Da Plus Magazine - supplemento de "La Voce dei Bancari" , edizione Nazionale - marzo 2018. Intervista a Raoul Chiesa membro del Roster of Experts presso l’ITU (International Telecommunication Union) - Nazioni Unite.
Nel mese di gennaio è finita sulle prime pagine dei giornali la notizia di un baco di sicurezza nei processori Intel e AMD. Quali sono i rischi immediati e futuri per gli utenti finali?
Come ho scritto nella versione 2018 delle mie ormai famose previsioni sulla CyberSecurity per l’ANSA, questi bachi rappresentano un cambio decisamente importante, un’evoluzione critica nel mondo delle falle e dei cyber attacchi, ed avranno un impatto ed effetti sponda di un certo rilievo, soprattutto nel mercato “grigio” degli 0days (compravendita di strumenti di attacco che utilizzano vulnerabilità non note), del Cyber Espionage e degli State-Sponsored Attacks.
Quello che voglio dire è che stiamo assistendo a una fase di transizione: dagli attacchi diretti verso vulnerabilità proprie dei software e dei sistemi operativi, a framework di sfruttamento ed exploiting di vulnerabilità proprie del mondo hardware, il cosiddetto hardware hacking.
Credo dunque che non ci aspetti, purtroppo, nulla di buono, e l’impatto più preoccupante che vedo, ipotizzando quelle evoluzioni e crescite tipiche in questi casi, interessa in primis il mondo del Cloud Hosting, seguito dai dispositivi dell’Internet of Things e, non ultimo, il mondo dell’Automazione Industriale (centrali energetiche, transportation, ecc). Nemmeno il mondo Finance può e deve restare “tranquillo”: i sistemi ATM (i Bancomat) girano su processori Intel ed AMD e girano nella quasi totalità dei casi su piattaforme Microsoft
Windows.
So che importanti costruttori di ATM hanno già inviato ai propri clienti informative, security alert e suggerimenti di patch e aggiornamento, proprio a causa degli exploit che già circolano “in the wild” e che sfruttano le due principali vulnerabilità recentemente rese pubbliche.
Relativamente ai miners però, più che un hacking a chi già fa mining, vedo più probabile e logico, nell’ottica del Cybercrime, azioni mirate di hacking dirette verso target dove vi sia un’elevatissima disponibilità di potenza di calcolo: centri di ricerca, università, operatori Cloud, tanto per citarne qualcuno.
Il motivo è abbastanza semplice: se il mio core businesS è “il mining”, avrò sistemi di controllo sulle prestazioni ed il consumo (CPU, elettricità, scrittura e spazio disco, memoria RAM, ecc.) lungo il processo della creazione delle valute digitali. Questo fa sì che la finestra temporale a disposizione degli attaccanti non possa ovviamente essere né a medio né a lungo termine ma, anzi, esclusivamente a breve e a brevissimo.
È invece vero quanto ipotizzi tu Pietro: azioni di hacking verso i miners, non per sfruttarne abusivamente la potenza di calcolo, bensì per rubare Bitcoin o altre crypto currency già coniate. Come ho scritto per l’ANSA sono quindi i proprietari di e-Wallet, siano essi miners o semplici acquirenti, a dover alzare la soglia dell’attenzione ed aumentare le precauzioni.
Lavori che scompaiono e nuovi lavori del futuro: un consiglio ad un giovane che sta terminando gli studi e si affaccia al mondo del lavoro.
Mi alzi una palla molto semplice da schiacciare! Il mondo dell’Information Security non conosce la parola “crisi”. Purtroppo ogni giorno veniamo a conoscenza di un attacco informatico, un data breach, casi di Industrial Espionage, frodi ed abusi di ogni tipo, perpetrate con gli strumenti informatici e sulla rete Internet.
Trasversalmente, tutti i settori merceologici sono interessati da questi fenomeni, ed altissima è quindi la richiesta di specialisti del settore. Possiamo solamente prevedere, con scarse possibilità di errore, un aumento di questo bisogno.
Un secondo aspetto è quello della formazione. Mai come oggi è divenuta di estrema importanza, direi addirittura la principale risorsa che le aziende ed il Paese devono utilizzare per contrastare i reati informatici:
awareness, cultura, education. Un terzo ed ultimo aspetto, per citare solo i principali, è rappresentato dal mondo del compliance.
Il 2018 sarà l’anno del GDPR, ma tante altre sono le regulation, le norme generali o di settore, i decreti nazionali ed europei ai quali privati ed aziende dovranno adeguarsi e rispettare. Il mercato ha quindi CyberSecurity oggi: è cresciuto il rischio rispetto al passato?
Qual è la situazione nel Banking?
Il rischio si è evoluto, moltiplicato e diversificato. Vedi Pietro, seppur sia bello, anzi bellissimo, parlare di termini come always-on, BYOL (Bring your Own Device), Cloud, Social Networks, Mobile e così via, dal punto di vista tecnologico – e quindi, di conseguenza, della sicurezza delle informazioni – questi hanno comportato sostanziali e drastici cambi nel modo di lavorare, operare e vivere dei dipendenti, che poi sono persone. Come ogni essere umano la nostra vita è fatta di relazioni umane, sia professionali che personali.
Tutto questo, da qualche anno, è diventato quello che si chiama Digital Life, o Digital Society. È il mondo stesso, il nostro modo di comunicare, lavorare e di relazionarci che si sta evolvendo.
Da un punto di vista di CyberSecurity, significa semplicemente che il perimetro è cambiato. Il mondoBanking non può più pensare come prima: DMZ, server Web e di Posta, server interni, firewall, segregazione delle reti e delle informazioni. Oggi l’utente, inteso come il cliente finale, il correntista per capirci, utilizza principalmente il canale e-banking, l’ATM e le carte di credito/debito, sempre più in contesti on-line e virtuali piuttosto che fisici. È quindi esposto a molteplici rischi, ed utilizza gli stessi strumenti (laptop, smartphone e dispositivi mobili) sia per le attività ludiche che per quelle che vedono un coinvolgimento di tipo economico.
Un secondo, importante aspetto è la costante evoluzione nella creatività criminosa, nei modelli di business, negli aspetti tecnologici ed organizzativi del Cybercrime. Una vera e propria industria – non dimentichiamo che il profitto annuale che genera viene stimato in almeno 20B USD – che, purtroppo, risulta essere sempre un passo avanti rispetto a chi deve quotidianamente difendersi dalle frodi economiche e dal furto di dati e di informazioni.
L’utente è al centro di tutto ciò, esposto a rischi sempre maggiori, attacchi massivi o mirati di Social Engineering, ed evoluzione delle tipologie
