Stonesoft è un provider di soluzioni di sicurezza che opera sin dal 1990 e si rivolge alle aziende e alla PMI dei diversi segmenti di mercato. Per aiutare gli utenti e svolgere attività di formazione/prevenzione, la società ha scelto di mettere in campo le proprie conoscenze per l’iniziativa “Hack the Lab”.
Ambientato nella cornice del Teatro Franco Parenti di Milano, si tratta di un laboratorio a tutti gli effetti e permette ai partecipanti, opportunamente guidati dagli esperti in sicurezza, di verificare cosa significa un attacco hacker, il furto di informazioni.
Le simulazioni alle quali abbiamo partecipato sono state sviluppate e descritte con dovizia di particolari da Otto Airamo, Senior Network Security Specialist di Stonesoft, e Olli-Pekka Niemi, Head of the Vulnerability Analysis Group di Stonesoft. I due specialisti finlandesi ci hanno introdotto alle tematiche di sicurezza e alle più diffuse pratiche oggi adottate per recuperare informazioni, infiltrarsi nelle reti e abbattere i muri di protezione delle aziende, allo scopo di rubare dati e informazioni importanti, o peggio.
Otto Airamo (a sinistra) e Olli-Pekka Niemi (a destra).Diversamente da quanto accade nella maggior parte degli scenari, questa volta la platea di giornalisti è stata incoraggiata a provare tecniche di hacking, con simulazioni realistiche e analisi degli effetti. Le prove sul campo e la disamina tecnica alla quale abbiamo assistito ci ha permesso di fissare molti aspetti importanti, in tema di sicurezza dei dati, e di far cadere alcuni miti e preconcetti che regnano in questo campo.
Ad oggi, di fatto, gli attacchi mirati da parte delle organizzazioni criminali e degli hackers hanno differenti possibili bersagli, a partire dal vandalismo e dalle proteste degli attivisti. In questo caso nel mirino finiscono tutti, istituzioni, aziende e privati. Esiste poi una rete organizzata del crimine che perpetra attacchi per acquisire informazioni riservate e per trarre un profitto economico dai dati sottratti a singoli utenti e società.
In primo piano, Emilio Turani, Country Manager per l'Italia, la Grecia, la Turchia e la Svizzera di Stonesoft,Ben più ampie e pericolose sono, invece, le reti che si occupano di colpire, con metodicità e continuità, obiettivi a scopi di spionaggio e terrorismo, per arrivare alla cosiddetta cyber-war, la guerra di strategia e tattica in atto per motivi militari e di controllo politico.
In quest’ottica, si sta evolvendo rapidamente una nuova generazione di esperti che puntano ad attività di hacking, come lavoro effettivamente remunerativo e a tempo pieno. Proprio per questo, a qualsiasi livello, le linee di difesa di aziende, Paesi e singoli individui, devono essere mantenute elevate.

[tit:Hack the lab]L’esperienza teorica e pratica di Hack the lab ha messo in evidenza che una buona password non è comunque sinonimo di sicurezza assoluta. Se infatti siamo abituati a pensare come sicura la nostra password per l’accesso alla posta o ai servizi di storage cloud, per esempio, non è detto che sia davvero inaccessibile, in modo assoluto. 
Il punto è quanto tempo è necessario per recuperare tale parola di accesso e, per rendere questo compito più difficile, dovremmo scegliere caratteri ASCII e numeri, comprese le maiuscole. A ogni piattaforma diversa dovrebbe inoltre corrispondere una password differente, per evitare che, in caso di intercettazione di una sola, tutti i servizi ai quali accediamo siano immediatamente “aperti” a chiunque. Non basta perciò inventare nomi o sigle, ma è bene selezionare testi generati in modo casuale superiori alle 12 lettere/numeri. 
Durante le prove abbiamo avuto a nostra disposizione un terminale per toccare con mano le pratiche di hacking più diffuse.Ciò non toglie che, in caso di attacchi intelligenti e a forza bruta, con un lungo tempo di calcolo, la password possa essere, prima o poi, recuperata. 
È il comportamento dell’utente a dover essere al centro di una maggiore cura. Gli attuali attacchi persistenti, puntano sulle vulnerabilità dei sistemi e sugli exploit zero-day dei sofware, ma buona parte dell’intelligence che viene fatta prima di avviare un attacco è legata alle abitudini degli utenti e al loro modo di sfruttare mail, Web e social network.
È bene considerare che i siti Web oggi disponibili sfruttano sistemi di cifratura e protezione differenti, così l’utente non è in grado di stabilire quale sia il più sicuro. Usare account con password univoche può limitare i danni, in caso di hacking. 
Spesso il punto di partenza, per gli hacker, è proprio un sito “fallato”, che permette l’accesso al database delle password tramite attacchi "return page" attraverso “SQL-injection”. 
Otto Airamo illustra la tipica pagina di errore che può presentarsi navigando sul Web e che consente agli hacker di recuperare preziose informazioni, per avviare pratiche di infiltrazione e furto dei dati personali.Il possibile codice d’errore, del tutto inutile e non considerato da un normale utente, è invece utile ai malintenzionati per sfruttare il link generato e recuperare dati preziosi.
Una volta recuperato il database e scaricato in locale, sarà possibile usare un tool per decriptare il file ed estrarre user name e password, con velocità di centinaia di chiavi al secondo. Una volta disponibili questi dati sarà facile procedere con ulteriori tentativi e studi dell’utente "distratto" e addentrarsi nella struttura di rete di cui fa parte.
In aggiunta, gli hacker più esperti sfruttano, oggi, enormi elenchi di possibili password, localizzati in base al luogo dove viene effettuato un attacco, basandosi sul fatto che ogni lingua ha idiomi e parole ricorrenti che potranno essere utilizzati per generare password.
Recuperare password per scopi illeciti apre un mercato illegale molto ampio, dove ogni accesso ha un valore economico, che porta sempre più persone a specializzarsi in questo tipo di frodi. Ogni pacchetto di dati personali può arrivare persino a centinaia di Dollari di controvalore. 
Anche un "semplice" allegato di posta ritenuto sicuro può aprire la porta agli hacker, assicurandogli il controllo del nostro PC, webcam e microfono compresi. Otto ci mostra la sua console, dove sono visibili foto e i dati relativi ai PC utilizzati dalla platea, completamente ignara del furto di informazioni.Per effettuare un attacco complesso a una rete, un hacker segue alcuni passaggi mirati. Una volta selezionato il target verrà effettuata una seconda fase di ricognizione e una di scansione delle porte della rete, dei contenuti, dei sistemi attivi e di ogni caratteristica della rete stessa. 
La fase di “exploitation” permette di inserire un codice maligno in almeno un terminale, dettaglio che consente di accedere alla rete con privilegi molto bassi. Per avere accesso in profondità nei sistemi informatici e per recuperare credenziali e privilegi d’uso più alti viene effettuato un passaggio di “post-exploitation”. Questo apre le porte a futuri attacchi mirati, che costituiscono l’obiettivo finale delle organizzazione illecite.

[tit:Attaccare reti e aziende]In questo modo è facile infiltrarsi in una rete di gestione avanzata, relativa ad aziende ed enti nazionali, come quelli che gestiscono centrali elettriche e nucleari. In questo contesto si inseriscono le infrastrutture aziendali, spesso non correttamente aggiornate e perciò più esposte agli attacchi.
È il caso dei sistemi più obsoleti, privi di patch di sicurezza per questi pratiche/operative, come può succedere nelle società più estese e con numerosi distaccamenti. Dalle dimostrazioni abbiamo visto come sia semplice attaccare un comparto gestito da una console che pilota attuatori elettrici ed elettromeccanici adibiti all’attivazione e disattivazione di specifici servizi per la gestione di impianti elettrici a livello regionale.
Otto Airamo sta simulando un attacco alla console che gestisce impianti elettrici su scala nazionale, dopo essersi infiltrato nella rete aziendale rubando credenziali di accesso al web server della società.In molti casi, chi gestisce queste infrastrutture, come per esempio i sistemi SCADA, destinati a questi segmenti operativi, non è pronto per aggiornare o proteggerli in modo adeguato e predilige altre strade poco sicure, decentralizzando server e macchine oppure virtualizzando i processi.
Si tratta di soluzioni che non garantiscono una sicurezza assoluta e permettono di accedere ai computer della rete, indirizzandoli con specifici comandi e software, come Nmap e Metasploit, capace di rilevare le falle all’intero dei singoli terminali.
La mappa sul display mostra lo schema funzionale di una console di controllo relativa agli attuatori che gestiscono centrali idriche, elettriche e nucleari.Più in generale, come sottolineato da Emilio Turani, Country Manager per l'Italia, la Grecia, la Turchia e la Svizzera di Stonesoft, le aziende più estese non sono in grado di quantificare i problemi di sicurezza dei propri sistemi e non sanno come intervenire in modo efficace. 
Di fatto, una volta posto in essere un sistema di protezione o applicata una patch, gli hacker sono immediatamente al lavoro per sviluppare nuove vie per rubare dati e effettuare cyber-attacchi.
In quest’ottica, StoneSoft ha sviluppato Evader 2.01. Si tratta di un applicativo che consente di rilevare le specifiche Tecniche di Evasione Avanzata (AET) messe in atto in fase di attacco e studiate per eludere firewall e sistemi di difesa. Questo pacchetto consente di avviare attacchi mirati verso una determinata rete, mettendo in evidenza le capacità dell’infrastruttura difensiva ed eventuali falle o criticità.