Table of Contents
Capire e conoscere le minacce digitali della cyberwar è fondamentale per tutti: cittadini, aziende, stati; siamo tutti bersagli.
Cos’è la Cyberwar?
Il termine cyberwar si riferisce all’uso delle tecnologie informatiche per attaccare, difendere e rubare informazioni. La guerra informatica è una forma di guerra dell’informazione, che è un concetto più ampio che include sia la guerra digitale tra stati che il terrorismo informatico di gruppi indipendenti.
La guerra informatica può essere utilizzata per raggiungere obiettivi militari senza la necessità di armi tradizionali. È stato utilizzato per interrompere infrastrutture o servizi nemici, come reti elettriche, reti governative e sistemi finanziari. Gli attacchi informatici vengono utilizzati anche dai terroristi per diffondere la paura tra la popolazione, rilasciando virus e altro codice dannoso nel pubblico dominio.
La Cyberwar tra Stati è una minaccia per tutti
Il mondo è diventato digitale, così come i modi di fare la guerra. Hacking, guerra informatica e spionaggio sono ormai la norma. Il mondo è diventato più interconnesso, ma questa connessione ha anche reso più facile per gli hacker causare il caos.
La Cyberwar è una nuova frontiera della guerra e come nella guerra vera anche i civili ormai non sono al sicuro dagli attacchi.
Le modalità di attuazione degli attacchi vanno dal superamento dei sistemi protettivi e dall’entrata nelle reti informative e nelle banche dati, con finalità varie (dall’acquisizione di informazioni al vandalismo di hacker individuali), all’attacco massiccio condotto da unità specializzate, alla diffusione di virus informatici o di worm, per neutralizzare reti, sistemi d’arma o di comando, di controllo e di comunicazione.
Obiettivi della Cyberwar sono infrastrutture strategiche come i
Dal punto di vista difensivo, la cyberwar tende a irrobustire tecnicamente computer e reti per aumentarne la resilienza, anche con una ridondanza delle loro componenti. Essenziale nelle operazioni difensive è rendersi conto dell’attacco per predisporre adeguate contromisure sia passive che attive. Queste ultime consistono nell’identificare, penetrare e neutralizzare gli attacchi cibernetici avversari.
Guerra informatica tra Occidente, Russia e Cina
L’Occidente è stato impegnato in una guerra informatica contro la Russia negli ultimi anni. Gli Stati Uniti, il Regno Unito e la NATO hanno tutti accusato la Russia di utilizzare attacchi informatici per interferire con i processi democratici.
L’Occidente è stato impegnato in una guerra informatica contro la Russia negli ultimi anni. Gli Stati Uniti, il Regno Unito e la NATO hanno tutti accusato la Russia di utilizzare attacchi informatici per interferire con i processi democratici. Queste accuse provengono dalle elezioni presidenziali statunitensi del 2016 e dalle elezioni presidenziali francesi del 2017. In entrambi i casi si ritiene che gli hacker russi abbiano interferito con i sistemi di voto e abbiano cercato di influenzare l’opinione pubblica diffondendo fake news sui social network come Facebook e Twitter.
La guerra informatica è una guerra fondamentalmente di spionaggio e la divisione del mondo in blocchi contrapposti non fa altro che aumentare la frequenza e la portata degli attacchi. Tuttavia non sono solamente gli Stati ad attaccare, anche singoli o gruppi Hacker come Anonymous possono realizzare operazioni d’impatto molto nocive.
Tipi di attacchi hacker e tecniche della cyberwar
Vediamo quali sono i principali tipi di attacco hacker e le tecniche più diffuse di cyberwar.
Attacchi Denial-of-service (DoS) and distributed denial-of-service (DDoS)
Un attacco DDoS (Distributed Denial of Service) è un tentativo ostile di bloccare il normale traffico di un server, servizio o rete sopraffacendo la vittima o l’infrastruttura circostante inondandola di traffico Internet.
Gli attacchi DDoS raggiungono l’efficacia sfruttando come fonti di attacco più sistemi informatici compromessi. Le macchine che vengono asservite a tali scopi possono includere computer e altre risorse di rete come i dispositivi IoT.
Sotto un altro punto di vista, un attacco DDoS è paragonabile a un ingorgo autostradale che impedisce al traffico regolare di arrivare a destinazione.
Attacco Man-in-the-middle
“Man-in-the-middle” è un termine generico che indica un attacco informatico durante il quale qualcuno si intromette tra te e le attività che svolgi online: ad esempio, tra te e il sito di online banking, tra te e una chat con un tuo amico, tra le tue email di lavoro e qualsiasi mittente o destinatario, tra te e la casella in cui immetti i dettagli di un pagamento e così via.
Attacchi Phishing e Spear Phishing
Il phishing e lo spear phishing sono forme molto comuni di attacco e-mail progettate per indurre l’utente a eseguire un’azione specifica, in genere facendo clic su un collegamento o allegato dannoso. La differenza tra loro è principalmente una questione di targeting, le mail di phishing vengono inviate a molti contatti spesso a caso, nello spear phishing invece gli attacchi vengono inviati a persone specifiche per ottenere informazioni chiave.
Attaccp Drive-by
I download drive-by sono un metodo comune per diffondere malware. I criminali informatici cercano siti Web non sicuri e immettono uno script dannoso nel codice HTTP o PHP su una delle pagine. Questo script può installare malware direttamente sul computer di qualcuno che visita il sito, oppure può assumere la forma su un IFRAME che reindirizza la vittima verso un sito controllato dai criminali informatici. In molti casi lo script è offuscato, per rendere più difficile per i ricercatori della sicurezza analizzare il codice. Tali attacchi sono chiamati “download drive-by” perché non richiedono alcuna azione da parte della vittima, oltre alla semplice visita del sito Web compromesso: vengono infettati automaticamente (e silenziosamente) se il loro computer è in qualche modo vulnerabile (ad es. non sono riusciti ad applicare un aggiornamento di sicurezza a una delle loro applicazioni).
Attacco alle Password
Per sferrare un attacco alle password e rubarci le chiavi di accesso alla nostra vita digitale, i criminal hacker usano diverse tecniche di cracking, ma nella maggior parte dei casi fanno leva sull’errore umano. Per difenderci da questi attacchi è fondamentale usare password forti con uso di lettere maiscole, minuscole, numeri e caratteri speciali, un livello maggiore di protezione può essere dato da
Attacco con SQL injection
SQL injection è una vulnerabilità della sicurezza Web che consente a un utente malintenzionato di interferire con le query che un’applicazione effettua al suo database. In genere consente a un utente malintenzionato di visualizzare dati che normalmente non è in grado di recuperare. Ciò potrebbe includere dati appartenenti ad altri utenti o qualsiasi altro dato a cui l’applicazione stessa è in grado di accedere. In molti casi, un utente malintenzionato può modificare o eliminare questi dati, causando modifiche persistenti al contenuto o al comportamento dell’applicazione.
In alcune situazioni, un utente malintenzionato può intensificare un attacco SQL injection per compromettere il server sottostante o un’altra infrastruttura back-end oppure eseguire un attacco denial-of-service.
Attacco Cross-site scripting (XSS)
Gli attacchi Cross-Site Scripting (XSS) sono un tipo di injection, in cui gli script dannosi vengono iniettati in siti Web altrimenti benigni e affidabili. Gli attacchi XSS si verificano quando un utente malintenzionato utilizza un’applicazione Web per inviare codice dannoso, generalmente sotto forma di script lato browser, a un utente finale diverso. I difetti che consentono a questi attacchi di avere successo sono piuttosto diffusi e si verificano ovunque un’applicazione Web utilizzi l’input di un utente all’interno dell’output che genera senza convalidarlo o codificarlo.
Attacco Eavesdropping
L’attacco informatico di intercettazione prevede che l’hacker identifichi la sua vittima e passi poi all’ascolto passivo delle comunicazioni di rete. Il tutto per ottenere l’accesso a informazioni private, spesso di carattere finanziario, come:
- dati bancari
- informazioni sull’identità degli utenti.
Ma non è tutto, l’attaccante può essere interessato ad informazioni di carattere più tecnico come:
- numeri di identificazione del nodo
- aggiornamenti di routing
- dati sensibili alle applicazioni.
Non pensate che l’eavesdropping sia un attacco informatico rilegato solo alle attività aziendali. Al contrario, con il diffondersi a macchia d’olio di tecnologie come Amazon Alexa e Google Home, gli attacchi di intercettazione si avvicinano sempre più agli utenti privati. Anche perché considerate, che nel caso di delle tecnologie come Alexa, i dispositivi sono facili da intercettare e di conseguenza, anche ottenere informazioni private per gli aggressori è semplice.
Birthday attack
Questa denominazione deriva dal fatto che questi sono basati sul Paradosso del compleanno. Di fatto, nel calcolo delle probabilità associate a questo paradosso si afferma che:
Selezionate a caso un numero di persone maggiore od uguale a 23 la probabilità che almeno due di queste compiano gli anni lo stesso giorno è maggiore di 0,5.
uesto attacco sfrutta di fatto la matematica alla base del problema del compleanno nella teoria della probabilità. Il successo di questo attacco dipende in gran parte dalla maggiore probabilità di collisioni riscontrate tra tentativi di attacco casuali e un grado fisso di permutazioni, come descritto appunto nel problema del paradosso del compleanno.
Malware
Questo termine viene utilizzato spesso in informatica, come sinonimo di virus. Ma, con esattezza, cos’è un malware? La definizione letterale è “software malevolo” e si intende un ampio ventaglio di programmi che vengono inviati e installati su sistemi e server delle vittime. Il più familiare all’utente comune è il trojan malware. Un trojan (significato “cavallo di troia”) è un programma particolarmente dannoso, ma non è l’unica forma di malware esistente. Infatti, questo genere di programmi include:
- Ransomware – impediscono l’accesso ai file, finché non viene pagato un riscatto
- Backdoors – permettono ad utenti remoti di avere accesso al sistema infetto ed eventualmente scalarne i privilegi, per accedere ad altri dispositivi presenti nella rete
- Banking Trojans – consentono di mostrare e rubare credenziali di accesso a conti bancari
- Keyloggers – catturano quello che l’utente digita sulla tastiera, in particolare credenziali
- Stealers – sottraggono dati come contatti, password salvate sui browser, etc.
- RAT – strumenti per l’accesso remoto che offrono ampie capacità di controllo dei sistemi infetti
- Downloaders – scaricano ulteriori malware sul computer infetto, in base a determinate condizioni
- POS – compromettono i dispositivi POS al fine di sottrarre numeri di carte di credito, codici PIN, storico delle transazioni effettuate, e altro
Gli scenari del prossimo futuro
Il futuro della guerra informatica è cupo perché è difficile prevedere cosa accadrà nei prossimi anni. Il prossimo futuro riserva di sicuro una situazione di forte tensione tra Occidente e Russia, con la possibilità di attacchi anche dalla Cina.
Nel corso del Febbraio 2022 la Russia ha iniziato a lanciare ondate di attacchi DDoS contro l’Ucraina, altri attacchi sono previsti anche contro USA e UE.
La Russia, come prevedibile, risponde alle sanzioni internazionale con un’ondata di cyber attacchi. Per ora contro l’Ucraina, ma è probabile che in futuro la cyber warfare coinvolgerà tutti i paesi che hanno aderito alle misure restrittive. A essere colpiti sono stati i siti istituzionali e governativi di Kiev come quelli del Parlamento e del ministero degli Esteri.
L’aggressione ricalca quella avvenuta solo pochi giorni fa: si tratta di attacchi di tipo Distributed Denial of Service (DDos), che inondano i bersagli di milioni di richieste di accesso, mandandoli in crash e quindi offline. La comunità internazionale aveva comunque previsto questo scenario e si è preparata di conseguenza.
Nelle scorse l’UE ha schierato un Cyber Rapid-Response Team (CRRT), che sta aiutando Kiev da remoto e on-site a mitigare la cyber offensiva, mantenendo un buon livello di resilienza per evitare che gli effetti degli attacchi si estendano e che la nazione si paralizzi.
Le industrie della Difesa Occidentale sotto attacco, fenomeno è in crescita
Le industrie internazionali della Difesa, con un’attenzione particolare a quelle statunitensi legate alla supply chain, sono al centro di una cyber offensiva. Ormai è assodato. Al 24 dicembre 2021 almeno 25 aziende sono state prese di mira dal cybercrime con ransomware e tutte avevano subito tentativi di doppia estorsione. Gli attacchi, però, non si sono fermati. Anzi. C’è stata un’escalation, tanto che la Cybersecurity and Infrastructure Security Agency (CISA) il 16 febbraio 2022 ha rilasciato un warning sul fatto che soggetti legati alla Russia stanno puntando i Cleared Defense Contractors (CDC) di tutte le dimensioni. L’ultima compagnia a subire un data breach è stata Mack Defense, colpita dal ransomware Conti solo pochi giorni fa.
La crisi in Ucraina peggiorerà lo scenario. Dal cyber espionage si passerà alla cyber warfare?
L’obiettivo del cybercrime e dei gruppi legati alla Russia sembra essere sempre lo stesso: sottrarre informazioni sui prodotti e le tecnologie delle aziende-bersaglio. Peraltro, la crisi in Ucraina e le conseguenti tensioni alle stelle tra Washington-NATO-UE con Mosca alimenteranno questo pericolo, ampliandolo ulteriormente. Con l’escalation militare, infatti, c’è il rischio che gli attacchi si intensifichino ancora, passando da operazioni di cyber espionage alla vera e propria cyber warfare a scopo inibitorio o destructive. Ecco perché il 18 febbraio gli esperti di cybersecurity della CISA hanno diffuso una sorta di prontuario su come prepararsi ad affrontare e a mitigare operazioni di “foreign influence” contro le infrastrutture critiche.
L’importanza della Cybersecurity
In tutto questo sia come privati che come aziende ma anche come stati dovremo prendere coscienza che la cybersecurity non è un lusso ma una necessità vitale per il corretto funzionamento delle nostre infrastrutture strategiche digitali e fisiche.
Dal punto di vista geopolitico sarà fondamentale sarà per la UE intensificare l’unione anche in un’ottica di difesa dello spazio digitale europeo. Dal punto di vista aziendale invece è bene fare un controllo della sicurezza dei propri sistemi perché il numero di attacchi nei prossimi anni non potrà che salire.
Mappe degli attacchi hacker in tempo reale
Se volete farvi una idea di come appare una cyberwar, sul web si trovano da qualche tempo delle interessanti ed inquietanti mappe in tempo reale degli attacchi cibernetici che avvengono nel mondo.
Sono pubblicate da alcuni produttori software di sicurezza che usano i loro apparati sparsi nel mondo per monitorare i vari tipi di attacchi e riportarli su delle mappe interattive. Ecco alcuni dei siti più interessanti che riportano queste mappe :
FIREEYE:
https://www.fireeye.com/cyber-map/threat-map.html
FORTINET:
http://threatmap.fortiguard.com/
CHECKPOINT:
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
KASPERSKY:
https://cybermap.kaspersky.com/
DIGITALATTACKMAP:
http://www.digitalattackmap.com/
Mentre un bene aziendale tangibile può essere protetto fisicamente in maniera più o meno agevole, la protezione dei dati rappresenta un’importante sfida per l’azienda. Esse, infatti, possono esistere in più posti contemporaneamente, possono essere trasferite ovunque in un battito di ciglia ed essere sottratte senza che ci si possa accorgere del furto.
Bruce Schneier, Security Guru
