Sono passati più di 7 anni dalla pubblicazione della relazione del Comitato parlamentare per la sicurezza della Repubblica sulle “possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico”. Ricordo di aver letto il documento con stupore e soddisfazione, quando fu reso pubblico nell’estate del 2010: anche in Italia le istituzioni avevano finalmente inquadrato la portata del fenomeno.
Erano già più di 15 anni che lavoravo in ambito Information Security con la sensazione che poche persone avessero chiaro il trend di crescita delle minacce informatiche in tutti i settori: dalle banche alle infrastrutture, dalle istituzioni alle PMI.
L’esperienza più significativa che mi fece comprendere la dimensione del fenomeno fu un training sul Cyber Crime, erogato da un team Israeliano specializzato in attività di investigazione e intelligence delle minacce informatiche del settore Finance. In quella occasione capii che esisteva un vero e proprio mercato legato al Cyber Crime dove persone e organizzazioni scambiano ogni tipo di prodotti e servizi: dalla vendita di vere e proprie suite software per la diffusione e il controllo di Banking trojan (come Zeus e SpyEye), alla erogazione di servizi “chiavi-in-mano” come il Trojan-as-a-Serive.
Il pagamento di questi servizi illeciti avveniva attraverso piattaforme di pagamento ancora non del tutto mature dal punto di vista della sicurezza, ma di lì a poco (era il 2009) i bitcoin, la crypto valuta anonima, diventò lo strumento di base per lo sviluppo del black market. Nell’arco di pochi anni la criminalità informatica si è evoluta e trasformata, sulla scia della diffusione delle tecnologie digitali e della scarsa capacità delle Nazioni di normare e controllare le attività svolte nel Cyber Space.
Con la diffusione dell’Internet delle cose e la pervasività di oggetti connessi, dai frigoriferi alle automobili, dalle telecamere alle serrature delle nostre case, le opportunità del Cyber Crime sono aumentate ulteriormente: la riprova è stata la creazione e successiva diffusione a partire dal 2016 del malware Mirai su dispositivi IoT per la creazione di una delle più estese BotNet mai esistite (oltre 600.000 device). Grazie a questa “infrastruttura” sono stati condotti diversi attacchi di Denial of Services e sono stati causati anche incidenti collaterali come i disservizi alla rete di Deutsche Telekom provocati dalla diffusione intensiva del malware.
Un’interessante analisi su Mirai (Understanding Mirai Botnet) mette in evidenza quanto sia complesso studiare questi fenomeni. In particolare colpisce la semplicità con cui questo software sia riuscito a diffondersi su un così grande numero di device, sfruttando una “banale” lista di password di default di numerosi device IoT come telecamere o router ADSL. Il 2017 è stato infine l’anno dei record dei ranswomware: da WannaCry (più di 400.000 sistemi infettati) a NoPetya, il malware diffuso in Ucraina coinvolgendo anche sistemi in ambito ICS/SCADA come quelli della centrale nucale di Chernobyl.
Considerando la velocità con cui il crimine informatico si è evoluto negli ultimi anni, è ormai fondamentale per che chi lavora in questo settore tenersi aggiornato su nuove vulnerabilità, minacce, normative e incidenti per riuscire ad essere efficaci nell’analisi dei rischi e nella definizione di strategie efficaci di prevenzione e protezione.
Da questa riflessione nasce il blog del centro di eccellenza Bip CyberSec, uno spazio per condividere informazioni e notizie legate al mondo della sicurezza informatica. Con un obiettivo ambizioso: creare un punto di riferimento per chi, come noi, ha interesse e passione per questo settore in continua evoluzione. La comprensione dei cambiamenti in corso, d’altronde, è il primo passo per difendersi.