Traduttore automatico - Read this site in another language

giovedì 30 gennaio 2020

La storia mai raccontata dell’attacco cyber alle Olimpiadi del 2018


(ovvero: il Cyberattack più ingannevole della storia).

Il primo gennaio 1863 nasceva Pierre De Coubertin, l’uomo a cui dobbiamo dire grazie per aver reintrodotto le Olimpiadi. I suoi intenti nobili e i suoi valori sono l’essenza dello Sport ma purtroppo spesso sono stati e sono ancora oggi continuamente traditi.
Perché, dopo così tanti anni, siamo ancora così affascinati dalle Olimpiadi?
Oltre a dare visibilità a tutti gli sport e a simboleggiare l’unione tra popoli in tempi difficili, le Olimpiadi rappresentano la continuità con le nostre origini. I cinque cerchi, infatti, sono percepiti come un filo conduttore che parte dall’antica Grecia e che arriva sino al XXI secolo. Un punto di contatto tra noi e le nostre radici. Cambiano le nazioni, cambiano le monete, gli usi e i costumi, ma l’uomo resta sempre protagonista.
Con il mondo dello sport sempre più orientato verso interessi economici a discapito della passione, non meraviglia affatto una storia emersa negli ultimi tempi e che racconta di come ai nostri giorni nulla possa essere considerato sicuro e tutto possa rappresentare un obiettivo per coloro che, sempre più spesso, ingaggiati e finanziati da vari Stati, creano turbolenze per determinare cambiamenti sociali, politici ed economici che li possano favorire.
Tratto dal libro Sandworm di Andy Greenberg, questo articolo ripercorre la storia dell’attacco cibernetico avvenuto alla vigilia dei Giochi Olimpici Invernali 2018; una storia passata sotto silenzio e di cui si è saputo molto poco ma che rappresenta uno degli esempi più eclatanti di cyberwar della storia.
Poco prima delle 20:00 del 9 febbraio 2018, sulle montagne nord-orientali della Corea del Sud, Sang-jin Oh si trovava tranquillamente seduto su una sedia a poche decine di file dal pavimento del vasto stadio olimpico pentagonale di Pyeongchang. Indossava una giacca ufficiale delle Olimpiadi, grigia e rossa, che lo teneva al caldo nonostante il clima quasi gelido, e il suo posto, dietro la sezione stampa, era perfetto per avere una vista chiara e completa del palco rialzato e circolare a poche centinaia di metri di fronte a lui. La cerimonia di apertura dei Giochi olimpici invernali 2018 stava per iniziare.
Mentre le luci si snodavano intorno alla struttura scoperta dello stadio, l’attesa si respirava attraverso il brusio di oltre 35.000 persone e lo spettacolo era fantastico. Era evidente che poche persone vivessero l'attesa più intensamente di lui. Per più di tre anni, il 47enne funzionario pubblico era stato responsabile delle infrastrutture tecnologiche del comitato organizzatore delle Olimpiadi di Pyeongchang. Aveva supervisionato la configurazione di un'infrastruttura IT per i giochi che comprendeva più di 10.000 PC, 20.000 dispositivi mobili, 6.300 router Wi-Fi e 300 server in due data center situati a Seoul.
Questa infrastruttura funzionava perfettamente o, almeno, così sembrava fino a quel momento. Infatti, mezz'ora prima, aveva saputo di un fastidioso problema tecnico. La fonte di questo problema era una società IT da cui, per le Olimpiadi, erano stati affittati un altro centinaio di server. Ed era chiaro che a mezz’ora dall’inaugurazione, questa notizia era qualcosa di insopportabile, soprattutto considerando che aveva gli occhi del mondo intero addosso.
I data center di Seoul, invece, non segnalavano alcun tipo di malfunzionamento ed il team di Oh credeva che i problemi fossero gestibili. Non sapeva ancora che non si potevano stampare i biglietti d’ingresso allo stadio. Così, si era sistemato al suo posto, pronto a godersi quell’evento che rappresentava, sicuramente, il momento più importante della sua carriera.
Dieci secondi prima delle 20, i numeri del countdown cominciarono ad apparire, uno per uno, mentre un coro di voci di bambini scandivano il countdown in coreano:
"Sip! ... Gu! ... amico! ... Chil!
Nel bel mezzo del conto alla rovescia, il telefono di Oh si illuminò improvvisamente. Egli guardò in basso e vide un messaggio su KakaoTalk, una popolare app di messaggistica coreana. Il messaggio rappresentava la peggiore notizia possibile che Oh avrebbe potuto ricevere in quel momento: “C’era qualcosa o qualcuno che stava spegnendo tutti i domain controller presenti nei data center di Seoul, ossia i server che costituivano la spina dorsale dell'infrastruttura IT delle Olimpiadi”.
Non appena cominciata la cerimonia di apertura, migliaia di fuochi d'artificio esplosero intorno allo stadio e decine di marionette e ballerini coreani entrarono sul palco. Oh, però, non stava vedendo niente di tutto questo. Infatti, stava messaggiando furiosamente con i componenti del suo staff mentre questi, impotenti, osservavano la loro intera infrastruttura IT spegnersi inesorabilmente. Si rese ben presto conto che ciò che la società partner aveva riferito non era un semplice problema tecnico. Era stato il primo segnale di un attacco in corso. Era, ormai, chiaro che doveva raggiungere il suo centro operativo tecnologico.
Mentre Oh raggiungeva l’uscita dello stadio dalla sezione stampa, i giornalisti intorno a lui avevano già iniziato a lamentarsi per il malfunzionamento del Wi-Fi. Migliaia di televisori collegati a Internet che mostravano la cerimonia intorno allo stadio e in altre 12 strutture olimpiche erano diventati neri. Tutti gli ingressi di sicurezza basati su RFID che permettevano gli accessi ad ogni edificio olimpico erano inattivi. Anche l'app ufficiale delle Olimpiadi, compresa la funzione di biglietteria digitale, risultava fuori servizio.
Il comitato organizzatore di Pyeongchang si era, comunque, preparato per situazioni simili. Il suo gruppo per la sicurezza informatica si era riunito 20 volte dal 2015. Avevano condotto esercitazioni già nell'estate dell'anno precedente, simulando disastri come attacchi informatici, incendi e terremoti. Ma ora che uno di quegli scenari da incubo si era manifestato, la sensazione, per Oh, era sia esasperante che surreale. "In realtà è successo," pensò Oh, come per scuotersi dalla sensazione che fosse solo un brutto sogno.
Una volta che Oh si era fatto strada tra la folla, corse verso l'uscita dello stadio e fuori, nella fredda aria notturna, venne raggiunto da altri due dipendenti IT. Saltarono su un SUV Hyundai e iniziarono i 45 minuti di auto più lunghi della loro vita, per raggiungere la città costiera di Gangneung, dove si trovava il centro operativo tecnologico delle Olimpiadi.
Dall'auto, Oh chiamò i dipendenti presenti allo stadio dicendo loro di iniziare a distribuire hotspot Wi-Fi ai giornalisti e di dire alla sicurezza di controllare i badge manualmente, perché tutti i sistemi RFID erano fuori servizio. Ma questa era l'ultima delle loro preoccupazioni. Oh sapeva che nell’arco di circa due ore la cerimonia di apertura sarebbe finita e decine di migliaia di atleti, visitatori e spettatori avrebbero scoperto che non avevano connessioni Wi-Fi e nessun accesso all'app delle Olimpiadi, piena di orari, informazioni sugli hotel e mappe. Il risultato sarebbe stato umiliante. Se non fossero riusciti a far ripartire i server entro la mattina successiva, l'intero back-end IT del comitato organizzatore, responsabile di tutto, dai pasti alle prenotazioni alberghiere, fino alla biglietteria degli eventi, sarebbe rimasto offline mentre i giochi sarebbero stati in pieno svolgimento. Si prospettava all’orizzonte il più grande fiasco tecnologico della storia in uno dei paesi tecnologicamente più avanzati del mondo.
Oh arrivò al centro operativo tecnologico di Gangneung alle 21, a metà della cerimonia di apertura. Il centro consisteva di un grande openspace con scrivanie e computer per 150 dipendenti; un’intera parete era coperta di schermi. Quando entrò, molti dei membri dello staff erano in piedi, raggruppati, e stavano discutendo con ansia come rispondere all'attacco. Il problema era anche aggravato dal fatto che i servizi di base come la posta elettronica e la messaggistica erano off-line.
Tutti e nove i Domain Controller che governavano l’autenticazione, erano stati in qualche modo messi fuori uso, rendendo inaccessibile qualsiasi risorsa. Il personale aveva deciso una soluzione temporanea, ossia quella di bypassare le macchine cosiddette gatekeeper morte impostando l’accesso in modo diretto su tutti i server sopravvissuti che alimentavano alcuni servizi di base, come il Wi-Fi e i televisori collegati a Internet. In questo modo, riuscirono a riportare online quei servizi pochi minuti prima della fine della cerimonia.
Nelle due ore successive, mentre tentavano di ricostruire i Domain Controller per ricreare una rete migliore e più sicura, i tecnici avrebbero scoperto che, come nel gioco della talpa, i servizi venivano interrotti molto più rapidamente di quanto loro fossero in grado di ripristinarli. Segno evidente della presenza di qualcuno all’interno della rete.
Pochi minuti prima di mezzanotte Oh e i suoi amministratori di sistema decisero a malincuore una misura disperata: avrebbero disconnesso l'intera rete da Internet nel tentativo di isolarla dagli attaccanti perché era chiaro che questi potevano muoversi all’interno grazie ai canali di comando e controllo che avevano realizzato. Ovviamente, ciò significava abbattere ogni servizio, anche il sito web pubblico delle Olimpiadi. D’altra parte, sarebbe stato l’unico modo per sradicare qualsiasi infezione.
Per il resto della notte Oh e il suo staff lavorarono freneticamente per ricostruire il “sistema nervoso digitale” delle Olimpiadi. Alle 5 del mattino, un partner di sicurezza coreano, AhnLab, era riuscito a creare una firma antivirus che avrebbe potuto aiutare il personale di Oh a bloccare il malware sulle migliaia di PC e server della rete che erano stati infettati.
Alle 6:30 del mattino, gli amministratori dei sistemi reimpostarono le password dello staff nella speranza di bloccare qualsiasi possibilità di accesso agli hacker. Poco prima delle 8 di quella mattina, quasi esattamente 12 ore dopo l'inizio dell'attacco informatico alle Olimpiadi, Oh e i suoi collaboratori, insonni, finirono di ricostruire i loro server dai backup e iniziarono a riavviare i servizi.
Sorprendentemente, funzionò ogni cosa e, tutto sommato, il disservizio fu minimo. Un giornalista del Boston Globe, in seguito, definì i giochi "impeccabilmente organizzati". Migliaia di atleti e milioni di spettatori rimasero ignari del fatto che lo staff delle Olimpiadi aveva trascorso la notte combattendo contro un nemico invisibile che minacciava di gettare l'intero evento nel caos.
Poche ore dopo l'attacco, le prime voci, però, cominciarono a circolare nelle comunità di sicurezza informatica relativamente ai problemi che avevano fatto cadere il sito web delle Olimpiadi, le infrastrutture Wi-Fi e le varie applicazioni durante la cerimonia di apertura. Due giorni dopo la cerimonia, il comitato organizzatore di Pyeongchang confermò di essere stato il bersaglio di un attacco informatico ma si rifiutò di commentare chi avrebbe potuto esserci dietro quell’attacco.
L’incidente diventò, immediatamente, un caso internazionale. Chi avrebbe avuto il coraggio di effettuare un attacco informatico alle infrastrutture digitali delle Olimpiadi? L'attacco informatico di Pyeongchang si sarebbe rivelato l'operazione di hacking più ingannevole della storia durante il quale vennero usati i mezzi più sofisticati mai visti prima per confondere gli analisti forensi nella ricerca dei colpevoli.
La difficoltà di dimostrare la fonte di un attacco, il cosiddetto problema di attribuzione, ha afflitto la sicurezza informatica fin dagli albori di Internet. Gli hacker più sofisticati possono realizzare le loro connessioni sfruttando rotte tortuose e inserendo vicoli ciechi all’interno delle rotte stesse, rendendo quasi impossibile seguire le loro tracce. Gli analisti forensi hanno comunque imparato a determinare l'identità degli hacker con altri mezzi, cercando indizi nel codice, connessioni infrastrutturali e motivazioni politiche.
Negli ultimi anni, tuttavia, i cyberspies e i sabotatori sponsorizzati dagli Stati hanno sempre più sperimentato un altro trucco: piantare le cosiddette “false flags”. Questi atti, volti ad ingannare sia gli analisti di sicurezza che i tecnici, hanno dato origine a narrazioni fantasiose sulle identità degli hacker che sono difficili da cancellare, anche dopo l’annuncio da parte dei governi dei risultati ufficiali ottenuti dalle loro agenzie di intelligence. Certamente, non aiuta il fatto che questi risultati ufficiali arrivino, spesso, settimane o addirittura mesi, dopo che l’attacco è avvenuto, ma tant’è.
Ad esempio, quando gli hacker nordcoreani hanno violato la Sony Pictures nel 2014 per impedire il rilascio di “The Interview”, si sono inventati un gruppo “hacktivista” chiamato “Guardiani della Pace” e hanno cercato di fuorviare gli investigatori tramite una vaga richiesta di riscatto. Anche dopo che l'FBI aveva dichiarato la responsabilità della Corea del Nord e la Casa Bianca aveva imposto nuove sanzioni contro il regime di Kim come punizione, diverse aziende di sicurezza hanno continuato a sostenere che l'attacco doveva essere stato generato dall’interno.
Quando gli hacker russi sponsorizzati dallo stato hanno rubato e rese pubbliche le e-mail del Comitato Nazionale Democratico e della campagna di Hillary Clinton nel 2016, adesso sappiamo che il Cremlino, allo stesso modo, si è inventato storie per coprire e deviare su altri le responsabilità di quell’attacco. Ha inventato un hacker rumeno solitario di nome Guccifer 2.0 a cui attribuire l’attacco e ha anche diffuso le voci che una persona dello staff democratico, poi assassinata, di nome Seth Rich fosse il responsabile della pubblicazione delle e-mail e della distribuzione di documenti rubati utilizzando un sito falso chiamato DCLeaks. Queste false notizie o inganni, che dir si voglia, divennero teorie cospirative, utilizzate e strumentalizzate dai sostenitori della destra e dal candidato presidenziale Donald Trump.
Si era, così, creato un clima di sfiducia nelle istituzioni e un credito verso coloro che sostenevano le tesi false e gli scettici respingevano, anche, indizi evidenti che portavano alla responsabilità del Cremlino tanto che anche una dichiarazione congiunta da parte delle agenzie di intelligence statunitensi, avvenuta quattro mesi dopo, che attribuiva alla Russia la responsabilità dell’attacco non poteva più far cambiare ciò che la gente comune pensava in merito all’accaduto. Ed ancora oggi, da un sondaggio dell’Economist, emerge che circa soltanto la metà degli americani ha detto di credere che la Russia interferisse nelle elezioni.
Con il malware che ha colpito le Olimpiadi di Pyeongchang, l’arte dell'inganno digitale ha fatto enormi passi avanti. Gli investigatori avrebbero trovato nel codice malevolo non solo una singola false flag ma diversi altri falsi indizi che puntavano a diversi potenziali colpevoli. E alcuni di questi indizi sono stati nascosti così profondamente tanto da far dire che una cosa simile non era mai successa prima di allora.
Fin dall'inizio, le motivazioni geopolitiche dietro i sabotaggi olimpici erano tutt'altro che chiare. È noto che qualsiasi attacco informatico in Corea del Sud viene, naturalmente, addebitato alla Corea del Nord. Il cosiddetto “regno degli eremiti” ha tormentato i vicini capitalisti con provocazioni militari e cyberwar di basso livello per anni. Alla vigilia delle Olimpiadi, gli analisti della società di sicurezza informatica McAfee avevano avvertito che gli hacker di lingua coreana avevano preso di mira gli organizzatori olimpici di Pyeongchang con e-mail di phishing e che la Corea del Nord fosse responsabile della creazione di un malware ad hoc con il quale colpire l’infrastruttura digitale delle Olimpiadi.
Ci sono stati, comunque, segnali contraddittori sulla scena pubblica. All'inizio delle Olimpiadi, la Corea del Nord sembrava sperimentare un approccio più amichevole. Il dittatore nordcoreano, Kim Jong-un, aveva mandato sua sorella come emissario diplomatico ai giochi e aveva invitato il presidente della Corea del Sud, Moon Jae-in, a visitare la capitale nordcoreana di Pyongyang. I due paesi avevano persino lanciato l’ipotesi di partecipare ai Giochi con un’unica squadra di hockey femminile. Perché la Corea del Nord avrebbe dovuto lanciare, dunque, un attacco informatico dirompente nel bel mezzo dei Giochi?
Poi c'era la Russia. Il Cremlino aveva il suo movente per un attacco a Pyeongchang. Le indagini sul doping da parte di atleti russi avevano portato a un risultato umiliante prima delle Olimpiadi del 2018: i suoi atleti sarebbero stati autorizzati a competere, ma non a indossare i colori russi o accettare medaglie per conto del loro paese. Per anni, prima di quel verdetto, una squadra di hacker russi sponsorizzata dallo stato, conosciuta come Fancy Bear, aveva reagito, rubato e fatto trapelare dati in merito alle pratiche del doping. L'esilio della Russia dai giochi era esattamente il tipo di leva che poteva ispirare il Cremlino a scatenare un attacco dirompente durante la cerimonia di apertura. Se il governo russo non avesse potuto godersi le Olimpiadi, allora non lo avrebbe fatto nessuno.
Anche qui, però, le cose non erano così chiare. Qualche giorno prima della cerimonia di apertura, la Russia aveva negato qualsiasi attività di hacking che avesse come oggetto le Olimpiadi. "Sappiamo che i media occidentali stanno pianificando pseudo-indagini sul tema delle "impronte digitali russe" negli attacchi di hacking contro le risorse informatiche relative all'hosting dei Giochi Olimpici Invernali nella Repubblica di Corea", aveva detto il Ministero degli Esteri russo all’agenzia Reuters. "Naturalmente, non c’è nessuna prova che lo dimostra."
In realtà, ci sarebbero state molte prove che potevano portare a considerare la responsabilità della Russia. Il problema vero è che ce n’erano tante altre che indicavano il contrario secondo un classico gioco degli inganni.
Tre giorni dopo la cerimonia di apertura, la divisione di sicurezza Talos di Cisco rivelò di avere ottenuto una copia del malware creato per le Olimpiadi e di averlo sezionato ed analizzato. Qualcuno dal comitato organizzatore delle Olimpiadi o, forse, la società di sicurezza coreana AhnLab aveva, infatti, caricato il codice malevolo su VirusTotal. La società avrebbe, successivamente, pubblicato i risultati dell’analisi in un post sul blog e avrebbe assegnato al malware il nome di Olympic Destroyer.
In linea di principio, l'anatomia di Olympic Destroyer ricordava due precedenti attacchi informatici russi: NotPetya e Bad Rabbit. Come nel caso di quei precedenti attacchi, anche Olympic Destroyer utilizzava uno strumento di “credential theft”, combinato con le funzionalità di accesso remoto di Windows che, grazie a vulnerabilità esposte per la mancanza di aggiornamenti, permetteva di diffondersi tra le varie macchine in rete. Infine, ha utilizzato un componente per la distruzione dei dati al fine di eliminare la configurazione di avvio dalle macchine infette prima di disabilitare tutti i servizi di Windows e spegnere i computer in modo che non potessero essere riavviati. Gli analisti della società di sicurezza CrowdStrike avrebbero trovato altro codice che faceva riferimento alla Russia; elementi che assomigliavano a un pezzo di ransomware russo noto come XData.
Nonostante ciò, non c’era chiarezza perchè sembrava che non ci fosse una chiara corrispondenza, in termini di codice tra Olympic Destroyer e i precedenti worm NotPetya o Bad Rabbit anche se contenevano caratteristiche simili. A quanto pareva, molto probabilmente, erano state ricreate da zero o copiate da altre sorgenti.
Da un’analisi ancora più profonda, è emerso che la parte di cancellazione dei dati di Olympic Destroyer aveva le stesse caratteristiche del codice di eliminazione dei dati che era stato utilizzato non dalla Russia, ma dal gruppo di hacker nordcoreano noto come Lazarus. Quando i ricercatori di Cisco hanno messo fianco a fianco le strutture logiche dei componenti di cancellazione dei dati, effettivamente, sembravano corrispondere anche se in modo approssimativo. Entrambi distruggevano i file con la stessa modalità: eliminare solo i primi 4.096 byte. Si poteva dire che la Corea del Nord era dietro l'attacco, quindi?
C'erano, però, anche altre tracce che portavano in direzioni completamente diverse. La società di sicurezza Intezer notò che un pezzo del codice per rubare le credenziali e le password era abbinato esattamente agli stessi strumenti utilizzati da un gruppo di hacker noto come APT3, un gruppo che più aziende di sicurezza informatica hanno collegato al governo cinese. La società era riuscita anche ad identificare un componente che Olympic Destroyer aveva utilizzato per generare le chiavi di crittografia e lo aveva associato ad un ulteriore gruppo, APT10, anch’esso collegato alla Cina. Intezer ha sottolineato che il componente di crittografia non era mai stato utilizzato prima da altri team di hacking. Russia? Corea del Nord? Cina? Più si procedeva con l’analisi del malware e più attori si palesavano all’orizzonte e tutto pareva, anche, estremamente contradditorio.
Infatti, tutti quegli indizi, come detto, molto spesso contraddittori, sembravano progettati non per condurre gli analisti verso un’unica risposta, ma per creare confusione e rendere oltremodo difficile la soluzione dell’enigma. Il mistero metteva a dura prova gli investigatori creando una quantità enorme di dubbi. "Si è trattato di una vera e propria guerra psicologica rivolta agli analisti", affermò Silas Cutler, un ricercatore di sicurezza che all'epoca lavorava per CrowdStrike.
Questo dubbio, proprio come gli effetti del sabotaggio alle Olimpiadi, sembrava essere stato il vero obiettivo del malware, disse Craig Williams, un ricercatore di Cisco. "Anche quando un simile attacco porta a termine la sua missione, appare evidente il reale messaggio che viene inviato alla comunità della sicurezza", disse Williams. "In un’analisi di un attacco cyber è difficilissimo attribuire la responsabilità perché si può sempre essere fuorviati." E questa è, davvero, una profonda verità.
Il comitato organizzatore delle Olimpiadi, si è scoperto, non era l'unica vittima di Olympic Destroyer. Secondo la società di sicurezza russa Kaspersky, l'attacco informatico colpì anche altri obiettivi collegati con le Olimpiadi, tra cui Atos, un fornitore di servizi IT in Francia che aveva sostenuto l'evento, e due stazioni sciistiche a Pyeongchang. Una di queste località era stata infettata abbastanza seriamente tanto che gli impianti di risalita erano stati temporaneamente bloccati.
Nei giorni dopo l'attacco durante la cerimonia di apertura dei Giochi, il “Global Research and Analysis Team di Kaspersky” era riuscito ad ottenere una copia del malware Olympic Destroyer da una delle stazioni sciistiche e aveva cominciato ad analizzarlo in modo diverso rispetto a quanto fatto da Cisco e Intezer. Aveva analizzato la sua "intestazione", una parte dei metadati del file che include indizi su quali tipi di strumenti di programmazione sono stati utilizzati per scriverlo. Confrontando quell'intestazione con altre campioni di malware, trovarono una perfetta corrispondenza con il metodo di cancellazione dei dati usati dagli hacker nordcoreani Lazarus, lo stesso che Cisco aveva già indicato. La teoria nordcoreana sembrava confermata.
Ma un ricercatore anziano di Kaspersky di nome Igor Soumenkov decise di fare qualcosa di diverso. Soumenkov era noto per essere un prodigio nel campo dell’ethical hacking ed era stato reclutato nel team di ricerca di Kaspersky fin da giovanissimo dal momento che aveva una conoscenza straordinariamente profonda delle intestazioni dei file. Così decise di ricontrollare le scoperte dei suoi colleghi.
Soumenkov esaminò il codice e stabilì che i metadati dell'intestazione non avevano nessun tipo di relazione con il codice del malware; il malware non era stato scritto con gli strumenti di programmazione che, solitamente, vengono associati all'intestazione. In definitiva, i metadati rappresentavano un falso.
Questo era qualcosa di diverso rispetto a tutti gli altri segni di depistaggio che i ricercatori avevano trovato fino a quel momento. Infatti, fino ad allora, nessuno era stato in grado di dire con certezza quali indizi fossero reali e quali no. Ma ora, entrando nelle pieghe reali del codice e dei metadati, Soumenkov aveva trovato una false flag, il cosiddetto vero inganno. Era ormai chiaro che qualcuno aveva cercato di far sì che il malware potesse essere attribuito alla Corea del Nord e che c’era quasi riuscito ma grazie al meticoloso controllo triplo di Kaspersky, l’inganno era venuto alla luce.
D’altra parte, era, anche, evidente che il codice non fosse attribuibile alla Cina perché, di norma, il codice cinese è molto riconoscibile e questo era profondamente diverso.
E allora? Se non la Cina, se non la Corea del Nord, allora chi? Qualche mese dopo, in una sala conferenze di Kaspersky, di fronte a questa domanda, Soumenkov, tirò fuori da una piccola borsa di stoffa nera una serie di dadi. Su ogni lato dei piccoli cubi neri c’erano scritte parole come Anonimo, Cybercriminali, Hacktivisti, Stati Uniti, Cina, Russia, Ucraina, Cyberterroristi, Iran. Si trattava dei famosi dadi di attribuzione.
Kaspersky, come molte altre aziende di sicurezza, utilizza una rigorosa politica che riguarda solo la capacità di bloccare gli attacchi hacker senza mai nominare il Paese o il Governo dietro ai quali ci possa essere l’attacco stesso. Ma il cosiddetto dado di attribuzione che Soumenkov teneva in mano rappresentava, ovviamente, l'esasperazione del problema dell'attribuzione stessa e cioè “che nessun attacco informatico possa mai essere veramente ricondotto alla sua fonte, e chiunque ci provi è semplicemente uno che tira ad indovinare”.
Michael Matonis stava lavorando da casa sua quando iniziò a tirare i fili che avrebbero svelato il mistero di Olympic Destroyer. Il 28enne, un ex punk anarchico, trasformato in ricercatore di sicurezza, ancora non aveva una scrivania nell’ufficio di FireEye. Così, quando iniziò ad esaminare il malware che aveva colpito Pyeongchang, Matonis era seduto nel suo spazio di lavoro improvvisato: una sedia di metallo pieghevole con il suo portatile appoggiato su un tavolo di plastica.
Per un capriccio, Matonis decise di provare un approccio completamente diverso rispetto a coloro che lo avevano analizzato fino a quel momento. Non cercò indizi nel codice del malware ma cominciò ad esaminare un elemento molto più banale dell'operazione: un falso documento Word, malevolo, che era servito come primo passo nella quasi disastrosa campagna di sabotaggio della cerimonia di apertura.
Il documento, che sembrava contenere un elenco di delegati VIP ai giochi, era stato probabilmente inviato via email al personale delle Olimpiadi come allegato. Se qualcuno avesse aperto quell'allegato, sarebbe stato eseguito uno script dannoso che avrebbe installato una backdoor sul proprio PC, offrendo agli hacker il loro primo punto d'appoggio nella rete di destinazione. Quando Matonis estrasse il documento da VirusTotal, vide che l'esca era stata probabilmente inviata allo staff delle Olimpiadi alla fine di novembre 2017, più di due mesi prima dell'inizio dei giochi. Gli hacker erano penetrati nella rete olimpica, pertanto, qualche mese prima in modo da innescare il proprio attacco.
Matonis cercò di trovare delle corrispondenze con quel campione di codice analizzando i documenti presenti in VirusTotal e nei database di FireEye. Durante una prima scansione, non trovò nulla ma Matonis notò, comunque, che alcune decine di documenti infettati da malware e presenti negli archivi, corrispondevano alle caratteristiche, approssimativamente, del suo file: macro Word costruite per lanciare comandi Powershell. Continuando nell’analisi, alla fine, Matonis trovò che il tentativo di rendere unici i file codificati aveva, invece, reso questi file un gruppo decisamente riconoscibile. Ben presto scoprì che alla base della generazione di questi file malevoli, c’era uno strumento facilmente reperibile online chiamato “Malicious Macro Generator”.
Matonis ipotizzò che gli hacker avessero scelto il programma per confondersi con altri autori di malware, ma alla fine avevano ottenuto l'effetto opposto. Oltre a ciò, notò che il gruppo di macro malevole era unito dai nomi degli autori che vennero estratti dai metadati. Quasi tutti erano stati scritti da qualcuno di nome "AV", "BD" o "John".
Tra i file analizzati, Matonis trovò altri due documenti esca risalenti al 2017 che sembravano colpire i gruppi di attivisti ucraini LGBT, utilizzando file infetti da parte di finte organizzazioni che combattevano per i diritti gay. Altri, invece, prendevano di mira le aziende ucraine e le agenzie governative.
Questo, per Matonis, era un territorio familiare: per più di due anni, aveva visto la Russia lanciare una serie di operazioni distruttive di hacking contro l'Ucraina, una guerra informatica implacabile che accompagnò l'invasione della Russia dopo la sua rivoluzione pro-occidentale del 2014.
Anche se quella guerra fisica aveva ucciso 13.000 persone in Ucraina e sfollato milioni di persone, un gruppo di hacker russi noto come Sandworm aveva condotto una vera e propria guerra informatica contro l'Ucraina: aveva bloccato le aziende ucraine, le agenzie governative, le ferrovie, e gli aeroporti con ondate di intrusioni che distrussero una quantità enorme di dati, tra cui due violazioni senza precedenti delle utenze elettriche ucraine nel 2015 e 2016 che avevano causato blackout per centinaia di migliaia di persone. Questi attacchi culminarono in NotPetya, un malware che si era diffuso rapidamente oltre i confini dell'Ucraina e che, alla fine, inflisse 10 miliardi di dollari di danni alle reti globali: il più costoso attacco informatico della storia.
A quel punto, nella testa di Matonis, tutti gli altri sospetti per l'attacco olimpico caddero. Matonis non poteva ancora collegare l'attacco a un particolare gruppo di hacker, ma solo un paese avrebbe avuto come bersaglio l'Ucraina, quasi un anno prima dell'attacco di Pyeongchang, usando la stessa infrastruttura che avrebbe poi usato per hackerare il comitato organizzatore delle Olimpiadi, e non era la Cina o la Corea del Nord.
Stranamente, altri documenti infetti nelle mani di Matonis sembravano avere come vittime il mondo immobiliare e commerciale russo. Una squadra di hacker russi aveva il compito di spiare qualche oligarca russo per conto dei loro maestri di intelligence?
Indipendentemente da ciò, Matonis aveva, finalmente, tagliato il traguardo trovando chi ci fosse stato dietro all'attacco informatico delle Olimpiadi del 2018: il Cremlino.


"Il caso di Olympic Destroyer ha rappresentato la prima volta in cui qualcuno ha usato false flags in un attacco significativo e rilevante per la sicurezza nazionale e ha rappresentato un assaggio di come potrebbero essere i conflitti del futuro."
Ci sarebbe ancora molto da dire ma credo che la cosa migliore sia quella di dedicare tempo alla lettura di “Sandworm” di Andy Greenberg che, come detto all’inizio, è stata la fonte per scrivere questa storia e comprendere, sempre più, che sia necessario allargare lo sguardo di ognuno di noi ed analizzare fino in fondo gli incidenti di sicurezza per comprendere cosa ci sia realmente dietro quelli che, apparentemente, sembrano attacchi scollegati l’uno dall’altro.
La nostra sicurezza passa sempre attraverso la nostra voglia di studiare e comprendere gli eventi nel profondo e, per riprendere una frase di Bernard Baruch: In milioni hanno visto la mela cadere, ma Newton è stato quello che si è chiesto perché.

Carlo Mauceli
Altre fonti: The Untold Story of NotPetya, the Most Devastating Cyberattack in History

mercoledì 29 gennaio 2020

Il Garante Privacy sanziona Eni Gas e Luce (Egl) per 11,5 milioni di euro



Ha provocato un discreto rumore il Comunicato stampa di alcuni giorni fa con il quale il Garante per la protezione dei dati personali annunciava di aver sanzionato Eni Gas e Luce (Egl) per un complessivo ammontare pari a 11,5 milioni di euro.
I titoli delle due sanzioni riportate all’interno del Comunicato in questione, riguardano rispettivamente i trattamenti illeciti di dati personali nell'ambito di attività di promozione commerciale (attraverso attività di telemarketing) e attivazione di contratti non richiesti, mediante uso dei dati dei clienti conferiti in altra sede.
E’ interessante condividere insieme alcune riflessioni riferite ai Provvedimenti in oggetto.
In primis, si può finalmente affermare – benché ovvio – che anche l’Italia ha iniziato a muovere i suoi primi passi nel valzer delle attività sanzionatorie in ambito privacy.
In Europa sino al mese di dicembre 2019, il monte sanzionatorio già complessivamente realizzato si aggirava intorno ai 400 milioni, con un contributo di “appena” 50.000 euro di attività del Garante italiano, con il famoso Provvedimento al portale Rousseau.
In secondo luogo è interessante notare una delle prime applicazioni concrete dei criteri introdotti dal GDPR per l’individuazione delle sanzioni correlate alle violazioni. Queste ultime infatti, riscontrate dal Nucleo Privacy della Guardia di Finanza, sono state elaborate secondo i criteri indicati nel Regolamento Ue n. 679/2016 (GDPR), tra i quali figurano l'ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
Non si tratta di una vera e propria novità, ma rilevarli all’interno di sanzioni di entità pari a quelle comminate alla Società Egl dona tutto un nuovo sapore al senso dei criteri stessi. Non solo dunque il tradizionale aspetto della numerosità dei trattamenti o della natura degli stessi, più di frequente utilizzati con la previgente normativa, ma anche criteri di pervasività (correlati all’impatto che il comportamento sanzionato ha avuto sugli individui interessati), la durata del comportamento e –fondamentale rispetto al quantum- le condizioni economiche di Egl. Al contrario si potrebbe ipotizzare che, come più volte già peraltro affermato dal Garante anche rispetto alla sua precedente attività compiuta in vigenza del primo Codice Privacy, di fronte a enti o società dai numeri più modesti non ci si deve aspettare il pugno di ferro previsto dai massimali milionari di cui all’art. 83 commi 4 e 5.
Da ultimo è interessante notare che il Garante è voluto entrare nel merito del tipico disallineamento esistente tra il CRM (Customer Relationship Management - spina dorsale dell’apparato produttivo di ogni Società) e la gestione dei consensi raccolti. In particolare viene notato dall’Autorità che “gli episodi di temporaneo disallineamento del CRM e della black list di EGL hanno avuto circoscritte e limitate conseguenze ma configurano, in ogni caso, la violazione delle disposizioni di cui all’art. 5, par. 2 del Regolamento, poiché la Società non è stata in grado di assicurare e comprovare tempistiche e modalità di aggiornamento dello stato dei consensi nel CRM e nella propria black list; deve pertanto altresì prescriversi alla Società di realizzare in tempi certi la definitiva implementazione dei prospettati meccanismi volti a automatizzare i flussi di dati dal CRM alla black list in uso presso la società
Ciò vuol dire, come gli addetti ai lavori già ben sanno, che il principio di privacy by design di cui all’art. 25 diviene concreto nella misura in cui sono stati regolarizzati anche e soprattutto i flussi tecnico-informatici correlati ad un trattamento, non tanto le tonnellate di carta dietro alle quali a vario titolo le Società spesso si arroccano.
Nel rilevare dunque un buon inizio in questi primi Provvedimenti, sarebbero altresì auspicabili da parte dell’Autorità interventi di indirizzo e supporto più numerosi e, perché no, anche più profondi (ad esempio affiancamenti o training), nei confronti delle PA o del privato (specie se infrastruttura critica) su temi come questi, diversi da progetti più “alti” a livello formativo, realizzati per esempio con i recenti cicli di incontri SMEdata.
Naturalmente non si sborsano 11 milioni di euro senza fiatare per cui Egl ha presentato ricorso, vedremo cosa succede.

Andrea Puligheddu

Nota: l’obiettivo generale del Progetto SMEDATA consiste nel "Garantire l’effettiva applicazione del Regolamento Generale sulla Protezione dei Dati Personali attraverso la sensibilizzazione, la moltiplicazione della formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali".

- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9244351
- https://www.cwi.it/applicazioni-enterprise/crm
- https://smedata.eu/index.php/it/ ,




domenica 26 gennaio 2020

West Point Army Cyber Institute

Chi non ha sentito parlare, almeno una volta, del celebre istituto militare americano di West Point?
Non fosse altro per aver visto al cinema o in tv un qualunque film di guerra, l'Accademia Militare dell'Esercito statunitense è conosciuta in tutto il mondo.




L'Accademia Militare vede la luce nel lontano 1802, grazie alla firma del presidente americano Thomas Jefferson che ne decretava per legge la nascita.
La missione dell'Accademia consiste nell' "to educate, train, and inspire the Corps of Cadets so that each graduate is a commissioned leader of character committed to the values of Duty, Honor, Country and prepared for a career of professional excellence and service to the Nation as an officer in the United States Army".
Per mantenere fede alla missione, l'Accademia di West Point si dimostra attenta ai cambiamenti e in questo senso non poteva mancare l'attenzione verso un settore emergente come il mondo cyber, così nel 2012 il Capo di Stato Maggiore dell'Esercito americano, riconosciuta la necessità di una organizzazione capace di una opinione strategica in materia fondò, all'interno di West Point, il "Army Cyber Institute" (ACI), concepito come "national resource for research, advice, and education in the cyber domain, engaging military, government, academic, and industrial cyber communities in impactful   partnerships to build intellectual capital and expand the knowledge base for the purpose of enabling effective Army cyber defense and cyber operations".
Naturalmente l'istituto venne provvisto di personale (esperti ed educatori civili e militari) e di fondi per lo svolgimento della propria missione.
Attualmente l'istituto ha il mandato di svolgere ricerche interdisciplinari, fornire suggerimenti e insegnamenti in ambito cyber, lavorando con il DoD, l'Esercito, il Governo USA, le comunità accademiche e industriali per costruire il capitale intellettuale e la base di conoscenze comuni necessarie per poter compiere efficaci operazioni di cyber defense.
Tra i progetti più interessanti pubblicati sul sito meritano certamente attenzione il progetto "All-Army CyberStakes",  una competizione sul formato "Capture the flag" giunta alla quarta edizione e aperta ai dipendenti del Governo Federale USA ed ai cadetti  elle Accademie e del Reserve Officer Training Corp (ROTC).
Ugualmente interessante il programma di ricerca Jack Voltaic, che servirà da test per verificare le capacità di difesa cyber e la comprensione del ruolo militare in un attacco cyber e nell'identificazione dei gap e delle ridondanze nelle misure di risposta.


Alessandro Rugolo


Per approfondire:
- https://www.westpoint.edu/;
- https://www.acictf.com/;
- https://www.acictf.com/about/;


giovedì 23 gennaio 2020

Conto alla rovescia per ITASEC 2020

Nell’anno 2020 sarà la città di Ancona ad ospitare la quarta edizione dell’ITASEC, organizzata dal Laboratorio Nazionale di Cybersecuritydel CINI e in collaborazione con l’Università Politecnica delle Marche e l’Università degli studi di Camerino.
La conferenza si svolgerà nel corso di quattro giornate, dal 4 al 7 febbraio e riunirà esperti, ricercatori e giornalisti provenienti da tutto il mondo con l’obiettivo di discutere dei temi caldi legati al mondo cyber tra i quali Blockchain nazionale ed IA, il perimetro nazionale per la sicurezza cibernetica, Golden Power e molti altri.
Quest’anno vi sarà un marcato interesse per argomenti quali la diplomazia cibernetica nel cyberspazio e disparità di genere nel mondo informatico.
Alle discussioni su queste tematiche si affiancheranno anche workshop e tutorial legati alle suddette tematiche, da notare l’evento che si terrà il 4 febbraio dedicato ai giornalisti, un tutorial che avrà come obiettivo acquisire conoscenze su tematiche legate alla sicurezza delle fonti e telecomunicazioni nell’ambito cyber ed un workshop su startup, IA e big data.
Alla fine di questi due eventi i partecipanti avranno la possibilità di maturare 5 crediti formativi.
Personalità di spicco in ambito cyber, membri di istituzioni, industria e molti altri si daranno il cambio durante questi quattro giorni di full immersion nel mondo della sicurezza informatica italiana dove si parlerà e deciderà del futuro in questo campo.
Oltretutto durante l’evento verrà premiata la squadra che si è maggiormente distinta durante l’ultima edizione di cyberchallenge.it
Non solo panel e workshop ma anche divulgazione ed intrattenimento, durante l’evento si terrà la prima escape room a tema cyber dove i partecipanti avranno l’obiettivo di risolvere rompicapi ed uscire da una stanza chiusa seguendo una trama progettata appositamente per l’evento.
Un evento da non perdere, per tutti gli interessati, le iscrizioni sono aperte a quota ridotta fino al giorno 24 gennaio sul sito itasec.it

Francesco Rugolo

Foto Ministero della Difesa (ITASEC 19)

domenica 19 gennaio 2020

Giulia va in biblioteca...

Il nonno aveva insistito perché il telescopio (lungo occhio, come lo chiamava Giulia), restasse a casa sua, almeno fino a quando non avesse spiegato a Giulia il suo funzionamento e i rischi nell'utilizzarlo in modo sbagliato. Giulia aveva protestato un po', ma aveva subito capito che sarebbe stato un modo per andare a trovare il nonno ancora più frequentemente di come già faceva. Inoltre in questo modo il nonno, che aveva molto tempo perché non doveva andare a scuola, poteva controllare da vicino quello che accadeva a Gionzo così lei si sentiva più tranquilla.
Lungo Occhio era dunque diventato parte integrante dell'arredamento della casa del nonno. Nella parete, affianco alla finestra, avevano appeso assieme una mappa delle stelle e la carta da regalo in cui si vedevano tutti i pianeti. Il nonno aveva poi sistemato un tavolino basso con una sediolina per Giulia e sul tavolino aveva trovato posto un blocco da disegno, un pacco di pennarelli, una matita con la gomma incorporata e il vecchio pupazzo di Gionzo.
Giulia era rimasta affascinata, adesso aveva un suo punto d'osservazione che era anche il suo posto di lavoro, una scrivania come quella dove lavorava il suo papà. Cominciava a sentirsi grande e la cosa le faceva piacere, voleva dire che a breve, forse, sarebbe diventata estronauta...
Quella mattina non c'era scuola, era successo qualcosa nella mensa, non aveva capito bene cosa, ma doveva essere grave perché la mamma e il papà ne avevano parlato molto insistentemente la sera prima a tavola, ma a lei interessava solo sapere che, come tutte le volte che non c'era scuola, avrebbe potuto passare tutto il giorno con il suo amatissimo nonno. Per cui, senza aspettare che la mamma le dicesse cosa fare, appena alzata aveva preparato diligentemente il suo zainetto, mettendo dentro tutto quello che poteva servirle per la giornata. 
Lo zainetto era piccolo e ci stava appena il nuovo pupazzo di Gionzo ma Giulia era riuscita ad infilarci anche degli altri oggetti, tra cui due ghiande raccolte il giorno prima in giardino e un maglioncino di lana che le piaceva tanto, anche se sapeva che non lo avrebbe utilizzato perché si era in primavera inoltrata e le giornate erano già tiepide.
Mentre ancora faceva colazione arrivò il nonno per potarla con sé. I genitori di Giulia lavoravano tutto il giorno e sarebbero usciti di li a pochi minuti, per essere inghiottiti dal tran-tran quotidiano del lavoro...
- Buon giorno piccola - disse il nonno baciandola sui capelli dai riccioli d'oro - come va oggi? Sei pronta per una nuova avventura?
- Certo che si. Sono prontissimissima… e cosi dicendo alzò le braccia verso il nonno quasi rovesciando la tazza di caffellatte (di caffè non ce n'era naturalmente, lei era ancora piccola, al suo posto la mamma aggiungeva un cucchiaio di Nesquik che lo rendeva più saporito!).
- Bene, allora finisci la colazione che si parte!
Naturalmente non c'era alcun bisogno di ripeterlo perché Giulia già beveva l'ultimo sorso, senza troppa attenzione, col risultato di alzarsi da tavola con degli splendidi baffetti di schiuma sulle labbra...
- Oggi andiamo a prendere un libro in biblioteca…
- Ma nonno, dobbiamo proprio? Io pensavo che potremmo usare il lungo occhio
- Telescopio, Giulia… si chiama telescopio...
- Si nonno, il teleschioppo volevo dire… per vedere le stelle.
- Ma Giulia, guarda il cielo - disse il nonno indicando col dito un punto in alto nel cielo in cui non c'era proprio niente.
- Non vedo niente nonno…
- Appunto, è troppo presto per vedere le stelle. Adesso loro dormono, dato che stanno fuori tutta la notte (e mentre lo diceva ridacchiava come faceva sempre quando scherzava).
- Ma no nonno, le stelle sono sempre lassù, ma c'è troppa luce del Sole e quindi non le possiamo vedere, disse Giulia con la sua voce più seria che riusciva ad avere quando era con il nonno!
- Ieri abbiamo visto un documentario di Piero Angela alla Tv e hanno parlato proprio delle stelle, del Sole e anche di Alfacentaria… - aggiunse Giulia con soddisfazione.
- Brava, allora sai già tutto. Ed io che pensavo di andare in biblioteca a prendere proprio un libro che parla dei pianeti e delle stelle. Visto che sai già tutto andiamo al parco a giocare con gli scoiattoli...
- Non se ne parla popio! - disse Giulia con i pugni sui fianchi, pronta a combattere. - Andiamo in brinbrioteca a prendere un libro. Non so tutto ancora, chissà quante cose ci sono che non conosco… e per diventare estronauta dovrò studiare tantissimo. L'ha detto ieri Piero Angela...
- Ok, allora andiamo in biblioteca. - e detto ciò si incamminarono verso la vicina biblioteca. Il bibliotecario era un amico del nonno e li aiutò a trovare qualche libro adatto alla bisogna guidandoli attraverso gli scaffali pieni di libri.
Giulia si guardava attorno affascinata. Non era la prima volta che veniva in biblioteca col nonno ma adesso cominciava a capire il valore dei libri. In ogni libro infatti si nascondevano, dietro i simboli della scrittura (che lei cominciava a decifrare) tantissime storie interessanti e a lei sconosciute… ma soprattutto era interessata a tutto ciò che avrebbe potuto aiutarla a diventare estronauta.
Si fermarono  di fronte ad uno scaffale pieno di libri illustrati sull'universo e il nonno si mise a parlare con l'amico bibliotecario cercando di capire quale libro fosse più adatto allo scopo. Serviva un libro con tante belle foto a colori ma anche con un minimo di spiegazioni scritte in modo semplice.
Dopo averne sfogliato diversi finalmente si misero d'accordo su due volumi di grande formato...
- Allora buona giornata a te e alla tua piccola estronauta - disse il bibliotecario stringendogli la mano - e buono studio. Comunque segui il mio consiglio, inizia dall'inizio, ovvero dal Sole…. e con queste parole si salutarono.
- Nonno nonno, possiamo cominciare dal Sole? Io penso che sia molto importante cominciare dal Sole ed oggi c'è proprio un bel Sole grande e possiamo guardarlo con il lun... teleschioppo, non è vero?
- Si, penso che si possa iniziare proprio dal Sole, ma prima ci serva una lente particolare che dobbiamo andare a comprare. Ma facciamo subito, vedrai… così, invece che rientrare a casa nonno e nipotina si diressero verso il negozio di ottica del loro paese, alla ricerca di una lente per guardare il Sole...

Alessandro Rugolo

domenica 12 gennaio 2020

Ransomware: un po di storia. Il lato oscuro della cryptologia

Da qualche tempo si sente parlare di ransomware: uno degli attacchi più conosciuti, forse perché consiste nel mettere le mani direttamente nel portafoglio di chi ne rimane vittima. Ransomware, nel cyberspace, è sinonimo di rapimento a scopo di riscatto nel mondo reale e questo lo capiscono tutti. Poco importa se ad essere rapiti siano i nostri dati e non un parente, un amico o un conoscente, la paura di essere colpito da un ransomware è almeno uguale a quella di un rapimento.
Sono molte le società colpite da ransomware negli ultimi anni, di alcune abbiamo già parlato, di altre non sentiremo mai parlare perché, come spesso accade, alla paura di essere colpiti dal ransomware, in caso reale, segue quella di perdere la faccia, specialmente quando ad essere colpita è una società, magari del mondo delle TLC o della Difesa o ancor peggio, della sicurezza informatica.
Per alcune società infatti il danno maggiore non è il pagamento del riscatto per riavere i propri dati ma il fatto che la cosa diventi pubblica e che la reputazione dell'azienda ne sia intaccata.
Eppure, nonostante si parli spesso di ransomware non sono tanti coloro che sanno in che cosa consista e sono ancora meno quelli che conoscono la storia di questo tipo di attacco, almeno quella ufficiale, pubblica. Provimamo dunque a fare un po di chiarezza, spostandoci nel tempo e nello spazio per recarci in una università americana, la Columbia University, una delle università private più conosciute e importanti al mondo.
Siamo a New York.
In particolare dobbiamo ritornare indietro nel tempo fino all'autunno del 1995. In quel periodo uno studente di nome Adam Young, appassionato dello studio dei virus, seguiva un corso di computer security del professor Matt Blaze, uno dei più famosi criptologi, ricercatore e facente parte del board del TOR project. Tra le sue lezioni, sembra che una delle più interessanti (almeno per il nostro Adam Young) sia stata quella sul cifrario conosciuto con il nome di Tiny Encryption Algorithm (TEA), un algoritmo di cifratura progettato allo scopo di essere sicuro, veloce e di piccole dimensioni. Tale algoritmo è stato creato dunque per migliorare la sicurezza, velocizzando il processo di cifratura. 
Adam Young pensò che poteva essere interessante studiare come un tale algoritmo poteva essere impiegato in maniera differente, si mise infatti nei panni di un hacker. 
Come poteva essere impiegato l'algoritmo TEA per rendere ancora più pericoloso un attacco tipo quello dei "One-half virus" ?
One-half virus è un virus scoperto nel 1994 che cifra il contenuto dell'hard-disk infetto. E' un virus polimorfico, ovvero modifica se stesso ad ogni infezione per rendere più difficile il suo riconoscimento. Purtroppo, per un attaccante, un virus di questo tipo ha un difetto, infatti una volta scoperto, può essere osservato e studiato. In pratica il modo di vedere il virus è identico per il difensore e per l'attaccante. Le riflessioni sul tema portarono Young a considerare che se fosse stato possibile modificare il modo di vedere le cose, in pratica rendere asimmetrico il sistema, allora l'attacco poteva essere molto più pericoloso in quanto l'analista non avrebbe avuto modo di studiare il virus.
I termini simmetria e asimmetria sono impiegati spesso nella crittografia. Uno dei sistemi di cifratura più noti oggi consiste proprio nell'impiego della cifratura asimmetrica, basata sull'impiego di due chiavi di cifratura, dette "chiave pubblica" e "chiave privata". L'impiego di un sistema a due chiavi per potenziare un virus non era mai stata esplorata e proprio questo fece Young. Ma si trattava di una idea che andava studiata bene e per farlo ottenne il supporto della università che, grazie al professor Moti Yung, gli offrì la possibilità di sviluppare la sua tesi. 
Adam Young e Moti Yung hanno ideato il primo criptovirus (ovvero un virus che contiene e fa uso di una chiave pubblica), in questo modo l'hacker poteva cifrare i dati di una vittima e chiedere un riscatto per "liberarli". Riscatto che di solito ha un costo inferiore all'eventuale ricorso ad una società di sicurezza. 
La tesi fu discussa e i risultati vennero presentati anche alla conferenza del 6-8 maggio 1996 dell' IEEE Symposium on Security and Privacy con un intervento dal titolo: "Cryptovirology: extorsion-based security threats and countermeasures.
In particolare questo ransomware appartiene alla categoria dei cryptolocker.
Per concludere, una semplice osservazione sui ransomware: seppure assurti agli onori delle cronache in questi ultimi anni essi hanno un loro posto nella storia scientifica, sono documentati e studiati presso le università e, soprattutto, hanno ormai 23 anni compiuti, un'età più che rispettabile nel mondo ultraveloce dell'informatica... eppure ancora oggi continuano a fare danni!

Alessandro Rugolo

Per approfondire:
- Exposing cryptovirology, Adam Young, Moti Yung, Wiley publishing, 2004
- https://www.iacr.org/jofc/
- http://www.tayloredge.com/reference/Mathematics/TEA-XTEA.pdf
- https://www.f-secure.com/v-descs/one_half.shtml
- https://ieeexplore.ieee.org/document/502676
- https://www.difesaonline.it/evidenza/cyber/fine-anno-da-brividi-nel-cyber-spazio-tra-nuovi-rischi-e-vecchie-minacce-mutanti
- https://www.difesaonline.it/evidenza/cyber/satori-il-risveglio-delle-botnet-e-le-altre-sfide-del-2018-la-cyber-security

Giulia, Gionzo e il lungo occhio.

Quella sera Giulia era molto soddisfatta. Il nonno le aveva portato due regali. Il primo l'aveva scartato poco prima di cena. Si trattava di un bellissimo pupazzo di Gionzo.
Era un pupazzo di lana, morbido e profumato, bellissimo!
Giulia era seduta a tavola ma non vedeva l'ora di potersi alzare per scartare il secondo regalo. Il nonno aveva detto che si trattava di due regali di natale da parte di Gionzo ma lei sapeva bene che non era vero. Ormai era cresciuta e non era così facile ingannarla! Dove stava Gionzo, sulla sua navicella diretto verso Marte non c'era l'Ufficio Postale… Ma adesso il suo problema consisteva nel riuscire a convincere la mamma che poteva alzarsi per andare ad aprire il secondo regalo, il pacco più grande che stava poggiato sulla poltrona in pelle vicino al camino.
Chissà cosa conteneva!
Dal suo posto a tavola poteva vederlo. Si trattava di una scatola grande, un po' allungata, avvolta con la stessa carta con il disegno dei pianeti utilizzata per il suo nuovo pupazzo.
Non poteva trattarsi del telelunofono che aspettava con ansia, il pacco era troppo grande.
Ma allora di che cosa si trattava? Giulia non aveva idea… ma doveva essere qualcosa di fantastico.
- Mamma, posso alzarmi? Vorrei aprire il regalo assieme al nonno, prima di andare a letto… Giulia aveva pensato che forse la cosa più semplice era domandare il permesso. Si vede che stava crescendo. Fino a qualche mese prima avrebbe semplicemente provato ad allontanarsi e la mamma o il papà l'avrebbero costretta a stare seduta. Questa era la prima volta che chiedeva il permesso.
- Giulia, hai finito di mangiare?
- Si mamma... Rispose prontamente.
- Ed il nonno? Hai chiesto al nonno se ha finito di mangiare? Disse la mamma con tono di rimprovero...
- Si cara - rispose il nonno poggiando la forchetta - oggi non ho molta fame. Per cui, se per voi va bene, io e Giulia ci spostiamo vicino al camino per aprire il regalo.
- Certamente, potete alzarvi allora, ma consideratela un'eccezione. Disse con tono serio il papà di Giulia che fino a quel momento era stato in silenzio, e mentre parlava faceva l'occhiolino alla moglie per chiederle di lasciarli fare… per una volta le regole si possono anche violare.
- Siiii, urlò Giulia, che non credeva alle sue orecchie. Qualche istante le fu sufficiente per portarsi sopra il pacco e armeggiare, questa volta senza troppa attenzione nei confronti della carta, per aprirlo. Le ci volle però l'aiuto del nonno per estrarre una grossa scatola azzurra, sulla quale era impressa l'immagine di un piccolo telescopio, strumento che Giulia non conosceva.
- Nonno, nonno, che cos'è questo apparecchio? Disse Giulia col suo solito tono di voce - non ho mai visto una cosa del genere.
- Questo si chiama telescopio, nipotina mia, è uno strumento che serve per guardare il cielo. Le stelle, i pianeti, la Luna, Marte… e magari, se siamo fortunati, anche la piccola navicella di Gionzo!
Giulia era incredula. Gli occhi spalancati e la bocca aperta… per la prima volta nella sua vita di bambina non trovava il fiato per parlare, e per lei non era normale. L'emozione all'idea di poter vedere il suo amico Gionzo, anche se non capiva bene come fosse possibile, la costringeva ad un silenzio irreale. Poi, pian piano, la gioia prese il posto dello stupore e senza alcun preavviso finalmente riuscì a parlare… anzi, ad urlare.
E mentre urlava saltò in braccio al nonno pregandolo di spiegarle tutto di quel magico strumento che seppure aveva un nome cosi strano, e che aveva già dimenticato a favore del più semplice "Lungo Occhio", preannunciava delle splendide novità.
- Nonno, nonno, dai, fammi vedere come funziona questo lungo occhio… andiamo a vedere il nostro amico Gionzo… e mentre parlava lo tirava per i pantaloni verso la finestra.
- Un attimo piccola mia - disse il nonno - lasciami montare il cavalletto, due minuti e siamo pronti.
Giulia non stava più nella pelle e il resto della serata non stacco gli occhi dall'oculare per neanche un istante ed ogni cosa che guardava nel cielo era una concerto di "ho...", "siii…", "bellissimo..."
Guardarono prima di tutto la Luna, poi riuscirono a trovare Marte, quasi per miracolo (a causa della troppa luce non era facile vedere i pianeti). Giulia si sentiva molto più vicina al suo amico Gionzo e al Camaleone, che sapeva perduti lassù, in viaggio verso Marte.
Poi, una stella più luminosa di altre apparve nell'obiettivo...
- Vedi questa stella più luminosa? - Disse il nonno con una voce che sembrava preannunciare qualcosa di importante - Quella si chiama Alfa Centauri ed è la stella più vicina al Sole. Guarda che bella...
Giulia guardava affascinata. Quella sera le si era aperto un mondo, anzi, un Universo, di cui non aveva mai avuto veramente idea… Questo era un mondo tutto nuovo, enorme, da esplorare, magari assieme al suo amico Gionzo. Per la prima volta qualcosa le aveva fatto pensare che forse da grande avrebbe voluto esplorare il cielo… come faceva il suo amico Gionzo, su una navicella tutta sua. Anche lei, la piccola Giulia, voleva diventare una estronauta...

Alessandro Rugolo

sabato 11 gennaio 2020

USA - Iran, una nuova guerra ibrida dal futuro incerto

Esiste una guerra silenziosa. Le armi sono invisibili, gli schieramenti fluidi e di difficile identificazione. Potrebbe sembrare una spy story da romanzo eppure vicende come quella degli attacchi informatici avvenuti nel corso delle ultime elezioni americane sono soltanto alcuni tra i più eclatanti episodi di cyber war, una realtà a metà strada tra spionaggio e atto di guerra. Cina, Corea del Nord, Stati Uniti, Russia, cani sciolti, mercenari del web. Lo scenario è vasto e intricato”
Si tratta della descrizione del libro “Cyber War, La Guerra prossima ventura” di Aldo Giannuli e Alessandro Curioni e rappresenta benissimo lo scenario a cui stiamo assistendo dal 2007 ad oggi.
In questo scenario si innesta ciò a cui stiamo assistendo in questi giorni tra USA e Iran, ossia quello che possiamo definire un nuovo conflitto ibrido che ha una chiara matrice politica. Allora, dando seguito a quanto scritto pochi giorni fa da Alessandro Rugolo nell’articolo: USA vs Iran: conflitto convenzionale o cyber ?, proviamo ad approfondire, anche da un punto di vista tecnico, quanto sta accadendo in questi giorni.


Il governo degli Stati Uniti ha emesso un avviso di sicurezza durante il fine settimana d’inizio anno, mettendo in guardia contro possibili atti di terrorismo e cyber-attacchi che potrebbero essere compiuti dall'Iran in seguito all'uccisione del generale Qassim Suleimani, avvenuto all’aeroporto di Baghdad da parte dell'esercito statunitense venerdì 3 gennaio. L’attacco aereo che ha provocato la morte del Generale Suleimani è accaduto dopo violente proteste e attacchi contro l'ambasciata americana a Baghdad da parte di sostenitori dell'Iran.
Dopo l'uccisione del generale Suleimani, la leadership iraniana e diverse organizzazioni estremiste affiliate al Governo, hanno dichiarato pubblicamente che intendevano vendicarsi contro gli Stati Uniti tanto che Il DHS (Department of Homeland Security) ha dichiarato che "l’Iran e i suoi partner, come Hizballah, hanno tutte le capacità per condurre operazioni cibernetiche contro gli Stati Uniti”.
Senza ombra di dubbio le Infrastrutture critiche rappresentano un obiettivo primario e, sempre secondo il DHS, i possibili scenari di attacco potrebbero includere "scouting e pianificazione contro le infrastrutture e attacchi cyber mirati contro una serie di obiettivi basati negli Stati Uniti."
"L'Iran ha un solido programma informatico e può eseguire attacchi informatici contro gli Stati Uniti," ha detto il DHS. "L'Iran è in grado, come minimo, di effettuare attacchi con effetti dirompenti temporanei contro le infrastrutture critiche negli Stati Uniti."
Anche se il Segretario alla Sicurezza Interna degli Stati Uniti Chad F. Wolf ha detto che "non c'è una minaccia specifica e credibile contro il Paese", l'allarme lanciato dal National Terrorism Advisory System (NTAS) avverte anche che "un attacco negli USA può avvenire con poco o nessun avvertimento".
Le aziende di sicurezza informatica, come Crowdstrike e FireEye, ritengono che eventuali futuri attacchi informatici colpiranno, con molta probabilità, le infrastrutture critiche statunitensi, molto probabilmente utilizzando malware con capacità distruttive e di cancellazione dei dati, come i gruppi di hacker sponsorizzati dallo Stato iraniano avrebbero fatto in passato contro altri obiettivi nel Medio Oriente.
Ciò che, forse, non è così noto, è il fatto che gruppi di hacking iraniani hanno ripetutamente attaccato obiettivi degli Stati Uniti nel corso dell'ultimo anno anche se le due motivazioni principali sono state da un lato il cyber-spionaggio (Silent Librarian) e dall’altro motivazioni di natura finanziaria attraverso gruppi criminali informatici (SamSam gruppo ransomware).
Joe Slowik, un cacciatore di malware ICS per Dragos, suggerisce che gli Stati Uniti dovrebbero adottare un approccio proattivo e prevenire alcuni attacchi informatici.
"Gli Stati Uniti o elementi associati agli Stati Uniti potrebbero utilizzare questo periodo di incertezza iraniana per interrompere o distruggere i nodi di comando e controllo o delle infrastrutture utilizzate per controllare e lanciare attacchi informatici ritorsivi, annullando tale capacità prima che possa entrare in azione" ha detto Slowik in un post sul blog pubblicato lo scorso sabato.
A valle di questo articolo, non si sono segnalate risposte provenienti da gruppi di hacker facenti riferimento al governo iraniano anche se abbiamo visto alcuni attacchi informatici di basso livello verificatisi durante lo scorso fine settimana, sotto forma di defacement di alcuni siti web.
Tra questi, quello più significativo è il portale ufficiale del governo, il “Federal Depository Library Program” (FDLP). Secondo un'analisi condotta che descriviamo nel seguito, sul portale FDLP era in esecuzione un'installazione obsoleta di Joomla ed è stato, molto probabilmente, sfruttando proprio le vulnerabilità dettate dalla mancanza di aggiornamento di Joomla stesso che gli hacker hanno eseguito il defacement.
In ogni caso, è giusto segnalare che questi attacchi sembrano essere stati effettuati da attori non affiliati con il regime di Teheran ma con una lunga storia di azioni di defacement non particolarmente sofisticati risalenti agli anni precedenti. Gli attacchi sembrano essere opportunistici e non legati ad operazioni pianificate.
Per il momento, la maggior parte delle ricadute relative all'uccisione del generale Soleimani sembrano essere limitate al fronte politico. Per fare un esempio, il governo iraniano ha annunciato nella giornata di martedì 7 gennaio che non avrebbe rispettato più i limiti contenuti nell'accordo nucleare Iran-USA 2015, dal quale gli USA si erano peraltro già ritirati unilateralmente. Inoltre, il parlamento iracheno ha anche votato per cacciare le truppe statunitensi dal paese.
Nel frattempo, il Dipartimento di Stato degli Stati Uniti ha esortato i cittadini statunitensi a lasciare immediatamente l'Iraq in quanto le loro vite potrebbero essere in pericolo e potrebbero essere intrappolate nel mezzo di complotti e rapimenti terroristici. Quello che è avvenuto dopo, con il lancio dei missili iraniani, è, forse, solo l’inizio di un qualcosa che tutti vorremmo terminasse subito.

Breve Analisi del Defacement di FDLP.gov

A noi interessa, però, capire cosa sia successo in termini cibernetici e quali siano stati i fattori che hanno portato al defacement di molti siti americani. Alla stesura questo articolo, se ne contavano già 150. Per farlo, come anticipato, focalizziamoci sul sito http://fdlp.gov/. Consentitemi, pertanto, di iniziare dicendo che questo defacement non è né una sorpresa né, tantomeno, merita necessariamente una grandissima attenzione ma è un esercizio da cui si possono imparare molte cose in merito alla cultura del defacement e da cui si possono trarre spunti interessanti per ricerche future.
Il defacement è di una semplicità estrema. Gli attaccanti hanno caricato due immagini e oscurato il resto della pagina. Hanno aggiunto il bit standard "lol u get Owned" nella parte inferiore della pagina e, una volta modificata la pagina del sito, si sono dedicati a lanciare defacement automatici verso altri siti grazie a tecniche di SQL Injection.

Quello che si è rivelato davvero interessante è il fatto che c'erano dei dati di tipo EXIF ​​in "we_resist.jpg" il che indica il fatto che erano stati creati nel 2015 con Adobe Photoshop CS6. L'immagine immediatamente sottostante, quella con Donald Trump (1.jpg) non aveva, invece, questo genere di dati. Visto che quasi tutti i principali siti di hosting di immagini e siti di social media rimuovono questi dati, questo fatto, di per sé. Rappresenta un'anomalia interessante.


Facendo un po' di ricerche in relazione al nome dell'immagine è emerso un sito “izumino.jp”. Questo sito si concentra sulla raccolta di metadati estremamente rilevanti per le attività di defacement e, quindi, ha consentito di scoprire che il nome dell'immagine era presente nel codice sorgente di un precedente defacement.

L'immagine è stata originariamente caricata su un sito di hosting di immagini in lingua persiana dove è ancora disponibile (http://s6.picofile.com/file/8223803084/we_resist.jpg). L'immagine è stata utilizzata per la prima volta nel 2015 in una violazione avvenuta ai danni del sito supersexshop.com.br e successivamente, su altri siti. Questi defacement sono stati segnalati in una classifica dei defacement conosciuta come Zone-H da “IRAN-CYBER” che contengono circa 2.447 "notifiche" di defacement risalenti alla fine del 2015. Vale la pena notare che nessuno ha rivendicato il defacement di FDLP su Zone-H.
Fin dall’anno in cui fu creato, nel 2008, FDLP.gov è sempre stato un sito basato su Joomla. Il codice è stato modificato nel corso degli anni con un cambio di modello avvenuto nel 2014 e plug-in differenti che sono stati implementati nel corso degli anni. Tuttavia, quando si osserva il codice sorgente più recente, prima della defacement, sembra che molti plug-in, come MooTools, e dipendenze esterne, come Bootstrap, non siano stati aggiornati dal 2012.

Ora che abbiamo stabilito che gran parte del codice non veniva aggiornato dal 2012, proviamo a dare un'occhiata ai plug-in e ai vari componenti. Navigando tra le due pagine si evidenzia quanto segue:
media/com_rsform
media/com_hikashop
media/mod_rsseventspro_upcoming
modules/mod_djmegamenu
plugins/system/maximenuckmobile
La cosa sconvolgente è che una di queste stringhe è stata realizzata senza criteri di sicurezza e, pertanto, con la possibilità di accettare e pubblicare eventuali modifiche apportate da un qualsiasi utente, senza alcun privilegio amministrativo ☹
Se diamo un’occhiata alla RSForm quello che appare evidente è che questa era presente fin dal 2014 sulla pagina fdlp.gov/collection-tools/claims e che la versione in essere presentava delle vulnerabilità note da oltre un anno e mezzo come segnalato da KingSkrupellos.
Insomma, per finire, purtroppo, tutto il mondo è Paese 😊

Carlo Mauceli

Nota:
Defacing - termine inglese che, come il suo sinonimo defacement, ha il significato letterale di "sfregiare, deturpare", in italiano reso raramente con defacciare) nell'ambito della sicurezza informatica ha solitamente il significato di cambiare illecitamente la home page di un sito web (la sua "faccia") o modificarne, sostituendole, una o più pagine interne. Pratica che, condotta da parte di persone non autorizzate e all'insaputa di chi gestisce il sito, è illegale in tutti i paesi del mondo.
Un sito che è stato oggetto di questo tipo di deface vede sostituita la propria pagina principale, spesso insieme a tutte le pagine interne, con una schermata che indica l'azione compiuta da uno o più cracker. Le motivazioni di tale atto vandalico possono essere di vario tipo, dalla dimostrazione di abilità a ragioni ideologiche. Le tecniche utilizzate per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti; più raro il caso di utilizzo di tecniche di ingegneria sociale.

Fonti: