Ciao. In questo podcast, realizzato in collaborazione con Questar, proviamo a capire qualcosa in più del cybercrime. E cioè, come avviene concretamente un attacco. 

Cybercrime, cosa dice il rapporto Clusit 2019

Partiamo dal rapporto Clusit 2019 (il Clusit, come è noto, è l’Associazione Italiana per la Sicurezza Informatica): i dati in esso contenuti dicono che l’85% degli attacchi informatici avviene nell’ambito del cybercrime. Insomma, ha uno scopo criminale. Quegli attacchi, nei primi sei mesi del 2019, sono cresciuti dell’8,3% rispetto allo stesso periodo del 2018. Gli attacchi gravi sono stati, sempre nel primo semestre del 2019, 757: una media di 126 al mese e un tasso di crescita di +1,3% (sempre rispetto al periodo gennaio-giugno 2018).

A questa crescita non ne corrisponde una analoga sul fronte della tipologia d’attacco. In altre parole, i criminali informatici continuano a privilegiare malware, phishing e social engineering. E c’è un dato che emerge tra tutti: diminuiscono del 23,8% le tecniche sconosciute. 

Insomma, le tecniche per sferrare cyber attacchi sono praticamente sempre le stesse. Quel che evolve è la fantasia all’interno di esse: gli hacker giocano sull’originalità dei gesti di volta in volta compiuti, perché vogliono guadagnare credibilità agli occhi dell’utente umano e dei software di controllo. In pratica, cercano – riuscendoci – di non apparire sempre nello stesso modo, per essere di volta in volta ingannevoli ed efficaci.

Cybercrime: le vulnerabilità del sistema

Com’è intuitivo immaginare, le tecniche di attacco sfruttano le vulnerabilità del sistema. Che sono di due tipi: quelle presenti nel software e quelle determinate da errori umani. Piccolo inciso: alcune di esse sono introdotte apposta da chi produce il software per consentire successivi accertamenti da parte di enti di controllo.

Naturalmente, questi sono casi particolari: nei casi più diffusi, invece, le vulnerabilità del sistema nascono proprio al momento della programmazione, per l’assenza di una filosofia che guidi l’azione di chi programma, il quale pensa a far funzionare correttamente l’applicazione nei casi d’uso previsti, e non in quelli in cui l’utente, magari guidato ad arte dall’hacker, potrebbe fare qualcosa di non previsto. Manca quindi quella che potrebbe essere definita security-by-design.

Cybercrime: da dove comincia un attacco?

Ma da dove comincia un cyber attacco? Da gesti semplici: andare sul web e cliccare su un sito, aprire un PDF o un file di word. Comincia, in pratica, da ciò che facciamo tutti i giorni davanti a un computer e in modo estremamente naturale. Quelle operazioni sono il grimaldello che il criminale utilizza per sfruttare una vulnerabilità e far partire il proprio attacco. Che consiste, per esempio, nell’inserire un carattere particolare o uno script dentro un documento, magari di Word. Se uno di questi elementi riesce a sfruttare una vulnerabilità nota, ecco che parte l’attacco. 

L’hacker prende quindi possesso dell’applicazione, nel cui flusso di operazioni inserisce il payload, cioè l’applicazione malevola. Il payload può fare diverse cose: cifrare dei dati a scopo di estorsione (e in questo caso parliamo di ransomware). Oppure rubarli, quei dati e allora abbiamo il cosiddetto data breach. Il payload potrebbe essere un sistema di controllo remoto (il rat), potrebbe sfruttare le risorse di calcolo del sistema per generare criptovalute (e parliamo di cryptomining). Può rubarle, le criptovalute. Può dare il via a un attacco mirato persistente (un apt). Alcuni payload, infine, sono di tipo modulare. Praticamente permettono all’hacker di mirare con precisione attivando solo specifiche funzionalità del malware, adattandolo alle condizioni mostrate dal sistema. 

Cybercrime: come si previene l’azione degli hacker?

Dopo questa panoramica, è necessario chiedersi: come si previene un attacco informatico? La prima risposta è: riducendo la superficie di attacco, cioè l’area in cui l’hacker può agire. Questa misura può essere presa in diversi modi. Per esempio, gestendo in modo centralizzato e pianificato l’installazione delle patch per superare le vulnerabilità note. Oppure, implementando soluzioni antimalware che non solo individuino i tentativi di attacco, ma che sappiano anche analizzare analizzare il comportamento delle applicazioni. E poi, naturalmente, implementando soluzioni antispam efficaci – è noto che moltissime minacce vengono trasmesse con una mail, anche se è una PEC. Infine, con un’adeguata formazione del personale sulla sicurezza informatica. 

E nel podcast scoprirai anche gli altri aspetti sui quali lavorare
per avere un protezione efficace dall’azione del cybercrime 

APPROFONDIMENTI