24 ore di tempo per hackerare i 300 webservice della Posta. È accaduto alla Conferenza internazionale degli hacker. L’obiettivo della Posta era trovare ed eliminare le falle nella sicurezza, quello degli hacker individuare le vulnerabilità e intascare i soldi.
A leggere l’attacco di questa notizia, vine subito da pensare al peggio. E invece no.
Circa 150 hacker di tutto il mondo hanno avuto 24 ore di tempo per hackerare i 300 webservice della Posta ed entrare nei suoi sistemi.
Teatro della manovra, la Conferenza internazionale degli hacker che si è svolta del 25 e 26 giugno a Parigi, dove la Posta svizzera ha interpretato il ruolo del bersaglio. L’azienda infatti, ha messo a disposizione degli hacker tutti i suoi servizi internet per un attacco di massa.
L’obiettivo era trovare ed eliminare le falle nella sicurezza. Per gli hacker, l’intento era quello di individuare le vulnerabilità e intascare i soldi della scommessa.
Marcel Zumbühl - capo dell’ufficio sicurezza de La Posta - ha tirato le somme di questa esperienza, rivelando quante vulnerabilità sono state scoperte dagli hacker e quanto sono sicuri i webservice aziendali.
Gli hacker sono riusciti a penetrare nei sistemi della Posta? E se sì, quante vulnerabilità informatiche hanno riscontrato?
In quelle 24 ore gli hacker hanno trovato 22 vulnerabilità. La maggior parte era di livello basso o medio; una era seria e un’altra critica.
22 falle nella sicurezza della Posta?! Sono un bel po’…
Me ne aspettavo molte di più. Se pensa che per 24 ore 150 dei migliori hacker del mondo hanno attaccato tutti i servizi internet della Posta, che sono circa 300, 22 vulnerabilità non sono poi così tante. Oltretutto, gli hacker hanno ammesso di aver trovato pane per i loro denti con la sicurezza della Posta. Alcuni sono stati addirittura frustrati di fronte all’incapacità di trovare altre lacune.
Ciononostante, sono state riscontrate vulnerabilità critiche. Quali sono i punti deboli seri?
Il primo riguarda il cosiddetto «ufficio oggetti smarriti per i pacchi»: si tratta di un servizio online utilizzato, ad esempio, dal personale del servizio clienti per ritrovare i pacchi segnalati come smarriti. Anche se si tratta di un servizio puramente interno della Posta, gli hacker sono riusciti a entrare dall’esterno e a manipolare i dati dei pacchi. La seconda vulnerabilità riguarda il nostro WebTransfer, una piattaforma con cui si possono mettere a disposizione grossi volumi di dati da scaricare, ad esempio immagini. Gli hacker sono riusciti a hackerare il WebTransfer in modo che, ad esempio, gli indirizzi e-mail del nostro personale avrebbero potuto essere bombardati di e-mail di phishing.
Questo significa che anche dei criminali potrebbero penetrare in questi due servizi della Posta e arrecare danni?
Come per tutte le falle di sicurezza, ci assicuriamo di poterle eliminare subito oppure, finché non le abbiamo eliminate, evitiamo con una sorveglianza mirata che possano essere sfruttate. È come scoprire un buco in una recinzione: o si riesce a richiudere subito l’apertura o si mette qualcuno a fare la guardia in modo che nessuno ne approfitti per entrare fintantoché non si riesce a sistemarla definitivamente.
Significa che i dati della nostra clientela sono stati accessibili?
Finché le vulnerabilità rimangono ignote, non si può mai escludere che i dati della clientela siano esposti a rischi. Per questo motivo la Posta mette in atto svariati test di sicurezza e meccanismi di protezione permanenti e fa di tutto per individuare per tempo le lacune di sicurezza, in modo che non possano essere sfruttate. Durante la conferenza degli hacker di Parigi, il team addetto alla sicurezza delle informazioni della Posta era presente in loco per assicurare che i dati dei clienti fossero costantemente protetti.
A conti fatti, possiamo considerare sicuri i webservice della Posta?
Sì, i webservice della Posta sono sicuri. Lo sappiamo tutti: quando ne va nella sicurezza, non possiamo mai abbassare la guardia, altrimenti lasceremmo un margine di errore. Questo vale per il mondo digitale così come per la realtà concreta, ad esempio il traffico o l’aviazione. La sicurezza è un processo e noi investiamo enormemente nella sicurezza dei prodotti e sistemi della Posta. Proprio in questo senso cerchiamo costantemente vulnerabilità in modo mirato. Vogliamo trovarle ed eliminarle. Uno dei modi in cui lo facciamo è affidandoci agli hacker più esperti, così da migliorarci e aumentare la sicurezza.
Quali hacker si prestano a queste attività? Con quali motivazioni?
Si tratta dei cosiddetti «hacker etici», vale a dire senza intenti criminali. Sono esperte ed esperti specializzati in sicurezza informatica che, per conto di un committente e d’intesa con lui, tentano di hackerare i suoi prodotti e servizi in maniera mirata allo scopo di individuare le vulnerabilità. In questo caso la committente era la Posta. Diversamente dagli hacker criminali, sono tutte persone registrate presso di noi e che conosciamo di persona. Inoltre, lavorano fianco a fianco con il nostro personale di sviluppo IT.
Nel momento in cui 150 hacker hanno attaccato contemporaneamente la Posta ci sono stati problemi informatici? Alcuni servizi sono rimasti paralizzati durante questo tempo?
No, i nostri sistemi e reti IT hanno sostenuto questo attacco concentrato senza riportare danni. Il servizio web non è stato mai compromesso nemmeno per un istante durante quelle 24 ore.
Per curiosità: quanto ha pagato la Posta gli hacker di Parigi?
Abbiamo versato 8700 euro. Per le due vulnerabilità di natura seria e critica riscontrate dagli hacker, li abbiamo pagati rispettivamente 1500 e 3000 euro.
Come mai la Posta ha deciso di partecipare alla conferenza degli hacker in veste di bersaglio?
Una delle priorità della nostra sicurezza delle informazioni è cercare costantemente e attivamente le falle nella sicurezza per richiuderle. Lo facciamo ogni giorno. Da circa quattro anni, nell’ambito di un programma bug bounty (cfr. riquadro), facciamo attaccare dagli hacker in modo mirato determinati servizi online della Posta. Questo ci ha permesso di individuare ed eliminare già 437 vulnerabilità. Quest’anno eravamo pronti, per la prima volta, a mettere seriamente alla prova tutti i servizi internet della Posta simultaneamente. La Conferenza internazionale degli hacker è l’occasione ideale per farlo e rappresenta un autentico test di resistenza.
Dica la verità: non era un po’ nervoso prima della conferenza degli hacker?
Niente affatto, ero fiducioso. So che le mie collaboratrici e i miei collaboratori svolgono ogni giorno un lavoro eccellente. E poi, dopotutto, volevamo trovare le lacune di sicurezza. Bisogna vederla così: gli hacker criminali attaccano giorno e notte, senza essere annunciati né segnalati. In vista della conferenza ci siamo attrezzati: sul posto c’erano dieci specialiste e specialisti della sicurezza della Posta in costante dialogo con gli hacker etici. Anche in Svizzera avevamo team operativi 24 ore su 24 per assicurare che l’evento non avesse ripercussioni sui prodotti e sui servizi della Posta. Ogni singola falla nella sicurezza individuata alla conferenza è già stata richiusa oppure viene monitorata nello specifico finché non riusciremo a eliminarla definitivamente. Così nessun hacker criminale potrà più trovarla. Questo significa che i servizi digitali della Posta oggi sono più sicuri.
© RIPRODUZIONE RISERVATA
Iscriviti alla newsletter