Il volo dei pirati informatici certo non è radente. Il pericoloso zampino dell’hackeraggio è noto raggiungere “quote” elevate, ma quanto elevate in effetti? Spesso tendono a passare inosservate le preziose apparecchiature spaziali, ma, in quanto strettamente interconnesse con le apparecchiature di terra, possono essere ugualmente soggette agli attacchi informatici, finendo vittime di sciacalli sempre pronti a “dilaniare” il proprio target.
Ne sa qualcosa in merito la Nasa che ultimamente, con il “Jet Propulsion Laboratory” (JPL), progetta, costruisce e gestisce costantemente veicoli spaziali per un giro di miliardi di dollari. La JPL, se lasciata incustodita, può rapidamente tramutarsi in una preda piuttosto prelibata. Ciò che il mondo infosec chiama Advanced Persistent Threats (APT, vale a dire le minacce persistenti con accessi non autorizzati, atti di vandalismo e sabotaggio, furti di informazioni e ogni altra azione offensiva) è motivo di seria preoccupazione. Simili insidie minano la sicurezza cercando di intrufolarsi nei “ground data system”, ovvero le sofisticate entità tecnologiche che posizionate sulla Terra che, a loro volta, si collegano alle stazioni di trasmissione e di lì ai veicoli spaziali.
Se il loro presunto obiettivo primario è quello di esfiltrare (o “portar via”) dati segreti e tecnologie, va detto che per gli aggressori non è meno interessante l’interferire pesantemente in una missione da miliardi di dollari. Il ripetersi di molteplici violazioni della sicurezza (non ultimo l’inserimento fraudolento di APT che si sono “intrattenuti” nei loro sistemi per mesi e mesi), la JPL ha deciso di investire pesantemente sul fronte di precauzioni, cautele e protezioni a tutela di sistemi, reti e dati.
La delicatezza del contesto ha indirizzato gli specialisti ad optare per una condotta proattiva e non reattiva.
Certe missioni della JPL possono prorogarsi nel tempo, con il conseguente deteriorarsi delle componenti innovative, presentando sistemi “arcaici”, vecchi di decenni, che non sono più supportati da nessuno. Per stare al passo coi tempi e con i pericoli incombenti (dannatamente in continua evoluzione anch’essi!), si devono progettare piani di sicurezza che non possono dribblare i condizionamenti posti dai limiti “naturali di questo o quel “software antico”.
Arun Viswanathan, ricercatore chiave della sicurezza informatica della NASA, si è concentrato principalmente su due intenti fondamentali. In pole position nella calendarizzazione delle cose da fare spicca la creazione di un modello dei ground system di JPL in cui far convergere tutte le sue reti eterogenee, host, applicazioni, file servers, firewall.
Il modello è tutt’altro che teorico perché si prefigge di “mappare” a ritroso l’operato degli attacchi informatici: quasi si avesse a che fare con la genealogia, prende forma un “albero di attacchi” (che tiene conto dei vari percorsi che gli “incursori” potrebbero utilizzare per raggiungere il loro obiettivo) ed innesca un processo di identificazione delle fonti ostili.
Viswanathan non si accontenta e ha ben chiaro l’obiettivo di aumentare la “consapevolezza della situazione cibernetica” del JPL. Per ottenere i migliori risultati ha scelto di far uso di ogni strumentazione per raccogliere e analizzare i dati, in tempo reale, per rilevare attacchi e altri comportamenti anomali. Ad esempio, un picco nell’utilizzo della CPU potrebbe indicare un server “compromesso”, magari utilizzato fraudolentemente per il “mining” di criptovaluta.
Può capitare però che, a volte, quello che sembra un attacco informatico si riveli essere invece una semplice anomalia o una inefficienza del sistema: proprio tale puntualizzazione garantisce l’avvio di ogni iniziativa proattiva utile per superare difficoltà ed evitare il loro ripetersi.
Il monitoraggio dei comportamenti e la classificazione degli eventi è la prima medicina. Reagire non è più sufficiente. A volte – come nelle arti marziali – si deve sfruttare anche la forza degli avversari per vincere l’incontro.
