Questa settimana si è diffusa la notizia circa la vulnerabilità agli spyware dei dispositivi Apple, a seguito dell'identificazione di una falla di sicurezza nel sistema operativo dell'azienda.
La situazione ha richiesto la diffusione urgente di una patch di sicurezza su tutti i dispositivi, inclusi iPad e iPhone.
Questo incidente ci ricorda che anche le tecnologie più utilizzate e apprezzate sono vulnerabili ad attacchi da parte di hacker esperti. Dobbiamo accettare il prima possibile questo dato di fatto e risolvere i problemi fondamentali.
Informazioni sull'autoreToby Lewis, Global Head of Threat Analysis di Darktrace.
In questo caso, Apple è stata informata circa la vulnerabilità da Citizen Lab, un'unità di ricerca in ambito informatico che fa capo all'Università di Toronto. I ricercatori stavano esaminando il cellulare di un attivista saudita, quando hanno scoperto una vulnerabilità potenzialmente (e forse effettivamente) utilizzata dai clienti di NSO Group, l'azienda israeliana dedita agli spyware, per violare in modo "invisibile" iPhone e altri dispositivi Apple già da febbraio 2021.
Come sappiamo, Apple è un marchio con una forte diffusione in tutto il mondo (ad esempio in Regno Unito detiene una quota del 50% di tutti gli smartphone sul mercato), di conseguenza milioni di persone si sono affrettate ad aggiornare i propri dispositivi per proteggersi dalla vulnerabilità in questione, che poteva essere sfruttata tramite l'app iMessage di Apple, un sistema noto per essere protetto e sicuro.
La patch è stata efficace?
Ciò che è evidente è che il modo in cui ci siamo occupati di sicurezza negli ultimi vent'anni non è più sufficiente a fronteggiare le odierne minacce informatiche.
Dopo che Apple è stata informata dell'exploit, l'azienda si è mossa molto velocemente per implementare una patch. La tempestività di Apple sottolinea sia la gravità della scoperta che l'impegno dell'azienda nell'ambito della sicurezza.
Tuttavia, oggi l'applicazione di patch è una caccia al topo infinita e caratterizzata da un'efficacia non sempre costante. La complessità del mondo digitale è talmente elevata che è difficile avere un quadro completo della situazione, e probabilmente è qualcosa di impossibile per noi umani senza un sostegno tecnologico. Gli hacker sono alla costante ricerca di innovazione e sempre più professionali nel modo di agire, riunendosi in organizzazioni internazionali e investendo tempo e risorse nella ricerca di nuovi punti di ingresso. Non appena i bersagli correggono una vulnerabilità con una patch, ne viene subito identificata una nuova.
Inoltre, sebbene le patch risolvano le vulnerabilità, non possono comunque arginare i danni provocati da quelle già sfruttate, né annullare le violazioni che si sono già verificate. Inoltre, non possono interrompere un attacco in corso d'opera, in cui gli hacker riescono già a muoversi nel sistema ed estrarre dati sensibili.
Le patch da sole non sono un meccanismo di difesa adeguato, dato che agiscono solo sulle vulnerabilità note, restando dunque sempre un passo indietro. D'altronde come potrebbero mai eliminare punti deboli ancora non noti?
Nell'attuale mondo delle minacce informatiche, i team di sicurezza composti da soli esseri umani non possono prevedere tutte le potenziali falle di una data tecnologia.
Per questo motivo, i sistemi di difesa in ambito di sicurezza informatica agiscono solo in modo reattivo (quando si manifesta una violazione), piuttosto che tentare di arginare la minaccia e neutralizzarla prima che il danno sia fatto. Erigere un "muro" intorno a un perimetro non funziona contro gli attacchi avanzati: i bersagli necessitano di una tecnologia in grado di rilevare quando vengono sfruttate le violazioni, incluse quelle che gli operatori umani ignoravano del tutto. Ed è altrettanto fondamentale la presenza di una tecnologia in grado di interrompere le attività di attacco in modo autonomo, prima che i dati finiscano nelle mani sbagliate.
Come funziona lo spyware Pegasus?
Pegasus sfrutta una serie di exploit per ottenere l'accesso a un dispositivo. Tali exploit sono personalizzabili in base al bersaglio o alla "campagna d'attacco". In sostanza gli utenti hanno accesso a diverse vulnerabilità che affliggono Apple e Android. Queste consentono loro di sfruttare alcune app native (a volte basta solo aprire un file inviato tramite e-mail o SMS, oppure fare clic su un link che si apre su Safari o altri browser) per perpetrare l'attacco.
In questo caso, l'exploit identificato era di tipo "zero-click", un tipo che non richiede nemmeno l'apertura dell'allegato da parte del destinatario di un messaggio dannoso, affinché il dispositivo venga infettato. L'exploit consente agli hacker di eseguire il proprio codice, fra cui quello preposto all'installazione dei componenti spyware di Pegasus. Quest'ultimo, a sua volta, è in grado di attivare le fotocamere e il microfono del dispositivo, nonché registrare SMS, e-mail e chiamate, per poi condividerle con i clienti di NSO Group.
Chi erano i bersagli?
Exploit come questo sono molto sofisticati e non deve sorprendere il fatto che i bersagli principali siano spesso soggetti in grado di accedere a informazioni riservate, come agenti dello spionaggio, politici e giornalisti. Nel mondo di oggi, i "soggetti di alto livello" sanno che il proprio nome figura in una qualche lista di target da colpire, e se non lo sanno dovrebbero rendersene conto il prima possibile e mettere in atto tutte le precauzioni per non essere colpiti.
Utilizzando la forma di un toolkit di spionaggio informatico disponibile a livello commerciale, NSO ha ridotto le barriere tecniche di ingresso, consentendo a diverse organizzazioni di eseguire cyber-attacchi nei confronti dei propri bersagli, offrendo a chiunque abbia il budget adeguato di accedere a funzionalità e tecniche di altissimo livello. E come abbiamo visto con il tool CobaltStrike di Red Teaming, è solo una questione di tempo prima di vedere online una versione "crackata". Pertanto, sebbene tali attacchi non appaiano come una minaccia immediata nei confronti dell'utente Apple medio, una volta che strumenti del genere vengono creati, tendono a diffondersi a macchia d'olio.
Ad esempio, i criminali potrebbero utilizzare l'accesso per rubare dati personali in vista di obiettivi più importanti, per truffare le vittime o addirittura bloccare in massa gli utenti e chiedere un riscatto sotto forma di attacco ransomware per sbloccarli.
Una volta inventato uno spyware, la sua diffusione non è più controllabile e può diffondersi rapidamente in tutto il mondo. Se finisce nelle mani sbagliate, gli usi possono essere nefasti, così come i bersagli colpiti possono diventare un gruppo molto più ampio di soggetti. Dobbiamo accettare che, parlando di strumenti di hacking, le possibilità sono infinite e gli hacker più innovativi troveranno sempre il modo per portare a segno i propri attacchi.
Quanto è sicura Apple, anche rispetto al mondo Android?
Aziende come Apple sono un bersaglio molto appetibile per gli hacker. Le sue tecnologie e i suoi dispositivi sono presenti in ogni ambito della società.
Dalla navigazione tramite mappe all'accesso ai conti bancari, i dispositivi smart fanno sempre più parte delle nostre attività quotidiane e custodiscono quantità impressionanti di dati personali.
L'architettura di sicurezza di Apple si basa sul cosiddetto "walled garden", un sistema in cui il sistema operativo alla base dello smartphone è del tutto inaccessibile alle app di terzi. Tali app sono installabili solo tramite l'App Store ufficiale e vengono eseguite da una zona isolata dello spazio di archiviazione e delle risorse di calcolo.
Considerata la severità con cui le app vengono esaminate per l'approvazione e l'inserimento nell'App Store, l'unico modo effettivo per installare malware su un dispositivo Apple è sfruttare il sistema operativo, un processo noto anche come jailbreak.
L'architettura Android, d'altro canto, offre agli utenti una maggiore libertà per l'installazione delle app, senza i meccanismi di protezione adottati da Apple. Anche sull'app store officiale di Google Play, la verifica e la moderazione per le app sono limitate, pertanto aumenta il rischio di installare malware senza exploit troppo complicati. In ogni caso, Pegasus si trova già caricato in alcuni exploit specifici di Android, simili a quelli utilizzati per colpire i dispositivi Apple.
Apple collabora da sempre con i ricercatori per individuare gli exploit e risolverli velocemente tramite patch. Ma ciò non aiuta sempre i clienti che hanno già subito le conseguenze di un attacco.
Come restare protetti, dunque?
La distribuzione delle patch è una parte fondamentale delle procedure di cyber-sicurezza, dato che protegge l'organizzazione e gli utenti delle tecnologie dalle vulnerabilità note. Tuttavia, le patch hanno efficacia limitata contro i nuovi attacchi più sofisticati e oggi gli hacker sono sempre più veloci a creare nuove minacce di quanto gli addetti alla protezione lo siano a intervenire con le correzioni.
Le aziende moderne e i soggetti ad alto rischio saranno sempre su una lista di bersagli, ma una volta che un dato malware si diffonde, qualunque utente di un dato smartphone può diventare la vittima successiva. La tecnologia ci apre molte opportunità di migliorare il modo in cui lavoriamo e comunichiamo, ma inevitabilmente introduce rischi di sicurezza e questo è un fatto della società digitalizzata di oggi che dobbiamo accettare.
Non c'è modo di impedire per sempre agli hacker di accedere ai sistemi fondamentali, ma quello che possiamo fare è interrompere la minaccia, ridurre i danni e impedire che i dati personali finiscano in mano ai malintenzionati. L'IA con apprendimento automatico consente alle organizzazioni di individuare le attività ostili sui dispositivi dei dipendenti prima che si verifichi una violazione dei dati sensibili.
In buona sostanza, le tecnologie all'avanguardia sono fondamentali per il contrasto delle minacce: gli esseri umani hanno risorse e capacità limitate, e l'azione autonoma e rapida dell'intelligenza artificiale si fa sempre più necessaria per individuare e fermare le minacce prima che sia troppo tardi.