Hacker’s Profiling Project: intervista a Raoul Chiesa e Stefania Ducci

Ciao Raoul, ciao Stefania, che ne dite di cominciare presentandovi ai lettori di Apogeonline? Quali sono i percorsi personali che oggi vi stanno per portare all’Hack in the Box 2006?

[S.D.] Salve a tutti i lettori, la mia formazione professionale è di tipo giuridico-criminologico. Dopo una laurea in legge, improntata al diritto penale, alla criminologia e alla medicina legale, quest’ultima materia di tesi, ho frequentato il Master in Criminologia organizzato dall’Università di Torino e dall’UNICRI (United Nations Interregional Crime and Justice Research Institute). Dopo mesi passati ad approfondire argomenti quali il diritto penale internazionale e comparato, la criminologia, il terrorismo, i computer crime e le varie forme di criminalità organizzata, mi è stata offerta la possibilità di collaborare con l’UNICRI stesso, istituto presso il quale lavoro dal settembre 2003.
[R.C.] Ho iniziato ad interessarmi di hacking nel lontano 1986, per passare poi nel 1996 ad occuparmi professionalmente di IT Security ed, in particolar modo, di verifiche di sicurezza (intese come Penetration Test, Ethical Hacking e metodologie OSSTMM-compliance); oggi gestisco un Tiger Team di circa 20 persone per la mia società, @Mediaservice.net, sono il referente europeo di TSTF.net (Telecom Security Task Force) e collaboro con svariate associazioni tra le quali il CLUSIT (Associazione Italiana per la Sicurezza Informatica), l’ISECOM, il capitolo italiano dell’OWASP e l’Italian User Group della nuova ISO 27001, con le quali si cerca di costruire un po’ il futuro dell’Information & Communication Technology, anche attraverso la sensibilizzazione e l’awareness degli utilizzatori.

Parliamo della vostra collaborazione nel progetto HPP (Hacker’s Profiling Project), come nasce?

[S.D.] Nasce in modo del tutto casuale. Ho avuto il piacere di conoscere Raoul durante il Master in Criminologia dove è docente da svariati anni, nel corso del quale ci venne a fare una lezione proprio sui computer crime, in particolare sugli attacchi informatici. La materia mi affascinò talmente tanto che un giorno decisi di contattarlo per approfondire la conoscenza dei computer crime, nella speranza che lo studio di quel settore potesse diventare il mio futuro ambito lavorativo. Raoul mi diede modo di farlo proponendomi di entrare nel suo costituendo gruppo di lavoro su questo nuovo progetto che decidemmo poi di chiamare HPP.
[R.C.] Stefania era uno dei pochi studenti attenti, vedevo i suoi occhi brillare, prendere tantissimi appunti…. Mi colpì il suo interesse per un argomento che, spesso, quando viene spiegato a persone con background non tecnici, non raccoglie purtroppo un enorme interesse. In quel periodo stavo maturando l’idea di una metodologia per il profiling degli hacker, data la quasi totale mancanza di materiale serio e non di parte esistente sul tema. Detto, fatto… ci si è parlati, si è deciso, e si è iniziata questa “pazza avventura”, a metà tra il profiling criminale e l’analisi tecnica di intrusioni informatiche di basso, medio ed alto livello.

Quali sono gli obiettivi del vostro studio?

[R.C. – S.D.] Occupandoci di problematiche di sicurezza “hacking-related” da oltre un decennio, in questi ultimi anni abbiamo osservato con attenzione una serie di fenomeni che ci sentiamo di definire “preoccupanti”. Innanzitutto si è verificata una drammatica diminuzione della cosiddetta window of exposure, ovverosia il tempo che trascorre dalla stesura di exploit “0-day” – cioè circolante esclusivamente all’interno di un ristretto giro di persone – sino al loro utilizzo in attacchi massicci e/o distribuiti a livello mondiale. È da evidenziare poi l’esistenza di pericolose sinergie tra personalità tecnologicamente avanzate, criminalità organizzata e terrorismo, così come la continua crescita della interdipendenza tra la stabilità nazionale (infrastrutture critiche nazionali, homeland security, telecomunicazioni, servizi di base, ecc.) e le problematiche di ICT Security. Ciò nonostante, spesso i fenomeni del cybercrime e degli hi-tech crime vengono analizzati in maniera errata.
Abbiamo allora voluto analizzare il “problema del cybercrime” utilizzando un approccio completamente diverso da quelli individuati sino ad oggi, andando cioè direttamente alla fonte.
Il progetto H.P.P. si pone infatti l’obiettivo di:

• analizzare il fenomeno dell’hacking nelle sue mille sfaccettature – tecnologico, sociale ed economico – mediante approcci sia di tipo tecnico che criminologico;
• individuare gli attori chiamati in causa e comprenderne le differenti motivazioni;
• osservare “sul campo” le azioni criminali;
• applicare la metodologia di profiling ai dati raccolti;
• apprendere dalle conoscenze acquisite e divulgarle.

Come avete strutturato l’analisi?

[R.C. – S.D.] Il progetto HPP consta di 7 fasi.
La prima è quella della raccolta dati, la quale prevede l’elaborazione e la distribuzione di un questionario, attualmente in fase di disseminazione e compilazione da parte di hackers dislocati in tutto il mondo. I dati verranno quindi raccolti in una apposita banca-dati, ovverosia un data-base relazionale (fase 3).
La seconda fase, in essere da oramai due anni, consiste nella partecipazione a diversi meeting e conferenze sulla sicurezza informatica in Europa, Asia, Stati Uniti ed Australia, al fine di presentare la ricerca ed i relativi risultati, ma nel contempo acquisire contatti diretti con i rappresentanti della scena underground internazionale. In questo contesto si colloca la nostra partecipazione ad Hack in the Box 2006, così come altre apparizioni o partecipazioni come relatori (Eurosec 2006, Ticino Communications Forum, Ph -Neutral, InterOp, NoConName, gli incontri del CCC tedesco, ecc.).
Dopodiché (fase 4), verrà implementata una honey-net di nuova generazione, creata appositamente ai fini del progetto, la quale ci consentirà di ottenere e analizzare i dati relativi ad ogni attacco verso il singolo honey-pot, tentato o portato a termine, e di elaborare il profilo dell’attaccante tenendo conto delle motivazioni (ricavabili dalla tipologia del target), delle capacità tecniche, del modus operandi e così via.
La successiva fase 5 prevede quindi l’analisi e la correlazione dei dati raccolti tramite i questionari, la honey-net e quelli ricavati dalla letteratura esistente, al fine di validare o meno i dati in possesso.
Ciò porterà alla delineazione di diversi profili di hacker (fase 6).
Nell’ultima fase (7) verranno quindi elaborati e diffusi i risultati ottenuti, con conseguente pubblicazione della metodologia sviluppata e impiegata.

Quali difficoltà avete incontrato?

[R.C. – S.D.] Le principali difficoltà che abbiamo verificato in questi due anni – e che per alcuni aspetti ci aspettiamo di incontrare ancora nel futuro – sono essenzialmente due:

1. la difficoltà di ottenere risposte veritiere al questionario e la certezza che chi lo compila appartenga effettivamente al mondo underground;
2. il fatto che alcune categorie di hacker difficilmente compileranno il questionario, per svariati motivi.

Ad ognuna di esse abbiamo cercato di adottare delle soluzioni innovative che consentano di ridurre al minimo i problemi. Innanzitutto, non sarà sempre facile ottenere risposte veritiere al questionario, ed al tempo stesso avere la certezza che chi lo ha compilato sia un vero hacker (e non uno che “si spaccia per”, come sovente accade!). Per ovviare a quest’ultimo inconveniente abbiamo creato due versioni del questionario: una completa ed una ridotta. Quest’ultima è reperibile in Rete (hpp.recursiva.org per l’Italia, ma anche su hpp.hackinthebox.org per la scena asiatica, ecc: stiamo predisponendo mirror con la Germania, la Russia, la Grecia e così via), mentre la versione completa verrà distribuita esclusivamente alle persone di cui sia certa e comprovata l’appartenenza all’ambiente underground, e verrà distribuita attraverso un passaparola nell’underground stesso.
Coloro che avranno compilato la versione completa fungeranno quindi da gruppo di controllo di coloro che hanno avuto la versione ridotta. Per quel che riguarda i dati tecnici poi, quelli provenienti dal questionario verranno comparati con quelli della honey-net, proprio per verificare se la tipologia hacker che ne deriva presenta effettivamente quelle caratteristiche tecniche, di modus operandi, di abilità, di target, e di motivazioni che sono proprie della categoria in questione.
Per cui, la veridicità delle risposte verrà validata anche attraverso questo strumento. Inoltre, abbiamo cercato di ridurre al minimo la possibilità di risposte mendaci, anche rassicurando gli utenti in merito alla totale anonimità del questionario. Infatti, non solo non viene richiesta l’identità o il nickname delle persone, ma anche il fatto che esso sia compilabile online senza bisogno di inviarlo per e-mail, costituisce una maggiore garanzia di anonimità.
Con riguardo alla seconda difficoltà menzionata, c’è da dire che attraverso il questionario sarà possibile delineare il profilo di hacker quali i wannabe lamer, gli script kiddie, i cracker, gli ethical hacker, i quiet, paranoid, skilled hacker, insomma di tutti coloro che fanno hacking nel loro tempo libero e non a fini professionali. Molto difficile sarà invece ottenere la compilazione da parte di cyber-warrior, spie industriali, agenti governativi ed hacker militari, ossia da parte di coloro che fanno hacking di professione, a fini di lucro e su base continuativa, su commissione o meno. La ragione di tale difficoltà risiede nell’ovvia riservatezza richiesta a queste persone nello svolgimento della loro attività, per fini istituzionali (su incarico governativo) o lucrativi (da parte di organizzazioni criminali o aziende dedite allo spionaggio industriale). Anche tale gap proprio dello strumento “questionario” potrà essere facilmente colmato grazie ai dati della honey-net.

Perché siete convinti che la determinazione del profilo criminale hacker assumerà sempre maggiore importanza nella lotta al cybercrimine?

[R.C. – S.D.] Riteniamo che sia essenziale per i professionisti del settore, sia per chi si occupa di sicurezza informatica, sia per gli investigatori o gli agenti governativi che devono indagare su casi di intrusioni informatiche, sapere con chi hanno a che fare. Questo sia al fine di adottare tutte le contromisure necessarie per rendere più sicuro il sistema, ma anche per identificare con maggiore rapidità l’autore dell’intrusione e, soprattutto, evitare di prendere le classiche “lucciole per lanterne”, come spesso accade nelle operazioni di computer-crime.
Oltre ad agevolare le finalità repressive, il nostro studio consentirà anche di adottare misure preventive. Si pensi infatti ad un potenziale target il quale, se consapevole di quale tipo di attacco è più probabilmente soggetto e di quale agente di minaccia (ovverosia la tipologia di attaccante) è oggetto di preferenza, potrà adottare tutte quelle misure volte a ridurre il rischio di una possibile intrusione.
Riteniamo inoltre che la nostra ricerca sia divenuta irrinunciabile tenuto conto che fino a ieri l’hacking è stato visto come un fenomeno emergente, sconosciuto alle masse ed ignorato dagli studiosi. È poi vero che oggi esistono diverse ricerche ed analisi su hacking ed hackers. Tuttavia, tali studi sono stati condotti sempre secondo un unico punto di vista per volta: profilo psicologico, o sociologico, o criminologico. Soprattutto in seguito ai cd. hacker crackdown, si è sempre pensato che esistesse un’unica tipologia di hackers, i quali erano visti come brutti (mingherlini, miopi), cattivi (intenti sempre malvagi, distruttivi e/o criminosi) e “sporchi” (asociali, privi di etica, anarchici).
La novità del ns. studio consiste nell’interdisciplinarietà, in quanto coniuga la criminologia con la sicurezza informatica al fine di individuare le diverse tipologie di hacker se si considerano: le modalità di azione (da solo/a o in gruppo), le capacità tecniche, le motivazioni, gli scopi, i target, l’adesione o meno alla cd. “etica hacker”.

Potete anticiparci alcuni risultati? Che cosa è emerso ad oggi?

[R.C. – S.D.] In generale, dai questionari compilati fino ad oggi è emerso che gli hacker sono di regola intellettualmente brillanti, creativi, decisi e risoluti. Essi provano in genere rabbia e ribellione verso l’Autorità e la chiusura mentale, viste come una minaccia per le libertà civili. L’hacking è visto o come una tecnica e modo di vivere (hacking is a way of life) con curiosità e voglia di mettersi alla prova, oppure come uno strumento di potere utile per sensibilizzare le masse su problemi politici e sociali.
Di solito sono spinti dall’amore per la conoscenza. Non mancano tuttavia coloro che hanno fini di lucro e si dedicano perciò al phishing/pharming, al carding o allo spionaggio industriale.
I loro target preferiti sono i sistemi militari e governativi, le grandi corporazioni, le telco (operatoria di telefonia e telecomunicazioni), le scuole e le università, ma anche gli utenti finali e le PMI.
La maggior parte degli hacker (di basso livello tecnico) sono scoraggiati da sistemi difficili da penetrare: preferiscono S.O. “facili” come Linux o Windows. Gli hacker più capaci invece sono stimolati solo da sistemi considerati “inviolabili” (*BSD, Solaris, HP/UX, *VMS, IOS, Symbian) e dai protocolli. Di solito scaricano la colpa dei loro attacchi sui SysAdmin (o sui progettisti), in quanto non sono stati capaci di proteggere adeguatamente il sistema (o di progettare/definire in maniera sicura un protocollo o uno standard).
Parlando invece più in dettaglio, è emerso che gli hacker etici sono soliti avvisare il SysAdmin delle vulnerabilità riscontrate nel sistema (o contribuire al fix della security flaw), ma in genere solo dopo averle comunicate agli altri membri dell’underground. È risultato anche che essi non fanno crashare il sistema (se non accidentalmente per inesperienza) e non rubano né cancellano o modificano dati. Il loro scopo è quello di migliorare la sicurezza dei sistemi ed accrescere la consapevolezza e l’attenzione verso tali problematiche da parte dei SysAdmin.
Infine, abbiamo riscontrato l’esistenza di una nuova categoria, quella degli “hacker militari”. Si tratta in genere di ex hacker d’elite, che vengono assunti in modo permanente dalla singola Forza Armata, in vista di possibili futuri scenari di information warfare (gli esempi della Guerra del Golfo e della Corea del Nord, dell’Iran e dell’Afghanistan insegnano).

Che cosa vi ha sorpreso?

[S.D.] Prima di conoscere Raoul e di occuparmi del progetto HPP, l’unica idea che mi ero fatta degli hacker era quella filtrata dalle pagine dei giornali, che li descrivono e li identificano perlopiù con coloro che scrivono e diffondono virus su Internet o che rubano i codici delle carte di credito online. In realtà il mondo hacker è molto più complesso di quello che si possa credere e, secondo noi, merita uno studio più analitico e approfondito di quanto non sia stato fatto fino ad ora.
Sono rimasta infatti sorpresa dall’estrema varietà delle persone che popolano l’underground, dalla diversità di motivazioni che li spingono ad agire, dalle differenti tecniche di attacco impiegate, dal fatto che la maggior parte di essi condivide la cd. etica hacker, che non tutti hanno fini criminali. La categoria che più ha attirato la mia attenzione è stata quella degli ethical hacker, i quali spesso contattano l’amministratore del sistema violato per avvisarlo delle vulnerabilità identificate e sfruttate nel corso della loro incursione, arrivando a volte ad eliminarle essi stessi. Questo, al di là di ogni considerazione proprietaria del sistema, e al di là del fatto che l’accesso abusivo ad un sistema informatico o telematico resta pur sempre un reato (art. 615 ter c.p. docet), dimostra un vero amore per la tecnologia e per il sistema posseduto.

Vi aspettate che l’HPP cambi il modo di vedere l’underground hacker?

[R.C. – S.D.] Ci aspettiamo che cambi il modo di vedere la realtà in genere, in maniera più critica, curiosa ed obiettiva. Ogni fenomeno sociale e antropologico è infatti un fenomeno complesso, proprio perché l’analisi della moltitudine parte da quella del singolo individuo che la compone. Ogni essere umano è unico nel suo genere, così lo è ogni hacker. Sarebbe pertanto sbagliato pensare che tutti gli hacker siano uguali, come molti hanno spesso affermato in passato ed in ricerche analoghe.
Il bianco e il nero non esistono in questo campo. Esistono diverse sfumature di grigio, utili da conoscere non solo per gli “addetti ai lavori” ma anche ai profani della materia, curiosi di conoscere un pò più da vicino i diversi cittadini di quella realtà parallela che è il mondo underground.

HPP è un progetto sostenuto da ISECOM (Institute for Security and Open Methodologies), l’organizzazione no-profit attorno alla quale sono concentrati studi e riflessioni innovative in materia di sicurezza informatica. Esistono altri progetti che ritenete utile segnalare ai nostri lettori, anche a chi si avvicina a queste problematiche per curiosità personale e senza una preparazione specifica?

[R.C.] Il progetto principale e più famoso dell’ISECOM è l’OSSTMM (Open Source Security Testing Methodology Manual), una metodologia libera, gratuita ed internazionale, la quale fornisce le linee guide per l’esecuzione di verifiche di sicurezza informatica a 360° presso infrastrutture IT ed ICT. Nato nel 1999, l’OSSTMM è ad oggi la metodologia di riferimento standard per l’esecuzione dei test di sicurezza (Penetration Test), si interfaccia con le più riconosciute metodologie di Risk Analysis (CRAMM, COBIT, ecc..) e con gli standard internazionali (ISO17799/BS7799, ISO27001, GAO, FISCAM, SOAX, PCI).

[S.D.] Un progetto che mi sta a cuore menzionare è quello di ISECOM chiamato Hacker Highschool. Lungi da ogni connotazione negativa del termine hacker, si tratta di un lodevole progetto volto a incanalare la normale curiosità per la tecnologia dei teenager verso le strade della cultura informatica, di un comportamento responsabile e della legalità, fornendo loro una base di informazioni che gli consenta di sviluppare abilità informatiche di base che vengono a costituire una sorta di trampolino di lancio verso una eventuale futura carriera nel settore della sicurezza informatica o, più semplicemente, per un uso sicuro ed esperto del computer e delle reti informatiche, prima tra tutte Internet. Si tratta in poche parole di un progetto che vuole insegnare la vera cultura hacker, quella nata al MIT (Massachussetts Institute of Technology) nei lontani anni ’50, basata sull’amore per la tecnologia e la conoscenza in genere, la quale non ha nulla a che vedere con la violazione delle leggi, anzi!