Prima del 24 febbraio scorso, difficilmente qualcuno sarebbe riuscito a immaginare una guerra in Europa orientale. Una guerra, per certi versi, capace di rievocare modus operandi del passato, ma per altri, in grado di sfruttare le più moderne armi cibernetiche. Del resto, è sempre stato così: la tecnologia plasma le società, cambia il modo di condurre i conflitti, di combattere le guerre: sulla terra, in mare, in cielo, nello spazio, ed ora nel cyber-spazio.
Lo ricorda a Helsinki, nel proprio intervento all’evento Sphere 2022, i primi di giugno, Mikko Hyppönen, Chief Research Officer di WithSecure (foto in apertura), nonché esperto di sicurezza noto a livello internazionale. In paragone agli armamenti convenzionali, le cyber-armi funzionano bene perché sono “effective, affordable, deniable” sottolinea Hyppönen.
Sono efficaci, convenienti, e, soprattutto, si può negare di possederle, di averle usate per attuare un attacco. Quindi, ciò che sarebbe molto arduo compiere sul terreno con armi fisiche diventa magicamente attuabile con gli strumenti della guerra cibernetica.
Dualità tecnologica
Incontrando la stampa a Milano, Hyppönen ritorna sul tema “cyber arms race” e parla a tutto campo, riportando alla memoria decenni di evoluzione informatica, e pietre miliari della tecnologia. Dopo un lunghissimo tempo in cui l’umanità ha conosciuto e vissuto solo nel mondo fisico, ricorda, “noi passeremo alla storia come le prime generazioni esistite anche online”.
“Il lato migliore di Internet è che ha portato molti benefici: molti più nuovi business, molta più connettività, molte più nuove forme d’intrattenimento. Lo svantaggio è che ha generato anche tutte queste nuove forme di crimine, tutti questi nuovi rischi per la privacy”. Allo stesso modo, sui social network, forum e gruppi di discussione aprono possibilità di condivisione di idee, ma permettono anche l’aggregazione di comunità in cui si propagandano attacchi terroristici, sparatorie scolastiche, pratiche di suicidio e quant’altro.
Un altro esempio di dualità della tecnologia è il “Tor Hidden Service”, inizialmente creato per usi benefici, come combattere la censura a cui è soggetto chi vive in stati con regimi totalitari e consentirgli di preservare la propria privacy, quando naviga o comunica in rete. Oggi, però, Tor è perlopiù usato per scopi malevoli: “La maggioranza dei contenuti sul servizio nascosto Tor è costituita da servizi criminali, condivisione e vendita di contenuti illegali, informazioni rubate, vendita e acquisto di droghe, vendita e acquisto di pistole”.
Uso lecito o criminale
Gli esempi continuano, per chiarire come una tecnologia creata a fin di bene possa trasformarsi in una cyber-arma. Hyppönen cita le criptovalute. “Bitcoin è piuttosto comune e usato per investimenti. Ma prendiamo Monero, o Zcash. Lavoro in questo settore da sempre e non ho mai visto Monero usato per qualcosa di buono. Con Monero, è davvero difficile trovare chi paga cosa. E, veramente, vedo che Monero, pur essendo utilizzabile per fini leciti, è usato realmente solo dai criminali”.
Altra tecnologia utilizzabile per scopi malevoli è la “strong unbreakable encryption”, sviluppata per proteggere, tra le varie cose, siti web e transazioni online. “Questo è il lato buono, lo svantaggio è che anche i criminali possono sfruttare questa sicurezza. I terroristi possono pianificare attacchi usando la strong encryption, e le agenzie e autorità governative non possono vedere di cosa stanno parlando.
E anche se odiamo lo svantaggio della crittografia “forte”, non possiamo ‘disinventarla’ o buttarla. L’unica cosa che possiamo fare è cercare di restringere, legalmente, l’uso di simili tecnologie”. I criminali però, aggiunge Hyppönen, infrangono le leggi, quindi, le limitazioni sull’uso della strong encryption verrebbero osservate solo dagli onesti, che finirebbero per avere meno sicurezza, mentre i criminali godrebbero esattamente dello stesso livello di security di oggi.
Un discorso in un certo senso analogo potrebbe valere per lo spyware Pegasus, una vera e propria arma di cyber-sorveglianza, creata dall’israeliana NSO Group, e legalmente utilizzabile dalle agenzie governative contro criminali e terroristi. In realtà, però, governi autoritari di vari paesi del mondo abusano di Pegasus per monitorare e colpire giornalisti, attivisti, oppositori politici.
Sul cybercrime taglie analoghe a quelle per i terroristi
Guardando in prospettiva, l’aggressività degli attacchi cyber, a livello globale, è accentuata anche dal fatto che, a distanza di cinque anni da quando Hyppönen ha chiamato “cybercrime unicorns” le organizzazioni di criminali informatici che valgono oltre un miliardo di dollari, queste organizzazioni stanno diventando sempre più grandi, e incrementando i loro guadagni.
“In WithSecure tracciamo questi attacchi ogni giorno, osserviamo che tipo di tecnologia gli attaccanti adottano, quali vulnerabilità sfruttano, quale infrastruttura gestiscono, quante persone lavorano per loro. E questi unicorni sono cresciuti sempre, registrando un picco nell’estate 2021”. Un periodo in cui hanno fatto notizia le violazioni di alto profilo subite da società del calibro di Colonial Pipeline, JBS e Kaseya, quest’ultima colpita da un attacco “zero-day”.
“Gli attacchi zero-day hanno fatto notizia diventando più comuni. Di solito sono usati da governi e agenzie di intelligence, ma con Kaseya abbiamo avuto un esempio di come anche i criminali possano utilizzare attacchi zero-day”. La gravità, la portata e i costi di tali attacchi fanno crescere anche l’entità delle taglie offerte dagli stati a chi sia in grado di fornire informazioni che possano condurre all’identificazione, arresto, e/o condanna di tali gruppi criminali. “Gli Stati Uniti offrono la stessa ricompensa riconosciuta per la cattura di terroristi, e ciò fa comprendere quanto seriamente il governo americano prenda la guerra al cyber crimine”.
Come organizzare strategie di difesa
Di fronte a questo complesso scenario di minacce cibernetiche, se si è un’azienda in cerca della corretta strategia di protezione, occorre innanzitutto costruire un identikit del nemico. “Le imprese devono prima capire chi stanno combattendo, perché differenti aziende, organizzazioni, sono state prese di mira da differenti tipi di attaccanti”.
Ci sono aziende che, per la propria attività, non saranno mai un target di governi o agenzie di intelligence, ma potrebbero essere oggetto di spionaggio industriale da parte dei concorrenti. “Ci si deve preoccupare dei criminali online se si sta facendo qualcosa che puo valere denaro per loro, e per molte imprese la risposta a questa domanda è sì”. Una volta identificati i soggetti di cui si può essere bersaglio, e risulta evidente chi si deve combattere, allora si può passare a investire le proprie limitate risorse sugli asset che è cruciale difendere
Hyppönen chiarisce comunque che, nonostante le difese costruite in decenni, attraverso investimenti in gateway, firewall, filtri, antivirus, le imprese non saranno in grado di fermare gli attacchi più duri, quelli perpetrati dai cyber unicorn, o condotti da enti governativi, ma dovranno almeno assicurarsi di essere capaci di rilevare le violazioni.
“Da questo punto di vista, prima con F-Secure e ora in WithSecure, negli ultimi dieci anni, abbiamo costruito soluzioni di visibilità in grado di rivelare cosa sta accadendo nella rete aziendale, nel server, nella workstation, nel dispositivo mobile; cosa sta avvenendo in istanze cloud come Salesforce o Microsoft Office 365”. Una volta acquisita visibilità, e catturata un’istantanea di come appare il normale funzionamento, diventa poi facile identificare comportamenti strani o anomali, e intervenire nei modi più opportuni, conclude l’esperto.
