Expo 2015: grazie alla task force impegnata, il sistema di difesa dei sistemi informatici ha superato la dura messa a prova da parte dei “cyber terroristi”.

Expo 2015 si è posto come simbolo della cooperazione tra le nazioni sotto il profilo della sostenibilità alimentare, diventando così anche un obiettivo sensibile del terrorismo internazionale. Gli attivisti criminali, infatti, sfruttano sempre di più il Web per diffondere i propri messaggi e per portare attacchi in chiave di hacktivism.

Un evento come l’Expo ha implicato un accesso massivo alla rete e, conseguentemente, un attacco continuo da parte dei terroristi informatici: dai banali attacchi denial of service, sia infrastrutturali che applicativi, che impediscono agli utenti l’accesso ai servizi, passando per il classico phishing e il furto di informazioni fino allo spionaggio elettronico.

L’Expo ha rappresentato uno scenario irrinunciabile per chi intendeva fare propaganda attraverso azioni dimostrative che sottolineassero, ad esempio, che le connessioni non erano sicure come la situazione richiedeva. Anche solo degradare le performance dei network di comunicazione o energetici sarebbe stato un risultato significativo.

Il livello di allerta doveva essere – e lo è stato – al massimo livello. La task force messa in campo ha visto impegnati i maggiori esperti di cyber security, reti, IT. Tutta l’esperienza maturata negli anni e il fatto di saper  proteggere anche oggetti non IT è stato fondamentale perché la rete di sicurezza doveva contemplare, tra l’altro, l’Albero della Vita, i chioschi e tutti gli innumerevoli dispositivi IoT.

Lo studio dei casi più eclatanti di attacchi informatici internazionali avvenuti in precedenza, come per esempio quello di Stuxnet alle centrali di arricchimento dell’uranio iraniano, che ha generato malfunzionamenti alle ventole di raffreddamento provocando ingenti danni, ha rappresentato i parametri di base per individuare gli attori che avrebbero dovuto tutelare il sito Expo.

È stata messa una particolare cura nella costruzione di sistemi cyber di difesa, sia sul fronte della rete di distribuzione energetica, sia su quello del controllo dei dati. Tutte le soluzioni non hanno intralciato con la continuità dei servizi.

Sono stati messi in campo sistemi che si sono frapposti là dove c’erano elementi non aggiornabili e in comunicazione tra loro, questo per garantire la trasmissione dati attraverso un canale sicuro, soluzioni a basso impatto che però hanno soddisfatto i principi basilari delle infrastrutture critiche.

Sul piano degli eventi generati dall’interazione di milioni di dispositivi, sensori, workstation e interfacce digitali presenti, Expo ha adottato sistemi di intelligence che permettevano meccanismi dinamici e proattivi, basati sull’analisi delle potenziali minacce e sull’analisi comportamentale (AI), con l’individuazione e la segnalazione di nuovi malware (compresi quelli appositamente realizzati per attaccare la manifestazione) attraverso un processo automatico che sfruttava la potenza di big data e analytics.

Nel momento in cui veniva identificato un potenziale malware l’applicazione messa in campo interveniva spacchettandolo e effettuando un’analisi per comprendere com’era composto per poi eseguire il file in un sandbox, in ambiente isolato. A quel punto si era in grado di retroagire sui sensori per distribuire la firma della nuova minaccia, rendendola nota a tutto l’ecosistema. Sono stati numerosi i tentati hackeraggi, resi innocui e bloccati all’origine e si può poter dire che gli operatori attivi in Expo sono stati ben difesi dagli attacchi malevoli.

Eventi d’attacco informatico

Anonymous Italia ha violato il sistema informatico di Best Union e di conseguenza anche la componente di Expo messa a punto da Best Union per la gestione della piattaforma per la vendita online dei biglietti. Gli hacker sono riusciti a superare i dispostivi di sicurezza digitale e a violare il sito della biglietteria. Poi hanno pubblicato su Twitter le pagine con i dati di chi aveva acquistato i tagliandi di ingresso.

Questo non ha significato sostanziali danni a chi è stato pubblicato e non ha danneggiato la piattaforma di gestione.  Anonymous Italia ha prodotto una decina di attacchi informatici contro Expo, ma la maggior parte di questi sono stati bloccati all’origine e gli altri sono stati tutti gestiti e controllati con effetti limitati o pressoché nulli.

Semplificando, le azioni criminose portate a termine dall’organizzazione si possono distinguere sostanzialmente in tre tipologie:

• gli attacchi di tipo DDOS, che hanno lo scopo di rendere irraggiungibile per un determinato periodo di tempo il sito bersaglio dell’attacco, bloccandone quindi i servizi; (attacchi nei confronti di siti dedicati riconducibili ad Expo 2015, eseguiti nell’ambito della campagna #opnoexpo e rivendicati sull’account twitter @operationitaly)
• le intrusioni informatiche, riferite al DDOS, hanno avuto il duplice scopo di carpire dai database dei siti attaccati e dai sistemi di posta elettronica dati riservati e sensibili; (il gruppo Anonymous ha tentato di bloccare il sito ufficiale dell’Expo 2015, gli attivisti di tale organizzazione, hanno tentato di mettere offline il sottodominio tickets.expo2015.org)
• il danneggiamento dei sistemi informatici come ad esempio nel caso del cosiddetto defacement del Sistema Informatico di Anonymous (con il quale veniva effettuata la sostituzione della homepage di un sito web con un messaggio di rivendicazione), aveva l’obiettivo di causare danni a tutto l’ecosistema Expo.