Traduttore automatico - Read this site in another language

sabato 5 giugno 2021

Vaccini e dark web

Il COVID 19 ha condizionato la nostra vita negli ultimi 18 mesi costringendoci a cambiare le nostre abitudini di vita sociale. Dalla banale stretta di mano, ora scomparsa, alla visita ai parenti più anziani, considerata alla stregua di un attentato!

Sempre il COVID 19 ha cambiato le nostre abitudini di lavoro, costringendo persone e aziende a restare a casa e imparare a lavorare a distanza. Di ciò abbiamo parlato tante volte nei nostri articoli in cui abbiamo analizzato l'incremento del rischio...

Ed ora, mentre si rincorrono le voci per cui il virus sarebbe fuoriuscito dal laboratorio cinese di Wuhan (anche se ne avevamo già sentito parlare come di una fake news!) alternate ai numeri delle campagne vaccinali che dovrebbero permetterci di uscire dal tunnel, comincia ad emergere un aspetto legato al COVID 19 ancora poco noto: vaccini, o presunti tali, in vendita sul dark web.

In senso lato la cosa non è nuova; medicinali, droghe e sostanze dopanti sono in vendita da sempre sul dark web.

Nel marzo scorso, nel corso di una conferenza internazionale, la World Health Organization (WHO) mise in guardia sul traffico di vaccini :   

“We urge all people not to buy vaccines outside government-run vaccination programs. Any vaccine outside these programs may be substandard or falsified, with the potential to cause serious harm...”

Nello stesso mese, uno studio di Kaspersky mostrava evidenze di vendita di vaccini sul dark web, veri o presunti. Il costo per dose poteva raggiungere anche i 1.200 dollari, non certo un prezzo popolare! Sempre secondo questo studio nel 30% dei casi si trattava di vaccini veri, probabilmente sottratti illegalmente da strutture sanitarie. Chiaramente ciò significa che il restante 70% ha ricevuto, in cambio di una somma non indifferente, una sostanza nel migliore dei casi innocua ma sicuramente poco efficace ...


La vendita di vaccini e di dispositivi di protezione di tutti i tipi è cresciuta nel tempo, per soddisfare le richieste del mercato nero e, in un certo senso, sopperire alle mancanze organizzative e di controllo degli stati che non sono stati in grado di gestire correttamente la pandemia.
Sembra che i principali mercati per la vendita di vaccini sul dark web siano gli USA, gli UK, la Germania e la Francia, dove una dose è stata pagata in media l'equivalente di 500 dollari, prevalentemente in bitcoin. 

Pagamento effettuato... una domanda ci poniamo: chissà se gli acquirenti hanno ricevuto il loro vaccino secondo gli standard previsti per mantenere la catena del freddo che ne garantisce l'efficacia... 

Ma d'altra parte si sa da sempre che "la farina del diavolo va tutta in crusca"!

  

Alessandro Rugolo

Per approfondire:

WHO warns against sales of counterfeit Covid vaccines on the dark web (cnbc.com);

COVID-19 vaccine doses have been sold on the dark web. Are they real? - CBS News

Coronavirus vaccines selling on darknet black markets | Kaspersky official blog

Dark web vendors are selling shady coronavirus 'vaccines' for $300, and there's been an uptick in listings since the FDA authorized Pfizer's shot (businessinsider.fr)

mercoledì 2 giugno 2021

Consumare Cyber Threat Intelligence

Il bel lavoro che faccio mi porta spesso ad affrontare conversazioni con i clienti su CyberSecurity, sui loro programmi, sulla loro concezione di cosa significa sicurezza e come implementarla nelle proprie organizzazioni.

Tra i diversi temi ascoltati, uno particolarmente ricorrente è rappresentato dai feed di Cyber Threat Intelligence.

Apparsi sul mercato ormai da sette-otto anni, sono spesso visti come il Santo Graal per riuscire a identificare un attaccante interessato prima che attacchi o, nella peggiore delle ipotesi, appena appaiono segni di compromissione di endpoint o reti.

Partiamo da una definizione semplice di Intelligence – elaborazione di informazioni predittive basate su evidenze certe – per apprendere dal mondo militare come evitare che investimenti in CTI anche importanti abbiano un ritorno nullo.

In ambiente militare, la fase di raccolta delle informazioni è preceduta da un’altra di cruciale importanza e troppo spesso sottovalutata: la pianificazione e direzione, nella quale gli organi di comando definiscono gli obiettivi informativi ritenuti necessari per le proprie decisioni.

Questo affinché la raccolta non sia fine a sé stessa o ad ampio spettro, ma estremamente mirata e focalizzata; già 2500 anni or sono un famoso stratega militare cinese – Sun Tzu – raccomandava di conoscere il tuo nemico e te stesso, in quest’ordine!

Conoscere te stesso significa avere una visibilità precisa e completa di come è composta la propria biodiversità digitale: dove si trovano le risorse, di che tipo sono (elementi mobili, server, risorse cloud, application container, applicazioni web…).

Quindi definirne l’osservabilità: è possibile frammentare e riassemblare, aggregare e dettagliare, interrogare e astrarre informazioni agibili dai metadati sull’ambiente digitale, in base ai propri casi di utilizzo?

E una volta inventariato il proprio orizzonte IT, quanto è semplice assegnare un livello di criticità alle risorse?

Questo significa conoscere sé stessi, ed è conditio sine qua non per poter procedere con il conosci il tuo nemico che definisce il modo di consumare CTI.

Che in ambito militare si suddivide in tre fasi: Elaborazione, Produzione di Informazione, Divulgazione. Tre fasi che poco o nulla hanno a che fare con il fornitore di CTI, ma che vedono frequentemente naufragare progetti molto promettenti sia per budget che qualità dei feed.

L’elaborazione riguarda la capacità di categorizzare le informazioni del feed, di correlarle tra loro e con informazioni terze, di valutarne l’importanza. Questa capacità deve essere presente e possibilmente esercita con risorse proprie, dal momento che velocità, agilità e dinamismo sono caratteristiche importanti per generare valore.

La produzione di informazione espande ulteriormente quanto qualificato nella fase precedente, trasformando dati disomogenei in informazione fruibile grazie alla analisi di metadati normalizzati.

Completa il ciclo di consumo di cyber threat intelligence la fase di divulgazione, che consiste nella distribuzione dell’informazione rielaborata a supporto del maggior numero di processi possibili.

Queste ultime due fasi richiedono una conoscenza approfondita dei potenziali fruitori dell’informazione, oltre che una piattaforma tecnologica che supporti la trasformazione.

Aiuta infine la comprensione dei tre possibili tipi di cyber threat intelligence che caratterizzano l’operazione di raccolta, in modo da prefigurare modelli di categorizzazione e consumo nei processi a seguire citati – oltre a determinare il grado di obsolescenza delle informazioni.


Il primo tipo è la CTI strategica: composta di analisi ed informazioni che hanno una tipicamente pluriennale, focalizza il chi ed il perché in relazione a determinati attaccanti.

Sviluppata di solito per un’audience non tecnica, è basata sull’analisi di demografia vittimologica, su campagne di attacco macroscopiche e mira alla classificazione di gruppi di attacco e delle motivazioni (hacktivismo, finanza, politiche, sponsorizzate da Stati…). Esistono varie categorizzazioni, ad esempio quella fornita da Mandiant (parte del gruppo FireEye) basata su sigle che racchiudono la motivazione e un progressivo numerico: APT per Advanced Persistent Threat, FIN per Financial, etc.

Il secondo tipo è la CTI operativa, concentrata sull’esporre il come ed il dove. Sviluppata sia per un’utenza tecnica che non, descrive elementi quali strumenti (tools), tecniche (techniques) e procedure (procedures) – o TTP – utilizzati per condurre un attacco.

Espone tratti caratterizzanti quali persistenza, tecniche di comunicazione utilizzate, descrizione di metodologie e regole.

Illustra ad esempio tecniche di ingegneria sociale o modus operandi di famiglie di malware.

Il terzo tipo è la CTI tattica, che rappresenta sia la forma più digeribile e quella il cui consumo richiede meno maturità. Destinata ad un pubblico tecnico, descrive eventi di sicurezza, esempi di malware o mail di phishing.

Include firme per riconoscere il malware e indicatori di attacco o di compromissione (IoA, IoC) come IP, domini, hash di file, che possono essere facilmente implementati per alzare difese a livello perimetrale, di monitoraggio e di risposta per bloccare tentativi oppure mitigare situazioni di compromissione.

Se è vero che l’utilizzo completo delle tre forme è spesso un problema più di esigenza che di budget, anche quando queste due condizioni siano soddisfatte la questione diventa un’altra.
Un processo virtuoso deve portare ad un mutuo coordinamento tra gli esiti dei tre diversi livelli di feed, che non devono lavorare come “silos”: i feed del livello strategico possono essere usati per orientare e perfezionare la ricerca informativa al livello operativo e tattico; analogamente, specifiche risultanze di intelligence a livello tattico possono essere di aiuto nel ridefinire gli obiettivi informativi della ricerca di livello strategico.

Questa situazione è talvolta aggravata dalla scarsa capacità di comunicazione tra livello tecnico direttivo e livello strategico, con un impatto diretto sulla fase di pianificazione e direzione che inficia sulla definizione di obiettivi chiari e condivisi; inquinando così l’intero valore, in favore di spese per sistemi o tecnologie ridondanti o utili solo alla soluzione di un problema puntuale.

Concludo questa breve analisi con tre domande quindi, per aiutare a comprendere quale tipologia, feed, o fornitore di CTI fa per voi.

  1. Gli obiettivi che la raccolta CTI supporta sono chiari, ben delineati nella sostanza e nel perimetro?

  2. Qual è la capacità di consumare i tre tipi di CTI? Anche nel tempo, questa risposta può evolvere ed espandersi

  3. Le risorse e il livello di specializzazione per consumare CTI in modo tangibile e che produca valore sono disponibile in misura sufficiente?

Come nell’ambito militare, così nella CyberSecurity la risposta onesta a queste tre domande qualificherà bisogno e natura di CTI, affinchè – parafrasando Sun Tzu – conoscendo sé stessi come il nemico, anche in mezzo a cento battaglie non si sia mai in pericolo.

Marco Rottigni

QUANDO IL CYBER-NEMICO FA BRECCIA DALLO SGABUZZINO

A partire dagli anni 70 del secolo scorso, l'evoluzione sociale e tecnologica ha progressivamente mutato il paradigma dell'attivit
à lavorativa, prima tradizionalmente svolta entro gli spazi fisici controllati dal datore di lavoro.

Tale progressione ha subito una accelerazione mai vista prima a motivo della recente crisi sanitaria. Le conseguenti misure di contenimento e gestione, infatti, hanno forzato il ricorso al lavoro agile, peraltro anche tramite dispositivi elettronici non controllati dalla piattaforma tecnologica datoriale; dispositivi, tra l’altro, non sempre in linea - come facilmente intuibile -  con le raccomandazioni o gli standard degli enti di certificazione o omologazione.

Gli effetti sulla sicurezza delle informazioni e sulla continuità operativa delle reti, dei sistemi informatici e dei servizi informativi non si sono fatti attendere. E i prossimi mesi faranno verosimilmente emergere ulteriori evidenze di una vulnerabilità sistemica tutta nuova per dimensione, figlia di due aspetti concomitanti, i cui effetti si sono fatti spalla l'un l'altro con esito esponenziale: il disallineamento repentino venutosi a creare tra perimetro di sicurezza informatica e perimetro di sicurezza fisica; e l'utilizzo massiccio dei dispositivi personali per sopperire - in misura marcata nella prima fase della crisi - alla mancanza di client enterprise (smartphone, tablet e computer assegnati dal datore di lavoro ai dipendenti, per intenderci) necessari ad assicurare lo “smartworking”.

Sì, perché il mondo del lavoro si è svegliato un bel mattino ed ha dovuto fare i conti con una realtà - il confinamento domiciliare - che ha deviato sui segmenti tecnologici dell’intimità domestica il flusso delle informazioni di lavoro e l'operatività di imprese, pubbliche amministrazioni e terzo settore. Una mole di traffico, non propriamente “leisure”, è piombato sul piccolo router di famiglia (la porta di ingresso cibernetica di casa), sul computer della cameretta dei figli - utilizzato in promiscuità anche per lezioni di didattica a distanza - ovvero sull'ultima versione di smartphone di fabbricazione lontano-orientale, su cui hanno iniziato a coabitare indifferentemente sessioni di lavoro in videoconferenza, variegate attiva ludiche e le più stravaganti interazioni di social networking.

Il tutto condito dal fatto che, per ovvie ragioni pratiche ed economiche, questi neonati e improvvisati segmenti di rete hanno spostato in modo preponderante l'accento - a livello fisico - sulla tecnologia radio (Wi-Fi), meno affidabile dei cavi di rame e della fibra ottica.

Per farla breve, a fronte di gateway, portali, firewall e server di accesso remoto (cioè delle cyber-corazzate schierate a protezione delle reti di caserme, ministeri, organizzazioni no-profit e aziende) il nemico ha avuto l'opportunità di aggirare il fronte di difesa e sfondare lateralmente tramite il modem nascosto nello sgabuzzino di casa dei “teleworkers".

L'argomento è di tale rilievo che il National Institute for Standards and Technology ha lanciato una “Call for comments”, mobilitando l'intelligenza collettiva di settore per adeguare la standardizzazione dei processi e delle metodiche di sicurezza alla mutata realtà. Ed in Patria, l'argomento è sotto l'attenzione di CSIRT Italia (le forze speciali Cyber della nostra Repubblica, per intenderci), che tra l'altro ha avviato una specifica campagna di sensibilizzazione.

Vediamo allora di fare il punto - a volo d'uccello - sui profili di rischio da monitorare.



Anzitutto il perimetro di analisi da considerare è costituito da tre aree di processo, parzialmente sovrapponibili ma concettualmente diverse: il
"telework", cioè lo svolgimento dell'attività lavorativa fuori dal perimetro di sicurezza fisica dell'organizzazione; il "remote access", cioè la possibilità di accedere - dall’esterno - alle risorse informatiche non pubbliche di una organizzazione; il "BYOD", acronimo di “Bring Your Own Device” e cioè la possibilità di svolgere l'attività lavorativa con smartphone, tablet e computer non controllati dal datore di lavoro, cioè quelli di proprietà personale del lavoratore o di terze parti contrattuali (contractors).

Il rischio in disamina va inquadrato facendo quattro assunzioni di base. La prima deriva dalla considerazione che non si può proteggere ciò che non si controlla fisicamente. Nel telework si lavora - per definizione - fuori dal perimetro di sicurezza fisica datoriale e dunque i “client” dell'organizzazione possono essere più facilmente dispersi, rubati o rimanere temporaneamente fuori dalla disponibilità del lavoratore. La conseguenza qui può essere la perdita del dato salvato nel dispositivo smarrito oppure il tentativo di accesso fraudolento alle infrastrutture server, sfruttando i meccanismi di autenticazione del dispositivo rubato.

La seconda fa riferimento al fatto che, salvo costose eccezioni in genere legate alla circolazione di informazioni strategiche per i sistemi di difesa e sicurezza nazionale, il “remote access” avviene tramite reti - radio o cablate - messe a disposizione da terze parti (providers) e della cui sicurezza non si ha il controllo. Da ciò discende tutto il tema dell'intercettazione abusiva del traffico dati per finalità di furto o sabotaggio informativo, tipiche delle tattiche offensive di Man-In-The-Middle (MITM).

La terza, di molta affinità concettuale con la crisi sanitaria attuale, consiste nel pericolo di contagio da virus informatici tramite dispositivi infetti a cui si è permessa la connessione alla rete interna dell'organizzazione. Questo, ad esempio, è il terreno di elezione delle tattiche Initial Access dei cyber-pirati che si pongono l’obiettivo di infiltrare nell'ambiente informatico della vittima un eseguibile per condurre azioni di sabotaggio, danneggiamento, furto oppure di comando e controllo clandestino.

L'ultima assunzione va fatta con riferimento alla risorse interne che si decide di rendere disponibili all'accesso dall'esterno, specie se realizzata da BYOD, come ad esempio il laptop dell’appaltatore, lo smartphone personale del lavoratore dipendente, il tablet del consulente. Qui, paragonando, vale l’approccio dell’esser cauti nel dare le chiavi di casa al giardiniere, perché non ti capiti che ti chiuda fuori di casa o svaligi l’appartamento in tua assenza.

Una serie di assunzioni di rischio suppletive vanno fatte specificamente per i BYOD. Descriviamole brevemente: anzitutto esiste sempre un gradiente di “thickness” (robustezza del grado di sicurezza) tra ambienti informatici del datore di lavoro e dispositivi personali: questa sbavatura, costituisce fattore di vantaggio per l’avversario. Per natura infatti gli smartphone personali sono votati ad uso di svago e sono comprensibilmente più “thin” (per così dire più fragili) rispetto alle infrastrutture datoriali, ove le esigenze di sicurezza e continuità operativa obbligano ad essere più robusti che flessibili. Inoltre, l’eventuale traffico illegale generato da BYOD collegati alla rete del datore di lavoro può essere attribuita a quest’ultimo, con evidenti complicazioni legali e danni reputazionali.

Infine, una rete datoriale che permette la connessione di BYOD può essere inconsapevole terreno di scontro tra dispositivi di terze parti. E far sicurezza non significa solo proteggere il nostro patrimonio; ma anche evitare che qualcuno sfrutti i nostri asset per sferrare attacchi ad altri!

Orazio Danilo Russo


Per approfondire:

https://csrc.nist.gov/publications/detail/sp/800-46/rev-3/draft

https://www.difesaonline.it/evidenza/cyber/2020-un-anno-di-hacking

https://www.difesaonline.it/evidenza/cyber/microsoft-sicurezza-e-privacy-ai-tempi-del-covid

https://www.difesaonline.it/evidenza/cyber/microsoft-limportanza-della-sicurezza-e-della-privacy-al-tempo-del-covid

https://csirt.gov.it/contenuti/lavoro-da-remoto-vademecum-delle-policy-di-sicurezza-per-le-organizzazioni

sabato 29 maggio 2021

"FARE RETE" PER DIFENDERE LA "RETE": IL CASO MITRE ATT&CK

Come accennato in un mio precedente articolo, qualsiasi hacker ha un "profilo operativo di attacco", riconoscibile dall’osservazione delle sue Tattiche, Tecniche e Procedure operative (TTPs); in risposta - dalle evidenze scaturite dalle investigazioni e dallo studio dei numerosi attacchi informatici e cibernetici - le strutture di intelligence e di cyber-security hanno da tempo affinato adeguate contromisure di prevenzione e repressione.

Diversi sono i sistemi di caratterizzazione e catalogazione degli attacchi cibernetici, in genere ragionati per "modus operandi" dell’avversario; alcuni risultano ovviamente coperti dal segreto degli Stati e delle Alleanze o dal riserbo investigativo delle agenzie di contrasto, al fine di mantenere la superiorità informativa sul nemico o l’efficacia dell’azione giudiziario-repressiva. Esistono però anche iniziative di condivisione pubblica di questo importante quadro di conoscenza: il primo e più importante caposaldo difensivo, infatti, è la messa a fattor comune di un glossario, di un metodo e di un set di misure di sicurezza largamente conosciute ed applicate tra chi condivide reti, sistemi informativi e servizi informatici.

Merita evidenza a tal proposito l'iniziativa di The MITRE Corporation, organizzazione no-profit attiva sin dal 1958. Fondata sull'operatività di centri di ricerca e sviluppo finanziati con fondi pubblici statunitensi, MITRE è attiva nel supporto R&D a favore del Governo degli Stati Uniti d’America. MITRE ha sviluppato un archivio di conoscenza pubblicamente accessibile - il MITRE ATT&CK - che espone in modo indicizzato, le tattiche di attacco cyber. L'acronimo ATT&CK sta per "Adversarial Tactics, Techniques and Common Knowledge". 

Nella libreria le TTPs sono descritte individuando le vulnerabilità sfruttate ed elencando i gruppi criminali di maggiore interesse, i loro profili di operatività ed codici malevoli utilizzati, descrivendone gli algoritmi e gli effetti. Per ogni categoria, MITRE ATT&CK associa le contromisure ritenute generalmente idonee a prevenire o mitigare le tattiche, per rispondere con efficacia e su più fronti ai vari incidenti, comprese le misure necessarie per il monitoraggio e il rilevamento di elementi "dormienti" o "sotto-copertura" operanti clandestinamente nei sistemi informativi o nelle reti.

Il data-base ha una interfaccia grafica intuitiva e multi-modale, per cui la ricerca può essere fatta indifferentemente che si parta dalle tattiche, piuttosto che dalle tecniche, dalle contromisure, dai codici malevoli oppure dai gruppi criminali osservati. L'archivio permette di finalizzare la ricerca per tipo di infrastruttura o di tecnologia: si possono dunque verificare le specifiche metodologie di attacco ed i modelli di minaccia cibernetica che mirano a client, portatili o desktop che siano, piuttosto che alle infrastrutture centralizzate di elaborazione, memorizzazione e servizio oppure ancora alle reti, cablate o radio che siano.

Una sezione dell’applicazione è dedicata alle minacce ai sistemi di controllo industriale (ICS). Qui la catalogazione delle azioni offensive e l’indicazione delle misure di difesa e risposta si fa più complicata e meno immediata. La causa è l'eterogeneità dell’ambiente tecnologico industriale, comprensibilmente affetto da soluzioni infrastrutturali legacy e spesso sviluppate in-house. La scarsa standardizzazione si traduce in una diversificazione di piattaforme, protocolli ed applicazioni che rende difficile uniformare le tecniche di detection e mitigation comunemente suggerite. MITRE ATT&CK mitiga il problema suggerendo una categorizzazione di alto livello degli asset di controllo industriale che semplifica e guida l'utente nell'adattamento di filosofie di protezione e risposta alla propria specifica piattaforma tecnologica.

L'applicazione inoltre propone un percorso di addestramento all'uso efficace delle risorse messe a disposizione, nonché una sezione dedicata all’alimentazione, affinamento e aggiornamento dell’archivio. Quest'ultima è agevolata da una interfaccia di raccolta delle segnalazioni di nuove evidenze che gli utenti del web inviano per contribuire a questo sforzo di "conoscenza collettiva condivisa.

Insomma una risorsa comune, questa di MITRE ATT&CK, che non può non far parte dell'armamentario di un security professional e la cui interazione consiglio vivamente sia a chi si sta formando, sia a chi - già maturo nella professionalità - intende collaborare portando elementi di esperienza personale o segnalando - nella sezione "Contribute" - nuove TTPs osservate.

È anche così che si migliora il sistema collettivo di prevenzione e risposta: facendo rete per difendere la rete!"


Orazio Danilo Russo


Per approfondire:

https://www.mitre.org/

https://attack.mitre.org/

giovedì 27 maggio 2021

L’attacco all’infrastruttura TOR – Le criptovalute il vero obiettivo

Parlando di anonimato in rete e di navigazione nel Dark Web si fa spesso riferimento a Tor. Nell’immaginario comune Tor è visto sia come metodo di comunicazione Internet per abilitare l’anonimato online sia come strumento per l’accesso alla “rete oscura”. È necessario, pertanto, fare un po' di chiarezza nonché sfatare alcuni miti.

La prima differenza sostanziale riguarda il fatto che la navigazione nel Dark Web è profondamente diversa rispetto alla navigazione in incognito, detta anche navigazione privata, che viene offerta come opzione su tutti i browser. Questa differenza va sottolineata perché, troppo spesso, è oggetto di alcune false credenze: la navigazione in incognito ha semplicemente il vantaggio di non salvare la cronologia di navigazione, i cookie, i dati dei siti e le informazioni inserite nei moduli dei siti ma è molto lontana dal garantire un reale anonimato al navigatore. 

Il provider di servizi Internet traccia tutte le attività in ogni caso, conosce l’indirizzo IP e può identificare la posizione del internauta. 

Inoltre, la navigazione in incognito non ci permette in alcun modo di entrare nel Dark Web che rappresenta un mondo a parte rispetto al Web che tutti noi navighiamo.

Deep Web e Dark Web sono due mondi diversi

Dark Web e Deep Web sono due mondi molto diversi e in un certo senso non comunicanti tra loro. Infatti, è bene sottolineare come tutti noi navighiamo, abitualmente, nel Deep Web che, per definizione, indica l’insieme delle pagine presenti sul web che non sono indicizzate dai comuni motori di ricerca quali Google, Bing, ecc. Ne fanno parte nuovi siti, pagine web a contenuto dinamico, web software, siti privati aziendali, reti peer-to-peer. L’opposto del Deep Web si chiama Surface Web che è costituito, invece, da pagine indicizzate dai motori di ricerca. Pertanto, Deep e Surface Web sono le due facce della stessa medaglia con la differenza che la prima non è indicizzata e, dunque, potremo raggiungerla solo se ne conosciamo l’URL. Consideriamo Deep Web la pagina del nostro profilo Facebook, così come la pagina web della nostra casella Hotmail e i siti dei Cloud Service Provider dove sono archiviati i nostri file così come le tante pagine aziendali, governative, finanziarie a solo utilizzo interno, presenti sul web, ma non indicizzate. L’immagine seguente, dove il web viene rappresentato come un iceberg, illustra in modo efficace i concetti espressi.

Il Dark Web è, invece, una frazione molto piccola del web. Si tratta di un mondo separato e poco accessibile, che si appoggia sulle Darknet che sono reti chiuse per accedere alle quali sono necessarie particolari configurazioni. Le principali Darknet sono:

  • Freenet, poco utilizzata;

  • I2P;

  • Tor, The Onion Router, che è ormai diventata la più famosa e usata tra queste reti.

È importante sottolineare che navigare nel Dark Web non ha nulla a che vedere con la navigazione in incognito dei browser. I browser tradizionali, infatti, non ci permettono di accedere al Dark Web. Per entrare nel Dark Web servono strumenti appropriati. Il browser più noto ed utilizzato è Tor che cerchiamo di descrivere per conoscerlo meglio e per sfatare un falso mito: navigare nel Dark Web non è illegale, salvo che non lo si utilizzi per azioni illecite.

Tor

La Darknet Tor esiste dal 1998 quando la US Navy la realizzò utilizzando la tecnologia “onion routing” sviluppata per garantire l’anonimato. Nel 2006 è stata resa di pubblico dominio e nello stesso anno è nata Tor Project Inc., organizzazione no profit con sede in USA. Si tratta di un’infrastruttura hardware dedicata e costituita da server che la ospitano. Oggi Tor è diretta da Bruce Schneier, crittografo e tecnologo della sicurezza di fama mondiale il cui blog, dedicato ai temi della cyber security, è tra i più noti e frequentati in tutto il mondo. Le organizzazioni che costituiscono Tor Project sono, tra le altre, lo US Department of State Bureau of Democracy, lo Human Rights e il Labor. Pertanto, direi che è evidente come Tor Project non sia un’associazione clandestina o finalizzata al crimine informatico. Tutt’altro, come, peraltro, si può leggere nel sito: “Defend yourself against tracking and surveillance. Circumvent censorship”.

Per questi motivi, Tor è una rete di comunicazione usata soprattutto da giornalisti, attivisti politici e whistleblowers di Paesi meno democratici dove è necessario aggirare la censura e la sorveglianza per esprimere il proprio parere. Il fatto che sia usata anche dai “cattivi” non ne inficia il valore. È, senza dubbio, la rete Darknet più popolare e conosciuta ed è utilizzata in tutto il mondo da oltre 750.000 utenti Internet ogni giorno.

Infrastruttura di Tor


La rete Tor è costituita da alcune migliaia di server sparsi nel mondo. Nello specifico, stiamo parlando di un numero che si aggira tra 6.000 e 8.000 “relay” e di quasi 3.000 “bridge”, quasi tutti gestiti da volontari. I dati di navigazione non fluiscono direttamente dal client al server ma il transito passa attraverso i relay Tor che operano da router, realizzando, così, un circuito virtuale crittografato a strati, esattamente come una “cipolla”, da cui il nome Onion.

Per questo motivo gli URL della rete Tor hanno il TLD, Top Level Domain, che non è il classico .com o .it ma .onion. Quando si avvia la navigazione aprendo il browser Tor, vengono scelti in maniera casuale tre nodi in modo da costituire una catena di navigazione.

In ogni passaggio, la comunicazione viene crittografata e questo avviene per ciascun nodo. Il fatto, inoltre, che ogni nodo della rete conosce solo il precedente e il successivo, rende difficile essere in grado di risalire al client di partenza. Ci sono tre tipi di relay nel sistema di navigazione Tor:

  • guard/middle relay;

  • exit relay;

  • bridge.

Come abbiamo detto, per ragioni di sicurezza, il traffico Tor passa attraverso almeno tre relay prima di raggiungere la sua destinazione. Il primo è il guard relay, il secondo è un middle relay che riceve il traffico e lo passa infine all’exit relay (figura sottostante).

I relay intermedi, guard e middle, sono visibili solo all’interno della rete Tor e, a differenza del relay d’uscita, non fanno apparire il proprietario del relay come la fonte del traffico. Ciò significa che un relay intermedio è generalmente sicuro. Potremmo averlo anche nel server di casa nostra, diventando così un nodo dell’infrastruttura Tor. Il relay di uscita è l’ultimo nodo che il traffico Tor attraversa prima di raggiungere la sua destinazione. I servizi a cui i client Tor si connettono, come, ad esempio, il sito web, il servizio di chat, il provider di posta elettronica, ecc. vedranno l’indirizzo IP del relay di uscita invece dell’indirizzo IP reale dell’utente Tor. Ciò significa che è l’indirizzo IP del relay di uscita che viene interpretato come la fonte del traffico.

La topografia della rete Tor viene completata con i Bridge. È importante sapere che la struttura della rete Tor prevede che gli indirizzi IP dei relay Tor siano pubblici. Pertanto, se un governo o un ISP volesse bloccare le rete, potrebbe farlo facilmente mettendo nelle blacklist gli indirizzi IP di questi nodi Tor pubblici. Per questa ragione esistono i Bridge che, essendo nodi che non sono indicati nell’elenco pubblico come parte della rete Tor, rendono più difficile bloccare l’intera rete da parte dei governi e degli ISP. I bridge sono strumenti essenziali per l’elusione della censura nei Paesi che bloccano regolarmente gli indirizzi IP di tutti i relay Tor elencati pubblicamente, come Cina, Turchia e Iran.

Di fatto si usano al posto del nodo di entrata, normalmente indicato come server di un dato Paese, per impedire, appunto, all’ISP di sapere che si sta usando Tor.

Per usare Tor attraverso i bridge è necessario conoscere in anticipo l’indirizzo di almeno un bridge. Tor project distribuisce gli indirizzi IP dei bridge con diversi mezzi, tra cui il sito web e la posta elettronica.

È chiaro che, in questo modo, è possibile che anche un avversario ottenga queste informazioni ed è per questa ragione che, al di là delle misure di protezione utilizzare da Tor Project, la cosa migliore è trovare in un altro Paese una persona di fiducia o un’organizzazione che mantenga, per chi lo richiede, un bridge offuscato “privato”. In questo caso, privato significa che il bridge è configurato con l’opzione PublishServerDescriptor 0. Senza questa opzione, il Tor Project saprà dell’esistenza del bridge e potrebbe distribuire ad altre persone il suo indirizzo che, così, rischierebbe di finire nelle mani di un avversario.

È possibile impostare l’utilizzo dei bridge dalla configurazione di rete del browser Tor.

Quando appare la finestra di benvenuto, cliccare sul bottone +


e nella finestra di dialogo, alla la voce “
Ulteriori Impostazioni” scegliere “Configurazione di Rete” e, successivamente, selezionare l'opzione “Configure a Tor bridge or local proxy

I bridge sono meno stabili e tendono ad avere prestazioni più basse rispetto agli altri nodi di entrata.

La rete Tor si affida a volontari che offrono i loro server e la loro banda. Chiunque, quindi, può mettere a disposizione un proprio computer per creare un relay della rete Tor. L’attuale rete Tor è sottodimensionata rispetto al numero di persone che la utilizzano, il che significa che Tor ha bisogno di più volontari per accrescere il numero dei relay. Gestendo un relay Tor, come viene spiegato nella pagina dedicata del sito Tor Project, si può contribuire a migliorare la rete Tor rendendola:

  • più veloce e, di conseguenza, più utilizzabile;

  • più robusta contro gli attacchi;

  • più stabile in caso di interruzioni;

  • più sicura per i suoi utenti perché spiare più relay è più difficile che farlo su pochi.

C’è un ultimo aspetto da considerare, peraltro peculiare e che rappresenta un problema non trascurabile: la sicurezza va a scapito della velocità. Il “giro del mondo” che dovrà fare il flusso dei dati, come abbiamo spiegato, renderà la navigazione lenta. Non bisogna quindi pensare di usare Tor per lo streaming, il file sharing o per attività che richiedano grandi flussi di dati.

Quanto è sicuro ed anonimo Tor?

In teoria dovrebbe essere sicura e garantire l’anonimato di chi lo utilizza. In pratica esistono dubbi – anche fondati – sulla sua reale sicurezza. Sullo stesso sito Tor Project, nella pagina di supporto, alla domanda: “Sono completamente anonimo se utilizzo Tor?”, viene data la seguente risposta: “In generale, è impossibile avere un anonimato totale, perfino con Tor. Anche se ci sono alcune pratiche da mettere in atto per accrescere il proprio anonimato, mentre si utilizza Tor, ma anche offline. Tor non protegge tutto il traffico Internet del tuo computer quando lo utilizzi. Tor protegge soltanto applicazioni che sono configurate correttamente, in modo da far passare il proprio traffico attraverso Tor”.

Detto ciò, mentre Tor è anonimo in teoria, in pratica i “nodi di uscita”, in cui il traffico lascia il protocollo “cipolla” sicuro e viene decifrato, possono essere stabiliti da chiunque, comprese le agenzie governative. Chiunque gestisca un nodo di uscita può quindi leggere il traffico che lo attraversa.


Ed infatti, ahimè, per più di 16 mesi, si è assistito all’aggiunta di server dannosi alla rete Tor al fine di intercettare il traffico ed eseguire attacchi di stripping SSL agli utenti che accedono a siti dove si opera con le criptovalute.

Gli attacchi, iniziati a gennaio 2020, sono consistiti nell'aggiungere server alla rete Tor e contrassegnarli come "relè di uscita", che, come spiegato in precedenza, sono i server attraverso i quali il traffico lascia la rete Tor per rientrare su Internet pubblico dopo essere stati resi anonimi.

Questi server sono serviti ad identificare il traffico diretto ai siti Web di criptovalute ed eseguire un attacco di stripping SSL, ossia un tipo di attacco volto a declassare il traffico da una connessione HTTPS crittografata a HTTP in chiaro.

L’ipotesi più probabile è che l'attaccante abbia declassato il traffico a HTTP al fine di sostituire gli indirizzi IP dei server di criptovaluta con i propri e dirottare, così, le transazioni per profitto personale.

Gli attacchi non sono nuovi e sono stati documentati ed esposti per la prima volta l'anno scorso, ad agosto, da un ricercatore di sicurezza e operatore del nodo Tor noto come Nusenu.

All'epoca, il ricercatore disse che l'aggressore era riuscito a inondare la rete Tor di relè di uscita Tor dannosi in tre occasioni, portando il picco della loro infrastruttura di attacco a circa il 23% della capacità di uscita dell'intera rete Tor prima di essere chiuso dal team Tor.

Ma in una nuova ricerca pubblicata di recente e condivisa con The Record, Nusenu ha detto che nonostante le loro operazioni siano state esposte pubblicamente, le minacce sono continuate e sono ancora in corso.

Secondo Nusenu, gli attacchi hanno raggiunto e superato un quarto dell'intera capacità di uscita della rete Tor in due occasioni all'inizio del 2021, raggiungendo il picco del 27% a febbraio 2021.

La seconda ondata di attacchi è stata rilevata, proprio come la prima, e i relè di uscita Tor malevoli sono stati rimossi dalla rete Tor, ma non prima che l'infrastruttura di attacco fosse viva e intercettasse il traffico Tor per settimane o mesi.

Il motivo principale per cui gli attacchi hanno funzionato per più di un anno è stato perché l'attore malevolo ha aggiunto relè di uscita dannosi “a piccole dosi” riuscendo così a nascondersi all’interno della rete e costruendo l’infrastruttura malevola con il tempo.


L’ultimo attacco è stato individuato, però, velocemente per il fatto che la capacità di uscita della rete Tor era passata da circa 1.500 relè di uscita giornalieri a più di 2.500, un valore che nessuno poteva ignorare.

Nonostante siano stati rimossi più di 1.000 server, Nusenu ha anche detto che dal 5 maggio 2021, l'aggressore controlla ancora tra il 4% e il 6% dell'intera capacità di uscita della rete Tor, con attacchi di stripping SSL ancora in corso.

Nell'agosto 2020, il Tor Project ha emesso una serie di raccomandazioni su come le operazioni del sito Web e gli utenti di Tor Browser potrebbero proteggersi da questo tipo di attacchi. Gli utenti che utilizzano il browser Tor per accedere alla criptovaluta o ad altri siti finanziari sono invitati a seguire i consigli forniti sul sito.

È chiaro che non esiste infrastruttura che non sia attaccabile e che gli attacchi sono volti, sempre di più, a colpire aree di interesse crescente quali, appunto, come riportato nell’articolo, il mercato delle criptovalute. 

Nessuno, in sintesi, può ritenersi al sicuro. 

Nemmeno con la navigazione in incognito.


Carlo Mauceli


venerdì 21 maggio 2021

CONOSCERE LE CYBER-TATTICHE DELL'AVVERSARIO

Qualsiasi attività di sicurezza informatica e di protezione cibernetica si basa sulla determinazione di un confine da presidiare (il perimetro di sicurezza) e sulla stima dell'eventualità di subirvi un danno connesso a circostanze più o meno prevedibili (la valutazione del rischio).

Il rischio va valutato tenendo in debita considerazione la minaccia e le vulnerabilità che questa può sfruttare; le condizioni predisponenti a contorno; la probabilità di attuazione e successo della condotta dannosa; ed infine l'entità delle perdite che si possono arrecare.

Fermiamoci in questa sede a considerare soltanto il primo elemento: la minaccia; e cerchiamo di fissare alcuni punti fermi che ci aiutino ad affrontare un difficile, ma non impossibile, metodo di studio del nostro avversario. Si, perché le battaglie, prima che con le armi, si vincono grazie alla conoscenza dell'avversario: della sua "DENA", acronimo tradizionalmente noto nelle Scuole militari per Dislocazione, Entità, Natura ed Atteggiamento del nemico; ed in particolare delle sue TTPs, cioè delle sue Tattiche, Tecniche e Procedure operative.

Per quanto scaltro e dotato, il nostro avversario dovrà pur sempre seguire un filo conduttore, se vuole avere successo. E la logica e l'esperienza ci permettono di concettualizzare un "percorso di danno" o se volete un "ciclo di vita della minaccia" che bisogna tenere presente se si vogliono fare analisi del rischio ed investimenti di sicurezza efficaci e focalizzati.


Tipicamente questo ciclo parte da una fase preparatoria, dove l'avversario monitora dall'esterno le reti, i sistemi informativi ed i servizi informatici della vittima con attività ricognitive: ad esempio con strumenti di active scanning o di Host information gathering, alla ricerca di vulnerabilità o di dati di dettaglio sulle configurazioni dei sistemi perimetrali o sulle procedure di accesso fisico ai data center ed ai desktop. In questa fase, inoltre, l'avversario acquisisce le risorse necessarie a condurre l'attacco, come ad esempio la creazione di botnet per lanciare azioni di Denial of service o il noleggio di Virtual Private Server per assicurarsi l'anonimato.

Dopo questa fase preparatoria, similmente alle operazioni tattiche offensive nelle manovre terrestri, vi è la penetrazione del muro di difesa, tipicamente nel punto più vulnerabile ove, con tecniche diverse quali ad esempio il furto di credenziali personali o l'installazione di malware su pendrive regalate a personale interno all'organizzazione, l'avversario si assicura una "testa di ponte"  che gli consenta di installare dei codici malevoli all'interno del perimetro di sicurezza.

Segue la fase dell'Execution dei codici malevoli con cui l'avversario sferra l'attacco e/o si garantisce il controllo sotto copertura (e l'anonimato può durare mesi o anni come cellula dormiente) di parte dei sistema, della rete o del servizio per attuare ulteriori predisposizioni e strategie di intelligence e compromissione.


In questa fase l'avversario può condurre tattiche di Persistence, finalizzate per l'appunto a mantenere il varco di accesso, la "testa di ponte" all'interno del perimetro di sicurezza nonostante attività di cut-off quali ad esempio il restart o il cambio credenziali; di Privilege Escalation, con cui tenta di garantirsi privilegi di accesso di livello più alto, quali ad esempio quelli ghiotti di amministrazione di sistema; di Defense Evasion, con cui cerca di mascherarsi alle attività di monitoraggio e detezione del sistema di sicurezza; di Credential Access, finalizzate a rubare le credenziali di accesso; di Discovery, con cui osserva -stavolta dall'interno - l'ambiente, orientando meglio le proprie strategie di attacco o rivedendo i suoi obiettivi; di Lateral Movement con cui si espande, acquisendo il controllo di segmenti di rete contigui o di partizioni di server ad accesso controllato o di sistemi informativi remoti;  di Collection con cui individua, analizza e raccoglie le informazioni che vuole rubare;  di C2 con cui stabilisce canali di comunicazione fantasma per garantirsi dall'esterno il comando e controllo del sistema compromesso; ed infine tattiche di Exfiltration o di Impact a seconda che l'obiettivo dell'attacco sia di rubare informazioni o di interrompere l'operatività del sistema; oppure di entrambi, come nel caso dei tristemente noti Ransomware più evoluti che estraggono una copia dei dati per minacciarne la pubblicazione sul darkweb, contestualmente cifrando e rendendo indisponibile parte o tutta la memoria che li contiene.

Per ciascuna di queste tattiche, esistono tecniche e procedure hacker sottili ed evolute, nonché algoritmi di penetration, exfiltration e impact appositamente sviluppati dai cyber criminali.

Fortunatamente però sono tattiche conosciute al mondo dell'intelligence e della cybersecurity che ha sviluppato a sua volta strategie di contromisura in termini di protezione,  monitoraggio, detezione, mitigazione e risposta.

Ma di questo parleremo in una prossima occasione.

Orazio Danilo Russo

Per approfondire:

Che cos'è la cyber kill chain? - Difesa Online

https://doi.org/10.6028/NIST.SP.800-30r1

https://www.dni.gov/index.php/cyber-threat-framework

MITRE ATT&CK®