giovedì 29 dicembre 2011

MUMBLE - Diginotar: l'attacco che cambiò Internet


Questo articolo è stato pubblicato sull'ultimo numero di Cybercrime ed è la mia riflessione di fine anno. 

L'appuntamento per il prossimo post è per il 2012 (se non succede niente di eclatante...). Tanti auguri a tutti!
------------------------------------------------

Nel corso di quest'anno, quasi ogni giorno abbiamo letto di criminali che hanno violato database di grandi aziende, di spie che sono entrate nelle reti di agenzie governative di tutto il mondo, di segreti industriali che sono stati rubati da agenti prezzolati e di pubblicazioni di materiale riservato trafugato da sedicenti attivisti di varia natura.

Il 2011, probabilmente, passerà alla storia come uno degli anni più neri per la sicurezza su Internet.

Per importanza e ripercussioni, però, un evento si discosta da tutti gli altri: l'attacco alla certification authority (CA) olandese Diginotar.

Prima di tutto, per capire la reale portata di questo attacco, conviene partire dallo scenario.
Una CA emette i certificati digitali utilizzati per garantire l'identità di un soggetto in rete, sia esso un privato che un sito Internet, consentendo nel contempo la cifratura del traffico tra l'utente e il sito stesso. In questo modo sono stati sviluppati tutti i servizi a valore aggiunto basati sull'utilizzo di reti pubbliche, dall'home banking alle VPN SSL. Diginotar, recentemente acquistata da una multinazionale di sicurezza, era una CA riconosciuta a livello internazionale i cui certificati venivano verificati e dichiarati affidabili direttamente all'interno dei browser web. Qualsiasi utente, con qualsiasi browser, nel collegarsi ad un sito che presentava un certificato emesso da Diginotar, avrebbe visto comparire una notifica sul browser a sancire la sicurezza del collegamento stesso.

Diginotar erogava due tipologie di servizi di certificazione: una destinata ai privati ed una ad uso del governo olandese per l'emissione di certificati a valenza legale.

Questo è lo scenario in cui è maturato l'attacco, ma cosa è successo esattamente a Diginotar?

Il 29 Agosto è stato reso noto che un attacco aveva compromesso la CA, evento preoccupante ma  già successo qualche mese prima anche alla CA Comodo. In quel caso, però, l'attacco si era risolto con poche e marginali conseguenze. Con il passare delle ore si viene a sapere che, in seguito all'attacco, era stato creato almeno un falso certificato digitale, a nome di google.com. Chiaramente questo fatto ha cominciato ad allarmare gli esperti e l'interesse per questa notizia si è innalzato notevolmente.

Anche il governo olandese è intervenuto, preoccupato del fatto che i propri certificati digitali fossero emessi proprio da un soggetto che era stato “bucato”.

La domanda che, a questo punto, ci si comincia a porre è: quanto è esteso e grave questo attacco?

Dopo pochi giorni arriva la risposta, ed è una risposta che lascia tutti gli osservatori basiti e angosciati: oltre 530 certificati falsi sono stati emessi a nome di soggetti che spaziano dai social network (FaceBook e Twitter) ai maggiori fornitori di software e servizi su Internet (Microsoft, Mozilla, Tor, Skype, LogMeIn, Wordpress e AOL), dai principali motori di ricerca (Google, Yahoo!) alle maggiori agenzie di spionaggio occidentali (Mossad, CIA e MI6).

La notizia è talmente grave che il governo olandese è stato costretto a intervenire direttamente comunicando di aver avocato la gestione della CA e di aver affidato ad una società indipendente l'analisi dell'accaduto. Il ministro degli interni ha dovuto indire in tutta fretta una conferenza stampa televisiva per dare conto delle misure intraprese. Il CERT governativo olandese infine ha cominciato ad emette una serie di bollettini ufficiali per informare degli sviluppi e delle decisioni adottate.

Ciò che emerge dalle indagini è che Diginotar aveva avuto delle indicazioni di attività malevole fin dalla metà di luglio e che aveva cercato di arginare la situazione senza successo ma che, soprattutto, aveva maldestramente cercato di coprire l'accaduto per evitare ripercussioni negative al proprio business e alla propria immagine. Emerge inoltre che il presunto hacker dietro all'attacco è lo stesso iraniano che qualche mese prima aveva attaccato Comodo, con risultati, però, decisamente più modesti. Infine, Trend Micro ed altri operatori internazionali di sicurezza pubblicano alcune ricerche che mostrano che il vero movente dell'attacco sia stata la volontà di monitorare i collegamenti Internet effettuati da cittadini iraniani verso siti considerati “sensibili” ai fini del contenimento della attività di protesta dei dissidenti.

Un vero disastro, che culmina a fine settembre con la presentazione di una formale istanza di fallimento.

La sciagurata avventura di Diginotar finisce così.

Tra le tante riflessioni che nascono da questo evento vale la pena di puntualizzarne alcune.

L'assenza di adeguate misure di sicurezza può cancellare anche una società affermata
Per la prima volta appare chiaro che nella mappa dei rischi che devono essere considerati in ambito aziendale si deve mettere in conto anche la cancellazione del proprio business a causa di un attacco informatico. Sino ad ora, gli attacchi informatici erano confinati tra quelli che potevano portare danni diretti (la cui entità poteva essere valutata in termini monetari) e danni indiretti, di natura principalmente legata alla perdita di immagine. Il caso Sony e, ancor più, il caso Diginotar, hanno mostrato che le conseguenze di attacchi informatici, in assenza di adeguate misure di sicurezza e di gestione degli stessi, possono portare conseguenze impreviste ed imprevedibili danni economici.

La sottovalutazione di questa tipologia di rischi non è più accettabile
Se ci si mette nei panni dei manager di Diginotar, vedremo che le scelte che li hanno portati a sottovalutare l'importanza dell'implementazione di un serio sistema di gestione della sicurezza delle informazioni sembravano pagare. Fino a luglio Diginotar, aveva un fiorente business, con costi di gestione ridotti. L'assenza di sicurezza probabilmente era percepita come un risparmio e non aveva dato particolari conseguenze negative. Peccato che, nel giro di qualche giorno, avrebbe condotto al fallimento. C'è sicuramente di che meditare, anche nell’ottica delle scelte che sta operando il nostro sistema paese.

L'incapacità nella gestione degli incidenti di sicurezza moltiplica gli effetti negativi
Questa vicenda mette in risalto come, nella società digitale, la capacità di difendere gli stakeholder dagli eventi relativi ad attacchi informatici sia data per acquisita. Mostrare di non essere in grado di gestire adeguatamente questo tipo di situazioni crea immediatamente un intorno di sospetto e di sfiducia che complica ulteriormente lo scenario dell'attacco. La reale capacità di reazione data dalla presenza ed efficienza di un team esperto, dedicato alla gestione degli incidenti, è un prerequisito essenziale per il contenimento delle conseguenze di un attacco.

La fiducia è un bene prezioso che deve essere tutelato adeguatamente
Tutti noi, soggetti individuali, società private e istituzioni pubbliche, abbiamo compiuto il grande passo della virtualizzazione dei rapporti. Questo passo si fonda sull'esperienza comune che, in questo modo, è possibile conseguire grandi vantaggi a fronte di rischi tutto sommato comparabili a quelli che si corrono nei rapporti “in person”. La fiducia però è un bene molto labile che deve essere costantemente difeso e tutelato. L'attacco a Diginotar ha mostrato in modo inequivocabile che la perdita di fiducia può rappresentare un moltiplicatore delle conseguenze negative di un attacco.

La domande da porsi a questo punto sono:
“Quante possibili Diginotar ci sono?” e, soprattutto, “Quante Diginotar ci saranno?”

Nessun commento:

Posta un commento

http://www.wikio.it