Internet e sicurezza, se anche il crimine punta alle cose

Supponiamo che siate a bordo di una macchina senza pilota, a godervi un martini con la vostra fidanzata mentre guardate l’ultimo episodio del Trono di Spade. Avete appena superato piazza della Repubblica, a Roma, e a un tratto vi accorgete che qualcosa non va, che vi state a dirigendo a tutta velocità verso la folla. Un tranquillo sabato pomeriggio si trasforma in tragedia, con decine di morti e feriti. Cracker affiliati all’Isis sono riusciti a forzare la connessione dell’auto e a prenderne il controllo.

Lo scenario è volutamente esagerato, ma non si può considerare del tutto impossibile in un futuro relativamente vicino. Sergey Kravchenko, buisiness development manager di Kaspersky Lab (azienda russa specializzata in software per la sicurezza informatica), ha spiegato, in un’intervista a Cyber Affairs, che al netto dei vantaggi delle auto “connesse” – dai consigli sulla strada più veloce da imboccare fino alla ricerca del brano preferito su spotify – “esistono delle vulnerabilità che possono essere sfruttate dagli hacker”. “Sono a tutti gli effetti dei computer su due ruote. Di conseguenza – ha proseguito Kravchenko – le si espone alle stesse minacce informatiche che prendono di mira i Pc”. Ransomware e malware, compresi.

L’internet delle cose sta portando con sé una rivoluzione del nostro modo di pensare gli oggetti e i luoghi, aprendo infinite possibilità ma anche nuovi rischi. Abitazioni private, scuole, ospedali, caserme di polizia: un giorno sarà tutto connesso e per questo la sfida della cybersecurity diventa decisiva per qualunque Paese del mondo.

Le minacce intanto crescono a vista d’occhio. I primi sei mesi del 2017verranno ricordati come il semestre nero della sicurezza digitale. Secondo il Rapporto Clusit, l’Associazione italiana per la sicurezza informatica, la metà delle organizzazioni mondiali ha subìto almeno un attacco grave nel corso dell’ultimo anno e con ogni probabilità ne subirà un altro nei prossimi mesi. Nel 75% dei casi i pirati colpiscono per estorcere denaro, ma si è assistito a un vero e proprio boom dello spionaggio cybernetico (+126%).

Si assiste a questo exploit di attacchi essenzialmente per due motivi: si continuano a sottovalutare i rischi e si sono moltiplicate le prede: non più solo computer, ma anche smartphone, tablet, spazi cloud e, come dicevamo prima, qualunque altra struttura connessa (dalle auto fino alle abitazioni).
Tra gli errori più diffusi vi è quello di considerare affidabili le reti wi-fi gratuite. Basti pensare che i criminali più esperti attraverso un attacco informatico denominato Krack (Key reinstallation attacks) possono aggirare persino quelle “chiuse” con il sistema di protezione WPA2 – il protocollo di crittografia più utilizzato per difendere le reti Wi-Fi – e immettere dati dannosi nella connessione.

Sulla questione, il 12 settembre scorso due deputati italiani, Aris Prodani e Walter Rizzetto, hanno presentato un’interrogazione – ad oggi senza risposta – indirizzata al presidente del Consiglio dei ministri, al ministro dell’Interno e al ministro dello Sviluppo economico per conoscere quale strategie sta adottando il Governo contro la criminalità informatica e se sia allo studio “una disciplina” volta “a stabilire le responsabilità dei gestori delle rete gratuite in caso di furto di dati sensibili”.

Nella domanda, Prodani e Rizzetto riprendono l’analisi di Andrea Zapparoli Manzoni, uno degli autori del già citato rapporto Clusit: “in hotel, in treno, in stazione, al bar, negli stabilimenti balneari occorre prestare attenzione alle reti wi-fi free. Spesso non sono criptate e quindi non protette, e sono anche configurate in modo ‘light’ dal punto di vista della sicurezza. Può capitare che siano state compromesse da malintenzionati, con il fine di spiare le comunicazioni di chi vi si collega. Quando possibile vanno evitate se non si è ragionevolmente certi che siano gestite in modo sicuro”.

Ne ha scritto anche La Nazione che ha riportato – si legge nell’atto parlamentare – il parere dell’avvocato Massimo Simbula, legale dell’Osservatorio sardo sul cybercrimine: “Non bisogna collegarsi alle reti ‘aperte’ che non sono WPA2, occorre attivare delle forme di protezione locale nei propri dispositivi che bloccano tutte le connessioni non indirizzate verso internet; è opportuno creare una Virtual private network, ossia una sorta di tunnel tra il device e il server dentro cui il traffico dei dati è coperto”.
La Vpn, particolarmente diffusa nei Paesi dove internet è limitato dalla censura governativa, Cina e Turchia su tutti, è un genere di connessione in grado di garantire perfettamente l’anonimato. In pratica l’indirizzo Ip del computer viene mascherato e si mescola ‘tra la folla’, cioè tra tutti gli altri utenti di Vpn: così è impossibile scovare il luogo esatto da cui l’utente è collegato alla rete.

L’ostacolo più grande per proteggere i nostri dati è però uno solo: noi stessi. Le aziende non sono affatto un buon esempio. Investono solo quelle più grandi, mentre le Pmi rimangono minoritarie. Stando ai dati dell’Osservatorio Polimi, inoltre, solo il 39% dei big player ha un piano di investimento con orizzonte pluriennale e meno della metà ha in organico in modo formalizzato la figura del Chief information security officer.

L’Italia, per correre ai ripari, ha approvato nei mesi scorsi il Piano nazionale per la protezione cibernetica che, semplificando molto, si muove lungo due direttive: da una parte migliorare le infrastrutture tecnologiche di istituzioni pubbliche e grandi imprese; dall’altra mira a diffondere una cultura della sicurezza digitale a più livelli.
Ancora è presto per dire se la strada imboccata è quella giusta.