Perché la musica è sempre più spesso sotto attacco degli hacker
Criminali informatici hanno sottratto 60 giga di dati a SIAE, per restituirli chiedono 3 milioni di euro. Un esperto del Clusit ci spiega perché i ransomware sono sempre più frequenti e chi c'è dietro, quali sono i rischi ora per gli autori e come proteggersi
Un'elaborazione grafica da illustrazione di Shafin_Protic
Gli attacchi ransomware sono sempre più diffusi nel mondo. Avviene da anni e sono in ulteriore aumento, di recente, causa del cosiddetto smartworking, per cui spesso dipendenti di grandi aziende lavorano da casa su computer non completamente protetti. Il ransomware è un attacco hacker volto a sottrarre dati o a bloccare sistemi per poi chiedere il riscatto, esattamente com'è avvenuto ai danni del sito di SIAE, come ha fatto presente la Società Italiana degli Autori ed Editori il 20 ottobre.
Nell'attacco eseguito dal guppo hacker denominato Everest sono stati rubati 60 giga di dati pari a 28mila file, compresi dati sensibili di associati come carte d'identità, patenti di guida, tessere sanitarie e iban bancari, che i criminali informatici sono pronti a rivendere nel dark web se non viene loro consegnata la cifra di 3 milioni di euro in criptovalute.
La risposta del dg di SIAE Gaetano Blandini è stata decisa: "Non daremo seguito alla richiesta. Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi. Verranno poi puntualmente informati tutti gli autori che sono stati soggetti di attacco. Monitoreremo costantemente l'andamento della situazione cercando di mettere in sicurezza i dati dei nostri iscritti".
Per capire meglio come possa succedere un attacco di queste dimensioni a un sito così delicato abbiamo contattato Luca Bechelli, membro del Comitato Scientifico Clusit, l'Associazione Italiana per la Sicurezza Informatica. Nato nel 2000 presso il Dipartimento di Informatica cell'Università degli Studi di Milano, il Clusit è la più numerosa e autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese, tra cui la Presidenza del Consiglio, i vari Ministeri, polizia postale, carabinieri e guardia di finanza e la Presidenza della Repubblica.
Com’è possibile un attacco hacker così grosso su un portale importante come SIAE?
Ad oggi non sono ancora chiare le dinamiche dell’attacco, pertanto non è evidente se siamo di fronte ad una carenza nella sicurezza di SIAE o in un tipo di attacco particolarmente insidioso ed efficace. Nell’informatica, non esiste sempre una relazione di proporzionalità tra la modalità di attacco (che attiene al modo con cui questo è condotto per superare le difese della vittima) e la conseguenza.
Come avvengono gli attacchi?
Attacchi simili, noti e sempre più frequenti, avvengono infatti anche grazie a meccanismi di penetrazione talvolta semplici da realizzare per i criminali informatici, tipicamente facendo leva sul fattore umano, come nel caso del phishing: un dipendente dell’organizzazione riceve una mail con un malware creato ad arte per l’occasione (e quindi sconosciuto ai sistemi antivirus basati su “impronte” periodicamente aggiornate), e se tale mail è particolarmente ben fatta e/o la persona non adeguatamente preparata a riconoscere il pericolo, aprendo l’allegato consente al malware di potersi eseguire, diffondere internamente su altri sistemi, fino alla sottrazione dei dati (come nel caso specifico).
Come ci si protegge?
Ovviamente esistono misure di sicurezza avanzate che possono ridurre drasticamente il numero di attacchi di questo tipo: se, come possiamo presumere, queste sono state previste da SIAE, siamo molto probabilmente di fronte ad un attacco avanzato, mirato contro l’organizzazione, l'ennesimo dopo tentativi passati che non hanno avuto successo, come è emerso nelle cronache odierne. La cosa importante da ricordare è che non esiste un sistema sicuro, e ogni organizzazione deve disporre pertanto di adeguati piani di risposta agli attacchi.
Perché dati come quelli di SIAE valgono molto?
Al momento quello che è noto è che le informazioni prelevate consistano in dati di contatto, documenti di identità, tessere sanitarie, coordinate bancarie (es: IBAN), contratti, riconoscimenti di opere di ingegno. Sembrano esclusi, ma chi scrive non può confermarlo, le opere d’ingegno vere e proprie. La dimensione complessiva (60 GigaByte) dei dati esfiltrati avvalora questa ipotesi. I dati sembrerebbero non essere cifrati, o almeno parte di essi non lo è, poiché risulta che una prova della loro esistenza sia stata fornita tramite una prima vendita sul dark web. Il riscatto, 3 milioni di euro per evitare la pubblicazione o la vendita di queste informazioni, non è molto elevato se paragonato ad altri attacchi simil avvenuti nell’ultimo periodo, a conferma del fatto che potremmo trovarci di fronte a informazioni che, prese singolarmente, non avrebbero un valore estremamente elevato. Probabilmente è la dimensione dell’archivio, in termini di numero di persone a cui i dati fanno riferimento, che rende un'eventuale messa sul mercato interessante per il crimine informatico.
Luca Bechelli, membro del Comitato Scientifico Clusit
Chi può voler "comprare"?
Quello dei dati personali, sopratutto se riferiti ad un elevato numero di persone (nel caso specifico si parla di 28.000 documenti) è un mercato florido nel dark web. Considerando solo gli ultimi 5 anni, alcune fonti pubbliche stimano in circa 7 miliardi il numero di dati riferiti a persone che sono stati rubati nei diversi data breach. Quasi quanto la popolazione mondiale! Ovviamente, molte persone non hanno account o dati che sono stati oggetto di furto, altri hanno più identità digitali che sono state compromesse ieri su un social, oggi su un sito di e-commerce, e così via. La possibilità di correlare i dati personali tra loro, accumulando le informazioni sottratte nei diversi attacchi, nel tempo, permette ai criminali informatici di costruire dei veri e propri “profili” particolarmente articolati su ciascuno di noi.
Che se ne fanno?
É grazie a questi profili che i criminali riescono a produrre mail di phishing sempre più ingannevoli, con riferimenti ogni volta più precisi alle nostre attività lavorative, ai nostri hobby e alla nostra rete di relazioni, che possono essere usati per frodi di dimensioni consistenti contro ogni persona.
Chi di solito commette questi atti?
Senza se e senza ma, la figura denominata “hacker", che negli anni ha avuto accezioni sia positive che negative e che oggi è associata agli autori di queste campagne di attacco, andrebbe più correttamente definita “criminale informatico".
E chi sono?
Sebbene nella maggioranza dei casi non si possa davvero affermare che i membri di queste associazioni a delinquere abbiano competenze elevate, almeno a paragone di chi gestisce i sistemi informatici delle imprese e delle pubbliche amministrazioni, questi soggetti hanno dalla loro parte tempo, pazienza e opportunità. E risorse pressoché illimitate. Il crimine tradizionale da alcuni anni, intuendone l’elevato potenziale economico ed i bassi rischi, ha svolto e intensifica costantemente una vera e propria campagna di reclutamento in tutto il mondo, spesso con la compiacenza di governi o gruppi politici che, in qualche occasione, ne sfruttano le capacità offensive. Nella stragrande maggioranza dei casi, i partecipanti a queste organizzazioni non conoscono l’identità reale dei loro “colleghi”, e valorizzando le competenze individuali cooperano per creare nuove forme di attacco, industrializzarle e massimizzarne i possibili guadagni. Non è un caso che ogni nuova forma di attacco che viene utilizzata in casi particolarmente eclatanti che trovano poi risonanza sui media, la ritroviamo poco tempo dopo utilizzata massivamente contro ogni tipo di azienda, di ogni dimensione.
Cosa rischiano artisti e professionisti?
Come tutte le vittime di furto di dati personali, il rischio a breve termine più elevato consiste nella violazione delle identità digitali che ciascun soggetto può avere su servizi di posta elettronica e comunicazione, social media, servizi cloud, conti correnti bancari online etc... É frequente, infatti, che le persone utilizzino le stesse credenziali (nome utente e password) su più servizi informatici, o che queste credenziali siano riconducibili a informazioni personali come la data di nascita, il codice fiscale e altre informazioni oggetto di furto. É pertanto imprescindibile che le potenziali vittime rafforzino la sicurezza di tutte le identità digitali in proprio possesso, in primo luogo cambiando le password utilizzate, e quando possibile attivando la cosiddetta autenticazione a due fattori. Nel tempo, un ulteriore pericolo non trascurabile è quello di ricadere in campagne di phishing sofisticate. Sarà facile, per un attaccante, produrre per esempio un'email fasulla che sembra provenire da un produttore o da un collaboratore (tra coloro i quali esiste una collaborazione attiva), che richiede il pagamento di una prestazione (tra quelle presumibilmente svolte in precedenza o in essere) con tanto di fattura o ricevuta nella quale, probabilmente, solo l’IBAN è un dato reale, e corrisponde ad un conto corrente posto sotto il controllo dell’attaccante.
C'è poi una questione più personale e sensibile.
Naturalmente, a questi rischi si aggiungono la violazione della privacy degli stessi artisti, sopratutto i più stimati dal pubblico i cui dati, se resi noti, potranno rendere particolarmente complesso mantenere sotto controllo la dimensione privata della propria vita e di quella dei loro affetti.
Ci sono stati precedenti nel mondo della musica e del diritto d’autore?
Sebbene i fenomeni di hacking abbiano trovato la ribalta delle cronache solo negli ultimissimi anni, il mondo del diritto d’autore viene colpito anche in modo clamoroso da molti anni. Risale al 2014 uno dei casi più eclatanti, come l’attacco hacker alla Sony Pictures Entertainment, a seguito del quale sono stati pubblicati almeno 4 film prossimi all’uscita nelle sale cinematografiche. Nel 2019, i Radiohead hanno subito un furto di musica inedita, con conseguente richiesta di riscatto. La band ha rifiutato il pagamento e ha pubblicato liberamente i brani destinando i proventi in beneficenza. Non tutti hanno questa possibilità. Per il mondo della musica, questo è un nuovo rischio, o per meglio dire l’estensione di un rischio che una volta era particolarmente limitato: il furto degli “inediti" direttamente dagli studi, che negli scorsi decenni poteva colpire solo autori di grande visibilità, adesso ricade potenzialmente su ogni autore, indipendentemente dalla notorietà e dalle risorse a disposizione per limitare le conseguenze.
La polizia postale riesce a trovare gli hacker?
Contrastare il crimine informatico è una sfida molto complessa, che solo in pochi casi può essere vinta da una forza di polizia nazionale. I gruppi criminali sono costituiti infatti da soggetti che vivono in luoghi diversi e lontani nel mondo, agiscono tramite reti che attraversano il globo, compresi paesi con i quali è particolarmente difficile (se non impossibile in assenza di dispositivi normativi adeguati) ottenere supporto per indagini transnazionali. In diverse occasioni, tuttavia, la collaborazione tra forze di polizia è riuscita a giungere all’arresto degli autori delle azioni criminali, nonostante queste difficoltà. In Europa, in particolare, lo scenario normativo sta evolvendo sia a livello comunitario che a livello di cooperazione tra le forze di polizia dei singoli paesi membri, per rendere questa azione di contrasto sempre più efficace e rapida.
--- L'articolo Perché la musica è sempre più spesso sotto attacco degli hacker di Simone Stefanini è apparso su Rockit.it il 2021-10-21 10:02:00
COMMENTI