In questi giorni si è parlato di una falla nei sistemi di sicurezza della Difesa Italiana. Quali rischi può portare un mancato aggiornamento del software?
Poco prima del Ferragosto alcune entità della Difesa sono state oggetto attenzioni della stampa volte a sottolinearne le debolezze e l’esposizione alle minacce dei cybercriminali. Nonostante la pronta replica della Difesa Italiana, il dibattito ha avuto qualche ulteriore strascico presso altre testate che non ha però chiarito alcuni aspetti tecnici, utili nel contribuire ad una opinione oggettiva.
Che cosa è successo
In sostanza quello che si andava a commentare era la possibile vulnerabilità del software Akab, implementato presso il comando C4 Difesa e nella rete EiNet dell’esercito, dalla società Araknos S.r.l., che essendo fallita, non è mai intervenuta negli ultimi due anni, per gli aggiornamenti di sicurezza informatica opportuni. Secondo quanto emerso ci potrebbe essere una situazione di pericolo non gestito soprattutto per EiNet, la rete dell’esercito, con la conseguente esposizione ad azioni di attacco da parte di criminali informatici capaci di sfruttare le suddette vulnerabilità. La replica della Difesa non si è fatta attendere, nella forma di un comunicato che il 14 Agosto ha specificato le opportune ragioni. In particolare la rete EiNet è una rete chiusa e interna, non accessibile dall’esterno e comunque il ruolo del software Akab è di “sentinella” sulle anomalie del traffico, è attualmente ridondato dalla presenza di altri software similari e la sua sostituzione è in corso.
Nei giorni successivi anche altre due testate hanno preso posizione l’una calcando la mano sulle fragilità e ingenuità della difesa italiana, l’altra riaffermandone invece sovranità e legittimità e fornendo possibili spiegazioni dello scoop di Ferragosto con possibili scenari esplicativi.
Un po’ di chiarezza sui rischi corsi
Date le molte versioni diramate, ci sembra opportuno chiarire il tipo di software di cui si parla e soprattutto a che tipo di implementazione solitamente sia soggetto, per comprendere meglio l’effettivo rischio di un suo mancato aggiornamento. Akab è un apparato di Security Information and Event Management (SIEM), ovvero un sistema di gestione delle informazioni e degli eventi di sicurezza. La funzione di un SIEM è fornire un’analisi in tempo reale, di tutti gli avvisi di sicurezza generati dall’analisi di log e di fonti informative derivanti dall’hardware di rete e dalle applicazioni di un intero sistema informatico. L’analisi è svolta mediante aggregazione e correlazione di tutti i dati ricevuti ed è finalizzata ad emettere alert e a fornire uno stato aggiornato pattern di attacco standardizzati o meno, mediante dashboard apposite. I dati possono essere storicizzati per rispondere ai requisiti di retention desiderati e in generale per favorire procedimenti di analisi forense in caso di incidenti. Grazie a queste funzioni può essere definito una “sentinella”, ma è la sua tipica collocazione all’interno della configurazione di rete a rendere il suo mancato aggiornamento meno determinante per un attacco che volesse vertere proprio su questo apparato. Infatti, in una normale configurazione, il SIEM non è sul perimetro esterno di una rete aziendale, ma al suo interno ed è solitamente protetto da apparati di frontiera come ad esempio Firewall, IPS, IDS. Il SIEM è più spesso il fulcro di un “centro stella” (una configurazione di rete appunto a forma di stella n.d.r.) e necessita di operare all’interno di una rete, interfacciandosi con gli altri apparati hardware e con gli applicativi software.
Per cui è difficile che sia acceduto direttamente dall’esterno a meno di falle dirette negli apparati di frontiera, o delle sconsigliabili pratiche di lasciare accessi di manutenzione dall’esterno che normalmente non si applicano ai SIEM, proprio per il loro ruolo. In aggiunta a queste specificità dei SIEM, la replica della DIFESA specifica che il mancato aggiornamento di Akab non lede la generale capacità di detection, perché sono presenti altri software dello stesso tipo che assolvono allo stesso compito. Non è chiarito se siano implementati sequenzialmente fra loro o in parallelo, ma cmq si tratta di altri SIEM che garantiscono una ridondata capacità di analisi. L’avviata attività di sostituzione contribuisce a chiarire come la situazione sia gestita in termini di remediation e contromisura del rischio.
Dunque il software è effettivamente non aggiornato a causa fallimento del suo fornitore, ma non rappresenta un rischio dimenticato e non trattato
Cybersecurity e Difesa
In aggiunta si ricorda che sono in corso anche altre iniziative in favore dell’aumento delle capacità di cybersecurity per la Difesa, come è stato recentemente esposto durante la CWC 2017 dal Gen. B.A. Francesco Vestito, Direttore CIOC (Comando Interforze Operazioni Cibernetiche): il CIOC si strutturerà per le Computer Network Operations, identificando anche un Comando Informativo Operativo (CIO) che in aggiunta al dominio sulle reti, permetterà di acquisire una Cyber Dominance sulle informazioni, coadiuvato da cellule operative Cyber capaci di lavorare nel dominio digitale sia per acquisire informazioni, sia per azioni di difesa.
Su temi che attengono alla sicurezza nazionale l’attenzione e la discrezione è d’obbligo e non per celare informazioni al pubblico, ma solo per non favorire chi potrebbe approfittare di determinate informazioni, principalmente attori malevoli che potrebbero escogitare appositi workaround, o eventualmente tentare una speculazione sulla scia della notizia.