Per rafforzare le difese informatiche dell’Estonia, l’Autorità per i sistemi informativi (RIA) ha iniziato a offrire taglie agli hacker che collaborano e ha schierato una propria Red Team, o d’assalto, che finora è riuscita ad accedere alla rete di ogni istituzione testata.
Secondo Tõnu Tammer, direttore del CERT-EE, il dipartimento del RIA responsabile della gestione degli incidenti di sicurezza nel dominio .ee, esistono regole specifiche per i cacciatori di vulnerabilità.
Da marzo, quando il RIA ha iniziato a pagare le taglie agli hacker, sei persone sono state pagate dall’autorità estone.
Secondo Tõnu Tammer, direttore del CERT-EE, il dipartimento della RIA responsabile della gestione degli incidenti di sicurezza nel dominio .ee, esistono regole specifiche per i cacciatori di vulnerabilità. Ad esempio, non possono organizzare un attacco denial-of-service (DoS) o inviare e-mail di phishing.
La RIA vuole invece che gli hacker cerchino i punti deboli dei siti web che consentono l’accesso al sistema o il furto dei dati degli utenti.
“Quando qualcuno trova un punto debole, scrive quello che ha fatto, consentendoci di replicarlo”, ha detto Tammer. “Questi rapporti vengono esaminati nel giro di poche ore e i pagamenti vengono effettuati nel giro di pochi giorni”.
Finora gli hacker hanno riscontrato problemi più semplici che non rappresentano una grande minaccia, per i quali hanno guadagnato 250 euro. Tuttavia, la RIA è disposta a pagare fino a 3.000 euro per le debolezze più critiche.
“Una debolezza critica significa, ad esempio, qualcosa che può essere usato per ottenere l’accesso non autenticato ai dati di qualcuno o per eseguire codice maligno”, ha spiegato il direttore del dipartimento.
Gli hacker, tuttavia, non entrano in contatto diretto con la RIA. L’intero processo viene gestito attraverso la piattaforma di coordinamento delle vulnerabilità e di bug bounty HackerOne.
La stessa piattaforma è utilizzata anche da diversi altri Paesi, tra cui il Regno Unito, ma anche da importanti aziende come Lufthansa e Microsoft.
Attualmente, solo specifici hacker possono segnalare bug alla RIA tramite la piattaforma e Tammer ha detto che chiunque sia interessato a partecipare al programma deve contattare direttamente la RIA.
Il programma dovrebbe essere reso pubblico, ma non prima di essere sicuri che gli strumenti degli hacker non sovraccarichino i loro sistemi.
“Se molti hacker iniziano a lavorare tutti insieme, il sistema potrebbe non essere in grado di sostenere i test”, ha spiegato.
Attualmente la RIA paga solo le taglie sui bug trovati nei sistemi che amministra. L’Estonia vuole espandere il programma, ma prima di coinvolgere il sistema informativo del Land Board o i servizi di e-health, la RIA vuole prima esaminarli con i propri strumenti. Tammer ha osservato che non ha senso pagare taglie per bug che la RIA può trovare da sola.
“Quando abbiamo effettuato un monitoraggio casuale, abbiamo potuto constatare che la necessità di un filtro aggiuntivo è apparentemente presente”, ha osservato.
Chiedere gentilmente a volte è sufficiente per ottenere l’accesso
Nel frattempo, l’altro programma del RIA, il Red Team, è stato creato appositamente per aiutare altre istituzioni.
Il team, attualmente composto da due e presto da sei membri, offre test di sicurezza a istituzioni statali, governi locali e fornitori di servizi vitali.
Secondo Andres Klemm, responsabile del Red Team, i sistemi di nessuno vengono testati alle loro spalle; sono le istituzioni stesse a richiedere l’aiuto del team.
“Lavorando insieme, possiamo elaborare un piano di test e condurre i test”, ha spiegato Klemm. “In seguito, tutto deve essere riassunto e descritto al cliente, con raccomandazioni su cosa fare per migliorare la situazione”.
La Squadra Rossa inizierà a condurre test tecnici complessi una volta che si sarà ingrandita. Tuttavia, tutti i clienti della squadra d’assalto hanno già ricevuto un bel po’ di raccomandazioni, poiché al momento si stanno concentrando principalmente sui test sulle persone e le violazioni della sicurezza non sono difficili da trovare a livello umano.
“Nella casella di posta elettronica è ancora possibile trovare ogni tipo di e-mail interessante su come arricchirsi in modo facile e veloce”, ha detto Klemm, descrivendo la realtà quotidiana di un tipico lavoratore d’ufficio. “Allo stesso modo imitiamo tali attacchi, inviamo e-mail, creiamo pagine in cui uno potrebbe fornire le proprie password, ad esempio”.
Il Red Team non ha lasciato un solo cliente a mani vuote. Secondo Klemm, tutto ciò che serve per ottenere l’accesso a un sistema è che una sola persona fornisca la propria password, e il modo più semplice per ottenerla è semplicemente chiedere gentilmente.
“Bisogna trovare una scusa valida, magari basata sulle specificità di un’istituzione o su ciò che le persone fanno quotidianamente”, ha spiegato Klemm. “E poi, a un certo punto, usare una scusa per accedere alla propria pagina spoofata”.
Test di questo tipo non sono richiesti o condotti con leggerezza; attacchi umani di questo tipo sono stati utilizzati in tutto il mondo per rubare milioni di euro e enormi quantità di dati, oltre che per mandare in tilt sistemi vitali.
Pertanto, le istituzioni sottoposte a test dovrebbero seguire una formazione approfondita e un rafforzamento delle misure di sicurezza.
