E puntuali, arrivano gli accher.

E puntuali, arrivano gli accher.

E puntuali, arrivano gli accher.

Il problema degli attacchi hacker alla regione Lazio non sta tanto nel fatto che qualcuno abbia piazzato dei ransomware dentro i sistemi, ma nel fatto che la comunicazione istituzionale tradisce una catastrofica sciatteria , che e’ caratteristica degli appalti nella PA italiana.

Se mi dici che il tuo sistema sia stato attaccato, infatti, mi stai dicendo qualcosa che non mi stupisce. Se l’attore che ti attacca e’ abbastanza sofisticato, tenere un sistema al sicuro e’ difficilissimo, e anche misure molto sofisticate possono rivelarsi insufficienti. Il problema della sicurezza informatica come materia, infatti, e’ che e’ l’antitesi della sciatteria.

Puoi dirti relativamente sicuro soltanto se hai fatto TUTTO il possibile.

Detto questo, pero’, ad un certo punto qualche genio ha deciso di rivelare dei dettagli.

Il primo e’ che un computer “amministrativo” lasciato acceso ha scalato i privilegi del controller di dominio, che a sua volta ha provveduto a propagare l’infezione ai server ove avvenivano le prenotazioni.

Da architetto, qui vedo una catastrofe di incompetenza.

  • a quanto pare , sistemi di produzione accedibili da internet erano nello stesso dominio (suppongo windows) di un sistema che dovrebbe stare in una rete di tipo “office”.
  • a quanto pare, i sistemi di produzione accedibili da internet sono nella stessa rete, e sono accedibili anche da sistemi della rete office.
  • la sicurezza perimetrale era perlomeno discutibile. a quanto pare gli intrusi hanno capito username e password della VPN di un singolo utente. Autenticazione a due fattori? Nessuna.
  • il singolo utente , sembra, era uno degli amministratori di sistema. E qui, mi fermo per pieta’.

In pratica, se leggessi una communication matrix di quella rete troverei che tutte le macchine, (controller di dominio, sistemi di produzione, computer della rete office) sono sullo stesso segmento, privo di restrizioni. Come se non bastasse, il perimetro dei sistemi (la VPN) era coperta solo da autenticazione ad UN fattore. Niente bastion host tra le reti, niente jump boxes niente segregazione.

Interessante, ma questo e’ il ritratto di una wifi domestica.

Il primo punto e’ che raramente in una grossa organizzazione si mettono i controller di dominio nello stesso segmento di computer degli impiegati (al massimo si mettono dei secondari o dei satelliti, a seconda del tipo di controller). Se anche si fa, allora il segmento deve essere segregato dal resto, come capita sovente per i reparti operations, che di solito entrano nelle reti di produzione tramite jumpbox. Il secondo punto e’ che non si mettono comunque le macchine di produzione, tantomeno se esposte ad internet, nella stessa rete “office”. Tantomeno nello stesso dominio microsoft. Altrimenti state costruendo un security bridge.

Non voglio sapere in che modo e perche’ si sia aggredito da internet il computer di un impiegato: mi aspetto che una rete office non sia esposta ad internet.  Altrimenti dovremmo parlare di un attacco sul layer 8 (social engineering sull’impiegato che usava quel computer. ) . Apprendo che gli attaccanti avrebbero “appreso la password della vpn”, che fa cadere le braccia ancora di piu’.

E poi quando mi sento dire che il ransomware ha preso il controllo del controller di dominio, la mia risposta e’ mediamente “piallate tutto e rifate da zero”. Non e’ affatto scontato che l’unico scopo di quel software sia stato di chiedere un riscatto, e se ha infettato il controller puo’ aver installato software ovunque , in qualsiasi computer del dominio. E il software ostile potrebbe addirittura essersi copiato in qualche stupido firmware. Morale? cambiare tutto. Ma proprio tutto, perche’ persino una penna USB dimenticata da qualche parte puo’ essere infetta. (fu la soluzione scelta dal parlamento tedesco quando scoprirono di essere stati infettati dai russi, per dire: tutto l’hardware rimosso e sostituito).

Ma il problema non e’ neppure il “cosa fare”, in Italia ci sono professionisti che possono consigliare. Il problema e’ la sciatteria che questo sistema dimostra.

In molti attacchi informatici la tecnica in uso e’ sofisticata. E’ sofisticata quanto sono sofisticate le difese. Ma in questo caso, la sola idea che non vi fosse quasi segregazione tra sistemi di produzione e sistemi office parla molto chiaro. Sciatteria, fin dal design iniziale.

Qui era un layer 8 stupido. Ma davvero stupido. Sciatteria at its finest.

Ed e’ qui il punto: la sicurezza informatica e la sciatteria sono nemici giurati. E’ come acqua e fuoco: dove c’e’ fuoco non c’e’ acqua, e dove c’e’ acqua non c’e’ fuoco. Piu’ sciatteria, meno sicurezza.

La digitalizzazione della PA, richiedendo sicurezza, pone la NECESSITA’, da parte dello stato, di liberarsi dalla sciatteria che caratterizza gli appalti pubblici.

Perche’ un sistema costruito con sciatteria e’, dal punto di vista di un attaccante, aperto come una cozza a Taranto. La risposta corretta alla domanda “quali sono i sistemi piu’ sicuri del mondo” e’ molto semplice: quelli pensati bene, costruiti bene, mantenuti bene.

Soluzioni?

Il problema della sciatteria e’ che si stratifica. Se andate in quell’infrastruttura e provate a risolvere il problema, tipicamente scoprirete che non avete abbastanza licenze per quel dominio o per piu’ dominii. Allora le fate comprare, e scoprite che le reti non sono segmentate. Provate a fare delle VLAN e scoprite che meta’ degli switch non e’ capace. Allora sostituite meta’ degli switch, e scoprite che consumano troppa energia e l’impianto elettrico non li regge. Allora fate mettere a posto l’impianto elettrico e scoprite che l’edificio in generale non ha abbastanza potenza. E se provate a portare piu’ potenza vi risponderanno che l’edificio manca dell’impianto adatto….. e quando avete finito, scoprirete che i pavimenti non reggono il peso dei rack e che il condizionamento d’aria e’ insufficiente e che , e che, e che…

Se provate ad andare ad agire solo sui server, scoprirete che i server non hanno la licenza per il management, che i BMC non erano in una rete offband, che a dire il vero non esiste una rete offband (come in questo caso) , scoprirete che il dominio non controlla cosa sia installato sui singoli computer, e via dicendo, strato su strato su strato….

E tutti questi strati sono dovuti al fatto che ad un certo punto c’e’ stata una riunione “politica” dove si e’ deciso “si dovrebbe fare cosi’ ma non c’e’ tempo”, “si dovrebbe fare cosi’ ma non c’e’ budget”, ovvero “noi manager abbiamo scazzato i tempi di progetto” e “noi manager abbiamo scazzato il budget”. Il risultato di queste decisioni “politiche” e’ che sono decisioni sciatte, che partono dall’idea che i tecnici siano “teorici” (si, in teoria si farebbe cosi’, ma in pratica….) mentre quelli “pratici” sarebbero i manager.

E i tecnici vengono trattati normalmente come personaggi teorici che chiedono il libro dei sogni, mentre tocca ai “politici”, cioe’ ai signori della sciatteria, essere “pratici” e far quadrare i conti.

Attacchi ramsonware avvengono ogni giorno in tutto il mondo. Ma quando venite chiamati ad intervenire, tutto quello che trovate sotto e’ un PESSIMO IT management. Piu’ sciatteria , meno sicurezza. E questo vale in TUTTO il mondo.

Ma in questo caso, se solo meta’ di quel che hanno scritto i giornali e’ vero, l’attacco e’ stato relativamente semplice. Segno che il design era gia’ pessimo.

Che cosa sta andando storto, allora?

Sinora i sistemi IT della pubblica amministrazione erano delle isolette , delle scatole chiuse che non subivano alcun controllo ed alcuna competizione. La sciatteria dunque si sedimentava senza che nessuno se ne accorgesse, e solo gli impiegati piu’ vecchi ricordavano a che cazzo serve quel maledetto cavo token ring che e’ ancora li’ da decenni ma non si puo’ toccare senno’ viene giu’ tutto.  Nessuno controllava, e questo dava potere al tizio anziano che conosceva la storia del cavo token ring del 1988. “Abbiamo messo questo cavo quando ancora avevo tanti capelli… snif, snif, che tempi”.

Ora le regolette sono cambiate. Perche’ se quel cazzo di cavo token ring per disgrazia espone qualcosa alla rete, qualche hacker lo trovera’. Hanno tutto il tempo che vogliono per attaccare. E allora sarebbe meglio che fosse documentato, e che qualcuno si preoccupasse di togliere di torno le tecnologie obsolete.

I CED della PA italiana si trovano ad affrontare, con la digitalizzazione, una sfida nuova: quella in cui a controllare che tutto sia fatto BENE non sono “ispettori del ministero”, ma enti ostili che se sbagli ti aprono come una cozza. E non hanno pieta’. E non ti danno tre mesi per rimettere tutto a posto. E non sentono blablabla.

Ma ancora: soluzioni? Siccome la sciatteria e’ stratificata, non e’ possibile mettere mani a questi sistemi. Troverete roba non documentata ma che “non si puo’ toccare” , troverete situazioni assurde, rimedi estemporanei presi in fretta, workaround impossibili e fortuiti, roba che funziona solo con la versione A ma non con la versione B, in una stratificazione spaghettosa di “non possimus”. Scordatevelo.

L’unica cosa pensabile e’ la segregazione della PA dalla rete internet globale. Che non risolve il problema ma lo MITIGA.

Significa che tutta la PA finisce in un segmento di rete non visibile al resto del mondo. Ma dall’italia (e solo dalla rete wholesale su cavo, non da server in datacenter italiani: solo l’utente residenziale  e mobile, cioe’ identificabile dalla polizia) puo’ entrare in questa rete attraverso dei proxy o dei router altamente osservabili. Ma questi router devono essere raggiungibili solo da AS italiani dedicati alla rete di accesso.

Certo, questo mantiene aperta la  possibilita’ per l’attaccante malizioso di comprare una linea in italia e attaccare da li’, ma per comprare la linea deve dare le sue generalita’. Questo non produce sicurezza in se’ (se non forse contro qualche DDOS) ma almeno produce osservabilita’ del traffico e specialmente controllo: indubbiamente un malware potrebbe infettare computer domestici e lanciare un attacco da li’.

Per mitigare anche questi attacchi (che comunque sono piu’ osservabili) sarebbe disaccoppiare i sistemi e metterci di fronte un API gateway (quindi parliamo di un gateway gigantesco) : dopo aver messo offband l’intera PA, quello che si deve fare (un ufficio per volta) e’ di renderli fruibili attraverso un API gateway che lavora di fronte ai sistemi, senza che nessuno possa raggiungere i sistemi stessi.

Si tratta di costruire un gigantesco API gateway, costruendolo bene e sicuro, e poi integrare i sistemi della PA uno ad uno, avendo cura di renderli irraggiungibili dalla rete internet subito dopo l’integrazione. Design simili sono stati adottati sia in Francia che in Germania e sono obbligatori per la PA in Svizzera: passate comunque per un API gateway, anche quando leggete istruzioni su quello che sembra un sito web.

Questo vi rende immuni? Assolutamente no, dal momento che a quel punto il gioco e’ proteggere l’ API gateway. Vi rende pero’ “ragionevolmente” sicuri. Potreste andare anche oltre, e fare in modo che i dati sui vostri database non possano essere modificati.

Se usate un database ove potere solo scrivere il dato ma poi non potrete piu’ cancellarlo o modificarlo (non necessariamente una blockchain quasi tutti i database Hi-End offrono questa feature sin da 30 anni , almeno) , l’azione del ransomware che fa criptolocking e’ difficile: non puo’ criptare i dati perche’ dopo la scrittura sono immutabili. Questo pero’ si scontra con il lavoro che dovete fare, e dovrete fare ingegneria dei dati in maniera pesante. Su tutti i dati del paese. Auguri.

Ma qui torniamo al punto di partenza: il sistema aveva dei server esposti ad internet esposti allo stesso controller di dominio delle machine della rete office. I dati del DB non erano immutabili, altrimenti sarebbe stato impossibile criptarli. I sistemi offesi erano esposti ad internet senza un API GW o un sistema di coda , un enterprise bus, in mezzo. I sistemi della regione lazio erano esposti a tutto il mondo, quando sono utilizzabili (almeno a quello scopo) solo da gente che vive nel lazio, o in gran parte in Italia. E cosi’ via.

Tutte queste carenze di design non sono ovviabili nel breve termine.

Ed e’ per questo che i CED della PA, dal punto di vista dell’attaccante , sono semplicemente delle grasse prede indifese.

Ora dovete scegliere: o la sicurezza, o la sciatteria.

Tertium non datur.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *