07 DIC 2020
intervista

L'attacco informatico contro Leonardo, società leader nel settore aereospaziale e della difesa. Intervista ad Alessandro Curioni

INTERVISTA | di Emiliano Silvestri - Milano - 00:00 Durata: 12 min 12 sec
A cura di Enrica Izzo
Player
"L'attacco informatico contro Leonardo, società leader nel settore aereospaziale e della difesa. Intervista ad Alessandro Curioni" realizzata da Emiliano Silvestri con Alessandro Curioni (presidente della DI.GI. Academy).

L'intervista è stata registrata lunedì 7 dicembre 2020 alle 00:00.

Nel corso dell'intervista sono stati trattati i seguenti temi: Aerei, Cibernetica, Criminalita', Depistaggio, Difesa, Digitale, Emergenza, Epidemie, Garante Privacy, Giustizia, Impresa, Industria, Informatica, Informazione, Intercettazioni, Italia, Leonardo Spa, Magistratura, Prevenzione, Privacy, Ricerca, Salute, Sanita', Sanzioni, Scienza, Sicurezza, Spazio, Tecnologia, Telecomunicazioni, Unione Europea.

La registrazione audio ha una durata di 12 minuti.

leggi tutto

riduci

leggi tutto riduci

  • Alessandro Curioni

    presidente della DI.GI. Academy

    Docente di Sicurezza Informatica presso l'Università Cattolica del Sacro Cuore di Milano L'attacco informatico contro Leonardo, società leader nel settore aereospaziale e della difesa. Un attacco partito dall'interno, da persone - cioè - che avevano accesso diretto ai sistemi informatici con ruoli significativi. Da maggio 2015 a gennaio 2017 sono stati sottratti 10GB di dati. Ciò è accaduto perché le possibilità di accorgersi che qualcuno sta sottraendo dei dati sono, per le aziende, molto basse; Il virus, il malware, a un certo punto ha però generato un’anomalia che il Security Operation Center ha immediatamente individuato. Improbabile si tratti di dati relativi alla sicurezza nazionale o a particolari ricerche o brevetti; le reti dove si trattano informazioni di carattere militare sono, infatti, totalmente segregate e separate dalle altre. Gravità intrinseca di questo crimine. Che il responsabile del team che si occupa di questi incidenti sia accusato di depistaggio è particolarmente grave. Potrebbero essere stati anche trafugati dati su persone fisiche: dati personali tutelati dal regolamento europeo e questo può aumentare il livello di gravità. Se l'attacco ha colpito anche società vicine a Leonardo questo può essere atto deliberato oppure dovuto ad autonoma diffusione del malware in sistemi aziendali interconnessi. L’analisi forense fatta sui diversi dispositivi potrà fornire molti elementi ma le ricostruzioni sono complesse e le prove volatili. Attenzione! cftmon non è un malware ma un servizio legittimo
    0:00 Durata: 12 min 12 sec
Visualizza la trascrizione automatica Nascondi la trascrizione automatica

Radio radicale Mikael Silvestre oggi a Milano con Alessandro Curioni presidenti di Di Gi Academy e docente di sicurezza informatica presso l'Università Cattolica del Sacro Cuore di Milano
Corioni anche autore insieme ad Aldo Giannuli e di un libro che ha titolo cyber war un argomento del quale parliamo oggi a proposito dell'attacco subito da Leonardo
La società che molti ricordano col nome di Finmeccanica
Perché un'azienda leader nel campo della Mario spazio e anche della difesa
Una attacco che sembra arrivato dall'interno cosa successe
Ma la grande novità da un certo punto di visto Dio novità relativamente quella che Leonard no ha subito quelli che alcuni definiscono l'attacco della cameriera cattiva nel senso è quell'attacco e portato dall'interno come se fosse in un albergo non lasciamo qualcosa in casa e la cameriera cattiva ce lo ruba ecco in questo caso parliamo di due soggetti che avevano accesso diretto ai sistemi informatici e con dei ruoli significativi uno consulente Segbers Security e l'altro sarebbe cioè è il responsabile del team che gestisce tipicamente gli incidenti di sicurezza cosa è successo è successo che sembrerebbe questo consulente attraverso una banale chiavetta USB si era uscita in oculare in alcune decine di personal computer cioè di postazione un malware
Un malware e che non faceva altro che intercettarli digitazione intascherà le schermate per poi trasferirle esternamente all'azienda quindi il la quantità di dati sottratti sembrerebbe ammonti a dieci gigabyte e quali siano questi dati non è dato saperlo
è probabile che non si hanno dati fatemi dire di sicurezza nazionale o che abbiano a che vedere con particolari ricerche che può FaCup prodotti o brevetti che povere Lonardo in quel settore perché tipicamente le reti
Dove si trattano informazioni di carattere militare sono totalmente segregate separate dalle altre venti
Quindi gli l'acqua la tipologia di dati potrebbe essere più o meno critica senza per questo però esse avere quegli effetti devastanti probabilmente che qualcuno teme oppure su voto ora
Questo il furto di dati è avvenuto nell'arco di quasi due anni dal due mila quindici dal maggio se non ricordo male fino a gennaio del due mila diciassette momento nel quale l'azienda ha denunciato questo HD niente ora com'è possibile
Che per un arco di tempo così lungo sia accaduta una cosa del genere in una società così importante
Non è possibile perché beh noi sappiamo perché ce lo insegna la storia dei crimini informatici che le possibilità che ha un'azienda di accorgersi che gli stanno esplicando dei dati sono molto basse
Soprattutto se qualcuno eh immaginando che l'autore sia una esperto di Cyber Security è riuscito a installare un ma allora va fatto in modo per lungo tempo che il traffico generato da questo virus informatico si mescolarsi mischiarsi si perdesse nella quantità di traffico che genera normalmente un'azienda delle dimensioni di Leonardo è altrettanto vero però che a un certo punto probabilmente
A a scellerato le sfide trazione ridati a quel punto si un Security operation center che è proprio quella parte della sicurezza di un'azienda come Leonardo
Chi cura le gli eventuali rilevazione di attacchi si sia accorta dell'anomalia e a quel punto ha bloccato immediatamente quindi diciamo che da quel punto di vista i tempi di risposta sono assolutamente allineati
Di fronte a un criminale particolarmente abile da un certo punto di vista però le difese hanno fatto quello che possono fare ragionevolmente e quindi a quel punto hanno bloccato tutto
A me pare esserci una differenza di
L'interpretazione della procura parla di atto gravissimo
E invece l'azienda dall'interpretazione molto più blanda diceva alla fine erano dati non non così sensibili non così strategici
Ma certo l'atto in sé è gravissimo innanzitutto perché è un crimine e in secondo luogo perché colpisce il nostro campione in materia di sicurezza quindi c'è una gravità intrinseca come dicevo anche prima la natura dei dati probabilmente non è critica è altrettanto vero che si possono innestare problemi di ordine diverso mi spiego potrebbero essere dati
Che appartengono a persone fisiche quindi dati personali tutelati dal regolamento europeo e a quel punto c'è un rischio sanzionatorio da parte dell'Autorità garante per la protezione dei dati quindi ci posso si possono innestare in quest'ambito tutta una serie di elementi che accrescono il livello di gravità anche per l'azienda ovviamente l'azienda minimizza in effetti poi anche qui secondo me ci sarà da fare molta chiarezza su questa vicenda perché il fatto che il responsabile del team che di fatto si occupa degli incidenti sì accusato di depistaggio quella un'accusa particolarmente grave non solo per il ruolo che ricopre questa persona ma anche perché
E depistare un'indagine informatica non ci sono tantissimi modi e una persona di quell'esperienza non lo fa per sbaglio
Io personalmente potrei anche immaginando lo scenario in cui
Questa persona ha cercato forse impropriamente forse esagerando un po'di tutelare l'azienda effettivamente che si tratti di un atto deliberato questo sia allora vide avrebbe darebbe i crismi dell'estrema gravità
Ecco ricordiamo questo persona accusate di depistaggio irresponsabile organismo aziendale anti Eccher mentre invece la persona arrestata al ex addetto alla gestione la Cyber Security dell'azienda
Che arco esatto di accesso abusivo al sistema informatico intercettazioni illecite comunicazioni telematiche
La Procura ipotizza anche Fabio delle ricerche ho trovato questa notizia
Che siano stati colpiti anche tredici computer di una società del gruppo Alcatel e altri quarantotto usati da società private del comparto militare
Ed è stata usata la vulnerabilità di una società terza vicino a Leonardo per acquisire informazioni particolare delicatezza questo
Come dire è un obiettivo parallelo vicino all'ordo quindi che dire e allora qui ritorna se fosse vera questa teoria ritorna uno dei grandi temi della sicurezza se io voglio colpire un gruppo particolarmente strutturato particolarmente organizzato dal punto di vista della sicurezza cercherò di colpire prima il suo più oscuro fornitore perché probabilmente non avrà misure di sicurezza dello stesso livello
Di questa organizzazione
Io in realtà temo che il problema in questo caso sia al la la logica e inevitabile interconnessione tra i sistemi aziendali cioè è abbastanza facile oggi per qualsiasi organizzazione se non necessario può in questi tempi di pandemia vitale
Che i sistemi di più organizzazioni siano tra loro connessi ovviamente un malware a seconda di come fatto
Può diffondersi anche autonomamente e quindi inevitabilmente molti altri client o altri dispositivi che sono collegati alla rete di Leonardo potrebbero essere stati compromessi
Sì incidentalmente oppure deliberatamente questo solo le indagini lo diranno sicuramente
C'è un tema di indagini che sarà che è stato sicuramente svolto bisognerebbe capire quali sono i risultati dell'analisi forense che è stata fatta sui diversi dispositivi io sono certo che nel momento in cui Leonardo è andata a sporgere la denuncia avrà presentato anche quelli che tecnicamente si chiamano le copie per analisi forense
Dei dati quindi degli hard disk che e quindi delle memorie presenti nei computer compromessi ecco dagli si potrebbero capire molte cose
Un'ultima cosa dice la Procura c'è un una pagina che anche specificata su cui sono stati trasferiti dati rubati
E cosa che sarebbe ancora più grave
L'accesso a questa pagina è stato reso possibile a terzi attraverso la consegna della passione
Questo cosa potrebbe comportare allora è normale che i dati da qualche parte dove a trasferirli sono stati trasferiti su questa pagine basata sono dei sistemi Esterni a a a Leonardo e a quel punto da lì bisogna vedere quali erano le finalità di questo furto di dati perché di voleva vendere allora probabilmente qualcuno si collegava gli scaricava
è stato fatto su commissione e allora quello probabilmente era il riferimento che gli aveva dato il mandante
Ci sono tutti gli scenari sono buoni cioè il problema vero di fronte un crimine informatico è sempre quello di ricostruire esattamente cosa è successo e le ricostruzioni sono complesse
Le prove sono volatili durano poco le stesse immagini per analisi immagini dei dischi
E dei computer che sono state fornite alla Procura bisogna vedere in che misura è quanto erano tra virgolette attendibili cioè in che momento sono state fatte
Poi dice che il trojan che è stato inserito nel sistema agiva poi cancellava le
Le tracce del suo passato sì quello lo fanno no moltissimi ma allora una è uno standard quello di cancellare poi comunque le tracce in particolare in questo caso molti hanno fatto anche un po'di confusione perché parlando di questo malore che si chiama si chiamerebbe ci effetti Mon
In realtà quello non è il nome di un malware quello è il nome di un legittimo servizio di Microsoft cioè quando noi facciamo partire il nostro sistema operativo parte anche questo processo
è chiaro che per nascondersi il malware assume il nome di un servizio legittimo adesso non è che tutti a casa devono mettersi lì chissà assi ottici effetti Moncey ce l'hai sicuramente bisogna vedere se quello vero quello falso
Che è una cosa completamente diversa cioè il malware tendono inevitabilmente chili loro eletto soprattutto chi li progetta a mascherarsi quindi appaiono come project Progetto accessi legittimi
Cancellano le loro tracce si nascondono all'interno del sistema creano copie di backup di se stessi e è un'arma a tutti gli effetti quindi è una piccolo arsenale che si ritrova all'interno di una rete o di un sistema che ha ormai è difficile sradicare
Però ripeto quello che ha fatto Leonardo dal momento tu in cui si è accorta quello che normalmente fanno le grandi aziende il fatto che siano passati due anni non è assolutamente un dato di solito è abbastanza normale soprattutto se
Ti certi tenta l'Est filtrazione
è sufficientemente abile
Grazie grazie ad Alessandro Corioni presidente di Luigi Academy e docente sicurezza informatica presso l'Università Cattolica del Sacro Cuore di Milano
Con lui abbiamo parlato dell'attacco subito dalla soggetta Leonardo

più argomenti meno argomenti

Registrazioni correlate