Qualche giorno fa vi abbiamo parlato di un "attacco" hacker a una petroliera. Fortunatamente si trattava di una dimostrazione, svolta durante un convegno di settore da Gianni Cuozzo, CEO di Aspisec.
Dato il grande interesse per l'accaduto e la disponibilità di Cuozzo nel partecipare alla discussione con i lettori nata sotto alla notizia, abbiamo deciso di approfondire direttamente con lui l'accaduto, scoprire un po' chi è, cosa fa e come vede il futuro della sicurezza, in particolare sul fronte dell'Internet of Things e delle auto autonome, due temi ogni giorno sulla bocca di tutti.
Quali sono i trascorsi che ti hanno portato ad avvicinarti al mondo dell'hacking e della cyber sicurezza?
Sono nato nel 1990 a Darmstadt in Germania, ma la mia famiglia è originaria di Valva (SA) e ho vissuto la mia vita su una linea immaginaria di 1550 km a cavallo di questi due paesi, ho un passato lavorativo e accademico da economista, poi sono rientrato in Italia e ho aperto una società che si occupava di firmware per controller di memoria satellitari, ho ceduto quell'azienda e ho fondato altre due società, Prism Warfare in Svezia che si occupa di malware ad uso militare e Aspisec in Italia, la mia società di punta.
Sono consulente per diverse forze armate e diverse intelligence di paesi NATO per lo sviluppo di dottrine d'impiego e tattiche per l'uso di malware militari nelle operazioni di battaglia (battlefield operations) e nello spionaggio e controspionaggio informatico militare, e sono stato presente in diversi teatri di guerra.
Sono inoltre stato speaker alle Nazioni Unite di Ginevra sui temi riguardanti la firmware security e le problematiche di backdooring. Sono specializzato nel reverse engineering di sistemi infrastrutturali e sistemi d'arma occidentali e non, e la cosa che mi ha spinto di più verso questo mondo è la curiosità atavica di capire come funzionassero tecnologie così avanzate.
Come tutti mi sono avvicinato al mondo dell'informatica giocando ai videogame, poi pian piano interessato al mondo del modding, poi allo sviluppo degli stessi (con scarsi risultati) e poi sono passato a cose "più birichine". Mi ritengo un ragazzo molto fortunato per avere la possibilità di fare un lavoro che mi appassiona e che sfida me e i miei collaboratori (molto più bravi di me) tutti i giorni.
Cosa fa ASPISEC? Ci racconti l'azienda?
ASPISEC è una società che si occupa di custom cybersecurity. Non rivendiamo soluzioni terze né siamo vendor di alcuna tecnologia di terze parti, tutte le tecnologie che sviluppiamo per i nostri clienti sono personalizzate in base alle esigenze del cliente stesso, anche molti dei tool che usiamo noi sono di nostra ideazione e sviluppo.
Crediamo che le soluzioni di sicurezza standard possano proteggere dallo 0% a 70%, noi ci occupiamo di proteggere la parte che va dal 70% al 99%, che poi è la parte cruciale, perché il 100% nella sicurezza non esiste. Abbiamo un approccio artigianale alla cybersecurity, siamo come dei sarti che confezionano un vestito su misura, lavoriamo in diverse realtà dalle infrastrutture critiche, passando per la difesa fino alle industrie manifatturiere. Abbiamo un focus sulla firmware security e stiamo sviluppando delle tecnologie che nella nostra visione renderanno più sicuri i dispositivi industriali e speriamo nel tempo anche i dispositivi di uso comune nell'era dello IoT e IoE.
Abbiamo ricevuto un premio dal MIT Tech Review Italia di cui siamo molto orgogliosi. E proprio grazie alla nostra peculiarità di sviluppare custom i nostri clienti possono avvalersi delle misure sull'iper-ammortamento al 250% previsto nel pacchetto agli incentivi industria 4.0.
Ti sei intrufolato in una petroliera in pochi minuti, ci spieghi come hai fatto? La connessione e il computer che hai usato per la dimostrazione avevano qualcosa di insolito? Avresti potuto fare lo stesso da casa o da un bar?
Certo è fattibilissimo, i computer erano dei normalissimi laptop, anzi quello principale mi era stato fornito da una ragazza dell'organizzazione, perché il mio PC principale non poteva essere collegato al proiettore (maledetti adattatori USB C). Per il discovery ho usato Shodan.io e il suo ship tracker, poi ho filtrato la query di ricerca sulla porta di connessione utilizzate dal sistema AIS, ovvero la 9001, fatto questo ho identificato una nave nell'Adriatico che esponeva la sua posizione sul AIS attraverso una VPN non protetta adeguatamente.
L'indirizzo IP tunnelizzato sulla VPN puntava l'antenna di comunicazione e navigazione, ho avuto accesso tramite HTTP alla console e, con un piccolo trucchetto che preferisco non divulgare per evitare episodi di emulazione (ma i più smaliziati lo conoscono già) con cui si può preventivamente capire se un dispositivo mantiene le sue credenziali di default, ho quindi cercato le password di default del dispositivo di comunicazione su Internet...la famosa password 1234. Così ho avuto accesso al sistema di gestione dell'antenna.
Già da lì si potevano fare notevoli danni in quanto era possibile impostare delle dead zone del radar e alterare diversi paramenti che avrebbero quindi modificato il dato di posizionamento, ma la vera vulnerabilità risiedeva nel fatto che da quella console d'amministrazione si aveva la possibilità di caricare un firmware per l'aggiornamento dell'antenna stessa e che il sistema di aggiornamento non prevedesse alcun controllo d'integrità e alcun "trust control"; sarebbe quindi bastato creare un file dummy, rinominarlo con l'estensione .img per disattivare l'antenna creando un danno firmware, e lasciando la nave cieca, o ancora peggio inserire una rootkit all'interno della rete navale e man mano infettare tutti i dispositivi connessi al domain controller della nave.
Questa è una vulnerabilità gravissima e dimostra quanto vi è ancora molto da fare per sensibilizzare anche i produttori di hardware su queste tematiche.
Credi che sarebbe possibile un vero e proprio attacco terroristico usando tecniche come quelle che hai mostrato?
Purtroppo sì e sono sicuro che già sono stati compiuti attentati di questo tipo solo che sono stati eventi minori che sono passati in sordina e soprattutto queste tipologie d'attacco sono spesso confuse con generici malfunzionamenti e quindi vi è una difficolta d'attribuzione strutturale.
Nel maggio 2016 a Bromma (secondo aeroporto di Stoccolma) ho dimostrato davanti ad ufficiali NATO come era possibile penetrare nel database di comando e controllo dell'aeroporto e crearsi quindi un badge con tutte le credenziali d'accesso alle varie aree senza far scattare alcun allarme, partendo da un errore firmware presente nelle telecamere IP del terminal partenze dell'aeroporto, accessibile da tutti.
Di quella dimostrazione vi è un paper scientifico facilmente recuperabile pubblicato dal programma NATO-ARW (Advanced research workshop) ma alcune parti sono state "censurate" per evitare problematiche di emulazione, quindi purtroppo è una minaccia molto più concreta di quella che immaginiamo.
Vicende come queste per alcuni sono un stimolo a studiare il tema della security. Quali percorsi di studio suggeriresti a chi vuole seguire questa strada?
Non esistono percorsi di studio da suggerire, esistono percorsi di vita da consigliare e l'unico che mi sento d'indicare è quello della passione estrema per questo settore, passione che non ti fa pesare questa vita e soprattutto non avere orari ed essere stimolati nella ricerca continua. Poi esistono percorsi secondari di studio che possono essere utili, molte università si stanno organizzando con percorsi specifici, penso alla Sapienza o al Politecnico di Milano e molte altre, sicuramente aiutano ma non sono sufficienti.
Colgo l'occasione di invitare chiunque fosse interessato a un colloquio con noi scrivendo a info@aspisec.com. Consiglio ai ragazzi d'investire su questa strada, molte aziende hanno bisogno di queste figure e anche le istituzioni sono alla ricerca di ragazzi con talento. Deve essere uno sforzo generazionale per rendere sicuro il nostro paese per le sfide presenti e soprattutto per le sfide che verranno.
Internet of Things, grandi opportunità ma anche possibili pericoli se non s'investe nella sicurezza. La situazione, secondo te, è tragica o sta aumentando la consapevolezza delle aziende?
La consapevolezza delle aziende sta sicuramente migliorando ma la situazione è davvero tragica, moltissimi dispositivi devono costare poco, anzi pochissimo e per far ciò e essere competitivi i vendor non investono assolutamente nulla in sicurezza e in qualità generale del software, ripiegando spesso su aggiornamenti e fix rilasciati nel tempo, che non sempre vengono installati dagli utenti sia aziendali che singoli.
Questo nel tempo ha creato una situazione in cui moltissimi dispositivi mantengono delle vulnerabilità facilmente sfruttabili. Ripeto, la situazione sta migliorando, ma rimangono problemi strutturali che si risolveranno solo aumentando la consapevolezza delle aziende e dimostrazioni come quella che ho fatto servono proprio a quello, generalmente prove simili sono molto più efficaci di 1000 slide.
Come consumatori che cosa possiamo fare per mitigare il problema della scarsa sicurezza dei dispositivi connessi?
Dal mio punto di vista i consumatori devono iniziare a pensare più alle conseguenze delle loro azioni e a scegliere i prodotti non solo per il rapporto prezzo/performance ma anche basandosi sulla qualità delle misure di sicurezza che un dispositivo può offrire piuttosto che un altro.
È ovviamente un percorso lungo e complesso perché consiste in una rivoluzione della metodologia di scelta; sogno un processo molto simile a quello avvenuto con tempo per le etichette biologiche e per il tracciamento degli alimenti, è stato un processo lungo ma alla fine ha dato dei risultati.
Nel breve periodo consiglio sicuramente moltissima attenzione agli aggiornamenti perché sono il cuore di ogni buon sistema di protezione ed evitano molti problemi e poi in secondo luogo (sarà scontato) ma un approccio più sistemico alle password: no default, no password uniche. Poi secondo me bisognerebbe imparare a usare file container criptati, ve ne sono di tutti i tipi, molti open e semplici da usare. Bisogna crearsi una piccola cassetta di sicurezza per i propri dati sensibili.
Auto autonome, grande opportunità ma anche un potenziale pericolo se un malintenzionato riuscisse a prenderne il controllo. Vedi la necessaria attenzione al capitolo sicurezza da parte delle realtà del settore?
Devo dire di sì, ma questo perché sostanzialmente le tecnologie sono recentissime e sono nate già quando la tematica della sicurezza era parte integrante del discorso, quindi sono progettate per essere sicure, o almeno ci provano.
Dal lato business un solo incidente provocato da un attacco informatico potrebbe facilmente azzerare una società, perché verrebbe a mancare la fiducia, quindi le case automobilistiche, tenendo bene in mente questa cosa si comportano di conseguenza, altri settori arrancano perché sono nati prima e hanno la difficoltà di adattarsi a un nuovo paradigma, ma la situazione sta fortunatamente cambiando.
Puoi raccontarci un caso di clamorosa negligenza sul fronte della sicurezza in cui ti sei imbattuto durante la tua attività e che ti è rimasto impresso?
Sarò breve e conciso: più di 100.000 euro di hardware fra firewall, IPS, ecc. non configurato ma solo acceso. Purtroppo la cyber security è un settore dove vi è un forte disallineamento d'informazioni fra cliente e fornitore e quindi spesso vi è un tema di deontologia professionale.
Spesso e volentieri chi segnala un problema finisce per essere accusato dall'azienda "colpita". Solo negli ultimi anni questo atteggiamento ha iniziato a cambiare. È successo anche a te e cosa pensi delle pratiche divulgative dei problemi di sicurezza?
Sì assolutamente la situazione è molto cambiata e ora pochissime realtà commettono questo grave errore, anche a livello governativo la "responsible disclosure" sta diventando un tema centrale nella strategia di difesa cyber e questo si è potuto avere solo con un radicale cambio di mentalità da parte della classe dirigente pubblico e privata.
Io penso che la responsible disclosure sia un elemento chiave nel creare fiducia fra community "hacker" e resto del mondo, perché crea quella fiducia che serve per collaborare proficuamente e perseguire l'obbiettivo di una sicurezza diffusa. Fortunatamente a me nel mondo civile non è mai capitato, nel mondo militare non occidentale qualcuno un po' si è arrabbiato... ma quella è un'altra storia.
2018: secondo la tua esperienza, quali sono le minacce alla sicurezza che segneranno il nuovo anno?
Secondo me nel 2018 vedremo un ulteriore rafforzamento delle campagne di ransomware che stanno diventando sempre di più un problema sia nei contesti aziendali e sia in quelli domestici, con la differenza che inizieremo a vedere anche ransomware più strutturati in contesti aziendali volti a provocare un fermo macchine nelle aziende con macchinari a controllo numerico, per poi chiedere riscatti ben più alti forti della pressione economica che un fermo macchine può provocare a un'azienda.
Vedremo anche l'aumento sostanziale di attacchi alle piattaforme Bitcoin proprio per il valore economico che lo stesso inizia ad avere, e in ultima analisi purtroppo mi aspetto un aumento degli attacchi sulle infrastrutture critiche in conseguenza al rilascio di molti exploit PLC e SCADA. Anche gli attacchi firmware aumenteranno sull'onda della distribuzione sempre maggiore di dispositivi IoT.
Il 2018 sarà uno dei primi anni in cui inizieremo secondo me a vedere gli effetti degli attacchi informatici non solo sui servizi digitali ma soprattutto nel mondo fisico, ormai sempre più interconnesso. Questo richiede ancora più unione fra istituzioni, aziende specializzate, aziende e comuni cittadini perché un sistema paese sicuro è un sistema paese in cui tutti contribuiscono alla sicurezza dello stesso.