Minacce e difesa.....

Avatar utente

Topic Author
openresource
Administrator
Administrator
Connesso: No
User theme: Light
Messaggi: 309
Iscritto il: mar gen 28, 2020 9:52 pm
Località: varese

Admin

Minacce e difesa.....

Messaggio da openresource »

Immagine

La prima cosa che è necessario fare per proteggersi da una minaccia è comprenderla il più a fondo possibile. Ovvero, bisogna capire chi è che incarna la minaccia, quali sono le sue motivazioni, i suoi obiettivi e con quali metodi abitualmente agisce. Ragionare in questo modo aiuta a costruire un profilo dell’attaccante che tenga conto anche di come agisce (da solo, in gruppi, …) e dei limiti che questo pone alla propria azione.

Immagine

Questo è l’approccio che segue chi – per professione – si dedica a contrastare le cyberminacce, credo però che seguire questo tipo di ragionamento in forma semplificata sia utile a tutti per comprendere meglio le dinamiche nascoste dietro ciò di cui ci accorgiamo semplicemente interagendo con il nostro PC. Vediamo dunque di fare assieme almeno un pezzo di questo percorso.
Cybercrimine. Qualsiasi reato o comportamento delittuoso svolto nell’ambito delle tecnologie informatiche.
Cybercriminale. Chi pratica e promuove attività criminose attraverso l’uso di tecnologie informatiche e di Internet [hacker, pirata informatico].
Un cybercriminale si muove con obiettivi prefissati che possiamo sintetizzare così:

  • sottrarre dati o informazioni;

  • rendere inutilizzabili sistemi informatici;

  • arrecare danno a persone, cose o proprietà intellettuale;

  • ledere la reputazione altrui.

La motivazione principale è quella di ottenerne un guadagno economico o comunque un vantaggio di altra natura tramite:

  • la rivendita di dati o informazioni;

  • la richiesta di un riscatto in cambio del ripristino dell’operatività dei sistemi “presi in ostaggio”;

  • il ricatto basato sulla minaccia di rendere pubbliche informazioni precedentemente sottratte.

Con minore frequenza, ci si può imbattere in vandali, attivisti, spie e terroristi che, però, fanno parte di altri capitoli riferiti ad obiettivi e motivazioni diverse da quelle del crimine comune.
A volte le minacce possono violare la legge in modi relativamente minori e non violenti, mentre in altri casi esse non tengono affatto conto della legge e possono intraprendere comportamenti criminali con impatto finanziario significativo o violenza estrema, come nel caso del crimine organizzato.
Il modo in cui una minaccia agisce, in genere, definisce anche le risorse disponibili per effettuare un attacco e il livello di abilità richiesto. Le minacce possono:

  • agire individualmente con risorse limitate e nessun livello minimo di abilità;

  • interagire su base sociale (es. attivisti tra di loro non collegati che si scambiano informazioni e suggerimenti su un blog) con scarso interesse personale per l’obiettivo specifico, risorse limitate e livello di abilità minimo;

  • effettuare una vera e propria gara che si concretizza in un attacco di breve durata, magari solo per il brivido o prestigio di vedere chi per primo riesce a violare un obiettivo specifico, che si conclude quando i partecipanti hanno raggiunto tale obiettivo; per questo tipo di attività è richiesto un livello di abilità medio;

  • agire in un gruppo formalmente organizzato con un leader, tipicamente motivato da un obiettivo specifico e organizzato attorno a tale obiettivo; il gruppo persiste a lungo termine e in genere opera all’interno di un’unica area geografica e richiede un livello di abilità medio;

  • essere dotate di un’organizzazione più ampia e delle risorse migliori; di solito opera in più aree geografiche e persiste a lungo termine; è richiesto un elevato livello di abilità.

Esempi.
Quanto è probabile che entriate in contatto con una minaccia piuttosto che un’altra? Dipende da quanto siete appetibili. Se siete un’utente normale, probabilmente entrerete in contatto con minacce generiche, ovvero, quelle poste al gradino più basso della scala appena descritta. Si tratta di cybercriminali che agiscono individualmente con l’obiettivo di sottrarvi informazioni che possono monetizzare rivendendole sul dark web per ottenere in cambio bitcoin. Questo tipo di minacce agisce in modo indiscriminato, solitamente attraverso messaggi di posta elettronica inviati a mailing list anch’esse acquistate sul dark web, insomma, “pesca a strascico”.
Se, invece, fate parte di un profilo più interessante perché gestite dati pregiati o siete depositari di segreti, allora avete una probabilità più elevata di entrare in contatto con profili di minacce più pericolose in grado di concentrare la propria attenzione solo su di voi. In questo caso si tratta di cybercrimine organizzato che ha grande disponibilità di risorse e di skill.
Quindi, una cosa è certa, anche se noi proviamo a capire le minacce cercandolo di profilarle, anche le minacce ci profilano e in questo godono di un vantaggio dato dall’asimmetria della situazione. Chi deve proteggersi deve considerare tutte le possibili minacce che sono coperte da anonimato e dunque sconosciute; se una minaccia è interessata a noi, si dedica esclusivamente a noi e di noi sa tutto (o quasi).
Dark web. Contenuti del web nelle darknet (reti oscure) che possono essere raggiunti esclusivamente con software specifici.
Deep web. Porzione di Internet che non viene indicizzata dai tradizionali motori di ricerca.
Profilare. La profilazione criminale è un insieme di tecniche psicologiche volte a identificare l’autore di un reato sulla base della natura del reato stesso e delle sue modalità di esecuzione; le tecniche di profilazione criminale aiutano gli investigatori ad analizzare le prove della scena del crimine, le vittime e le dichiarazioni dei testimoni con lo scopo di sviluppare una descrizione del delinquente. La profilazione digitale, invece, indica il processo di costruzione e applicazione di profili generati da tecnologie informatiche tramite l’uso di algoritmi e altre formule matematiche che permettono di rivelare una serie di correlazioni per una grande quantità di dati.

Un rischio è la probabilità che un evento avverso si verifichi producendo un danno che può avere gli impatti più differenti: umani, economici, di immagine.
I rischi (R) vengono classificati in base alla probabilità di accadimento (P) ed all’impatto potenziale (I): R=PxI. Esistono rischi con impatto potenziale molto elevato ma (per fortuna) probabilità di accadimento remota e rischi che si concretizzeranno con elevata probabilità ma che (sempre per fortuna) hanno un impatto piuttosto limitato. Nel mezzo c’è un’ampia gamma di rischi che devono essere singolarmente valutati e gestiti.

“Siamo a rischio hacker!” Questa è un’affermazione che rende l’idea ma non è del tutto corretta; un hacker è una minaccia e la sola minaccia non è sufficiente a definire completamente un rischio. Una vulnerabilità di un sistema informatico è una falla, un bug, una debolezza che può essere sfruttata da un hacker per produrre un danno a noi e un vantaggio a lui. Senza la vulnerabilità, un hacker non è più una minaccia, perché non sarebbe in grado di portare a compimento nessuna azione criminosa. Perché un rischio si concretizzi, dunque, è necessario che ci sia una minaccia, che esista una vulnerabilità e che la minaccia sia in grado di sfruttare la vulnerabilità per produrre un danno.
Visto, però, che le vulnerabilità sono un tratto ineliminabile di ogni tecnologia e che queste crescono al crescere della superficie digitale, possiamo ben dire che tutti noi siamo costantemente sottoposti alla minaccia costituita dagli hacker.
Il fatto che una vulnerabilità esista, però, non implica automaticamente che essa sia sfruttabile da una minaccia. Ovvero, le vulnerabilità costituiscono un pericolo solo se esiste un attaccante che ha la motivazione, un concreto obiettivo di sfruttamento e metodi per sfruttarle.
Quando ciò accade e se la vulnerabilità non è coperta da controlli di sicurezza, allora si genera un’area di esposizione a cui è associato un impatto potenziale che definisce completamente il rischio che la persona o l’organizzazione corre.
Visto, quindi, che non è possibile eliminare tutte le vulnerabilità, il problema è sviluppare una strategia di trattamento del rischio basata sulla probabilità che un rischio – come sopra definito – si concretizzi. Su questa base è possibile costruire una serie di scenari di rischio da gestire in base alla priorità data da R=PxI.

Immagine

Minaccia. È l’agente esterno che incarna la minaccia potenziale.
Vettore di attacco. È lo strumento utilizzato dalla minaccia per attuare una strategia che mira ad individuare una vulnerabilità e sfruttarla.
Vulnerabilità. È la debolezza che utilizzata dalla minaccia per produrre un danno.
Rischio. È la probabilità che un evento negativo si manifesti generando un danno di natura varia ma esprimibile in termini economici.
Danno. È l’impatto negativo generato dalla minaccia quando riesce a sfruttare una vulnerabilità.
Strategia di trattamento del rischio. È la strategia che deve essere attuata da chiunque sia soggetto ad un rischio, allo scopo di limitarne gli effetti potenziali. Le strategie possibili sono quattro:

  • Mitigare: ovvero, applicare controlli in grado di ridurre al minimo la probabilità che una minaccia sia in grado di sfruttare una vulnerabilità;

  • Trasferire: ovvero, fare in modo che qualcun altro sostenga l’impatto del danno qualora dovesse concretizzarsi; in genere corrisponde alla stipula di una polizza assicurativa;

  • Accettare: ovvero, decidere di convivere con il rischio;

  • Eliminare: ovvero, smettere di tenere un comportamento rischioso.

Motivazione. Motivo interno che un agente di minaccia ha per realizzare un attacco.
Obiettivo. Ciò che la minaccia spera di realizzare con l’attacco.
Metodo. Processo mediante il quale un agente di minaccia tenta di sfruttare una vulnerabilità per raggiungere un obiettivo.
Controllo. Processo e misura messa in atto allo scopo di ridurre la probabilità di subire un danno a causa della vulnerabilità.
Esposizione. Vulnerabilità senza controllo.
Attacco. Azione di una minaccia avente lo scopo di sfruttare una vulnerabilità.
Esempi.
Se non aggiorniamo costantemente il software del nostro PC, prima o poi esporremo una vulnerabilità che potrà essere sfruttata da qualche hacker interessato a rubare i nostri dati (credenziali, foto, codici di carte di credito, codici di sistemi di homebanking) per qualche motivo (rivendita su dark web, frode, ricatto).
Sfruttando quella vulnerabilità, un hacker può inserire nel nostro PC un ransomware in grado di cifrare il nostro hard disk, sostanzialmente prendendolo in ostaggio, allo scopo di chiederci di pagare un riscatto in bitcoin a fronte del quale ci restituirà la chiave utile a decifrare i dati e rendere le nostre foto e i nostri documenti di nuovo leggibili.
Allo stesso modo, un cybercriminale potrebbe sottrarci le credenziali della nostra posta elettronica o dei social network a cui siamo iscritti. Perché dovrebbe farlo? Per inviare spam o per trollare (a nostra insaputa), in altre parole per sottrarci la nostra identità digitale ed utilizzarla in modo fraudolento traendone un vantaggio economico.
Infine, un cybercriminale potrebbe installare un malware sul nostro computer per assoldarlo all’interno di una botnet allo scopo di effettuare attacchi informatici contro qualche altro obiettivo in Italia o all’estero. Il cybercriminale sarebbe, quindi, in grado di utilizzare il nostro computer a nostra insaputa per scopi illeciti; insomma, il nostro computer diventerebbe uno zombie.
Vulnerabilità. È l’assenza, la presenza in misura ridotta o la compromissione delle misure di sicurezza di un sistema (quale esso sia); una vulnerabilità rappresenta un punto debole che consente a un eventuale aggressore (la minaccia) di compromettere il livello di sicurezza dell’intero sistema.
Ransomware. Malware che cripta i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo di allegati a messaggi di posta elettronica.
Bitcoin. È una criptovaluta, ovvero un sistema di pagamento elettronico basato su Internet e su protocolli sicuri. I bitcoin diversamente dalle monete non sono mediati da un ente centrale (sistema bancario) ma sono convertibili in moneta tradizionale (è possibile acquistarli e venderli).
Trollare. Il comportamento di chi provoca, insulta, aggredisce qualcuno online pubblicando commenti negativi nei confronti di altri utenti della comunità virtuale.
Spam: invio non richiesto di pubblicità ed offerte commerciali. Usato anche per indicare una quantità confronti di altri utenti della comunità virtuale.
Malware. Software malevolo creato per danneggiare un computer o un terminale mobile (smartphone o tablet) collegato in rete.
Botnet. È una rete di robot (robot-net, da cui il termine botnet), cioè di dispositivi informatici che una volta infettati da malware, passano sotto il controllo di una entità centrale chiamata centro di comando e controllo. Lo scopo è utilizzare tali dispositivi per realizzare attacchi informatici distribuiti, propagare virus e malware, sottrarre dati personali, inviare spam, ecc.
Identità digitale. In un’accezione ampia è costituita dall’insieme di informazioni presenti online in relazione ad un determinato soggetto. In senso più stretto, l’identità digitale è articolata in due parti: l’identità vera e propria e le credenziali che ognuno possiede (gli attributi di tale identità). Identità (username) e credenziali (password o dispositivi più complessi) sono la chiave per accedere a tutte le informazioni che ci riguardano e che sono memorizzate online.
Username. Il nome identificativo dell’utente che è normalmente visibile, diversamente dalla password.
Password. Sequenza di caratteri nota solo al legittimo proprietario; la sua introduzione consente l’accesso a parti di sistemi o di siti, confermando che il richiedente ha le abilitazioni necessarie.



Immagine