Da qualche tempo si sente parlare di ransomware: uno degli attacchi più conosciuti, forse perché consiste nel mettere le mani direttamente nel portafoglio di chi ne rimane vittima. Ransomware, nel cyberspace, è sinonimo di rapimento a scopo di riscatto nel mondo reale e questo lo capiscono tutti. Poco importa se ad essere rapiti siano i nostri dati e non un parente, un amico o un conoscente, la paura di essere colpito da un ransomware è almeno uguale a quella di un rapimento.
Sono molte le società colpite da ransomware negli ultimi anni, di alcune abbiamo già parlato, di altre non sentiremo mai parlare perché, come spesso accade, alla paura di essere colpiti dal ransomware, in caso reale, segue quella di perdere la faccia, specialmente quando ad essere colpita è una società, magari del mondo delle TLC o della Difesa o ancor peggio, della sicurezza informatica.
Per alcune società infatti il danno maggiore non è il pagamento del riscatto per riavere i propri dati ma il fatto che la cosa diventi pubblica e che la reputazione dell'azienda ne sia intaccata.
Eppure, nonostante si parli spesso di ransomware non sono tanti coloro che sanno in che cosa consista e sono ancora meno quelli che conoscono la storia di questo tipo di attacco, almeno quella ufficiale, pubblica. Provimamo dunque a fare un po di chiarezza, spostandoci nel tempo e nello spazio per recarci in una università americana, la Columbia University, una delle università private più conosciute e importanti al mondo.
Siamo a New York.
In particolare dobbiamo ritornare indietro nel tempo fino all'autunno del 1995. In quel periodo uno studente di nome Adam Young, appassionato dello studio dei virus, seguiva un corso di computer security del professor Matt Blaze, uno dei più famosi criptologi, ricercatore e facente parte del board del TOR project. Tra le sue lezioni, sembra che una delle più interessanti (almeno per il nostro Adam Young) sia stata quella sul cifrario conosciuto con il nome di Tiny Encryption Algorithm (TEA), un algoritmo di cifratura progettato allo scopo di essere sicuro, veloce e di piccole dimensioni. Tale algoritmo è stato creato dunque per migliorare la sicurezza, velocizzando il processo di cifratura.
Adam Young pensò che poteva essere interessante studiare come un tale algoritmo poteva essere impiegato in maniera differente, si mise infatti nei panni di un hacker.
Come poteva essere impiegato l'algoritmo TEA per rendere ancora più pericoloso un attacco tipo quello dei "One-half virus" ?
One-half virus è un virus scoperto nel 1994 che cifra il contenuto dell'hard-disk infetto. E' un virus polimorfico, ovvero modifica se stesso ad ogni infezione per rendere più difficile il suo riconoscimento. Purtroppo, per un attaccante, un virus di questo tipo ha un difetto, infatti una volta scoperto, può essere osservato e studiato. In pratica il modo di vedere il virus è identico per il difensore e per l'attaccante. Le riflessioni sul tema portarono Young a considerare che se fosse stato possibile modificare il modo di vedere le cose, in pratica rendere asimmetrico il sistema, allora l'attacco poteva essere molto più pericoloso in quanto l'analista non avrebbe avuto modo di studiare il virus.
I termini simmetria e asimmetria sono impiegati spesso nella crittografia. Uno dei sistemi di cifratura più noti oggi consiste proprio nell'impiego della cifratura asimmetrica, basata sull'impiego di due chiavi di cifratura, dette "chiave pubblica" e "chiave privata". L'impiego di un sistema a due chiavi per potenziare un virus non era mai stata esplorata e proprio questo fece Young. Ma si trattava di una idea che andava studiata bene e per farlo ottenne il supporto della università che, grazie al professor Moti Yung, gli offrì la possibilità di sviluppare la sua tesi.
Adam Young e Moti Yung hanno ideato il primo criptovirus (ovvero un virus che contiene e fa uso di una chiave pubblica), in questo modo l'hacker poteva cifrare i dati di una vittima e chiedere un riscatto per "liberarli". Riscatto che di solito ha un costo inferiore all'eventuale ricorso ad una società di sicurezza.
La tesi fu discussa e i risultati vennero presentati anche alla conferenza del 6-8 maggio 1996 dell' IEEE Symposium on Security and Privacy con un intervento dal titolo: "Cryptovirology: extorsion-based security threats and countermeasures.
In particolare questo ransomware appartiene alla categoria dei cryptolocker.
Per concludere, una semplice osservazione sui ransomware: seppure assurti agli onori delle cronache in questi ultimi anni essi hanno un loro posto nella storia scientifica, sono documentati e studiati presso le università e, soprattutto, hanno ormai 23 anni compiuti, un'età più che rispettabile nel mondo ultraveloce dell'informatica... eppure ancora oggi continuano a fare danni!
Alessandro Rugolo
Per approfondire:
- Exposing cryptovirology, Adam Young, Moti Yung, Wiley publishing, 2004
- https://www.iacr.org/jofc/
- http://www.tayloredge.com/reference/Mathematics/TEA-XTEA.pdf
- https://www.f-secure.com/v-descs/one_half.shtml
- https://ieeexplore.ieee.org/document/502676
- https://www.difesaonline.it/evidenza/cyber/fine-anno-da-brividi-nel-cyber-spazio-tra-nuovi-rischi-e-vecchie-minacce-mutanti
- https://www.difesaonline.it/evidenza/cyber/satori-il-risveglio-delle-botnet-e-le-altre-sfide-del-2018-la-cyber-security
Nessun commento:
Posta un commento