Google affronta la cybercriminalità con i suoi security team
Attacchi telematici possono colpire chiunque: università, imprese mediatiche, autorità amministrative – ecco solo alcuni esempi per gli obiettivi di attacchi telematici degli ultimi mesi in Svizzera. Due team li combattono ad altezza d’occhio per Google a Zurigo: il Red Team di Daniel Fabian simula attacchi cibernetici contro Google, mentre lo Zero Team di Tim Willis cerca di individuare lacune di sicurezza nella software propria ed esterna.
7 minuti di tempo di lettura
Giugno 2023: Nel darknet viene a galla un pacchetto contenente dati personali di diplomatici basati in Svizzera, consiglieri federali, dirigenti statali e molte altre persone protette dal servizio di sicurezza federale. Il gruppo hacker “Play” aveva rubato i dati ad un’impresa informatica di Berna, che conta tra i suoi clienti anche gli uffici federali. Ma anche ospedali, amministrazioni locali, numerose imprese e persino una fiera d’arte sono stati obiettivi di attacchi degli hacker. Spesso i cybercriminali cifrano tutti i dati e chiedono un riscatto, il cosiddetto “ransom”. Secondo l’impresa di telecomunicazione americana Verizon i costi medi di un attacco cibernetico negli ultimi anni si sono raddoppiati e ammontano ora a 26’000 dollari US. In alcuni casi le spese per il riscatto possono raggiungere anche cifre oltre un milione (fonte).
Tutto serrato, o esiste un modo per entrare nel sistema software? Le ricerche del Project Zero Team.
“L’unico modo per fermarli è ragionare come loro.”
Ecco il motto che apre ognuna delle sei puntate della Serie YouTube “Hacking Google”. Gli specialisti di sicurezza di Google ci offrono una visione dei loro compiti, metodi e motivi. L’importanza del loro lavoro cresce sempre di più: secondo l’impresa di consulenza aziendale Cobalt nel 2022 il numero di attacchi cibernetici significativi contro l’infrastruttura digitale è stato più elevato che mai. Sono stati colpiti tra l’altro enti pubbliche previdenziali, aziende, governi e privati in tutto il mondo. (fonte).
Anche in Svizzera l’Istituto federale di statistica ha rilevato per il 2022 in tutto 33’345 casi di criminalità digitale – un aumento di oltre il 35 per cento rispetto al 20201. Su scala mondiale gli attacchi cibernetici causano danni per 318 miliardi di dollari US. Per la Svizzera parliamo di 728 milioni di dollari US2.
Per far fronte a questo problema Google ha sviluppato misure protettive incorporate: le impostazioni di sicurezza di Gmail bloccano per esempio il 99,9 per cento delle e-mail con contenuti nocivi come phishing-mails, false richieste di pagamento o virus informatici. Il programma di protezione integrato nel browser Google Chrome respinge ogni giorno oltre tre milioni di attacchi. Questo successo è dovuto all’impiego dell’intelligenza artificiale (IA). Grazie all’IA in futuro sarà possibile prevenire gli attacchi cibernetici e ridurre i costi relativi. L’uso di IA nelle imprese per la vigilanza preventiva e per la qualificazione dei collaboratori e delle collaboratrici sul campo della sicurezza informatica potrebbe minimare il rischio di sicurezza in Svizzera per un valore di 130 milioni di franchi svizzeri. Questo il risultato di uno studio condotto da Public First per conto di Google. Per essere sempre un passo avanti ai criminali cibernetici le squadre di sicurezza Google collaborano con le autorità statali, le aziende e gli esperti.
Tim Willis e il suo team Project Zero sono costantemente alla ricerca di punti deboli nei prodotti Google, ma anche nei prodotti di altre imprese.
Anche i team della serie video “Hacking Google” lavorano così. La quinta delle sei puntate è dedicata a “Project Zero”, un iniziativa lanciata da Google nel 2014 per individuare lacune di sicurezza.
Nel dicembre del 2009 un gruppo di hacker era riuscito a colpire parte del network di Google con la cosiddetta “Operation Aurora”. La loro porta d’accesso era un punto debole di un browser molto comune. “Google ha dovuto rendersi conto che anche prodotti di altre imprese possono diventare punti deboli”, dichiara Tim Willis, che oggi dirige Project Zero. Con il suo team è costantemente alla ricerca di punti deboli sia nei prodotti Google sia in quelli di altri operatori. “Ci concentriamo esattamente sui punti che sono al centro dell’attenzione degli aggressori, indipendentemente dal fatto se la loro software sia un prodotto Google o meno. Se troviamo lacune di sicurezza, collaboriamo con gli sviluppatori per chiudere le lacune entro
90 giorni”, ci spiega Willis.
Il nome del team deriva dalla definizione inglese di una lacuna di sicurezza ignota al produttore: Zero day significa che nessuno è preparato a fronteggiare un attacco contro questa lacuna di sicurezza; quindi, il tempo di avvertimento è di zero giorni. Spesso non sono gli stessi hacker ad eseguire l’attacco attraverso una lacuna di sicurezza scoperta da loro, ma vendono invece le rispettive informazioni ad altri criminali o servizi segreti. “Purtroppo, una rete veramente sicura probabilmente non esisterà mai. Ma vogliamo rendere il commercio di lacune di sicurezza il più difficile e dispendioso possibile”, dice Willis.
Nel Blog di Project Zero Willis ed i suoi colleghi rendono pubbliche le lacune di sicurezza individuate.
Quando Tim Willis ed il suo Team trovano una lacuna di sicurezza, cercano di chiuderla entro 90 giorni.
Talvolta il team riesce ad individuare le lacune di sicurezza entro pochi giorni, talvolta ci vogliono settimane o anche mesi. “Quando scopriamo una lacuna di sicurezza, informiamo l’impresa interessata con l’avvertimento che renderemo l’informazione pubblica trascorsi 90 giorni”, dichiara Willis. Google ha impostato un apposito Blog riguardante Project Zero. Chiunque si può informare sulle lacune di sicurezza individuate il team e sui patch protettivi messi a disposizione dalle relative imprese.
Il team Project Zero è anche in grado di utilizzare le lacune di sicurezza individuate a scopo dimostrativo, sviluppando cosiddetti exploits. Soltanto così la lacuna di sicurezza diventa anche una porta d’accesso utilizzata soprattutto da operatori statali come i servizi segreti. “Così offriamo la prova che la lacuna è un pericolo per tutti gli utenti”, spiega Willis. L’importanza del loro compito si riflette anche nei loro successi: hanno individuato oltre 1’800 gravi lacune in applicazioni software. Tra il 2019 ed il 2021 nel 16 per cento dei casi si trattava di Google, il resto riguardava altre imprese.
“Vogliamo rendere il commercio di lacune di sicurezza il più difficile e dispendioso possibile.”
Tim Willis, Team Project Zero
Daniel Fabian del Red Team.
Il Red Team ha scelto invece un’altra strada per rendere più sicuri i prodotti Google per tutti gli utenti.
“Simuliamo i tentativi degli hacker di danneggiare le nostre strutture”, racconta Daniel Fabian, dirigente del team basato a Zurigo, New York e Mountain View. Il termine Red Team è un codice della US Army per le unità che assumono il ruolo di aggressori per poter prefigurare possibili scenari e prepararsi meglio. Fabian ricorda i suoi inizi con Google: “Il mio primo giorno era il 7 dicembre 2009, e proprio una settimana dopo si è verificato un grave attacco contro gli indirizzi e-mail di attivisti per i diritti umani in Cina. Anche Google ed altre imprese erano coinvolte, e per noi è stato lo spunto per rinforzare le nostre misure di sicurezza. Poco più tardi abbiamo triplicato le nostre squadre di sicurezza.”
Il Red Team si esercita cercando di entrare nei sistemi protetti individuando possibili punti deboli. Gli hacker marca Google procedono allo stesso modo dei cybercriminali, sfruttando spesso anche la disattenzione umana. Secondo un rapporto dell’azienda di telecomunicazione americana Verizon è il motivo per il 74 per cento dei casi di violazione di sicurezza (fonte). Il primo passo spesso è formato dal cosiddetto social engineering, cioè la manipolazione di rapporti umani. Una mail pericolosa può sembrare innocua, se inviata per esempio da un collega oppure da un collaboratore del reparto ricerche. In verità può trattarsi invece di una phishing-mail, che cerca di ottenere dati riservati. Altre porte per software nocive possono essere dispositivi USB manipolati allacciati al computer.
“Simuliamo gli hacker che cercano di aggredire Google.”
Daniel Fabian, Red Team
Gli addetti al lavoro Google ricordano il famoso caso dei Globi Plasma. Queste sfere, giocattoli con effetti plasma, vennero mandate dal Red Team senza mittente ai colleghi, i quali le connetterono via USB con i loro computer per farli funzionare. Nel giro di una frazione di secondo la software nascosta nelle sfere mandò un programma al computer in questione, aprendo la porta al Red Team.
Lo scopo di questi esercizi viene definito dal Red Team in collaborazione con i responsabili per la sicurezza dei singoli reparti. La Threat Analysis Group (TAG) analizza gli attacchi dei “veri” hacker su internet e fornisce al Red Team importanti suggerimenti riguardo agli obiettivi principali dei cybercriminali. Il Red Team si mette al lavoro per superare le barriere di sicurezza, dopodiché il gruppo di sicurezza del reparto colma le lacune individuate.
Nel famoso caso delle “Sfere Plasma” il Red Team riuscì a penetrare il sistema tramite la porta USB.
Anche hacker esterni, cosiddetti “etici”, offrono il loro sostegno al Red Team:
Google è stata una delle prime imprese ad implementare un programma Vulnerability-Reward con l’obiettivo di individuare lacune di sicurezza nei prodotti e nelle applicazioni Google. Hacker etici – persone che trovano queste lacune e collaborano a migliorare la sicurezza per tutti gli utenti – ricevono una ricompensa finanziaria. “A loro piace smontare queste strutture, per comprenderle meglio”, dice Fabian. Gli hacker etici e Red Team lavorano insieme per rendere sempre più difficile l’accesso ai cybercriminali.
Foto: Marvin Zilm (8), Frederic Soguel (1), Screenshot: Youtube/Google;
Fonte: 1Istituto Federale di Statistica 2022; 2Ricerca Comparitech 2021
