- A causa di un banale errore di battitura, il Mali (stretto alleato della Russia) potrà prendere possesso di tantissime informazioni riservate dell’esercito statunitense
- Fino a oggi, il peggio è stato evitato grazie al ruolo svolto dall’informatico olandese Johannes Zuurbier, che fino a oggi è stato responsabile del dominio malese
- Il suo è un caso molto particolare, che però aiuta a capire l’importanza di alcune specifiche figure professionali – tra cui i cyber-negoziatori – nel limitare le conseguenze quando il danno è ormai stato fatto
Dallo scorso gennaio, oltre centomila email destinate a vari indirizzi dell’esercito statunitense sono finite in Mali. È solo una piccola parte dei milioni di email che negli ultimi dieci anni sono state inviate, per un banale errore di battitura, verso il dominio internet malese (.ml) invece che al suffisso ufficiale dei militari a stelle e strisce (.mil).
Non poche di queste comunicazioni contenevano informazioni sensibili: l’itinerario del viaggio in Indonesia del generale James McConville, l’indirizzo dell’albergo e il numero di stanza in cui avrebbero alloggiato alcuni militari, appunti relativi a possibili operazioni dei militanti curdi del Pkk contro attività turche gestite negli Stati Uniti, aggiornamenti dell’azienda General Dynamics relativi alla fornitura di munizioni all’esercito e ancora numeri di passaporto, dati medici, mappe di varie installazioni militari, foto di basi, contratti, documenti fiscali e tantissimo altro.
Non è una novità: secondo quanto riporta il Financial Times, è da molto tempo che l’informatico olandese Johannes Zuurbier – che dal 2013 gestisce il dominio malese – avvisa le autorità statunitensi di questo problema e cerca di porvi rimedio: «Quando Zuurbier, che svolge un lavoro simile anche per Tokelau, la Repubblica Centrafricana, il Gabon e la Guinea Equatoriale, ha iniziato a occuparsi del Mali, ha subito notato le richieste dirette a indirizzi inesistenti come army.ml e navy.ml. Sospettando che si trattasse di email, ha creato un sistema che raccogliesse questo tipo di corrispondenza, che è stato però rapidamente saturato», scrive sempre il Financial Times.
Errore umano
Ma com’è possibile che un errore così banale, e che potenzialmente può mettere in pericolo anche i massimi rappresentanti dell’esercito statunitense, venga commesso da un decennio senza che nessuno abbia individuato una soluzione?
Un portavoce del Pentagono ha spiegato come il dipartimento della Difesa sia consapevole del problema e come ogni email inviata direttamente dall’esercito statunitense sia automaticamente bloccata se riporta un indirizzo scorretto. Ciò però non impedisce che le terze parti che collaborano con l’esercito – aziende, agenzie di viaggio e altri ancora – commettano questo errore senza che sia possibile impedirlo.
A peggiorare la situazione c’è un altro aspetto: tra pochissimi giorni scadrà il contratto di Zuurbier e il governo del Mali, stretto alleato della Russia, prenderà direttamente il controllo del suo dominio, diventando così in grado di raccogliere le mail riservate di un esercito rivale.
Nonostante la particolarità e la rilevanza di questo caso, le gravi conseguenze di un banale errore di battitura dicono molto del ruolo umano nei casi di data breach: le fughe (o i furti) d’informazioni digitali. Secondo il Data Threat Report 2023 rilasciato da Thales, il 55 per cento di tutti questi episodi è infatti causato da un errore umano.
Figure dedicate
Non solo: per quanto il suo caso sia più unico che raro, il ruolo fino a oggi giocato da Zuurbier illustra l’importanza centrale di alcune specifiche figure professionali: mediatori, avvocati o investigatori informatici in grado di mitigare le gravi conseguenze provocate da un errore umano o da un attacco hacker.
È il caso dell’analista Julian Gutmianis, l’esperto di cybersicurezza che nel 2017 era stato inviato in uno stabilimento petrolchimico saudita (di cui il nome e la posizione non sono stati rivelati) per indagare sul gravissimo attacco informatico che per due volte aveva causato l’arresto dei macchinari dello stabilimento e che – se gli hacker fossero riusciti ad aggirare anche i sistemi di sicurezza – avrebbe potuto provocare la fuoriuscita di gas tossici come l’acido solfidrico oppure provocare esplosioni, in entrambe le situazioni mettendo a rischio le vite di chi lavora nello stabilimento.
Le indagini condotte da Gutmianis e dalla società di cybersicurezza FireEye avevano individuato quale fosse stato il bug che aveva permesso agli hacker di entrare nel sistema, il malware impiegato per l’attacco (battezzato Triton) e soprattutto i responsabili dello stesso: scovando alcune tracce digitali lasciate dagli hacker, era infatti stato possibile risalire ad alcuni file contenenti caratteri in cirillico e soprattutto a un indirizzo IP registrato all’Istituto Centrale di Ricerca Scientifica con sede a Mosca.
L’importanza dei mediatori
Oltre ai detective informatici, i gravi danni causati dalle incursioni hacker e più frequentemente dai furti di dati stanno facendo fiorire il settore della “data breach mediation”: società specializzate non tanto (o non solo) nel prevenire intrusioni sgradite o scoprire chi le ha eseguite, ma nella mediazione tra vittime e hacker, al fine di mitigare i danni, di contrattare a livello economico e di individuare le migliori contromisure anche a livello legale.
Il proliferare di società di mediazione come Jams, Privacy & Technology, HackerOne e altre è inevitabile: secondo un report della società Identity Theft Center, nel 2021 ci sono stati oltre mille data breach, che hanno portato alla sottrazione di 480 milioni di informazioni. Stando a quanto invece riporta IBM, il costo medio per recuperare i dati o ripristinare la sicurezza in seguito a un attacco informatico di questo tipo è di circa quattro milioni di dollari.
È anche a causa degli elevatissimi costi che le aziende spesso preferiscono trattare con gli hacker e che il ruolo dei mediatori sta diventando cruciale anche per quanto riguarda il più diffuso attacco informatico in assoluto: i ransomware, virus che cifrano i documenti e i file contenuti all’interno dei sistemi informatici impedendone l’accesso. È un tipo di attacco che può colpire bersagli strategici – com’è stato il caso della rete Colonial Pipeline, che rifornisce di carburante la costa est degli Stati Uniti e che nel maggio 2021 dovette interrompere le sue attività a causa di un ransomware – ma che prende di mira anche i computer di privati.
Si calcola che nel 2022 siano stati eseguiti 493 milioni di attacchi ransomware, per un danno economico complessivo che si aggira attorno ai 20 miliardi di dollari; cifra che – a causa dei riscatti in continua crescita – potrebbe decuplicare entro il 2031 (secondo le stime di Cybersecurity Ventures). Anche in questo caso, le società colpite dagli attacchi si rivolgono sempre più spesso a veri e propri cyber-negoziatori: professionisti specializzati nel prendere contatto con gli hacker, gestire la situazione, contrattare il riscatto, comprendere la gravità della minaccia, verificare la reputazione degli autori dell’attacco e altro ancora.
Professionisti rari
Si tratta di figure tanto rare quanto ricercate: secondo il New Yorker, non ci sarebbero più di mezza dozzina di negoziatori ransomware in tutti gli Stati Uniti, di cui il più noto è Kurtis Minder della società GroupSense. Enrico Corradini di Yarix rappresenta invece il primo italiano specializzato in una professione che fino a pochi anni fa nemmeno esisteva. Professione tanto più delicata visto che le autorità invitano a non trattare mai con gli hacker, per il timore che cedere alle richieste provochi un aumento di queste attività criminali.
Più facile a dirsi che a farsi, visto che le società che non pagano il riscatto rischiano di impiegare mesi a rimettere in piedi i loro sistemi e possono essere colpite da pesanti multe se perdono i dati personali dei loro clienti. Non solo: dal momento che alcune attività essenziali – tra cui ospedali o trasporti – vengono sempre più spesso colpite, rifiutarsi di trattare può avere conseguenze gravissime: «Come si può dire a un ospedale di non pagare il riscatto?», ha spiegato Philip Reiner dell’Institute for Security and Technology. «Che cosa dovrebbero fare: spegnere tutto e lasciar morire la gente?».
La migliore strategia, che si tratti di malware, di data breach o di ransomware, è ovviamente impiegare tutte le precauzioni necessarie a ridurre il rischio di essere colpiti da questi attacchi. In un mondo in cui anche le informazioni più sensibili viaggiano online, in cui un’incursione hacker può impedire a un’intera area geografica di ricevere carburante o a un ospedale di funzionare correttamente, diventa però sempre più importante il ruolo di chi sa quali contromisure mettere in atto quando il danno è ormai stato fatto.
© Riproduzione riservata