Come può un semplice malware intaccare pesantemente il servizio di accesso ad Internet di grossi provider nazionali? Parlare di attacco hacker è assolutamente fuorviante, la realtà è molto più semplice e desolante: i provider non hanno investito adeguatamente nella sicurezza degli utenti, mettendo a rischio la privacy delle persone e l’operatività e la sicurezza delle aziende, senza di fatto garantire la continuità e la protezione di quello che, secondo una recente direttiva europea, è oggi da considerare a tutti gli effetti un servizio essenziale.

Cosa sta causando il disservizio generalizzato che un paio di grossi provider nazionali (ma non si escludono anche altri) e moltissimi utenti stanno sperimentando in tutta Italia? Semplice, un malware chiamato “BrickerBot” (analogo ad altri come Mirai, Hajime, Imeij e Amnesia), apparso nel panorama mondiale ad aprile scorso colpendo oltre 2 milioni di dispositivi IoT basati su sistemi operativi derivanti da Linux (ormai la maggior parte). Da diversi anni, infatti, appositi script automatici scandagliano costantemente tutta la rete Internet alla ricerca di dispositivi vulnerabili in cui installare il software malevolo.

Questo tipo di malware sfrutta una connessione telnet (protocollo che risale alla nascita dei primi computer) sulla porta 8023 e l’esistenza di credenziali d’accesso di default composte da username “admin” e password “admin” per ottenere un accesso privilegiato al dispositivo e sovrascriverne il firmware con codice casuale, rendendolo quindi inutilizzabile. Di conseguenza, l’unica soluzione percorribile per i provider è sostituire fisicamente il modem, operazione in corso in tutta Italia con non poche difficoltà logistiche.

Attacco hacker? No, circonvenzione di incapace

Quindi è stato un attacco hacker, come riportato da molte testate Web specializzate negli ultimi giorni? La risposta è no, è stato più o meno come rubare la caramella ad un bambino.

Definire questo caso come un attacco hacker significa spostare le responsabilità, peraltro molto gravi, dei provider verso un terzo soggetto, oltretutto di difficile identificazione e contestualizzazione, dando al contempo l’idea di un attacco informatico complesso ed impegnativo contro dispositivi iperprotetti e difficilmente violabili. Gli hacker sono persone preparate, colte e raffinate, non dei semplici script kiddies. No, questo caso va definito in tutt’altro modo.

Lasciare attiva la porta telnet e utilizzare credenziali di default è un errore che si poteva commettere nei primi anni ’90, con la prima diffusione di massa di Internet, sebbene in ambito aziendale fosse una pratica deprecabile già qualche lustro prima. Praticamente come lasciare la porta di casa aperta e con le chiavi inserite nella serratura: non era perdonabile 25 anni fa, figuriamoci oggi.

Un errore tale equivarrebbe, per un bambino, a dare retta ad uno sconosciuto o ad attraversare la strada senza guardare. In pratica, più che ad un attacco hacker, il caso assomiglia molto alla circonvenzione di incapace, in cui quest’ultimo è il modem lasciato senza protezione in balia degli eventi.

Senza tanti giri di parole, più o meno dall’avvento di Internet in Italia i provider distribuiscono all’utenza modem con configurazione standard e credenziali di default, in molti casi impedendo agli utenti il ricorso a dispositivi propri. Ed è da altrettanto tempo che i modem venduti al pubblico (D-Link, Digicom, TP-Link, ecc.) sono configurati con le medesime credenziali d’accesso e non prevedono nel firmware una semplicissima procedura di cambio delle credenziali al primo accesso. Va anche detto che la presenza di una porta telnet attiva o di credenziali di default può essere rilevata in 2 minuti con semplicissime operazioni di analisi delle vulnerabilità o di test di penetrazione, che i provider dovrebbero essere obbligati a condurre prima di distribuire dispositivi di rete vulnerabili e non protetti a milioni di utenti.

Cosa sarebbe potuto succedere?

Il tuo modem è il dispositivo attraverso il quale transitano tutti i dati che scambi con Internet dai tuoi dispositivi wireless o connessi via cavo (computer, smartphone, tablet, webcam IP, stampanti, NAS, ecc.). Molto spesso il modem è anche il gateway della tua rete, ovvero il dispositivo su cui sono concentrate tutte le connessioni di rete della tua rete domestica o aziendale (soprattutto per le piccole aziende), pertanto gestisce anche le comunicazioni interne fra i tuoi dispositivi.

In questo caso il malware ha semplicemente riscritto la memoria interna dei modem rendendoli inutilizzabili, ma avrebbe potuto fare ben di peggio. Ad esempio modificare la configurazione dei server DNS che forniscono la risoluzione dei nomi Internet in indirizzi IP, indispensabile per il funzionamento e l’utilizzo dei servizi Web, inserendo DNS malevoli che, al posto di siti legittimi come Google, Facebook, Instagram, Corriere, ecc., indirizzano gli utenti verso pagine fraudolente che inducono ad installare malware e spyware sui propri dispositivi.

Oppure avrebbe potuto modificare le credenziali d’accesso, rendendo il dispositivo non più accessibile né all’utente né tantomeno al provider. Oppure ancora avrebbe potuto trasformare il modem in uno dei tanti nodi di una botnet, ovvero una rete di dispositivi violati sparsi nel mondo, controllati da remoto e utilizzabili in qualsiasi momento per sferrare attacchi DDoS (come nel caso di Mirai), come potenza di calcolo per il mining di moneta elettronica (es. Bitcoin) o per la violazione di sistemi crittografici.

Oppure avrebbe potuto installare nel sistema del modem un processo residente in grado di diffondere ulteriori malware o di catturare le informazioni scambiate dai dispositivi domestici degli utenti, come credenziali o codici di accesso, ed inoltrarle all’attaccante per agevolare ulteriori attacchi. E questi sono solo alcuni esempi delle svariate tipologie di attacco e di violazione che una vulnerabilità come quella rilevata avrebbe potuto consentire.

Non so se è chiaro, ma le vulnerabilità dei modem interessati consentono ad un qualsiasi malintenzionato di prenderne il totale controllo e farne ciò che vuole.

Tuttavia l’autore del malware BrickerBot ha dichiarato di aver creato e diffuso il malware solo per elevare il livello di consapevolezza fra i provider d’accesso Internet sul fatto che stanno fornendo servizi non sicuri. Ha dichiarato, inoltre, di aver scelto di mettere semplicemente fuori uso i dispositivi violati per evitare che divenissero parte di botnet criminali, nella speranza che fornitori d’accesso e utenti in futuro prendano maggiormente a cuore il problema della sicurezza dei propri dispositivi.

Chi biasimare?

Dovrebbe essere chiaro che la colpa del disservizio non può che ricadere sugli Internet provider, rei di grave negligenza ed imprudenza nell’aver sempre distribuito ai loro clienti dei dispositivi affetti da vulnerabilità che esistono da oltre 25 anni e la cui soluzione sarebbe stata semplicissima e di rapida attuazione. Al massimo potrebbero condividere (solo in parte) la responsabilità con i produttori dei dispositivi per averli venduti con credenziali d’accesso di default, senza una semplice procedura di cambio obbligatorio delle credenziali al primo accesso. La negligenza può essere ulteriormente estesa alla mancata attuazione di un’efficace campagna mediatica che comunicasse alla clientela quali misure basilari di sicurezza adottare per rendere il più possibile sicuri i propri dispositivi e la rete domestica.

Continuare a distribuire dispositivi bacati e con credenziali d’accesso universalmente note nel 2017 ad un’utenza pressoché totalmente ignara ed impreparata, equivale a commettere e perpetrare un crimine informatico a tutti gli effetti.

Qualcuno potrebbe avanzare l’ipotesi che la porta telnet attiva sui modem sarebbe potuta servire per consentire l’aggiornamento remoto del firmware da parte dei provider: ipotesi inverosimile, in oltre 25 anni di esperienza sul campo posso affermare di non aver mai visto un caso, uno solo, di aggiornamento firmware realizzato da remoto da uno dei maggiori provider nazionali. Mai visto. Discorso analogo per quanto riguarda le credenziali d’accesso: non ho mai visto un modem standard fornito dai maggiori provider nazionali, sia a realtà domestiche che aziendali, che non avesse credenziali di default e configurazione di base.

La pratica di vendere e distribuire dispositivi insicuri e non protetti da credenziali adeguate è purtroppo una pericolosissima pratica adottata da moltissimi fornitori di servizi e produttori di dispositivi hardware. Basta fare un salto su Shodan per capire la dimensione del problema.

Eppure introdurre un processo centralizzato di password management non dovrebbe essere così difficile, dato che al giorno d’oggi esistono strumenti informatici in grado di consentire qualsiasi tipo di elaborazione ed archiviazione su vasta scala senza richiedere particolari risorse informatiche o organizzative. Certo, è molto più comodo per l’assistenza e per i tecnici di zona utilizzare credenziali identiche su qualsiasi dispositivo e in qualsiasi realtà domestica o aziendale, in modo da ridurre i costi e i tempi di intervento, ma ciò non può avvenire che a scapito della sicurezza degli utenti.

Avviso ai naviganti

Caro utente inferocito per la prolungata indisponibilità del tuo accesso Internet, dovrebbe ormai esserti chiaro che devi ritenerti fortunato. Credimi,

molto meglio un dispositivo totalmente fuori uso che
un dispositivo funzionante ma insicuro e facilmente violabile.

Ti è stato detto che il problema è nel modem. Ti è stato detto che la sostituzione del modem risolverà il problema e il corretto funzionamento verrà ripristinato. Tutte balle: il problema è nella cultura arretrata dei nostri provider a diffusione nazionale, fortemente focalizzata sul profitto e sulla riduzione dei costi invece che sulla qualità e la sicurezza del servizio. Cambieranno i modem, ma non miglioreranno né i processi di controllo, né la gestione della sicurezza dei dispositivi.

Il tuo provider non ti ha fornito informazioni puntuali, trasparenti ed utili sul problema. Ha continuato a promettere un pronto ripristino per poi rimandare di giorno in giorno. Ha individuato una semplice soluzione logistica, purtroppo temporanea, senza intervenire sui processi operativi e di controllo. Ha dimostrato, insomma, come non va gestita efficacemente una situazione di crisi e come non va prevenuto un incidente di così grave portata.

Molto probabilmente, a fronte dell’interruzione della fornitura dei servizi, sperimenterà una diminuzione di credibilità e reputazione, perdita di clientela, costi diretti ed operativi per la sostituzione urgente di tutti i dispositivi affetti e uno tsunami di reclami, cause legali e possibili class action da parte dell’utenza. Applicare ai provider adeguate sanzioni e garantire agli utenti un equo indennizzo per il disagio e i danni subiti sarebbe il minimo sindacale, ma dubito che ciò avverrà (non esiste nemmeno letteratura in materia).

C’è da sperare che sia tu che il tuo provider traiate da quest’esperienza un importante insegnamento sull’importanza della sicurezza in una società digitale ipertecnologica, iperconnessa, nell’era della Internet of Things (IoT) in cui miliardi di dispositivi di vario genere sono costantemente connessi ad Internet e potenzialmente soggetti ad attacchi persistenti e differenziati.

La connessione Internet è un servizio essenziale

Qualche tempo fa, dopo diversi mesi di tentativi di disquisire di portante, SNR, attenuazione e frequenze del segnale ADSL con i vari tecnici intervenuti a fronte di grave e persistente disservizio sulla mia connessione domestica, arrivai a sedermi al tavolo di arbitrato presso il CORECOM di fronte ad un grande provider nazionale, rappresentato da un avvocato e non da un responsabile tecnico in grado di discernere e comprendere il problema lamentato. In quell’occasione, il provider si dimostrò, come prevedibile, totalmente insensibile a qualsiasi rimostranza e chiuse in maniera assai poco collaborativa la questione affermando (testualmente) che “la connessione Internet non è un servizio essenziale, pertanto il provider non è tenuto a garantirla”.

Vorrei smentire pubblicamente questa arbitraria e infondata affermazione, nel più agevole dei modi, ovvero citando la Direttiva UE 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione, la cosiddetta “Direttiva NIS”. Magari qualcuno dei lettori sta per affrontare un arbitrato o, peggio, una causa legale e potrebbe consigliare al proprio avvocato di utilizzare queste informazioni a proprio vantaggio.

L’articolo 4 punto 4 della direttiva, infatti, definisce come “operatore di servizi essenziali” il soggetto pubblico o privato appartenente ad una delle tipologie citate nell’allegato II, che soddisfi i criteri di cui all’articolo 5 paragrafo 2. Ovvero,

“è operatore essenziale un soggetto che fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali, la cui fornitura dipende dalla rete e dai sistemi informativi e per la cui fornitura un incidente avrebbe effetti negativi rilevanti.”

Nell’allegato II, fra gli operatori di servizi essenziali, oltre ai fornitori di energia (elettricità, petrolio e gas), trasporti (aereo, ferroviario, per vie d’acqua e su strada), servizi bancari, infrastrutture dei mercati finanziari, settore sanitario e fornitura e distribuzione di acqua potabile, troviamo guarda caso proprio le infrastrutture digitali.

L’allegato cita espressamente i nodi di interscambio IXP, il servizio di risoluzione dei nomi DNS e il servizio di registrazione dei nomi di dominio di primo livello TLD, ma l’intera direttiva pone specifica attenzione sulla fornitura dei servizi per il mantenimento di attività sociali e/o economiche fondamentali, citando anche il mercato online, i motori di ricerca online e i servizi di cloud computing cui oggi fanno ricorso moltissimi utenti ed aziende. E se oggi tutte le attività operative, produttive, distributive e sociali, sia in ambito aziendale che privato, si svolgono pressoché totalmente attraverso la rete Internet, com’è possibile non considerare essenziale il servizio di fornitura della connettività alla grande rete mondiale, attraverso la quale usufruire dei servizi citati nella direttiva? Assolutamente impensabile.

Ha ragione l’autore di BrickerBot: questi gravi incidenti su vasta scala devono servire proprio ad aumentare la consapevolezza dei fornitori d’accesso ad Internet sull’impellente necessità di investire maggiormente sulla sicurezza, ma anche a rendere maggiormente consapevoli gli utenti sulla necessità di richiedere precise garanzie sulla continuità e sulla sicurezza dei dispositivi e dei servizi acquistati, al fine di garantire l’incolumità, la privacy e la protezione dei dati aziendali tramite essi scambiati e trattati.

Il silenzio complice dei media mainstream su questi gravi casi di disservizio, che riguardano milioni di utenti e meriterebbero ben altra ribalta, è facilmente spiegabile dalle ingenti somme versate nelle loro casse dai provider per ottenere quella persistente e battente copertura pubblicitaria sui servizi di connettività che intasa sia il Web che la programmazione televisiva e radiofonica. Finché non verrà data adeguata copertura mediatica ad eventi di questa natura e portata, come potranno gli utenti comprendere il fenomeno e, soprattutto, quali contromisure richiedere espressamente ai loro fornitori d’accesso? Come potrà essere innalzato il livello di consapevolezza dell’utenza nazionale se questi gravi casi di negligenza vengono puntualmente taciuti e minimizzati?

E, per favore, non chiamatelo “attacco hacker”.

Ettore Guarnaccia