Regione Lazio, hanno sparato nel mucchio. “Nessun rischio per la privacy”

0 0

Attacco hacker alla Regione Lazio, l’incubo dei dati venduti alle case farmaceutiche (La Repubblica 8 agosto).

I dati sensibili di circa 5,8 milioni di residenti nel Lazio potrebbero essere in mano ai criminali (Il Fatto Quotidiano 10 agosto)

Sono solo alcuni dei titoli allarmanti che circolano in questi giorni su molti quotidiani a corredo di notizie imprecise che hanno generato panico in amministratori ed utenti. Il Lazio gestisce i profili sanitari di poco meno di 6 milioni di cittadini, tra i quali moltissime personalità: una per tutte il Presidente della Repubblica. Giustificata la preoccupazione ma l’allarme sembra infondato, come peraltro aveva spiegato già il 5 agosto l’Assessore alla Sanità D’Amato: “Tutti i dati relativi alle oltre 7 milioni di somministrazioni di vaccini eseguite sono in nostro possesso e nessun dato dell’Anagrafe Vaccinale Regionale è stato sottratto, come nessun altro dato sanitario, né del Fascicolo Sanitario Elettronico”.

Bisogna quindi fare attenzione a pubblicare notizie che possono generare inutili allarmismi. L’attacco ai sistemi informatici della Regione Lazio, incide in maniera significativa su milioni di cittadini specie in questo periodo di emergenza sanitaria. Col sistema in tilt non si possono prenotare vaccini, ma neanche richiedere visite specialistiche o certificati di morte. Come spesso accade però il panico viene alimentato anche da difetti di comunicazione e questo bisogna dirlo, è colpa, probabilmente involontaria, di chi scrive la cronaca degli eventi.

I cittadini residenti nella Regione temono che i propri dati riservati vengano resi pubblici. Cartelle cliniche, ricette, analisi del sangue, visite psichiatriche, servizi di assistenza e cura alle tossicodipendenze, consulenze psicologiche per adozioni, separazioni e divorzi, malattie sessualmente trasmissibili…insomma in quel marasma di dati, c’è di tutto e a preoccuparsi credo siano stati soprattutto i volti noti della politica e dello spettacolo. L’impatto sulla credibilità dell’Ente al quale i cittadini avevano affidato i loro dati sensibili è stato sicuramente notevole e credo abbia anche contribuito ad alimentare lo scetticismo in questa delicata fase vaccinazione di massa. Tranquillizziamoli: gli hackers, attaccando la rete, non hanno potuto fare un backup dei dati.

A spiegare nel dettaglio cosa in realtà sta accadendo e cosa hanno potuto fare gli Hacker Roberto Grigoletto, manager della sicurezza informatica di SSAEMEA di Londra, che in questo momento si sta occupando per un’azienda del nord Italia, già colpita nel 2020, dello stesso virus che ha “bucato sistema regionale”.

“Questo tipo di virus è chiamato ransomware – precisa il tecnico – È una crasi delle parole inglesi “ransom” (riscatto) e “software” (programma). Il virus in questione quando entra in un sistema informatico si comporta secondo uno schema prefissato. Innanzitutto genera una “chiave di crittazione” (che in seguito può spedire o meno all’hacker che l’ha inventato). Poi procede alla crittazione di tutti i files a cui può accedere: disco fisso, supporti esterni, qualsiasi risorsa di rete raggiungibile e scrivibile. Infine, comunica alla vittima la richiesta di riscatto generalmente tramite un file di testo che contiene le istruzioni di pagamento (solitamente in Bit Coin) per ricevere la chiave di crittazione e “liberare” i files.

Nel caso specifico l’attacco è stato un atto volontario, diretto volontariamente contro la Regione Lazio?

“Quasi mai accade che la vittima sia stata scelta. Il metodo di diffusione di questi virus è comunemente detto “sparare nel mucchio”. L’hacker spedisce decine di migliaia di mail “infette” ad altrettanti indirizzi che ha raccolto su internet. Ognuno tra questi destinatari che imprudentemente clicca su un link della mail, o apre un allegato infetto, rimarrà vittima del “ransomware”. Se anche solo uno tra i tanti decide di pagare il riscatto (che di solito parte dalle 600 €), per il pirata informatico questo è un guadagno e può ripetere l’operazione ogni giorno, con mail dal contenuto nuovo e verso destinatari diversi. Ovviamente quando un virus simile danneggia un privato, un piccolo esercizio commerciale o una piccola/media azienda non fa notizia – mi sto attualmente occupando di un caso simile – Se invece l’incauto destinatario stava usando un PC aziendale di un grosso ente statale o di una multinazionale – e se, come credo evidentemente in questo caso, non erano state prese specifiche contromisure per limitare i danni – il virus può diffondersi all’interno della struttura aziendale e causare disastri informatici da prima pagina e da milioni di Euro. Ma quasi mai si tratta di attacchi “mirati” o lungamente pianificati. È solo un “colpo fortunato”: sparando nel mucchio, ogni tanto una preda grande può statisticamente capitare.

Le aziende pagando il riscatto risolvono il problema?

Non è solo una questione morale che riguarda il “non finanziare” la criminalità, ma è’ anche una questione pratica e di risultato. Le primissime versioni di questi virus inviavano al loro creatore la chiave di crittazione, che a seguito del pagamento del riscatto veniva realmente inviata alla vittima, la quale poteva recuperare i propri files. Proprio grazie alla relativa tracciabilità dell’invio della chiave, gli originali creatori di tale virus furono localizzati, identificati ed arrestati. I loro successori si sono quindi “fatti furbi” e hanno cambiato tattica. Molte versioni moderne del “ransomware” non prevedono l’invio della “chiave” di crittazione all’autore del virus. Il rischio di essere identificati è troppo alto rispetto al vantaggio di ricevere un pagamento in Bit Coin (che – per sua natura – è invece quasi impossibile da tracciare). Gli hacker quindi ricevono comodamente il pagamento e spesso non sono nemmeno in possesso della chiave da rimandare alla vittima. In questo modo continuano a trarre profitto dalle loro operazioni, eliminano un elemento di rischio.

Come mai l’antivirus non ci protegge?

I ransomware non giungono alla vittima come “programmi eseguibili” (che sarebbero identificabili e neutralizzabili da un antivirus). La maggior parte delle volte giungono come un link cliccabile in una mail o come uno “script” (un file di testo che contiene delle istruzioni di installazione) che sono “invisibili” o “neutri” per un antivirus. Una volta aperti questi “cavalli di Troia”, effettuano delle operazioni per procedere all’installazione del virus vero e proprio, spesso neutralizzando in anticipo l’antivirus installato. Purtroppo siamo giunti in una nuova era delle minacce informatiche, in cui non ci si può più (se mai fosse stato possibile) affidarci ciecamente ad un sistema automatico di protezione: occorre che l’utente conosca i propri mezzi e sia in grado di decidere quali allegati aprire e su quali link cliccare. Non è difficile come sembra: è sufficiente verificare il mittente della mail (che spesso non è tra quelli conosciuti al destinatario), il contenuto della stessa (che spesso è scritto male o del tutto assente) ed eventualmente verificare con un contatto telefonico o elettronico la ricezione di una mail inattesa da un contatto noto. Mi piace fare un paragone con i sistemi di protezione delle abitazioni: posso avere il miglior e più avanzato antifurto al mondo, collegato alle forze dell’ordine e perfino dotato di offendicoli, ma se quando mi suonano alla porta di casa apro senza chiedere né guardare chi è, l’antifurto che ho installato non serve a nulla.

Come posso recuperare i miei dati in caso di attacco?

La risposta è purtroppo una sola: un backup integro e completo. I files vengono crittati con chiavi che sono composte da 256 caratteri casuali. Anche con un metodo “brute force” (che testa tutte le possibili combinazioni e prima o poi troverà quella giusta) le iterazioni possibili sono circa 100256 (cioè 1 seguito da 512 zeri). Un computer estremamente potente può metterci anni prima di “indovinare” la chiave corretta. In poche parole: i files crittati sono persi, per sempre. Questo – se mai ce ne fosse stato bisogno – sottolinea in modo inequivocabile l’importanza di implementare un sistema di backup solido e sicuro, calibrato sulle esigenze dell’infrastruttura informatica.

Alcuni temono che i dati sottratti possano essere spediti all’hacker e che quindi c’è il rischio che vengano diffusi su internet?

Nella stragrande maggioranza dei casi: no. È solo una “minaccia” aggiuntiva (in questo caso falsa) che il malintenzionato mette in campo per “invogliare” ancora di più la vittima a pagare. Il motivo è prettamente tecnico: la velocità di trasmissione dei dati e la quantità degli stessi. In un computer medio i files dell’utente possono ammontare a diversi GB. Quello su cui sto scrivendo ad esempio ha 289 GB di soli dati utente (se contiamo tutto il disco fisso siamo a 351 GB). La velocità massima a cui i dati possono essere spediti con una connessione italiana, è di 100 Mbps (100 mega bit al secondo). Nell’ipotesi di un collegamento estremamente stabile e sfruttando la totalità della banda disponibile, un ransomware impiegherebbe 6 ore e 53 minuti ad inviare i files all’esterno. Con una tipica connessione (ADSL privati asimmetrica) ci vorrebbero 1346 ore. Considerando che la maggior parte delle crittazioni da ransomware durano al massimo qualche ora (solitamente meno di 4), è matematicamente impossibile che il virus possa riuscire a inviare tutti i files, oltre che a crittarli (operazione che in sé è già è lunga da realizzare).

E tutto questo per i dati contenuti in un unico computer. Per fare un esempio aziendale: una realtà industriale media (circa 20 utenze) che ha subito un attacco ransomware nel 2020, aveva un server che conteneva 9 TB di dati. Sono stati tutti crittati irreversibilmente in 12 ore. Se gli stessi dati fossero anche stati inviati via internet l’operazione sarebbe durata almeno 214 ore (poco meno di 9 giorni!): al primo giorno di utilizzo gli utenti si sarebbero accorti del malfunzionamento dei files (come effettivamente successe) e si sarebbero persi solo il 8-9% dei files. Senza contare che internet sarebbe stata completamente intasata e rallentata per più di una settimana. Tutti campanelli d’allarme che avrebbero allertato anche il più inesperto dei responsabili informatici. In sostanza, per gli hacker implementare l’invio dei dati in concomitanza alla crittazione, oltre a aumentare enormemente il rischio di essere localizzati, significa incrementare moltissimo il tempo necessario per l’operazione, con la conseguente diminuzione sostanziale della possibilità di terminarla prima che venga bloccata, anche solo dallo spegnimento del PC infetto a fine giornata. Tutto deve avvenire velocemente e concludersi in un giorno lavorativo.

Cosa posso fare per proteggersi da attacchi futuri?

Le protezioni possibili sono tante, e devono essere utilizzate tutte e nel modo giusto:

  • Gli antivirus devono essere presenti, sempre funzionanti ed aggiornati. Ogni giorno un numero maggiore di antivirus (pur non potendo spesso bloccare il click sulla mail infetta) sono attrezzati per riconoscere l’eseguibile di crittazione e fermarlo o ostacolarlo.
  • La compartimentazione dei dati: una rete aziendale con dei permessi di lettura/scrittura ferrei e ben strutturati limita molto la diffusione e i danni del virus (che ovviamente non può crittare i dati per i quali l’utente infetto non ha specifici permessi di scrittura).
  • Per cui sono da evitare assolutamente quelle strutturazioni aziendali in cui tutti i dipendenti hanno accesso a tutto. Nemmeno il CEO dovrebbe avere il permesso di scrittura su tutti i dati. E il responsabile informatico dovrebbe avere due utenze: una con permessi solo sui sistemi per le operazioni di manutenzione ordinaria, ed una con i permessi sui dati da usare solo ed esclusivamente per il “Disaster Recovery”.
  • Un sistema di backup ottimamente strutturato e protetto anche fisicamente: solo un singolo utente su un singolo server (o un computer adibito al backup) deve poter accedere in scrittura ai dati del backup e in sola lettura, a tutti i dati da backuppare.
  • Il dispositivo di backup non deve mai essere in funzione 24/7 ma accendersi solo prima dell’effettuazione del backup e spegnersi immediatamente dopo.

Ovviamente, il punto più importante e troppo tralasciato (specialmente in Italia) è la cultura informatica. Gli utenti devono essere prudenti, informati, coscienti delle email che ricevono e possedere i pochi e chiari elementi per riconoscere una mail pericolosa e per evitare comportamenti potenzialmente dannosi. Siamo nel 2021 e questa formazione professionale non può più essere presa sottogamba: il prezzo è troppo alto.

Roberto Grigoletto conclude con una massima: Ricordarsi sempre che “Il miglior antivirus è seduto davanti al tuo computer”.

Claudio Loiodice – Presidente dipartimento Piemonte Associazione Nazionale Sociologi – criminologo


Iscriviti alla Newsletter di Articolo21