Cosa bisogna sapere sul cyberspace per vivere bene...

(prima puntata)

Mi capita sempre più spesso che amici o semplici conoscenti mi rivolgano delle domande sul mondo cyber.
Spesso si tratta di domande volte a chiarire qualche aspetto particolare del quinto dominio,  altre volte si tratta di domande che mettono in evidenza la voglia di capire qualcosa di più di un mondo che è ormai necessario conoscere.
Alla prima categoria appartengono per esempio:
"Alessandro, che cos'è una APT*" oppure - cosa pensi della sicurezza del "tale" sistema di messaggistica? o ancora "quale algoritmo di cifratura è più performante?", tutte domande la cui risposta seppure apparentemente semplice non lo è affatto e che richiede una profonda conoscenza degli argomenti ma soprattutto la capacità di spiegare in modo elementare argomenti che facili non sono.
Alla seconda categoria appartengono invece alcune domande di base come "Ma si può sapere cos'è il cyberspace?", oppure  "Mi puoi indicare un corso di cyber per principianti?" o ancora più semplicemente "Mi spieghi qualcosa sulla cyber?". Queste apparentemente semplici domande sono talmente generali che spesso mi trovo invischiato in spiegazioni troppo lunghe e per niente alla portata di chi ho di fronte.
Allora mi rendo conto che ciò che a me sembra scontato, per la maggior parte delle persone con cui interagisco normalmente non lo è affatto!
Riflettendo sulla cosa ho pensato che forse sarebbe opportuno provare a scrivere degli articoli di base da usare a mo' di lezione, articoli brevi che affrontino argomenti complessi mirati al lettore curioso ma assolutamente inesperto o, magari a quello desideroso di apprendere un minimo di nozioni che gli servono per il suo lavoro quotidiano.
Questo tipo di pubblico è a mio parere molto numeroso ma poco propenso a leggere lunghi articoli tecnici o semplicemente sensazionalistici per cui difficilmente trova piacere o interesse nella lettura di un articolo sul mondo cyber.
Cosi ho deciso di cominciare a scrivere qualche breve articolo didattico a loro uso e consumo, questo è il primo e in questo si parlerà di "incidente cyber" e proverò a rispondere in modo chiaro, sintetico e senza alcun tecnicismo (il che in certi casi significa anche con un certo livello di semplificazione e imprecisione che spero mi verrà perdonato!) alle domande:
Cos'è un incidente cyber ?
Chi può essere interessato da un incidente cyber ?
Queste cose succedono anche in Italia ?
Perché dovrebbe succedere proprio a me ? 
Sono al sicuro se ho installato un buon antivirus ?

Certo, per capire fino in fondo di cosa stiamo parlando dovrei spiegare cos'è il cyberspace, ma non lo farò, lo darò per scontato nel senso che pian piano il lettore sarà portato a comprendere cosa sia il cyber space senza perdersi in definizioni che lasciano il tempo che trovano anche perché non consolidate.
Invece tutti sono interessati a capire cosa sia un incidente cyber, perché tutti possono subirlo, esattamente allo stesso modo in cui tutti gli automobilisti, ciclisti e pedoni sono interessati a sapere cosa sia un incidente stradale senza per questo dover conoscere l'intera rete stradale o la composizione dell'asfalto drenante o ancora il funzionamento della rete semaforica della propria città.
Allora diciamo subito che un incidente cyber è qualcosa che può accadere a tutti coloro che utilizzano uno strumento tecnologicamente avanzato senza prendere alcune minime precauzioni per la propria sicurezza, e quando parlo di strumento tecnologicamente avanzato parlo di smart phone, di smart watch, di tv connessa a internet o qualunque strumento, oggetto, robot, protesi, veicolo o "cosa" capace di ricevere dati dall'esterno, di elaborarli, di inviarne a sua volta e di compiere una qualunque azione. Una buona approssimazione di questo mondo è data da Internet.
Ma cominciamo dall'inizio, un incidente cyber può essere il blocco del cellulare a causa di un virus, il furto dei dati personali da un social network, il furto di identità avvenuto su Facebook, il rallentamento del pc con cui gioco la sera per rilassarmi dopo una giornata di lavoro, l'incidente d'auto causato da un problema alla centralina di controllo del motore, il furto di informazioni confidenziali o di brevetti, l'inefficienza di un sistema di controllo della produzione di una fabbrica di scarpe, il blocco di un software gestione delle fatture aziendale o il malfunzionamento dell'impianto dell'aria condizionata. Come vedete c'è un po' di tutto in quanto la tecnologia è impiegata ormai in tutti i campi.
La risposta alla seconda domanda, se avete capito il concetto, è semplicissima: chiunque può essere interessato ad un incidente cyber. Notate bene, ho detto chiunque, non ho detto "chi impiega strumenti tecnologici". Infatti, se un tempo chi non faceva uso della tecnologia (informatica in particolare) poteva salvarsi, da quando la società e i governi hanno cominciato a rendere i servizi al cittadino attraverso sistemi sempre più complessi e interdipendenti, tutti i cittadini possono subire un danno da un incidente cyber. Un esempio? Un vecchietto che si reca alla posta a ritirare la pensione potrebbe rientrarsene a mani vuote perché i sistemi sono bloccati (da un ransomware per esempio, più avanti vedremo di che si tratta).
Ma si pensa sempre positivo, per cui queste cose non capitano a me e non succedono in Italia. Invece no, queste cose capitano a tutti e possono accadere anche in Italia.
Sono in molti a pensare, sbagliando, di non avere niente che possa interessare un hacker per cui "io sono al sicuro".
Purtroppo questo modo di pensare porta a commettere errori molto gravi, per cui il mio consiglio è: siate sempre sospettosi… non date niente per scontato e non vi fidate mai di chi stà dall'altra parte di un computer, di una linea telefonica o di un servizio non richiesto, come da piccoli non vi fidavate di chi vi offriva una caramella!!!
In molti casi io, come chiunque di voi, non sono altro che una vittima inconsapevole di cose molto più grandi di me. Per esempio il mio computer (o il mio smart phone) potrebbe essere impiegato a mia insaputa da un hacker che sta conducendo un attacco contro una organizzazione che si trova dall'altra parte del mondo. Probabilmente io non mi renderei neppure conto della cosa se non fosse che negli ultimi giorni il mio computer è diventato molto più lento del normale… mi sarò preso un virus? La domanda sorge spontanea. Eppure, il mese scorso ho installato un ottimo antivirus che mi ha suggerito un caro amico che se ne intende, ed è pure gratis!
Non nascondo che anche io installo spesso antivirus gratuiti, o a pagamento, ma so a cosa vado incontro!
Ogni cosa che apparentemente non si paga ci costa comunque qualcosa senza che ce ne rendiamo conto. Spesso questo "qualcosa" non è altro che un pezzo di "informazione sul nostro comportamento".
Ma allora che facciamo, niente antivirus?
A questa domanda rispondo sempre che l'antivirus è utile… ma non è una soluzione se abbiamo qualcosa da difendere e ne siamo consapevoli. L'antivirus per essere efficace, anche in una azienda, deve essere solo una parte della sicurezza.

Per oggi mi fermo qui.
Qualcuno potrebbe pensare che ho detto delle banalità, delle cose ovvie. Rispondo in anticipo: si, ho detto delle cose ovvie, per chi le sa, ma non per tutti!
Spesso però dire delle banalità, come il "non accettare mai caramelle dagli sconosciuti", puo' salvare la vita per cui forse vale la pena dirle le banalità!
In ogni caso, se qualche lettore di questa nuova rubrica non ha paura a fare domande banali per soddisfare la propria curiosità, allora lasciate un commento, vi risponderò nel prossimo articolo, o quanto meno cercherò di rispondervi.
Dimenticavo, non fatevi problemi, non ci sono domande stupide, ma solo risposte stupide.

Alessandro Rugolo 

* Una APT è una forma particolarmente pericolosa di attacco, l'acronimo significa Advanced Persistent Threat. Una APT è di solito collegata ad un gruppo che agisce per conto di una organizzazione potente, spesso uno stato. Ma ne parleremo meglio più avanti...

Cryptocurrency hackerate? E i bitcoin vanno giù!

Uno dei business del momento sembra essere l'investimento in cryptocurrency.

Le più conosciute sono Bitcoin, Ripple, Ethereum, Litecoin e altre circa 700 tipologie di moneta digitale, tra queste ultime ve n'è anche una chiamata Youbit, di proprietà della Yapian, una società del Sud Corea. Nell'ultimo anno sembra che i Sudcoreani si siano scoperti appassionati di cryptocurrency, ma allo stesso tempo hanno scoperto quanto poco sicuro sia investire in qualcosa di così effimero come lo Youbit.

Infatti la società Yapian è stata oggetto di due attacchi hacker nel giro dello stesso anno, che l'hanno portata alla bancarotta!

Ed ecco che ancora una volta si scopre che il cattivo è quello stato canaglia della Corea del Nord!

Ancora una volta perchè sembra che la Corea del Nord abbia i più agguerriti hacker presenti sul mercato, almeno a sentire le dichiarazioni degli analisti americani.

La notizia è subito ripresa con enfasi da tutti.

Ma cosa ci dicono le evidenze?

Di fronte alle dichiarazioni roboanti delle principali testate giornalistiche non occorrono evidenze!

Eppure basterebbe guardare ciò che sta accadendo per avere, quanto meno, un minimo di ragionevole dubbio!

E allora proviamo noi a dare uno sguardo a ciò che accade nel mondo intorno alle cryptocurrency, alle possibilità di furti e al valore sul mercato.

Credo che anche al più distratto uomo della strada sia difficilmente sfuggito il fatto che i Bitcoin, la più nota tra diverse centinaia di monete digitali, nell'ultimo periodo abbia avuto una enorme crescita di valore creando, magari senza volerlo, un certo numero di nuovi ricchi anche tra investitori della domenica.

Poteva mai essere?

No. Ed infatti nell'ultimo periodo, se è vero che il Bitcoin ha raggiunto cifre esorbitanti superando i 18.000 $ di controvalore, è anche vero che i furti di cryptovaluta sono aumentati.

Ma vediamo i fatti:

- il 20 dicembre ultimo scorso gli hacker (Nordcoreani?) hanno colpito la società Yapian;

- il 21 dicembre gli USA hanno accusato la Corea del Nord dell'attacco hacker, almeno così sostiene il "the Wall Street Journal".

Qualche giorno prima, il 6 dicembre per la precisione, un furto di Bitcoin è stato perpetrato ai danni di NiceHash, un mercato elettronico di emissione e vendita di cryptocurrency con base in Slovenia, che ha dichiarato di aver subito un attacco hacker con il quale sono stati sottratti 4.700 bitcoin dei propri clienti per un valore di circa 62 milioni di Euro (su The Indipendent si parla di circa 64 miliardi di dollari ma andando alla fonte si capisce che si tratta di un errore).

A novembre, nella notte del 20, un altro furto ai danni questa volta di Tether, un mercato di cryptocurrency con base ad Hong Kong e Stati Uniti. Questa volta il furto ammonta a circa 30 milioni di dollari di controvalore.

Sempre nel mese di novembre è emerso che alcuni bug nei cryptowallet (portafogli per cryptocurrency) emessi dalla Parity (società con base a Londra che si occupa di scambio di Ethereum) hanno provocato il "congelamento" di circa 280 milioni di dollari.

Se si prosegue nella analisi a ritroso si potrà notare un preoccupante crescente numero di attacchi nei confronti delle cryptocurrency e di tutto ciò che vi ruota attorno e la cosa appare essere normale data lo sviluppo enorme del settore.

Ma allora cosa dobbiamo fare per il futuro? Si può investire con ragionevole certezza in cryptocurrency? Questa è la domanda che un po tutti cominciano

Probabilmente la risposta giusta non esiste. 

Per quanto mi riguarda credo che gli attacchi continueranno ad esserci e saranno sempre più frequenti e non è detto che siano opera dei "cattivi" hacker del Nord Corea.

Forse, quelli che emergono sono solo una parte della guerra finanziaria che si sta combattendo tra mondo reale e cryptocurrency (e tra cryptocurrency e cryptocurrency!) una guerra in cui, come al solito vi saranno danni collaterali ad oggi non prevedibili.

Alessandro Rugolo

Per approfondire:
- http://www.businessinsider.com/cyberattack-brings-a-cryptocurrency-exchange-to-its-knees-2017-12?IR=T;
- http://www.independent.co.uk/news/business/news/bitcoin-latest-updates-north-korea-south-youbit-exchange-hack-cryptocurrency-a8121781.html;
- https://www.wsj.com/articles/cryptocurrency-exchange-collapses-files-for-bankruptcy-after-second-hack-1513683519;
- https://seenews.com/news/slovenian-crypto-mining-firm-nicehash-reports-entire-content-of-its-bitcoin-stolen-593777;
- https://www.nicehash.com/about;
- http://www.lastampa.it/2017/11/21/economia/nuovo-attacco-hacker-sul-bitcoin-furto-da-milioni-ai-danni-di-una-valuta-rivale-YPBTuAccTcgvF6n6vl6WSP/pagina.html;
- https://tether.to;
- https://paritytech.io/blog/security-alert.html;

Smantellata la botnet Andromeda

E’ di qualche giorno fa la notizia, passata come al solito sotto silenzio, dello smantellamento della botnet Andromeda a seguito di una operazione cyber internazionale a guida EUROPOL.

La botnet era operativa da diversi anni...

Ma iniziamo dal principio: cos’è una botnet?

Per chi non ha dimestichezza col mondo cyber, la terminologia può essere un problema e si rischia di perdersi tra neologismi senza comprendere il concetto, per cui cercherò di essere il più chiaro possibile evitando l’uso di tecnicismi.

Una botnet è una rete composta da computer infetti (utilizzo il termine computer in modo estensivo, comprendendo anche dispositivi mobili ecc...).

L’agente infettante è chiamato “bot”, e nel caso di Andromeda è un “trojan”, mentre i computer infetti sono chiamati “zombi”. Una botnet è governata da un “bot master” che ne impiega le risorse per i suoi scopi, generalmente maligni.

La botnet Andromeda è, o forse è meglio dire “era”, una rete conosciuta sin dal 2011. E’ anche conosciuta con i nomi di “Gamarue” e “Wauchos”.

Opera su dispositivi dotati dei Sistemi Operativi Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit), tutti appartenenti alla famiglia dei SO Microsoft Windows.

Il trojan Andromeda è capace di svolgere diverse operazioni: può verificare se è in esecuzione, può scaricare ed eseguire files, funzionare come sistema di comando da remoto e, se necessario, può disinstallarsi dalla macchina infetta per cancellare le tracce della sua presenza, inoltre è capace di connettersi ad un certo numero di siti malevoli. Una volta installato nel sistema esegue delle copie di se stesso che distribuisce in varie parti del Sistema Operativo per garantirsi la sopravvivenza.

Secondo la Microsoft la botnet si estendeva su 223 paesi diversi e poteva avvalersi di più di 2 milioni di dispositivi infetti (ma sembra che i numeri siano molto più grandi) attraverso i quali poteva compiere operazioni di vario tipo oltre al più comune Distributed Denial of Service (DdoS).

Non è la prima volta che una operazione cyber smantella una botnet ma generalmente parte della botnet resta ancora attiva e potenzialmente può essere utilizzata da chi è capace di prenderne possesso. Occorre inoltre considerare il fatto che Andromeda e le sue varianti sono state in vendita per anni e sono state impiegate per installare altre botnet, come per esempio Neutrino, e poi disinstallate per eliminare traccia del collegamento.

Lo smantellamento della botnet Andromeda, ad opera di una operazione congiunta tra FBI, EUROPOL e la polizia tedesca, è considerato un passo importante in quanto si pensa che questa rete sia stata utilizzata a supporto di un’altra botnet conosciuta come Avalanche, a sua volta santellata alla fine del 2016. Per Andromeda è stato arrestato un bielorusso di 37 anni.

L’impiego di strumenti on-line ci permette di verificare la diffusione del trojan e delle sue varianti ed è possibile vedere che dopo lo smantellamento di Andromeda continuano ad esistere delle varianti attive in tutto il mondo.

Come è possibile notare dalla mappa l’infezione si è diffusa principalmente in Europa, India, Centro e Sud America.

Anche l’Italia appare molto colpita e mi stupisce la mancanza di una campagna di sensibilizzazione che dovrebbe comprendere un minimo di informazioni sul come rilevare l’infezione e sulla sua rimozione. Purtroppo in Italia non vi è ancora la giusta sensibilità verso questo genere di problemi che si pensa siano appannaggio dei tecnici.

Niente di più sbagliato.

Non sono i tecnici che decidono l’approccio al mondo cyber, questo è compito dei decisori che naturalmente devono essere in grado di capire qual’è il problema e come comportarsi al loro livello, magari semplicemente incrementando il numero degli esperti di sicurezza nella loro azienda o riservando una maggiore fetta di risorse al settore cyber.

Ma cosa si può dire dal punto di vista militare?

In generale una botnet è una struttura complessa, ciò significa che occorre del tempo per metterla in piedi e mantenerla. Inoltre occorre attenzione e esperienza per mantenerla segreta, in attesa di impiegarla.

Una grande organizzazione militare a livello statale può avere interesse a creare una o più botnet da impiegare per operazioni cyber. Una botnet è sicuramente utile nella fase di preparazione di un attacco pianificato accuratamente di tipo APT (Advanced Persistent Threat).

In linea di massima una botnet può essere utilizzata per la preparazione di un attacco cyber complesso quale un DDoS o per la raccolta di informazioni.

Ma non sembra questo il caso di Andromeda.

Ciò non toglie che Andromeda potrebbe essere stata utilizzata anche per operazioni militari ed è stato notato qualche collegamento con una cyber operation di tipo APT chiamata “Operation Transparent Tribe” condotta ai danni di personale militare e diplomatico indiano nel 2016.

Una cosa è certa, distrutta una botnet, sicuramente ne verrà creata una nuova!

Alessandro Rugolo

Per approfondire:

- https://www.certnazionale.it/news/2017/12/06/smantellata-la-botnet-andromeda/;

- https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-in-international-cyber-operation;

- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROMEDA;

- http://resources.infosecinstitute.com/andromeda-bot-analysis/;

- https://www.itnews.com.au/news/police-security-vendors-take-down-andromeda-botnet-479133;

- http://www.virusradar.com/en/Win32_KillAV/map;

- https://www.itworldcanada.com/article/canadian-threat-researchers-help-take-down-andromeda-botnet/399596;

- https://www.welivesecurity.com/2017/12/04/eset-helps-law-enforcement-worldwide-to-disrupt-gamarue-botnet/;

- https://www.us-cert.gov/ncas/alerts/TA16-336A;

- https://researchcenter.paloaltonetworks.com/2016/03/unit42-projectm-link-found-between-pakistani-actor-and-operation-transparent-tribe/;

https://www.proofpoint.com/us/threat-insight/post/Operation-Transparent-Tribe.

Maggiore è il livello digitalizzazione maggiore è il rischio cyber.

Quali fattori determinano il rischio cyber?

Cosa accade ad una società troppo digitalizzata?

Queste domande sorgono spontanee in chi si occupa di cyber security, tra questi Chris Inglis, vice direttore dell'NSA tra il 2006 e il 2014, ha espresso le sue preoccupazioni nell'articolo pubblicato il 13 dicembre su The Atlantic, dal titolo: "Will Ukraine be hit by yet another holiday power-grid attack?"

L'articolo, firmato Alyza Sebenius, analizza i problemi  occorsi negli ultimi due anni in Ucraina, diretti contro il sistema della rete elettrica nazionale. 

A detta degli analisti di cyber security gli attacchi degli anni passati sarebbero opera di una organizzazione che può contare su tempi e risorse tipiche di uno stato, presumibilmente la Russia.

Sempre a detta degli analisti esistono evidenze che portano a pensare che anche quest'anno si ripeterà un attacco simile ma presumibilmente più potente e sofisticato, e non solo ai danni dell'Ucraina ma ai danni degli Stati Uniti d'America.

Inglis si è detto preoccupato in quanto l'Ucraina e gli Stati Uniti sono molto differenti in quanto a livello di digitalizzazione (a favore degli Stati Uniti) e ciò non sempre è un vantaggio.

L'Ucraina ha infatti potuto ripristinare il sistema in poche ore grazie all'intervento manuale dei suoi tecnici e all'impiego di tecnologie preesistenti che aumentano la resilienza del sistema, se qualcosa di simile accadesse negli Stati Uniti le cose potrebbero andare diversamente. 

Se infatti è vero che un attacco simile a quello avvenuto in Ucraina nel 2016 potrebbe essere sopportato tranquillamente dal sistema della rete elettrica USA, è anche vero che tale sistema è altamente digitalizzato ed interconnesso e il ripristino delle sue funzionalità potrebbe essere più complesso di quanto ci si potrebbe attendere.

In generale la questione è che maggiore è il livello di digitalizzazione e di interconnessione di reti e sistemi, maggiore è la complessità e i rischi connessi al sistema di sistemi da analizzare, di conseguenza maggiore è l'impatto della cyber security in un tale ambiente. 

E ciò vale sia per l'ambiente civile che per quello militare...

Alessandro Rugolo


Per approfondire:
- https://www.theatlantic.com/technology/archive/2017/12/ukraine-power-grid-hack/548285/;

Immagine tratta dall'articolo sopra indicato.