Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 8 novembre 2022: https://www.agendadigitale.eu/sicurezza/le-scuole-nel-mirino-del-cybercrime-i-pericoli-da-conoscere-e-come-difendersi
Anche se il settore dell’istruzione non rappresenta per gli hacker un obiettivo appetibile, non possiamo escludere la possibilità di azioni ai danni dei sistemi informatici delle scuole.
L’eventualità di trovare le postazioni di lavoro o i server della segreteria bloccati dal più recente ransomware non è poi così remota, e deve indurci ad adottare le più comuni misure atte a contrastare il fenomeno.
Nell’ottica di promuovere internamente una cultura della sicurezza condivisa e tenere alta l’attenzione sull’utilizzo degli strumenti di lavoro, il Computer Security Incident Response Team del Ministero dell’Istruzione (CSIRT MI) già lo scorso anno aveva preparato per gli istituti delle raccomandazioni e un video tutorial informativo su una delle truffe più diffuse in rete: il phishing.
L’utilizzo dei sistemi informatici nelle scuole
Il periodo di emergenza appena trascorso ha cambiato radicalmente il modo di lavorare, anche a scuola.
Si sta ricorrendo sempre di più all’uso di strumenti informatici collegati alla rete, sia per la gestione della didattica che per il lavoro di segreteria.
Il crescente fenomeno della digitalizzazione comporta una serie di rischi per la sicurezza informatica, primo fra tutti quello rappresentato dai malware, software progettati per infettare i dispositivi multimediali.
In particolare sta diventando molto diffuso l’utilizzo del ransomware: le recenti incursioni hanno visto come protagonista BlackCat, nome dell’organizzazione criminale che utilizza l’omonimo malware, noto soprattutto come “ALPHV”.
La sua efficacia è notevole, e la sua diffusione è in parte dovuta alla non immediata identificazione da parte dei sistemi antivirus, e in parte causata dalla facilità di infiltrazione nei sistemi informatici per le carenti misure di sicurezza ICT.
Per questo gli operatori diventano spesso vittime inconsapevoli delle azioni di “phishing” e “pharming”.
Diversi report (tra cui rapporto di Sophos, noto distributore di software antivirus, “The State of Ransomware in Education 2022”) dimostrano infatti il notevole aumento degli attacchi ransomware nel comparto didattico in questi ultimi anni.
Difendersi da questi attacchi non è semplice, ma con un minimo di formazione e attenzione l’utilizzo della posta elettronica istituzionale può diventare più sicuro e consapevole.
Che cos’è un attacco ransomware?
In generale possiamo definire ransomware un software dannoso che una volta avviato impedisce l’utilizzo del computer.
Per poter riutilizzare il PC infetto il cybercriminale chiede un riscatto in denaro o altre forme (bitcoin).
Le fasi di attacco di un malware del genere si sviluppano normalmente secondo uno schema consolidato: l’hacker ottiene le credenziali di accesso e instaura una connessione tra il computer infetto e un server remoto sotto il suo controllo, cerca le informazioni utili per ottenere i privilegi amministrativi, e infine avvia l’attacco vero e proprio, criptando i file con lo scopo di estorcere denaro.
Il ransomware, quando attivato, avvia una schermata con una richiesta di pagamento, o con la creazione sul desktop di un file in formato testo nel quale sono presenti le richieste del cybercriminale.
Se si verifica questa situazione il computer è già compromesso, e probabilmente lo saranno anche gli altri PC collegati alla rete locale.
Esiste la possibilità di individuare il tipo di malware ed eventualmente l’hacker o il gruppo criminale che lo gestisce utilizzando diversi servizi online (uno dei quali è disponibile a questo link), ma difficilmente sarà possibile recuperare i file originali, a meno che non siano disponibili copie di backup aggiornate e affidabili.
Come ridurre i rischi da parte del personale scolastico
Gli eventi che contribuiscono ad aumentare il rischio ransomware anche nelle istituzioni scolastiche sono molteplici, e tra di essi ricordiamo:
- L’utilizzo di password deboli o riutilizzate per diversi account o servizi
- L’accesso alla posta elettronica per scopi personali, che potrebbe non essere controllata con gli stessi criteri adottati per le email di lavoro
- L’eccessivo numero di email ricevute e da gestire, che potrebbe indurre ad atteggiamenti meno attenti anche da parte del personale più scrupoloso
- L’utilizzo di connessioni non sicure per l’accesso ai sistemi informatici in caso di smart working
- L’accesso a piattaforme di vendita online eseguito dal personale per acquisti non riconducibili all’attività lavorativa
- Il controllo carente da parte dell’amministratore di sistema, se non verifica le condizioni di sicurezza minime e i report generati dai sistemi di alert
Come difendersi dal phishing
Le tecniche di phishing rappresentano il 95% dei casi correlati alla diffusione dei malware.
Sfruttano la scarsa attenzione ma anche la buona fede dei fruitori, che normalmente si fidano di quello che leggono nei messaggi ricevuti, eseguendo quanto richiesto.
Ciò avviene soprattutto quando le email sono “ben confezionate” e facilmente attribuibili a persone conosciute.
Pertanto, anche ai sensi delle raccomandazioni fornite dal CSIRT MI, si consiglia di:
- Leggere attentamente il nome del mittente e l’indirizzo email nell’intestazione
- Controllare se il messaggio è destinato anche ad altri (mailing list)
- Verificare se l’oggetto dell’email invita a eseguire un’azione con particolare urgenza
- Accertare che il messaggio non sia genericamente indirizzato a qualcuno
- Analizzare il testo, controllandone il lessico e la logicità espressiva
- Riconoscere la presenza di link inconsueti (che normalmente indirizzano al sito controllato dal cybercriminale)
- Cancellare la email e non aprire gli allegati se si verificano una o più delle anomalie sopra riportate
- Non inserire le proprie informazioni personali in schermate pop-up o in form raggiungibili dai link presenti nella comunicazione
È comunque utile installare, se possibile e su indicazione dell’amministratore di sistema della scuola, un filtro anti-phishing che aiuti a eliminare i messaggi riconosciuti come tali secondo precisi pattern.
Contrastare il phishing non è facile, e questa tecnica, così come le altre forme di “social engineering”, deve essere considerata come oggetto di formazione specifica e costante nel tempo.
I programmi di sensibilizzazione del personale non hanno un’efficacia permanente e devono essere ripetuti e aggiornati nel tempo (almeno una volta l’anno, meglio ancora semestralmente).
Il pharming
Il termine pharming deriva dall’unione di “phishing” è “farming”, ed è un tipo di cybercrimine simile al phishing che interagisce con il servizio alla base della navigazione in internet, ovvero con il DNS (che converte i link comunemente noti dalla forma letterale a quella numerica e viceversa).
Gli hacker possono utilizzare diverse metodologie, ma le più diffuse sono due.
La prima prevede l’installazione di un malware che modifica il file “host” per indirizzare il traffico di rete verso uno o più server creati appositamente.
La seconda, invece, impegna l’hacker sul fronte opposto, ovvero il server DNS, ma perseguendo comunque sempre lo stesso obiettivo, che è quello di dirottare il traffico internet verso server o siti gestiti dalla cybercriminalità.
I siti web fittizi possono inoltre essere utilizzati per diffondere altri virus o malware, al fine di raccogliere informazioni personali e mettere in atto furti di identità.
Il pharming è particolarmente pericoloso, perché l’utente colpito potrebbe utilizzare un computer assolutamente privo di virus o malware, ma essere comunque vittima di un attacco hacker.
In questo caso le precauzioni adottate devono essere finalizzate al controllo del sistema operativo, in modo che i file non vengano modificati senza opportuna segnalazione.
Occorre installare un buon antivirus, non trascurando comunque le buone pratiche informatiche (evitando quindi i siti sospetti, e ignorando i link contenuti nelle email ricevute).
Questi accorgimenti rendono i malware inefficaci, evitando l’accesso ai computer finalizzato alla modifica dei file di sistema.
Si consiglia sempre quindi di prestare attenzione ai siti web durante la navigazione, specialmente a quelli che contengono informazioni personali o finanziarie (posta elettronica, web banking, ecc).
Bisogna sempre controllare anche la barra degli indirizzi: i browser più comuni dispongono di uno o più segnalatori che riportano il livello di sicurezza e affidabilità del sito che si sta consultando.
Come difendersi dal pharming
Naturalmente è possibile proteggere computer, server e rete dagli attacchi, ma è fondamentale capire non “se”, ma “quando”, l’azione dei cybercriminali produrrà danni ai nostri sistemi informatici.
In quest’ottica, la minaccia più rilevante deriva dall’ignorare questa eventualità e non saper agire adeguatamente.
A tal proposito, è utile conoscere alcuni elementi fondamentali su cui si dovrebbe basare la sicurezza dei sistemi informatici, con particolare attenzione a:
- Gestione degli account e degli accessi
La maggior parte delle violazioni inizia quando un account è compromesso; la prima azione di difesa dovrebbe consistere in un adeguato livello di autenticazione e autorizzazione.
- Protezione dalle minacce
Avere la capacità di riconoscere e prevenire i pericoli provenienti soprattutto delle email, utilizzando applicazioni adeguate al fine di bloccare i tentativi di intrusione (antivirus, HIDS, NIDS).
- Protezione delle informazioni
Adottare le tecniche necessarie per proteggere i dati (sia quando sono utilizzati, sia quando sono archiviati) con sistemi di backup sicuri e non attaccabili dagli hacker (copie di backup offline).
- Sicurezza cloud
Utilizzare le risorse in cloud in modo consapevole e sicuro (le scuole, quali pubbliche amministrazioni, devono usare solo sistemi in cloud qualificati e presenti sul Cloud Marketplace di AgID).
- Controlli AGID
Applicare le “misure minime” definite da AgID con la circolare n.2 del 18/04/2017 (pubblicata sulla G.U. 103 del 05/05/2017).