Cyber security, la Francia corre ai ripari

Emmanuel Macron punta sulla sicurezza informatica. Il presidente francese ha recentemente annunciato lo stanziamento di un fondo da 500 milioni di euro per migliorare il livello di cyber security di imprese e pubblica amministrazione. L'iniziativa, nelle intenzioni di Macron, consentirà di più che triplicare il giro d'affari del settore entro il 2025, portandolo a circa 25 miliardi di euro dai 7,3 miliardi del 2019. Anche il numero di occupati dovrebbe aumentare e raddoppiare nello stesso lasso di tempo. Macron ha affermato che la sicurezza informatica è “una priorità” della sua amministrazione.
L'annuncio è arrivato all'indomani di un attacco ransomware che ha colpito due ospedali in Francia. Non si è trattato di un caso isolato. Recentemente la Cnil, l'autorità francese per la tutela della privacy, ha annunciato l'avvio di un'indagine su una possibile sottrazione di dati sanitari relativi a circa mezzo milione di persone. L'intrusione, ha affermato l'autorità, sarebbe “di particolare estensione e gravità”: gli hacker si sarebbero introdotti in un software sviluppato da Dedalus France utilizzato per test medici di laboratorio, sottraendo informazioni come numeri di previdenza sociale, dati assicurativi, trattamenti farmacologici, patologie e stato sanitario dei pazienti. L'intrusione sarebbe durata dal 2015 all'ottobre del 2020

Hacker o spie?
Il caso che ha fatto più scalpore in Francia è tuttavia quello di Centreon. L'Anssi, l'agenzia nazionale per la sicurezza informatica, ha infatti reso noto che un gruppo di hacker si sarebbe introdotto all'interno del software di monitoraggio sviluppato dalla casa informatica francese. L'intrusione avrebbe avuto inizio alla fine del 2017 e sarebbe durata fino a tutto il 2020, mettendo a rischio, spiega l'agenzia senza fare nomi, l'operatività di imprese che operano nel settore dell'information technology, “in particolare web hosting provider”. La società conta fra i suoi clienti Airbus, Air France, Thales, ArcelorMittal, Électricité de France e Orange. Centreon ha tuttavia precisato che la vulnerabilità sfruttata dagli hacker apparterrebbe a “una vecchia versione open source” del prodotto, non alla soluzione venduta alla clientela.
A dare risalto alla notizia è stata la velata attribuzione dell'attacco a Sandworm, un gruppo di hacker spesso collegato da autorità ed esperti del settore alla Gru, i servizi segreti russi. “La campagna ha numerose somiglianze con precedenti campagne attribuite al gruppo Sandworm”, si legge nel rapporto dell'agenzia. Il gruppo, secondo svariati rapporti, è stato responsabile dell'attacco ransomware conosciuto come notPetya nel 2017, degli attacchi alle Olimpiadi invernali di Pyeongchang nel 2018 e persino delle intrusioni nei server di La Rèpublique En Marche, il partito dell'allora candidato presidente Emmanuel Macron. In Europa, proprio a seguito di questi episodi, erano state imposte una serie di sanzioni ad alcuni ufficiali dell'intelligence russa collegati a Sandworm. Un funzionario del ministero degli Esteri francesi ha definito la campagna contro Centreon “irresponsabile” e un attacco alla sovranità del Paese.

I soldi non bastano
Questi episodi, che siano opera di ufficiali di intelligence o di semplici criminali informatici, dimostrano tutta la gravità che ha assunto negli ultimi anni il tema della sicurezza informatica. L'iniziativa di Macron fa ben comprendere l'attenzione crescente che governi e autorità nazionali stanno riversando sulla sicurezza di software e reti informatiche. Eppure gli sforzi potrebbero non essere sufficienti. Maddie Stone, una ricercatrice di Google, ha recentemente puntato il dito contro i cosiddetti zero-day, ossia una vulnerabilità informatica che non è nota neppure allo sviluppatore o alla casa che ha realizzato il software: secondo l'esperta, che lavora all'interno del team di sicurezza informatica conosciuto come Project Zero, per gli hacker è fin troppo facile sfruttare queste falle perché le società produttrici non fanno abbastanza per eliminare definitivamente difetti e vulnerabilità. Un caso emblematico è quello di Internet Explorer. Nel 2018 i ricercatori di Google scoprirono che un gruppo di hacker stava cercando falle nel browser di Microsoft, talmente diffuso che un'eventuale vulnerabilità avrebbe dato accesso a milioni (se non miliardi) di computer in tutto il mondo. Una volta individuata, gli hacker avevano sviluppato un programma, definito in gergo tecnico exploit, in grado appunto di sfruttare la falla per entrare nei computer. La casa di Redmond era corsa ai ripari rilasciando una patch che poneva fine al difetto di programmazione. Peccato però che l'anno successivo fosse emersa una nuova falla, del tutto analoga alla precedente: fino all'aprile del 2020 sono state riscontate complessivamente cinque vulnerabilità zero-day.
Il team di Google ha individuato più di 150 vulnerabilità zero-day, 24 nel solo 2020. “Quello che vediamo riguarda l'intero settore: patch incomplete stanno rendendo più facile per gli aggressori sfruttare gli zero-day”, ha affermato Stone durante una conferenza sulla sicurezza informatica. “Gli aggressori – ha proseguito – non hanno bisogno di trovare nuovi bug, sviluppare nuovi exploit, guardare codici che non erano mai stati ispezionati prima: stiamo consentendo il riutilizzo di vulnerabilità di cui eravamo già venuti a conoscenza”. Perché non è stato fatto nulla? A detta di Stone, perché i team di programmazione hanno poco tempo e poche risorse: se non ci sono priorità e incentivi, gli sviluppatori si limiteranno soltanto a risolvere la criticità che è emersa, non ad affrontare i problemi più grandi che stanno alla radice di molte vulnerabilità. L'iniziativa del presidente Macron punta a risolvere almeno parte del problema, quello relativo alle risorse a disposizione del mercato. Vedremo se con i soldi arriveranno anche il tempo e la volontà di migliorare la sicurezza informatica di imprese e istituzioni.