Una e-mail inviata a metà luglio informava i propri clienti di “… un accesso non autorizzato alla rete che ospita alcuni dei nostri sistemi gestionali…”, stiamo parlando di un attacco informatico che Aruba ha subìto lo scorso 23 aprile.
Un fatto è certo: Aruba avrebbe potuto, secondo noi, inviare la comunicazione ai propri clienti molto tempo prima, anche solo per una questione di trasparenza.
In questi casi la tempistica è di fondamentale importanza e per tre mesi migliaia di clienti potrebbero essere stati oggetto di phishing (truffe effettuate attraverso e-mail fraudolente), smishing (truffe effettuate attraverso sms fraudolenti) o vishing (truffe effettuate attraverso servizi di telefonia).
Vediamo cosa dice il Comunicato Aruba inviato ai propri clienti e quali, secondo noi, sono gli aspetti poco convincenti presenti nella e-mail.
Secondo quanto affermato da Aruba, “…il 23 aprile scorso abbiamo rilevato e bloccato un accesso non autorizzato alla rete che ospita alcuni dei nostri sistemi gestionali, ma nessun dato è stato cancellato né alterato”.
Aver rilevato e bloccato un accesso a una rete non può dare la certezza automatica che nessun dato sia stato visualizzato e/o copiato da parte dell’hacker. Così come non si può avere la certezza che l’attaccante, una volta all’interno dei sistemi IT, non sia stato in grado di nascondere per un determinato lasso tempo anche le proprie attività.
La Comunicazione continua
“Diamo grande importanza alla sicurezza informatica e facciamo ingenti investimenti in tecnologia, strumenti ed organizzazione, ma in questa circostanza non siamo riusciti a prevenire l’evento. Si tratta purtroppo di un periodo molto particolare, nel quale gli attacchi informatici, sempre più sofisticati, sono in forte aumento e stanno colpendo globalmente aziende ed organizzazioni pubbliche e private di ogni livello”.
La frase presente nel Comunicato “in questa circostanza non siamo riusciti a prevenire l’evento”, può essere letta in diversi modi, ad esempio:
l’attacco c’è stato, l’attaccante ha avuto modo di accedere ai nostri sistemi, ma è stato prontamente messo fuori dalla rete; nessun dato è stato cancellato o crittato.
Quali certezze si hanno riguardo i tempi di permanenza da parte dell’hacker all’interno dei sistemi IT colpiti durante l’attacco? L’hacker, o il gruppo di hacker, quale motivo avrebbe potuto aver per cancellare, modificare o crittare i dati?
Se per la prima domanda nessuno può avere certezze, per la seconda probabilmente una risposta logica può esserci. Le tecniche di attacco da parte di gruppi hacker nel tempo sono cambiate, allo stato attuale nessun gruppo di cyber-criminali cancella o critta i dati delle proprie vittime. Tutt’al più, in alcuni casi, i cyber-criminali cercano di arrecare un ulteriore danno effettuando attacchi DDoS alle reti delle vittime, tutto questo nella speranza di convincere la vittima a effettuare il pagamento del riscatto.
Da mesi ormai i criminali informatici scaricano i dati senza crittarli o cancellarli usandoli come “merce” di scambio durante le contrattazioni per stabilire la cifra del riscatto. Quasi sempre parte di questi dati viene rivenduta ad altri gruppi o messa in vendita nel dark web.
Poco ci è piaciuta anche la parte del Comunicato dove sembra si voglia far passare un attacco informatico a una delle più importanti società al mondo in grado di offrire, fra gli altri, servizi di data center e servizi di connettività, come qualcosa di poco comune o di molto particolare dimenticandosi che attacchi informatici come quello subito sono ormai, purtroppo, all’ordine del giorno.
Ogni giorno nel mondo si contano non meno di 600.000 attacchi a reti aziendali, di piccole medie o grandi dimensioni. Attacchi informatici ai danni di Istituzioni, Sanità, Università, Finanza…
Centinaia di GB di dati vengono sottratti per essere rivenduti alle stesse vittime o nel dark web. Far passare tutto questo come un periodo molto particolare sembra una forzatura, non è certo da qualche settimana o mese che giornalmente gruppi di hacker effettuano attacchi informatici sofisticati. Così come è fin troppo ovvio che, il crimine informatico stia colpendo da lungo tempo e a livello globale aziende pubbliche e private di ogni livello.
“…Si tratta purtroppo di un periodo molto particolare, nel quale gli attacchi informatici, sempre più sofisticati, sono in forte aumento e stanno colpendo globalmente aziende ed organizzazioni pubbliche e private di ogni livello”.
Ieri SuspectFile.com aveva scritto una e-mail all’indirizzo presente all’interno del Comunicato chiedendo informazioni e una dichiarazioni riguardo l’attacco del 23 aprile scorso.
Dopo poche ore siamo stati contattati dall’Ufficio Stampa Aruba il quale ci informava che la nostra richiesta era stata presa in carico e che un gruppo di persone avrebbe risposto alle nostre domande.
Di seguito le domande inviate ad Aruba
Prima della pubblicazione del mio articolo, chiedo una vostra dichiarazione.1. L’attacco informatico è in qualche modo collegato al furto di dati subito negli stessi giorni dalla Axios Italia?2. I vostri clienti sono stati informati dell’attacco informatico dopo tre mesi. Quali sono stati i motivi di questo ritardo?3. Quale gruppo ransomware (REvil?) ha colpito i server Aruba?4. Numericamente, quanti utenti e aziende (in dettaglio) sono stati interessati?
queste le risposte dell’Ufficio Stampa Aruba
1 – Esistono clausole dei contratti che stipuliamo che includono la riservatezza e non divulgazione delle informazioni legate ai clienti o ai loro applicativi.
2 – Da quel momento l’evento è stato oggetto di analisi approfondite, ulteriori monitoraggi, individuazione e classificazione di altre possibili minacce, con un approccio sinergico e di cooperazione tra il personale specializzato della nostra organizzazione e specialisti in ambito Cyber Threat Intelligence. In queste settimane abbiamo portato avanti una serie di analisi congiunte, interne ed esterne, che hanno incluso anche il monitoraggio di web e dark web per rilevare la presenza o l’eventuale uso illecito dei dati presenti nei sistemi interessati. La conclusione di queste analisi ci ha dato la certezza che i dati presenti nei nostri sistemi non sono stati in alcun modo impattati nella loro integrità e disponibilità, e abbiamo ragione di credere che non siano stati presi.
3 – Aruba non ha ricevuto alcuna richiesta di contatto da questi attaccanti (hacker, cyber criminali,…) né a fini estorsivi né con altre finalità.
4 – Come spiegato nella comunicazione, che finalmente abbiamo potuto rilasciare ai clienti, i dati ospitati nel sistema gestionale interessato erano quelli anagrafici di fatturazione e i dati di autenticazione all’area clienti, quali login e password. Queste ultime, protette da crittografia forte, sono state rese inutilizzabili disabilitandole immediatamente. Nessun sistema di produzione ed erogazione dei nostri servizi è stato coinvolto, poiché completamente separati. Di nuovo, a conclusione di queste analisi ci ha dato la certezza che i dati presenti nei nostri sistemi non sono stati in alcun modo impattati nella loro integrità e disponibilità, e abbiamo ragione di credere che non siano stati presi.
Ognuno tragga le proprie conclusioni, personalmente resto dell’idea che anche se non siamo in presenza di furto di dati sensibili, quindi le leggi non obbligavano Aruba a emettere una notifica alle persone interessate, la trasparenza rimane il fattore cardine se hai a cuore il rapporto di fiducia che si instaura fra un Azienda e il proprio Cliente.
Infine, non meno importante, devo sottolineare la grande disponibilità e professionalità che l’Ufficio Stampa e la Responsabile della Comunicazione Aruba ci hanno dimostrato.