Giusto per chi se lo fosse perso: l’analisi di Stuxnet sta portando alla luce un lavoro ben più complesso e professionale di quanto ci si aspettasse. Per una descrizione in italiano potete leggere qui, altrimenti potete leggere questo. Le conoscenze sono chiaramente superiori non solo a quelle di un singolo attaccante, ma anche di un generico gruppetto di malintenzionati/delinquenti. La disponibilità di tutte queste conoscenze suggerisce che ci sia dietro un’organizzazione professionale. Non voglio speculare su quale, ma pensiamo una cosa: c’è da qualche parte un’organizzazione che, fra l’altro, aveva a disposizione almeno quattro zero-day da buttare in questo worm per farlo arrivare dove voleva. Questi quattro zero-day sono venuti fuori perché sono stati messi in un worm che è stato quindi rilevato e analizzato, ma per quanto ne sappiamo quell’organizzazione potrebbe averli usati per anni in attacchi mirati, senza che nessuno se ne accorgesse. Questo rafforza in me una convinzione che ho da tempo, e cioè che le zero-day in giro siano molte più di quelle di cui si sa qualcosa, e che siano non in mano dell’hacker “dilettante” (o “professionista apparente”, che è molto più comune), ma in mano ad organizzazioni che possono mettere in campo le competenze e le risorse per cercarle metodicamente, e solo occasionalmente se ne sente qualcosa. Pensiamo all’organizzazione che ha creato Stuxnet, e sposiamo solo per un attimo la teoria che si possa trattare di (servizi di) Israele: qualcuno pensa che si sarebbero giocati tutte le loro vulnerabilità “private” per metterle in un worm, sia pure per arrivare in Iran, o che quelle quattro rappresentino anche solo una quantità importante, bruciandosi le risorse da utilizzare in azioni successive? Quindi, o da qualche parte c’è un vero mostro della ricerca di vulnerabilità, che riesce a tirare fuori dal cappello 4 vulnerabilità nuove in componenti fondamentali di Windows, giusto per metterle in un worm, che è un ottimo modo per garantirsi che le vulnerabilità vengano chiuse in fretta. Oppure, e mi pare più probabile, dobbiamo rassegnarci all’idea che di queste vulnerabilità ce ne sia una grande quantità, nella disponibilità di chi ha le risorse per cercarle metodicamente. E se la situazione è questa per Windows, immaginiamoci cos’è per altri prodotti meno analizzati o meno professionali. Tutto questo in barba alle varie protezioni in logica default-permit, tipo antivirus, patch management e IDS/IPS.
Due considerazioni: la prima, banale, è che servono soluzioni robuste architetturalmente e ridondanza, in modo che la singola vulnerabilità non porti a grandi compromissioni, e serve monitoraggio, in modo da rilevare lo sfruttamento di una nuova vulnerabilità prima che l’attacco arrivi troppo in profondità. Esattamente quello che abitualmente viene messo in fondo alle priorità di sicurezza. Tutti discorsi che ho già fatto e non vi tedio oltre. L’unica soluzione diffusa che rientra in questa categoria al momento sono le soluzioni di IAM, se usate tenendo conto di questo problema.
La seconda considerazione riguarda tutto il polverone di questo periodo legato alla definizione di Cyberwar, che sospetto abbia il solo scopo di permettere di sdoganare nuovi tipi di attività offensiva, passandola per difensiva. Giustamente viene evidenziata la difficoltà di individuare l’effettiva origine di un attacco, ma la vera difficoltà secondo me è capire se c’è un legame fra questa e un governo. E se, com’è facile, nella maggior parte dei casi il legame non si trova? Se un gruppo ben organizzato di hacker cinesi attacca una struttura critica degli USA, è un “cyberattacco”? Anche se lo stesso tipo di attacco avrebbe potuto portarlo un analogo gruppo USA, alla stessa infrastruttura USA? A scopo commerciale/vandalico, e non politico?
Come ho già detto, secondo me ci muoviamo verso un nuovo periodo di guerra da corsa (nel senso dei corsari): gruppi di hacker al soldo di governi, che agendo in piena autonomia, eventualmente con un piccolo aiuto in termini di risorse e conoscenze, attaccano, rubano (proprietà intellettuale, know-how) e consegnano alla madrepatria. Altro che cyberwar. Le nazioni più diffusamente vulnerabili saranno quelle che si vedranno maggiormente scappare le loro competenze e la loro competitività, sempre che quelle stesse nazioni non regalino già direttamente le loro competenze all’estero, utilizzando servizi in outsourcing dove capita anziché sviluppare infrastrutture strategiche in casa.