«Mr. Red vs. Mr. Blue – Swisscom e lo stress test»

In realtà, nella vita quotidiana Mr. Red è Mr. Blue. Oggi però si sente più furbo che corretto. L’integerrimo Mr. Blue assume quindi il ruolo dell’infame Mr. Red. Così vuole il copione interno all’azienda. In questa veste subisserà la sua datrice di lavoro Swisscom di attacchi mirati ai suoi sistemi IT. Cosa c’è di straordinario? Nel suo agire, Mr. Red gode dell’assoluzione dall’alto. O più precisamente: senza la direzione del Gruppo non ci sarebbe Mr. Red.

Un hacker? Ovviamente porta una felpa con il cappuccio, ingolla bevande energetiche in quantità spropositate e appartiene alla specie dei lupi solitari e dei sociopatici. O almeno questa è l’immagine che ci trasmettono i blockbuster di Hollywood e le serie di Netflix. Thomas Röthlisberger, scarpe da ginnastica ai piedi e bottiglietta d’acqua in mano, fa un cenno in direzione dell’open space in cui una dozzina di uomini e donne di diversa età siedono ai loro computer. Felpa con cappuccio e bevande energetiche? Niente di tutto ciò! «Ovviamente fiction e realtà non sempre coincidono», commenta il 37enne sorridendo.

Röthlisberger ha studiato informatica e per anni ha testato per una PMI svizzera la sicurezza IT di diverse aziende fornendo consulenza per risolverne i punti deboli. Oggi è Senior CSIRT Manager presso Swisscom. CSIRT è l’acronimo di Computer Security Incident Response Team, che tradotto significa «Team di risposta a incidenti che compromettono la sicurezza informatica». Potrà suonare criptico, ma in realtà non è così complicato. «Siamo come i pompieri, entriamo in azione quando l’infrastruttura IT di Swisscom e dei suoi clienti viene attaccata in modo mirato», spiega Röthlisberger. Se intervengono gli specialisti CSIRT, la situazione è davvero scottante: sia l’attacco sia la difesa risultano infatti estremamente complessi.

L’azienda di telecomunicazioni ha creato il team CSIRT nel 2014. Internamente, gli esperti del gruppo di intervento rapido sono noti anche con il nome «Blue Team». I membri del gruppo conoscono bene il loro mestiere, vantano solitamente una formazione nel settore informatico e sono preceduti da una reputazione impeccabile. Come nel caso di Claudio Pilotti (26), che si unisce ora a Thomas Röthlisberger. «Formazione, esperienza e certificati sono tutto in questo lavoro», sottolinea l’esperto Security Analyst. Oltre a questo, però, è importante anche una personale inclinazione a rimuginare in continuazione e non accontentarsi semplicemente di ciò che funziona, volendo piuttosto capire il perché e il percome delle cose. Buoni o cattivi, hacker all’attacco o al servizio di un’azienda, «a spingerci è soprattutto il desiderio di impiegare le nostre conoscenze, un atteggiamento personale fondato sulla lealtà e su principi etici», di questo Pilotti si dice convinto.

Tende a pavimento schermano l’ufficio di Zurigo, in cui i due si trovano questo pomeriggio, da sguardi fin troppo curiosi. Si tratta di definire i ruoli per i prossimi giorni e per le prossime settimane. Stanno infatti per sottoporre i collaboratori e i sistemi IT a un altro stress test. Mentre Thomas Röthlisberger rivestirà insieme a due colleghi del «Red Team» il ruolo dell’hacker spinto da intenti presumibilmente criminali, Claudio Pilotti e i suoi colleghi del «Blue Team» dovranno difendersi dagli attacchi di Mr. Red e compagni. Questo nel contesto della normale attività lavorativa quotidiana, poiché l’aspetto che assumeranno gli attacchi, dove e quando si svolgeranno, è naturalmente un segreto del «Red Team».

Sono ormai almeno tre anni che si organizzano attacchi di questo tipo. Swisscom è stata la prima grande azienda in Svizzera a sottoporsi volontariamente ed esplicitamente a stress test provocati da cosiddetti «ethical hacker» tra le proprie fila. L’obiettivo principale è di individuare ed eliminare i punti deboli nel sistema e nei processi prima che vengano scoperti e sfruttati da gruppi criminali. Naturalmente l’individuazione e la difesa di attacchi di questo genere deve essere regolarmente migliorata. Gli attacchi simulati si svolgono in contesto protetto e vengono interrotti prima che entrino in gioco i dati dei clienti finali. «Inoltre, prima di ogni azione si informa il nostro Operation Control Center (OCC) per evitare un’escalation della situazione», spiega Röthlisberger. «In nessun momento i dati dei clienti sono coinvolti nell’esercitazione.»

Nella realtà, i professionisti della sicurezza IT distinguono cinque diversi gruppi di hacker. Ci sono innanzitutto i cosiddetti «script kiddies» e gli attivisti politicamente motivati, che si concentrano piuttosto su attacchi di basso profilo, ad esempio la decodifica delle password o il blocco di siti web. Un gradino oltre opera la cosiddetta criminalità organizzata, specializzata ad esempio nel furto dei dati e nell’estorsione in internet. «Gli hacker più pericolosi sono sicuramente quelli appartenenti ai gruppi terroristici e a entità statali, ad esempio i servizi segreti», spiega Röthlisberger.

Spinti da motivazioni di carattere diverso, siano esse economiche, ideologiche o politiche, nella vita quotidiana la cyber criminalità si presenta sotto altrettante vesti diverse. «Quando sottoponiamo il nostro stesso sistema a uno stress test, ci basiamo sempre sulle tecniche di attacco più comuni nella realtà», spiega Thomas Röthlisberger alias Mr. Red. Cosa questo significhi per gli attacchi che sta attualmente preparando non lo vuole svelare in presenza di Claudio Pilotti alias Mr. Blue, «vittima» del suo imminente attacco. In passato sono stati sferrati ad esempio attacchi di phishing o si è tentato di infiltrare del malware. «Potrà sembrare banale, ma ciò che conta per noi è soprattutto promuovere tra i collaboratori la consapevolezza dei pericoli in agguato in rete ed esercitare opera di prevenzione», spiega Pilotti. «La componente umana, infatti, continua a essere l’anello più debole della catena quando si verificano attacchi mirati ai sistemi IT.»

Settimane di grande eccitazione attendono i due professionisti della sicurezza IT e i membri dei rispettivi team. Röthlisberger prospetta al collega alcune sfide. I risultati degli attacchi simulati e le proposte di soluzione che ne derivano vengono sottoposti a fine anno alla direzione del Gruppo. Pilotti la prende con sportività: ha fiducia nella sua esperienza e nell’esperienza dei suoi colleghi. «Non bisogna illudersi», sottolinea il Security Analyst. «Di solito i cattivi sono un passo avanti rispetto ai buoni. Ma è proprio per questo che facciamo queste esercitazioni e ci caliamo nel ruolo dell’aggressore.»

Nella realtà questo significa che quando vengono scoperti, spesso gli hacker imperversano già da mesi nel sistema IT di un’azienda. «Se, dal punto di vista delle vittime, riusciamo a ridurre questo lasso di tempo grazie alle esercitazioni che facciamo, aumentando così il lavoro degli hacker e i costi degli attacchi, abbiamo già ottenuto un ottimo risultato», sostiene Thomas Röthlisberger, mentre promette al collega Pilotti di offrirgli da bere se riuscirà a difendersi con successo dal suo attacco. «Ma niente bevande energetiche, ok? Meglio una birra», conclude Claudio Pilotti con un sorriso sul volto, augurando all’«hacker» Röthlisberger di essere presto scoperto.