Torna il rapporto Clusit, con una quarta edizione che si presenta più ricca del passato grazie a nuovi contributi: oltre a quello di FastWeb, già presente lo scorso anno con i dati registrati sulla propria rete, si sono aggiunti Akamai, che ha messo a disposizione i dati sugli attacchi DDoS visualizzati sulla propria infrastruttura, e IBM, che ha fornito uno studio sugli attacchi in Europa e Medio Oriente.
Un primo dato messo in evidenza da Alessio Pennasilico e Andrea Zapparoli Manzoni, membri del direttivo del Clusit e tra gli autori del Rapporto, riguarda la crescita di quello che, a seconda dei casi, viene chiamato Information Warfare o Cyber War. È la guerra che viene combattuta in Siria, Iraq e Ucraina, tanto per citare i conflitti in corso più vicini a noi.
Oltre alle battaglie sul terreno vengono infatti sferrati attacchi sul fronte del cyberspazio. A livello globale, queste azioni in supporto di attività militari e paramilitari sono aumentate del 68% rispetto all'anno precedente. Una minaccia informatica che mette a rischio l'integrità dei sistemi e del patrimonio informativo non solo dei paesi coinvolti nei conflitti, ma anche delle organizzazioni pubbliche e private di altre nazioni, con rischi in ambito politico, economico e sociale: basti pensare al reclutamento di giovani facilmente condizionabili attraverso i social network.
In generale il numero degli attacchi è aumentato anche quest'anno e, sempre più, resta dominante la percentuale di quelli ascrivibili al cybercrime: il 60% nel 2014, secondo le rilevazioni del Clusit. Va anche sottolineato che in questa edizione sono stati applicati criteri più ristrettivi sulla gravità degli attacchi: per esempio si è ritenuto di non considerare attacchi di defacement (sostituzione della home page su un sito Web di aziende o, più frequentemente istituzioni governative) che non abbiano riportato anche danni materiali. Di fatto, il danno considerato in passato era quello di immagine, ma ormai sono eventi che "non fanno più notizia".
Sei stato attaccato e non lo sai
Non sono mancati nel mondo attacchi gravissimi, mentre in Italia è stato possibile rilevarne troppo pochi: l'1% scarso del totale, un dato che statisticamente si discosta in maniera eccessiva, lasciando credere che permanga la tendenza a non denunciare gli attacchi e, purtroppo, che molte aziende non si accorgano neanche di essere attaccate. Lo conferma indirettamente la rilevazione effettuata sulla rete di Fastweb.
Purtroppo qualunque cosa si trova online è stato o sarà attaccato. Lo afferma Zapparoli Manzoni, avendo verificato sul campo che esistono sistemi "in ascolto" sulla rete, pronti a tentare un attacco non appena viene installato un nuovo dispositivo o aggiornato un firmware, per esempio, di un router.
In altre parole, nessuno può sentirsi al sicuro e, se non si implementa un sistema di sicurezza adeguato, l'unica speranza di non subire danni sarà sperare chi attacca cerchi qualcos'altro. Però qualcosa di utile c'è sempre, anche solo la possibilità di prendere possesso del computer (ma l'utente continua a usarlo ignaro) per inserirlo in una botnet.
Il declassamento di alcuni eventi ha portato a ridurre nel conteggio gli attacchi di hacktivism, che, peraltro, appare un fenomeno relativamente in declino. La ragione principale è proprio dovuta al calo della risonanza mediatica, obiettivo principale degli attivisti informatici. Le motivazioni di fondo, però, non sono venute meno, e l'insoddisfazione trova altre strade: c'è chi cresce e, uscendo dall'adolescenza, diventa un "white hat", lavorando magari per alcune delle istituzioni contro cui protestava (alcuni sono stati identificati e messi sotto inchiesta, ma poi assunti), e chi passa ad azioni meno dimostrative, abbracciando il lato oscuro dell'hacking.
Complessivamente all'hacktivism è attribuibile il 27% degli attacchi gravi selezionati dal Clusit, al secondo posto dopo il 60% del cybercrime e prima dell'8% e 5%, rispettivamente di spionaggio/sabotaggio e cyber warfare.
La situazione in Italia
In Italia la distribuzione degli attaccanti è divisa in 60-40 cybercrime e attivisti. Di fatto, se si guardano i dati di dominio pubblico, i bersagli preferiti sono le forze dell'ordine, attaccati dagli hacktivist. Gli altri attacchi sono distribuiti verso diversi settori economici, quali sport, moda, distributori di software e altri. Statisticamente, ha più valore il dato mondiale, che vede compreso tra le vittime praticamente qualsiasi tipo di attività.
A livello italiano sono disponibili anche i dati registrati dal SOC di Fastweb, il cui responsabile, Davide Del Vecchio, anch'esso membro del Consiglio Direttivo del Clusit, spiega con sincerità: «Contribuisco a realizzare il rapporto perché sono preoccupato e sensibilizzare imprese e individui è un tassello fondamentale per aumentare le contromisure».
Fonte della preoccupazione è la già evidenziata "omertà": in Italia solo gli operatori di telecomunicazioni sono obbligati a rendere pubblico un incidente e solo se questo ha riguardato il furto di dati relativi ai clienti. Il risultato è che emergono solo una minima parte delle minacce e non si ha consapevolezza di cosa sia più urgente fare.
I dati di Fastweb dimostrano come gli incidenti ci siano, anche se non vengono denunciati. Precisando che i dati sono stati aggregati e anonimizzati per proteggere la privacy e la sicurezza dei clienti, Del Vecchio riporta che il 93% degli attacchi rilevati sulla rete di Fastweb sono ascrivibili al cybercrime. Pure il restante 7% probabilmente lo è, ma ha come obiettivo il furto di dati, quali credenziali di accesso o altre informazioni sensibili. C'è da pensare che questo 7% rappresenta fasi iniziali di un attacchi mirati.
La minaccia principale è la diffusione di malware, ma si registra anche un notevole incremento degli attacchi DDoS. Del Vecchio, però, avvisa che hanno raffinato le tecniche di analisi, il che spiega in parte l'elevato incremento, dovuto anche al miglior rilevamento: si è infatti passati da 173mila a oltre 5 milioni di eventi analizzati e da circa 1000 a più di 16mila attacchi DDoS individuati.