Bratislava, 1987. Il regime comunista controlla la Cecoslovacchia quando tre amici, nella più classica delle storie di start up tipiche della Silicon Valley, con un enorme talento per linformatica scoprono uno dei primissimi virus informatici e decidono di creare uno strumento per combatterlo. Peter Pako, Miroslav Trnka e Rudolf Hrubý creano così NOD, che insieme ad altre sperimentazioni dellepoca in altre parti del mondo, si può considerare come il capostipite degli anti virus che ormai sono diventati uno standard su ogni PC. NOD prende il nome da uno show televisivo dellepoca, il cui titolo si può tradurre in ospedale nella periferia della città e le iniziali, sostituendo disco a città in cecoslovacco, diventano appunto NOD. Una sorta di porto sicuro per chi già prima degli anni 90 cominciava a esplorare il mondo dellinformatica con i primi Personal Computer.

La presenza del regime comunista impedì, in prima battuta, ai tre amici di Bratislava di creare una società per sviluppare e commercializzare il proprio software anti virus e solo dopo la rivoluzione di velluto del 1989 che portò alla caduta del regime comunista si crearono le condizioni che portarono alla fondazione di Eset nel 1992. Ancora oggi la sede principale di Eset si trova a Bratislava e la società è diventata uno dei leader nellendpoint security a livello mondiale. Oggi Eset ha oltre 1.600 dipendenti e 22 centri in quattro continenti. Con i propri prodotti Eset raggiunge oltre 110 milioni di clienti e, grazie allintegrazione di tecnologie Eset in Google Chrome di fatto oltre 1 miliardo di persone utilizza i servizi dellazienda.

Eset: per il fondatore Miroslav Trnka è in atto una vera propria Cyber War

In occasione della Global Press Conference, che si è tenuta a Bratislava a metà ottobre, abbiamo prima di tutto avuto la possibilità di incontrare Miroslav Trnka, uno dei tre storici fondatori dellazienda, ancora oggi attivo in Eset e con una visione molto chiara sullevoluzione che sta avendo il panorama della Cyber Security a livello mondiale. Come molti osservatori sottolineano da anni ormai, è passato il tempo delle minacce sviluppate da persone o gruppi tecnicamente molto capaci, che avevano effetti devastanti, ma le cui finalità erano legate al mostrare le proprie capacità più che ad arrecare danni. Da anni i protagonisti (negativi) della Cyber Security sono vere e proprie organizzazioni criminali che hanno quasi sempre un interesse economico che giustifica le loro azioni. Parliamo di schemi per rubare dati o direttamente soldi a un numero molto elevato di utenti finali, ma anche azioni più mirate, ad esempio con finalità di spionaggio industriale. Le minacce si sono fatte, ormai da anni, molto più silenti, perché non si vuole essere scoperti per poter prolungare nel tempo gli effetti delle azioni intraprese. Questo contesto, per quanto complesso e pieno di insidie, sia per gli utenti finali che per le aziende, vede comunque contrapposte entità più o meno numerose di individui che perseguono interessi specifici e privati. Secondo Miroslav Trnka negli ultimi anni cè stata unulteriore escalation e oggi le minacce informatiche sono diventate delle vere e proprie armi utilizzate dai governi di molti paesi in quella che potremmo chiamare una Cyber War. La prima conseguenza di questo nuovo scenario è che dietro le azioni di Cyber Warfare ci sono delle organizzazioni con dei finanziamenti non comparabili a quelli di qualsiasi gruppo privato, cosa che rende le azioni governative molto più difficili da contrastare, per chi si ritrova ad essere attaccato. Miroslav Trnka ha anche ribadito che Eset non offre i propri servizi a enti governativi, come i servizi segreti dei vari stati, e che la sua missione continua ad essere di offrire a persone e aziende le soluzioni più avanzate per proteggersi dalle minacce informatiche.

Eset: 300.000 malware rilevati ogni giorno

A testimoniare limpegno della struttura di Eset nella costante ricerca di soluzioni concrete cè il numero impressionante di malware identificati ogni giorno. Sono più di 300.000 i diversi malware che i laboratori di Eset intercettano ogni giorno, nelle varie strutture sparse in giro per il mondo. A Bratislava, nella sede principale, abbiamo visitato la control room principale dove vengono costantemente monitorate le minacce, reali e potenziali, che si diffondono sui PC protetti da Eset più una serie di fonti secondarie, come le informazioni che vengono condivise fra i vari produttori di soluzioni di sicurezza informatica. Questo è un lavoro costante, che viene svolto ogni giorno per identificare i trend di fondo e quali sono le minacce più diffuse.

Parallelamente a questo lavoro di costante monitoraggio, Eset si concentra sullanalisi di minacce specifiche, creando diversi di team di ricerca, con competenze specifiche, che hanno il compito, spesso molto gravoso, di analizzare il comportamento e levoluzione delle tattiche di APT o di attacchi mirati a determinate tipologie di dispositivi. APT sta per Advanced Persistent Threat e identifica le attività di specifici gruppi, spesso sponsorizzati da governi, che concentrano le loro attività malevole su determinati obiettivi e con specifiche tecniche. Durante la Global Press Conference di Eset si sono susseguiti sul palco dei ricercatori che hanno descritto le come hanno affrontato lanalisi del comportamento di specifici APT e soprattutto quali azioni sono state messe in atto per cercare di contrastarli.

Gli approcci cambiano molto, a seconda del tipo di attacco e soprattutto dellobiettivo che i vari gruppi si prefiggono. In linea di massima comunque, gli esperti di Eset quando scoprono che un determinato obiettivo, che sia unazienda o un ente governativo, è stato compromesso si mette in contatto con la vittima prima di rendere pubblico il risultato dellanalisi, per aiutarla a risolvere il problema e a contenere i danni.

IoT: la nuova frontiera della sicurezza informatica

Un esempio è legato a delle falle di sicurezza riscontrate mesi fa su due dispositivi IoT prettamente consumer come unIP Cam di D-Link e lAmazon Echo di prima generazione, che Eset ha trovato vulnerabile a un Krack attack.

Questo tipo di attacco permette di intercettare le chiavi di crittografia fra il device e il router con cui si collega a Internet, permettendo allattaccante di intercettare il flusso di dati, esporre dati sensibili e iniettare dati con intenti fraudolenti. Eset ha contattato inizialmente Amazon riportando la vulnerabilità al Krack Attack nellottobre 2018, a quel punto Amazon nel gennaio 2019 ha confermato che avevano replicato le condizioni dellattacco e successivamente ha risolto la vulnerabilità con un aggiornamento del firmware. In generale nel mondo in grande crescita dei dispositivi IoT il problema principale è che non è sempre possibile proteggere i dispositivi e che spetta al produttore risolvere il problema, appunto aggiornando il firmware. Eset consiglia quindi di non rendere i dispositivi IoT direttamente raggiungibili via Internet, se non è strettamente necessario, di modificare sempre le password di accesso ai dispositivi e di utilizzare delle strong password. Altro elemento fondamentale è aggiornare costantemente il firmware per essere certi di avere le ultime patch di sicurezza rilasciate dal produttore e in ultima analisi scollegare tutti i dispositivi che non vengono utilizzati.

I malware sono diventati delle armi in mano ai governi

Passando a ricerche correlate ad APT in qualche modo legati a enti governativi, grande attenzione è stata data alle attività dei famigerati Dukes, gruppo operante in Russia e diventato famoso per aver compromesso diverse risorse del partito democratico americano durante le elezioni presidenziali che hanno portato Trump a essere eletto come capo di Stato negli USA. Di fatto sono proprio state le azioni attribuite a questo APT che hanno fatto nascere lo scandalo della potenziale collusione fra Trump e il governo russo.

Dal 2017 i Dukes sembravano essere spariti e quindi che il gruppo si fosse sciolto dopo i notevoli risultati ottenuti durante le presidenziali USA. Invece Matthieu Faou, il ricercatore di Eset a capo del progetto legato ai Dukes, è fermamente convinto che non siano mai spariti, ma che invece abbiamo continuato a operare nellombra, come di fatto cè anche da aspettarsi da quelle che sono a tutti gli effetti delle spie. In particolare, il gruppo di ricercatori di Eset ha rilevato luso di tecniche di attacco già utilizzate dai Dukes in passato, come lutilizzo di social network, fra cui Reddit e Twitter, per diffondere dei link criptati che facevano scaricare delle immagini allapparenza innocue, ma che sfruttando la steganografia nascondevano del codice maligno al loro interno. Gli obiettivi erano comunque delle entità governative e quindi coerenti con le precedenti attività dei Dukes. Lipotesi formulata dai ricercatori di Eset è che il gruppo si stia preparando a nuove azioni in vista delle elezioni presidenziali negli USA del 2020.

Questi sono solo due esempi della costante attività di ricerca che viene effettuata da Eset per scoprire quali minacce e quali gruppi stanno operando nel nuovo panorama della Cyber War. Un filo conduttore di tutte le attività di ricerca è che la fase più delicata non è lindividuazione della minaccia ma lattribuzione a uno specifico gruppo. I ricercatori di Eset lavorano quindi a identificare una sorta di impronta digitale telematica lasciata dai vari gruppi, andando a individuare quegli elementi distintivi, e spesso unici, che permettono di effettuare unattribuzione chiara, elemento questo molto importante per poi cercare di bloccare o comunque contenere le attività dei vari gruppi. Concludiamo ribadendo un concetto importante: le attività dai vari gruppi di ricerca di Eset vengono condivisi con chi ha subito un attacco prima di rendere pubblici i risultati delle ricerche.