Nei giorni scorsi ho fatto un interessante esperimento. Ho provato a contattare i CERT di una decina di banche italiane i cui utenti sono obbiettivo di una recente campagna del banking trojan Panda. La mia intenzione era quella di mettere in contatto tali CERT con i miei colleghi che hanno analizzato il trojan in dettaglio, in modo da condividere eventuali informazioni utili.
L'esperienza non è stata delle migliori. Dopo due giorni, questa la situazione (ho omesso la prima colonna coi nomi delle banche):
Il primo dato, ovviamente, è che nessuna delle banche pubblica un contatto relativo alla sicurezza informatica sul proprio sito. Alcune offrono alcune pagine di suggerimenti, abbastanza generici, su come difendersi dal malware e dal phishing. Tutti i canali di contatto pubblicati sul sito si riferiscono a tematiche commerciali, a volte via mail, più spesso telefonicamente. Alcuni siti propongono dei form di contatto generico, per utilizzare i quali, però, è quasi sempre necessario (tranne un solo caso) fornire una gran quantità di dati personali e dare l'assenso a deliranti "privacy policy" che in pratica autorizzano l'istituto a utilizzare tali dati per campagne di marketing di ogni tipo tramite peraltro un numero infinito di terze parti. Ho elencato gli indirizzi email più o meno generici che sono riuscito a trovare sui siti e che ho contattato, chiedendo di entrare in contatto col CERT.
Ho anche contattato tutti gli istituti via Twitter e Facebook, che si sono rivelati i canali più ricettivi, dove ho ricevuto le uniche risposte, inizialmente molto confuse ("spiegaci chiaramente cosa vuoi sapere") ma infine abbastanza disponibili. Come si vede, ho ricevuto ben pochi riscontri.
Questo il messaggio che ho inviato a tutti via mail e più brevemente su Twitter e Facebook: "Il nostro team di sicurezza, ASERT, ha recentemente individuato una variante del malware Zeus che prende di mira gli utenti di diverse banche italiane e specificamente diversi URL di xxx.
Vorrei contattare il vostro CERT per fornirvi maggior dettagli ed eventualmente mettervi in contatto coi colleghi che hanno esaminato il malware per fornirvi ogni informazione d'interesse."
In un paio di casi sono stato invitato a fornire qualche informazione con la promessa che sarà inoltrata a chi "di competenza" e che sarei stato ricontattato se necessario. In nessun caso sono riuscito ad andare oltre il customer support generico e contattare un CERT.
Come campione di controllo, ho contattato via mail il CERT di Telecom Italia e il CERT Nazionale, che mi hanno risposto a stretto giro di posta.
Update 13 Settembre: sono stato infine contattato da uno dei CERT.
Commenti