10 regole sull'idea di "attribution".
Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.
Alcune premesse
Gli attacchi informatici sono di difficile attribuzione e, a meno di una specifica rivendicazione certa, possono occorrere mesi, se non anni, per avere la sicurezza della paternità di un malware o di un'azione specifica di atto ostile informatico.
Manca, così, spesso la possibilità di arrivare alla certezza assoluta della imputabilità di un atto che potremmo definire di "guerra digitale".
L’infrastruttura digitale di un attaccante, così come i suoi indirizzi IP e domini, può essere facilmente imitata (o addirittura generata ex novo) in modo da offuscare la vera identità dell’aggressore.
Ad esempio, si possono dirottare sistemi e strutture di altri Stati per portare a termine attacchi e per rendere complessa l’attribuzione, anche prendendo (prima) possesso di infrastrutture, reti o computer altrui per poi utilizzarli per attaccare.
I criminali informatici dedicano, poi, grande attenzione a coprire le tracce e, anzi, in alcuni casi questo aspetto diventa una priorità: il momento più importante dell'attacco consiste, allora, nell'elaborare possibili false piste.
DIECI regole per meglio comprendere i temi trattati
1. Non bisogna "credere" subito all’indirizzo IP che appare essere dell’attaccante, e alla sua collocazione geografica.
2. Occorre comprendere le modalità migliori per offuscare indirizzi e percorsi, per capire in concreto come un criminale possa agire anche contro di noi.
3. Diventa indispensabile analizzare le principali funzionalità di una VPN per comprendere le modalità di cambio o offuscamento di navigazione e indirizzi IP.
4. Occorre analizzare le funzionalità di Tor per comprendere una delle modalità più usate per nascondere le proprie tracce o per cercare un buon livello di anonimato.
5. Sarebbe opportuno studiare il caso informatico-politico legato al worm/arma digitale Stuxnet con riferimento al possibile coinvolgimento di USA e Israele e la difficoltà di comprendere, in realtà, chi vi fosse dietro a quell'attacco.
6. Utile è studiare le (presunte) origini e la possibile "paternità" dei più comuni malware degli ultimi anni, soprattutto con riferimento ai virus informatici che hanno infettato sistemi in tutto il mondo (spesso provenienti dall'Oriente).
7. Interessante è il comprendere come possano essere usati computer altrui per fare da "ponte" negli attacchi e per far perdere, quindi, le tracce del vero attaccante.
8. Fondamentale è comprendere il ruolo e l'uso di botnet create anche partendo da computer altrui compromessi.
9. Utile è comprendere il percorso di modifica dei file di log (o di cancellazione degli stessi) finalizzato a rendere difficoltose le indagini (sono vere e proprie azioni definite di anti-forensics).
10. Interessante è comprendere la creazione e collocazione nel codice di un virus di istruzioni, o righe di codice, false o riferite a time zone specifiche (ad esempio: San Pietroburgo) per creare false piste volte a ingannare chi sta indagando.