La vulnerabilità del fattore umano nella cyber security aziendale rimane ancora il principale target dei criminali informatici, che la sfruttano sempre più frequentemente mediante campagne di phishing e social engineering.
Sicurezza aziendale, il fattore umano è l’anello debole della catena
Una delle principali cause delle violazioni subite dalle aziende è il dipendente, non sufficientemente preparato a fronteggiare un attacco hacker e spesso complice inconsapevole dei pirati informatici. Una situazione che trova conferma anche nell’ultima indagine condotta da Kaspersky Lab.
Lo studio, dal titolo “Human Factor in IT Security”, mette al centro di tutto proprio i dipendenti, facili target scelti dai cybercriminali per colpire un’impresa e diffondere la minaccia. Spesso, infatti, come suggeriscono anche altre ricerche, il fattore umano costituisce un pericolo per la cybersecurity di un’azienda. Un file malevolo contenuto in un’email e aperto con leggerezza può veicolare l’infezione in tutto il sistema di protezione. Secondo l’indagine di Kaspersky Lab, circa il 28% degli attacchi mirati alle aziende avviene tramite phishing o ingegneria sociale, tecniche che richiedono la collaborazione involontaria dei dipendenti.
Dipendenti e cybersecurity
Nel caso del phishing, per compromettere la rete di sicurezza aziendale è sufficiente aprire un allegato dannoso o un link malevolo. Il problema è che solo una minima parte dei dipendenti è in grado di individuare il tentativo di un attacco hacker. A volte, ed entriamo nella social engineering, i pirati informatici con tattiche semplici riescono a ottenere delle informazioni riservate, da utilizzare per pianificare i propri attacchi.
Una parte delle violazioni sono nascoste
Uno degli aspetti più gravi, emersi dall’indagine di Kaspersky Lab, è che il 40% dei lavoratori non riporta all’azienda le violazioni. Per una serie di ragioni, che vanno dalla paura di subire qualche ritorsione alla vergogna di essere caduti nella trappola degli hacker. Un dato preoccupante, considerando che il 46% degli attacchi subiti è causato dai dipendenti.
Serve una cultura della cybersecurity
Una buona fetta, poi, spesso non ha nessuna remora nell’utilizzare in azienda strumenti personali, come chiavette USB e altri dispositivi esterni, che possono contenere un malware e infettare i computer. Le aziende, dunque, dovrebbero considerare, come ripetono da anni molti esperti, la preparazione dei propri dipendenti. Manca, purtroppo, soprattutto in Italia, una vera e propria cultura della cybersecurity. Una lacuna che può costare, come visto, molto caro. Soprattutto considerando il passaggio all’Industria 4.0, una tecnica di lavorazione che si basa su automazione e su macchine connesse.
Chi è NSO Group e quali attacchi hacker ha portato avanti
Questa azienda è stata fondata nel 2010 da ex membri della famosa Unit 8200 (parte dell’Israeli Intelligence Corps). L’Unità 8200 è ritenuta la responsabile anche dell’attacco Stuxnet, che nel 2010 ha infettato la centrale di arricchimento dell’uranio di Natanz, facendo esplodere – con un malware, appunto Stuxnet – oltre mille centrifughe e bloccato la centrale.
Inizialmente NSO Group, che ha sede ad Herzliya (Israele), realizzava software per collegarsi da remoto agli smartphone (per fare riparazioni a distanza…), ma da lì alla creazione di software spia il passo è stato breve. Ed in pochi anni l’azienda israeliana è diventata il produttore dei migliori e più micidiali spyware del mondo.
Nel 2014 fu venduta al gruppo di private equity Francisco Partners per circa 120 milioni di dollari, poi nel febbraio 2019 è stata riacquistata dai due cofondatori dell’azienda, Shalev Hulio e Omri Lavie.
NSO Group si è sempre mantenuta nell’ombra e non se ne hanno molte informazioni (fino a pochi anni fa sembra non avesse neppure un sito web): le prime notizie significative sono emerse dal data breach che ha colpito nel luglio 2015 Hacking Team, il loro principale concorrente. Nel 2018 ha avuto ricavi per 250 milioni di dollari e “dozzine” di clienti (ufficialmente Stati e governi).
Nella home page del sito un rassicurante banner dichiara: “NSO creates technology that helps government agencies prevent and investigate terrorism and crime to save thousands of lives around the globe”. E con gli stessi argomenti ha ribattuto alle accuse di WhatsApp, dichiarando che i propri strumenti sono destinati esclusivamente ad aiutare i governi a catturare terroristi e criminali.
Ma secondo Citizen Lab, associazione non-profit collegata all’Università di Toronto, che da tempo indaga su NSO Group, questa società vende i suoi prodotti anche a regimi autoritari che li usano per spiare giornalisti e dissidenti. Un rapporto pubblicato da Citizen Lab ha rivelato che lo spyware Pegasus di NSO Group è stato utilizzato contro almeno 175 obiettivi in 45 paesi del mondo.
Ed è proprio Pegasus il prodotto che ha reso famosa NSO Group, valutata oggi 1 miliardo di dollari.
WhatsApp e sistemi di messaggistica istantanea: sono sicuri?
La denuncia di WhatsApp e Facebook riporta un’altra affermazione interessante, che è utile approfondire per capire i rischi connessi all’utilizzo di WhatsApp.
Nell’atto di accusa a NSO Group è scritto: “Non essendo in grado di rompere la crittografia end-to-end di WhatsApp, gli Imputati (NSO Group, n.d.a.) hanno sviluppato il loro malware per accedere ai messaggi ed altre comunicazioni dopo che sono state decifrate sui devices target”.
Quindi sembra di capire che WhatsApp consideri sicura la sua crittografia applicata ai messaggi. Ricordiamo che WhatsApp ha implementato la crittografia end-to-end (E2E) solo nel 2016 e che ha acquistato l’algoritmo di crittografia da Open Whisper Systems, un’associazione non-profit di sviluppo software open source con l’obiettivo di “rendere le comunicazioni private semplici”. Open Whisper, diretta da Moxie Marlinspike, è nota anche per la sua applicazione di messaggistica “Signal”, considerata tra le più sicure ed attente alla privacy.
Quindi possiamo ritenere che sia comunque difficile per un attaccante leggere i messaggi WhatsApp, se per farlo deve violare la crittografia end-to-end.
About Author
