La minaccia cyber: il futuro del cyber (il Cyberfuturo?) di Raoul Chiesa Presidente, Socio Fondatore, Security Brokers ***

Transcript

1 La minaccia cyber: il futuro del cyber (il Cyberfuturo?) di Raoul Chiesa Presidente, Socio Fondatore, Security Brokers *** 1. INTRODUZIONE: MOTIVAZIONI E SCENARI 1

2 Se avessi parlato di termini quali Information Warfare, CyberWar e Cyber-Weapons anche solo dieci anni fa, i lettori avrebbero strabuzzato gli occhi. Questo semplicemente perché, se da un lato gli scenari di cui andremo a parlare in questo mio contributo hanno subito drastiche evoluzioni nel corso degli ultimi anni, dall altro lato le prospettive e le motivazioni degli attaccanti sono anch esse variate. La chiave di lettura di tutto ciò va individuata in un cambio epocale, proprio dell inizio del secolo scorso, e delle conseguenze causate dell evento che ha cambiato la storia e la geopolitica mondiale: gli attacchi dell 11 Settembre E infatti proprio in seguito agli attacchi terroristici alle Torri Gemelle se il mondo dell Intelligence gli USA in prima linea ha visto un notevole aumento del proprio interesse verso le tematiche Cyber, sino ad arrivare alla recenti dichiarazioni del Pentagono e delle principali Agenzie a tre lettere degli Stati Uniti d America, dove tutte sono scese in campo in quella che viene descritta come la guerra del futuro. Come se non bastasse, proprio in questi mesi il mondo sta assistendo a quella che mi sento di definire la prima, vera, guerra combattuta sul fronte cyber, l Ucraina. La storia che ha portato alle attuali evoluzioni è però lunga e complicata. Ricordo perfettamente quando, in sordina, alcuni 2

3 amici hacker (etici, ci tengo a sottolinearlo) di diverse nazioni iniziarono a contattarmi per chiedere un confronto, com è norma in quel delicato ed interessantissimo ecosistema che è l underground digitale ed il sottobosco hacking. Iniziai a ricevere - rigorosamente cifrate - da amici di lunga data i quali, senza tanti giri di parole, mi domandavano più o meno tutti la stessa cosa: Raoul, sei stato contattato anche tu da questa Agenzia?. In effetti, in quel periodo quasi tutte le agenzie USA stavano lanciando una campagna di acquisto verso gli hacker ritenuti più elite e le richieste ricorrenti erano bene o male sempre le stesse: effettuare azioni di hacking per infiltrazioni nella rete di Al Qaeda, in Iran, Pakistan ed alcuni altri Paesi.; rivendere 0-days e vulnerabilità non note; ottenere informazioni su hacker cinesi (escalation nel periodo ); formare personale operativo per attività di ethical hacking e counter-hacking. Negli anni immediatamente successivi, le Agenzie di Intelligence e i referenti militari di nazioni quali USA, Canada, UK, Francia, Israele, India, Pakistan, Malesia, Corea del Sud, Australia, si sono focalizzate in gran parte sul c.d. Information Warfare da un lato, e sulla difesa del patrimonio (know-how) nazionale. 3

4 In ultimo, nel periodo marzo-maggio del 2010 partecipai all audizione al COPASIR (Relazione sulla Cyber Sicurezza e la Difesa delle Infrastrutture Critiche) e nel corso del 2009 e del 2010, aziendalmente, al Cyber Shot, ovverosia una cyber-simulazione interforze di attacchi informatici. Su altri fronti, la NATO lanciò la Cyber Coalition ed il programma CyberDefense 2010, mentre la Svizzera opera con centri quali il MELANI e l evento Swiss Cyber Storm. Lo scenario odierno è quindi diventato un mix, sapientemente dosato, che sembra trarre ispirazione da film cult per il mondo cyber quali Wargames, Hackers (1 e 2), Die Hard (specialmente il 4) e Codice Swordfish, ma anche da romanzi di Tom Clancy, Ken Follet e John Le Carrè. Oggi, infatti, le Agenzie di Intelligence stanno, di fatto, utilizzando elite hackers al fine di: Acquistare e/o sviluppare 0-days; Lanciare attacchi contro terroristi - o sospetti tali; Proteggere la Sicurezza Nazionale; Informare e formare il personale civile e militare. In questo scenario, gli hacker diventano una sorta di ambasciatori elettronici e consulenti di e-strategy verso i mondi.mil e.gov, 4

5 piuttosto che e-mercenaries (mercenari elettronici) che formano esoldiers (i soldati di domani). Questo contesto, forte dei più e meno recenti cambi geo-politici (dalla caduta del Muro di Berlino al disallineamento della Cortina di Ferro, per giungere sino ai recentissimi stravolgimenti nel Nord Africa ed in tutta l area del GCC quindi i Paesi del Golfo), sommato ai radicali cambiamenti nella c.d. Information Society, che impattano sulle Infrastrutture Critiche e sulla stabilità e sicurezza nazionale, hanno reso la figura dell hacker già mitologica di per sè, per alcuni aspetti una delle più controverse di questo inizio di secolo. Gruppi come gli Anonymous Team sono riusciti a destabilizzare realtà come HBGary (uno dei maggiori Defense & Intelligence contractor USA), a violare realtà quali la RSA (l azienda che fornisce i token elettronici che, per esempio, molte banche italiane distribuiscono ai propri clienti per le transazioni e-banking, ma che sono utilizzati anche come credenziali di accesso sicuro da contractor militari e personale governativo) ed a creare un clima di totale sfiducia ed intrinseca insicurezza, che certamente non giova alla moderna società, né tantomeno si sposa con la direzione che il mondo attuale sta intraprendendo. Se è vero che paesi quali la Russia e l Ucraina sono, ad oggi, tra le nazioni più prolifiche in termini di creazione di strumenti per il Cybercrime, è allora sintomatica l affermazione che il Deputato 5

6 Nikolai Kuryanovich, alto responsabile e portavoce del DUMA 1, fece nel 2007 e che riporto qui di seguito nella sua traduzione ufficiale in lingua inglese. "In the very near future many conflicts will not take place on the open field of battle, but rather in spaces on the Internet, fought with the aid of information soldiers, that is hackers. This means that a small force of hackers is stronger than the multithousand force of the current armed forces. Ritengo che le parole sopra riportate abbiano un significato davvero profondo e che rappresentino un segno dei tempi che stanno cambiando. O forse, dato l anno in cui furono pronunciate, dovrei dire dei tempi che sono cambiati. Prima di addentrarci nelle successive sezioni, è bene comprendere le ragioni alla base del mio contributo a questa pubblicazione e i motivi per cui affermo, da svariati anni, quanto sia importante osservare, analizzare e comprendere il fenomeno del Cybercrime, per potere comprendere appieno le potenzialità di terminologie quali l Information Warfare e la CyberWar. 1 DUMA: La Duma di Stato in Russia rappresenta la Camera Bassa dell Assemblea Federale, mentre la Camera Alta è il Consiglio Federale della Russia. Con la costituzione russa del 1993, ci sono 450 deputati nella Duma di Stato (articolo 95), ognuno eletto per un mandato di quattro anni. 6

7 Il Furto di Identità può creare instabilità in una nazione, anche a livello finanziario. Ed il Furto di Identità implica, forzatamente, l utilizzo del Cybercrime. Il Cybercrime, a sua volta, è spesso collegato all utilizzo di Botnet 2, le quali hanno avuto un incremento considerevole negli ultimi anni (e sempre più giocheranno un ruolo importante, sino a quando concetti e tecnicismi quali il Secure DNS non diverranno uno standard defacto, realmente utilizzato dagli ISP, unitamente ad una reale collaborazione tra il settore privato, il Governo e le Agenzie di Intelligence, come già avviene con successo in altri Paesi). Le Botnet unitamente ad altri strumenti saranno quindi le prossime Digital Weapons, le armi digitali con le quali si combatteranno le guerre del futuro. Ecco perché è necessario che tutti noi osserviamo e analizziamo nuovi scenari imparando però anche dalla storia. Molto spesso, infatti, quando parlo con persone non del settore, l idea generale che loro hanno di questi argomenti è che siano totalmente nuovi, recenti, e che nulla di simile si sia mai visto prima: questo rappresenta un assunto errato, come la storia ci dimostra. La tabella di seguito riportata riassume alcuni dei principali incidenti informatici accaduti negli ultimi 30 anni: come si può vedere, non 2 Botnet: letteralmente, Robot-Networks, ovverosia una rete di personal computer e server contagiati, i quali sono sotto il pieno controllo dell attaccante. Da una Botnet è possibile lanciare attacchi DDoS (Distributed Denial of Service), ma anche intercettare credenziali di accesso per E-banking, reti dati aziendali e così via. 7

8 tutti sono casi recenti. Questo significa che l Information Warfare ed in alcuni casi la CyberWar decisamente non sono concetti recenti. * 1982 Esplosione di 3 kilotoni in Siberia computer code aggiunto (Amministrazione Reagan) in seguito alla scoperta da parte della CIA di spie russe in Canada, le quali avevano accesso al software di gestione di oil pipelines. * 1988 CCC (Chaos Computer Club) & KGB Hagbard & Pengo spionaggio militare via X25 / modem. In questo caso, il KGB pagò due hacker tedeschi, Hagbard e Pengo, per effettuare azioni di spionaggio governativo e militare verso defense contractor e centri di ricerca militare statunitensi. Hagbard fu ritrovato impiccato ad un albero in una foresta fuori Amburgo cosparso di benzina e bruciato vivo. * 2007 Estonia DDoS, toolkit per cyber crime. E questa la prima volta in cui, ufficialmente, vengono lanciati attacchi informatici contro una nazione, al fine di destabilizzarla e creare scompiglio e panico verso i suoi cittadini. * 2008 Georgia BlackEnergy (DDoS, furto di informazioni finanziarie). La stessa cosa avviene poi in Georgia, questa volta sommando agli attacchi a Negazione Distribuita di Servizio (DDoS) anche la botnet BlackEnergy, la quale carpisce informazioni finanziarie (login bancari, etc), le quali vengono poi rivenduta nel black-market digitale. 8

9 * 2010 Google/Cina: Operation Aurora. E probabilmente la più grande operazione di spionaggio, civile e militare, mai vista prima. * 2010 Stuxnet Worm focalizzato, sabotaggio (centrali nucleari in Iran e Pakistan). Stuxnet ha rappresentato una pietra miliare nel campo dell Information Warfare. Nonostante non siano a tutt oggi noti i mandatari (ma i sospetti si annidano verso gli USA e Israele, con possibili collaborazioni da parte di malware factories sparse tra l Ucraina e la Russia), Stuxnet ha reso possibile un pesante rallentamento nello sviluppo del programma nucleare iraniano. Come sono solito spiegare quando mi viene chiesto di illustrare il concetto alla base di Stuxnet, quanti soldati, missili e carri armati sarebbero stati necessari per ottenere lo stesso risultato?. Non contando i possibili morti che, in questo caso, ovviamente, non ci sono stati, essendosi il tutto tradotto in un attacco digitale. * 2010/2011 Ipotesi di attacchi mirati (data la non ufficialità della notizia) via SMS-OTA, ovverosia SMS inviati Overthe-Air verso piattaforme cellulari Symbian (telefoni Nokia) da Israele verso il Libano, unitamente ad azioni di corruzione del personale tecnico presso i due principali operatori mobili del paese (NOV 2010/FEB 2011, fonti OSINT). * : hacking verso gli operatori mobili dell Ucraina d aparte di Attori sponsorizzati da Governi e da Agenzie di 9

10 Intelligence; diversi gruppi di hacktivism lanciano attacchi verso istituzioni russe ed ucraine. Chiariti gli scenari nei quali questi approcci non convenzionali si posizionano, passiamo ora ad analizzare le terminologie proprie di questo delicato settore. 10

11 2. TERMINOLOGIE Prima di tutto, è di estrema importanza fare una chiara distinzione tra cybercrime e cyberwar. I due termini sono infatti pienamente distinti anche se, al loro interno, hanno qualcosa di importante in comune. Il cybercrime è, in una parola, il termine utilizzato per identificare quei crimini commessi con il supporto dell Information Technology e delle telecomunicazioni. Degli esempi comuni di cybercrime includono il phishing, gli attacchi DDoS (Distributed Denial of Service), le estorsioni online, la pedo-pornografia digitale, le truffe online, il furto di identità. La cyberwar è un mix di queste azioni dove, appoggiandosi ad attività di tipo cyber, si intende portare degli attacchi intenzionali verso altri paesi. Questi attacchi possono essere sponsorizzati da altri stati (State-sponsored attacks) ma anche condotti a titolo personale, con motivazioni che vanno dal politico al religioso, sino all attivismo (Hacktivism, come abbiamo imparato proprio grazie alle molteplici ed eclatanti azioni dell Anonymous Team). E importante poi rilevare come il termine stesso cyberwar sia assolutamente nuovo e, spesso venga utilizzato - vorrei dire abusato - in maniera estremamente varia, parlando di guerra informatica. Per chiarirsi veramente le idee consiglio un libro eccellente sull argomento, che è quello di Jeffrey Carr e si intitola Inside Cyber Warfare. Un secondo libro, completamente incentrato sul cybercrime, è quello di Joseph Menn: Fatal System Error: the Hunt for the New Crime Lords who are bringing down the Internet, pubblicato nel febbraio 2010, e Kingpin di Kevin Poulsen pubblicato dai tipi di Hoepli. Attorno a questi due elementi (il cybercrime e la cyberwar) possiamo ritrovare vecchie tecniche come lo Spionaggio Industriale, anche se oggi quest ultimo è condotto principalmente attraverso procedure di 11

12 hacking comunque basate sulla tecnologia ICT, sommato al c.d. Social Engineering (Ingegneria Sociale). Quello che mi preme sottolineare è che ogni volta che osserviamo un attacco online, questo può essere sia un azione di cybercrime (ad esempio un furto massivo di identità realizzato via Facebook, oppure un attacco di phishing verso degli utenti di qualche servizio di commercio elettronico, o un trojan in grado di rubare le credenziali di acceso a un sito di una banca), sia un atto di cyberwar, o anche un tentativo di spionaggio industriale. Per dare ai lettori un semplice, ma famoso, esempio, gli attacchi che recentemente la Cina ha lanciato contro Google (Giugno 2011) sarebbero meglio classificabili come Spionaggio Industriale mentre un titolo China hacking US Government and Military resources rientrerebbe in maniera decisamente più appropriata sotto la voce cyberwar. Cos è quindi il Cybercrime? Una corretta definizione del termine Cybercrime è la seguente: Effettuare azioni criminali, utilizzando asset di tipo IT e TLC, con lo scopo di acquisire illegalmente informazioni e tramutarle in denaro. Esempi: Furto di Identità (Informazioni personali) Furto di Identità Finanziaria (inormazioni finanziarie: login di e-banking, CC/CVV, etc) Hacking verso siti di e-commerce, e-banking, Credit Card Processing Centers Malware (Virus, Worm, Spyware, Key Loggers, Rogue AV, Botnets, Mobile) 12

13 Hacking su commissione DDoS attacks (ricatto, conosciuto in gergo come blackmail.) Spam Contraffazione di beni (medicinali, beni di lusso, prodotti e servizi) Siti di scommesse (non autorizzati dalle Autorità nazionali) Porno generico (siti finti, etc) Pornografia minorile ed infantile Cos è l Information Warfare? Molto semplicemente, stiamo parlando della c.d. Warfare, applicata al cyberspace. Difendere le reti d informazione e di comunicazione, agendo come deterrente verso gli information attacks, non permettendo nel contempo al nemico di fare lo stesso. Stiamo quindi parlando di Offensive Information Operations, costruite contro un avversario, sino ad essere in grado di dominare l informazione durante un contesto di guerra. Per rendere maggiormente l idea dei fortissimi legami esistenti tra il Cybercrime e quindi le azioni criminose sopra riportate) e l Information Warfare, il seguente grafico riporta una sorta di analogia tra le c.d. armi convenzionali, storicamente utilizzate dagli eserciti di tutto il mondo e rappresentate da icone (il soldato, il 13

14 fungo nucleare e così via) e le armi digitali del futuro le quali, però, già oggi sono utilizzate in contesti di guerra delle informazioni. Information Warfare: perché? I motivi dell Information Warfare sono tutto sommato semplici e lampanti. Innanzitutto, è uno scenario di guerra veramente nuovo e dinamico, dove le metriche e le visioni ad oggi utilizzate dai militari sono improvvisamente divenute obsolete. 14

15 Inoltre, tipicamente, queste operazioni sono decentralizzate ed anonime: questo significa una rottura della classica visione della Catena di Comando, dove la visione dell attacco, seppur centrica, è invece demandata a squadre di incursione speciali, e dove è l exploit a fare la reale differenza, sommato ad operazioni di Intelligence sul campo, seppur di sponda. Infine, il costo di ingresso è estremamente basso, fornendo nel contempo una grande potenza di fuoco. E, dopo tutto, c è sempre la possibilità di negare ciò che è avvenuto (l Estonia e la Georgia ne sono esempi concreti, ma anche quello che sta accadendo oggi in Ucraina). Gli attori Un altra interessante visione dell argomento cyber* è rappresentato dal mondo dell hacking e dall approccio che questo universo può fornire in ambito operativo. Laddove una volta ci si esprimeva con il termine generico di hackers, oggigiorno il mondo dell Intelligence ha perfettamente compreso come questo universo sia in realtà rappresentato da differenti attori, ognuno dei quali rispecchia profili, motivazioni, obiettivi e modus operandi totalmente differenti. La seguente tabella, frutto degli oltre otto anni di ricerca del progetto HPP (The Hacker s Profiling Project) portato avanti dall istituto di ricerca delle Nazioni Unite UNICRI (United Nations Interregional 15

16 Crime and Justice Research Institute, e dall ISECOM (Institute for Security and Open Methodologies, rappresenta l odierno stato dell arte nella comprensione, individuazione e profilazione dei moderni agenti di minaccia. 16

17 Correva l anno 2004 A conclusione di questa sezione, ritengo importante portare un (ottimo) esempio di analisi delle capacità di cyberwarfare di nazioni quali la Cina, l India, l Iran, la Corea del Nord, il Pakistan e la Russia. Come possiamo infatti vedere dalla tabella di seguito riportata, è stata analizzata l effettiva esistenza - per ognuna di queste nazioni - di utilizzare una dottrina del cyberwarfare, la formazione sul campo, esercizi e simulazioni di cyberwarfare (esattamente come ha iniziato a fare l Italia grazie all esperimento Cybershot), la collaborazione con l industria IT ed i centri accademici (pensiamo alla Cina come esempio, ed all Università Shangaj Jiao Tong ma, soprattutto, al China National Anti-Intrusion and Virus Research Center), l esistenza o meno di una IT Road Map (che l Italia non ha), la creazione delle c.d. Cyber warfare Units ed, infine, la registrazione ed analisi di azioni di hacking da parte di altre nazioni. Il fattore sconvolgente, se vogliamo, di questa analisi, è che è stata eseguita nel dicembre del Qual è l effettivo, reale, comprovato sul campo, livello ad oggi esistente, agli inizi del 2015? Nessuno lo sa: questa la triste risposta. 17

18 Alcuni mesi fa, insieme all amico Jart Armin 3, dopo un corso di formazione che ci vedeva docenti presso una base militare interforze europea, al termine di una piacevole cena abbiamo aperto i notebook ed abbiamo stilato un elenco di quei Paesi con concrete, dichiarate e note capacità di Cyber-Weapons, ovverosia della produzione ed utilizzo di armi elettroniche

19 Nella seconda colonna abbiamo poi steso le attività specifiche che, secondo noi e sulla base delle nostre esperienze personali, questi Paesi sono in grado di erogare. Non affermiamo certo che il risultato a cui siamo giunti sia esaustivo, o preciso al 100% ma, sicuramente, non ci discostiamo di molto dalla realtà. Infine, volendo continuare nell analisi dei profili degli agenti di minaccia, spostandoci però dal mondo del Cybercrime a quello dell Information Warfare, il seguente grafico dovrebbe rendere sufficientemente l idea degli argomenti e degli attori di cui stiamo parlando. 19

20 20

21 3. ATTACCO Una concreta definizione di Cyber-Attack è la seguente: La compromissione di obiettivi senza la loro distruzione o rottura, piuttosto che mediante azioni coperte, con lo scopo di ottenere accesso alle informazioni o la loro modifica o, ancora, la preparazione di detto accesso all obiettivo per utilizzi futuri quali exploiting o attacco informatico. Ne possiamo quindi evincere che un serio cyber-attacco è praticamente inevitabile ed accade grazie ad una combinazione di tempi e scenari tecnologici, questi ultimi influenzati dalla disponibilità o meno di vulnerabilità specifiche per il target a cui si sta mirando. Una seconda conseguenza di questo ragionamento è che i cyberattacchi dovrebbero trovare una risposta militare. Attaccanti informatici o terroristi potrebbero ottenere accesso ai controlli digitali delle utility nazionali della Repubblica Italiana, quali le smart-grid, i sistemi di controllo del traffico aereo e le centrali energetiche, le società di telefonia e le banche. Ritornando invece al concetto di hacker e di comunità hacking nazionali, nel 2010 il Prof. Csaba Krasznay, ungherese operante presso la società HP, presentò un interessantissima analisi alla conferenza hacker Hacktivity dal titolo Hackers in the National Cyber Security. Riassumo di seguito i principali passi e concetti del suo studio, il cui obiettivo certamente provocatorio, ma non molto distante da come personalmente ritengo si evolveranno effettivamente le cose è ipotizzare un utilizzo da parte dei Governi di hacker-patriottici, a supporto della Forza Militare della Nazione. a) Cosa c è di nuovo per i Paesi Membri? 21

22 Problemi speciali : Governi impreparati Cambio delle forze armate (Patto di Varsavia -> NATO) I sistemi IT e le reti di comunicazione non hanno una lunga storia alle spalle negli ambienti governativi e militari No-budget per questo tipo di warfare non-convenzionale Potere irresistibile : Conflitti Estonia-Russia, Georgia-Russia NATO Cooperative Cyber Defence (CCD) Centre of Excellence (COE) a Tallinn b) Lezioni da imparare: Gli USA hanno miliardi di dollari a disposizione per l hacking: e voi? Fonti ufficiali dicono che anche la Russia e la Cina hanno molti hacker a disposizione: e voi?? Molte nazioni che non hanno (ufficialmente) dei cyberpoliziotti, utilizzano i movimenti giovanili! (India, Pakistan, Corea del Nord, Corea del Sud, etc). c) Cyber-Patriottismo? UK ha lanciato nel 2009 un Piano di Assunzione per hackers, al fine di difendere il Paese ed il know-how nazionale da attacchi informatici. Gli USA acquistano notoriamente dal black-market e dal digital underground anche mediante aziende private quali e-defense, isightpartners, etc 0-days ed exploit non pubblici. La Cina non nasconde certo l utilizzo di risorse underground ed universitarie (Xfocus Team, Shangai Jiao Tong University, China National Anti-Intrusion and 22

23 Virus Research Center) per la creazione di exploit ed operazioni di attacco mirate. L India, tramite il proprio NTRO (Agenzia di Intelligence Informatica), ha varato una legge per la quale, in caso di cyber-attacco, il Governo è autorizzato, tramite il NTRO, a contrattaccare, utilizzando strumenti e tecniche hacking. Anche a causa dei quotidiani web-defacements tra India e Pakistan (tra i 10 ed i 50 circa, al giorno), il governo Indiano in qualche modo autorizza gli hacker indiani ad attaccare siti web del Pakistan. Tutto ciò ha creato un forte senso di nazionalismo e cyberpatriottismo nei Paesi sopra elencati. 23

24 d) Hackers come risorsa: riflessioni Se io fossi l ufficiale responsabile: Parteciperei attivamente alle hacker conference (come fanno svariate nazioni: USA, UK, Francia, Russia, Estonia, Germania, Svizzera, Malesia, Cina, Brasile, ) Costruirei l immagine dell Esercito (cyber-release) Otterrei il supporto per mimare il warfare nel cyberspazio Includerei gli hacker patriottici in questo processo 24

25 E mi porrei le seguenti domande: Possiamo fidarci degli hackers? Dove possiamo trovare questi esperti? Come possiamo guadagnare la loro fiducia? Di quanto denaro necessitiamo per la loro co-operazione? Come possiamo collaborare con loro? Cosa possono realmente fare? Come possiamo controllarli? Come detto poc anzi, ritengo a titolo personale che, alla fine, anche il nostro Paese dovrà porsi simili domande ed, ovviamente, darsi delle risposte. La comunità hacker (etica!) italiana è ricca di talenti, che potrebbero trasformarsi in risorse ineguagliabili in contesti di Cyberwar e difesa del know-how nazionale. D altra parte, sono concetti che esprimeva il portavoce del DUMA già nel 2007 e, se analizziamo attentamente le sue parole, si riferiva esattamente a questo: l utilizzo degli hacker come risorsa nazionale di cyber-difesa e di cyber-attacco. 25

26 4. PROTEZIONE Esattamente come per l attacco, la protezione e la difesa vanno sotto il nome di Cyber-Defense. Una mera difesa-post, però, pone rischi significativi: Se applichiamo il principio del warfare al cyber-domain, la difesa di una nazione è servita al meglio qualora si applichino azioni che abilitino a combattere gli avversari e, ove necessario, al rispondere con azioni di counter-attack. Nel warfare, la nozione del counter-attack è estremamente potente, per svariate implicazioni. E infatti grazie all analisi delle armi digitali che ci hanno attaccato medianti azioni di Reverse Engineering che si possono cogliere tracce utili al fine dell identificazione della nazione attaccante, o del gruppo terroristico o, ancora, del team di sviluppo software. Proprio grazie ad approcci simili è infatti stato possibile teorizzare chi si celasse dietro il worm Stuxnet lanciato contro l Iran. Il seguente schema, incentrato sulla metodologia di Cyber-Attack, se applicato correttamente (dalla fase 4 alla 2), può aiutare nell eseguire quanto descritto nei due punti precedenti. 26

27 A questo punto diventa quindi essenziale definire strategie e tattiche di difesa: di seguito riporto quelli che per me sono i tre principali approcci, per i quali fornisco una dicitura, una breve spiegazione ed il relativo punto debole. 1. Reactive behaviour (Comportamento reattivo). Si reagisce puntualmente con la risposta appropriata, aumentando il livello di awareness sulle debolezze individuate. All inizio, vi saranno sempre e comunque molteplici successful penetrations. 2. Planned behaviour (Comportamento pianificato). Si adotta un Piano di Sicurezza propriamente progettato al meglio ed implementato correttamente. Il Piano non può coprire tutti gli scenari. 3. Proactive behaviour (Comportamento proattivo). Ci si concentra dell identificazione e nella copertura delle proprie, potenziali, vulnerabilità. Necessità di personale tecnico altamente capace e preparato e di sistemi di sicurezza molto snelli installati in loco. Concludendo questa sezione sulla protezione, riporto infine i punti focali del Cyber-Warfare, quelli che sono per me i perni principali, i focal-point sui quali è assolutamente necessario operare. 27

28 1. Collaborazione Necessità di una EU Security Clearing House: un ambiente trusted dove scambiarsi informazioni e segnalazioni in tempo reale, arrivando sino al Reverse-Engineering delle armi digitali raccolte (in seguito ad un attacco o grazie al network di segnalazione). 2. Information & Data sharing Necessità di una nuova entità per la Sicurezza Nazionale delle Informazioni, che si interfacci con le infrastrutture ad oggi esistenti, ottimizzando ed accentrando il Rilevamento, la Gestione e la Risposta ad attacchi ed incidenti informatici di rilevante impatto per il Sistema Paese. 3. Attribuzione della fonte E il problema più complesso e richiede forzatamente azioni di Intelligence, Reverse Engineering del software utilizzato per l attacco e, nella quasi totalità dei casi, azioni di contro-attacco (oltre a Collaborazione ed Information & Data Sharing). 28

29 5. CONCLUSIONI Come i lettori avranno notato, non essendo questa pubblicazione totalmente incentrata sulle tattiche di cyberwar, non ho ritenuto utile scendere nel dettaglio o dilungarmi su argomenti, visioni e approcci specifici. Ciò nonostante, riporto i cinque punti seguenti come degli elementi sui quali riflettere attentamente, per non trovarci impreparati alle guerre del domani. Le quali, per inciso, sono già iniziate da molto tempo. i. Il Governo deve comprendere quanto i sistemi informatici giochino un ruolo saliente nella difesa della nazione. L avere sistemi non adeguatamente messi in sicurezza equivale ad esporre il fianco all avversario. ii. Attuare azioni di difesa è spesso molto più difficile che effettuare azioni offensive. Questa logica cambierà giocoforza il modo di valutare l approccio nazionale alla guerra elettronica. iii. I c.d. Patrioti informatici possono essere un opportunità per difendere il Paese da spie, terroristi ed altri criminali, 29

30 essendo sempre un passo avanti nel delicato e complicato mondo dell Information Security e dell Hacking. iv. La comunità hacker nazionale può essere un prezioso alleato, e si deve fare attenzione a ciò che sta accadendo là fuori. Nel mondo intero, quasi a cadenza settimanale, si tengono hacking conferences, oramai non più riservate alla ristretta cerchia degli hacker, ma frequentate dal mondo dell industria, della finanza, delle telecomunicazioni e dell Information Technology, oltre che da personale governativo e militare di svariati paesi. Chi scrive ne è un assiduo frequentatore, dedicando quasi la metà del proprio tempo a questi eventi. Spesso, molto spesso, sono l unico italiano presente. Eppure in questi eventi vengono illustrate le vulnerabilità in crescita e quelle in arrivo ; partecipando, analizzando e studiando quanto emerge da queste conferenze di settore, è possibile prevedere i trend di attacco e comprendere quali aree e settori del nostro Paese sono maggiormente a rischio. La proattività, insomma, dovrebbe essere la chiave di lettura da utilizzare, per vincere questa nuova sfida. 30

31 * Raoul "Nobody" Chiesa (OPST, OPSA, OSSTMM ISECOM Trainer) Raoul Chiesa, classe 1973, scopre il mondo delle TLC del 1986 ed inizia ad operare professionalmente nel settore dell'ict Security dal Primo ethical hacker italiano, è noto in tutto il mondo per il suo operato e profonda conoscenza sul campo di questi delicati temi. Nel 2000 Raoul viene chiamato dal Prof. Danilo Bruschi come socio fondatore del CLUSIT, Associazione Italiana per la Sicurezza Informatica, e da quell'anno è membro del Comitato Direttivo. Autore di diverse pubblicazioni e seminari per l'associazione, Raoul è spesso relatore in eventi nazionali ed internazionali di alto richiamo, così come per diverse istituzioni (Intepol, NATO, etc..). Dal 2003 è referente per il Sud Europa e l'africa di TSTF.net (Telecom Security Task Force), dove opera con Emmanuel Gadaix, Philippe Langlois e Stavroula "Venix" Ventouri; è inoltre membro del Board of Directors dell'isecom (Institute for Security and Open Methodologies). Dal 2003 Raoul ha iniziato la sua collaborazione con l'agenzia delle Nazioni Unite "UNICRI" (United Nations Interregional Crime and Justice Research Institute), lavorando al progetto "HPP", l'hackers Profiling Project portato avanti dall'isecom e dall'unicri; nel 2005 è stato ufficialmente riconosciuto dal Direttore dell'unicri, come consulente sul cybercrime; oggi il suo ruolo come consulente esterno di UNICRI è quello di "Senior Advisor, Strategic Alliances 31