Podcast RSI - Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (seconda parte)

Ultimo aggiornamento: 2024/05/17 9:05.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: audio tratto da “Mr. Robot”: “Che stai facendo di preciso?” “Sto hackerando l’FBI”]

Hackerare l’FBI può sembrare il desiderio proibito di ogni criminale informatico, ed è sicuramente una frase ad effetto che colpisce, come dimostra bene questo spezzone tratto dalla serie televisiva Mr. Robot, ma in realtà al criminale medio conviene dedicarsi a bersagli meno ambiziosi ma più remunerativi: alberghi, piccole aziende, e anche ospedali.

Questo è lo scenario che emerge dalla lettura del nuovo rapporto semestrale dell’Ufficio federale della cibersicurezza svizzero o UFCS, che è scaricabile anche in italiano, illustra le tecniche di attacco più diffuse sul territorio nazionale e propone soluzioni di difesa, per fare prevenzione, e di supporto, per i casi in cui la difesa non basta.

Benvenuti alla puntata del 17 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica.

Io sono Paolo Attivissimo, e nella puntata precedente ho raccontato le statistiche salienti e le principali tecniche di attacco informatico citate in questo rapporto semestrale. In questa puntata provo invece a raccontarvi i rimedi proposti dal rapporto, che ciascuno di noi può adottare per migliorare la propria sicurezza informatica.

[SIGLA di apertura]

Svizzera, colabrodo digitale?

“Sul piano della cibersicurezza, in Svizzera si riscontrano attualmente le seguenti sfide principali:

• elevata vulnerabilità dell’economia, delle autorità, degli istituti di formazione e della popolazione nel ciberspazio;
• insufficiente capacità di reazione in caso di ciberincidenti e crisi di rilevanza sistemica;
• scarsa maturità dei prodotti e dei servizi digitali in termini di cibersicurezza e assenza di meccanismi di controllo della qualità;
• comprensione non abbastanza avanzata della problematica della cibersicurezza da parte degli ambienti economici, in seno alla società e a livello politico;
• mancanza di trasparenza e insufficienza di dati per una corretta valutazione delle dichiarazioni in materia di cibersicurezza e per la definizione di corrispondenti misure politiche ed economiche;
• scarsa protezione degli attori non contemplati tra le infrastrutture critiche;
• zone grigie giuridiche e coordinamento lacunoso degli strumenti per la cibersicurezza tra autorità e operatori privati.”

Parole di fuoco, e mi affretto a chiarire che non sono parole mie: sono tratte testualmente dalla pagina iniziale della Strategia dell’Ufficio federale della cibersicurezza UFCS, un documento scaricabile dal sito dell’amministrazione federale e pubblicato il 6 maggio scorso. 

 

Lo stesso documento riporta inoltre dei numeri davvero notevoli:

Negli ultimi anni il numero di segnalazioni di ciberincidenti che hanno provocato danni è aumentato di circa il 30 per cento l’anno. Il numero di segnalazioni provenienti da infrastrutture non critiche è quasi triplicato negli ultimi dodici mesi. Nel 2023 l’UFCS ha elaborato 187 000 segnalazioni di phishing e ha identificato e chiuso in Svizzera 8223 siti web utilizzati per operazioni di phishing. Nel quadro di diverse centinaia di segnalazioni, l’UFCS ha individuato la presenza di malware presso infrastrutture critiche, provvedendo alla loro eliminazione in collaborazione con le aziende colpite. In media ogni 40 ore l’UFCS riceve una segnalazione concernente un’infezione da malware e una relativa richiesta di supporto per la gestione dell’incidente.

Il resto del documento ha un tono più positivo, con una sorta di chiamata alle armi basata su quattro pilastri, ossia:

• rendere comprensibili le minacce informatiche

• mettere a disposizione strumenti di prevenzione degli attacchi informatici

• ridurre i danni di questi attacchi

• e aumentare la sicurezza dei prodotti e dei servizi digitali.

La sicurezza informatica viene descritta dal documento come “un compito congiunto della politica, dell’economia, delle scuole universitarie e della società”, con buona pace di chi ancora pensa che sia un compito che riguarda solo i tecnici e gli smanettoni.

Questa nuova visione si rispecchia anche, e molto concretamente, in questa nuova veste di ufficio federale presso il Dipartimento della difesa, della protezione della popolazione e dello sport; l’UFCS dal primo gennaio 2024 subentra al Centro nazionale per la cibersicurezza, che faceva parte del Dipartimento federale delle finanze, e diventa il “centro di competenza della Confederazione per le ciberminacce”.

Quelle parole pesanti iniziali, che sembrano dipingere la Svizzera come un colabrodo digitale, vengono però mitigate nel rapporto semestrale più recente da Florian Schütz, direttore dell’Ufficio federale della cibersicurezza, che sottolinea che “[i]n un confronto internazionale, la Svizzera si colloca a metà classifica”. C’è insomma chi sta molto peggio, ma anche chi sta molto meglio.

Vediamo cosa si può fare concretamente per salire in questa classifica, partendo da un caso molto concreto: le truffe alberghiere legate a Booking.com.

L’UFCS spiega la tecnica di attacco delle false mail di Booking.com

Nella seconda metà del 2023 molte persone sono state colpite da una particolare truffa riguardante le prenotazioni di alberghi, nella quale il messaggio dei truffatori arrivava davvero da Booking.com, tanto che era disponibile anche nell’app e nel sito web di questo noto intermediario online, ed era stato realmente spedito dall’albergo dove era stata fatta la prenotazione.

Il messaggio avvisava che la prenotazione fatta dalla vittima rischiava di essere annullata perché la carta di credito del cliente non era stata verificata con successo. Per tentare una nuova verifica si doveva cliccare su un link cortesemente fornito, ed era qui che scattava la truffa: il link portava a un sito il cui nome somigliava a quello di Booking.com e che chiedeva di immettere i dettagli della carta di credito. Se la vittima non se ne accorgeva, forniva i dati della sua carta ai malviventi. Ne avevo parlato nel podcast del 17 novembre 2023.

Il rapporto dell’UFCS getta finalmente luce sulla tecnica usata dai criminali per mettere a segno il loro attacco: riuscivano a farsi dare le credenziali d’accesso dell’account Booking.com dell’albergo usando vari metodi di persuasione per “indurre il personale dell’albergo a cliccare su un link e installare un programma nocivo”.

Per esempio, dice il rapporto, si faceva credere che un ospite fosse stato ricattato con immagini pornografiche che si presumeva fossero state scattate nella camera dove soggiornava. Il mittente concedeva due giorni all’hotel per chiarire la questione e scoprire il colpevole, altrimenti sarebbe stato ritenuto complice. Quale prova dell’accaduto, l’intera documentazione del caso sarebbe stata archiviata, secondo i criminali, in un file scaricabile tramite un link indicato nell’e-mail. Cliccando sul link, però, veniva scaricato un malware che registrava tutti i dati d’accesso disponibili e li trasmetteva ai truffatori, permettendo a loro di visualizzare le prenotazioni attuali dell’albergo effettuate tramite le varie piattaforme online come Booking.com.

È incredibile, e piuttosto imbarazzante, che ancora adesso ci siano sistemi informatici che possono essere infettati semplicemente cliccando su un link e che ci siano persone che sul posto di lavoro aprono gli allegati eseguibili ricevuti, senza il minimo controllo di sicurezza. E infatti il rapporto dell’UFCS raccomanda, soprattutto agli alberghi, che “si trovano a dover aprire molti documenti trasmessi dagli ospiti”, di non dimenticare mai che “I file eseguibili non devono […] essere aperti per nessuna ragione” e raccomanda anche di “pensare a una strategia che permetta di tenere i computer destinati alla comunicazione con gli ospiti separati dal resto della rete”: la cosiddetta segmentazione della rete. Semplici comportamenti preventivi, che non sono certo una novità ma che continuano a non essere adottati.

Eppure le risorse informative per tenersi aggiornati sulle minacce informatiche e sulle procedure ottimali per ridurle o eliminarle non mancano.

Risorse e tecniche per contrastare il crimine informatico

Il rapporto semestrale dell’Ufficio federale della cibersicurezza elenca moltissimi siti che offrono informazioni chiare e dettagliate, senza gergo tecnico, per migliorare la sicurezza informatica di tutti. Siti come Cybercrimepolice.ch, Ebanking - ma sicuro, il sito della Prevenzione Svizzera della Criminalità, iBarry.ch, S-u-p-e-r.ch e altri ancora, di cui trovate tutti i link presso Disinformatico.info.

L’UFCS tocca inoltre un altro tasto dolente della sicurezza informatica: quando un sito viene attaccato o è in pericolo, spessissimo è molto difficile trovare le informazioni di contatto del suo responsabile della sicurezza per avvisarlo della situazione, e questo fa perdere tempo prezioso a chi vorrebbe appunto avvisare del rischio informatico. A volte queste informazioni di contatto non sono nemmeno pubblicate.

L’Ufficio federale della cibersicurezza propone una soluzione semplice e standardizzata a questo problema, che si chiama Security.txt. In sostanza, i gestori dei siti sono invitati a creare un documento di testo contenente le informazioni di contatto per le questioni di sicurezza e a renderlo pubblicamente consultabile. Tutto qui. Questo documento ha un nome standard, cioè appunto security.txt, ed è messo a disposizione in una cartella altrettanto standard del sito, vale a dire .well-known.

In questo modo chi deve lanciare un allarme su un qualsiasi sito colpito da un attacco o a rischio di attacco può andare a colpo sicuro e può raggiungere direttamente il responsabile della sicurezza informatica di qualunque sito, senza perdere tempo in ricerche e soprattutto senza disperarsi a cercare di spiegare al centralinista o a varie altre persone non addette ai lavori i dettagli tecnici di un attacco informatico prima di riuscire finalmente a parlare con la persona giusta.

“Secondo quanto rilevato dall'UFCS”, a oggi “in Svizzera applicano questo standard già alcune migliaia di siti ma, considerato che i siti attivi sono milioni” c’è “ancora margine di miglioramento. L'UFCS invita le imprese, le organizzazioni e le amministrazioni presenti sul territorio nazionale ad applicare questo standard di sicurezza”, notando che questo standard è in corso di adozione anche presso l’amministrazione federale: se volete vedere un esempio pratico di questo modo di indicare rapidamente le coordinate di contatto, potete visitare www.admin.ch/.well-known/security.txt. L’UFCS ha anche predisposto una guida apposita sulla comunicazione delle vulnerabilità per le organizzazioni e le imprese.

Dal documento di strategia emerge anche un altro aspetto importante di questo Ufficio federale: non si limita a fornire istruzioni e chiedere che gli utenti facciano i loro compiti, ma (cito) “assiste le vittime nella gestione degli eventi fornendo loro consulenza tecnica nonché assistenza sul piano organizzativo. A seconda del potenziale di danno, le prestazioni di supporto spaziano dalla semplice consulenza fino alla gestione integrale della crisi informatica (protezione tecnica e ripristino compresi)”. Naturalmente “le prestazioni dell’UFCS sono fornite ai privati in via sussidiaria”, per cui chi ha le risorse per gestire in proprio la sicurezza è tenuto a farlo, ma le tante piccole imprese che fanno perennemente fatica a stare al passo con le novità di sicurezza informatica possono avere un supporto concreto e coordinato.

L’importante, come sempre, è il primo passo: capire che la sicurezza informatica non è un gioco e non è il problema di qualcun altro, ma ci tocca tutti.