Le frodi informatiche, causate da vulnerabilità delle applicazioni o da comportamenti fraudolenti, sono sempre più frequenti e vanno di pari passo con la digitalizzazione delle nostre vite.

Nelle righe che seguono si riportano alcuni esempi, che nel tempo hanno generato scoperti di milioni di dollari e fallimenti di importanti società che gestivano transazioni elettroniche in cripto-valuta.

Prima di addentrarci nei due casi specifici, parliamo di “contratti digitali”, i cosiddetti “Smart Contracts”.

 

I contratti digitali o “Smart Contracts”

 

Gli Smart Contracts non sono una novità, le prime esperienze infatti risalgono al periodo tra gli anni ’70 e ’80 per rispondere all’esigenza di attivazione/disattivazione di licenze software tramite una “digital key”.

Oggi gli Smart Contracts sono associati alle Blockchain che ne rendono efficace l’uso per finalità molto più estese, dalle assicurazioni con premi variabili ai bonus nei contratti di lavoro e agli accordi condizionali in genere.

Gli Smart Contracts sono essenzialmente costituiti da un’applicazione o algoritmo che detta delle regole, le applica e valida un contratto tra le parti al verificarsi di certe condizioni.

Un aspetto fondamentale degli Smart Contracts, come tutto ciò che deve avere valore “legale”, è la sua immutabilità, non potendo essere modificato nemmeno dal suo autore, nessuno può in principio violare o derogare le regole previste all’interno del “contratto digitale”.

Questa garanzia è oggi resa possibile grazie alla tecnologia Blockchain.

Per rispondere alla domanda se gli Smart Contract sono sicuri e quali sono le minacce al loro buon funzionamento, avvaliamoci di un paio di esempi significativi seppur non recentissimi.

Sicurezza delle applicazioni che usano tecnologie Blockchain:

 

  • Mt.Gox era una piattaforma di exchange sulla quale alla data del 2013 transitavano il 70% delle operazioni basate su Bitcoin. Nel 2014 Mt.Gox subisce una frode causata da una vulnerabilità dell’applicazione di scambio che verrà scoperta solo alcuni mesi dopo. Tale incidente ha significato per la società che gestiva la piattaforma uno scoperto di 450 milioni di dollari (850.000 Bitcoin di allora) a cui è seguito il fallimento. Tali Bitcoin non erano più reperibili o erano stati rubati, circostanza che non è mai stata chiarita completamente sebbene 200.000 di essi siano stati ritrovati. Non si capisce se l’incidente fosse da ricondurre completamente a furto, frode, cattiva gestione o una combinazione di tali cause. Nuove prove presentate successivamente da società di sicurezza informatica hanno portato a concludere che tali Bitcoin fossero stati per lo più sottratti nel tempo senza destare sospetti.
  • Sempre in tema criptovalute, un’altra circostanza fraudolenta riguarda lo Smart Contract “DAO” operativo sulla rete Ethereum. DAO attuava un meccanismo di crowfunding per il quale gli investitori donavano i loro Ether, a fronte di una conversione in token di voto con i quali selezionare progetti finanziabili. Il codice dello Smart Contract presentava un bug tramite “cicli ricorsivi” che, individuato e sfruttato da un hacker all’interno della DAO stessa, ha consentito di sottrarre all’epoca (metà 2016) circa 42 milioni di dollari (3,6 milioni di Ether).

In entrambi i casi, si può notare come non siano state le Blockchain a rappresentare un rischio per la sicurezza ma le applicazioni (e gli “utenti”) che le operavano. Il che ci porta all’argomento più ampio delle “vulnerabilità informatiche”.

Vulnerabilità informatiche: caratteristiche e classificazione

Le vulnerabilità dei sistemi informatici possono essere individuate a livelli diversi: rete, sistemi hardware o nel codice delle applicazioni software. Questa consapevolezza ha portato le aziende negli ultimi anni a svolgere attività di “vulnerability assessment”, in modo da palesare eventuali criticità e permettere di adottare le contromisure necessarie per ridurre gli attacchi, pur sapendo che il rischio zero non esista e che solo una macchina spenta è immune (o quasi) dall’essere oggetto di attacchi.
Frequentemente si tratta di errori di architettura, progettazione o di scrittura del codice (bug) che permettono agli hacker di infiltrarsi in maniera fraudolente nei sistemi e nei programmi.

Oggigiorno, soprattutto nello scenario “Covid” che stiamo vivendo, assistiamo ad una controtendenza che vede le aziende impegnate a riportare dentro i confini aziendali e/o nazionali il proprio know-how e le proprie infrastrutture critiche.

Tra i diversi tipi di vulnerabilità classifichiamo le seguenti:

  • Utilizzo di password “comuni” e poco “complesse” (dal punto di vista computazionale): costituisce ancora oggi una minaccia importante alla sicurezza; un’applicazione “sicura” e testata in diversi scenari di utilizzo può essere infatti violata tramite “forzatura” delle credenziali di accesso per mezzo di diverse tecniche illecite (non ultime quelle che sfruttano l’ingegneria sociale).
  • Applicazioni software: le vulnerabilità del codice possono essere scoperte od evidenziate anche a diversi anni di distanza quando il prodotto è molto diffuso sul mercato; il famoso software di compressione WinRAR per quasi due decenni ha presentato una vulnerabilità che permetteva una manipolazione dei propri archivi.
  • Sistemi mobili: frequenti sono i casi che hanno coinvolto gli smartphone con sistema operativo iOS e Android, ai quali i produttori Apple e Google di solito rispondono prontamente vista l’estrema diffusione di tali dispositivi. Ma in un’azienda in cui il core business non è la tecnologia e non ha le risorse umane e finanziarie dei giganti, in quanto tempo si riuscirà a risolvere un “bug”? Maggiori complicazioni comportano poi le integrazioni di terze parti per le quali ad esempio Google ha dovuto redigere una serie di obblighi di adeguamento per la fornitura di tali servizi.
  • Apparati hardware: focalizzandoci sulle nuove reti 5G, sono emerse vulnerabilità alla cattura di dati per mezzo di apparecchi che ne riescono a intercettare il traffico voce e dati, sino a simulare il dispositivo mobile della “vittima” per commettere reati informatici.


Clicca qui e scopri i servizi Omicron Consulting dedicati alla Sicurezza informatica