Difesa Cybersecurity, CSIRT
Mr. Red vs. Mr. Blue – Swisscom e lo stress test
La dualità comprende entrambi: il buono e il cattivo. E poiché la difesa presuppone l’attacco, l’impresa di telecomunicazioni sottopone regolarmente i propri sistemi IT ad attacchi mirati da parte dei propri informatici, seppure in un quadro protetto. Uno sguardo dietro le quinte del Computer Security Incident Response Team, abbreviato in CSIRT.
Testo: Flavian Cajacob, Immagini: Michele Limina, apparso nell’allegato alla NZZ del numero dell’8 novembre 2018
In realtà, nella vita quotidiana Mr. Red è Mr. Blue. Oggi però si sente più furbo che corretto. L’integerrimo Mr. Blue assume quindi il ruolo dell’infame Mr. Red. Così vuole il copione interno all’azienda. In questa veste subisserà la sua datrice di lavoro Swisscom di attacchi mirati ai suoi sistemi IT. Cosa c’è di straordinario? Nel suo agire, Mr. Red gode dell’assoluzione dall’alto. O più precisamente: senza la direzione del Gruppo non ci sarebbe Mr. Red.
I pompieri della sicurezza
Un hacker? Ovviamente porta una felpa con il cappuccio, ingolla bevande energetiche in quantità spropositate e appartiene alla specie dei lupi solitari e dei sociopatici. O almeno questa è l’immagine che ci trasmettono i blockbuster di Hollywood e le serie di Netflix. Thomas Röthlisberger, scarpe da ginnastica ai piedi e bottiglietta d’acqua in mano, fa un cenno in direzione dell’open space in cui una dozzina di uomini e donne di diversa età siedono ai loro computer. Felpa con cappuccio e bevande energetiche? Niente di tutto ciò! «Ovviamente fiction e realtà non sempre coincidono», commenta il 37enne sorridendo.
Röthlisberger ha studiato informatica e per anni ha testato per una PMI svizzera la sicurezza IT di diverse aziende fornendo consulenza per risolverne i punti deboli. Oggi è Senior CSIRT Manager presso Swisscom. CSIRT è l’acronimo di Computer Security Incident Response Team, che tradotto significa «Team di risposta a incidenti che compromettono la sicurezza informatica». Potrà suonare criptico, ma in realtà non è così complicato. «Siamo come i pompieri, entriamo in azione quando l’infrastruttura IT di Swisscom e dei suoi clienti viene attaccata in modo mirato», spiega Röthlisberger. Se intervengono gli specialisti CSIRT, la situazione è davvero scottante: sia l’attacco sia la difesa risultano infatti estremamente complessi.
L’azienda di telecomunicazioni ha creato il team CSIRT nel 2014. Internamente, gli esperti del gruppo di intervento rapido sono noti anche con il nome «Blue Team». I membri del gruppo conoscono bene il loro mestiere, vantano solitamente una formazione nel settore informatico e sono preceduti da una reputazione impeccabile. Come nel caso di Claudio Pilotti (26), che si unisce ora a Thomas Röthlisberger. «Formazione, esperienza e certificati sono tutto in questo lavoro», sottolinea l’esperto Security Analyst. Oltre a questo, però, è importante anche una personale inclinazione a rimuginare in continuazione e non accontentarsi semplicemente di ciò che funziona, volendo piuttosto capire il perché e il percome delle cose. Buoni o cattivi, hacker all’attacco o al servizio di un’azienda, «a spingerci è soprattutto il desiderio di impiegare le nostre conoscenze, un atteggiamento personale fondato sulla lealtà e su principi etici», di questo Pilotti si dice convinto.
Tende a pavimento schermano l’ufficio di Zurigo, in cui i due si trovano questo pomeriggio, da sguardi fin troppo curiosi. Si tratta di definire i ruoli per i prossimi giorni e per le prossime settimane. Stanno infatti per sottoporre i collaboratori e i sistemi IT a un altro stress test. Mentre Thomas Röthlisberger rivestirà insieme a due colleghi del «Red Team» il ruolo dell’hacker spinto da intenti presumibilmente criminali, Claudio Pilotti e i suoi colleghi del «Blue Team» dovranno difendersi dagli attacchi di Mr. Red e compagni. Questo nel contesto della normale attività lavorativa quotidiana, poiché l’aspetto che assumeranno gli attacchi, dove e quando si svolgeranno, è naturalmente un segreto del «Red Team».
Reale, ma senza dati dei clienti
Sono ormai almeno tre anni che si organizzano attacchi di questo tipo. Swisscom è stata la prima grande azienda in Svizzera a sottoporsi volontariamente ed esplicitamente a stress test provocati da cosiddetti «ethical hacker» tra le proprie fila. L’obiettivo principale è di individuare ed eliminare i punti deboli nel sistema e nei processi prima che vengano scoperti e sfruttati da gruppi criminali. Naturalmente l’individuazione e la difesa di attacchi di questo genere deve essere regolarmente migliorata. Gli attacchi simulati si svolgono in contesto protetto e vengono interrotti prima che entrino in gioco i dati dei clienti finali. «Inoltre, prima di ogni azione si informa il nostro Operation Control Center (OCC) per evitare un’escalation della situazione», spiega Röthlisberger. «In nessun momento i dati dei clienti sono coinvolti nell’esercitazione.»
Nella realtà, i professionisti della sicurezza IT distinguono cinque diversi gruppi di hacker. Ci sono innanzitutto i cosiddetti «script kiddies» e gli attivisti politicamente motivati, che si concentrano piuttosto su attacchi di basso profilo, ad esempio la decodifica delle password o il blocco di siti web. Un gradino oltre opera la cosiddetta criminalità organizzata, specializzata ad esempio nel furto dei dati e nell’estorsione in internet. «Gli hacker più pericolosi sono sicuramente quelli appartenenti ai gruppi terroristici e a entità statali, ad esempio i servizi segreti», spiega Röthlisberger.
La componente umana è l’anello più debole
Spinti da motivazioni di carattere diverso, siano esse economiche, ideologiche o politiche, nella vita quotidiana la cyber criminalità si presenta sotto altrettante vesti diverse. «Quando sottoponiamo il nostro stesso sistema a uno stress test, ci basiamo sempre sulle tecniche di attacco più comuni nella realtà», spiega Thomas Röthlisberger alias Mr. Red. Cosa questo significhi per gli attacchi che sta attualmente preparando non lo vuole svelare in presenza di Claudio Pilotti alias Mr. Blue, «vittima» del suo imminente attacco. In passato sono stati sferrati ad esempio attacchi di phishing o si è tentato di infiltrare del malware. «Potrà sembrare banale, ma ciò che conta per noi è soprattutto promuovere tra i collaboratori la consapevolezza dei pericoli in agguato in rete ed esercitare opera di prevenzione», spiega Pilotti. «La componente umana, infatti, continua a essere l’anello più debole della catena quando si verificano attacchi mirati ai sistemi IT.»
Effettivamente da mesi nel sistema
Settimane di grande eccitazione attendono i due professionisti della sicurezza IT e i membri dei rispettivi team. Röthlisberger prospetta al collega alcune sfide. I risultati degli attacchi simulati e le proposte di soluzione che ne derivano vengono sottoposti a fine anno alla direzione del Gruppo. Pilotti la prende con sportività: ha fiducia nella sua esperienza e nell’esperienza dei suoi colleghi. «Non bisogna illudersi», sottolinea il Security Analyst. «Di solito i cattivi sono un passo avanti rispetto ai buoni. Ma è proprio per questo che facciamo queste esercitazioni e ci caliamo nel ruolo dell’aggressore.»
Nella realtà questo significa che quando vengono scoperti, spesso gli hacker imperversano già da mesi nel sistema IT di un’azienda. «Se, dal punto di vista delle vittime, riusciamo a ridurre questo lasso di tempo grazie alle esercitazioni che facciamo, aumentando così il lavoro degli hacker e i costi degli attacchi, abbiamo già ottenuto un ottimo risultato», sostiene Thomas Röthlisberger, mentre promette al collega Pilotti di offrirgli da bere se riuscirà a difendersi con successo dal suo attacco. «Ma niente bevande energetiche, ok? Meglio una birra», conclude Claudio Pilotti con un sorriso sul volto, augurando all’«hacker» Röthlisberger di essere presto scoperto.
Anche i clienti beneficiano della pluriennale esperienza del Computer Security Incident Response Team (CSIRT) aziendale. Con CSIRT as a Service, Swisscom offre assistenza nell’analisi e gestione di eventi critici per la sicurezza. Esperti di Swisscom Security rilevano la direzione in caso di Security Incidents. Dirigono il processo in remoto o sul posto e assistono a garantire la prova e a comunicare con partner e clienti.
Glossario Security
APT
Advanced Persistent Threat, tradotto in «minaccia avanzata persistente», è un attacco complesso, mirato ed efficace a infrastrutture IT critiche e dati confidenziali di aziende che sono potenziali vittime tenuto conto della loro superiorità tecnica. In alternativa vengono attaccate anche aziende che possono servire semplicemente da trampolino di lancio verso le vittime effettive.
Backdoor
Porte software «di servizio» per accedere a un sistema informatico aggirando le protezioni.
Botnet
Rete di cui fa parte un elevato numero di computer compromessi, controllati centralmente da un botmaster.
CSIRT
Il Computer Security Incident Response Team designa un gruppo di specialisti di sicurezza che agiscono in presenza di concreti eventi relativi alla sicurezza IT in veste di coordinatori ovvero si occupano in generale di sicurezza informatica, avvisano in presenza di lacune di sicurezza e offrono possibili soluzioni nonché analizzano i software dannosi.
Defacement
Inserimento di contenuti indesiderati in una pagina web attaccata da hacker.
DOS
Denial of Service (DOS), ovvero quando un sistema viene paralizzato da un gran numero di domande.
DDOS
Distributed Denial of Service (DDOS), attacco DOS che parte simultaneamente da un elevato numero di sistemi distribuiti (ad es.: una botnet). Fermare l’attacco non è facile.
Honey Net
Si tratta di un sistema o di una rete organizzati in maniera volutamente allettante al fine di attrarre gli hacker per studiarne il comportamento. Le conoscenze che se ne acquisiscono vengono quindi impiegate per proteggere le reti reali.
Kill-Switch
Software nascosto e in grado di reagire a ordini esterni. Disturba il funzionamento di un sistema o lo rende inutilizzabile.
Malware
Software che avvia attività dannose e indesiderate.
Money Mule
Persone indotte da criminali ad accettare pagamenti da «clienti» e a trasferire le somme di denaro in cambio di una commissione. Il soggetto (money mule) è convinto di lavorare per un’organizzazione legittima.
Phishing
Con il phishing gli utenti vengono indotti (perlopiù tramite e-mail con false richieste) a rivelare informazioni sensibili.
Ransomware
Una forma di trojan che consente di criptare determinati dati o l’intero sistema informatico al fine di estorcere un riscatto per la decodifica.
Spoofing
Tentativi di frode all’interno di reti al fine di nascondere la propria identità.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
