Trovaci su: Twitter

Cyber: la risposta governativa ai black hat

Di Gianni Cuozzo
In In Evidenza
05/01/2017
0 Commenti

Quando si parla di hacker, la mente vola subito alle più disparate scene da film, in cui individui solitari, nel buio delle loro camerette, digitano velocemente sulle loro tastiere per hackerare questo o quel target. Collettivi come Anonymous o vicende come WikiLeaks hanno fatto guadagnare molti consensi a questa categoria, erigendola spesso a defensor veritatis. Ma è davvero così? Sono solo ed esclusivamente nobili principi che spingono migliaia di persone nel mondo a cimentarsi in una delle branche più complesse e affascinanti del mondo informatico? Ovviamente no.

Oggi le migliori menti di questo settore sono spesso appartenenti alla categoria dei black hat, ovvero individui con avanzate skill informatiche che usano queste capacità a fine di lucro illegale. Il mondo del mercato nero delle informazioni e degli 0-day, cioè le vulnerabilità non note che possono condurre a exploit di sistemi (alla penetrazione e presa di controllo non autorizzato di macchinari, pc, industrie, infrastrutture, ecc.), rappresenta un’opportunità molto più lucrativa di qualsiasi lavoro, a ogni livello, in aziende specializzate. Questi mercati hanno diversi sistemi di funzionamento e soprattutto diversi gradi di riservatezza, in base alla criticità delle informazioni o alla falla ritrovata.

Il mercato degli exploit e degli 0-day, ad esempio, è un mercato in cui vi è una certa simmetricità tecnologica e informativa fra domanda e offerta: di solito chi compra è un hacker, che poi riutilizza, a sua volta, questi exploit per condurre operazioni. Il prezzo e la facilità di accesso a questi exploit variano molto, esistono exploit comuni di facile reperibilità, generalmente si trovano in forum appositi a poche centinaia di euro e spesso hanno come target programmi e formati di uso comune (ad esempio word o pdf), spesso sono basati su Cve (Common vulnerabilties and exposures), quindi su vulnerabilità note abbastanza recenti che si dimostrano inefficaci nel caso il software target venga aggiornato da parte della software house. In ogni caso, questi exploit sono i maggiormente venduti, perché molti utenti tendono a non aggiornare i software presenti sui propri dispositivi e sono perfetti per attacchi con un buon rateo di successo, ma con target di profilo basso.

Il secondo tipo di exploit, più raro, è quello in base sistema, che ha come target vulnerabilità presenti nei sistemi operativi di pc, server e smartphone. Il costo di queste tipologie di vulnerabilità dipende dalla gravità della falla e dalla conoscenza o meno (0-day), da parte della software house, della vulnerabilità e quindi dei possibili tempi per rilascio di patch correttive. Il costo di questi exploit può variare da 2mila a 60/70mila euro. Il metodo di acquisizione è sempre per ibrido, fino a una certa fascia di prezzo si procede online attraverso BTC (bitcoin) o in più tranche attraverso sistemi di pagamento minori. Superato un determinato importo, invece, si usano società specializzate borderliner o formule di code rent da parte di collettivi hacker maggiori.

Altra faccenda, riguardano le vulnerabilità industriali Scada/Ics (Supervisory control and data acquisition/Industrial control systems) o protocollari, ovviamente essendo molto rare e avendo bisogno di un notevole studio, il loro costo varia dai 100mila ai 300mila euro. Il metodo di acquisizione di queste vulnerabilità è solo tramite via relazionale, il che potrebbe sembrare una cosa strana in un mondo basato su anonimato e tecnologia. Al contrario, per accedere a certi mercati bisogna frequentare ed essere riconosciuto in determinate community, al fine di guadagnarsi un trust solido agli occhi di chi vende queste tipologie di exploit, che possono ovviamente portare a danni enormi. Il grado di sospetto in questa fascia di mercato è molto alto proprio perché è noto che si tratta di exploit sotto la lente d’ingrandimento da parte di agenzie governative. Se colti sul fatto nella vendita di questa tipologia di software malevoli, che possono finire in mano a terroristi con conseguenze tragiche facilmente immaginabili, le ripercussioni possono essere gravi.

L’altro mercato molto lucrativo per i black hat è rappresentato dal mercato nero delle informazioni che ha, a sua volta, diversi livelli e metodologie. I mercati più comuni sono quelli fatti da servizi acquistabili direttamente online su siti specializzati presenti nel deep web, nei canali Tor, dove è possibile “affittare” hacker al fine di sottrarre quante più informazioni possibili su un soggetto spesso privato. Il prezzo di questi servizi può variare dai 500 euro ai 2mila. Questo tipo di attività può essere condotta contro aziende, istituzioni governative e personalità di alto profilo. Più cresce la sensibilità del target, più aumentano costo e difficoltà del soggetto di accedere a questi servizi. Il furto d’informazione può essere commissionato, oppure può far parte di documentazione sottratta per poi essere rivenduta e il prezzo può variare anche in base all’unicità di vendita delle informazioni sottratte. Per accedere a livelli governativi o di alto profilo bisogna, come nel caso degli exploit, essere conosciuto personalmente da certi collettivi. I prezzi si aggirano dai 500mila fino agli 800mila euro, necessariamente pagati dal 60% al 75% in anticipo, in contanti e in diverse valute.

Esistono luoghi fisici di aggregazione di questi collettivi di alto profilo: la maggior parte dei quali, per il mercato europeo, fa base a Nicosia (nei ambienti vicini alla locale università). Cipro, grazie al suo sistema bancario molto flessibile e alla massiccia presenza d’investitori dell’Est Europa, facilita le operazioni di compravendita in contanti. Negli Stati Uniti, invece, la città di riferimento è Seattle; in Asia è Hong Kong. Iniziano oggi anche a far capolino tag Nfc (comunicazione di prossimità) con chiavi pubbliche in pretty good privacy (pgp) per riconoscersi in modo sicuro. Questi collettivi di black hat di alto profilo ormai gestiscono la compravendita di informazioni governative e industriali e sono in grado di alterare equilibri di mercato. Tuttavia, proprio come le nostrane associazioni malavitose, tendono a selezionare accuratamente i potenziali acquirenti, al fine di non attrarre troppe attenzioni, rovinando un fiorente business. Le agenzie e i governi devono iniziare a considerare il mercato nero di exploit e informazioni riservate come un danno strategico potenziale, prevedendo piani di risposta adeguati.

L’analisi di Gianni Cuozzo, esperto in cyber security e ICT, fondatore e ceo di Aspises, è stata pubblicata sul numero di dicembre di Airpress. Cuozzo sarà tra i protagonisti di ITASEC17, la prima conferenza nazionale interamente dedicata alla sicurezza cibernetica.

Lascia un commento

avatar