Torniamo un po’ indietro nel tempo, più precisamente al marzo 2020. Qual è la minaccia mondiale che vi viene in mente? L’inarrestabile diffusione del Coronavirus, con tutta probabilità. Ma non era l’unica. Proprio in contemporanea, ma in sordina, in uno dei più gravi attacchi informatici mai avuti, un gruppo hacker è riuscito a penetrare nei server di oltre 200 produttori di software di spicco mondiale.
Non solo, gli hacker hanno preso di mira e rubato dati a funzionari di alto profilo del governo degli Stati Uniti e poi ancora hanno ‘bucato’ i sistemi di sicurezza della Nato, Parlamento europeo, governo britannico. La cosa più incredibile è che l’attacco è stato reso pubblico per la prima volta mesi dopo, il 13 dicembre 2020.
Chi è Kim Zetter
«Ho passato un anno ad approfondire l’hacking di SolarWinds per Wired, parlando con SolarWinds, Mandiant e Microsoft (alcune delle aziende colpite, ndr) e altri, per raccontarvi questa storia dettagliata di come gli hacker sono riusciti a bucare la ‘suply chain’ nel modo più audace e sofisticato della storia… e come alla fine sono stati catturati», scriveva la giornalista Kim Zetter sul suo profilo LinkedIn qualche mese fa.
Chi è appassionato di cybersecurity sicuramente la conosce. Zetter è autrice e giornalista investigativa specializzata in questi temi fin dal 1999. Ha vinto diversi premi e scritto molti libri sul tema, tra cui ‘Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon’, considerato il più completo resoconto della creazione del malware Stuxnet, la prima ‘cyber-arma’. In Italia, Zetter ha tenuto una keynote a RomHack, la conferenza – training camp promossa dall’Associazione Cyber Sayan, che ogni anno porta nella capitale il top degli esperti in sicurezza informatica e una marea di nerd per incontrare speaker internazionali. Ad ascoltarla, una platea affollata e attenta. ‘Sun Stroke (Colpo di sole, ndr): come gli hacker di SolarWinds hanno portato a termine un’operazione ingegnosa e bruciacchiato il ventre molle della catena di fornitura software’, la keynote di Zetter, è una spy story come si deve, con tanto di agenti russi.
L’importanza della divulgazione
Le abbiamo chiesto se voleva fare due chiacchiere su cybersecurity per ‘non addetti ai lavori’. «Sì, ma non voglio essere fotografata, conta quello che ho da dire». D’accordo, niente foto. Ci sono sempre nuove scoperte nel campo della cybersecurity. Pensi che in futuro la nostra sicurezza sarà migliore di oggi? «Non sono così ottimista a riguardo. La sicurezza è molto difficile da garantire perché cambia continuamente. Quindi, anche se pensi di aver reso sicuro il tuo sistema oggi, domani potrai fare qualcosa che lo cambierà.»
Facciamo qualche esempio? «Diciamo che hai protetto tutte le applicazioni sul tuo sistema, ma domani qualcuno se ne esce con una nuova applicazione che ti piace davvero tanto e tu la installi subito.> Cosa che facciamo regolarmente, senza pensarci, sui nostri pc e smartphone ma in questo modo <hai introdotto nuovi potenziali modi con cui qualcuno può attaccare tutto ciò che fai sul tuo sistema. Qualsiasi modifica apportata lo apre a nuove vulnerabilità. Quindi la sicurezza non è qualcosa di cui ti prendi cura una volta e basta, è finita. È qualcosa su cui devi essere costantemente vigile. E gli hacker sono costantemente alla ricerca di nuovi modi per entrare nei sistemi e nuovi modi per indebolirli. Quindi sì, è una battaglia, un combattimento ininterrotto.»
I giornalisti investigativi, quelli che non si accontentano delle semplici notizie ma vogliono scavare fino in fondo fanno un lavoro complesso ma non sempre comprensibile, divulgativo. Per Zetter, una missione. «E’ per questo che scrivo. Tratto argomenti che credo che le persone debbano conoscere, su determinate questioni a cui non prestano abbastanza attenzione. Però penso anche che le persone siano sopraffatte dalle informazioni e non sappiano qual è la questione più importante da affrontare. E quando succedono troppe cose, puoi diventare molto… ehm…» Si ferma, cerca l’esempio giusto «…non dico pessimista, ma molto apatico. Credi di non potercela fare, hai troppe cose da risolvere. Quindi ti arrendi e dici non posso farci niente. Ma non è vero.»
Una caccia al ladro continua
Sono argomenti difficili. Ma Zetter ha un suo metodo. «Quando parlo con qualcuno che si esprime in modo tecnico, il mio cervello lo traduce automaticamente in metafore che capisco meglio. Un esempio: nel mio libro (Contdown to Zero Day, ndr) descrivo il ‘giorno zero’. L’exploit utilizzato per hackerare il sistema. Non molto chiaro, vero? Quindi la mia mente traduce: cosa c’è nel mondo reale di molto simile che la gente capirebbe? E spiego che il ‘giorno zero’ equivale al ladro che usa un piede di porco per sfondare la finestra della tua casa ed entrare. È una vulnerabilità nel software che gli hacker utilizzano per accedere al sistema. Se trovi esempi nel mondo reale, illustrativi, lo traduci per i lettori.»
Leggi anche: La missione di Mike, tecno-attivista e tetraplegico nell’Artico con un esoscheletro
Non tutto è negativo nel mondo dell’eterna caccia al ladro, per restare in tema. In termini di sicurezza, alcuni segnali incoraggianti Kim Zetter riesce a vederli. «Abbiamo visto dei cambiamenti, almeno negli Stati Uniti. Le persone sono più consapevoli adesso della necessità di usare chat più sicure come Signal invece di software di chat non crittografati. Siamo riusciti a diffondere la voce e a rendere le persone più attente, sanno che dovrebbero utilizzare l’autenticazione a due fattori o l’autenticazione a più fattori. Quindi non più solo nome utente e password per accedere all’account, ma un codice monouso. Credo che ci siano stati grandi progressi sulle cose basilari che la gente comune deve fare.»
L’importanza delle serie TV per Kim Zetter
La consapevolezza può arrivare anche da serie tv distopiche come Black Mirror o la più recente Unknown? «Sì, sono ottimi esempi per rendere le persone più informate sulle capacità e sulle cose che gli hacker sono in grado di fare. Tutto questo aiuta, ma queste serie possono anche spaventare le persone.»
E questo è un risultato abbastanza inutile perché non aiuta a individuare qual è la minaccia possibile per i comuni cittadini. Anche qui, troppe informazioni, contrastanti, preoccupanti. «E’ di questo che parliamo nella comunità della sicurezza. Non tutte le persone sono un bersaglio per ogni tipo di attacco. Se sei un giornalista, se sei un attivista per i diritti umani, se sei un manifestante, se vivi in un Paese che è oppressivo e sorveglia molto i suoi cittadini, allora il tuo livello di rischio è molto più alto di, diciamo, quello di un insegnante del Kansas. È quello che fai nella tua professione a renderti più a rischio. Ovviamente è necessario avere un livello di consapevolezza più elevato ma non tutti devono avere paura di tutto. Inoltre molti degli attacchi non puoi controllarli: se un’azienda con cui fai affari viene hackerata e le tue informazioni vengono rubate, non c’è molto che puoi fare al riguardo.»
