Il WEB è diventato un luogo pericoloso? Ecco come possiamo difenderci

Siamo completamenti immersi nel Web, che coinvolge ogni momento della nostra vita sia personale che professionale. Internet è diventata il motore della “terza rivoluzione industriale”, generando opportunità di crescita e sviluppo impensabili fino a pochi decenni fa.
Inevitabilmente il business creato dalla rete non poteva non avere - come in tutte le attività umane - qualche “effetto collaterale” negativo. Stiamo parlando evidentemente del Cyber Crime che in questi ultimi anni ha assunto dimensioni impressionanti.
Pochi ma significativi dati possono illustrare questa affermazione:
• Nel solo 2015 sono andati persi nel mondo 445 miliardi di dollari per salvaguardare la proprietà intellettuale, per i lavori bruciati e per il tempo speso a rimediare i danni del crimine informatico. Il 97% delle 500 aziende più ricche del mondo secondo Fortune hanno subito almeno un attacco informatico. (cit. Peter Warren Singer).
• Il peso del Cybercrime nell’economia mondiale è stimato in 650 miliardi di dollari nel 2016. Gli analisti prevedono che tale valore arriverà a 1.000 miliardi di dollari nel 2020.
• Il “fatturato” del Cybercrime sta superando a livello mondiale quello del traffico di DROGA.
• Nei soli Stati Uniti il costo del crimine fisico (tradizionale) è stimato in $ 177.442.315.780 all’anno, mentre il costo del CyberCrime si stima che sia poco più basso: $ 100.000.000.000 all’anno.

Davanti a questi dati ci rendiamo conto tuttavia che le minacce cyber non possono certamente essere affrontate rinunciando alle potenzialità offerte dai sistemi informatici e dalla loro interconnessione in rete, perdendo quindi l’aumento della produttività ed efficienza che l’informatizzazione porta con sé.
I problemi sono particolarmente seri per le PMI e per gli studi professionali che, a causa della loro dimensione, non possono dotarsi di una struttura IT interna, dovendo piuttosto affidarsi a consulenti esterni spesso “improvvisati”.

Perché la Cyber Security è diventata così importante
Oggi i dati sono un asset aziendale vitale (“senza i propri dati un’azienda non è più nulla”), ma nella maggior parte dei casi non si ritiene utile investire in Cyber security.
Purtroppo manca quasi completamente la percezione che: “Non è necessario essere un BERSAGLIO per diventare una VITTIMA (di un cyber attacco)”. In realtà i cyber criminali quasi sempre portano attacchi non mirati (così come i ladri che entrano in una casa senza neppur sapere cosa porranno trovare… ma intanto entrano).
È infatti molto diffuso l’affermazione: “Ma cosa ci guadagnano ad attaccare proprio il mio computer? Non c’è nulla che possa interessare…”.
La risposta in realtà è molto semplice: I TUOI DATI.
Questa frase è la madre di tutti i problemi della cyber security, perché tale approccio è estremamente pericoloso per un’azienda, ma è sbagliato anche da parte di un semplice utilizzatore di computer (come tutti ormai siamo): ritenere di non essere un bersaglio appetibile significa non pensare alla sicurezza dei propri sistemi informatici e quindi diventare di fatto un bersaglio facile.
Questo è un concetto essenziale che io spiego così: “Non importa chi sei, non importa cosa fai, non importa con cosa lo fai, prima o poi ti attaccheranno”. In altre parole: la questione non è “SE” mi attaccheranno, ma “QUANDO”.
Quindi occorre organizzarsi per quella che si definisce la “Mitigazione del Rischio”. Ridurre al minimo il rischio di subire un attacco e saper cosa fare per recuperare i dati quando, nonostante tutte le nostre precauzioni, l’attacco ci ha colpito.

Gli strumenti informatici sono importanti, ma il punto debole è sempre l’essere umano (il fattore “H”) che con il suo comportamento può rendere inefficace qualsiasi strumento di difesa.
Gli hacker ci attaccano sfruttando le debolezze umane (il “social engineering) ed utilizzando i Social media, che noi tutti frequentiamo, non sempre con le dovute attenzioni.
Anzi, è noto che nei social media le persone abbassano la guardia, convinte di trovarsi in un ambiente amichevole. Ma purtroppo non è così, perché è proprio attraverso i social che vengono portati gli attacchi e le truffe più subdole.
Anche i dispositivi mobili sono diventati un facile bersaglio: oggi il traffico da mobile ha superato (a livello mondiale) il traffico da fisso, quindi anche il cyber crime si è introdotto pesantemente in questo ambiente, perché può trovare tanti e facili bersagli da colpire.
Un altro punto debole è rappresentata dall’uso di password non sicure: è noto che è una delle principali cause (63%) della violazione e del furto dei nostri dati.
Non serve essere dei “geni dell’informatica” per riuscire a difendersi: basta acquisire la consapevolezza dei rischi e saperli riconoscere. In una parola: “usare la testa”. Vediamo ora come fare.

La minaccia ai dati aziendali arriva dall’interno
Il dipendente può diventare, anche se inconsapevolmente, un anello debole nella catena della sicurezza, esponendo l’azienda a rischi maggiori, e fornendo agli hacker più intraprendenti dei possibili punti di ingresso per il furto dei dati sensibili.
Secondo il “IBM 2015 Cyber Security Intelligence Index”, il 55% degli attaccanti è costituito da “insiders” (interni all’azienda) e, di questi, circa la metà (23,5%) sono attori involontari dell’attacco.
Occorre perciò promuovere la cultura della sicurezza in azienda. Invece si spende mediamente di più in tecnologie, mentre si tralasciano aspetti legati al “fattore umano” (awareness). Il fattore umano viene ulteriormente esacerbato dal problema che la sicurezza e le sue "policy" sono percepite come orpelli, atti a ritardare e controllare il dipendente.

Il crimine informatico ed i Ransomware
Il rapporto CLUSIT 2016 evidenzia una crescita del 30% nel 2015 rispetto all’anno 2014 del crimine informatico in Italia.
Le principali modalità di attacco sono oggi: Ransomware, Attacchi DDoS, Spionaggio informatico.
Ma oggi è soprattutto il Ransomware la minaccia che colpisce con maggior virulenza qualsiasi persona ed azienda che abbia un collegamento internet. Le PMI e gli studi professionali sono tra i più attaccati, proprio perché ritenuti maggiormente vulnerabili.
E i danni possono essere enormi: abbiamo casi di aziende che, a causa di un attacco ransomware, hanno subito la perdita totale dei propri dati e sono state costrette alla chiusura!

Ransomware: cosa sono?
Questa “invenzione” dei moderni hackers è apparsa nel 2013 con il primo malware che aveva il nome di Cryptolocker. A questo “capostipite” ne sono seguiti negli anni seguenti molti altri tipi, sempre più aggressivi e raffinati, con una crescita esponenziale che ancora continua. Nel solo 2016, sono state scoperte 62 nuove famiglie di ransomware, 47 delle quali sviluppate da cybercriminali russi.

Tecnicamente si tratta di un Trojan horse crittografico, che cripta tutti i file del computer attaccato e - cosa ancora più grave - di tutti quelli collegati in rete. Lo scopo è uno solo: ESTORSIONE. Viene poi richiesto un riscatto (Ransom significa appunto “riscatto”) per poter decrittare e recuperare i files: questo va da poche centinaia di euro (da pagare in Bitcoin), fino a diverse migliaia, da pagarsi entro un tempo stabilito (in genere 72 ore) attraverso la rete TOR (The Onion Router) che garantisce l’anonimato ai cyber criminali. È importante essere consapevoli che, anche pagando il riscatto, non abbiamo nessuna garanzia di riavere indietro i nostri dati (stiamo trattando con dei criminali, non dimentichiamolo!). Le statistiche ci dicono che solo nell’80% dei casi, i dati vengono restituiti.
L’85% delle vittime di ransomware risiede in Europa o negli Stati Uniti (fonte McAfee). L’Italia è tra i Paesi più colpiti a livello mondiale e tra i primi in Europa per numero di attacchi (fonte Trendmicro e Symantec).
La consapevolezza che il crimine informatico può offrire guadagni facili - e con bassissimo rischio - ha creato un fenomeno che ritengo particolarmente inquietante: il “Ransomware-as-a-Service” (RaaS). Oggigiorno nel Dark Web vengono offerti software Ransomware che chiunque può “acquistare”, personalizzare e diffondere per infettare vittime, criptare i loro documenti e chiedere un riscatto in bitcoin. Il rischio del Ransomware-as-a-Service è che questo tipo di minacce diventino fin troppo facili da sfruttare per chiunque, abbassando la soglia di accesso al cyber crime.

Ransomware: come attaccano e come difendersi
Oltre il 75% dei vettori di attacco è legato ai messaggi di posta elettronica. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate o, addirittura dalla “Procura della Repubblica”!
Sono evidentemente email di phishing, ma le statistiche ci dicono che nel 30% dei casi questi messaggi vengono aperti dagli utenti ed addirittura nel 13% vengono cliccati anche gli allegati e i link presenti nelle email permettendo così l'infiltrazione del malware! Come è possibile?


Grazie al “Social Engineering” che si potrebbe icasticamente definire come: “Fregare il prossimo con la psicologia”.

Il Rapporto CLUSIT 2017 riporta un dato veramente preoccupante: gli attacchi compiuti con tecniche di Phishing e Social Engineering sono cresciuti in un anno (2016 rispetto a 2015) addirittura del 1.166%.
Il Social Engineering è fatto apposta per aggirare Antivirus, Firewall e fare leva sulle debolezze e sulla curiosità delle persone. Scopo degli aggressori è indurre l'utente a fidarsi del contenuto del messaggio e quindi eseguirne i comandi. E purtroppo funziona…
Per evitare truffe di questo tipo, quindi, non ci si deve fidare mai dei link contenuti all'interno dei messaggi, perché possono essere falsificati in mille modi.

Quanto esposta ci porta ad alcune importanti conclusioni:
• In ogni cyber attacco c’è sempre almeno un ERRORE UMANO (il ransomware non può agire senza una nostra azione che glielo permetta).
• I sistemi Antivirus installati non sono sufficienti a difenderci (è ormai noto che gli antivirus “tradizionali” non sono più in grado di bloccare i ransomware più aggressivi, a causa del fenomeno noto come “polimorfismo” dei malware).
• Non sottovalutare fattore umano: è importante formare il personale a tutti i livelli. L’errore di una sola persona può compromettere i dati di tutta l’azienda.
• In sintesi: Il miglior Anti-Phishing è sempre l’UTENTE.

A questo punto, vediamo le principali regole pratiche per evitare i ransomware. Sono quelle che illustro nei miei corsi di cyber security e che qui riassumo brevemente:
1. Non aprire mai gli allegati di email di dubbia provenienza.
2. Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati falsificati, secondo la tecnica nota come “spoofing”).
3. Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows.
4. Disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni. È noto infatti che uno dei metodi più facili per infiltrare un malware nei computer di un’azienda consiste nel confezionare chiavette USB con all’interno un malware e fare in modo che qualcuno le trovi: ci sono ottime probabilità che quel qualcuno, spinto da un’imprudente curiosità (anche questo è social engineering!) inserisca la chiavetta nel suo computer, attivando il malware.
5. Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint), perché le macro sono, a tutti gli effetti, dei programmi. Se contengono istruzioni malevole, possono infettare il computer dove si eseguono.
6. Fare attenzione a non cliccare su banner in siti non sicuri. Si rischia di essere reindirizzati su siti malevoli, secondo la tecnica del “Drive-by dowload”.
7. Fare Backup frequente dei propri dati. Questa è l’unica “ancora di salvezza” se i nostri dati sono stati criptati.
8. Utilizzare password univoche e complesse.
9. Aggiornare sempre i sistemi operativi ed i browser, non appena vengono rilasciati gli aggiornamenti (che servono anche e soprattutto per riparare alle vulnerabilità dei sistemi).
10. Evitare il jailbreak di dispositivi iOS e il rooting di quelli Android.
11. Utilizzare account senza diritti da amministratore, oppure usarli per lo stretto necessario.
12. Installare servizi Antispam efficaci ed evoluti.
13. Creare reti aziendali “Guest” per ospiti e visitatori.

Proteggere i propri account con password forti
Oggi ciascuno di noi ha molti account: Internet Banking, Carte di Credito, Account Aziendali, Account Email, ID Apple o Account Google (collegati agli smartphones), Servizi Cloud, Social Network e molti altri.
Questi account fanno gola agli hackers: vederseli violati significa farsi rubare i propri dati, avere un danno reputazionale (molto grave per le aziende) ed addirittura subire un furto d’identità. Quest’ultimo è un problema serio, ma molto sottovalutato: secondo l’osservatorio CRIF i casi di furto di identità e successiva frode finanziaria in Italia sono stati, nel solo 2014, più di 25.000 per una perdita economica pari a 171 milioni di euro. Vittima del furto d’identità può risultare anche un’azienda con ricadute economiche, legali e soprattutto reputazionali.


Ma in troppi casi siamo noi stessi a “lasciare la porta aperta agli hacker”. Come? Usando password deboli ed insicure. E, errore ancor più grave, utilizzando sempre la stessa password per servizi diversi.
L’indagine di Spash Data sulle password più usate nel mondo ci mostra risultati imbarazzanti:

Si aggiunga che oggi gli Hacker hanno mezzi molto potenti, in grado di provare miliardi di password al secondo. Quindi le nostre “password” verranno scoperte in tempi brevissimi. Particolarmente pericolosa è la violazione degli account email, perché attraverso questi i cyber criminali possono avere accesso a molti altri nostri account.
Ma bastano pochi accorgimenti per proteggersi da questo rischio: aumentando il numero ed i tipi dei caratteri usati nelle password, il numero di combinazioni cresce in modo ESPONENZIALE, rendendo praticamente impossibile scoprire - in tempi ragionevoli - una password.

Le buone regole per una password sicura
Si tratta di regole semplici, alcune addirittura ovvie. Ma nella mia esperienza di formatore ho potuto constatare come ben poche persone le mettano in pratica, esponendo i propri account a rischi importanti.

1. SEMPRE DIVERSA: non utilizzare la stessa password in account diversi (“non puoi evitare che il tuo provider venga violato, ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password”).
2. LUNGA: utilizzare almeno dodici caratteri.
3. MISTA: usare lettere maiuscole e minuscole, numeri e caratteri speciali.
4. SENZA SENSO: non utilizzare nomi, parole o parti di parole che possono essere ritrovati automaticamente in un dizionario.
5. Attivare - dove possibile - l’Autenticazione a due fattori (MFA: Multi-Factor Authentication). Questo sistema eleva notevolmente la sicurezza dei propri account ed oggi tutti i principali servizi (Dropbox, Google, Microsoft, LinkedIn, Twitter, Yahoo, PayPal, Amazon, ecc.) lo prevedono, ma sta a noi attivare l’opzione.
6. Evitare assolutamente Password contenenti:
• Parole presenti su un dizionario in qualsiasi lingua.
• Sequenze o caratteri ripetuti (Esempi: 12345678, 222222, abcdefg, o lettere adiacenti sulla tastiera qwerty).
• Parole scritte al contrario, errori comuni di ortografia e abbreviazioni.
• Modificazioni ovvie alla password.
• Informazioni personali o di familiari: nome, compleanno, numero di patente e di passaporto o informazioni analoghe.

...continua la lettura nel pdf


Giorgio Sbaraglia. Ingegnere, ha ricoperto per molti anni la funzione di Direttore Acquisti presso una grande società di costruzioni e, precedentemente, presso aziende metalmeccaniche e manifatturiere. Appassionato e conoscitore dei temi di sicurezza informatica in azienda, svolge attività di consulenza aziendale ed in collaborazione con diverse società di formazione, tiene corsi di formazione in materia di Cyber Security.
È membro del CLUSIT (Associazione Italiana per la Sicurezza Informatica).
www.giorgiosbaraglia.it