Cybersecurity: Il canto del cigno nero

In questi giorni assistiamo allo spettacolo del portacontainer “Ever Given” che con la sua mole sta ostruendo il canale di Suez, canale fondamentale per il commercio e trasporto di materie prime.

Anche se può sembrare banale, dobbiamo sapere che da questo canale transita circa il 12% del mercato mondiale; se poi analizziamo i numeri sul mercato italiano vedremo che qui incide per circa il 40% del nostro mercato. Il canale rappresenta uno snodo cruciale dall’Asia all’Europa dove transitano circa il 30% dei container che tradotto in numero di navi è circa 19.000.

L’impatto a livello mondiale è pesante, si stima sia di circa 9,6 miliardi al giorno. Una tempesta di sabbia potremmo dire con effetti globali.

Sempre in questo nuovo anno molti di noi hanno letto e appreso attraverso i media e anche dal tweet del fondatore di OVH, Octave Klaba, l’annuncio del disastroso incendio nel datacenter di Strasburgo che ha fatto fare un brusco risveglio a tutti quelli che pensavano che i dati nel Cloud sono al sicuro e disponibili sempre, in una sorta di eternità digitale. Così molte piccole aziende hanno visto andare in cenere i loro dati, ma anche società operanti nel settore della sicurezza e dell’editoria sono rimaste off-line ed insieme a loro gli appassionati di scacchi per l’interruzione del servizio a causa del rogo del datacenter.

Globalizzazione e connettività diffusa stanno rendendo le catene di approvvigionamento più complesse ed amplificano l’impatto di qualsiasi problema, senza contare la continua spinta al miglioramento dell’efficienza e la riduzione dei costi operativi.

Stare tra nuvole non è sempre un male

In Marzo Microsoft annuncia vulnerabilità nella suite di mail e calendario di Exchange Server, vulnerabilità che risalgono a 10 anni fa che sono state sfruttate da hacker cinesi. La società americana ritiene che le attività di attacco siano state condotte dal gruppo Cinese Hafnium.

La notizia mette in allarme rosso i dipartimenti IT di mezzo mondo, obbiettivo applicare le patch e mettere in sicurezza i propri server, purtroppo l’operazione richiede tempo, questo aspetto viene illustrato chiaramente dalla società Netcaft che dopo alcuni giorni registra che ancora oltre 90.000 server on line non hanno le patch installate. Le vulnerabilità, quando sfruttate, avrebbero permesso l’accesso al server Exchange permettendo poi quella che viene chiamata una web shell¹ per controllare il server compromesso.

Al momento non ci sembrano essere collegamenti con il caso SolarWinds, tuttavia non si può fare a meno di notare che il tutto va in scena a meno di tre mesi del ritrovamento di contenuti malevoli nel software Orion della società SolarWinds.

Una questione di fiducia

Altro attacco che ha messo a dura prova la nostra resilienza è quello subito dalla società SolarWinds. Questa è una soluzione per la gestione delle reti che ha nel suo portafoglio di offerta un’ampia gamma di strumenti per gestire reti complesse, una di queste è l’applicazione Orion.

Il punto principale che deve farci riflettere è che gli hacker sono riusciti ad introdurre del codice malevolo in Orion mentre veniva compilato e quindi inserirsi nel programma in modo che questo sembrasse codice legittimo con tanto di autorizzazione supportata da un certificato di sicurezza, ingannando così tutta la catena di fiducia. A questo punto la soluzione così compilata appare come un prodotto legittimo SolarWinds e siccome la suite Orion è uno strumento di gestione della rete, richiede l’accesso root a tutti i tuoi server, workstation e dispositivi di rete in modo che possa implementare le modifiche.

È quindi evidente che chiunque controlli il malware ha pertanto il pieno accesso root a ogni dispositivo gestito da SolarWinds che utilizza Orion.

Il resto è storia. SolarWinds ha affermato che, dei suoi oltre 300.000 clienti, circa 18.000 avevano scaricato l’aggiornamento di Orion durante il periodo marzo-giugno 2020. Il malware ha operato in modo furtivo esfiltrando presumibilmente proprietà intellettuale preziosa, dati riservati e proprietari, e-mail e altre informazioni critiche dai sistemi delle vittime. Secondo FireEye, una volta installato in un sistema, il malware è rimasto silenzioso per circa due settimane e poi si è mascherato come protocollo Orion Improvement Program, memorizzando i dati delle sue attività interne nei file SolarWinds rendendo difficile il rilevamento. L’ex segretario di stato Mike Pompeo ha attribuito, in una intervista, l’attacco cibernetico alla Russia.

Il grande finale

Altra problematica che ha investito molte organizzazioni è stata quella relativa all’incidente di Qualys (una delle primarie aziende nella fornitura di soluzioni di gestione delle vulnerabilità) utilizzando la modalità “software as a service” (SaaS). La fuga di dati sarebbe da attribuirsi al ransomware Clop. I dati sono stati pubblicati su una pagina Tor e includerebbero: ordini, fatture, preventivi e alcuni report di scansioni.

In un mondo che ormai vede il software come attore principale, le catene di fornitura del software, dallo sviluppo alla produzione, agli aggiornamenti, deve entrare nel perimetro dei controlli di sicurezza. Gli avversari possono iniettare codice malevolo tramite aggiornamenti automatici, avvelenare una rete con malware clandestino attraverso una backdoor o utilizzare diversi modi per violare un’organizzazione.

Se l’infrastruttura utilizzata per fornire il software o il software stesso viene violata, il danno è fatto.

Conclusioni

In questo anno di pandemia fatto di chiusure e contagi che hanno intaccato anche la capacità produttiva, tutte le aziende hanno realizzato che il miglioramento della resilienza aziendale è fondamentale per rimanere competitivi, per poter mantenere la fiducia del mercato e, non ultimo, sostenere la stabilità finanziaria.

Una visione della resilienza più orientata ai servizi critici che orientata ai singoli sistemi e/o applicazioni, considerando anche le interconnessioni con gli altri attori del mercato. Su questa tematica occorre implementare il concetto di end-to-end, ovvero mappare le risorse critiche tra le persone, i processi, i dati, le strutture e, oltre all’ecosistema interno, occorre comprendere e includere anche le terze parti critiche.

In questo contesto non c’è quindi da stupirsi se quegli eventi “cigno nero”, oggi sembrano quasi regolari. Questo non significa automaticamente un incremento nella frequenza, ma sottolinea come, in un ambiente interconnesso a livello globale, problemi che un tempo restavano isolati oggi hanno ripercussioni su larga scala.

Le organizzazioni devono cimentarsi con questa nuova sfida che deve rivedere il concetto di rischio sulla catena di approvvigionamento includendo la componente cyber e gestirne l’esposizione in modo da proteggere il valore del proprio business e la loro reputazione.

¹ Una web shell è un’interfaccia maligna basata sul web che permette l’accesso remoto e il controllo di un server web consentendo l’esecuzione di comandi arbitrari.