Prima le foto osè delle star “rubate” dal servizio iCloud di Apple e messe in Rete, poi l’attacco hacker ad iCloud in Cina, col rischio di esporre username, password e altri dati personali (e dietro il quale potrebbe esserci lo stesso governo cinese, secondo il sito GreatFire.org): mentre il servizio di storage dei dati nella nuvola di Apple torna al centro della cronaca (il ceo Tim Cook è persino volato a Pechino per parlare di sicurezza di dati con le autorità), Formiche.net prova a fare il punto su cloud e cyber-criminali con uno dei massimi esperti mondiali.
Raj Samani (nella foto) è vice president e chief technology officer per l’Europa, il Medio Oriente e l’Africa di McAfee, esperto di sicurezza e di attacchi informatici ma soprattutto di tecniche e strategie di difesa. Ha appena pubblicato il libro “CSA Guide to cloud computing: Implementing cloud privacy and security”. I casi recenti sono numerosi: server di Yahoo! attaccati da hacker, foto rubate su Snapchat sempre per un attacco hacker; Dropbox nel mirino degli hacker che hanno rubato username e password di quasi 7 milioni di utenti.
Che cosa ci ha insegnano questi episodi? Che il cloud computing non è sicuro?
“Cerchiamo di uscire dalla confusione in cui probabilmente ci troviamo”, risponde Samani. “I recenti attacchi che hanno preso di mira i clienti del cloud di grandi provider non rappresentano vulnerabilità inerenti al cloud in sé: sono attacchi che avrebbero potuto colpire qualunque account digitale si usi. Questo non vuol dire che il cloud sia sempre più sicuro dei servizi basati su server interni: come sempre nel mondo della tecnologia, dipende dai casi. Bisogna tenere in mente che usare il cloud significa in sostanza “usare il computer di qualcun altro” e questo qualcun altro potrebbe avere un computer molto sicuro o per niente sicuro. Il vero problema dell’utente del cloud è distinguere tra chi gli può mettere a disposizione un computer sicuro e chi no. La debolezza inerente al cloud è la scarsa trasparenza. In altre parole, se volete sapere quanta security potete ottenere da un certo data center, dovete andare nel data center, ispezionarlo, parlare con i tecnici, capire chi ci lavora e chi lo protegge. Dovete condurre una vera audit, ma questa procedura non è prevista per il cloud oggi, anche perché i provider che usano le economie di scala per offrire servizi di computing a prezzi molto bassi non possono permettersi di fornire l’audit a milioni di clienti. Fare una due diligence della sicurezza dell’ambiente che ospiterà i vostri dati sarebbe fondamentale: si possono affidare i dati e il lavoro ad altri, ma non la responsabilità del rischio. La trasparenza è la direzione verso cui muoversi”.
Come difendersi invece da attacchi come quello recente messo a segno da hacker russi contro account di alto profilo di Usa, Ue e Ucraina? “Nel nostro recente report che stima i costi del cyber-crime un rappresentante dell’intelligence europea ci ha detto che ci sono da 20 a 30 i gruppi di cyber-criminali nell’ex Unione Sovietica che hanno capacità di colpire su scala nazionale”, risponde Samani. “Si tratta dunque di attacchi con dimensioni notevoli e in questo caso l’unica difesa è l’approccio “a strati” (layered): più livelli di protezione non solo tecnologica, ma di processo. Occorre anche assicurarsi che le persone che lavorano sui sistemi o usano le tecnologie ne capiscano i rischi”.
Vale ancora la divisione tra hacker più interessati ai soldi o alla fama e altri spinti da motivazioni politiche? “Non viviamo più in un mondo di comode e rassicuranti categorie”, secondo Samani. “Tanto più che oggi c’è un fenomeno nuovo, il cybercrime-as-a-service. Prodotti e servizi It sono disponibili per tutti e questo vuol dire che oggi chiunque può trasformarsi in un cyber-criminale, anche senza possedere competenze tecniche, tutto quel che serve è l’accesso a un computer e i mezzi per pagare. Perciò il concetto di gruppi di hacker con precise motivazioni è superato: ci sono invece gruppi di criminali che lavorano su commissione e le loro motivazioni e gli obiettivi possono cambiare di volta in volta”.
Alla fine il cloud ha dato più strumenti in mano ai criminali? “Certo, raccogliere informazioni online su cose e persone è ormai un gioco da ragazzi e al prezzo di un caffè si accede a risorse informatiche senza limite. Ma il cloud e la Rete sono anche una risorsa preziosa per le aziende e per chi combatte il cyber-crimine: studiando tutti i dati lasciati online, possiamo persino prevedere dove verrà sferrato il prossimo attacco e difenderci prima, durante e dopo”, osserva Samani. “Sono queste tecnologie che permettono alle aziende della security di condurre vaste operazioni internazionali in cui vengono smantellate organizzazioni di cyber-criminali. Per esempio, Operation Tovar ha visto scendere in campo forze di Polizia di diversi Paesi e una serie di vendor tra cui McAfee contro il botnet Gameover ZeuS, usato per il furto di dati bancari e la distribuzione del ransomware CryptoLocker (il ransomware è un baco che restringe l’accesso al computer della vittima e domanda un riscatto per essere rimosso). Altre operazioni sono quella contro la Dragonfly Gang, che attaccava aziende dell’energia occidentali, e Shady Rat, in cui gli hacker per cinque anni hanno attaccato 14 Paesi”.
