software gestionale

Cyber: spionaggio informatico e backdoor

Il delicato equilibrio tra geopolitica e business IT

La sempre progressiva e inesorabile evoluzione tecnologica della società dell’informazione e delle connessioni eterogenee di dispositivi continua a generare minacce per la sicurezza informatica.

Numerose le tipologie note di attacchi cibernetici tra cui si suole distinguere: 

  • attacchi targeted (sponsorizzati) e APT (Advanced Persistent Threats), caratterizzati da un concomitante e pervasivo uso di molteplici tecniche di attacco. 
  • attacchi Distributed Denial of Service e Ransomware. 

Obiettivo in questi casi è minare la confidenzialità, integrità e disponibilità dei dati e del sistema informativo a fronte del pagamento, nel caso di codice malevolo Ransomware, di ingenti riscatti.

  • attacchi di Social Engeneering e di Phishing preordinati ad ottenere fraudolentemente (via telefono, e-mail, chat, ecc.) informazioni riservate quali credenziali di accesso, identità digitale, ecc.
  • sfruttamento di vulnerabilità (exploitation) che consente di approfittare di vulnerabilità del codice software, sia a livello client che di server. Ne sono esempi: le backdoor, SQL (structured query language) injection, remote buffer overflow, ecc.

Tra le cosiddette exploitation, una delle principali preoccupazioni dei security managers è rappresentata dalla tecnica delle backdoors per la sua estrema pericolosità.

La tecnica perpetrata con accesso fisico o social engeneering, sfrutta una “porta di servizio” che consente all’hacker di accedere e controllare abusivamente ad un sistema informatico attraverso un codice malevolo (malware), nell’inconsapevolezza dell’utente. Viene così bypassata, attraverso un crittosistema, una normale autenticazione tra due sistemi di comunicazione. 

Si rientra dunque agilmente in un sistema già violato in precedenza, senza dovere sfruttare un eventuale bug.

La pervasività della tecnica risiede proprio nell’abusivo “accesso ombra” al sistema informatico che, evidentemente, sfugge al controllo degli antivirus. Un banale file di sistema introdotto viene poi attivato da un comando in remoto da parte dell’hacker per crearne una via di accesso privilegiata al sistema. 

Una backdoor ha un utilizzo molto versatile per il controllo integrale del sistema molto spesso attraverso la tecnologia per la manutenzione e monitoraggio di computer aziendali tramite accesso remoto.

In molti casi, l’hacker prende il controllo del sistema e/o dispositivo perché è stata lasciata una “porta aperta” in forma di impostazioni di sicurezza predefinite.

Nel caso dei sistemi di videosorveglianza, ad esempio, la maggior parte degli attacchi hacker sfrutta la conoscenza comune delle password predefinite e può anche tentare di accedere tramite password deboli o attraverso le password di servizio create dai produttori per lo sblocco critico del dispositivo. 

Caratteristiche essenziali della backdoor sono dunque:

  • la non rilevabilità dagli antivirus;
  • l’utilizzo di porte già aperte da altri programmi;
  • il funzionamento su più sistemi operativi.

L’uso della tecnica in esame ha contribuito alla diffusione del cyberspionaggio, al punto tale da creare tensioni geopolitiche, di sicurezza nazionale ed inevitabili criticità di business per alcuni vendors IT.

Ed infatti, una delle misure di assessment e mitigazione del rischio in information security è la cosiddetta “code review”. Si tratta di un esame sistematico del codice sorgente preordinato ad individuare errori trascurati nello sviluppo del software. Proprio in questi casi è delicato l’equilibrio tra contrapposti interessi parimenti meritevoli di tutela.

Una code review, pur legittima, ed esempio nell’interesse della sicurezza nazionale, va contemperata con l’opposto interesse del vendor IT a prevenire sottrazioni di dati di proprietà intellettuale ed industriale rivendicati. Ed in molti casi, i vendors IT si vedono imposti dai governi dei code review preventivi dei software di utilizzo nazionale per il timore che contengano backdoor. 

In tale scenario, sono notori i provvedimenti restrittivi del business adottati dagli USA nei confronti della russa Kaspersky Lab o delle cinesi Huawei e ZTE. Al fine di meglio affrontare la minaccia e mitigarne i potenziali impatti è altresì essenziale, come sempre, adottare delle best practices che recepiscano un progressivo sviluppo della cultura della sicurezza.

In particolare, è sempre un opportuno approccio:

  • impostare o modificare la password predefinita ed introducendo l’abitudine al cambiamento sistematico delle password “forti”.
  • utilizzare la DMZ nel router curandosi di impostare il reindirizzamento delle sole porte necessarie per la corretta connessione.
  • cambiare le porte predefinite HTTP, TCP, UDP;
  • attivare nel router il filtro IP / MAC se possibile al fine di indicare indirizzi specifici (indirizzi IP di rete o indirizzi MAC fisici) dei dispositivi attendibili che sono autorizzati al collegamento remoto.
  • gestire gli accounts in modo prudente (password diverse per servizi diversi).
  • installare gli aggiornamenti del firmware.
Davide Maniscalco

Avvocato Cassazionista, con formazione giuridico-aziendale, ha consolidato la propria esperienza professionale prevalentemente nel settore dei carburanti e delle energie. Ha assunto ruoli di alta direzione in Gruppi societari del settore wholesale and retail trading, logistic, transport & management. Ha maturato una significativa esperienza in diritto commerciale e societario, nonché nella contrattualistica di impresa, occupandosi in azienda della gestione del capitale umano e delle relazioni sindacali. E’ Of Counsel dello Studio Viola di Palermo con cui collabora nell’ambito dell’innovativo BID Department per lo sviluppo del commercio internazionale delle imprese, negli uffici di rappresentanza di Milano e New York. Nel corso dell’esperienza professionale ha approfondito il rapporto tra diritto e tecnologie della società dell’informazione ed ha poi rivolto particolare attenzione alle materie della information security, acquisendo competenze trasversali in informatica giuridica, governance digitale, cybersecurity e business resilience. Certified functional continuity professional (CFCP) DRII e crisis manager. Referente territoriale e Docente della Geeks Academy, scuola di alta formazione specialistica e network della formazione in cybersecurity, digital forensics e data analysis. Professionista della Privacy iscritto negli elenchi dei professionisti dell’Associazione Anorc Professioni*, per la quale è Referente Territoriale. Professionista della Digitalizzazione documentale e della Privacy, con master di primo livello conseguito presso l’Università UniTelma Sapienza di Roma. Membro del Team D&L Net dello Studio Legale Lisi**, a cui aderisce come specialista della Privacy. Membro del consiglio direttivo dell’Associazione Confcommercio Professioni Palermo, che aderisce alla Confcommercio di Palermo. Business Coach e Licensed NLP Master Practitioner iscritto nell’elenco tenuto dall’Associazione Assocoaching I° livello Disaster Manager – Assodima ______________________ ____________________________ * ANORC Professioni è un’associazione professionale, indipendente e senza scopo di lucro, iscritta nell'elenco del MISE, che rappresenta i Professionisti della digitalizzazione e i Professionisti della privacy. **Il D&L Net è un Network professionale che in modo multidisciplinare vuole garantire ai Professionisti che aderiscono una crescita sia in termini di competenze, che di attività, nelle materie del diritto dell’informatica e della protezione dei dati personali. Per tali motivi i Professionisti accettano di riconoscersi in questo Network, di mettere a disposizione con spirito collaborativo e proattivo la propria professionalità e di impegnarsi a sviluppare la rete professionale secondo una serie di diritti e doveri condivisi nel Codice che accettano di osservare.

Articoli suggeriti