Attenti pirati arriva lo sceriffo!! 1

Attenti pirati arriva lo sceriffo!!

018559-470-telecom_italia

A Torino i ricercatori, a Milano la task force. Tecnologie, attività di monitoraggio, alleanze: tutti i segreti per combattere (e vincere) la sporca guerra delle reti. I temi caldi? Mobile security e app, come ci ha spiegato l’AD di Telecom, Marco Patuano…

Ecco l’intervista…

L’Italia è il secondo paese al mondo per la presenza di botnet. Che c’avremo mai da farci rubare?

Abbiamo offerte di servizio che invitano i clienti a rendere più sicuri i loro apparati o i loro pc, registriamo un diffuso disinteresse. Mentre, a livello europeo, molti altri paesi hanno avviato iniziative governative per combattere questi fenomeni. La Germania per esempio ha finanziato un progetto nazionale di contrasto delle botnet che ha coinvolto tutti, definendo una normativa e, meglio ancora, offrendo spazi di negoziazione e possibilità di intervento agli operatori. È un passaggio molto importante: per fare certe operazioni di sicurezza, per tutelare il cliente, in certi casi bisogna analizzare quello che succede dalla sua connettività, dalla sua rete, dal suo pc. In altre legislazioni questo, per un problema di sicurezza di infrastrutture, è permesso, da noi non se ne parla senza il consenso esplicito del cliente. E questo ci lascia con le mani legate, perché se il cliente non è consapevole di correre un rischio, come spesso e volentieri accade, possiamo fare davvero poco. Il cliente comincia a diventare consapevole quando il problema si presenta sul terminale mobile, quando qualcuno con chiamate non desiderate gli scarica il credito. Allora…”.

…impazzisce e s’incazza come una biscia.

“Esatto, perché vede quel che è successo. Invece, se ha un trojan sul pc che gli ruba dati personali, non rendendosene conto immediatamente poiché non è un attacco evidente, l’allarme non scatta”.

In che modo lavorate con le realtà istituzionali – servizi, forze di polizia, organismi diplomatici – che si occupano di cybercrime?

“Noi siamo un’azienda privata e come tale, per le attività che competono alle forze dell’ordine, se ci chiedono di collaborare lo facciamo con grande piacere e con grande buona volontà. Ma cerchiamo sempre di non confondere gli ambiti e le competenze. La nostra più grande preoccupazione è giocare d’anticipo, cioè comprendere e prevenire situazioni di possibile cybercrime, più che perseguire chi ne è autore”.

Qual è il recinto della prevenzione?

“È molto ampio, perché c’è il fronte delle reti e quello delle applicazioni, quindi è veramente a 360 gradi”.

State dicendo che sarebbe ridicolo che voi vi occupaste di Anonymous, per intenderci. Vi occupate soltanto dei modi con cui Anonymous può entrare dentro gli strumenti che stiamo utilizzando e che vende Telecom Italia…

“Qui c’è una realtà di ricerca rivolta soprattutto alla prevenzione, che cerca di dare all’utente anche un certo tipo di educazione, di sensibilità. Chi si occupa di cybercrime, e i nostri clienti dovrebbero averlo ben chiaro, è gente molto competente, di grande intelligenza e grandissima preparazione, che merita rispetto”.

Avete assunto degli hacker?

“Qual è la prossima domanda?”.

Voi prevenite, d’accordo. Ma come riuscite a tenere il passo con la sofisticatezza di questi attacchi?

“In molti modi. È decisiva la collaborazione con il mondo open source: noi contribuiamo allo sviluppo di alcune tecnologie “aperte” e le usiamo per i nostri progetti di security. C’è poi il rapporto con le università, qui e all’estero: abbiamo alcuni dottorati attivi a Torino, e in Italia molte università si sono specializzate su alcune tematiche di security. Abbiamo cominciato questa intervista parlando delle collaborazioni internazionali: stiamo sviluppando alcuni progetti finanziati dalla Comunità europea, uno sulla mobile security è partito in questi giorni. Non è un caso: oggi i due grandi filoni sono la mobile security, che ha un perimetro ben definito, e la cloud security, in netta evoluzione perché è legata ai modelli di servizio destinati a imporsi”.

La terza cosa, della quale non vi occupate, è la cyberwar.

“Non rientra nei nostri compiti”.

Siete cyberdetective, comunque…

“A volte sì, ma non solo”.

C’è un aspetto di divertimento?

“Certo che c’è. Quando non ti diverti è meglio cambiare lavoro. Il divertimento è una componente che si trova qui a Torino ma anche al Security Operation Center, che è la sezione più operativa, diciamo, che si occupa del monitoraggio quotidiano degli eventi di security, a Milano”.

Vi hanno mai fatto degli scherzi?

“Tutti i giorni”.

C’è come la sensazione di giocare al gatto e al topo?

“Certe volte sì. La nostra è ricerca applicata. Naturale che ci porti a capire come vengono costruite le strategie d’attacco, i malware per la rete mobile, e che ci permetta di estrarre informazioni che poi trasmettiamo alle strutture operative per incrementare dei filtri, per fermare per esempio l’utilizzo fraudolento del terminale del cliente. Il proliferare di ambienti rende possibili nuove tipologie di attacco. È come se tu avessi una cittadella con sempre più porte, e le devi difendere tutte. Più ne hai e più diventa complicato presidiarle, e così le tue energie si disperdono. E qui dobbiamo capire le vulnerabilità che ancora non ci sono. Quindi mentre nelle altre aree si fa ricerca per andare avanti e offrire servizi migliori al cliente, qui la prassi è andare avanti per prevenire quello che gli altri potranno fare”.

Avete parlato prima di due grandi filoni…

“Uno dei temi caldi è quello della mobile security, nell’uso delle diverse tipologie di smartphone, e lo stiamo presidiando da diversi punti di vista. Uno è proprio quello delle applicazioni, soprattutto per il mondo Android, che negli ultimi tempi è emerso come il nuovo obiettivo degli hacker”.

Per che cosa? Cosa se ne fanno?

“Individuano nuove vulnerabilità per diversi tipi di attacco. Uno è la frode, monetaria piuttosto che a scopo dimostrativo. Ti faccio vedere che prendo i tuoi dati riservati, custoditi su un dispositivo tuo: foto, contatti, ma anche dati aziendali. Accedo al server aziendale e magari mando questi dati che ti ho sottratto a un server remoto di controllo… Oppure, invece, aggiorno questo malware che ho messo sul tuo dispositivo per fare altri tipi di cose, pilotarlo da remoto e quindi prendere i tuoi dati, mandare sms a numerazioni premium, piuttosto che fare chiamate o intercettarle”.

Ci sono sistemi di localizzazione? Che potrebbero portare a forme di spionaggio…

“Una volta che si ha accesso al dispositivo si ha accesso a tutte le sue funzioni. L’obiettivo principale di chi porta un attacco è monetizzare, avere un motivo per giustificare gli investimenti fatti, sia nello studio che nello sviluppo. Però poi è chiaro che il tutto può sfociare, molto banalmente, nel ricatto”.

Come li possiamo chiamare, sequestrini di dati digitali?

“Il confine tra quello che era una volta l’hacker e la criminalità organizzata che sfrutta queste tecniche per perpetrare frodi è sempre più labile. Oggi arrivare a sistemi aziendali da internet, usando un terminale che sta sulla rete interna, è molto complicato. Mentre può essere più semplice farlo attraverso un cellulare connesso in wifi con la rete aziendale”.

Chi protegge Telecom?

“Telecom”.

Non questo ufficio ma il Soc (Security Operation Center).

“Entrambi. Recentemente siamo stati oggetto di un presunto attacco e questo ha determinato un’analisi congiunta per capire che cosa fosse accaduto. Siamo un’azienda che deve fare molta attenzione alle proprie vulnerabilità”.

Le Telecom sono grandi superterritori. Si può ipotizzare un utilizzo di forme di cybercrime per questioni di concorrenza? Una contro l’altra, è mai accaduto? Se crolla la rete Telecom è chiaro chi se ne avvantaggia, no? Anche due giorni…

“Non mi risulta che sia mai accaduto in nessuna parte del mondo e men che meno in Italia”.

Eppure il buco di BlackBerry di due anni fa fu disastroso, no?

“Le reti erano abituate a segnalare i telefoni come oggetti amici e quindi non prestavano molta attenzione ai rischi che venivano da questi. Oggi un comune smartphone ha una capacità complessiva che dieci anni fa non aveva un pc da tavolo. Il fatto che questo oggetto, fino a ieri innocuo, possa essere utilizzato come piattaforma per lanciare attacchi contro altri soggetti e contro le stesse reti è una situazione che ci obbliga a cambiare strutturalmente il modo di agire. Così noi, tra le tante cose che facciamo, andiamo a verificare che nelle app del mondo Android non ci siano malware. Analizziamo queste app con dei tool del mondo open source, ma li abbiamo anche customizzati per aumentarne le funzionalità, andando a calcolare una sorta di livello di rischio, cioè l’invasività dell’applicazione rispetto ai diritti che ha sul terminale per poter essere eseguita. Abbiamo scoperto che su 82.400 applicazioni gratuite scaricate e analizzate, circa 27mila hanno un profilo di rischio assimilabile a un malware. Questa tendenza si è rivelata costante nel tempo e varia di poco: numeri che non sono necessariamente la rappresentazione di un malware o un virus, ma che ci fanno capire come sia difficile distinguere un’applicazione benevola da una malevola”.

Ma cosa intendiamo per applicazioni benevole o malevole?

“In realtà quelle malevole sono vere applicazioni che ne contengono altre. Prendiamo poer esempio questa app, che è uscita lo scorso novembre: permette di creare, per il sistema Android, sms “spoofati” cioè provenienti da numeri della tua rubrica ma con all’interno una url da aprire e tu, fidandoti del mittente, scarichi il malware. L’app è silente, non ti accorgi di quello che fa”.

E voi come fate a scoprirlo?

“Andiamo sull’Android market, scarichiamo le applicazioni e ne facciamo l’analisi statica del codice per andare a cercare pattern che possono essere assimilabili a malware o a comportamenti illeciti. Verifichiamo i diritti dichiarati, quelli effettivamente utilizzati (mandare sms, effettuare chiamate) e andiamo a incrementare il livello di rischio sulla base di questi elementi, anche per rendere consapevole l’utente dell’invasività dell’applicazione. Si tratta di attacchi contro l’utente, ma sia chiaro: puoi usare lo stesso cellulare per lanciare attacchi contro la rete “.

Parliamo di geografia del cybercrime. Siamo bravi noi italiani dall’altra parte, come criminali?

“Non rispondiamo. O meglio, rispondiamo con un esempio: questo cruscotto che vedi in realtà è il risultato di una serie di attacchi provenienti da una rete che stiamo mettendo su. In sostanza è un server che simula un servizio web creato per farsi attaccare: non si pubblicizza in nessun modo, in teoria nessuno dovrebbe contattarlo perché lui non è da nessuna parte, però quando qualcuno vuole fare qualcosa di malizioso e scansiona la rete lo trova, perché lui c’è anche se sta zitto. Già è sospetto che uno lo cerchi, ma se poi lo trova e lo contatta per portare un pattern di attacco riconosciuto, la macchina dell’attaccante può essere compromessa da un malware oppure può nascondere un attaccante vero. Quindi serve a monitorare la presenza di attaccanti dentro la rete. Noi abbiamo sensori in tutta Italia, sono molti anni che lavoriamo a questa rete e monitoriamo sia la rete fissa che la mobile, entrambi i domini. Quindi conosciamo nel tempo la percentuale di attacchi”.

Ma ce la faremo?

“Certamente”.

Ma qua è un colabrodo!

“Ma no, non siamo messi per niente male rispetto ad altri. Vedi questo oggetto? Monitora nel tempo l’andamento delle reti di Telecom Italia e la loro presenza nelle blacklist, che servono per contrastare il fenomeno dello spam. Non sono altro che grandi liste di indirizzi di cattivi. Servono ai mailserver per filtrare le mail che arrivano. Ci sono ormai delle blacklist affidabili, quelle che monitoriamo, e se il mittente è in blacklist chi usa quella blacklist ignora la mail e non la recapita. Questo per dirti che è fondamentale non finire in blacklist, altrimenti si corre il rischio di non mandare più email”.

Come si entra e si esce dalle blacklist?

“Tipicamente il delisting avviene per ragioni di tempo. Per lo spam, ad esempio, se dopo una settimana non risultano più mail di spam dal tuo account, esci automaticamente dalla lista. In altri casi il cliente stesso chiede di uscire dalla lista. Purtroppo per alcune blacklist il blocco avviene non solo per l’utente sospetto, ma, in certe situazioni, per tutta la rete a cui è collegato. Il grosso del lavoro contro lo spam è stato fatto nel 2010. Il fenomeno è più concentrato al Sud, a parte la Val d’Aosta che è tra le più a rischio. Tutti gli operatori hanno cominciato a occuparsi fortemente del fenomeno intorno al 2010, noi anche prima”.

Ma prima del 2010 è successo di tutto?

“Sì, era un disastro! Il problema dello spam è stato sottovalutato e poi è esploso. Siamo attivi anche su altri fronti. Questo, per esempio, è un sistema che ci consente di monitorare cosa succede su sistemi Dns. Infatti anche se la rete funziona ma il Dns non ti risolve l’associazione tra il nome logico e l’indirizzo IP, tu hai la sensazione che i servizi non funzionino. La cosa che ci dà più lavoro, oltre a botnet e malware, sono gli attacchi di Dos, Anonymous e gli attacchi ai Dns. Però Dos lo gestisce il Soc”.

Quante volte suona l’allarme?

“Tante, diciamo che gli allarmi suonano al Soc e i relativi interventi sono circa 2700 all’anno, a cui si aggiungono 3800 situazioni che vengono anticipate dal Soc stesso”.

Quanta gente c’è al Soc?

“Un centinaio di persone. Per concludere, abbiamo due gruppi che sono un punto di eccellenza in Italia. Il Security Lab che studia le minacce della cybersecurity, analizza i nuovi scenari di rischio, sviluppa e ricerca soluzioni e strumenti innovativi, li sperimenta e testa nei suoi laboratori e il Soc, ovvero il Security Operation Center, che è il centro di monitoraggio e gestione degli allarmi di sicurezza provenienti dalle reti di telecomunicazione e dai data center che ospitano le nostre applicazioni e quelle dei nostri clienti”.

La visita al quartier generale della cybersecurity Telecom è terminata. Si torna a Roma. È venerdì sera. Sull’aereo cinque tra i massimi dirigenti dell’azienda (tra loro ci sono anche il chief information officer Gianluca Pancaccini e il responsabile di technical security Marcello Fausti) tirano fuori episodi sventati, attacchi spuntati, bombe digitali disinnescate. Di ogni tipo. Ogni giorno. Ogni minuto. Il viaggio è, in qualche modo, puro cinema. Sotto di noi, mezza Italia dorme serena, ignara di tutto.

Avatar
Cybersecurity Specialist

Questo si chiuderà in 20 secondi

Translate »