12 Novembre 2014

Radio Punto Zero e Isis: perchè non bisogna allarmarsi

el sunto "L'episodio in sé può non destare preoccupazione, a mio avviso. È però un sintomo di una scenario da tenere d'occhio"

Due giorni fa il caso del sito di Radio Punto Zero attaccato dagli hacker con frasi inneggianti l’Isis. Abbiamo intervistato Eric Medvet, ricercatore di Ingegneria Informatica all’Università di Trieste, dov’è professore aggregato e coordinatore del consiglio di Corso di Studi della Laurea Magistrale in Ingegneria Informatica. Il gruppo di ricerca del quale fa parte, operante nel Machine Learning Lab presso il Dip. di Ingegneria e Architettura, si occupa, tra l’altro, di web security. Medvet e il suo team sono tra i maggiori esperti mondiali nelle tecniche di rilevazione automatica dei defacement, argomento sul quale vantano diverse pubblicazioni sul riviste scientifiche internazionali.

Tecnicamente, cos’è successo esattamente?
Questo tipo di attacco informatico è noto con il nome di web site defacement. Il defacement, similmente a quanto avviene con il corrispondente atto reale, cioè fuori dal web, consiste nel vandalizzare una o più pagine su un sito web, con lo scopo principale di diffondere un messaggio. Spesso un’ulteriore motivazione dell’attaccante è semplicemente la dimostrazione delle sue capacità tecniche, che viene amplificata tramite l’apposizione su bacheche specializzate di una pubblicità dell’attacco compiuto.
È importante sottolineare che, nella stragrande maggioranza dei casi, i defacement vengono messi in atto utilizzando strumenti quasi totalmente automatici (una sorta di kit dell’attaccante). Con un simile strumento, l’attaccante innanzitutto compie una ricerca su vasta scala per individuare le migliaia di siti web che condividono una stessa problematica (falla, bug, mancato aggiornamento); secondariamente prova a sfruttare la problematica per mettere a segno l’attacco. Questi kit si trovano in vendita sul mercato nero degli attacchi informatici per poche decine di dollari.
Quindi, nel caso tipico di un attacco di questo tipo, è improbabile che l’attaccante abbia preso in considerazione quale fosse il sito attaccato; l’attaccante potrebbe addirittura ignorare del tutto di che sito si tratti: bisogna infatti pensare che si parla di attacchi a migliaia di pagine in contemporanea.
Certo, esistono casi significativi di defacement mirati a specifici siti web: si contano però sulle dita di una mano.

C’è il modo di stabilire da dove è partito l’attacco?
Un pool di investigatori tecnicamente preparati e dotati di opportune risorse può certamente risalire all’origine geografica dell’attacco. Riuscire a colpire veramente l’attaccante (o i committenti) potrebbe essere più difficile, visto che potrebbe richiedere il coinvolgimento di altri Paesi. In questi casi, i tempi tra virtuale (aspetto tecnico) e reale (aspetti giuridici) sono veramente differenti.

È credibile il coinvolgimento dell’isis? quale sarebbe lo scopo? quale il vantaggio?
È più realistico pensare che l’attaccante in questione abbia “solo” qualche simpatia per quell’organizzazione. Difficile credere che siano state investite delle risorse per attaccare un sito web di un’emittente radiofonica locale: eventualmente potrebbe esserci una quota di budget per “operazioni di marketing” via web, che membri o simpatizzanti dell’Isis potrebbero aver impiegato in atti come questo o nella preparazione e diffusione di contenuti video “promozionali”.

Quindi la scelta del sito da attaccare è stata casuale? Come difendersi dunque?
Come ho già detto, per la natura i questo tipo di attacco informatico, il ruolo del target è secondario. I numeri in gioco sono veramente alti. In uno studio ormai non così recente (2007), redatto dal gruppo di ricerca nel quale opero e pubblicato da un’importante rivista internazionale, abbiamo rilevato che ci sono quasi mezzo milione di defacement all’anno. Una grandissima parte di questi colpisce “piccoli” siti, gestiti con poche risorse, spesso in maniera amatoriale. Proprio per questo motivo, spesso un defacement non viene rilevato prima di qualche giorno dal suo compimento: più del 50% non prima di una settimana.
Per quanto riguarda le contromisure, bisogna rapportare il discorso alle effettive risorse in gioco. In termini assoluti, un attaccante motivato, preparato ed adeguatamente munito di risorse è molto difficile da fermare; d’altra parte, un’organizzazione con le adeguate risorse può dotarsi di un’infrastruttura informatica solida e difficilmente attaccabile. Ma qui stiamo parlando di piccoli siti, di piccole organizzazioni: il punto qui non è solo evitare l’attacco, ma scoprire subito che è avvenuto, per poter così rimediare e limitare i danni. Il danno d’immagine, infatti, è tanto maggiore quanto più lunghi sono i tempi di rilevamento. I danni tecnici (perdita dati e simili) sono spesso irrisori o addirittura assenti.

Un hacker con un “attacco” del genere può avere accesso a dati sensibili nel sito, qualora vi fossero? Pensiamo ad esempio al caso di un sito con dati bancari o anagrafici.
Dipende da come è fatto un sito web. Se è fatto bene, cioè se la parte web (cioè quella che cura come i contenuti sono esposti al pubblico) è opportunamente disaccoppiata dalla parte della logica di applicazione e dai dati, e se è correttamente manutenuto, allora un attaccante potrebbe riuscire a colpire solo l’aspetto esteriore di un sito, non il resto. Va detto, però, che difficilmente un attaccante che mira a reperire dati bancari da una certa organizzazione realizzerebbe contemporaneamente un defacement sul sito di questa organizzazione: sarebbe come un ladro che, irrompendo in una banca per una rapina, si soffermasse a fare dei graffiti sulle vetrine della stessa.

Forse i più suscettibili ricordano ancora war games, un ragazzino che con un modem rischia di scatenare una guerra mondiale. Un episodio come questo può destare preoccupazione? Quali sono gli scenari che possiamo aspettarci?
L’episodio in sé può non destare preoccupazione, a mio avviso. È però un sintomo di una scenario da tenere d’occhio: l’informatica e la tecnologia in generale hanno oggi, e lo avranno sempre di più, un ruolo primario e pervasivo nella società. Non è opportuno che la società continui a ritenere queste discipline accessorie, relegandole ad una apparizione marginale nel sistema educativo, nell’informazione e nella ricerca. Inoltre, il tessuto imprenditoriale italiano, e del nord est in particolare, fatto di piccole aziende con scarsa propensione all’innovazione ed all’aggiornamento tecnologico, non può che essere particolarmente vulnerabile a questo tipo di problematiche.

Tag: , , .

Un commento a Radio Punto Zero e Isis: perchè non bisogna allarmarsi

  1. 1v4n0 ha detto:

    Comunque tra R.0 e l’IS non so chi sia maggiormente nemico dell’umanità 😀

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *