computer hacker
(Ansa)
Cyber Security

Dinamica e interrogativi sull'hackeraggio subito da Leonardo

La Rubrica: Cybersecurity Week

La vicenda della violazione dei sistemi di Leonardo forse racconterà ancora molto. Tuttavia un non addetto ai lavori può farsi una serie di idee stravaganti sull'accaduto, soprattutto partendo dalle scarse informazioni disponibili. Forse può valere la pena fornire alcuni importanti elementi per meglio comprendere le dinamiche che si mettono in moto in una realtà come quella di Leonardo quando si verifica un incidente cyber.

Le statistiche spiegano che in questi casi il tempo medio entro cui un'organizzazione si rende conto di essere stata attaccata si aggirano attorno ai 12 mesi. Nella maggior parte dei casi la scoperta avviene perché i dati vengono rinvenuti sul web. Nel caso specifico niente è stato rintracciato al di fuori dei sistemi, quindi come potevano scoprirlo?

Esiste una seconda possibilità di individuare l'esfiltrazione cioè l'analisi del traffico dati in entrata e in uscita dall'organizzazione e questo è uno dei compiti di una struttura preposta di solito chiamata SOC (acronimo si Security Operations Center). Uomini e software analizzano gigabyte di dati quotidianamente e milioni di diverse connessioni cercando di individuare delle anomalie, per esempio volumi di traffico molto grandi o connessioni ripetute verso pagine web o siti (sarebbe opportuno parlare di indirizzi IP) considerati a rischio. La mole di dati è gigantesca, quindi è la classica ricerca dell'ago nel pagliaio, soprattutto se chi ha perpetrato il crimine sa quello che fa.

Questo ci porta all'inizio della storia perché molto probabilmente nel 2017 il SOC (Leonardo ne ha uno) ha intercettato un'anomalia (un eccesso di fiducia del criminale oppure qualcuno ha messo insieme le tessere di un puzzle molto complesso) e quindi è scattato il primo allarme. Questo ha posto in moto la macchina e di certo anche il CERT, il cui responsabile risulta oggi tra gli indagati. In Leonardo CERT è la sigla per identificare il Cyber Emergency Readiness Team (una volta era acronimo di Computer Emergency Response Team) ovvero il gruppo che ha tra i suoi compiti quello di rispondere agli incidenti. Messe insieme le informazioni si scopre che su una serie di dispositivi risultava installato un malware che catturava digitazioni e schermate dei computer per poi comunicarle alla pagina web "www.fujinama.altervista.org" e si presentava con il nome-file ctfmon.exe.

Faccio un piccolo inciso per chiarire che normalmente questo è un file legittimo dei sistemi Windows (prima che qualcuno lo trovi e tenti di rimuoverlo con effetti sgradevoli). Tuttavia molti malware utilizzano una "falsa identità" per cercare di trarre in inganno i sistemi di sicurezza.

Ritorniamo alla vicenda e vediamo come molto probabilmente essa è proseguita.

E' ipotizzabile che i dispositivi compromessi sia stati sottoposti a quella che viene definita analisi forense, un'attività che è paragonabile a quella che esegue la polizia scientifica quando esamina la scena del crimine, cosa che potrebbe avere permesso di scoprire che il malware è stato inoculato tramite USB. Tuttavia è bene sapere che prima di tale lavoro si svolge un'altra operazione, essenziale e che non ho dubbi sia stata eseguita: la creazione delle cosiddette bit stream image firmate digitalmente. Si tratta di una vera e propria "fotografia" dell'apparato effettuata in modo tale da non modificare in alcun modo la sua configurazione e il suo stato in quel preciso momento (esistono software appositi che fanno questo lavoro). Viene firmata digitalmente per garantire l'integrità dei dati (se qualcuno dovesse tentare di modificarla indebitamente lo si scoprirebbe immediatamente) e quindi offrire a futuri investigatori la possibilità di analizzare nuovamente la "scena del delitto".

La regola impone che esistano sempre due copie per ciascun dispositivo perché qualcosa potrebbe andare storto oppure il supporto su cui viene effettuata potrebbe rovinarsi. In ogni caso è buona regola che all'atto della denuncia una bit stream image sia consegnata alle forze dell'ordine. Forte di queste evidenze Leonardo ha presentato la denuncia e la macchina delle indagini si è messa in moto. Questo ci porta ad oggi con un ex addetto alla cyber security dietro le sbarre con l'accusa tra l'altro di accesso abusivo a un sistema informatico e il responsabile del CERT ai domiciliari per depistaggio.

La gravità del fatto potrebbe non essere tanto nel tipo e quantità dei dati esfiltrati. Le informazioni attinenti la sicurezza nazionale sono isolate rispetto alla complessiva rete aziendale e i dispositivi coinvolti sembra non avessero accesso a quei sistemi. Se tale è la situazione si tratta di una storia brutta, ma non catastrofica. Tuttavia la parte più "curiosa" della vicenda credo sia nell'accusa di depistaggio mossa al responsabile del CERT. Dato che il reato prevede che l'accusato abbia cercato di "impedire, ostacolare o sviare un'indagine" è lecito chiedersi in che cosa si sarà sostanziata una simile condotta.

Una casistica del genere in un crimine informatico non può prendere tante forme diverse. Per esempio potrebbero contestargli di avere fatto sparire, manipolato o danneggiato una delle bit stream image su cui si saranno basate gran parte delle indagini? Avere omesso informazioni in merito all'intrusione oppure mentito in proposito? In questo ultimo caso però sarebbe stata una bugia con le gambe molto corte visto che se le cose sono state fatte nel modo giusto le prove documentali lo avrebbero facilmente smentito e, in quanto professionista, non poteva non saperlo. Penso che questa indagine avrà molto altro da dire.

I più letti

avatar-icon

Alessandro Curioni