Due mani che reggono un telefono cellulare con la schermata in fase di login, sullo sfondo una tazzina di caffè © Song_about_summer/Shutterstock

© Song_about_summer/Shutterstock

Quali sono i rischi principali relativi alla cybersecurity e i principali attori coinvolti? Un’introduzione per comprendere meglio i dibattiti sulla cybersecurity

27/11/2020 -  Niccolò Caranti

I rischi

Oggi la cybersecurity è un problema che riguarda tutti in vari modi: diretti o indiretti, con pericoli per le finanze, i dati personali, l'approvvigionamento energetico, ecc.

Indirettamente, possiamo essere tutti danneggiati da cyber attacchi, a scopo politico o economico, a infrastrutture che utilizziamo. Alcuni individui invece possono essere bersaglio di attacchi rivolti specificamente a loro: giornalisti, attivisti, ricercatori. Eppure, come scrive Carola Frediani in Guerre di Rete, “non c’è bisogno di essere un target per finire vittima di un attacco”: chiunque può essere vittima di phishing e ransomware, o trovare le sue informazioni pubblicate in "discariche" che spesso raccolgono dati su migliaia o milioni di persone.

La conoscenza delle cyber minacce fa molto affidamento sui report pubblicati dalle aziende di cybersecurity, ma questi report sono resi liberamente disponibili per motivi di autopromozione. Motivi certamente legittimi, ma la conseguenza è che vengono privilegiate le minacce ritenute più interessanti: perché riguardano vittime di alto profilo del mondo occidentale, provengono da paesi nemici o perché utilizzano strumenti nuovi. Questo, secondo Lennart Maschmeyer, Ronald J. Deibert e Jon R. Lindsay, comporta la sottorappresentazione delle minacce che prendono di mira la società civile, provengono da paesi “amici” o sono tecnicamente banali.

In questa prima sezione analizzeremo separatamente i diversi tipi di rischio, cercando di non trascurare quelli meno spettacolari.

Attacchi politici a infrastrutture

Chi ha detto che i malware non possono provocare danni fisici? Nel 2010 è stato scoperto Stuxnet, un virus molto sofisticato creato per danneggiare fisicamente il programma nucleare iraniano. Il malware sfruttava diverse “zero-day”, vulnerabilità informatiche non ancora note ai creatori di software e di antivirus, e sarebbe riuscito a danneggiare un quinto delle centrifughe nucleari iraniane, rallentando il programma. Il virus, pur avendo infettato decine di migliaia di computer, era pensato per non danneggiare sistemi diversi da quelli che erano i suoi obiettivi, ed era in grado di colpire computer non collegati a Internet passando attraverso pennette USB. Stuxnet ai tempi era considerato il malware più complicato mai concepito. Pur non essendo mai stato ufficialmente rivendicato, si ritiene che sia stato creato dagli Stati uniti con la collaborazione di Israele.

L’Ucraina ha subito numerosi cyber attacchi attribuiti alla Russia, con cui da anni è in conflitto. Alcuni hanno coinvolto la rete elettrica, provocando gravi blackout. Secondo Oleksii Yasinsky, esperto ucraino di cybersecurity, è possibile che il suo paese sia stato utilizzato come una sorta di campo di addestramento, per verificare l’effettiva realizzabilità di operazioni di questo tipo e dimostrare le proprie capacità: gli hacker non hanno fatto il massimo danno possibile, lo scopo sarebbe stato quello di esercitarsi sapendo che non ci sarebbero state gravi ritorsioni o conseguenze dirette. Secondo l'esperto americano Robert Lee, gli attacchi potrebbero anche essere interpretati come un messaggio russo agli Stati uniti per mostrare quello che il paese potrebbe fare se provocato.

Si presume sempre che questi attacchi siano provenienti da attori statali, perché necessitano di risorse e sforzi di pianificazione di lungo periodo che raramente si trovano in altre organizzazioni.

Cybercrime a scopo economico

In alcuni casi lo scopo dell’attacco è ottenere vantaggi economici, diretti o indiretti. Questo non esclude necessariamente che l’attore sia uno Stato, e tanto meno che uno Stato abbia delle responsabilità indirette, ma si tratterà più frequentemente di “cybercriminali comuni”.

Fra le minacce venute alla ribalta negli ultimi anni ci sono i ransomware, virus in grado di criptare il contenuto di un computer in modo che diventi impossibile da decifrare senza un’apposita chiave di decrittazione, che sarebbe fornita all’utente in cambio di un riscatto (in inglese ransom, da cui il nome). Il pagamento avviene solitamente attraverso criptovalute, che rendono difficile tracciare il denaro. L’aggressore in linea di massima ha tutto l’interesse a permettere effettivamente al bersaglio di decrittare i propri contenuti, in modo da risultare “affidabile” così che anche le altre vittime paghino, ma non sempre tutto va liscio. Fra i ransomware più famosi ci sono CryptoLocker (che avrebbe fatto guadagnare ai suoi autori più di 3 milioni di dollari) e WannaCry (2017).

I danni provocati da questi malware sono significativi. Negli Stati uniti alcune aziende sono state costrette a chiudere a causa di attacchi ransomware. A volte le vittime non denunciano per paura di perdere investitori, il che però rende anche più difficile per il pubblico conoscere la portata del problema.

In Italia, ad esempio, sono stati vittime di ransomware l’azienda multiservizi IREN di Reggio Emilia, l’ospedale di Erba (in provincia di Como), le Cantine Ferrari di Trento e il Comune di Spoleto. Secondo Kaspersky nel 2019 sarebbero state almeno 174 nel mondo le istituzioni municipali colpite.

Il singolo individuo può essere colpito direttamente da un ransomware o può avere danni indiretti a causa dell'attacco subito da un’organizzazione dalla quale in qualche modo dipende. L’attacco all’ospedale di Erba, ad esempio, ha reso inaccessibili 35.000 radiografie.

Dietro a questi attacchi possono esserci criminali “privati”, ma anche Stati: è possibile ad esempio che dietro a WannaCry ci fosse la Corea del Nord. Lo scopo non è politico, ma semplicemente quello di raccogliere risorse in valuta per un paese che strutturalmente ne è a corto.

Hanno scopo economico anche attacchi finalizzati alla violazione della proprietà intellettuale, in particolare segreti industriali. La Cina, e in particolare l’Unità 61398 dell’Esercito Popolare di Liberazione (APT1), è considerata responsabile di molti attacchi di questo genere, ma, come spiega un report di FireEye, va tenuto presente che ci sono vari gruppi al suo interno, non tutti coordinati e non tutti strettamente allineati al governo.

Tecnicamente più banali, ma comunque rilevanti gli attacchi basati sul phishing: si riceve una mail che apparentemente proviene da una banca o una società che emette carte di credito (o simili) e che contiene un link, apparentemente ad un sito ufficiale, che porta ad un modulo online in cui occorre inserire i propri dati. Si tratta in realtà di un sito gestito da cyber criminali, che lo usano per carpire i dati necessari per poi commettere furti.

Tecnicamente ancora più semplici (bastano normalissime email), ma non per questo inefficaci le classiche “truffe alla nigeriana”: si promette una grossa cifra, chiedendo però un piccolo anticipo per sbloccarla. Soltanto nel 2001 questa truffa avrebbe portato agli autori, i cosiddetti Yahoo boys, ben 500 milioni di dollari secondo Elina I. Hartikainen. Chi ha attaccato Twitter a luglio 2020, dopo aver preso il controllo di numerosi account, ha attuato una truffa simile, promettendo di inviare il doppio dei bitcoin che avrebbe ricevuto.

Spesso non ha bisogno di particolari strumenti nemmeno la tecnica “Business Email Compromise”. Spiega Carola Frediani nella sua newsletter Guerre di rete: “Sono quel genere di truffe in cui i criminali, di solito attraverso l’invio di una mail o altra comunicazione, si fingono un fornitore o anche il Ceo o il manager di un’azienda e convincono un dipendente a fare dei pagamenti su conti bancari sotto il loro controllo. (...) Secondo l’FBI questo tipo di truffa è quella più costosa finanziariamente tra quelle riportate alle autorità americane: la stessa agenzia federale stima che nel 2019 si siano registrate 1,7 miliardi di dollari di perdite da parte di aziende e individui vittime di BEC”. In modo ancora più spiccato che nei casi precedenti, reti informatiche e tecnologia sono solo un mezzo in questo tipo di truffe che sono effettivamente risultato di ingegneria_sociale.

Attacchi a scopo intimidatorio o per silenziare voci critiche

Una persona comune potrà essere vittima di un ransomware se clicca sul link sbagliato, e potrà ricevere una mail truffa se il suo indirizzo finisce in qualche elenco, ma difficilmente subirà un attacco mirato. Alcune categorie di individui a rischio possono invece essere prese specificamente di mira, e in questo caso possono non bastare le normali precauzioni, che dovremmo prendere tutti.

Attivisti e giornalisti sono presi di mira da governi autoritari, che vogliono spaventarli e silenziarli. Claudio “Nex” Guarnieri, un hacker che lavora per Amnesty International per aiutarli, ne ha parlato con Vice: alcune delle tecniche utilizzate per rubare denaro, come il phishing, possono essere utilizzate anche in questi casi, per carpire informazioni su fonti, contatti, ecc. Ma è in aumento anche l’utilizzo di spyware (software spia installati a insaputa dell'utente), contro cui è più difficile difendersi. Se dietro agli spyware c’è un governo l’obiettivo può essere quello di raccogliere prove di presunti crimini per poi procedere ad un arresto.

A volte i siti di informazioni e per i diritti umani sono vittime di attacchi DDoS, acronimo di distributed denial-of-service: "in pratica", spiega Carola Frediani su Valigia Blu, "lo si sommerge di richieste per farlo andare offline". Gli attacchi online possono precedere attacchi fisici o arresti: come ricorda sempra Carola Frediani, Daphne Caruana Galizia prima di essere assassinata aveva subito DDoS, tentativi di phishing e di simulazione d’identità.

Vi sono attualmente varie iniziative offerte da aziende del settore, tra cui CloudFlare e Google, che permettono a media, ONG o campagne politiche di ottenere gratuitamente protezione da campagne politiche. Anche il sito di Osservatorio Balcani Caucaso Transeuropa ha subito ripetuti attacchi DDoS nel 2013 e da allora è protetto attraverso il tool Deflect di eQualitie.

Dietro a questi attacchi possono esserci società private che lavorano per qualcun altro. Per esempio, Citizenlab, un laboratorio dell’Università di Toronto, e NortonLifeLock hanno identificato Dark Basin/Mercenary.Amanda, un “hack-for-hire group”. Il gruppo è probabilmente legato alla società indiana BellTroX, ma non è chiaro chi fossero i mandanti delle loro azioni.

Altre società, invece di compiere direttamente attacchi, possono “limitarsi” a sviluppare e vendere strumenti informatici a paesi autoritari. Una di queste sarebbe il NSO Group: Amnesty International ha chiesto allo stato israeliano di vietare all’azienda di esportare il software Pegasus, utilizzato per spiare attivisti e giornalisti in tutto il mondo, inclusi Marocco, Arabia Saudita, Messico ed Emirati arabi uniti. In particolare, secondo una causa portata avanti dal dissidente saudita Omar Abdulaziz, lo spyware sarebbe stato utilizzato ai danni di Jamal Khashoggi, il giornalista poi assassinato all’interno del consolato dell'Arabia Saudita in Turchia.

Violazione di dati personali e riservati

In alcuni casi lo scopo potrà essere trafugare dati o informazioni riservate. In alcuni casi l’obiettivo successivo può essere la pubblicazione, ma in altri si tratta di attività di intelligence, e quindi la violazione potrebbe non diventare mai nota a meno che non venga scoperta, e rivelata pubblicamente, dalla vittima.

I bersagli possono essere i più diversi, dalle organizzazioni sovranazionali come le Nazioni unite alle istituzioni statali come il Bundestag e ai partiti come i democratici americani, la Lega, En Marche (MacronLeaks), ecc.. Fra gli individui come detto sopra possono essere vittime di furti di dati personali attivisti e giornalisti, ma anche celebrità e persone comuni.

Ha fatto scalpore nel 2014 il caso delle foto private di celebrità trafugate da iCloud di Apple. Secondo Jonathan Zdziarski, esperto di sicurezza dei sistemi iOS poi assunto proprio da Apple, gli attaccanti avevano usato il phishing. I server Apple non risultano essere stati compromessi, ma la società ha successivamente migliorato alcuni aspetti della sicurezza, ad esempio rispetto all’autenticazione a due fattori.

Un altro caso che ha avuto conseguenze gravissime, anche per personaggi non pubblici, è quello di Ashley Madison, un sito dedicato alle avventure extraconiugali che ha subito un grave leak nel 2015: molti iscritti hanno visto i propri dati personali pubblicati. Come spiega Carola Frediani in Guerre di rete non sono chiari in questo caso autore e motivazione: una delle possibilità è che si volessero punire i responsabili di un comportamento legale, ma ritenuto immorale. Da segnalare che, prima di rendere disponibili online i dati trafugati, Impact Team, il gruppo responsabile, aveva detto che se il sito fosse stato chiuso non li avrebbero pubblicati.

Dati personali possono essere messi in pericolo anche anche da cattiva gestione di intercettazioni legali. Nel 2019 un'inchiesta ha rivelato che le intercettazioni fatte in Italia con il software Exodus, della società Stm, erano salvate su server all’estero, ed erano accessibili da qualunque dispositivo semplicemente con nome utente e password, senza un ulteriore livello di verifica: oltretutto gli agenti avevano accesso non solo alle “loro” intercettazioni, ma anche a quelli di altre procure.

Gli attori malevoli

Il pericolo non è il classico hacker con la felpa nera con cappuccio: si va dagli Stati alla criminalità organizzata a cyber attivisti. In questa sezione proveremo ad analizzare uno per uno i diversi attori malevoli.

Va detto che spesso non è chiaro l'autore di un attacco: uno Stato (se sì, quale?), un criminale, un attivista? Anche questi ultimi possono avere obiettivi politici, quindi la motivazione dell’attacco non è un elemento sufficiente. E spesso stati e criminali usano gli stessi software, creato dai primi e poi utilizzati dai secondi o viceversa, e quindi anche gli strumenti utilizzati possono trarre in inganno.

Stati

Gli Stati sono probabilmente le minacce cyber più temibili: agiscono spesso senza conseguenze, e possono facilmente passare dal virtuale al molto reale uso della forza.

Gli Stati tendono inoltre ad avere maggiori risorse e maggior costanza degli altri attori: alcuni aggressori ricorrenti prendono il nome di advanced persistent threat (APT), gruppi particolarmente sofisticati che si ritiene agiscano per conto di uno Stato o ne siano emanazione diretta. A questi gruppi vengono assegnati, solitamente da aziende di cybersecurity, dei nomi, naturalmente non ufficiali, come Fancy Bear (Russia), APT1 (un gruppo cinese, già citato sopra), Equation Group (USA), ecc.. La Russia è certamente una minaccia nel cyberspazio, ma non è l'unica.

Non fanno certamente eccezione gli Stati Uniti, ritenuti autori di due dei malware più sofisticati mai creati: Flame (utilizzato per lo spionaggio informatico in alcuni paesi del Medio Oriente) e Stuxnet (che aveva come bersaglio le centrali nucleari iraniane, come spiegato sopra). E nel 2019 ci sono stati timori di una “cyber escalation” con la Russia.

È raro che i gruppi legati agli Stati facciano attacchi a scopo finanziario, ma farebbe eccezione la Corea del Nord, sospettata di farne per raccogliere fondi per il governo.

Cybercriminali

Non tutti i cybercriminali fanno attacchi: alcuni ad esempio gestiscono o trafficano droga o altro su mercati neri digitali, di cui parla ad esempio Carola Frediani in #Cybercrime.

Secondo Jonathan Lusthaus alcuni esempi di cyber crimine potevano raggiungere già nel 2013 buoni livelli di organizzazione, ma non potevano essere definiti una forma di mafia o più in generale di crimine organizzato, come normalmente inteso in criminologia.

Più di recente E. Rutger Leukfeldt, Anita Lavorgna e Edward R. Kleemans sono giunti a conclusioni simili. Studiando i network cyber criminali hanno fra l’altro individuato strutture senza gerarchie rigide, anche se non totalmente fluide, per cui utilizzando definizioni ampie di criminalità organizzata vi potrebbero rientrare. Ma le loro attività spesso non sono abbastanza gravi per rientrare nella definizione di criminalità organizzata utilizzata dalla legislazione di molti paesi.

Cyber Attivisti

Si dice che "quello che per qualcuno è un terrorista per altri è un combattente per la libertà". Un discorso simile può forse valere anche per gruppi di “hacktivist” come Anonymous, o per persone come il fondatore di WikiLeaks Julian Assange. Al di là di come li vediamo, la diversa motivazione che li spinge ad agire rende in ogni caso opportuno distinguerli dai cybercriminali comuni.

Come segnala Edoardo Limone nel suo rapporto, infatti, “le operations di Anonymous [sono] intenzionate a denunciare le negligenze, gli abusi e gli illeciti della macchina statale seppur con mezzi illeciti”.

Anonymous è un gruppo decentralizzato, che agisce principalmente con data breach, defacing e DDoS: i data breach non sono finalizzati allo spionaggio, ma alla pubblicazione; il defacing invece consiste nello “sfigurare” un sito, cambiando l’aspetto di una pagina, inserendo messaggi di denuncia o simili; i DDoS come detto sopra puntano invece a rendere inaccessibile un sito. Fra i tanti bersagli vi sono stati governi, forze di polizia, la chiesa di Scientology, ecc.

Un glossario di termini spesso utilizzati parlando di cybersecurity

 

This publication has been produced within the project ESVEI, supported in part by a grant from the Foundation Open Society Institute in cooperation with the OSIFE of the Open Society Foundations. The contents of this publication are the sole responsibility of Osservatorio Balcani e Caucaso Transeuropa.