Catena di distribuzione dei… venti solari! | Blog Wadsl
cyber-attacchi

Catena di distribuzione dei… venti solari!

Articolo di Francesco Politi

Non più di due mesi fa si è verificato quello che probabilmente è il più grave crimine del mondo informatico di tutti i tempi. Un attacco sofisticatissimo, che ha messo a nudo la sicurezza di molte aziende e strutture governative. Supply chain è il termine che sintetizza le modalità di questo attacco. Per comprenderne meglio il significato, ricorriamo ad una semplice analogia.

Immaginiamo di dover preparare una torta.

In base alla ricetta, avremo una lista di ingredienti da procurarci. Ci rechiamo dunque al supermercato, ed acquistiamo tutto l’occorrente:

  • zucchero
  • uova
  • savoiardi
  • caffè
  • cacao
  • mascarpone

Seguiamo pedissequamente la ricetta, e il dolce viene preparato alla perfezione.

Dopo averlo consumato, tuttavia, accusiamo un forte malore, che ci porta dritti al pronto soccorso.

Al pronto soccorso ci dicono che si tratta di salmonella. Apparentemente, le uova utilizzate erano contaminate, per cui l’intero dolce, si è rivelato fatale, nonostante il suo aspetto estetico non denotasse alcuna anomalia.

La contaminazione di un singolo ingrediente ha compromesso l’esito finale di un prodotto, la cui creazione ha coinvolto vari elementi e varie fasi esecutive.

Questo preambolo illustra in maniera semplice il significato di supply chain, ossia “catena di distribuzione”, concetto che appartiene non solo all’ambito del mondo industrializzato, ma anche a quello IT.

TimelineGraphic8

E’ facile comprendere che chiunque utilizzi un computer abbia un determinato sistema operativo installato su di esso, che su quel sistema operativo siano installati vari programmi, e che all’interno di tali programmi siano gestiti un certo numero di dati e informazioni.

Anche se non ce ne rendiamo conto, sul nostro computer sono presenti un’infinità di programmi e files, indispensabili al suo funzionamento, ma di cui ignoriamo praticamente l’esistenza. Il dato di fatto è che ciascuno di questi può nascondere una vulnerabilità.

E’ chiaro che una falla di sicurezza legata al sistema operativo Windows o Android, si configura come minaccia su larghissima scala, considerando l’utilizzo di quei sistemi da parte della popolazione mondiale.

Nel Dicembre 2020, la società americana Fireeye ha reso pubblica un’intrusione subita dalla propria infrastruttura. Va precisato che l’azienda su citata è tra le più competenti al mondo in materia di cybersecurity, tanto da avere tra i propri clienti lo stesso governo statunitense. Obiettivo dell’intrusione: trafugare i software utilizzati da Fireeye per effettuare controlli di sicurezza (penetration test) sui propri clienti.

Dopo qualche giorno, la stessa Fireeye rende nota una altrettanto grave incursione informatica: questa volta, ad essere colpita, è la società SolarWinds, creatrice della suite di monitoraggio Orion.

La ricostruzione degli eventi ha permesso di determinare due dati fondamentali:

  • l’infrastruttura di SolarWinds era stata compromessa già nel 2019
  • gli attaccanti erano stati in grado di inserire in uno degli aggiornamenti del software Orion una “backdoor”, ossia un virus informatico in grado di consentire a terzi il controllo remoto

Di conseguenza, gli ignari utenti del software Orion (e ci riferiamo qui a strutture governative e mediche, al  Parlamento Europeo, alla  NATO, solo per citare alcuni esempi), hanno scaricato ed installato quello che credevano essere un normale aggiornamento, per poi trovarsi di fatto un sofisticato malware all’interno della propria rete, con gravissime conseguenze legate alla riservatezza dei dati gestiti dalle organizzazioni di cui sopra.

Le riflessioni da fare su questa vicenda sono molteplici. Prima di tutto, è evidente che c’è un’enorme differenza tra il cybercriminale che prende di mira utenti finali, magari per carpirne i dati di autenticazione dei social network, e l’attacco a SolarWinds. Non si può escludere come dietro questa compromissione non vi sia stato l’interesse e il supporto di un governo antagonista (Russia?).

Ma il pensiero più angosciante riguarda la sensazione di impotenza che deriva dal vedere una società come Fireeye vittima di un’intrusione che essa stessa avrebbe il compito di contrastare.

Non bisogna pertanto stupirsi che il motto di ogni professionista serio della cybersecurity sia: la sicurezza assoluta non esiste.