Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cyber Deception Technology, nuova frontiera nell’arte della guerra

Massimiliano Brolli : 20 Giugno 2020 08:00

Articolo di: Massimiliano Brolli
Data pubblicazione: 20/06/2020

Il concetto è semplice; l’espressione “inganno militare” si riferisce alla possibilità di ingannare i nemici durante una guerra. Ciò si ottiene normalmente alterando i fenomeni di contorno come le informazioni, la comunicazione e la percezione psicologica ad uso di un più ampio scopo strategico.

Kevin Mitnick (nome in codice “condor” e famoso hacker americano ispiratore di tantissimi film sull’hacking, oltre ad essere stato l’inventore dello “spoofing ip”), nel suo libro The Art of Deception riportava:

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

«La mente umana è un’invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa. Dovete usare la medesima creatività e immaginazione per proteggere i sistemi informatici e di informazione nei settori pubblici e privati. Perciò, gente, quando pensate alle politiche di sicurezza delle vostre aziende … siate creativi e pensate fuori dal sentiero tracciato.»

La cyberwar è del tutto simile alle guerre reali, ne abbiamo già parlato nell’articolo Stati e Guerre senza confini geografici pubblicato su Safety & Security Magazine, ma ad oggi come possiamo sfruttare “l’arte dell’inganno” nella cybersecurity per aumentare la sicurezza delle infrastrutture informatiche, proprio come incitava Kevin Mitnick?

Come sappiamo, il concetto di honeypot è presente da tempo, ma si tratta di un ecosistema bersaglio auto-consistente che funge da “trappola” per eventuali intrusioni informatiche.

Lo step successivo è quello di creare delle – trappole in-line – alle applicazioni, che risultino esposte come parte integrante dell’applicazione stessa, in maniera customizzabile e gestibile, che portino l’attaccante in una bolla creata ad arte per simulare vulnerabilità finalizzate a depistarlo dal bersaglio reale, anche esponendo dati simili a quelli dall’applicazione da proteggere.

Ad esempio, un utilizzo della cyber-deception sulle web-application, può essere implementata simulando la presenza di url (esposte sullo stesso dominio che si vuole proteggere, magari come pagine di backup o altro), affette da note vulnerabilità come ad es. sql-injection, XSS o Remote Code Execution che consentono di ingannare i potenziali aggressori e condurli su percorsi di attacco creati per loro, monitorandone i loro avanzamenti attraverso il Security Operation Center pronto ad agire una volta raccolte tutte le tracce essenziali per poter impugnare una analisi forense.

Tali applicazioni “parallele”, di fatto non saranno altro che delle honeypot “multi layer” esposte in “bolle” completamente separate dalle reti aziendali (ad es. utilizzando hypervisor, cloud pubblico o virtualizzatori vari) che conterranno vulnerabilità note in modalità “inline” alle applicazioni da proteggere, magari riutilizzando e customizzando applicazioni già presenti negli hub-container pubblici per la creazione di sandbox.

Ovviamente la customizzazione risulterà fondamentale in particolar modo per rendere le pagine simili al portale da proteggere, e quindi non far accorgere i potenziali aggressori di essere atterrati su un qualcosa di noto, magari da loro utilizzato per precedenti esercitazioni di attacco.

Per portali critici, potrebbero essere interessante inserire all’interno della trappola un intero database “fake” cifrato che riporti informazioni di pubblico dominio prelevate da fonti internazionali.

A questo punto il criminale informatico, qualora sia riuscito a completare l’attacco sul sito “fake” potrebbe:

  1. Ritirarsi e immagazzinare i dati “fake” pensando che questi siano corretti;
  2. In caso di attivismo, pubblicare i dati su repository pubblici (ad es. pastebin), oppure effettuare deface del sito “fake”, ovviamente non l’applicazione principale che risulta il dominio da proteggere;
  3. Incorrere in potenziali azioni leagli, dovute alle tracce lasciate sui sistemi e acquisite dal Security Operation Center di competenza.

Nel secondo caso, occorre prestare attenzione in quanto potrebbero esserci implicazioni sul brand e nella web reputation dell’impresa, l‘inganno non deve influenzare gli scenari del mondo reale.

Come proteggere la “brand & web reputation” dopo una deception

In un contesto così labile tra difensore e attaccante, che pubblica in rete informazioni “fake” provenienti da un nostro sito, rispetto all’opinione pubblica, come occorre comportarci?

Sicuramente l’aspetto più importante sta nel rendere inviolabile “il miele” contenuto all’interno delle applicazioni da proteggere, e su questo fronte, tutte le tecniche di guerra risultano lecite.

Applicando tutto questo, occorrerà attraverso la comunicazione (che vedevamo all’inizio essere uno tra i principali attori nell’arte dell’inganno), proteggere il brand da eventuali attacchi sulle fonti pubbliche. Questo forse oggi in molte aziende potrebbe essere ancora difficile da sostenere per una mancanza di specifiche competenze o reattività nell”attraversamento dei processi aziendali di Cyber Security.

Conclusioni

L’arte della deception, è stata avviata nel lontano 1999 con le honeypot che hanno trainato il mercato di quel periodo. Dopo molto entusiasmo si è avuto negli anni successivi un forte arresto, tanto che si parlò di “inganno dell’inganno” che si concluse nel 2014 quando tali concetti cominciano a riprendere forma, anche se in modo differente.

Probabilmente questa sarà una nuova branca di sviluppo nella cybersecurity nel prossimo futuro. Gartner ad inizio dl 2019 parla di “Cyber Deception Technology” (o CDT) e stima che nel 2019 solamente il 10% delle aziende introdurrà strumenti o poc (e soprattutto saranno organizzati per gestire una corretta comunicazione) su questo nuovo fronte. Un problema risulta anche una carenza di listino di questo genere di strumenti che risultano oggi limitati se non completamente assenti.

Nelle guerre, come sappiamo, non esistono limiti nella sperimentazione tecnologica, ce lo insegna Mitnick, ma anche gli eventi, gli zeroday e i data-breach stessi. Il tempo ci farà comprendere se questa nuova visione dell’inganno consentirà di fornire supporto alle grandi aziende, oppure si tratti, come in molti casi, di architetture inutili acquistate e poi non più utilizzate, collezionate in rack spenti nei datacenter.

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Op_Italy: un attacco DDoS di Mr Hamza è stato sferrato contro il Ministero Della Difesa italiana

Sabato 3 maggio, un post pubblicato su un canale Telegram legato al gruppo “Mr Hamza” ha rivendicato un cyberattacco ai danni del Ministero della Difesa italiano. Il messaggio, scritto i...

Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...

Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...