Data Leak: Quanto Siamo a Rischio? - Whitepaper - Yoroi
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Whitepaper
Data Leak: Quanto Siamo a Rischio?
YRO225-R001-LM190207-1 TLP:White 1/18
Introduzione Gli ultimi anni sono stati caratterizzati da incrementi sostanziali sia nel numero di attacchi informatici registrati sia nei volumi di malware prodotti da organizzazioni criminali. Questa evoluzione porta al consolidamento un'economia sommersa basata sulla compravendita di credenziali di ignari utenti, sulla realizzazione di Malware adHoc e sull’affitto di criminali informatici. Tale commercio avviene in due principali “territori” denominati Clear- Nets come per esempio (ma non limitato a): social networks, forum, IRC chats ed Instant Messaging e DarkNets come per esempio (ma non limitato a): Virtual and Private Networks, TOR, Luminati, Hola, freenet etc. Negli anni, una moltitudine di Organizzazioni sono state obiettivo di attacchi cyber: una parte di essi è andata a buon fine. I dati di multinazionali, enti governativi, organi di polizia, partiti politici, software house, provider di servizi, case editrici, giornali, associazioni no profit e social networks sono stati trafugati ed utilizzati per alimentare l’economia cyber-criminale, da anni in netta espansione. Molti di questi account, credenziali o accessi sono stati, ad un certo punto della loro storia, venduti o ceduti all’interno di mercati neri e Darknet, dando la possibilità ad altri attaccanti di abusarne, ponendo a rinnovato rischio i milioni di utenti coinvolti nella compromissione di queste entità. Le organizzazioni coinvolte in questi attacchi non sono solamente organizzazioni internazionali, multinazionali o organizzazioni governative ma numerose sono le aziende Italiane (piccole-medie) che hanno subito la stessa sorte. Basti pensare agli annunci pubblici di “Anonymous Italia”, che nel corso del 2018 hanno scandito nei mesi una compromissione dopo l’altra, esponendo migliaia di utenze su portali appartenenti a PA ed Enti italiani. Compromissioni tali da aver portato alla nascita di un portale dedicato al tracciamento dei data breach unicamente italiani. A Dicembre 2017 uno dei più noti data breach è stato rilevato dalla Security Firm spagnola 4iQ, oltre 1.4 miliardi di credenziali all’interno di un database aggregato, il più grande in circolazione nel DarkWeb sino a quel momento. Ultimo capitolo di questa serie è il caso “Collection #1”: tra le più ingenti raccolte di dati trafugati provenienti da innumerevoli fonti che, nei seguenti capitoli, è stata analizzata per comprenderne portata e rilevanza nel panorama italiano. YRO225-R001-LM190207-1 TLP:White 2/18
La Collezione “#1”
Nei primi giorni del 2019, la notizia del pubblico rilascio della cosiddetta “Collection #1” ha scosso tutto il
mondo della sicurezza cyber, e molto di più. Riviste di settore, testate generaliste ed Agenzie hanno allertato i
lettori della presenza di centinaia di milioni di utenze e password compromesse, resi disponibili all’interno di
piazze di scambio e mercati criminali.
L’articolo di Troy Hunt, padre del servizio “Have I been Pwned?” che da anni monitora data leak e
compromissioni, rivela infatti che l’ingente collezione di dati misura oltre 87 GigaByte: quasi il doppio rispetto al
più grande Data Leak del 2017. Dalla sua analisi fa emergere un primo importante dato:
140 milioni di indirizzi e-mail non erano precedentemente noti nei data leak censiti dal ricercatore.
Da notare inoltre che la “Collezione #1”, come suggerisce la nomenclatura stessa, è in realtà una singola parte di
una più ampia Raccolta di data breach: la più grande sino ad oggi pubblicamente nota.. Con quasi 1 TeraByte di
dati al suo interno, l’enorme raccolta di record compromessi conta ben sette collezioni: “Collection #1”,
“Collection #2”, “Collection #3”, “Collection #4”, “Collection #5”, “AP MYR&ZABUROG #2” e “ANTIPUBLIC #1” la
cui diffusione all’interno dei mercati criminali è stata oggetto del bollettino N050119 del CERT-Yoroi.
Figura. Estratto dall’annuncio di vendita (fake) delle Sette Collezioni
YRO225-R001-LM190207-1 TLP:White 3/18
Analisi Generali
La struttura della “Collezione #1” rivela la presenza di più tipologie di
dati al suo interno:
● le cosiddette “liste combo”, gergo utilizzato negli ambiti cyber
per indicare raccolte di combinazioni di username e password,
potenzialmente provenienti da accessi abusivi o trafugate
tramite malware di tipo InfoStealer;
● record provenienti da “dump”, vere e proprie entry estratte a
seguito della violazione di intere porzioni di database
utilizzate da organizzazioni compromesse.
Navigando tra le sottocartelle della Collezione si possono notare
nomenclature che suggeriscono alcune informazioni contestuali sui
dati al suo interno. Parte di essi è legata alla compromissione di servizi
di posta, piattaforme di gaming, servizi cloud, e-commerce e
piattaforme di trading.
Di particolare interesse risultano anche le cartelle “NEW combo semi
private” ed “EU combos”, le quali suggeriscono un contesto di origine
di interesse per il panorama cyber europeo ed italiano, tant’è che sono
state oggetto di analisi dedicate da parte del CERT-Yoroi (sezione
“Esposizione Italiana”).
Figura. Composizione di Collection #1
YRO225-R001-LM190207-1 TLP:White 4/18
L’analisi preliminare della Collezione ha fornito inoltre una panoramica generale sulla distribuzione del volume di
dati all’interno delle sue cartelle, facendo spiccare “NEW combo semi private”: direttorio tra i più recenti a
disposizione, dove si concentra una grande porzione del contenuto informativo della Collezione. Relativamente
alle tipologie di account e-mail esposti, è stato osservato uno sbilanciamento nella distribuzione dei tipi di
Provider di posta: una grandissima parte è legata alle caselle gratuite dei principali
servizi e-mail quali Yahoo Mail, G-Mail, AOL ed Outlook. Questa tipologia di servizi
sono in gran parte utilizzati da utenze domestiche per usi personali, tuttavia la loro
grande popolarità li ha resi nel tempo utilizzati anche in parte del tessuto
produttivo delle micro-imprese e dei professionisti.
In aggiunta, la distribuzione dei Top Level Domain (TLD) presenti nei record della
Collezione #1, mostra come parte predominante delle utenze esposte sia
imputabile ai domini e-mail con suffisso “.com”. E’ opportuno notare che questo
particolare TLD è molto utilizzato dai principali provider di posta gratuiti, tuttavia, al
netto di ciò, i domini di posta di organizzazioni commerciali risultano comunque
maggioritari, inseguiti da suffissi legati a Russia, Regno Unito, Germania, Francia ed
Italia (Figura Sottostante). Fortunatamente, i domini di posta “.it“ sono minoritari
relativamente al complesso degli 87 GB di dati grezzi rilasciati. Ciò nonostante si
contano oltre 240 mila domini email distinti con TLD italiano solamente all’interno
della cartella “NEW combo semi private”, indicazione di una potenziale esposizione
tutt’altro che trascurabile per il contesto nazionale.
Figura. Distribuzione record per Top Level Domain in “NEW combo semi private”
YRO225-R001-LM190207-1 TLP:White 5/18
Password
I dati di Collection #1 hanno
inoltre permesso di investigare lo
stato di salute di uno degli
aspetti più importanti nella
sicurezza della vita digitale
moderna: l’Autenticazione. L’uso
delle password è da anni il
metodo prediletto per la
gestione dei processi di login
nella stragrande maggioranza dei
servizi web moderni, di facile
implementazione per gli
sviluppatori ed immediata
fruizione per gli utenti.
Nonostante al giorno d’oggi i
principali provider di posta
mondiali supportino, ed in molti
casi forzino, forme di
autenticazione multi-fattore
come SMS, PIN, token fisici, smart-card, applicazioni o parametri biometrici, una parte rilevante di portali e
servizi web versa in condizioni nettamente differenti, con supporti limitati, inadeguati o del tutto assenti. Questo
contesto, unitamente alla disponibilità dell’ingente mole di dati raccolta nelle Collezioni, crea una miscela
deleteria per la sicurezza dei dati e della vita digitale, professionale o privata che sia.
L’analisi statistica delle password riportate all’interno delle “liste combo” indica, ancora oggi, una pigrizia nella
scelta delle password di accesso, in molti casi basate sulle sole sequenze numeriche, varianti dell’intramontabile
“Password” e pattern di digitazione da tastiere “QUERTY”. Questo relativamente ai record di Collection #1 nella
loro interezza.
Focalizzando invece l’attenzione sulla porzione di dati relativi al top-level-domain “.it” emerge uno scenario
leggermente differente. Benché sequenze di numeri rimangono una delle scelte preferite per la protezione della
propria identità digitale, questo segmento di dati permette di apprezzare caratteristiche altrimenti soffocate dai
volumi nel loro complesso: nomi propri di persona, appellativi e parole di uso comune sono, in moltissimi
casi, stati scelti come chiave di accesso per i propri account di rete.
Figura. Statistiche password più utilizzate con indirizzi e-mail “.it”
YRO225-R001-LM190207-1 TLP:White 6/18
Portali Compromessi
Come precedentemente
suggerito, la Collezione #1 non
contiene unicamente le
cosiddette “liste combo”. Una
porzione delle sue cartelle sono
adibite alla raccolta dati “grezzi”,
trafugati a seguito della
compromissione di oltre 3700
portali tra servizi web, e-
commerce e forum online.
Tra di essi risultano presenti
riferimenti a 65 portali
potenzialmente italiani
caratterizzati da nomi a dominio
con suffisso “.it”.
Tralasciando momentaneamente
le origini dei record
compromessi ed estendendo la
ricerca alla collezione “#2”, si
notano riferimenti ad ulteriori
raccolte di “dump” appartenenti ad una assortita gamma di servizi online, ad esempio:
● Shopping ed e-Commerce, all’interno delle quali sono anche presenti record dai data leak di Amazon
ed Ebay avvenuti negli anni trascorsi.
● Streaming, comprendente anche dati potenzialmente riconducibili alla compromissione di “Last.fm”, il
cui nome compare in file all’interno della raccolta.
● Trading, dove sono presenti dati trafugati da piattaforme online per agenti di borsa e piazze di
scambio, relativi ad intrusioni avvenute anche nel 2017.
● Gaming, con dati relativi a piattaforme e forum utilizzati da appassionati di videogiochi in tutto il
mondo.
● Portali e Forum di sviluppo software, finanza, giornalismo, viaggi e vacanze, annunci etc.. .
● Social network e provider di servizi internet e di posta.
Una varietà di portali e servizi web decisamente orizzontale, con la capacità di lambire praticamente ogni
tipologia di utenti di rete, se sufficientemente attivi nel mondo Internet. Oltre a ciò, sono presenti raccolte di
record riclassificate per aree geografiche: asiatiche, europee, russe ed americane. Anche in questo caso la varietà
è decisamente elevata.
YRO225-R001-LM190207-1 TLP:White 7/18
Complessivamente, all’interno delle Sette
Collezioni sono presenti record di più di 13
mila portali web compromessi, un volume
rilevante che riassume in sé anni di furti di dati
ed attacchi hacker. Sono infatti presenti record
e porzioni di database riconducibili a data
breach avvenuti nell’arco del tempo, alcuni di
essi ripresi anche dalla stampa internazionale,
come il furto di dati del social network di
Badoo Trading Limited, risalente al 2016,
oppure degli attacchi informatici ai danni
Last.fm Ltd nel 2012. All’interno di questi
tredicimila servizi compromessi risultano
presenti potenziali riferimenti a 219 portali
web italiani, il cui nome a dominio termina con
il TLD “.it” (Grafico di Destra).
La presenza dei portali “.it” all’interno dei
“dump” si posiziona al sesto posto della
classifica relativa ai Top Level Domain
nazionali, dopo Russia, Germania, Regno Unito e Brasile. Il posizionamento non è affatto marginale e fornisce
una indicazione sulla permeabilità del panorama cyber italiano, il quale, nel corso degli anni, ha subito attacchi
ed intrusioni da parte di attori di minaccia
in ambito criminale, con ordini di
grandezza comparabili rispetto a nazioni
storicamente più digitalizzate. Tuttavia il
dato relativo ai TLD italiani presenti nei
“dump” è, senza ombra di dubbio,
parziale: oltre il 50% dei 13 mila portali
compromessi utilizza top level domain
aperti, come “.com”, “.org” e “.net”, i quali
mascherano la nazionalità delle
organizzazioni afflitte (Grafico di Sinistra).
Un più preciso dato sulla nazionalità dei
portali compromessi legati ai “dump”
raccolti, inclusivo della porzione di
maggioranza, è stato ottenuto
effettuando arricchimenti contestuali ai
domini univoci estratti: sono state
investigate sia le nazionalità dei
“registratar”, sia il paese di origine
ospitante la loro infrastruttura a livello di
rete.
YRO225-R001-LM190207-1 TLP:White 8/18
Con questo criterio è stato possibile individuare il coinvolgimento di oltre 270 portali di organizzazioni
italiane, vittime di accessi abusivi e furto di dati relativi alle utenze nell’arco degli ultimi anni. Un dato di
rilevanza non unicamente statistica perché, con l’entrata in vigore del GDPR nel Maggio 2018, il deciso
cambiamento dell’approccio in tema di Protezione dei Dati Personali è prepotentemente entrato nelle
agende dei Manager di gran parte del tessuto produttivo Italiano.
Esposizione Italiana
Le analisi generali sulla Collezione #1 riportate in precedenza hanno cristallizzato uno dei punti cardine di questo
documento: il panorama cyber italiano, inteso sia come Organizzazioni che come Utenze, è stato
inequivocabilmente coinvolto dal rilascio di questa ingente raccolta di dati trafugati. Lo è stato in primis per via
dell’esposizione di migliaia di account e-mail elencati nelle famigerate “liste combo”, ed in secondo luogo per via
dei portali web infiltrati ed “hackerati” da parte di gang criminali, vandali ed “hacktivisti”.
Tuttavia, quanto precedentemente osservato, non coglie appieno il reale coinvolgimento del panorama
nazionale. Per questo CERT-Yoroi ha effettuato alcune analisi aggiuntive, focalizzate ad aspetti tangibili per le
utenze di rete e le organizzazioni, al fine delineare un indicativo profilo dell’esposizione italiana.
Posta Elettronica Certificata
La PEC è da anni uno degli strumenti informatici più sensibili per aziende e professionisti, è una delle prime
tecnologie chiave nei processi di digitalizzazione delle pubbliche amministrazioni, nell’abbandono della carta e
nello snellimento dei rapporti tra
privati.
La sua validità legale e le differenti
casistiche di utilizzo rispetto alle
tradizionali caselle di posta hanno,
negli anni, contribuito alla
creazione di un rapporto fiduciario
nei confronti di questa tecnologia.
Tuttavia, le caselle di posta
certificata, oggetto di inizialmente
timidi tentativi di abuso, sono nel
tempo state bersaglio di attacchi
sistematici: partendo dalle
campagne di propagazione di
email infette tramite PEC, come ad
esempio riportato nel bollettino
Early Warning N021115 di CERT-
Yoroi del 2015, fino ai recenti e
massivi attacchi che nel Novembre
2018 hanno comportato la
violazione di oltre
YRO225-R001-LM190207-1 TLP:White 9/18
500 mila caselle di posta elettronica certificata. Risulta dunque chiaro che anche questa tipologia di servizi, ricoprente importanti ruoli nella vita delle Organizzazioni, ha ricevuto, nel tempo, sempre più interesse da parte di cyber criminali e hacker. Per questa ragione, CERT-Yoroi ha investigato l’esposizione delle caselle di posta elettronica certificata in Collezione #1. Gli indirizzi sono stati trovati all’interno delle “liste combo” che, a questo punto e per via delle differenti modalità di utilizzo che caratterizzano la PEC, sono almeno in parte frutto del furto di dati tramite infezioni malware. Qui sono state rilevate più di 4mila occorrenze di indirizzi di posta elettronica certificata, distribuiti su oltre 200 domini, molti dei quali riconducibili a Piccole e Medie Imprese italiane (1200 occorrenze), accompagnati da una quota minoritaria di caselle di enti comunali, regioni, ordini ed albi professionali (83 occorrenze, 17 domini). Una grande parte delle caselle PEC presenti in Collezione #1 proviene invece da servizi italiani di posta certificata in cloud, tra i quali Aruba con PEC.it (54%), Legalmail con il 18.5% ed in forma minoritaria la posta elettronica certificata Pec.net di Registro.it. Questo dato rappresenta un'evidenza allineata all’incremento del rischio cyber che, come osservato anche a cavallo tra 2018 e 2019 da CERT-PA e CERT-Yoroi, sempre più coinvolge il canale di comunicazione certificato, abusato dai criminali per veicolare malware nelle infrastrutture di Aziende ed Organizzazioni, che, nel prossimo futuro, dovranno necessariamente includere la tecnologia PEC nei loro programmi di sicurezza. Enti Governativi Altro passo fondamentale nell’esplorazione dell’esposizione italiana è l’indagine sulle Entità Governative centrali coinvolte in Collezione #1. Da tempo Pubbliche Amministrazioni ed enti sono ambito bersaglio di criminali, “hacktivisti” ed attori stranieri: personale, asset informatici, dati ed informazioni in questo perimetro sono sottoposti ad agenti di minaccia ancor più gravi rispetto a quanto Aziende, Gruppi Industriali e Persone siano comunemente esposti. Questi agenti potrebbero, tra l’altro, esser stati in possesso della Collezione ancora prima della sua pubblica scoperta. La presenza di Enti Governativi italiani all’interno dell’intera Collezione #1 è minoritaria, in tutto si contano 1238 riscontri di indirizzi email “.gov.it”; oltre 1400 estendendo la ricerca anche ad istituti e pubbliche amministrazioni locali e regionali. Il dato in sé, è senz’altro parziale in quanto esistono ministeri ed enti che utilizzano nomi a dominio differenti, spesso terminanti con il generico suffisso “.it”, tuttavia questo primo estratto è in grado di fornire una discreta panoramica su questa importante parte del Sistema Italia. La prima osservazione formulabile è necessariamente sul numero distinto di organismi coinvolti, ben 29. Molti sono stati coinvolti solamente in parte minoritaria, con poche occorrenze rispetto alle dimensioni degli stessi. Ne è un esempio AGiD, dove nell’arco di anni solamente tre distinti account sono stati oggetto di potenziale compromissione, porzione ridotta nei confronti delle centinaia di persone che ogni giorno vi operano. Altro elemento di nota sono le occorrenze del Ministero dei Trasporti e del Lavoro, le quali coprono più di un quarto dei riscontri totali, piazzandosi rispettivamente in prima e seconda posizione, seguiti dall’Ente di Gestione dei Dipendenti Pubblici dell’INPS (INDAP), con l'aiuto del quale coprono oltre 50% delle occorrenze di indirizzi email “.gov.it” presenti in Collezione #1. YRO225-R001-LM190207-1 TLP:White 10/18
Figura. Distribuzione dei riscontri di “gov.it” in Collezione #1 Al di là di dati e statistiche in sé, che danno evidenza della costante minaccia a cui gli Enti centrali siano sottoposti, rimane importante sottolineare che gli organi deputati alla risposta ed alla preparazione, o “Readiness” in gergo, agli incidenti cibernetici, come CERT-PA e CERT Nazionale, hanno monitorato e gestito da tempo questa tipologia di fughe di dati e, a discapito di quanto spesso si ode nei confronti del pubblico settore, rappresentano un modello proattivo di riferimento utile anche per il mondo privato, di PMI e Grandi Aziende, dove, in assenza di processi di sorveglianza digitale (Digital Surveillance) fughe di dati ed esposizioni come queste possono comportare rischi e probabilità d’impatto ben maggiori. YRO225-R001-LM190207-1 TLP:White 11/18
Tessuto Produttivo
I record in Collezione #1 sono centinaia di milioni,
con oltre 240 mila domini aventi Top Level Domain
italiano. Questo dato, tuttavia, non risponde alla
domanda “Qual’è l'impatto sul panorama
cibernetico italiano?”, ne è in grado di fornire una
visione localizzata al contesto nazionale dei rischi
cibernetici pendenti sul sistema paese.
La mole di dati è ingente ed una porzione rilevante
di essi suggerisce un coinvolgimento diretto del
tessuto economico/produttivo italiano; tuttavia la
risposta alla precedente domanda non è affatto
banale: i dati presenti nella raccolta sono, molto
spesso, minimali ed avulsi da contesti temporali e
spaziali, carenti di informazioni sull’affiliazione ad
Organizzazioni, Aziende o Entità proprie del mondo
comunemente, ed in certa misura impropriamente, referenziato
come “reale”. Per questo gli oltre 4 milioni di domini unici
individuati sono stati oggetto di una investigazione contestuale
che, con i tutti i limiti del caso, ha permesso di far riaffiorare
questo prezioso collegamento.
La pletora di domini email è stata massivamente risolta per
ottenerne gli indirizzi di rete, individuando così la localizzazione
geografica delle infrastrutture server attive e permettendo la
definizione di un perimetro di oltre 190 mila entità. Il
confinamento di questa porzione di record ha permesso di
canalizzare l’attenzione su di una porzione di domini di posta
che, con buona probabilità, può contenere legami espliciti con
le organizzazioni italiane.
La dispersione temporale di questi dati, raccolti negli anni a
seguito di svariati data breach, infezioni malware, esposizioni
pubbliche e solo in ultima istanza aggregati all’interno della
Collezione #1, rende molto difficoltosa la ricostruzione del legame con il tessuto produttivo italiano. Ciò
nonostante, CERT-Yoroi ha reperito informazioni sull’affiliazione di oltre 29 mila nomi a dominio comparsi
all’interno di un campione di due cartelle “MAIL ACCESS combos” e “NEW combo semi private”, che
rappresentano circa il 50% della prima Collezione e meno del 5% del contenuto informativo dell’intera Raccolta.
YRO225-R001-LM190207-1 TLP:White 12/18Figura. Composizione dell’intera Raccolta Nonostante il numero di potenziali affiliazioni in sé possa apparire marginale rispetto al totale delle oltre sei milioni di Partite IVA attive in Italia, prende tutt’altra rilevanza se considerato nel respiro delle Sette Collezioni, le quali, al netto di bias, possono ragionevolmente contenere un numero di domini italiani di posta nell’ordine delle centinaia di migliaia, con una potenziale esposizione fino al 20% delle Organizzazioni italiane con presenza digitale. All’intero di questa dimensione, per lo più provenienti da “liste combo”, sono osservabili riferimenti ad un vasto numero di persone giuridiche: i tre quarti sono rappresentati da Società di Capitali come SRL e SPA, il restante quarto contiene invece rimandi a Società di Persone, in maggioranza SNC e SAS. Questa prima indicazione della tipologia di Aziende private coinvolte nel data leak, mostra una probabile preminenza di società appartenenti al tessuto produttivo delle Piccole e Medie Imprese italiane. Importante rimarcare che quest’ultima osservazione non include il numero di record esposti (figura Sinistra), tuttavia la distribuzione delle occorrenze di account email per tipologia di società mostra, in realtà, che le società SRL sono state mediamente coinvolte con 71 record procapite, mentre le Società per Azioni, tipicamente afferenti alla Medio/Grande impresa, contano una media di 321 account cadauna (Figura di Destra). YRO225-R001-LM190207-1 TLP:White 13/18
Figura. Distinte tipologie di Persone Giuridiche (Sinistra), ripartite per volume di record (Destra) A questo punto dell’analisi, una domanda sorge spontanea: “E’ possibile capire a quali settori produttivi siano stati maggiormente coinvolti?”. Anche in questo caso una risposta precisa non è immediatamente a portata, risalire ai singoli codici fiscali e Partite IVA legate ai domini italiani individuati presenta difficoltà e tempi estremamente dilatati. Tuttavia, molte Aziende riportano descrizioni e Ragioni Sociali sufficientemente esplicative da permettere una ri-classificazione in termini di settori produttivi quali: Gruppi Industriali, imprese nell’Information Technology, Sanità ed industria Farmaceutica, il mondo no-profit con Associazioni e Fondazioni, Enti Pubblici e Consorzi, ramo della Logistica, delle Infrastrutture, Bancario e Assicurativo, ed infine una classificazione più generica per settori produttivi classici, primario, secondario e terziario. L’investigazione di questa attribuzione, per le caratteristiche stesse della sua costruzione, è chiaramente soggetta a rumore e limitata precisione, tuttavia ha comunque la capacità di catturare uno spaccato della tipologia di organizzazioni coinvolte in “Collection #1”. Nel seguente grafico emerge un importante presenza del settore dei servizi, per circa il 29%, dove ricade una ampia varietà di imprese, spesso di fascia Piccolo-Media, insieme ai Consulenti e Professionisti, ad esempio studi legali o commercialisti, che raggiungono quota 17%. Questo primo dato ha ripercussioni anche sul rischio cibernetico delle Organizzazioni più strutturate: quello che si sta osservando è un tessuto produttivo, ciò significa che le interconnessioni e gli scambi che avvengono tra le varie realtà sono indicatore di una permeabilità che un attacco cyber può sfruttare per arrivare ben più lontano dei vettori d’ingresso. YRO225-R001-LM190207-1 TLP:White 14/18
Figura. Categorie di organizzazioni individuate Il settore dei servizi, dei professionisti e dell’Information Technology, molto spesso abbraccia le Grandi Aziende e le reciproche relazioni di fiducia possono essere un’arma nelle mani dei cyber criminali. La memoria del recente caso “EyePyramid” ne è diretta testimonianza: nel 2017 è stata infatti scoperta una rete di spionaggio che ha sfruttato studi professionali, aziende di consulenza e società di vario genere come trampolino di lancio per attacchi a cariche pubbliche, enti governativi, amministrazioni ed imprenditori di alto profilo nazionale (rif. Early Warning N010117 di CERT-Yoroi). YRO225-R001-LM190207-1 TLP:White 15/18
A corollario di questa osservazione c’è il dato sulle Fondazioni e le Associazioni, al terzo posto con circa un 14%. Esse presentano un livello di esposizione rilevante che, se unite alle criticità di insite nella loro natura, possono rappresentare una condizione di rischio. Questa categoria raccoglie infatti organizzazioni per lo più no-profit, come fondazioni, associazioni culturali, ONLUS e confederazioni che, per loro natura, non hanno obiettivi di profitto e che spesso contano su volontariato e beneficienza. Tuttavia Associazioni e Fondazioni ricoprono un peso importante nell’ecosistema nazionale e sono spesso partecipate da personalità a vario livello, condizione che, se unita al dato di esposizione rilevato, può celare profili di rischio cibernetico a fronte di minacce motivate da spionaggio di natura industriale, politico o militare. Al quarto posto troviamo invece i Gruppi Industriali, con un riscontro del 9%. Qui si attesta buona parte delle Organizzazioni e delle Aziende di fascia Medio- Grande, il cuore pulsante della produzione, motore competitivo del tessuto economico nazionale. Nonostante la medaglia di legno nell’infausta classifica, osservando il numero di account email coinvolti emerge un increscioso fatto: la categoria dei Gruppi Industriali qui si posiziona al primo posto, con mediamente più di 100 occorrenze di record compromessi pro capite. Cristallina indicazione di come le minacce cibernetiche insistano profondamente su questa fondamentale parte del sistema produttivo italiano. Quest’ultima analisi fornisce inoltre indicazione della rilevanza del fattore di esposizione e minaccia che l’economia cybercriminale pone anche ai settori delle Infrastrutture, delle Pubbliche Amministrazioni, della Formazione e della Sanità, oltre che né al settore Bancario, tradizionalmente oggetto di interessi criminali, le quali si attestano su di un numero di occorrenze pro capite fluttuante tra i 40 ed i 70 record. YRO225-R001-LM190207-1 TLP:White 16/18
Conclusioni La scoperta della circolazione di una Raccolta di password ed account così ingente all’interno dell’ecosistema criminale rappresenta un evento notevole a livello internazionale, con altrettanti importanti risvolti anche nel panorama italiano. I dati all’interno delle Sette Collezioni non ne riguardano solamente una marginalità, al loro interno sono presenti milioni di occorrenze riconducibili a numerose entità parte del tessuto produttivo nazionale, oltre alla presenza di dati provenienti da centinaia di servizi e portali italiani vittime di attacchi hacker. Quanto emerso in sede di analisi di questa Raccolta fornisce sì una serie di dati indicativi dell’esposizione italiana e dei relativi rischi cibernetici, ma deve inoltre fungere da campanello di allarme per tutto l’ecosistema produttivo. I volumi di credenziali esposti e l’economia cyber-criminale sono cresciuti: ne sono chiaro esempio sia la quantità di campioni malware distinti intercettati negli anni, quasi raddoppiate negli ultimi cinque, passando da 470 a 867 milioni (Fonte:AV-TEST), che ne l’ordine di grandezza delle raccolte di data breach in circolazione nei mercati neri, ad oggi arrivate al TeraByte. L’ammodernamento e la scelta di soluzioni di sicurezza idonee a rispondere alle sfide della digitalizzazione, alle complessità infrastrutturali, ed all’evoluzione delle minacce cyber sono oramai un fattore chiave per la prosperità futura di Aziende ed Organizzazioni, su tutte le fasce, a partire dai Grandi Gruppi sino alle Piccole e Medie imprese, che permeano e caratterizzano il particolare tessuto produttivo nazionale. YRO225-R001-LM190207-1 TLP:White 17/18
Yoroi S.r.l.
www.yoroi.company
Via G.B. Martini, 6 Piazza Sanguineti, 106
00198 – Roma (Roma) 47521 – Cesena (FC)
+39 (051) 0301005
Yoroi S.r.l. ® 2014-2019 - Tutti i diritti riservati
Yoroi ® è un marchio registrato Registrazione N°: 016792947
YRO225-R001-LM190207-1 TLP:White 18/18Puoi anche leggere
