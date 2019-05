Basta una goccia di sangue nel mare e i veri predatori se ne accorgono anche a grande distanza. Allo stesso modo nell'istante in cui si palesa una potenziale debolezza informatica i cyber criminali si attivano e iniziano a “sondarla”. È questo il vero rischio che potrebbe correre il sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) utilizzato da circa 11 mila banche e istituzioni finanziarie di oltre 200 paesi per gestire transazioni transfrontaliere. Un paio di settimane fa un'organizzazione di hacker nota con il nome di Shadow Brokers ha infatti diffuso nuovi materiali e informazioni relativi alle tecniche e strumenti utilizzati dalla National Security Agency (NSA), l'opaca agenzia per la sicurezza nazionale statunitense, per infiltrare la rete SWIFT e monitorare le transazioni di denaro riconducibili ad organizzazioni criminali e terroristiche.

L'azione NSA su SWIFT è nota da tempo. Nel 2013 nel rivelazioni di Edward Snowden portarono infatti alla luce anche questa attività. Di Shadow Brokers si sa molto poco e questo rende più difficile decifrare la reale finalità della minaccia. Di sicuro il fatto che riesca a sottrarre informazioni alla NSA denota altissime capacità. C'è peraltro anche chi ritiene che possa avere un qualche appoggio interno alla stessa agenzia.

Ad un primo assaggio il boccone più appetitoso del nuovo materiale offerto in pasto alla rete riguarda alcune vulnerabilità relative a Windows tra cui i sistemi per server NT 2000, 2003,2008 e fino a 2012 oltre alle versioni per PC Windows XP, Vista, Windows 7 e 8. Sebbene la società di Redmond abbia fatto sapere di aver già provveduto a mettere a punto le “pezze” per queste falle invitando gli utenti ad eseguire gli opportuni aggiornamenti, è possibile che soprattutto alcune versioni come XP, Vista e Windows 8 rimangano vulnerabili. Tanto che secondo alcune stime le informazioni di Shadow Brokers avrebbero un valore sul mercato nero internet di almeno 2 milioni di dollari.



L'organizzazione di hacker ha messo on line anche nuove notizie e informazioni sulle modalità con cui la NSA ha sviluppato la sua incursione. In sostanza come sia riuscita a infettare server Windows e copiare il database ORACLE di EastNets, centro servizi SWIFT per il Medio Oriente. EastNets ha prontamente diffuso una nota in cui nega che esistano evidenze di una sottrazione di dati dei suoi clienti. EastNets precisa di aver effettuato tutte le verifiche necessarie e spiega anche che le foto diffuse da Shadow Brokers riguardano vecchie schermate generate da un server interno non più utilizzato dal 2013.



Che le cose stiano veramente così conta, ma fino ad un certo punto. L'aspetto essenziale è capire se le informazioni a disposizione di Shadow Brokers possano facilitare nuovi attacchi. «Potrebbero fornire lo spunto per quelli che si definiscono lateral movement», spiega Giancarlo Russo della società Neutrino, offrire cioè indicazioni su cosa fare o non fare per scovare una vulnerabilità del sistema. Anche il semplice fatto di segnalare che una strada è bloccata è un aiuto perché suggerisce di tentarne altre».



«Bisognerebbe anche capire se quelle rese pubbliche da Shadow Brokers sono tutte le informazione di cui l'organizzazione dispone», spiega Luigi Martino, che dirige il Centro per gli studi in materia di cybersicurezza presso il CSSII dell'Università di Firenze. È infatti prassi abituale in questo genere di commerci lasciare appena intravedere la mercanzia di cui davvero si è in possesso. Nella peggiore delle ipotesi l'organizzazione potrebbe essere in possesso di cosiddetti “zero days”, ossia vulnerabilità di un sistema di cui è a conoscenza solamente l'attaccante e contro cui chi gestisce i sistemi ha avuto zero giorni per rimediare.

«Se così fosse - continua Martino - si tratterebbe di dati che potrebbero avere un grande valore di mercato e attirare l'interesse. Ad ogni modo si conferma come quelle finanziarie siano infrastrutture sensibili che necessitano protezione. Le ragioni di un attacco non sono solo di natura economica ma anche politiche, visto il potenziale destabilizzante di una compromissione di questi sistemi».



Secondo l'hacker e fondatore della società di sicurezza informatica Comae Technologies, Matt Suiche, quello sviluppato dalla NSA nei confronti di SWIFT è un attacco a un'infrastruttura critica che ha un solo precedente paragonabile per complessità e proporzioni. Parliamo di STUXNET, il virus messo a punto da USA e Israele per sabotare il programma nucleare iraniano, provocando un malfunzionamento delle turbine dell'impianto di Natanz circa 7 anni fa (Stuxnet, che nel frattempo si sarebbe diffuso in un centinaio di paesi, farebbe parte secondo alcune ricostruzioni di un più ampio progetto con capacità di compromettere infrastrutture critiche di vario tipo). Secondo Suiche infatti la NSA avrebbe cercato di controllare l'intero sistema di transazioni osservandone i movimenti dal centro EastNets. Non a caso, sottolinea Suiche, Cina e Russia starebbero sviluppando soluzioni alternative a Swift.



Non è la prima volta che la piattaforma Swift, basata in Belgio ma con 74 nodi sparsi per il mondo, finisce nel mirino. Nel febbraio del 2016, attraverso finti account della Bangladesh Bank furono disposti trasferimenti per centinaia di milioni di dollari dalla divisione della Federal Reserve di New York. Un'operazione che si sospetta possa essere stata orchestrata dalla Corea del Nord senza però che questa tesi abbia sinora trovato conferme ufficiali. Lo scorso settembre il responsabile per la sicurezza di Swift, Alain Desausoi, ha affermato che «la minaccia (di cyber attacchi, ndr) è persistente, sofisticata e in costante evoluzione». Questo tipo di pericolo è «here to stay», ha concluso Desausoi, invitando le banche ad innalzare il livello di sicurezza e protezione.

