Ci spiano perché la backdoor siamo noi

Quasi diciannovemila username (per la precisione 18.327), 1.793 password, 87 Gigabyte di dati rubati anche tramite keylogger, cioè copiando tutto quanto veniva scritto e prodotto dal computer infettato. Il caso dello spionaggio operato secondo la procura dai fratelli Occhionero è un emblema perfetto di cosa è un malware, come funziona ma soprattutto di quanto il suo pericolo si basi sulla backdoor più debole del mondo: la nostra ignoranza.

Dalle prime analisi degli esperti informatici, partendo dall’ordinanza di custodia cautelare (pdf), si è appurato che questo malware, l’EyePiramid, risale al 2008 ed è stato utilizzato in diverse campagne di spear-phishing nel 2010, 2011 e 2014. Non si tratta, insomma, di un software particolarmente complesso, anche se le sue origini sono sconosciute, così come non è affatto complesso il modo in cui si è propagato (diverso il discorso della gestione su server dei dati catturati): in pratica, i cyberspioni presi dal Cnaipic usavano un sistema che comprometteva le mail di alcuni uffici legali e di professionisti, dai quali facevano partire attraverso un server delle mail alle vittime-obiettivo usando come mittente un indirizzo email delle caselle compromesse, contenenti un allegato malevolo (pare un pdf, qualcuno sostiene invece ci fossero dei link). Se la vittima apriva, si avviava il malware, il cui compito era sottrarre dati e spedirli verso diverse caselle di posta gestite dall’aggressore.

In soldoni, un trucchetto vecchio come il mondo – infettare un obiettivo vicino all’obiettivo vero e confidare nella maggiore credibilità dell’ignaro mittente – ha consentito una botnet che ha catalogato dati sensibili quali password per le mail, cronologia dei siti, conversazioni Skype, testi digitati, di personaggi ai più alti livelli di responsabilità. Attività di dossieraggio, peraltro, durata anni, non poche settimane, il cui elenco di domini colpiti fa tremare i polsi: enav.it, istruzione.it, gdf.it, bancaditalia.it, camera.it, senato.it, esteri.it, tesoro.it, finanze.it, interno.it, istat.it, matteorenzi.it, partitodemocratico.it, pdl.it, cisl.it, comune.roma.it, regione.campania.it, regione.lombardia.it, unibocconi.it. Domini raggiunti spesso da mittenti con mail che non sembrano, a prima vista, impossibili da riconoscere, almeno con un minimo di allarme mentale: indirizzi nome.cognome su domini blu.it, virgilio, poste, ma niente di particolarmente raffinato. Eppure… Siamo di fronte, come sostiene l’avvocato Francesco Paolo Micozzi, a una tale asimmetria di conoscenza da presagire una separazione elitaria tra le persone?

[embed_fb]https://www.facebook.com/francesco.micozzi/posts/10211660903065967[/embed_fb]

Com’è possibile che un phishing riesca in tutto questo? Il principio della sicurezza informatica è che il suo livello si stabilisce dal nodo più debole, e il nodo debole anche in questo caso resta il fattore umano. Le cronache sui giornali parlano di Draghi, Renzi o Mons. Ravasi spiati, ma è improbabile che siano stati loro personalmente ad aprire una di quelle mail, bensì i loro (tanti) aiuti: segretarie, portaborse, stagisti, uffici. L’anello debole che è crollato sotto il peso di migliaia di tentativi andati a buon fine nel 70% dei casi è il fatto, banalissimo, per cui quando ricevi quotidianamente centinaia di mail da smistare per il capo hai un grado di attenzione basso. E forse tecnologicamente non sei abbastanza dotato.

È questo il parere degli informatici che stanno cominciando ad analizzare metodo e software, come Federico Maggi di Trend Micro, che ci ha raccontato i dati qui riportati. È vero, tutto questo è stato creato sulla mancanza di attenzione, però non sarebbe giusto puntare ironicamente il dito contro le vittime: quando un phishing ha più accuratezza che volume e riesce a diffondersi tramite dei mittenti a buona credibilità, è dura fermarlo. Inoltre il malware EyePyramid sarà pure in giro da diversi anni, ma questo non significa che un antivirus aggiornato lo possa riconoscere. Se si confrontano le versioni del 2008 o 2010 con quelle attuali, si capisce che è stato creato qualcosa di tutt’altro che banale o naif. Tecnologicamente e metodologicamente, il dossieraggio sventato dalla polizia postale era furbo e ben fatto.

Resta però valida una convinzione da sempre portata avanti da Webnews, cioè che in questi tempi di Rete globale e always-on le protezioni di perimetro (antivirus, firewall) siano ormai sopravvalutate, mentre vanno rafforzate quelle di volume: cultura, consapevolezza, nozionistica di base. EyePyramid è in un certo senso la cartina di tornasole del nostro peccato originale, la scarsa conoscenza e scarso progresso informatico e specialmente di sicurezza informatica di chi lavora nella cosa pubblica (anche nel settore privato, a volte). Essere in grado di intuire un pericolo e prevenirlo è un prerequisito più importante della conoscenza dell’inglese, che tra vent’anni sarà demandata ai software linguistici. Parliamo del nuovo modo di essere cittadini e lavoratori.