È noto per la legge che porta il suo nome, la cosiddetta «legge di Hypponen» sulla sicurezza della Internet of Things (IoT). Secondo questa legge «quando un dispositivo è descritto come ‘intelligente’ significa che è vulnerabile». Finlandese, cinquantenne, giovanile e con una coda di cavallo, il direttore della ricerca di F-Secure, Mikko Hypponen, è un esperto di sicurezza informatica di fama mondiale. L’abbiamo intervistato per fargli qualche domanda sull’attualità dei rischi informatici oggi che molte attività stanno migrando nel cyberspazio. Fatta amicizia, ci diamo subito del tu.

 

Mikko Hyppönen
Mikko Hyppönen

 

Mikko, tu lavori per un’azienda di cybersecurity e sei un hacker famoso. Ti va bene essere considerato un hacker?

Certo, ma sono stato sempre dalla parte dei buoni, e non ho commesso nessun crimine (ride, nda). Ho sperimentato molto però, e mi diverto ancora a dissezionare codici.

Domanda d’obbligo prima di incominciare: cosa pensi delle app che tracciano i casi positivi al Covid? Sono sicure? E il framework Google-Apple è affidabile?

Dipende. Ce ne sono molte in giro oggi, se la loro implementazione è corretta e rispettano i requisiti per la privacy direi che sono un valido aiuto per combattere la pandemia. Anzi, queste app per il tracciamento dei contagi sono proprio l’espressione della tecnologia che ci aiuterà a venire fuori dalla crisi.

Pensa se fosse successo 10 anni fa. Oggi abbiamo la tecnologia per lavorare in smartworking, analizzare grandi quantità di dati sanitari e fare modelli epidemiologici. Dieci anni fa non avremmo avuto neanche la banda necessaria per fare questa intervista.

È chiaro però che il «contact tracing» non risolve il problema, ma se anche ci aiutasse a ritardare la diffusione del virus di qualche giorno pensa al risparmio economico ottenuto a livello mondiale. In Finlandia usa la app il 50% della popolazione. Anche il nostro primo ministro ha avuto una notifica dal sistema e questo l’ha indotta a isolarsi il tempo necessario per rispettare le norme anti-contagio.

Personalmente sono contento che Apple e Google partecipino a questo sforzo globale, hanno i migliori telefoni al mondo e Google non monetizzerà la pandemia. Ricordiamoci che ciascuno di noi può controllare il codice.

 

 

Il panorama delle minacce informatiche si fa sempre più complesso. Ma le analisi delle aziende di cybersecurity raramente coincidono nell’indicare quali sono quelle più rilevanti e quindi risulta difficile anche stabilire delle politiche unitarie a livello europeo. Come è possibile? E come dobbiamo valutare i loro dati?

Intanto dipende dal fatto che gli attaccanti hanno differenti motivazioni e quindi cercano di colpire target differenti. Quello che è importante capire è se siamo un bersaglio oppure no, e di che tipo.

Quando parliamo di «cyberminacce» oggi parliamo di minacce al nostro stile di vita. Queste minacce attentano alla società, ai cittadini e alle imprese. Nel mondo reale, nella vita reale, è la polizia che le gestisce, ma nel cyberspazio sono i privati a occuparsene. È un fatto storico. Inizialmente sono state le imprese a occuparsene proprio perché gli attacchi informatici avevano come bersaglio i singoli individui, ma oggi le cose sono cambiate.

Infatti ricercatori scoprono ogni giorno nuove botnet che attaccano i sistemi industriali e la Internet of things (IoT), ma si registra anche un’impennata di attacchi DDoS contro i governi e ransomware pensati per le aziende. Chi c’è dietro?

È vero, sono sempre più frequenti. Oggi esiste una parziale sovrapposizione tra gli attacchi informatici originati da gruppi criminali e quelli originati da gruppi governativi. Tuttavia spesso si tratta di azioni di copertura. Ad esempio Not Petya sembrava un «ransomware trojan» ma non lo era. Serviva a coprire gli interessi politici della Russia che aveva preso di mira l’Ucraina.

Poi ci sono i criminali che collaborano coi governi. E c’è un altro aspetto. Se un governo sa che la gang criminale possiede una botnet potente e riesce a scoprirla, non è detto che voglia eliminarla. Se i server della botnet si trovano in un posto interessante come un centro di supercalcolo, un edificio militare o una banca, può esser utile lasciarla dov’è e condividerne il possesso.

I responsabili sono i gruppi paramilitari noti detti «Advanced persistent threat», APT (Minacce avanzate persistenti) al soldo dei governi?

Noi analizziamo gli APT da 15 anni. Molti attacchi malware, a cominciare dal 2004, sono stati attribuiti a militari cinesi che hanno attaccato «contractor» militari europei, ma è impossibile fare corrette attribuzioni sugli attaccanti.

Nel cyberspazio non esistono il bianco e il nero ma varie scale di grigio. Tuttavia, al contrario dei governi, nel settore privato possiamo azzardare delle ipotesi e spesso cogliamo nel segno.

Ma come fate? Vi basate sull’analisi del software o su altre informazioni?

Gli strumenti per farlo sono diversi. Ma spesso per l’attribuzione si parte da un ragionamento semplice. Per esempio vediamo che un «malware» dei Dukes (hacker russi noti per l’attacco al Comitato elettorale democratico americano, nda) bersaglia Europa, Polonia, Usa, e poi scopriamo che viene usato dentro la Russia per attaccare narcotrafficanti o il mercato degli steroidi illegali e usa gli stessi server. E facciamo delle ipotesi che continuamente mettiamo alla prova.

Ma i tool più importanti oggi sono basati sul «machine learning». Da noi a F-Secure siamo stati i primi a usarli 13 anni fa. Il nostro obbiettivo era automatizzare il lavoro dei ricercatori e liberare tempo e risorse per analisi più approfondite. Oggi succede che gli stessi attaccanti usino sistemi intelligenti e il motivo è che la tecnologia basata sul «machine learning» costa sempre di meno, per cui ogni idiota può acquistarla e usarla. Si sono per così dire abbassate le «barriere d’ingresso» nel mercato del crimine.

Quindi i sistemi così detti Immunitari che usano alcune aziende come DarkTrace o Ibm sono la soluzione?

Non credo molto nei sistemi «immunizzanti» (che evolvono con la minaccia, nda) ma credo nella «Early detection» (la diagnosi tempestiva degli attacchi, nda). Ci sono modi illimitati di prendere il controllo di un computer e forse non riusciamo nemmeno a immaginarli tutti.

Per questo è importante costruire delle difese che usano, come nel nostro caso, una rete di sensori capaci di individuare immediatamente le anomalie di traffico in rete e che possono essere la spia di un attacco.

Qual è il pericolo maggiore nel cyberspazio oggi?

Oggi abbiamo un serio problema coi ransomware. Il loro successo coincide con la diffusione dei Bitcoin, che sono la forma di pagamento del riscatto tra le più diffuse. Prima eravamo abituati a dire che per non cedere al ricatto le aziende dovevano avere buoni backup: frequenti, ben fatti, con dati di qualità.

Ma adesso lo scenario è cambiato con la «double extortion» cominciata con Maze, e ci sono almeno sei gang criminali – Maze, DoppelPaymer, Revil, NetWalker, Conti, Egregor – che fanno lo stesso: non solo criptano i dati, ma annunciano di averceli e le aziende, nel timore di perderci la faccia, pagano due volte: una per decrittare i dati, l’altra per tacere sull’accaduto. Perciò si chiama «doppia estorsione».

Quali consigli daresti a un’azienda europea?

Di sicuro avere un buon backup (la copia dei dati) e il «backup del backup» per essere capaci di recuperare tutto anche se il tuo datacenter va a fuoco.

La seconda cosa è correggere sistematicamente gli errori e le vulnerabilità del software.

La terza è usare una autenticazione forte per ogni tipo di autorizzazione: pare banale ma le password sono ancora importanti e vanno gestite bene, magari con un password manager.

Poi certo possiamo parlare di «endpoint security», «risk management» e tutto il resto.

Ma se pensi che l’app più scaricata al mondo è la cinese TikTok e che Huawei è il maggior venditore di telefoni al mondo, capisci subito perché gli Usa hanno cominciato una guerra commerciale contro di loro.