Associati
Il paradigma di Carmine Miano: hacking VS Cyber Threat Intelligence
A cura di Raoul Chiesa
Le recenti cronache hanno visto protagonista il ventitreenne “super hacker” Carmine Miano, in quel di Gela.
Tanto è stato scritto nelle scorse settimane dai media nazionali. “Il più bravo hacker di sempre” intercettava investigatori, Pubblici Ministeri e leggeva le informative e le email che lo vedevano protagonista di indagini e procedimenti penali contro di lui. La realtà dei fatti non è esattamente così e porta, invece, ad un nuovo paradigma della Cybersecurity: i dati sono già stati rubati – spesso all’esterno del c.d. “perimetro aziendale” – e sono reperibili con estrema semplicità. Lo sanno tutti: cybercriminali, Governi (intesi come “State-Sponsored Attack”) e smanettoni di medio livello come nel caso di Carmine Miano… a quanto sembra, gli unici a non saperlo sono proprio le vittime, le aziende, gli enti ed i cittadini.
Un paradigma che gli analisti e gli esperti di CTI (Cyber Threat Intelligence) conoscono molto bene, oramai da diversi anni: le informazioni, i dati necessari a “sferrare un attacco” sono liberamente disponibili sui black forum del Dark e del Deep Web, così come su canali Telegram appositi. Credenziali di accesso, accoppiate “login e password” per sistemi di posta elettronica, connessioni VPN o addirittura verso le Intranet ed i server interni della maggior parte della Pubblica Amministrazione e aziende di piccole, medie e grandi dimensioni.
Quasi nessuna organizzazione ne è esente, generando così in questi anni nuovi approcci e nuovi modus operandi nella violazione di asset informatici, spesso intesi come compromissione dell’intera infrastruttura IT e TLC dell’organizzazione vittima. Le informazioni sono presenti, al di fuori del cosiddetto “perimetro aziendale” e, soprattutto, per pochi spicci.
Questo nuovo scenario ha quindi contribuito a creare un modello criminale: per violare un target oggi è sufficiente ottenere i file esfiltrati da PC, smartphone e tablet dei singoli utenti e infettati da malware, cercandoli all’esterno dell’organizzazione che si vuole attaccare.
Carmine Miano è stato paragonato a vere e proprie icone, come Kevin “The Condor” Mitnick, Kevin Poulsen o persino al sottoscritto. Un agente di minaccia, il Miano, così “lamer” da apparire su tutti i quotidiani e siti nazionali ritratto in una foto già divenuta celebre: inquadrato dalle telecamere nascoste installate dagli operativi delle Forze dell’Ordine a casa sua a Roma, nella stanzetta dalla quale lanciava i suoi “attacchi”.
Se però un ventitreenne con medie capacità tecniche ha potuto violare colossi come TIM, Noovle, Telespazio e Leonardo, solo per citare i più noti, ed accedere alle reti informatiche della Guardia di Finanza e di alcune Procure italiane…allora, abbiamo un problema. Non da poco ma, anzi, molto, molto serio.
È il paradigma a cui accennavo poco fa. È davvero sufficiente un TOR Browser, tanto tempo a disposizione e un pugno di accessi a certi specifici forum, per accedere ai dati più sensibili ed agli accessi più ad alto livello del nostro Paese? Purtroppo la risposta è sì.
Questo però è un problema non solo italiano ma, anzi, mondiale. Multinazionali ed Enti governativi di tutte le nazioni subiscono quotidianamente gli stessi danni, le stesse violazioni, le stesse esfiltrazioni di dati. Negli ultimi mesi ho personalmente visto, indagando e “ravanando” tra i dati esfiltrati da centinaia di malware, accessi che permettono il controllo completo di flotte di navi (da crociera, cargo, ecc), agenzie assicurative, banche nazionali e così via.
I motivi per i quali questo accade regolarmente, sino al punto di essere diventato, appunto, un modus operandi dichiarato e ben noto a chi lotta contro il cybercrime ogni giorno, sono principalmente due:
- il solito “fattore umano”, qui inteso però come smart working, utilizzo di PC (asset digitali) personali, ambiente domestico, rapporti relazionali e sociali di famiglia e di amicizia;
- un servizio come la CTI che, se da un lato paga sin dal proprio esordio sul mercato dell’offerta della Cybersecurity il fatto di essere una scienza molto recente, dall’altro vede tra i grandi player pochissimi “veri” fornitori (quelli che detengono i dati) e una moltitudine di piccoli, medi e grandi fornitori di servizi di CTI largamente orientati sul Dark e Deep web; ma giocoforza, e nella quasi totalità dei casi, privi di quei dati “che fanno la differenza”.
Questo porta, per svariate ragioni, ad una quasi totale ignoranza di questi “ecosistemi” e degli attori che li popolano, in un circolo di nutri-consuma dei nostri dati, strategici e personali, da parte dei Seller e dei Buyer del Cybercrime.
Le nostre identità digitali, le nostre informazioni aziendali sono oggetto di continue compravendite “all’ingrosso” così come al dettaglio, permettendo così la più totale violazione delle vite e delle attività professionali. Una specializzazione del fenomeno criminoso estremamente sottovalutata che, anche per questo, causa ogni anno danni immensi e conseguenze incredibilmente costose.
Cosa bisogna quindi fare per prevenire il mega-incidente informatico, il blocco delle aziende per ransomware e gli abusi e frodi contro i cittadini e le imprese del nostro Paese?
Bisogna iniziare a comprendere il paradigma, dando per assunto che “i nostri dati sono giù stati rubati”, e individuando un serio e competente fornitore di CTI per le verifiche del caso. Inoltre, le aziende e gli enti dotati di buon senso dovrebbero stipulare un abbonamento annuale con piattaforme di CTI dedicate e dinamiche, le quali informino in tempo reale le aziende dell’avvenuta compromissione e forniscano le evidenze del caso.
Non è un percorso difficile o complicato, tutt’altro. È soprattutto, invece, un cambio di mindset e modo di porsi verso la lotta al Cybercrime e nel contrasto agli incidenti informatici.
Ritengo sia però giunto davvero il momento di “toglierci il prosciutto dagli occhi” e comprendere come la CTI rappresenti, già oggigiorno, la migliore risorsa possibile per ottenere conferme, o smentite, rispetto alle tante keywords (ab)usate negli ultimi anni quando si parla di Cybersecurity aziendale e a livello Paese: Compliance, Verifiche di terze parti, bollini, certificazioni e chi più ne ha più ne metta.
Stiamo parlando dei nostri dati: il primo passo logico è verificare se ci sono già stati rubati e se addirittura sono in vendita a nostra totale insaputa…non mi sembra così difficile da comprendere ed accettare.