cyber intelligence e cyber espionage

CyB
CYBER INTELLIGENCE
E CYBER ESPIONAGE
COME CAMBIANO I SERVIZI DI INTELLIGENCE
NELL’ERA DEL CYBER SPAZIO
A NTONIO T ETI
Nell’UlTImO
deceNNIO le AGeNZIe d’INTellIGeNce
HANNO SUBìTO UNO STRAvOlGImeNTO ORGANIZZATIvO e OpeRATIvO,
cHe HA cOmpORTATO lA RevISIONe dI INTeRI pROceSSI
e meTOdOlOGIe dI AcQUISIZIONe
ed elABORAZIONe delle INFORmAZIONI,
IN FUNZIONe dellA peRvASIvITà e dell’UTIlIZZO cReSceNTe
delle TecNOlOGIe INFORmATIcHe e dI INTeRNeT.
TeRmINI cOme cYBeR INTellIGeNce e cYBeR eSpIONAGe
cOmINcIANO A dIFFONdeRSI ANcHe TRA I NON AddeTTI AI lAvORI,
OccUpANdO, QUASI QUOTIdIANAmeNTe, le TeSTATe dI GIORNAlI, TelevISIONI,
RAdIO e dellA STeSSA ReTe. TUTTAvIA, peRmANGONO mOlTI dUBBI SUlle
mOdAlITà GeSTIONAlI del FeNOmeNO dellO SpIONAGGIO cIBeRNeTIcO.
DALL’INTELLIGENCE ALLA CYBER INTELLIGENCE
ibadire l’importanza della rivoluzione digitale sarebbe quantomeno
ripetitivo. Sappiamo altrettanto bene che le tecnologie informatiche
e la pervasività di internet hanno influenzato anche il settore dell’intelligence, provocando stravolgimenti organizzativi e metodologici che
ancora oggi stentano a essere assimilati. Strumentazioni, tipologie organizzative, dottrine e procedure consolidate hanno lasciato spazio a
tecnologie d’intelligence virtuale.
La quasi totalità dei Servizi ha avviato programmi di riorganizzazione delle articolazioni
tecniche, di ricerca e di analisi delle informazioni on-line, con l’assunzione di specializzati nel web semantico e l’attivazione di corsi di alta formazione per l’utilizzo dei più
sofisticati software. Si è perfino proceduto al reclutamento di Data Scientist1. Tuttavia,
sebbene molto sia stato fatto per non soccombere innanzi alla digitalage, sono ancora
molte le preoccupazioni dei vertici dei Servizi d’intelligence.
R
1. TETI 2012.
94
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
95
ANTONIO TETI
Ad esempio, è possibile percepire il livello di queste apprensioni in
un documento pubblicato sul portale web della CIA, The Intelligence Community: 2001-2015 [https://www.cia.gov/library/center-for-the-study-ofintelligence/csi-publications/csi-studies/studies/vol46no1/article05.ht
ml], con rilievo al passaggio:
Il mondo nel 2015 dipenderà dalle reti informatiche per le comunicazioni, l’energia, i trasporti, le operazioni finanziarie, la sicurezza
pubblica e per migliaia di altri compiti. Nazioni ostili e gruppi che
cercano di distruggere le infrastrutture critiche avranno accesso alla
tecnologia necessaria per perseguire il cyber spionaggio e gli attacchi informatici. I computer sono economici rispetto alle armi tradizionali e non richiedono una grande base produttiva industriale.
Sono disponibili a livello globale e la connettività è molto diffusa e
in aumento. Una risposta efficace richiede un allarme tempestivo e
sicuro, così come una precisa identificazione dell’attaccante. Procedure e norme giuridiche complesse complicano la capacità di discernere gli stranieri dalle minacce informatiche interne. Secondo la
legge attuale e la politica, le cyber intrusioni sono presumibilmente
condotte a livello ‘domestico’, salvo prova contraria. Questo limita
la partecipazione della comunità intelligence statunitense per le
azioni di identificazione e contrasto dell’attacco informatico.
L’espansione dei sistemi di informazione, le agenzie di stampa e la
connettività di rete, hanno prodotto un ‘maremoto informativo’ che
può sopraffare i sistemi di gestione delle informazioni. L’enorme
flusso di dati impedisce la produzione di intelligence come capacità
Gli attacchi informatici sono imprevedibili e in grado di provocare
danni inimmaginabili. Possono incidere sull’esercizio delle libertà
democratiche di un Paese o, addirittura, sulla tenuta dei governi2.
Ma ciò che rende il problema di non facile gestione è il mutare incessante delle tecniche di hackeraggio. Molte agenzie d’intelligence
hanno avviato corsi formativi e di specializzazione per il proprio personale tecnico, come quelle degli Stati Uniti che si sono affidate a
società private: è il caso della EC-Council, per far acquisire ai propri
informatici le certificazioni necessarie al contrasto delle forme più
sofisticate di cyber attack [http://www.eccouncil.org/]. I percorsi formativi per conseguire certificazioni IT-Security (quale il Certified Ethical Hacker Program che eroga corsi al personale dell’US Navy, FBI, CIA
e US Army), sono molto articolati3 e, senza entrare nei dettagli, è
interessante considerare che comprendono i basilari per la realizzazione di cyber attacchi in piena regola.
di elaborazione, che non riesce quindi a tenere il passo con la produzione di dati e notizie. La sola informazione, senza l’analisi, non
è utile. L’intelligenza artificiale e altri sistemi ‘esperti’ possono offrire
solo una debole speranza di soluzione a questo imminente eccesso
informativo.
Il 2015, indicato nel documento del 2008, potrebbe apparire incomprensibile da un punto di vista previsionale, poiché stiamo vivendo
lo scenario descritto con due anni di anticipo. La verità risiede invece nella inaspettata rapidità evolutiva delle tecnologie fruibili nel
cyber spazio. Anche se i Servizi sono unanimi nel riconoscere che
la minaccia cibernetica rappresenta la sfida più impegnativa per
ogni sistema Paese, permane l’inquietudine in ordine alle modalità
di contrasto al peggiore dei pericoli della Rete: la cyber war.
96
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
2. TETI 2011.
3. Ethics and Legal
Issues, Footprinting,
Scanning, Enumeration,
System Hacking, Trojans
and Backdoors, Sniffers,
Denial of Service, Social
Engineering, Session
Hijacking, Hacking Web
Servers, Web Application Vulnerabilities,
Web Based Password
Cracking Techniques,
SQL Injection, Hacking
Wireless Networks,
Virus and Worms,
Physical Security,
Hacking Linux,
IDS Firewalls and
Honeypots, Buffer
Overflows, Cryptography, Penetration
Testing Methodologies.
97
ANTONIO TETI
CyB
NUOVE TECNOLOGIE PER NUOVI PERICOLI.
Come riportato anche nel Data Breach Investigations Report 2013 di Verizon
Business, multinazionale statunitense dell’Information Technology
[http://24o.it/links/?uri=http://www.verizonenterprise.com/DBIR/2013/&
from=Allarme+sicurezza%3A+dominan o+cyber+crimine+finanziario+e+spionaggio+governativo], le minacce di violazione dei database
dei sistemi informatici collegati alla Rete sono in continua crescita.
Il documento si basa sull’osservazione di 47.000 incidenti informatici, registrati in 28 diversi paesi. La maggiore preoccupazione deriva
dalla constatazione che nel 2012, il 75% delle cyber minacce rilevate
su scala mondiale sono riferibili ad azioni di spionaggio economico,
cui vanno aggiunte quelle di spionaggio governativo.
Ma il furto di informazioni top secret, commerciali e industriali, la
violazione di dispositivi tecnologici per il prelevamento di database
e messaggistica sono solo alcune tra le azioni messe in atto negli
ultimi anni. Un episodio clamoroso è illustrato dall’operazione Red
October4. Il rapporto Verizon, riguardo le tipologie di attacchi portati
nel 2012, evidenzia la proliferazione di gruppi di hacker organizzati
su un modello gerarchico-militare, spesso coordinati a livello planetario da strutture governative, lobby e gruppi di potere. Anche se
non di rado mascherati come gruppi liberal-democratici o attivisti
animati da nobili ideali, molte di queste aggregazioni sono formazioni prezzolate, al soldo del miglior offerente. Questi hacker mercenary sono responsabili del 92% delle violazioni dei dati, mentre solo
il 14% è ascrivibile a soggetti interni alle aziende colpite.
Riguardo alle tecniche, molte azioni sono condotte attraverso l’utilizzo di piattaforme di social media, ottimi strumenti soprattutto
per la raccolta di informazioni personali e dei collegamenti con altri
utenti. Quando si utilizzano tali applicazioni è necessario prestare
attenzione sulla concessione delle amicizie e sulla verifica dei profili
degli utenti da aggiungere al proprio archivio. Alcune delle tecniche
utilizzate dalle cyber spie per accedere alle informazioni condivise
nei profili dei social network sono:
SOSTITUZIONE D’IDENTITÀ. Gli anglosassoni la identificano con il termine
Social network poisoning, ovvero la capacità di impersonare un altro
utente ‘reale’ utilizzando una varietà di tattiche di intelligence e di
Social engineering5;
SIMULAZIONE D’IDENTITÀ. Consiste nella capacità di creare un profilo
falso, che tuttavia deve possedere caratteristiche di credibilità. È la
tecnica maggiormente utilizzata per attuare attività criminose nel
più assoluto anonimato;
TECNICHE DI CYBER ESPIONAGE
Alla fine del 2012, il ministro del Foreign Office nel Regno Unito ha
annunciato un programma per l’arruolamento di 100 specialisti informatici per il GCHQ (Government Communications Head Quarter)
[http://www.huffingtonpost.com/2012/10/18/spy-apprenticeprogram-uk_n_1978803.html], l’MI5 e l’MI6, rivolto a giovani laureati
in Scienze, Tecnologie e Ingegneria e persino di esperti di computer-game. Gli aspiranti secret digital agent saranno sottoposti a un
corso biennale che prevede percorsi universitari, una formazione
tecnica specifica, tirocini e addestramento verticalizzato su diverse
specialità. La proverbiale lungimiranza britannica in materia d’intelligence ha dato anche avvio a una iniziativa per l’individuazione
delle migliori menti digitali del Paese. Essa consiste nell’organizzazione di concorsi denominati National Cipher Challenge, riservati ai
frequentatori delle scuole superiori e destinati a spronare gli studenti a dedicarsi allo studio della matematica e della cyber security.
Potremmo elencare altre iniziative al riguardo ma a queste dedicheremo attenzione in un prossimo numero. Per ora si vuole centrare
l’attenzione sul cyber spazio: il cyber spying o cyber espionage.
I primi, reali casi di cyber spying risalgono al 2007, anno in cui la
McAfee [http://www.mcafee.com/it/], multinazionale della sicurezza
informatica, annunciava nel suo report che le attività di spionaggio
on-line erano in rapido aumento [http://www.i-dome.com/articolo/12111-Lo-spionaggio-cibernetico-diventa-minaccianazionale.html]. Alcuni passaggi sono illuminanti su quanto
sarebbe accaduto:
– i governi e i gruppi alleati utilizzano internet per attività di spionaggio e per sferrare attacchi cibernetici;
– gli obiettivi includono sistemi di rete di infrastrutture nazionali
critiche come quella elettrica, il controllo del traffico aereo, le borse
e le reti informatiche dei governi;
– oltre 120 nazioni oggi utilizzano internet per operazioni di spionaggio sul web;
– gli attacchi on-line hanno una natura sempre più sofisticata e vengono creati specificamente per sfuggire ai radar delle difese approntate dai governi;
– gli attacchi sono passati dalle ricognizioni iniziali a operazioni di
spionaggio di tipo politico, militare, economico o tecnico.
98
cYBeR INTellIGeNce e cYBeR eSpIONAGe
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
4. TETI 2013.
5. Il termine identifica
lo studio del comportamento di una persona per carpirne
informazioni. Un Social
engineer deve essere
abile nel fingersi un
altro al fine di ricavare
quanto desidera da un
individuo e che non
potrebbe ottenere con
la sua vera identità.
Possono essere utilizzate tecniche informatiche (phishing, social
software, forum)
o ‘dirette’ come
di fare conoscenza
con la vittima, con un
pretesto, per tentare
poi di sottrargli
i dati desiderati.
99
cYBeR INTellIGeNce e cYBeR eSpIONAGe
CyB
ANTONIO TETI
/ SOCIAL BOT. Con la creazione di un numero
consistente di profili falsi (in ipotesi illimitati), attivabili su social
network diversi, si rende possibile l’interazione diretta con utenti
reali, giocando sull’emotività e la persuasione delle vittime, per procedere all’acquisizione di informazioni da fonti dirette e indirette.
Con questo meccanismo è possibile anche alterare i grafici sociali,
riconducibili a statistiche ed entità delle amicizie, contatti e collegamenti presenti nei social network.
Un’altra metodologia di cyber spying consiste nell’utilizzo delle botnet, ovvero di una rete informatica composta di computer infettati
da software malevoli che si collegano a internet nel tentativo di penetrare e contagiare altri computer presenti nella Rete. La penetrazione può profittare della presenza di falle nei sistemi di sicurezza,
di vulnerabilità dei sistemi operativi o di negligenze dei responsabili
della sicurezza informatica. Lo stesso può accadere anche con il social network. Un individuo che richiede l’amicizia su Facebook potrebbe essere in realtà un bot programmato per sottrarre dati della
persona cui ha rivolto l’invito.
COSTRUZIONE DI PERSONAL
la creazione di un numero consistente
di profili falsi (in ipotesi illimitati),
attivabili su social network diversi,
rende possibile l’interazione diretta
con utenti reali@
Giocando sull’emotività e la persuasione delle vittime,
si procede all’acquisizione di informazioni da fonti dirette e indirette@
100
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
101
cYBeR INTellIGeNce e cYBeR eSpIONAGe
Anche se le botnet non erano progettate per attaccare le reti sociali,
nel tempo si sono rivelate efficacissime per combinare entità virtuali con profili reali e viceversa. E tutto ciò può essere eseguito su
qualsiasi social, come Facebook, LinkedIn e Twitter. Su quest’ultimo
microblogging, nell’aprile del 2011 un californiano iniziò a twittare
con tale @JamesMTitus. Accomunati dalla stessa passione, l’amore
per i gatti, lo scambio di messaggi proseguì a lungo [http://www.theatlantic.com/magazine/archive/2011/05/are-you-following-abot/308448/]; restava solo un problema: dietro il nickname di
JamesMTitus si nascondeva un software realizzato da informatici neozelandesi. Si trattava di un test di Social engineering generato nell’ambito di un programma denominato Web Ecology Project. Il gruppo,
con sede a Boston, aveva elaborato studi e ricerche sull’utilizzo dei
social network in occasione della ‘rivoluzione araba’ che aveva infiammato il Nord Africa, nell’intento di rispondere al seguente quesito: è possibile infiltrarsi nelle reti sociali per condurre campagne
d’influenza su larga scala?
Iniziò così la sperimentazione di un programma di social bot (noto,
appunto, come JamesMTitus), che consentì la raccolta di oltre 500
profili di utenti reali uniti dalla stessa passione per i felini. A questo
punto, la domanda che potrebbe sorgere è la seguente: può una
persona che controlla un’identità virtuale, o un gruppo di identità
dello stesso tipo, condizionare una struttura sociale virtuale? Sembrerebbe proprio di sì. E una conferma è fornita proprio dalla ricerca
sviluppata dal Web Ecology Project.
Oltre alla rivoluzione virtuale della Primavera araba, anche le proteste post-elettorali sviluppatesi in Iran nel 2009 furono attivate da
un ridottissimo gruppo di persone collegate a Twitter. Già è stata
delineata la questione delle metodologie di persuasione in Rete6,
ma i social bot attualmente rappresentano una nuova frontiera per
la veicolazione dei messaggi perché percorrono la Rete più velocemente e senza costi, raggiungendo istantaneamente milioni di persone. E sono stati in molti a capirlo. Una settimana dopo la
conclusione del Web Ecology Project, Anonymous, il più temibile e
misterioso gruppo di crackers di questi ultimi anni, è riuscito a penetrare l’account di posta elettronica della società di sicurezza informatica HBGary Federal, rivelando che l’US Air Force nel giugno
del 2010 aveva inviato una e-mail di sollecito per la realizzazione di
un Personal Management Software, sviluppato per creare molteplici
identità false sui social network, al fine di raccogliere dati e informazioni su persone reali. Ma non mancano altri esempi. Nel 2012,
RIVISTA ITALIANA DI INTELLIGENCE
6. TETI 2009.
103
ANTONIO TETI
CyB
una vittima illustre di Facebook fu l’ammiraglio statunitense James
G. Stavridis [http://hplusmagazine.com/2013/03/01/cyber-espionagethe-greatest-transfer-of-wealth-in-history/] il quale, a sua insaputa,
rimase coinvolto insieme ad alti ufficiali dell’esercito britannico e
funzionari del Ministero della Difesa inglese in una ingegnosa operazione. Qualcuno, dopo la creazione di un falso profilo, aveva chiesto l’amicizia alle numerose persone che lo conoscevano, presenti
su Facebook con un proprio profilo. Al possessore del falso profilo
di Stavridis fu così possibile accedere alle e-mail, ai recapiti telefonici, alle immagini e ai nomi degli amici di coloro che avevano accettato l’amicizia. Se consideriamo che all’epoca l’alto ufficiale era
al vertice di SACEUR (Supreme Headquarters Allied Powers Europe) e di
USEUCOM (United States European Command), è facile immaginare a
quale bottino ambisse il falsificatore (o i falsificatori) del profilo. E
andò esattamente così. Grazie al tunnelling (tecnica che consente di
ricavare informazioni dagli amici degli amici, fino a raccogliere dati
sufficienti a costruire scenari cognitivi), furono molte le informazioni di valore prelevate, e in molti casi si trattò di acquisizioni appartenenti a Comandi di diversi paesi e a strutture governative
internazionali. Furono sollevate molte ipotesi e accuse sulla paternità dell’operazione.
«TheGuardian» [http://www.guardian.co.uk/world/2012/mar/11/chinaspies-facebook-attack-nato] additò la Cina ma nulla fu provato. Il
social network non portò bene a Stavridis neanche in seguito. Nell’ottobre del 2011 egli utilizzò il suo vero account di Facebook per
riportare considerazioni personali sulla conclusione della missione
di pacificazione in Libia [http://www.zdnet.com/blog/facebook/viafacebook-nato-commander-reveals-plans-to-end-libyamission/4788]: l’episodio fu motivo di clamore e pari imbarazzo. Va
sottolineato che un bot master è in grado di rubare informazioni su
vasta scala mediante la creazione di centinaia o migliaia di falsi profili che possono essere infiltrati in diversi social network, ed è bene
ricordare che tutti i parametri definiti dall’utente per proteggere i
dati sul proprio profilo, possono essere facilmente aggirati proprio
grazie al rilascio di ‘amicizie’. Secondo alcuni ricercatori, circa l’80%
delle richieste di amicizia sui social è concesso senza particolari
problemi e la percentuale aumenta, in modo esponenziale, se la richiesta proviene da profili femminili. Da alcuni anni molti governi
stanno investendo ingenti somme per disporre di raffinati strumenti
di analisi delle informazioni circolanti sui social network. L’Open
Source Center della CIA si occupa proprio di monitorare e acquisire
104
cYBeR INTellIGeNce e cYBeR eSpIONAGe
tutte le informazioni disponibili in internet, in qualsiasi lingua e
con sistemi capaci di identificare le correlazioni tra i dati [http://securityaffairs.co/wordpress/97/intelligence/cia-admits-it-monitorsanalyzes-facebook-twitter.html]. In tale contesto, i social rivestono
un’importanza particolare in quanto, secondo la CIA, il ‘sentimento
condiviso’ può permettere di cogliere campanelli di allarme non diversamente individuabili. La posta in gioco è alta e il controllo delle
reti sociali è strategico, al punto che anche l’FBI ha commissionato
lo sviluppo di complessi sistemi di analisi per controllare lo scambio di messaggi sui social networks e nei forum.
NUOVE DIRETTIVE PER I CYBER ATTACCHI.
LA SOTTRAZIONE DI DATI
La pratica dello spionaggio in Rete presenta molti vantaggi. Il cyber
spazio permette di condurre azioni in qualsiasi angolo del pianeta,
rimanendo seduti in poltrona e con un contenimento dei costi inimmaginabile. A questo si aggiunge la mancanza di una legislazione
internazionale, cosicché le stesse azioni possono costituire reato in
alcuni paesi ma essere lecite in altri. Ciò che rende il cyber spionaggio una risorsa informativa eccezionale risiede nella quasi impossibilità di identificare sia le cyber spie sia i loro mandanti.
Le grandi aziende, in particolare quelle che lavorano per un governo, sono le più vulnerabili. Tale criticità è data frequentemente
dall’inadeguatezza dei meccanismi di sicurezza e controllo dei processi di comunicazione, oltre che da una sostanziale assenza di collaborazione tra le aziende stesse e le strutture governative. Anche
per questo motivo, negli ultimi anni sono aumentati a dismisura gli
attacchi contro le organizzazioni destinatarie di appalti dai governi.
Un recente studio ha documentato che oltre 200 famiglie di malware
sono state utilizzate per spiare governi e rispettive aziende appaltatrici. Tra i creatori di queste applicazioni, fortissima è la crescita
di nuovi cracker7 che lavorano allo sviluppo di nuove botnet8. Un attacco dalle finalità spionistiche è di semplice gestione: si parte da
una botnet per introdursi all’interno della rete dell’organizzazione.
I tentativi d’infiltrazione possono durare anche mesi o anni, ma una
volta individuata una falla, il programma alieno può trasmettersi a
tutti i dispositivi digitali che hanno accesso alla rete aziendale (personal computer, notebook, netbook, smartphone, tablet, pen-drive
ecc.). Secondo una recente indagine di Maglan Information Defense
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
7. Il termine identifica
un esperto nella penetrazione dei sistemi
informatici per trarne
profitto. I cracker
possono agire
per varie motivazioni
(politiche, religiose
ecc.), ma la principale
è quella del guadagno
economico.
8. Rete di dispositivi
informatici collegati a
internet e infettati da
malware, controllati
da un botmaster.
I malicious code
accedono ai sistemi
sfruttando falle nella
sicurezza. Durante
l’attacco i sistemi
sono infettati
da trojan che permettono ai botmaster
di controllare i computer, oggetto dell’attacco,da remoto.
I controllori della
botnet possono così
compiere ogni azione,
dal danneggiamento
del sistema a cyber
spying. Questi cyber
crimini possono essere anche commissionati a gruppi
di hacker criminali.
105
cYBeR INTellIGeNce e cYBeR eSpIONAGe
& Intelligence, azienda israeliana dell’ICT Security, sarebbero circa
250.000 (tra cracker e cyber spie) i criminali operanti nel cyber spazio.
Anche i cyber attacchi non sono incoraggianti: solo in Italia, il numero delle imprese penetrate nel primo semestre 2013 sarebbero
16.456 rispetto alle 7.032 dello stesso periodo del 2012 (+57,2%).
Entro la fine dell’anno potrebbero essere 30-35.000. Le perdite accumulate dalle compagnie italiane per violazioni delle reti dei sistemi informativi ammonterebbe a circa 200 milioni di euro, quasi
il doppio di quelle del 2012 (110 milioni). Le principali vittime sarebbero società finanziarie dei settori in cui il nostro export primeggia ancora: aziende di moda e grandi gruppi alimentari.
Con il termine darknet (rete oscura) si identifica una rete virtuale privata dove un ristretto numero di utenti, tra i quali vige un clima di
estrema fiducia, condividono informazioni, esperienze, dati e applicazioni. È proprio all’interno di queste reti che si annidano i cracker
specializzati in cyber spying. A tale proposito è interessante l’affermazione di Shai Blitzblau, group managing director di Maglan, secondo il quale «noi partiamo sempre da darknet e seguendone le
tracce approdiamo spesso in Cina, ma quel Paese immenso è anche
un paravento. Gli hacker sono una forza mercenaria al soldo di grandi
organizzazioni internazionali che finanziano le loro ricerche e i sistemi per farne perdere le tracce. Se una rete parte da Roma, si snoda
in Russia, arriva a Tel Aviv e usa il computer di un asilo di Gaza per
colpirmi, rintracciarne l’origine è quasi impossibile» [http://www.ilgiornale.it/news/esteri/hacker-scatenati-italia-primo-bersaglio881695.html]. Ai cyber mercenari interessano le identità e i profili
utente, elementi imprescindibili su cui basare la loro attività. Da
questo punto di vista, secondo la Maglan l’Italia rischia moltissimo
e Blitzblau lo conferma: «A gennaio 2013 i database della Maglan
hanno registrato 25 attacchi rivolti al trafugamento delle anagrafiche
dei database studenti delle università italiane, con l’obiettivo di far
provvista di nuove identità per condurre nuovi attacchi. Nel corso
del 2013 gli attacchi aumenteranno del 43%, ma le aziende italiane
continuano a sottovalutare le minacce. È vero che spendono molto
in attrezzature ma, spesso, non sono utilizzate adeguatamente. Lo
scorso anno in Italia ho simulato 400 attacchi con un successo pari
al 90%. Per difendervi dovete usare meglio i soldi che investite. E,
soprattutto, fare attenzione ai tablet e agli iPhone craccati: chi ne rimuove le protezioni originali offre agli hacker una porta d’accesso
privilegiata verso i propri sistemi».
106
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
107
ANTONIO TETI
CyB
Dato che l’obiettivo primario del cyber spionaggio è quello di sottrarre informazioni classificate, segreti industriali e commerciali, si
può dedurre che le discendenti azioni possono diventare estremamente pericolose per l’economia di un Paese, con pesanti ripercussioni sociali. Il livello di allarme è in continua ascesa, come
dimostrano le attività proposte dai governi e dalle imprese di tutto
il mondo per migliorare la sicurezza delle proprie infrastrutture critiche. I danni provocati sono molteplici: basti ricordare quello di
oltre 24 miliardi di dollari subìto da Sony nel 2011 per un attacco
informatico mirato sulle PlayStation, grazie all’utilizzo di una tecnica di tipo DDoS9 che poteva essere risolto con un investimento
da parte dell’azienda di circa 10.000 dollari. Un altro esempio è il
cyber attacco che ha aggredito la Global Payments [http://www.securityweek.com/global-payments-confirms-security-breach], tra le
più grandi aziende fornitrici di servizi di pagamento con carte di credito. A seguito di questo episodio, ispirato alla sottrazione di dati,
nel 2012 l’azienda è stata rimossa da Visa e MasterCard dall’elenco
dei provider conformi allo standard PCI DSS [https://www.pcisecuritystandards.org/security_standards/], provvedimento che ha inferto un durissimo colpo all’economia dell’azienda.
9. Un DoS (negazione
del servizio) è un
malfunzionamento
dovuto a un attacco
in cui si esauriscono
deliberatamente
le risorse di un sistema
informatico fornitore
di un servizio, ad
esempio un sito web,
fino a renderlo non più
in grado di erogare
il servizio stesso.
Il DDoS (Distributed
Denial of Service) è una
variante che utilizza
numerose macchine
attaccanti che,
insieme, costituiscono
una botnet.
108
GNOSIS 3/2013
ANTONIO TETI
CyB
cYBeR INTellIGeNce e cYBeR eSpIONAGe
ESEMPI DI CYBER ESPIONAGE.
DALL’OPERAZIONE BEEBUS ALL’OPERAZIONE HANGOVER
Lo scorso anno, l’Office of the National Counter Intelligence Executive ha presentato un rapporto al Congresso degli Stati Uniti
[http://www.ncix.gov/] prefigurando un terribile scenario sui pericoli
derivanti dalle attività di cyber spionaggio [http://www.ncix.gov/publications/reports/fecie_all/Foreign_Economic_Collection_2011.pdf
]. Con chiarezza sono indicate le aree geografiche da cui provengono
i maggiori attacchi informatici: Cina e Russia, e nella conclusione
del rapporto si legge che i due paesi «rimangono aggressivi in termini di capacità di collezionare dati sensibili e informazioni economiche sugli Stati Uniti, in particolare attraverso il cyber spazio».
Sembra tramontata l’era dei cyber attacchi finalizzati alla distruzione di database contenuti nei sistemi informativi: perché distruggerli se è possibile prelevarli, a volte senza che nessuno se ne
accorga, per poterli poi tranquillamente analizzare?
L’aumento del numero degli spyware malware ne è una riprova e i
tentativi di spiare gli avversari in Rete è diventata una tra le principali attività delle strutture d’intelligence. A tal proposito, due complesse operazioni di spionaggio cibernetico danno una precisa
indicazione della loro rilevanza: le operazioni Beebus e Hangover.
È il 1° febbraio 2013. La FireEye [http://www.fireeye.com/], azienda
statunitense che agisce nel settore della sicurezza informatica, denuncia una campagna APT10 che ha come obiettivo alcune aziende
del settore aerospaziale e della difesa. Secondo FireEye, il paese da
cui proviene l’attacco è la Cina e l’obiettivo la sottrazione di segreti
industriali. L’interesse è concentrato sullo sviluppo di UAV11, settore
nel quale il Paese asiatico sta investendo da alcuni decenni
[http://defencetalks.wordpress.com/tag/pakistan/]. Nel 2010 è entrato in linea il Chengdu Pterodactyl 1/Yilong, simile alla famiglia
dei droni statunitensi Predator/Reaper. La Xian ASN Technology, il più
grande produttore cinese di UAV, ha prodotto negli ultimi tempi diversi modelli tra i quali il BZK-005, sviluppato con l’Università di
Pechino. In sintesi, sembra che il governo cinese sia concentrato
sullo sviluppo di UAV multiruolo e lo testimoniano anche le numerose aziende coinvolte nei relativi programmi: la China Aerospace
Science and Technology ha lanciato il CH-3 e il CH-4 e la Guizhou
Aircraft Industry Corporation Xianglong ha completato la sperimentazione del Soar Dragon, simile all’RQ-4 Global Hawk dell’americana
Northrop Grumman.
Non è andata meglio a Vasco Data Security International, che ha
perso quasi 20 milioni di dollari per il fallimento della Certification
Authority DigiNotar, dovuto a una sottrazione di informazioni avvenuta nell’agosto del 2011 [http://www.securityweek.com/vasco-losses-diginotar-ban-kruptcy-under-5-million]. L’esempio di Nortel
Networks, gigante delle telecomunicazioni specializzato nella produzione di apparati attivi di rete, rappresenta forse il caso più clamoroso. In base a una serie di intrusioni informatiche, mirate al
prelievo di segreti industriali e informazioni sui clienti, l’azienda è
stata annientata [http://www.securityweek.com/report-suspectedchinese-hackers-had-deep-access-inside-nortel-nearly-decade].
110
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
10. Advanced Persistent
Threat, termine che
identifica una minaccia,
condotta nel tempo
da un governo o da
un gruppo di hackers,
finalizzata alla penetrazione di un sistema
informatico per trafugarne i dati.
11. Unmanned Aerial
Vehicle, velivolo
propulso, senza equipaggio, che utilizza
forze aerodinamiche
per creare la sua
portanza. Può volare
autonomamente
o essere teleguidato,
può essere abbandonato o recuperato
e può trasportare
un carico letale
o non letale.
111
cYBeR INTellIGeNce e cYBeR eSpIONAGe
General Atomics mQ-1 Predator
UAv Wing Loong
A novembre 2012, in occasione dell’AVIC Cup-International UAV Innovation Grand Prix svoltosi in Cina per lo Zuhai Air Show, ha debuttato
l’UAV Wing Loong, sviluppato da Aviation Industry Corporation of
China [http://www.ecns.cn/visual/hd/2012/11-13/9107.shtml#nextpage]. Si tratta di un clone del modello statunitense General Atomics MQ-1 Predator. Ma l’interesse verso i droni Usa potrebbe non
solo discendere dal loro livello di innovazione e versatilità.
112
GNOSIS 3/2013
Secondo l’articolo di una rivista scientifica statunitense pubblicato
nel 2012 [http://www.technewsdaily.com/5947-drones-vulnerablegps-takeover-test-shows.html], gli UAV di produzione Usa sarebbero vulnerabili al rilevamento GPS. Sembrerebbe che il sistema
di navigazione satellitare dei modelli più recenti possa essere penetrato e riconfigurato, consentendo a un ipotetico terrorista di dirottare il velivolo verso altri obiettivi. La metodologia è alquanto
semplice: con la tecnica dello spoofing12 s’inviano falsi segnali GPS
all’UAV, che utilizza dati non crittografati per comprendere le direttive di volo. I segnali sono recepiti dai droni come reali e automaticamente eseguiti. Bisogna considerare che per costruire un
dispositivo in grado di falsificare e trasmettere segnali GPS (GPS
jamming) sono sufficienti appena mille dollari USA; già nel dicembre 2011 alcuni ingegneri iraniani sostennero di aver ‘ingannato’
un drone statunitense in volo, costringendolo ad atterrare secondo
le loro precise indicazioni.
La brutta novità sulle falle del sistema di navigazione satellitare
degli UAV sarebbe stata presa molto seriamente dagli USA, che
avrebbero riconsiderato le norme che consentono ai droni di compiere voli di prova e di addestramento nello spazio aereo nazionale.
Anche l’Operazione Beebus si basa sulla tecnica dello spear phishing13,
ampiamente utilizzata per azioni di cyber spionaggio, che utilizza la
trasmissione di e-mail e del download dei file allegati (sfruttando
le vulnerabilità di file in formato PDF e DOC) per installare un Trojanbackdoor14. FireEye ha rilevato che l’attacco è partito da un documento contenente informazioni sui progressi militari pakistani nella
tecnologia dei droni. La paternità del documento è stata attribuita
a Aditi Malhotra, coincidente con una reale identità, un associate
fellow che lavora presso il Centre for Land Warfare Studies di New Delhi.
Si suppone che l’operazione di rilascio del documento sia stata organizzata da un gruppo di hacker noto come Comment Group o Comment
Team che, sempre secondo FireEye, opererebbe per conto del governo
cinese. Il documento, realizzato nella forma e nei contenuti per stimolare l’interesse, funge da backdoor e una volta scaricato, assimila
gli indirizzi IP che rileva nella rete in cui si è insediato. Dopo aver
infettato i computer individuati, il malware può rimanere inattivo
per un determinato periodo, e rimettersi in funzione per tentare
nuove infiltrazioni su altri sistemi. Al di là degli aspetti tecnici, finora non è stato possibile individuare chi abbia veramente messo
in atto l’azione e chi siano stati i mandanti dell’operazione Beebus.
RIVISTA ITALIANA DI INTELLIGENCE
12. Attacco informatico
che prevede la falsificazione dell’identità
(spoof). Lo spoofing può
riguardare la falsificazione di qualsiasi
informazione applicativa (IPaddress, MAC
address, UDP/TCP, Web
ecc.). Quando la falsificazione dell’identità
non avviene in campo
informatico si parla
di social engineering.
13. TETI 2013.
14. Assimilabile a una
porta di servizio utile
a superare le procedure
di sicurezza attivate
in un sistema informatico o in un computer,
consentendo la penetrazione del sistema.
Un trojan è un codice
eseguibile che permette di stabilire
una connessione in rete
tra un computer locale
e uno remoto dal quale
viene portato l’attacco.
Una volta connesso,
un cracker può eseguire
azioni che vanno
dal blocco del sistema
al trafugamento
delle informazioni.
113
cYBeR INTellIGeNce e cYBeR eSpIONAGe
paesi coinvolti nell’operazione Shady RAT.
Anche se l’autore si suppone essere un soggetto reale, non è chiaro
se sia il vero creatore del documento o se gli attaccanti abbiano solo
impiegato il suo nome. Il file è stato inviato con il nome sensore environments.doc e RHT_SalaryGuide_2012.pdf, nella forma di allegato a email indirizzate verso obiettivi predefiniti, e gli allegati infetti hanno
sfruttato la vulnerabilità di una DLL15 (chiamata ntshrui.DLL, presente
in C:\Windows). Il PDF originale è stato modificato con l’applicazione
Ghostscript16, utilizzata anche nell’operazione Shady RAT [http://thehackernews.com/2011/08/operation-shady-rat-biggest-cyber.html],
indirizzata nel 2011 verso 72 organizzazioni colpendo in 14 paesi, inclusi gli USA, Canada, Taiwan, India, Corea del Sud e Vietnam, l’ONU
e il Comitato Olimpico Internazionale. Anche per Shady RAT si è trattato di attacchi di tipo spear-phishing abbinati a downloads di files.
Solo nel 2012 FireEye ha registrato 261 cyber attacchi separati verso
suoi clienti, di cui 123 diretti ad aziende che lavorano nell’indotto
della costruzione di UAV e UAS (Unmanned Aerial Systems). Darien Kindlund, senior staff di FireEye, ha dichiarato di ritenere «che l’attacco
sia in gran parte riuscito», confermando il disastroso furto di un
quantitativo enorme di informazioni ad altissimo valore.
15. Il termine indica
una Dynamic-link
Library, cioè una
libreria software
caricata dinamicamente in fase
di esecuzione.
L’acronimo DLL
è dato dall’estensione
del file impiegato
nel sistema operativo
Microsoft Windows.
16. Collezione di
programmi freeware
basata su un interprete dei linguaggi
di descrizione
di pagine PostScript
e PortableDocument
Format, entrambi
riconducibili ai programmi della Adobe.
Il 20 maggio 2013 alcuni ricercatori norvegesi della Norman
[http://blogs.norman.com/2013/security-research/the-hangoverreport], azienda del settore dell’IT Security della Shadowserver Foundation, organizzazione no-profit [http://www.shadowserver.org/wiki/],
hanno pubblicato un rapporto su un’operazione di cyber spionaggio
denominata operazione Hangover. Questa volta gli obiettivi più rilevanti sono stati la filiale di Porsche Holdings, Delta Airlines, The
Chicago Mercantile Exchange, gli studi legali di Norwegian Telecom
Telenor, alcune società minerarie, diversi obiettivi pakistani e gruppi
di separatisti in India. Il gruppo di cracker ha operato per circa tre
anni, creando centinaia di domini falsificati per muovere attacchi di
spearphishing. L’aspetto più interessante dell’azione consiste nell’individuazione da parte dei ricercatori di più di 500 indirizzi IP colpiti
in Pakistan, 91 in Iran e 34 negli USA. Gli attacchi, iniziati nel 2010
con quello alla rete di telecomunicazioni Telenor, sono proseguiti
per tutto il 2012 utilizzando il numero sorprendentemente elevato
di oltre 800 varianti di malware, cifra che fornisce una precisa indicazione sulle dimensioni della manovra e sulla tipologia della struttura necessaria per organizzarla.
Secondo Scorre Fagerland, senior researcher di Norman, non si è
trattato «di un singolo attacco, ma di un concentrato di attacchi
condotti da governi e da grandi aziende a livello mondiale», ma i
ricercatori norvegesi nutrivano molti dubbi sulla effettiva paternità.
Sembrava scontata la presenza di cyber spie indiane giacché il maggior numero di aggressioni si indirizzava contro obiettivi pakistani,
e in effetti era stato rilevato nel codice alcune parole in lingua hindi,
114
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
115
cYBeR INTellIGeNce e cYBeR eSpIONAGe
paesi coinvolti nell’operazione Hangover.
elemento che da solo tuttavia non sosterrebbe in pieno questa tesi
visto che si tratta della seconda madrelingua più parlata al mondo.
Inoltre, anche se i due domini da cui sono stati mossi gli attacchi
erano registrati a Prakesh Jain e Rakesh Gupta, uffici amministrativi
di New Delhi, la circostanza potrebbe non avere significato rilevante
poiché le attività avrebbero potuto essere commissionate a persone
comuni. Ciò che rendeva maggiormente diffidenti i ricercatori è il
basso livello di raffinatezza del malware, carente di quelle tecniche
di penetrazione che identificano un APT per dettagli specifici, per
particolarità che possono essere adottate solo da personale altamente specializzato nel settore dell’IT Security e del networking, che
deve poter contare su appoggi governativi, soprattutto nel finanziamento dell’infrastruttura necessaria per muovere un simile attacco.
Alla luce delle diverse analisi, la Norman tende a escludere il coinvolgimento di strutture governative. Gli esperti dell’azienda hanno
analizzato ben 8.000 ceppi di malware e oltre 600 tra domini e sottodomini in rete, nel tentativo di individuare quelle finezze tecniche
utilizzate dagli hacker che, nel loro egocentrismo, non mancano di
inserire una particolare ‘firma’ nei programmi malevoli. La maggior
parte dei malware è scritto per Windows utilizzando il linguaggio
C++ e Visual Basic, ma alcuni programmi sono scritti anche per il
sistema operativo MacOS. Anche questo ulteriore dettaglio suscita
dubbi. Ad esempio, molti hacker attualmente utilizzano tecniche
sofisticate come il JavaScript17 per la diffusione di malware attraverso
il web. Per infettare i siti web dinamici muniti delle funzionalità web
2.018, che di fatto impediscono di navigare on-line senza supporto
JavaScript, gli hacker inseriscono delle JavaScript nei loro malware
per garantirne la diffusione. L’inserimento del JavaScript malevolo
RIVISTA ITALIANA DI INTELLIGENCE
17. Linguaggio
di scripting orientato
agli oggetti, comunemente usato nella
creazione di siti web.
18. Termine per
indicare uno stato
di evoluzione del
World Wide Web
rispetto a una condizione precedente.
Il termine indica
l’insieme delle
applicazioni di rete
che consentono
un elevato grado
di interazione tra il sito
web e l’utente, come
i blog, i forum, le chat,
i wiki e i social network.
117
ANTONIO TETI
CyB
serve a nascondere il reindirizzamento su altri siti in modo più efficace rispetto a metodi di attacco più elementari. Ciò consente di
comprendere perché la distribuzione di malware via web sia ora il
metodo di attacco preferito. Inoltre, l’inserimento di JavaScript malevoli nelle pagine web permette agli hacker di reindirizzare il browser delle vittime senza essere notati, in modo da caricare i
programmi da un server remoto. Questa metodologia prende il
nome di download drive-by ed è alla base di quasi tutte le recenti
azioni di cyber spying.
È vero che in India la proliferazione di gruppi di hacker è ai massimi
livelli, come dimostrato nel dicembre 2010, quando un sedicente
gruppo noto come Indian Cyber Army attaccò oltre 36 siti internet del
governo pakistano, tra cui quelli del presidente Asif Ali Zardari e
della Corte Suprema. Pochi giorni dopo, gruppi di hacker pakistani
reagirono con un violento contrattacco a centinaia di siti web indiani, in particolare contro il Central Bureau of Investigation. Ciononostante, i committenti dell’operazione Hangover potrebbero
aver perseguito scopi diversi.
Il furto di proprietà intellettuale, la sottrazione di informazioni classificate, lo spionaggio industriale sono attività valorizzabili, cioè in
grado di produrre profitti incalcolabili, tanto quanto potrebbe esserlo la caduta di un governo o il crollo in borsa dei titoli di Stato
di un Paese. È noto che il cyber spazio rappresenta il nuovo campo
di battaglia in cui esercitare il proprio potere, ma è anche vero che
rappresenta lo scenario ideale dove utilizzare metodologie, strumenti e risorse umane che possono essere non riconducibili a
gruppi di appartenenza, nazionalità e governi specifici. L’anonimato
assoluto, infatti, rappresenta la vera forza dello spionaggio cibernetico. In tale scenario s’innestano inedite figure e professionalità
che possono rappresentare le ‘nuove Forze armate’ da mettere in
campo per conseguire posizioni, vantaggi e superiorità, a qualsiasi
livello, e nella più assoluta dimensione di oscurità.
LA DIFESA DELLE INFORMAZIONI: QUALI SOLUZIONI?
«È giunto il momento, per una società come Blackwater, di fornire
cyber guerrieri in modo che il settore privato possa attivare delle attività offensive contro le minacce on-line?» È di certo una domanda
provocatoria, che lascia sgomenti se a pronunciarla, in un intervento
all’Aspen Security Forum nel 2011, è l’ex direttore dell’NSA (National
118
GNOSIS 3/2013
cYBeR INTellIGeNce e cYBeR eSpIONAGe
Security Agency) e poi della CIA, Michael Hayden. La Blackwater
Worldwide è una nota società americana attiva nel settore della sicurezza, composta prevalentemente da ex militari e impiegata in
contesti geografici ad alto rischio. È una delle maggiori PMC (Private Military Company) al mondo, come dimostrato dagli incarichi
affidatigli in qualità di Security contractor dall’Amministrazione statunitense. L’affermazione di Hayden assume una connotazione precisa: bisogna valutare la possibilità che un Paese possa affidare a
cyber warriors privati la conduzione delle cyber war del futuro. Ma
forse qualcuno ha già iniziato a farlo.
Per elevare i livelli di sicurezza vi è anche chi recupera metodologie
e strumenti del passato. Nel luglio 2013 il quotidiano «Izvestia» ha
diffuso la notizia che 007 russi avrebbero rispolverato le macchine
per scrivere! L’FSO, che garantisce la sicurezza delle alte cariche
dello Stato, fors’anche sulla scia emotiva del Datagate, per contenere il pericolo dello spionaggio informatico ha pubblicato un
bando per acquistarne una decina. La decisione sarebbe stata assunta a seguito del caso Snowden e delle presunte incursioni nella
posta elettronica dei leader del G-20.
Anche se il Servizio russo non ha fornito risposte ufficiali, da tempo,
sempre secondo l’«Izvestia», alcuni servizi d’emergenza e certe sezioni del Ministero della Difesa avrebbero ripreso l’utilizzo di macchine per scrivere. Nikolaj Kovalev, ex direttore dell’FSB, ha sostenuto
che «dal punto di vista della sicurezza ogni collegamento elettronico
è vulnerabile: da un computer si può prendere qualsiasi informazione
perché la protezione non è mai garantita al 100%. Dunque bisogna
privilegiare i mezzi più primitivi per comunicare e tra questi ci sono
i documenti scritti a mano o con la macchina per scrivere».
D’altronde, nel contesto della mafia siciliana e in tempi non sospetti, alcuni boss avevano ben compreso il valore dei ‘pizzini’…
G
BIBLIOGRAFIA MINIMA
OGNI cOlleGAmeNTO eleTTRONIcO
È vUlNeRABIle
A. TETI, La persuasione nell’era digitale, in «Gnosis» 3 (2009), pp. 163-178.
A. TETI, I NetRevolution, in «Gnosis» 3 (2011), pp. 20-40.
A. TETI, I ‘Data Scientist’, una risorsa per l’Intelligence, in «Gnosis» 3 (2012), pp. 45-63.
A. TETI, Ottobre Rosso: un esempio di Cyber-spionaggio, in «Gnosis» 2 (2013), pp. 63-81.
<http://www.forbes.com/sites/andygreenberg/2013/05/21/its-not-just-china-indian-hacker-groupspied-on-targets-in-pakistan-u-s-and-europe/> [1 ottobre 2013].
<http://overwatchreport.com/issue/the-overwatch-report-april-2011/article/chinese-industrialespionage> [1 ottobre 2013].
<http://www.theblaze.com/stories/2011/08/01/how-about-a-digital-blackwater-former-cia-nsadirector-proposes-cyber-mercenaries/> [1 ottobre 2013].
lA pROTeZIONe NON È mAI GARANTITA
BISOGNA pRIvIleGIARe
I meZZI pIù pRImITIvI peR cOmUNIcARe
e TRA QUeSTI cI SONO I dOcUmeNTI
ScRITTI A mANO
O cON lA mAccHINA peR ScRIveRe
GNOSIS 3/2013
RIVISTA ITALIANA DI INTELLIGENCE
121