Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

L’importanza del Cyber Contro-Spionaggio (parte 2 di 2)

Roberto Villani : 17 Marzo 2021 17:06

  

Autore: Roberto Villani
Data Pubblicazione: 17/03/2021

Ed allora come facciamo della “contro cyber-intelligence-(CCI)” efficace verso il nostro avversario?

Gli strumenti sono sempre gli stessi, come già avevamo riportato in un precedente articolo.

La raccolta OSINT/OSINF dei dati del vostro avversario è il primissimo passo da effettuare. Le informazioni disponibili da fonti aperte sono per la maggior parte quelle che offrono indicazioni per il vostro processo di CCI, ed il complesso delle informazioni che avrete disponibili e che dovrete quotidianamente possedere, è la chiave del vostro successo della vostra security activity di CCI, soprattutto se in fase di attacco.

L’aggregato delle competenze professionali, le esperienze raccolte, le tecnologie utilizzate – possibilmente sempre quelle più innovative – unite ad una completa analisi di tipo SWOT, possono aiutarvi in maniera completa per la vostra CCI.

Dovrete definire il vostro avversario, dettagliatene il suo profilo, raccoglierne le informazioni importanti senza tralasciare nulla, e soprattutto non sottovalutate nulla, non limitatevi al solo campo cyber ma andate oltre, esplorando altri settori che potrebbero sembrare irrilevanti.

Il territorio geografico o urbano per esempio è un elemento spesso sottovalutato, perché anche se parliamo di cyber security e tecnicamente le distanze si accorciano, conoscere i luoghi con precisione geografica o urbanistica, può essere un vantaggio.

E se non potete andare nel luogo fisico materialmente, le disponibilità che si trovano su fonti aperte sono innumerevoli e straordinariamente dettagliate. Altro elemento poco valutato è il fattore linguistico, molti hacker dei paesi più conosciuti quali ospitanti gruppi hacker criminali, conoscono perfettamente l’inglese, mentre voi probabilmente non conoscete una lettera dell’alfabeto coreano o cinese, per non parlare del russo o dell’ urdu pakistano.

Se rilevate dei documenti scritti in queste lingue, o passa un “ordine” utilizzando piattaforme video o social, con una di queste lingue a voi sconosciute la traduzione vi farà perdere del tempo prezioso sopratutto se siete sotto attacco.

Inoltre molte azioni di contro spionaggio cibernetico non prendono in esame una analisi dei dati socio-economici e logistici dell’attaccato, non valutare la forza economica del vostro avversario, le sue dotazioni logistico strutturali, i suoi dati demografici, i suoi dati medico-sanitari, la componente delle élite intellettuali e accademiche e non ultimo il suo potenziale comunicativo – Mass media, Influencer, TV e pagine social – è un difetto che annullerà la vostra azione di CCI.

Appare evidente come la CCI sia determinante come azione offensiva, piuttosto che difensiva. Se siete costretti a difendervi dagli attacchi evidentemente avete sùbito il contro-spionaggio cibernetico perché avevate quelle falle cui accennavamo nel precedente articolo.

Ma come fare un’azione offensiva senza cadere nella trappola della provocazione?

Molto semplice. L’inganno dovrà essere la vostra leva con cui agire. Creare e diffondere siti falsi ad esempio, possibilmente su un tema attuale, di rilevanza globale, costringe il vostro avversario di intelligence ad analizzare questi fakesites e lavorarci sopra; produrre azioni di difesa dalla disinformazione, restituiranno importanti feedback da parte dei vostri avversari, e potrete elaborarli opportunamente.

Creare azioni di protezione ai servizi cloud, contenitori di dati sempre più utilizzati dalle aziende, e a cui maggiormente sono interessati i cybercriminali, è un altra attività di CCI che dovrete attuare. L’utilizzo dei vasi di miele – i cosidetti “honeypots” – è altresì efficace in un’azione di CCI, sappiamo che esistono software specifici per la creazione degli honeypots, che possono essere utilizzati per la difesa, ma soprattutto per l’attacco.

Utilizzare un server-honeypots, ad esempio, potrà essere la vostra esca per la cattura dei potenziali nemici, mentre la creazione di client-honeypots vi faciliterà l’individuazione dei computer attaccanti. E sappiamo benissimo che i vasi di miele interessano solo ai “golosi”.

Dovrete indurre il vostro nemico a perseguire un determinato obiettivo, in cui egli creda fermamente ma che chiaramente avrete confezionato voi per lui.

La dove il vostro bersaglio sia titubante – ricordate sempre che ha probabilmente la stessa vostra formazione operativa – avrete bisogno di un supporto, ossia dovrete farvi aiutare a spingerlo verso il vostro punto designato.

Avete compreso la condizione del vostro avversario ma questi non si “muove”?

Ecco che dovete attivare ogni vostra capacità ed utilizzare le tecniche di intelligence più comuni – HUMINT-SOCMINT-SIGINT – per condurre il vostro attacco, sempre ponendovi il quesito di cosa potete fare affinché il vostro nemico creda in quello che gli state offrendo con l’inganno. In termini strategico militari, questa azione è ampiamente utilizzata nelle battaglie, come ben descritto nel libro di B.H. Liddel Hart – “the classic book in Military Strategy” – dove sono descritte le numerose tattiche di infiltrazione oltre le linee nemiche prodotte fin dal primo conflitto mondiale.

Tattiche da utilizzare nella CCI in maniera identica a quelle di carattere militare, perché parliamo dellacyber-war e che in questo recente passato se avete seguito le cronache internazionali, abbiamo visto applicare da qualche paese la protezione della sua stessa esistenza, perché minacciato fortemente di essere distrutto.

Il vostro processo d’inganno o “Deception” adesso inizia la fase più delicata, ossia quella costruzione del falso da riprodurre per muovervi contro il vostro target, pertanto non dovrete assolutamente costruire l’inganno in uno spazio vuoto, senza corpo, ma dovrete avere una copertura valida, che sia un singolo operatore, un gruppo o un’organizzazione anche governativa, che renda il vostro processo di Deception, blindato, assolutamente infallibile e credibile.

In soccorso può venire madre Natura con l’esempio del Cuculo, come vostro insegnante della tecnica d’inganno. Questo uccello, insieme ad alcuni insetti o il Camaleonte per ricordarne altri del mondo animale, applica una efficace azione di Deception per la sua stessa sopravvivenza, in quanto depone le uova nei nidi degli altri uccelli, ma le uova del Cuculo si schiudono prima del tempo previsto degli altri uccelli passeriformi come il Cuculo.

Il piccolo nato dall’uovo del Cuculo allora, come vede la prima luce nel suo nido si libera subito delle altre uova presenti gettandole fuori dal nido, in quanto oltre ad essere più grande come forma fisica, madre natura ha programmato il suo “software” a fare questo.

Successivamente dopo la crescita nel nido ospitante ed occupato con l’inganno si garantirà la protezione fin quando spiccherà il suo primo volo. Solo allora l’uccello proprietario del nido si accorgerà dell’inganno patito, vedendo un uccello diverso da quella della sua specie, che lo ha ingannato con una perfetta azione di Deception, presente in Natura.

E se non vi piace il paragone con il Cuculo, sappiate che esistono in ambienti militari, operatori formati ed addestrati ad operare come infiltrati in zone ostili, che hanno raggiunto altissimi livelli di fiducia, arrivando vicino ai comandi nemici, ed eliminandoli da dentro senza compiere stragi o azioni eclatanti.

Penso per esempio alla Deception operata da Robert Hanssen, da Aldrich Ames, o dagli uomini di Marcus Wolff “Mischa”, l’uomo senza volto, che riuscì ad infiltrare un suo uomo a capo della segreteria generale della NATO, durante la guerra fredda, bucando completamente ogni “firewall” si presentasse di fronte a lui e dimostrando l’inefficacia delle misure anti-intrusione del blocco atlantico, tanto decantate e economicamente più sostenute.

Nell’annuale relazione elaborata dai servizi di intelligence italiani, emerge chiaramente che la nostra struttura cyber non è adeguata alle nuove forme di attacco messe in atto da diversi “attori statuali” – come li ha definiti la nostra intelligence – che hanno tentato di sfruttare le debolezze e le falle del nostro sistema di protezione, che purtroppo ci trasciniamo dietro da diverso tempo.

Mutuare le risposte cibernetiche dalle esperienze di guerra, resta facile per quei paesi che hanno sempre fatto guerre, ma l’Italia non è in guerra da più di 70 anni. Quale esperienza possiamo avere in caso di attacco esterno?

Ora, se sul fronte guerra guerreggiata, abbiamo una flotta navale di assoluto prestigio e di forte proiezione marittima, un esercito ed una aviazione che sono adatti alle nostre esigenze operative, sul fronte della difesa cibernetica non abbiamo sufficienti eserciti, men che meno una possente forza di attacco cibernetico.

Tutto questo è confermato dai dati riportati nella relazione dei nostri servizi d’intelligence, che vedono come la nostra Pubblica Amministrazione abbia sùbito nel 2020, un incremento degli attacchi cyber dell’83% rispetto all’anno 2019.

Scelte scolastiche e professionali non al passo con i tempi che si stavano delineando, unite ad una costante incertezza insita nei nostri programmi politico governativi, non hanno certo contribuito a far crescere le nostre difese cyber, motivi per cui subiamo molti attacchi dai cybercriminali dall’esterno e forse anche dall’interno del nostro paese, perché le organizzazioni criminali italiane non sono certo “indietro”, nel settore cyber, ma hanno certamente reclutato manovalanza ben preparata, per non essere escluse da questo nuovo settore dove poter trarre enormi profitti, sfruttando sopratutto le criptovalute.

Ed allora, iniziamo a considerare la CCI come azione di attacco e non solo di difesa seguendo l’azione di controspionaggio tipica dell’intelligence reale, e replichiamola nel cyberspazio.

Pur utilizzando i computer ed i software le azioni da adottare sono simili; raccolta delle informazioni attraverso i vari strumenti AI offerti e presenti sul mercato, se questo primo livello di sicurezza verrà violato, attiviamo una seconda azione di contrasto possibilmente offuscando le nostre evidenze, ed iniziamo – tutti nessuno escluso – a fare “nebbia di guerra”, al fine di non consentire al nostro avversario di conoscere le nostre difficoltà, le nostre debolezze, le nostre falle.

Perché se oggi attaccano i sistemi della PA, domani attaccheranno quelli legati alla Sanità Pubblica (in Francia già è accaduto), poi attaccheranno l’ Istruzione scolastica sempre più in DAD, ed infine dovremmo cedere alla sconfitta cibernetica.

Facciamo sistema, conduciamo il nostro attaccante su posizioni isolate, creiamogli un terreno privo di punti di riferimento, dove non può attivare i suoi attacchi, impariamo a proteggerci e sopratutto ad attaccare, solo cosi facendo potremo neutralizzare la minaccia, ma sopratutto far vedere la nostra forza e riprenderci quel posto, all’interno della scena internazionale.

Siamo stati artefici della costruzione di questa Europa unita, riprendiamoci i nostri spazi geopolitici in questo XXI secolo, sopratutto quegli spazi cibernetici che saranno vitali per la nostra stessa esistenza, in virtù delle nuove tecnologie 5G che ci vedranno sempre più connessi alla rete e sempre più utilizzatori.

Non facciamoci intimorire, ne gestire dai criminali informatici, ma diamogli del filo da torcere, condividendo esperienze, capacità e sopratutto unità di intenti.

Solo cosi potremmo ritagliarci il giusto spazio del moderno mondo globale e cybercollegato.

Roberto Villani
Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.