Condividi Facebook Twitter

Cesar Cerrudo esperto di sicurezza ha previsto attacchi ransomware come quello che la scorsa settimana ha paralizzato l’attività governativa della città di Atlanta, ha detto che le autorità delle città di tutto il mondo dovrebbero capire questa minaccia.

Atlanta una delle più grandi città americane per più di una settimana, è stata ostaggio degli hacker. Keisha Bottoms sindaca di Atlanta ha descritto il paralizzante attacco informatico di un famigerato gruppo di hacker noto come SamSam, iniziato lo scorso giovedì, essenzialmente ha costretto una città tecnologicamente evoluta a tornare a utilizzare la carta e la penna:

«Il cyberattacco ha crittografato i file, bloccato l’accesso ai servizi online, l’elaborazione di casi giudiziari. I sistemi di emergenza non sono stati influenzati. Gli hacker per togliere il blocco, hanno chiesto un riscatto di 51.000 dollari in Bitcoin».

Atlanta con l’aiuto della società di sicurezza locale Dell SecureWorks, ha recuperato alcuni dei suoi servizi, incluso il suo sito ATL 311, venerdì ha ripreso ad accettare richieste di assistenza online. SamSam individuato come il gruppo di hacker che ha preso in ostaggio la città di Atlanta, di solito dà alle vittime una settimana di tempo per pagare. Tuttavia, al momento non è dato sapere se Atlanta ha ceduto alle richieste degli hacker.

Cesar Cerrudo ricercatore di sicurezza di fama mondiale (recentemente ha fondato Securing Smart Cities, un’iniziativa senza scopo di lucro per rendere più sicure le città di tutto il mondo), aveva previsto questo tipo di attacco tre anni fa, nel 2015 in un “White Paper“ per la società di sicurezza IOActive Labs, ha reso evidente uno dei molti pericoli di essere mal preparati contro le minacce informatiche:

«I criminali informatici potrebbero trovare una buona opportunità di guadagno, per esempio bloccando e chiedendo un riscatto di 100 milioni di dollari in Bitcoin alle città per riprendere il controllo dei loro sistemi informatici e delle infrastrutture compromesse».

Il mese scorso, Leeds un comune degli Stati Uniti d’America situato nelle contee di Jefferson, St. Clair, Shelby dello Stato dell’Alabama, ha pagato agli hacker 12.000 dollari in Bitcoin per riprendere il controllo dei suoi sistemi informatici; nell’ultimo anno, gli attacchi di ransomware hanno preso di mira le città nel North Carolina, nel Tennessee, nel New Jersey, e la lista continua. L’attacco alla città di Atlanta è stato particolarmente diffuso, interessando potenzialmente circa 6 milioni di persone.

Cesar Cerrudo per anni ha portato avanti una crociata per avvertire le città che non dovrebbero perseguire la tecnologia smart-city se non sono completamente preparate ad affrontare le vulnerabilità della sicurezza (in un laboratorio controllato arrivò persino a “hackerare” i sistemi di traffico per evidenziare le loro lacune), ha detto:

«Un attaccante con seri intenti potrebbe abbattere una città. Non sono sorpreso sull’ultimo attacco alla città di Atlanta, sono infastidito e arrabbiato, perché poteva essere evitato molto tempo fa».

Cesar Cerrudo sul documento che ha prodotto per IOActive Labs, è stato intervistato sul perché le città devono prendere sul serio la sicurezza informatica e cosa è in gioco. In sintesi a domanda, ha risposto:

I dettagli sono ancora in gran parte sconosciuti, ma i rapporti dicono che SamSam colpisce organizzazioni con una sicurezza debole, in genere sfruttando vulnerabilità prive di patch nella tecnologia. Per quanto ne sai tu, come ha reagito Atlanta a quest’attacco?

Un rapporto dopo l’indagine della National Security Agency (NSA, Agenzia per la Sicurezza Nazionale, è l’organismo governativo degli Stati Uniti d’America, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale), ha detto che gli aggressori hanno sfruttato alcune vulnerabilità corrette l’anno scorso. Ciò che dice questa informazione è che i sistemi di Atlanta non sono stati aggiornati sulle correzioni di sicurezza, ciò non è raro, perché a volte è difficile per le grandi organizzazioni mantenere tutti i sistemi aggiornati.

Atlanta se non ha un backup d’informazioni critiche, probabilmente finirà per pagare, a meno di non essere preoccupata sulla perdita di dati

E’ una pratica comune. Le città in generale procedono alla sicurezza informatica come fanno le aziende private, ma a livello governativo, hai meno risorse e anche meno persone qualificate, ciò rende le cose più difficili. Devi anche avere a che fare con la politica, la sicurezza è qualcosa d’invisibile, soprattutto se le persone percepiscono che non ci sono molti attacchi. Se non ti aggiorni con le correzioni di sicurezza, come nel caso di Atlanta, puoi essere vittima di un ransomware dannoso.

I rapporti hanno chiamato SamSam “opportunista”, poiché il gruppo è davvero interessato ai soldi. Per quanto riguarda l’hacking governativo, quanto è grave la situazione di Atlanta?

La città avrebbe potuto avere maggiori problemi. L’anno scorso il sistema di allarme di Dallas è stato violato, le sirene del tornado suonavano di notte per una o due ore fino a quando le autorità non sono state in grado di spegnerle. Ciò ha provocato panico e 4.000 chiamate al 911.

Il sistema ferroviario di San Francisco nel 2016, è stato colpito dal ransomware, quindi ha dovuto lasciare che la gente viaggiasse gratuitamente fino a quando non ha potuto recuperare il sistema. Lo scorso novembre, un attacco ransomware al sistema di transito regionale di Sacramento ha cancellato 30 milioni di file, ci sono stati altri attacchi alle reti elettriche e idriche e anche agli aeroporti. Le conseguenze sono molto diverse e possono essere ampie, creando talvolta un effetto a cascata.

Nel caso di Atlanta, non sembra che i sistemi sensibili siano stati colpiti. I cybercriminali volevano solo fare il minimo sforzo per ottenere il massimo profitto, un modo semplice per fare soldi. Atlanta in parte è stata fortunata a non cadere nelle mire di un attaccante deciso ad abbattere una città, potrebbe farlo.

La città avrebbe dovuto pagare il riscatto?

Bene, quando si è colpiti da un attacco ransomware, ci sono solo due modi per risolverlo: si paga o si ha un backup recente da cui è possibile recuperare tutte le informazioni.

Ora, avere copie backup d’informazioni importanti è una pratica comune che è eseguita presso organizzazioni private e pubbliche. Il problema è che tra i backup fatti settimanalmente, ogni giorno o ogni cinque ore, potrebbero esserci molte nuove preziose informazioni. Se il ransomware ha infettato il sistema tra un backup e l’altro, potrebbe averle bloccate. Quindi dipende. Se Atlanta non ha un backup d’informazioni critiche, probabilmente finiranno per pagare, a meno di non essere preoccupati di perdere i dati.

Quali sono le lezioni da trarre da questo incidente?

La prima lezione è che dovremmo iniziare a educare le persone, i politici e altri decisori chiave che la sicurezza informatica è importante e perché è importante. Se le persone non capiscono questo, allora nessuno investirà nella sicurezza informatica e quasi nulla cambierà. Devi investire attivamente nella sicurezza; non è qualcosa che fai una sola volta ed è sicuro. Non c’è tempo da perdere, perché dopo l’attacco della scorsa settimana, un altro può accadere oggi o domani. Andrà solo peggio, non meglio.

Il problema in un certo senso, è perché le città corrono per diventare “intelligenti”?

La città quando progetta di acquisire nuove tecnologie, fa molti test di funzionalità, verifiche se la tecnologia è forte, se può scalare, ma non esegue quasi nessun test di sicurezza, quindi acquisisce una tecnologia senza assicurarsi che sia abbastanza sicura da non essere compromessa, questo è un grosso problema, significa che ogni giorno utilizzando diverse tecnologie si crea più possibilità di un attacco.

L’hai descritto nel tuo articolo del 2015, le tecnologie intelligenti implementate nel controllo del traffico, parcheggi, illuminazione stradale, trasporto pubblico, ecc., stanno creando “superfici di attacco” più grandi per potenziali cyberattaccanti

L’adozione di nuove tecnologie sta crescendo a un ritmo rapido, spesso senza tenere conto della sicurezza informatica. Molte città in tutto il mondo sono in pericolo mentre diventano più intelligenti. La tecnologia intelligente apre le porte agli attacchi informatici, possono avere un enorme impatto nella vita quotidiana dei cittadini. Continuiamo a utilizzare sempre più tecnologie e, man mano che cresce la nostra dipendenza, aumenta anche la superficie di attacco quando si utilizza una tecnologia non sicura.