Il caso SolarWinds ha fatto molto scalpore ma rischia di non essere colto nei suoi significati meno evidenti. Certo fa notizia pensare che migliaia di aziende sono state "bucate" proprio perché usavano un software professionale (Orion è in sintesi un tool di network management). Ma ogni giorno segnaliamo attacchi, brecce, data leak ed episodi simili. Troppo facile che anche questo finisca nel dimenticatoio. Anche perché si è sottolineato subito che l'attacco è opera di un gruppo molto esperto. Il che è vero, ma non relega l'attacco tra quelli che possono accadere solo raramente.

Ripercorriamo i passi di quanto è successo. L'attacco a SolarWinds è stato un caso da manuale di supply chain attack. Una forma di attacco particolarmente interessante e su cui le aziende non sembrano mai abbastanza preparate. Gli attaccanti - quasi per certo una APT molto ben organizzata che fa capo a uno Stato, probabilmente la Russia - sono penetrati nei server di SolarWinds dedicati alla gestione dei ccli di sviluppo software. Così hanno potuto inserire una backdoor in una libreria collegata alla piattaforma Orion.

Un normale ciclo di aggiornamento software ha portato alla distribuzione del file modificato a un gran numero di clienti SolarWinds. Siamo nell'ordine delle 18 mila aziende, secondo le stime più attendibili. Quando questo sia avvenuto, è impossibile dirlo con precisione. Si ipotizza che l'APT abbia effettuato un attacco di test già a novembre, ma senza "aprire" le backdoor.
Abbiamo scoperto Sunburst - questo il nome della backdoor, nota anche come Solorigate - solo quando FireEye ha comunicato di essere stata "bucata" da una APT, l'8 dicembre scorso. Qualche giorno dopo, il 13, è stato ufficializzato che il software di SolarWinds era stato il canale dell'attacco. E di conseguenza che i sistemi di SolarWinds erano stati anch'essi violati. Con il rischio breccia anche per migliaia di altre aziende.

Lo sviluppo "sicuro"

Oggi va molto di moda parlare di security by design, ma gli esperti dii cyber security da tempo sottolineano il fatto che in molte imprese i processi di sviluppo software sono tutt'altro che in linea con questo concetto. La cronaca della cyber security parla troppo spesso di repository violati, malware che si diffonde via piattaforme come GitHub, credenziali in chiaro, sviluppo di codice che non pensa alla sicurezza ma soprattutto alla velocità.

È l'eterno problema del DevOps o meglio del DevSecOps. Le aziende vogliono nuovi software e nuovi aggiornamenti, non c'è quasi mai tempo per garantirne davvero la sicurezza. Si cercano piuttosto più velocità e automazione. E più veloce si corre, più ci si fa male se si cade. Certo Sunburst è un supply chain attack sofisticato, quantomeno per il tempo e le risorse che ha richiesto. Ed è una operazione di spionaggio che non è facilmente replicabile. Ma non possiamo chiudere la questione catalogandolo come un caso eccezionale. Può esserlo oggi, forse, ma domani?

La logica della criminalità è sempre la ricerca del maggior profitto in rapporto al rischio e all'impegno. Oggi ci sono forme di attacco più semplici e remunerative dei supply chain attack. Ma Sunburst dimostra che anche aziende "evolute" come SolarWinds sono un potenziale veicolo per entrare in migliaia di reti. Basta considerare bersagli più semplici ed ecco che i supply chain attack possono diventare estremamente diffusi.
La questione allora cambia. Il punto non è più "Sunburst è un caso limite" ma diventa come mettere davvero in sicurezza i processi di sviluppo, implementazione e distribuzione del software. Anche a costo di rallentarlo un po' e di renderlo un minimo meno automatico. O di implementare veri e propri processi paralleli, più lenti, che evidenzino il prima possibile eventuali problemi. Le strade possibili sono molte, metterle sul tavolo non può più essere visto come un freno all'innovazione, l'accusa che si fa contro qualsiasi modello che non sia in (nefasto) stile "move fast, break things".

La reazione del mercato

È un bene che le aziende immediatamente colpite da SunBurst abbiano reagito subito e in maniera fattiva. FireEye, Microsoft e SolarWinds stessa, ad esempio. La collaborazione di diverse aziende tecnologiche ha contribuito a fermare - si spera - le comunicazioni delle backdoor implementate nelle imprese. L'esame del codice della backdoor ha permesso di identificare altri grandi nomi che erano nel mirino di Sunburst: Cisco, Intel, Nvidia, VMware, Deloitte, Belkin giusto per citarne alcuni.

Di fronte a questa reazione pratica collaborativa e, viene da dire, "matura", un po' sorprende che poi a livello concettuale le cose non siano altrettanto pragmatiche. Quando cioè si esce dai fatti della cyber security e si passa alle opinioni, qualche reazione appare confusa.

Sunburst è quasi certamente una operazione di spionaggio organizzata meticolosamente da una APT state-sponsored. È stato identificato un tool software usato da migliaia di imprese (Orion). Poi si è penetrato il suo processo di sviluppo in modo da installare una backdoor in tutte, o quasi, le imprese che lo utilizzavano. Infine, le backdoor installate sono state attivate in una piccolissima percentuale - si pensa meno dell'1% - per entrare nelle reti delle aziende davvero importanti.

Premesso questo, se la reazione del mondo IT è davvero rappresentata dalle dichiarazioni maggiormente messe in evidenza - quelle di Brad Smith, presidente di Microsoft - forse non si è capito bene cosa è successo. E soprattutto cosa succederà. Affermare che Sunburst "non è espionage as usual, nemmeno nell'era digitale" ma "un atto di sconsideratezza che ha creato una seria vulnerabilità tecnologica per gli Stati Uniti e il mondo" non ha molto senso, con tutto il rispetto. Alla lettera può essere vero, ma c'è molto di più.
Dichiarazioni del genere da un lato continuano a passare, magari involontariamente, il messaggio che Sunburst sia un evento eccezionale. Mentre promette di essere sempre più diffuso, ai danni di imprese con nomi magari meno importanti ma comunque imprese da proteggere. Poi spostano l'attenzione totalmente verso chi attacca, togliendola a chi dovrebbe difendere sé stesso e i suoi clienti. Lasciano poi la forte impressione - ma è una opinione assolutamente personale - che per alcuni le operazioni di spionaggio massivo siano nell'ordine delle cose se sono portate avanti dalle agenzie governative di certe nazioni e diventino una minaccia globale se organizzate da altre. Troppo comodo, così.

Una morale positiva (forse)

La possibile morale positiva del caso SolarWinds è che questo faccia da acceleratore per una presa di coscienza generalizzata. Le vulnerabilità a cui dobbiamo pensare non sono solo quelle a cui si mette un codice CVE. Sono anche e soprattutto quelle causate dai modi in cui le aziende utenti e i vendor tecnologici stanno affrontando la cyber security. Nel complesso, purtroppo, maluccio. Senza metterla in primo piano, con troppe soluzioni la cui interrelazione lascia aree indefinite di vulnerabilità.

Con prospettive che fanno preoccupare, se mettiamo sul tavolo altre complicazioni come la complessità del multicloud ibrido, le potenzialità dell'AI o delle future applicazioni IoT. Anche qui nulla di cui non si discuta da tempo, ma evidentemente senza abbastanza costrutto dal punto di vista della sicurezza. Molto spesso i vendor tecnologici sviluppano prodotti o servizi non del tutto "blindati". Che possono essere usati per scopi meno che leciti, o anche solo poco etici. Non pensare a queste possibilità fin dall'inizio è un limite, se non proprio una responsabilità, che nessuno, o quasi, ama riconoscere.

Su più larga scala - è il tema dello spionaggio, sempre più del cyber warfare - servono da un lato un maggiore coinvolgimento tra pubblico e privato, con un maggiore scambio di informazioni, e dall'altro una definizione più chiara di cosa sia un attacco digitale e come vi si possa rispondere. Ancora, sono cose che gli esperti di sicurezza chiedono da anni, ma in queste direzioni i passi sono stati molto lenti.