Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike
Crowdstrike

Criminalità informatica: in bilico tra il bene e il male.

Massimiliano Brolli : 11 Giugno 2020 08:00

Autore: Massimiliano Brolli
Data pubblicazione: 10/11/2019

Ne abbiamo parlato, la parola hacker è stata abusata da tempo, per descrivere persone specializzate in sicurezza informatica, ma che svolgono attività differenti dal punto di vista etico.

La storia e le differenze

Richard Stallman, attivista statunitense e “guru” del software libero (criticato da molti e osannato da altri), cercò di distinguere il termine “hacker” da “cracker”.

Supporta Red Hot Cyber attraverso

I primi, gli hacker (oggi chiamati white hat hacker) contribuivano a rendere i sistemi più sicuri senza trarne un reale profitto con lo scopo di – vedere oltre -, dove le altre persone non erano riuscite a farlo con l’obiettivo di migliorarne la sicurezza dei sistemi. I secondi invece, i cracker (chiamati oggi black hat hacker), violavano i sistemi in maniera illegale, per trarne un diretto vantaggio.

Purtroppo, questa differenza non è stata accolta dal pubblico e oggi si parla di “hacker” senza fare una corretta distinzione tra hacker etici e criminali informatici, in quanto tutto è male, anche se ci sono differenze sostanziali, non è vero?

Tra white hacker e Criminalità informatica

Tra white e black esistono innumerevoli sotto-dimensioni come i gray, i red, i blue, gli script-kiddie, oltre ad altre varianti con sottili sfumature da comprendere, ma diciamo che oggi distinguiamo i cattivi (i black) dai buoni (i white) e i gray… pensiamo al “datagate” e al rapporto Snowden... ma lasciamo per ora perdere.

Sia i white che i black generalmente non lavorano da soli, sia gli etici che i criminali, si radunano in gruppi, utilizzano community sia nel clear-web che nell’underground.

I black si distinguono principalmente in Attivisti (Anonymous, DCLeaks, LulzSec, ecc…), Cyber Criminali da profitto (violano e abusano le piattaforme informatiche per un “mero” guadagno economico) e i Gruppi di Minacce Persistenti Avanzate (APT41, APT40, APT18, Turla, Lazarus, Silence APT… solo per citarne alcuni) che sono spesso a stretto contatto con gli stati (National-State Actors) dai quali vengono coordinati e finanziati.

I gruppi di minacce avanzate

I gruppi APT lavorano a stretto contatto con le intelligence dei loro paesi, che li finanziano per rubare proprietà intellettuale, condurre spionaggio industriale, interrompere i servizi, distruggere le infrastrutture di altri paesi (ricordiamoci Stuxnet e Flame... ma lasciamo per ora perdere).

Inoltre creano Malware e li utilizzano per variopinti fini, dalla sorveglianza-distribuita alla cyber-war oltre a ricercare day (non come fanno i ricercatori e il responsible disclosure) per costruire cyber-weapons e renderli disponibili ai loro governi oltre ad opporsi ad altri gruppi APT concorrenti.

Lavorano anche nelle undergroud rivendendo i loro sforzi “pubblici” attraverso piattaforme MaaS (Malware As a Service). Insomma, in tutto quello che produce un vantaggio o un profitto in modo illegale su internet, ci sono loro.

I black (ma soprattutto i National-State Actors) lavorano per molto tempo e si parla di mesi o addirittura anni per preparare “il colpo”, oltre ad avere accesso ad ingenti finanziamenti per la ricerca aumentando esponenzialmente l’asimmetria in termini di skill tra buoni e cattivi.

Questi gruppi infatti sono i più pericolosi, alcuni molto attivi (cito APT40, APT41, Lazarus, Platinum APT), mentre altri hanno deposto le armi da tempo, ma come si dice

… se ne senti l’odore da lontano, stanne alla larga… subito!

Come proteggerci

Ed ecco che entra in azione il Blue Team, la Threat Intelligence, il Threat Hunting, la Malware Analysis oltre alle infrastrutture di sicurezza come gli endpoint-protection, gli antivirus, i threat data-feed, la priorità di gestione delle minacce e gli indicatori di compromessone, ad esempio interconnessi ai gruppi APT.

Come al solito, oltre a buoni strumenti e una perfetta integrazione nell’organizzazione aziendale, occorre che questi strumenti vengano gestiti da “mani esperte”. 

Infatti, non è detto che avere varianti di malware collegate ad un gruppo APT* voglia dire che si è sotto attacco, ma il team deve conoscerne le fonti e i gruppi più attivi e prevedere ulteriori precauzioni quando vengono rilevati malware collegati a precedenti attacchi, in particolare interconnessi a gruppi molto attivi.

Insomma, come spesso dico ogni sistema e ogni organizzazione è violabile, tutto dipende dall’interesse nel farlo e dal tempo a disposizione, e su questo il NIST lo spiega bene nella “Special Pubblication” 800-115 oltre ad insegnarcelo gli incidenti in natura.

Concludo dicendo che oggi:

saper trovare il giusto compromesso tra rumore generato dai falsi positivi e le reali minacce, sarà lo spartiacque tra aziende che “subiranno” o “reagiranno” al cybercrime, nel prossimo e difficile futuro

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009