Cyber security, intrusion detection systems e intelligenza artificiale

L’enorme mole di dati che circolano nel mondo digitale, fatto di computer, smartphone e tablet interconnessi tra loro, rappresenta un’occasione per le organizzazioni criminali. I punti di forza di chi vuole penetrare in un sistema informatico (che sia un computer o che sia un complesso insieme di dispositivi tecnologici di una grande organizzazione) sono molteplici data anche la difficoltà nel coprire tutte le potenziali vulnerabilità dei sistemi stessi. In questo breve saggio Caterina Patrizia Morano, ricercatrice e consulente informatica, introduce, con un linguaggio chiaro e semplice, alcuni temi chiave della sicurezza cyber evidenziando, in particolare, la necessità di adottare strumenti e comportamenti che proteggano le dotazioni informatiche delle aziende secondo gli standard internazionali.

L’esigenza di sicurezza informatica
I computer, prima del 1991, eccetto rari casi, erano tutti dispositivi stand-alone: privi cioè di alcuna
interconnessione tra essi, erano utili all’utente principalmente per la loro potenza di calcolo ma ben
lontani dall’essere il prezioso strumento di comunicazione che conosciamo oggi. Dai primi anni
’90, però, l’idea di mettere risorse a disposizione di chiunque desiderasse consultarle prese sempre
più piede. La prima implicazione divenne la necessità di sperimentare e utilizzare nuove tecnologie
che permettessero di raggiungere tutti i computer (ed in seguito tablet, smartphone, ecc.) connessi
alla rete per condividere e consultare le informazioni in essi contenuti. È qui che sorsero importanti
interrogativi e, conseguentemente, la necessità di risolvere problemi correlati agli interrogativi
stessi. Quegli stessi problemi che chi si occupa di cyber defence oggi deve affrontare:
– come essere sicuri che la nostra connessione alla rete, sia che si tratti di un computer
singolo, sia che si tratti di una rete aziendale o di un sistema informatico che gestisce il
processo industriale di una struttura produttiva non sia forzato?
– esistono delle tecnologie che permettano di individuare gli intrusi che si sono infilati in una
rete informatica?
– individuato un attacco, come ripristinare le risorse del sistema?
La questione si complica quando ci si trova in presenza di un attacco che coinvolge l’ICN
(infrastruttura critica nazionale), quell’insieme di strutture di un Paese quali la rete idrica o
energetica, obiettivi primari in scenari di cyber war 3.
In questo caso, per ricavare le corrette ed adeguate strategie di risposta, chi si occupa di cyber
defence deve aggiungere, ai precedenti interrogativi, anche i seguenti:
– da dove proviene l’attacco?
– qual è il movente dell’aggressore?
Nel caso di un’intrusione in un computer privato infatti, per i motivi che spiegheremo di seguito,
l’attacco può essere casuale e non finalizzato a nuocere in maniera diretta la macchina che è stata
forzata. Diversamente, com’è facile immaginare, quando si parla di ICN dietro c’è sempre una
chiara finalità e uno studio attento e approfondito del sistema obiettivo.
Siamo tutti soggetti digitali a rischio
Iniziamo per prima cosa a capire qual è il rischio reale a cui è sottoposto un normale computer
privato, che sia una home station oppure un computer di ufficio aziendale. Il convincimento
dell’utente medio è che nella vastità di computer connessi, probabilmente un hacker (ma sarebbe
meglio definirlo cracker 4) non punterà al suo… Ma il pericolo è molto più realistico di quanto si
immagini! Per capire la vulnerabilità dei comuni sistemi rispetto ad un attacco esterno bisogna riportare due numeri. Il primo è il numero di computer connessi alla rete web che da ultimissimi dati si attesta a circa due miliardi di macchine. L’altro invece è il numero di porte di accesso che ogni singolo computer offre rispetto ai protocolli di connessione TCP5 e UDP 6: in totale 131.0727 . Quindi ogni computer offre ai
due miliardi di altri computer connessi nel mondo più di 131 mila porte di ingresso!
A questo punto bisogna ragionare sulle probabilità di diventare realisticamente oggetto di un
attacco. Ovvero: che possibilità ha un comunissimo utente tra due miliardi di altri utenti, di
diventare un bersaglio? Che appetibilità può avere per un ficcanaso digitale una piccola work
station casalinga? Il motivo più banale può essere quello di carpire codici segreti delle carte di credito e dati bancari da vendere poi a qualche carder 8. Soprattutto se, ignaro del rischio che corre, il proprietario del computer forzato ha memorizzato sia il numero della carta che il pin, che i dati di accesso al proprio
conto online. Operazione che darà i suoi frutti solo se i computer analizzati saranno davvero
moltissimi. Un altro movente per essere violato è quello di diventare, inconsapevolmente, uno Zombie 9 digitale e partecipare ad una botNet 10! Un esercito di milioni di computer che, mentre svolgono
regolarmente il loro compito (magari un po’ più lentamente del solito), dopo essere stati infettati da
un trojan11 , sono passati sotto il controllo di un botMaster 12 che li utilizza, tutti insieme,
contemporaneamente, per sferrare attacchi a server di enti e società governative, multinazionali e
aziende le cui informazioni sono molto appetibili per il mondo criminale.