IDS (intrusion detecnion system)? Chi tra noi, tra i nostri genitori e tra i nostri nonni sa effettivamente valutare se un allegato di posta elettronica – che magari sembra arrivareda un indirizzo perfettamente conosciuto o del tutto attendibile - è “vero” o “dannoso”?

Ed infine, ammesso tutto quanto sopra: è davvero giusto che l'utente debba essere costretto ad approcciare alle tecnologie ICT con un misto di timore reverenziale e fatalismo cronico? Che debba aver paura di sbagliare quando apre una email o di combinare danni irreparabili ogni volta che aggiorna la macchina Java per far girare il software della Agenzia delle Entrate? E' davvero giusto che un avvocato, un commercialista, un medico per fare il loro lavoro debbano per forza diventare “informatici”, anche se non lo desiderano o – più semplicemente - se non hanno tempo per farlo?

Il problema vero è – a mio parere – di design delle tecnologie ICT e di conseguenza di design dell'ambiente informativo e comunicativo in cui viviamo e che (presumibilmente) costituirà il futuro nei nostri figli e dei nostri nipoti. E non è un problema semplice, né un problema che può essere affrontato e risolto solo tecnicamente. Problemi tecnici richiedono soluzioni tecniche, problemi strategici richiedono soluzioni strategiche e tecniche.

5. Ultima domanda Giovanni. Come ripariamo questo danno ormai accaduto? Molti sono i video o le pubblicità di aziende pronte a riparare il danno, mi sembra quasi un’azione commerciale, ma posso sbagliarmi, mi puoi smentire o darmi la tua valida considerazione ed un valido consiglio per il mio prossimo acquisto di un pc?

L'interesse mediatico sul fenomeno WannaCry sembra ormai essersi esaurito. Se non proprio di approfondimenti tecnici – ne abbiamo già ascoltati davvero molti (più o meno interessanti, più o meno utili) nei giorni successivi al “contagio” - oggi dovremmo almeno leggere di notizie relative alle cosiddette analisi “post mortem”, alla stima dei costi di ripristino dei presunti danni arrecati da questo ransomware. Danni così ingenti, diffusi e concreti - così come ci sono stati riportati dai media – devono per forza di cose aver generato problemi e criticità a medio termine. Gli ospedali, ad esempio: quante persone sono state in serio rischio di vita (o magari l'hanno proprio persa) perché un sistema Windows XP (che veniva usato, che so, come scadenziario per la somministrazione di farmaci salvavita) è rimasto bloccato per due giorni? Quanto hanno perso - in termini meramente economici - quelle case automobilistiche che sono state costrette a bloccare le linee di produzione (e per una azienda industriale fermare la linea di produzione ha dei costi immani)? Quale è stato il danno in termini di quotazioni di borsa, o di mancata produzione, o magari di perdita di anni di studi e progetti o di brevetti? Nulla di tutto ciò. Tutto sommato sembra – almeno stando alle fonti mediatiche - che gli “ingentissimi danni” non abbiano creato poi tutto questo scompiglio.

Detto questo, i tecnici ci dicono che per riparare ai danni specifici procurati dal contagio da “WannaCry” - e del ransomware in generale – l'unica soluzione completamente valida è quella di effettuare periodicamente delle copie di sicurezza dei dati su una unità di memoria che però occorre tenere scollegata dal sistema informatico (un disco USB esterno ad esempio). In caso di contagio sarebbe bastato “disinfettare” il sistema (alcune soluzioni commerciali sono stranamente apparsa immediatamente subito dopo il contagio) e ricaricare i dati precedentemente salvati. Rimane ovviamente da valutare - caso per caso, utente per utente – quale sia il corretto regime di backup e più nello specifico la sua frequenza e la sua ripetizione. Se prevedo un backup da effettuare il 30 di ogni mese è ovvio che le foto della nascita di mio figlio – avvenuta, mettiamo, il 5 del mese successivo al backup - non saranno affatto “protette” da questa prassi. L'ideale è quindi una soluzione “composta”: un backup incrementale periodico al quale va affiancato ad un backup da effettuare ad ogni variazione “importante” sui dati e sulle informazioni. Anche per queste esigenze esistono molte soluzioni commerciali ma, appunto, sono degli add-on che l'utente deve scegliere di usare. Chissà, se tali prassi fossero integrate e gestite direttamente dal sistema operativo ciò renderebbe più semplice la vita all'”utente-solo-utente”.

Ecco il motivo per il quale ho voluto aspettare a fare questa intervista a Giovanni Nacci, che ringrazio, proprio per capire dall’inizio dell’attacco alla fine il percorso che ognuno di noi può fare per non essere attaccato da un hacker, ma soprattutto

Di sicurezza se ne parlerà anche a Mashable Social Media Day Italia, sperando di riuscire a fare partecipare Giovanni all'evento che si terrà a Milano il 19-20-21 Ottobre 2017, invito tutti voi a condividere questa esperienza insieme a me

Grazie infinte Giovanni per la disponibilità ed il tempo che mi hai dedicato, grazie veramente.

Ed un grazie a Simone Stricelli di Kaos Communication per la collaborazione di sempre!