Un protagonista di cyberwar e la sua verità
1. Apogeonline: Esistono ancora gli script kiddie, i ragazzini che si procurano sul web kit di intrusione per mettersi incoscientemente a giocare alla cyberwar? Il panorama del cybercrimine è cambiato in questi anni?
Jon DiMaggio: Esistono e dispongono di molte risorse che riducono drasticamente il livello capacità necessario per condurre cyberattacchi. Per fortuna le aggressioni di maggior impatto necessitano ancora di conoscenze ed esperienza sopra la media. Il cittadino medio è senza dubbio un bersaglio potenziale per gli script kiddie. Per compromettere un’organizzazione ben difesa servono comunque spesso criminali con accesso a risorse importanti ed esperienza significativa.
Gli script kiddie non vanno sottovalutati. Un cybercriminale piuttosto noto di nome Bassterlod ha cominciato proprio come script kiddie. Residente in una zona dell’Ucraina sotto controllo russo dal 2014, ha abbracciato il cybercrimine per fare fronte alle difficoltà economiche della sua famiglia. Partito letteralmente dal nulla quanto a conoscenza, oggi è uno dei più temuti criminali dediti al ransomware.
2. Nella corsa tra guardie e ladri che è la cyberwar, chi è oggi in testa?
È dura tenere il punteggio quando si legge solo di eventi nei quali ha vinto l’aggressore, i più ambiti dai titolisti. Nonostante questo, dietro le quinte siamo tutti quotidianamente al lavoro (analisti, ricercatori, addetti alla sicurezza) per localizzare, identificare e mitigare gli attacchi. Quando un cacciatore di minacce ne trova una attiva dentro la propria rete, c’è indubitabilmente un momento di gioco tra gatto e topo, o guardia e ladro. È spesso così quando dall’altra parte della tastiera ci sono emissari di nazioni discutibili o bande criminali organizzate, invece di un meno rischioso attacco automatico.
Leggi anche: Digital Forensics: le basi del mestiere
Oggi nelle aziende gli automatismi di sicurezza si occupano da soli delle minacce di basso e medio livello, per riconoscerle e mitigarle. Ci sono però anche minacce più avanzate, affidate a un operatore umano, con un obiettivo specifico, che continuano a manifestarsi e ad aprire nuove falle nei sistemi. Possono essere fermate solo da un difensore umano e in questa gara tra guardia e ladro si sa solo alla fine chi vincerà.
3. Ci sono nazioni molto attive nella cyberwar. Possiamo vedere comportamenti tipici, tracce peculiari, abitudini negli hacker di queste nazioni?
Molti gruppi lasciano marchi ben definiti e si identifica facilmente la nazione che li supporta. Va detto che oggi le nazioni sono ingannatrici e fanno qualsiasi cosa pur di confondere le tracce, che è il motivo dell’importanza dell’attribuzione di cui parlo estesamente nel mio libro. La Corea del Nord è nota per i suoi schemi a scatole… cinesi, usati per rapinare banche. Ma non è certo l’unica. C’è stato un momento in cui era inaudito pensare a un attacco da parte di una nazione per motivazioni finanziarie. Se avessimo mantenuto questo pregiudizio quando la Corea del Nord ha cominciato a prendere di mira le banche, avremmo pensato a a una banda di cybercriminali comuni. Voglio dire che che le impronte e i marchi di fabbrica esistono, ma bisogna esaminare TUTTE le prove ed eseguire un attento assessment di attribuzione prima di puntare il dito con sicurezza.
4. Quanto è stata finora rilevante la cyberwar nel conflitto tra Russia e Ucraina? Hai visto qualche novità in questo campo venire da una delle parti in guerra?
A: La cyberwar è l’arma più rilevante che sia stata usata finora. La Russia ha tentato con metodi da cyberwar di rubare informazioni e degradare risorse ucraine come cibo, acqua, energia e altre infrastrutture critiche. Al tempo stesso, l’Ucraina ha raccolto informazioni di intelligence sul campo e ha preso decisioni in tempo reale sul campo di battaglia proprio grazie alle tecniche di cyberwar.
5. Quali sono le cybernazioni più potenti? E quelle più pericolose?
La classifica cambia continuamente, ma ai primi posti ci sono sempre Stati Uniti e loro alleati, seguiti da Russia, Cina, Iran, Israele e India. Sono tutte pericolose e le loro cyberarmi possono fare più danno di un missile o dei proiettili. Non possono uccidere direttamente un bersaglio, ma possono sopprimere servizi critici per la sopravvivenza di persone o per l’operatività in battaglia.
6. In linea di massima, i governi occidentali sono aggiornati quando si occupano di cyberwar e cybersecurity?
Sì. I notiziari spesso lo ignorano ma, dietro le quinte, specialmente negli Stati Uniti, le iniziative sulla cybersicurezza e lo sviluppo di tecnologie collegate prendono molta attenzione. Il pubblico lo viene a sapere solo quando queste tecnologie compaiono in campo aperto. Se l’Occidente è all’avanguardia nell’attacco, spesso perde punti nelle capacità difensive e così cade vittima di attacchi come succede in qualsiasi altra nazione.
7. Ci sono connessioni tra i cybercriminali con appoggio di uno stato e e i cybercriminali comuni?
Sì, ho scritto un saggio su questo argomento nel 2021, a proposito dell’uso e delle intenzioni di uso di ransomware gang da parte della Russia per contribuire allo sforzo bellico. I russi hanno scelto membri senior della banda, recrutandoli con l’offerta di aiutare il governo al posto di andare in prigione. Che cosa avremmo fatto, al loro posto? Altri esempi consistono nella ransomware gang REvil, che ha collaborato con KillNet, il cyberesercito appoggiato dalla Russia; oppure quando Maksim Yakubets, leader della ransomware gang EvilCorp, joined the ranks of the FSB, il controspionaggio russo.
8. Qual è oggi la cyberminaccia più grave per governi, organizzazioni, individui…?
La minaccia più estesa è il ransomware, usato per fare denaro ma non solo; anche per rubare e distruggere stati in caso di sabotaggio. La sola differenza tra un attacco ransomware e un sabotaggio informatico è la chiave di decifrazione. Senza la chiave, che si può riavere pagando un riscatto, tutti i dati dentro l’ambiente colpito sono senza valore. Certi governi hanno usato il ransomware come una tattica di sabotaggio. Altri si sono ritrovati con intere infrastrutture disabilitata..
9. Quali strumenti danno le maggiori soddisfazioni nell’analisi dei cyberattacchi?
Dipende da qual è l’obiettivo. Se è sconfiggere un malware, allora strumenti come IDA, o persino sandobx come Virus Total e Hatching Triage. Se invece sono in fase di raccolta informazioni, strumenti OSINT come theHarvester or Recon-ng sono il mio pane. Se esamino l’infrastruttura dell’avversario, potrei voler usare Shodan, Censys o Intel-X. Altri giorni mi trovo magari nel Dark Web per infiltrarmi in siti o gruppi hacker underground. In questo caso strumenti come Authentic8, che aiuta a tenermi al sicuro mentre svolgo le mie ricerche e al tempo stesso mi mette in mano ottimi strumenti per l’investigazione, potrebbero essere la cosa migliore. Dipende veramente da che cosa intende realizzare l’operazione in corso; di sicuro, avere lo strumento giusto è essenziale!
10. I sistemi open source sono in qualche misura meno proni a cadere vittima di un attacco, rispetto ai sistemi proprietari?
Non necessariamente. Certo mostrano il codice sorgente e quindi possiamo assicurarci della bontà degli strumenti che stiamo usando. Tuttavia non possiamo farlo per qualsiasi risorsa o strumento. Raccomando di effettuare un audit, o affidarla a una parte indipendente, per validare i tool open source che intendiamo usare con regolarità sul lavoro. Possiamo guardare la dimensione di un file o il suo hash per essere sicuri che non sia stato modificato a nostra insaputa. Alla fine dei conti, bisogna mettere al lavoro il buonsenso.
Ricordiamo che, nel nostro lavoro, essere in sicurezza dovrebbe sempre pesare più della comodità. Se una app o uno strumento ci infastidiscono perché non sono facili da usare, ma sono sicuri, smettiamola di lamentarci e guardiamoci allo specchio: siamo i professionisti della sicurezza, mica gli utenti finali! E ora andiamo a stanare qualche cattivone!
Immagine di apertura di Adi Goldstein su Unsplash.