Diecimila attacchi che non ci sono

L’altro giorno, scorrendo la homepage del Corriere della Sera, mi passa davanti agli occhi un articolo dal titolo molto accattivante: Pubblica amministrazione, quei cyber attacchi di cui nessuno parla. Normalmente gli articoli di cronaca sul “lavoro” li salto a piè pari, di un attacco informatico mi interessano solo due cose: come è stato fatto e se mi riguarda (devo proteggere qualche macchina? devo prendere qualche misura per contenere danni che potrebbero avermi già fatto? vale la pena di replicarlo su macchina virtuale?). Nessuna di queste informazioni si trova in un articolo di cronaca. Il titolo, però, sembra molto più interessante, sembra parlare del fatto che in Italia nessuno al di fuori degli addetti del settore abbia la minima idea di cosa voglia dire “sicurezza informatica”[1]. Mentre leggo l’articolo, mi rendo conto che è ancora più interessante: si tratta di un articolo sulla non conoscenza del problema della sicurezza informatica scritto da qualcuno che non ha la più pallida idea di cosa sia la sicurezza informatica.

L’articolo è, sostanzialmente, un riassunto del 2014 Italian Cyber Security Report [2] stilato dall’Università La Sapienza di Roma sullo stato della pubblica amministrazione italiana in termini di sicurezza informatica. Secondo il Corriere, la situazione sarebbe catastrofica. Cito testualmente all’articolo:

Oltre 10 mila cyber attacchi alla pubblica amministrazione italiana.

Il sondaggio in base al quale è stato stilato il rapporto ha coinvolto circa 300 amministrazioni pubbliche di dimensioni variabili, da Ministeri a Comuni. Facendo un po’ di matematica, scopriamo che ogni PA è stata attaccata, in media, 33 volte in un anno, ovvero circa una volta ogni 11 giorni. Considerando che, mediamente, ci sono nostri dati nei server di una mezza dozzina di PA diverse (il comune di residenza, l’ASL, il Ministero dei Trasporti per i patentati, il Ministero dell’Istruzione, l’INPS, la Regione di residenza e via così) significa che, anche se non tutti gli attacchi mirano a rubare dati, almeno parte delle nostre informazioni personali sono certamente in mano a qualche malintenzionato. Se i server con i dati di un qualsiasi italiano vengono attaccati una media di 99 volte in un anno, tanto vale pubblicare tutti i dati personali subito, no?

Il report citato, però, riporta informazioni leggermente diverse. Alle varie PA è stato chiesto quanti tentativi di attacco avessero percepito nel corso del 2013. 45 PA hanno percepito di essere state sotto attacco più di 10.000 volte nell’arco del 2013. Questo significa che ci sono stati oltre 45.000 attacchi alla pubblica amministrazione italiana nel solo 2013? No. Questo significa che 45 PA hanno percepito comportamenti sospetti oltre 10.000 volte ciascuna in un anno. Non sempre un comportamento sospetto corrisponde a un tentativo di attacco e non sempre un tentativo di attacco corrisponde a un attacco andato a termine. Come è possibile?

Siccome stare a guardare cosa succede in una macchina costantemente è noioso persino per un informatico, di solito ci sono dei tool che registrano i comportamenti sospetti – generalmente in base a pattern di attacco tipici – oppure registrano tutti i comportamenti, anche quelli pienamente legittimi, a rischio (di solito gli accessi a una risorsa). Una volta ogni tanto qualcuno in sala macchine prende e dà una passata ai log (oppure un altro tool prende, se li legge e compila un bel rapportino). Da questa lettura arrivano le stime degli attacchi percepiti che, trasmessi all’Università La Sapienza, sono arrivate fino al rapporto e da lì al Corriere. Ora, buona parte di questi tentativi è assolutamente risibile: sono il rumore di fondo composto da bot che vanno a caso, strumenti di scansione orizzontale, ragazzini convinti di essere dei grandi hach3r e utenti impediti. Per farvi un esempio:

Tipica operazione di tutti i giorni su Linux

Questo sono io che, su una macchina virtuale, tento di eseguire una tipica operazione di tutti i giorni su Linux[3] che però richiede privilegi speciali. Per avere questi privilegi digito prima il comando sudo ovvero substitute user and do, chiedendo di essere trattato come amministratore di sistema (lo sono, ne ho diritto)[4]. Prima mi scordo la password (considerato che tengo la macchina congelata dall’11 di agosto è un errore comprensibile), poi scopro di non poter eseguire il comando sudo[5]. Entrambe le mie azioni lasciano traccia nei log di sistema:

log

Se mi cacciaste in mano queste due righe di log e mi chiedeste un parere vi direi che quell’account è per lo meno sospetto, forse compromesso. Nel giro di cinque secondi abbiamo un’autenticazione fallita e un tentativo di elevare i propri privilegi per eseguire un comando riservato! Certo, siccome il mio sistema è piccolo e conosco tutti i miei utenti per nome posso anche dirvi che no, era l’amministratore di sistema che in un momento di confusione aveva tentato di eseguire un comando legittimo con l’account sbagliato, ma quanti sistemisti con un migliaio buono di utenti possono guardare un log del genere e ricordarsi al volo che quello è l’account di Lorenzo che si scorda sempre di dover entrare come root prima di cancellare tutti i file del sistema? Tutto a posto, capo, c’è solo da attaccargli di nuovo un post-it sulla scrivania.

Non sto dicendo che la situazione sia rose e fiori, sto dicendo che il problema è dall’altra parte dello spettro. Secondo il rapporto ci sono ben 139 PA (oltre un terzo delle amministrazioni esaminate!) che sostengono di non essere mai state sotto attacco neanche una volta nell’arco del 2013. Abbiamo detto che una parte dei tentativi di attacco è un fastidio inevitabile: il solo fatto di avere un server accessibile da fuori li attira. Se nell’arco di un anno non ne viene percepito nemmeno uno, vuol dire, fondamentalmente, due cose:

  1. La PA non utilizza alcun sistema di individuazione degli attacchi. Non c’è nulla che dica alla PA che qualcuno ha provato a forzare i loro server. Non ci sono allarmi, non ci sono avvisi. Non c’è protezione attiva.
  2. Nessuno legge o interpreta i log. La sala macchine è sotto organico e manca chi si occupi di sicurezza. Se nessuno si preoccupa di leggere i log qualcuno si preoccuperà di rimediare alle vulnerabilità del sistema che emergeranno in futuro?

Il dato preoccupante non sono le decine di migliaia di tentativi di attacco, ma il fatto che molte PA non si siano accorte di (tentativi di) attacchi che ci sono stati quasi sicuramente. Non rendersi conto degli attacchi tentati non significa soltanto che non si prendono misure attive per fermare un attacco, significa che quando un attacco dovesse riuscire nessuno se ne renderà conto. Nessuno prenderà misure per limitare i danni, nessuno avviserà gli utenti dei dati persi o compromessi.

Note:

[1] Il che è drammatico. Significa che i vostri dati sono spesso e volentieri in mano a persone (voi) che non sanno neanche da dove cominciare per proteggerli. Non per dire, ma conosco gente che tiene le proprie password salvate su un file di testo, in chiaro, salvato in cloud.

[2] Se volete leggere l’originale lo trovate disponibile all’indirizzo http://www.cis.uniroma1.it/csr2014 assieme a una presentazione, più stringata a cura del Prof. Baldoni

[3] Vi sto prendendo per i fondelli. Non provate a eseguirla.

[4] Se ne ho diritto, il comando sudo mi permette di essere trattato come un altro utente, passato come parametro, al fine dell’esecuzione di un comando passato come secondo parametro. Se però passo a sudo soltanto il comando, il sistema mi tratta come amministratore di sistema.

[5]Possono eseguire il comando sudo solo gli account abilitati dall’amministratore di sistema e registrati – con eventuali limitazioni – in un apposito file, sudoers. Siccome l’amministratore di quel sistema sono io, “frollo” (cioè il me-utente) non ha bisogno di alcun privilegio.

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: