Ci stiamo abituando ormai a scindere in maniera netta la sfera umana da quella cibernetica, dimenticando però che sono “entità” complementari, la cui interazione dà vita ad una serie di situazioni e azioni in cui risulta sempre più difficile definire i confini anche dal punto di vista di analisi e contrasto della minaccia.
Che si tratti di spionaggio di tipo informatico o tradizionale, lo scopo rimane sempre quello di ottenere un vantaggio informativo rispetto al nemico.
Ecco perché, quando si parla di cyber e human espionage, è importante adottare un approccio olistico alla cyberwarfare.
Indice degli argomenti
Cyber e human espionage: in cosa consistono
Nel mondo della criminalità informatica, più che in qualunque altro, ogni giorno si ricercano nuovi talenti e vulnerabilità da sfruttare per poter colpire specifici obiettivi. Nonostante sia assodato che lo spionaggio tradizionale “umano” non tramonterà mai, da qualche anno a questa parte ormai si sta preferendo sempre di più lo spionaggio di tipo cibernetico perché garantisce un minor dispendio economico ed una maggiore tutela della propria identità.
In quest’ottica, casi hanno dimostrato come l’uno non sempre escluda l’altro soprattutto in termini di vantaggi che si potrebbero ottenere da entrambi i metodi: da una parte, l’utilizzo dell’attività di “HUMINT”, che consente di raccogliere informazioni da un gruppo ristretto di target e quindi avrà come risultato un bagaglio informativo più specifico ed elaborato seppur più limitato; dall’altra, l’attività di “spionaggio cyber”, che permette in minor tempo un maggiore raggio di azione, inglobando un bacino più ampio di target, a discapito a volte però del tessuto informativo.
Da qualche anno a questa parte, ormai, aziende pubbliche e private stanno correndo ai ripari con tecnologie e figure sempre più preparate ad affrontare minacce apparentemente invisibili derivanti dalle nuove tecniche di ingegneria sociale, attacchi sempre più specifici e vulnerabilità di ogni tipo: non appena si pone rimedio ad una minaccia, in breve periodo ve ne è un’altra magari più letale o peggio, più imprevedibile sia dal punto di vista “umano” che cibernetico.
Per questo motivo oggi è importante attribuire uguale valore al fattore umano e alla sua buona condotta al fianco di una tecnologia sempre più specifica ed efficace.
Casi eclatanti hanno rivelato l’entità di danni causati da una possibile fuga di dati, o da un incidente nella triade “CIA” (confidenzialità, integrità e disponibilità dei dati), per questo motivo è importante sviluppare un maggior senso critico e una maggiore attenzione per poter riuscire a valutare ogni minaccia possibile.
Conoscere le differenti tipologie di cyber attaccanti
Per garantire questo, oltre a sistemi di difesa all’avanguardia, fasi di training sulla consapevolezza, sarebbe utile anche tenere a mente l’importanza della “threat intelligence”, del ragionamento logico deduttivo e laterale, dell’analisi comportamentale, senza trascurare l’attaccante in quanto persona fisica e le sue possibili intenzioni.
Potrebbe sembrare banale, ma individuare a quale tipologia un attaccante appartiene è un ulteriore passo per capire le vulnerabilità che potrebbe sfruttare, i possibili suoi target e soprattutto quali obiettivi ha intenzione di raggiungere. Non per niente il “modello a diamante” e la Cyber Kill Chain prendono in considerazione aspetti sempre più approfonditi riguardo il tipo di minaccia da contrastare.
A tal proposito, si elencano alcune macroaree di attaccanti:
- i governi: i quali interessi potrebbero essere di tipo militare, economico, politico. Attaccanti strategici che mirano all’annientamento di un potenziale Stato competitor, andando a colpire infrastrutture critiche, scegliendole rispettivamente al settore che interessa annientare;
- gli attivisti: questa categoria di solito si contraddistingue per la sua potenza manipolatoria, vengono spesso “assoldati” per influenzare le masse, per indirizzare l’opinione pubblica verso una determinata direzione piuttosto che un’altra;
- i cyber criminali: agiscono principalmente per scopi fraudolenti a livello economico, possono agire da soli o addirittura, come per la criminalità organizzata nel mondo reale, associarsi tra loro in una rete che potremmo definire una “cyber-criminalità organizzata”;
- script kiddie: hacker meno esperti che utilizzano software esistenti per lanciare attacchi e sperimentare il mondo cibernetico;
- dipendenti: questa tipologia di attaccanti, pur non conoscendo tecnicamente metodologie di attacco da mettere in atto, potrebbero rivelare informazioni, utili a tale scopo, ad eventuali cracker; oppure fare in modo di ottenere l’accesso ai sistemi aziendali o ingannare un altro collega (ad esempio facendo trovare una pendrive infetta sulla sua scrivania) il tutto con l’obiettivo di arrecare danni alla propria azienda.
Insider threat e vulnerabilità dell’essere umano
Un alert con IP pubblico viene considerato più pericoloso di uno privato, proprio per il principio che ciò che è più vicino, essendo conosciuto e familiare, non viene percepito come potenziale minaccia.
Purtroppo, la storia ci insegna come invece anche grandi realtà, concentrandosi a difendere i propri confini da nemici esterni, abbiano dimenticato o comunque trascurato quanto, anche informazioni sensibili, siano esposte a rischi di “violazione” da parte di soggetti interni, vicini alle stesse, che decidono di agire mossi da diverse ragioni quali: la vendetta, la rabbia, l’avidità, la competizione, la gelosia e via dicendo.
Come Sun Tzu diceva, “se conosci il nemico, la tua vittoria è sicura”: non è di certo fattibile nel mondo cibernetico, però molto utile può essere in ottica di una maggiore attenzione anche dei propri confini interni.
Come spiegato da molti professionisti del settore, la costante interazione della dualità “uomo-macchina” dovrebbe essere sempre tenuta in estrema considerazione non solo in ottica di una giusta rilevazione e prevenzione della minaccia, ma anche in termini di contrasto laddove la stessa si concretizzasse.
Riallacciando il tutto a quanto riportato nel paragrafo precedente circa la possibile combinazione di tipologie di spionaggio cibernetico e umano, al dipendente sensibilizzato anche una banalissima chiacchierata tra colleghi potrebbe risultare rivelatoria, può far sorgere un sospetto, soprattutto se è “addestrato” a rilevare un’anomalia comportamentale in termini proprio di un possibile atto di spionaggio.
Anche fosse minimo, quell’iniziale campanello di allarme può porre le basi per un accertamento più approfondito con strumenti ad hoc e, perché no, anticipare o evitare delle situazioni spiacevoli.
Al fianco delle banali forme di spionaggio quale ad esempio guardare la password digitata dal collega, si strutturano piani volti a sfruttare le potenzialità del social engineering, dell’elicitazione o qualsiasi tipo di vulnerabilità che ingloba sia l’uomo che la tecnologia messa a sua disposizione.
Che si tratti di un dipendente insoddisfatto o di uno ingaggiato appositamente per commettere un furto di dati, il solo semplice fatto di essere compiuto da un essere umano induce a riflettere su una componente vitale appartenente allo stesso, ossia quella forza interiore che motiva l’azione dannosa: la soddisfazione di uno o più bisogni (di appartenenza, emotivi, economici, ecc..).
Dall’altro lato, anche l’inconsapevolezza e la disattenzione possono giocare brutti scherzi, soprattutto se si è completamente ignari di un’eventuale sottile “collaborazione” proprio con il nemico.
Come delle vere e proprie pedine, questa tipologia di dipendenti viene manipolata/ ingannata da un altro collega o da un hacker esterno, al fine di “ingaggiarli” per commettere il crimine. Ecco perché, a volte, dietro dei sistemi di monitoraggio, andrebbero messe in atto strategie più umane volte a creare un clima coeso ricco di soddisfazioni, crescite personali e consapevolezze.
Come degli anticorpi, gli stessi possono fare da barriera a certe azioni potenzialmente pericolose che potrebbero davvero danneggiare un’azienda (il whistleblowing ne è un esempio). Non va dimenticato che sotto la grande macroarea dell’Insider Threat possono ricadere dei soggetti che dispongono di informazioni interne relative non solo alle pratiche di sicurezza appartenenti all’organizzazione ma anche a dati sensibili, sistemi informatici e segreti industriali di grande portata per qualunque azienda.
Per quanto tale aspetto sia ancora poco considerato, rispetto alle minacce esterne, in realtà, fenomeni del genere non sono così sporadici dal momento in cui entrano in gioco ricompense, risentimenti e motivazioni atte a ledere gli interessi dell’azienda per vantaggi propri o di terzi. Lo stesso Gandhi ci ha messo in guardia: “Nel mondo c’è quanto basta per la necessità dell’uomo, ma non per la sua avidità”.
Nel maggio del 2015, per esempio, due dipendenti sono stati accusati di aver rubato dei segreti di tipo commerciale da due società statunitensi. Lo scopo era quello di accrescere il business della loro azienda in Cina. Gli insiders avrebbero applicato un metodo molto ricorrente nello spionaggio cibernetico: l’esfiltrazione lenta dei dati al fine di passare inosservati e sfuggire ai rilevamenti di eventuali sistemi di allarme. Con metodo e pianificazione, i due avrebbero testato la soglia massima di un possibile alert interno prima di agire.
Come si può intuire, un comportamento di questo tipo, protratto nel tempo, nella sua regolarità era diventato normale e di conseguenza impossibile da individuare. Per questo motivo bisogna considerare l’importanza dell’aspetto umano tanto quanto quello cibernetico.
In generale, quando si parla di spionaggio, sul piatto della bilancia, dal punto di vista delle minacce, gravano pesi alquanto importanti se si considera la frode di informazioni sensibili e riservate, sabotaggi di sistemi informatici, furto di proprietà intellettuali e, più in generale, deterioramento del tessuto sociale e reputazionale dell’azienda.
Nonostante il fatturato di qualunque realtà aziendale (privata o pubblica) dipenda dalla produzione, dalla vendita o da sponsor, non si dimentichi che un buon volume è legato proprio all’informazione e alla sua protezione nonché la tutela e la resilienza della propria infrastruttura. E, soprattutto, non va dimenticato quanto peso abbiano nel bilancio complessivo di una nazione sia le aziende pubbliche che quelle private e, quindi, quanto una sinergia osmotica tra pubblico e privato possa apportare vantaggi a livello di sicurezza e di conseguenza di prestigio alla nazione nello scenario mondiale.
Ovviare, o quanto meno arginare, il problema del “dipendente infedele” si può. Ma prima bisogna capire di cosa si sta parlando.
Cyber security, l’Italia investe di più ma ancora non abbastanza
Analisi criminologica di un insider
Come ogni argomento complesso bisogna approfondire diverse questioni: cosa si intende per insider? Quali sono le cause che spingono l’insider ad agire? Perché è potenzialmente più pericoloso di un outsider?
In generale, sotto il nome di “Insider Threat” possono essere raggruppate tutte quelle minacce interne che coinvolgono dipendenti consapevoli e inconsapevoli, che rappresentano una minaccia per i dati sensibili riguardanti la sicurezza aziendale. Gli stessi, infatti, possono essere raggruppati in quattro tipologie:
- Insider inconsapevole: grossolanamente si potrebbe definire “ignorante”, proprio perché ignora, non conosce, l’effettiva importanza delle informazioni in suo possesso o alle quali ha accesso, o perché magari fa capo ad un altro reparto, quindi dispone una tantum a quel tipo di informazioni, oppure perché non è stato adeguatamente informato da chi di dovere sul valore delle stesse e di conseguenza sull’importanza della tutela di quei specifici dati dalle minacce informatiche e non solo.
- Insider disattento: l’individuo in questo caso è ben consapevole, o perlomeno dovrebbe esserlo, dell’importanza dei dati sui quali ha accesso ma, nonostante ciò, non si cura di seguire quelle regole di sicurezza, che sia per la fretta, o perché viviamo nell’epoca delle “scorciatoie mentali”, della superficialità più in generale. Quelle piccole accortezze (quali chiudere la sessione, usare un keepass invece del classico post-it attaccato alla scrivania, ecc..), anche se possono sembrare banali, sono fondamentali perché rappresentano una prima barriera di protezione contro un’eventuale data breach. Tant’è che durante la pandemia, con la conseguente necessità dello smart working, è stata soprattutto la negligenza dei dipendenti ad esporre le aziende a sempre maggiori rischi cibernetici (un esempio è stato l’attacco al CED della Regione Lazio).
- Insider disonesto: è quello che prevalentemente agisce in maniera maliziosa nei confronti della propria organizzazione, perché mosso da spirito vendicativo. In altre parole, egli rappresenta un classico esempio di chi è ben consapevole del potere che possiede (avere accesso a determinati tipi di informazioni) e lo utilizza per fare del male intenzionale.
- L’ultima tipologia, non per ordine di importanza, è quella dell’insider esperto. Questa risulta essere la figura più pericolosa e soprattutto la più difficile da “smascherare” in quanto si mimetizza nel tessuto sociale lavorativo come un “perfetto dipendente” e, al contempo, gioca in casa una partita di spionaggio a tutto tondo. La storia è piena di episodi del genere, non sono mancati inoltre episodi dove dietro la commissione di atti del genere, si celassero proprio delle aziende competitor o Stati ostili. Per quanto concerne il suo modus operandi, l’azione non sarà immediata, ma frutto di una meticolosa preparazione, per questo è più difficile prevedere e contrastare una minaccia del genere. Si tratta di vere e proprie azioni di spionaggio.
La domanda che in questo caso potrebbe sorgere spontanea è: come un dipendente può decidere di lavorare per un competitor o semplicemente essere vendicativo nei confronti dell’azienda che lo ha assunto?
Per quanto riguarda la prima questione, una spiegazione viene da Edward Jay Epstein, autore del libro “How America Lost Its Secrets”. Secondo lo stesso, sotto l’acronimo “MICE” è possibile racchiudere i motivi che spingerebbero una persona a diventare una talpa a favore di quella che dovrebbe essere per lui una minaccia. Esso, infatti, cita degli aspetti molto importanti per la vita umana: “Money, Ideology, Compromise and Ego”.
Per quanto concerne il primo aspetto, è facile intuire che un soggetto in difficoltà economiche sarà più tentato a vendere delle informazioni sensibili o compiere atti di facilitazione allo spionaggio in cambio di un compenso pecuniario. Accanto a questo primo motivo, non sono mancati casi in cui la talpa, a volte a causa di alcune insoddisfazioni, condividesse le idee dei suoi mandanti, accettandone le richieste criminali. Discorso differente invece è quello della coercizione nel momento in cui il dipendente si sente costretto ad accettare dei termini di collaborazione con il nemico, a causa di minaccia o ricatto.
Secondo la teoria del criminologo Donald R. Cressey, “gli individui tradiscono la fiducia quando si trovano di fronte ad un problema finanziario non condivisibile con altri, quando sono consapevoli che questo problema può essere segretamente risolto approfittando del proprio ruolo a danno dell’organizzazione e quando sono capaci di far convivere la concezione di loro stessi come persone degne di fiducia con quella di utilizzatori non autorizzati dei fondi o delle proprietà loro affidate”.
Queste tre condizioni, che si riassumono in pressione – opportunità – razionalizzazione, vanno a costituire quella triade conosciuta come “Triangolo di Cressey” o “Triangolo della Frode”, implementato successivamente da David T. Wolfe e Dana R. Hermanson, i quali hanno aggiunto un quarto elemento, la capacità, ovvero una combinazione tra le caratteristiche tipiche di un possibile truffatore (es. disonestà, …) e l’effettiva conoscenza e capacità di applicare le azioni che dovrà svolgere per raggiungere il suo obiettivo (“The Fraud Diamond”). Queste considerazioni dovrebbero stimolare riflessioni nelle aziende che intendono contrastare il fenomeno dello spionaggio interno.
In riferimento invece alla seconda questione, un caso esemplare potrebbe essere quello di Christopher Dobbins, un lavoratore di un’azienda di imballaggi medici nella Georgia settentrionale. Questo è quanto riportato dal Department of Justice degli Stati Uniti: “mentre era impiegato presso l’azienda, Dobbins aveva accesso come amministratore ai sistemi informatici contenenti le informazioni di spedizione dell’azienda. Quando è stato licenziato, ha anche perso l’accesso ai sistemi informatici dell’azienda.
Il 26 marzo, Dobbins ha ricevuto il suo ultimo stipendio dalla società. Tre giorni dopo, il 29 marzo 2020, ha utilizzato un account utente falso che aveva precedentemente creato mentre era ancora impiegato presso l’azienda per accedere ai sistemi informatici dell’azienda. Ha quindi condotto un’intrusione informatica che ha interrotto e ritardato le spedizioni di DPI da parte dell’azienda di confezionamento di dispositivi medici. Durante l’accesso tramite l’account utente falso, Dobbins ha creato un secondo account utente falso e quindi ha utilizzato quel secondo account per modificare circa 115.581 record ed eliminarne circa 2.371. Dopo aver eseguito queste azioni, Dobbins ha disattivato entrambi gli account utente falsi e si è disconnesso dal sistema. Le modifiche e le cancellazioni ai registri dell’azienda hanno interrotto i processi di spedizione dell’azienda, causando ritardi nella consegna dei DPI (dispositivi di protezione individuale) tanto necessari agli operatori sanitari”.
Questo è solamente uno dei tanti esempi di dipendenti che, per vendetta, invidia, hanno sabotato le proprie aziende, agevolati anche dall’informatizzazione ormai di ogni loro aspetto.
Spionaggio: similitudini tra mondo cyber e umano
È davvero così lontano il mondo dello spionaggio umano da quello cibernetico?
Oltre che presentare una correlazione ormai non discutibile, nonché un connubio a volte molto pericoloso, i due metodi presentano steps comuni proprio in termini di approccio metodologico.
Se ne evidenziano i più salienti:
- Individuazione dell’obiettivo da avvicinare (persona o sistema/macchina contenente informazioni di interesse).
- Ricerca di notizie sul suo conto al fine di valutare quelle vulnerabilità che potrebbero essere sfruttate dall’attaccante. Nel caso del dominio cyber, potrebbe risolversi nello studio del sistema operativo utilizzato, possibili passwords “deboli” o vulnerabilità più appartenenti alla sfera umana che riconducono inesorabilmente allo spionaggio tradizionale.
- Aggancio della fonte: con tecniche di persuasione o elicitazione tanto quanto uso di malware o e-mail di phishing per cercare di avviare un’interazione con il target. (Molto proficua è la tecnica del “Watering Hole”, letteralmente “attacco all’abbeveratoio”. Ripresa dal mondo animale e riadattata al mondo cibernetico, questa tecnica consiste nell’osservare quali siti web i membri delle organizzazioni target consultano maggiormente per poi infettarli con malware fino a riuscire ad infettare qualcuno degli utenti, proprio come i predatori attendono di attaccare le prede vicino le pozze d’acqua).
- Mantenimento di un contatto: nel caso dello spionaggio di tipo umano si può parlare di “consolidamento” di un rapporto stabile e fiduciario, mentre per quello cyber di “persistenza” nella macchina infetta anche dopo un eventuale arresto del sistema.
- Reclutamento dell’individuo come fonte occulta attraverso la quale monitorare le sue azioni e poter costantemente valutare l’affidabilità e l’importanza delle informazioni che possiede.
- Spostamento verso altre fonti di interesse legate al target: per raggiungere un obiettivo del genere, un eventuale “Operatore H” dovrà avvalersi di tecniche persuasive e fiduciarie meno pervasive rispetto a quelle utilizzate per l’iniziale “adescamento” del target in quanto vige la regola non scritta secondo la quale “l’amico del mio amico può tranquillamente diventare il mio amico”; così l’hacker, una volta agganciata la macchina target, mette in atto la medesima tecnica sfruttando i “server amici” della medesima rete, con i cosiddetti “movimenti laterali”.
- La chiusura del rapporto una volta ottenuta l’informazione necessaria.
È importante ragionare in questi termini affinché i due metodi non vengano solo visti in maniera dicotomica (aspetto umano e cibernetico), ma connessa e a volte complementare.
Un punto importante in questo senso potrebbe essere l’utilizzo di conoscenze anche comportamentali, combinate all’esperienza tecnica e cibernetica, utili a comprendere quali sono i limiti delle tecnologie odierne rispetto alle nuove forme di controspionaggio e, dal lato opposto, quali sono le competenze e gli strumenti più utili a rilevare anomalie di tipo comportamentale.
Resilienza e “capacità di previsione”
“Ciò che permette ad un principe illuminato e a un abile generale di sottomettere il nemico e conseguire risultati straordinari, è la capacità di previsione.
Ma la “capacità di previsione” non è un dono degli Dei, né si ottiene interrogando spiriti e fantasmi, né con ragionamenti o calcoli. Si ottiene impiegando uomini che ci informano sulla situazione del nemico”, Sun Tzu – L’Arte della Guerra – cap.13.
Nonostante sia una citazione risalente al VI-V secolo A.C. è estremamente attuale e applicabile perfettamente alla realtà fisica tanto quanto alla quinta dimensione del cyberspace.
Le crescenti preoccupazioni riguardo la sicurezza informatica, i sistemi e le misure volte a prevenire incidenti di questo tipo, stanno sempre più preoccupando sia gli Stati che le piccole realtà economiche, industriali e di qualunque altro tipo. Per questo motivo sta diventando sempre più importante parlare del concetto di zero trust: mezzo di sicurezza volto a richiedere a tutti gli utenti, anche a quelli appartenenti alla medesima rete aziendale, autenticazioni, autorizzazioni e posizioni prima di permetterne l’accesso in termini di applicazioni da usare e dati da consultare per entrare nell’ottica e abbracciare la filosofia del “never trust, always verify”.
Zero Trust Security: cos’è, quali sono i principi cardine e i fondamenti applicativi
Per quanto riguarda le difese, oltre alle contromisure adottate per proteggersi dalle e-mail di phishing, tenere aggiornati i software antivirus attraverso le ultime firme virali, fare uso di SIEM in grado di mettere in risalto anomalie di tipo “log behavioral” dei propri dipendenti e non solo, si necessita di metodi, conoscenze e figure diverse che possano vedere la minaccia cyber da altri punti di vista (psicologico, sociologico, criminologico, linguistico, giuridico, ecc…). Al secondo fattore di autenticazione, all’utilizzo di sistemi antintrusione, contro un tipo di spionaggio interno servono competenze e sensibilità diverse, atte a valutare sfaccettature comportamentali anomale, fisiche e digitali, sempre più camuffate da persone addestrate o addirittura rese invisibili ormai con la crescente propensione a preferire la modalità smart nel mondo del lavoro, che ha oltretutto esteso il territorio di attacco anche alle abitazioni private.
L’analisi e la conoscenza delle dinamiche umane e cibernetiche possono aiutarci (riducendo anche le tempistiche, essendo il fattore tempo determinante quando si parla di “era cibernetica”) ad affrontare la minaccia in questione nonché a simulare attacchi nel modo più accurato ed efficace possibile contro il proprio sistema, al fine di testarne la solidità e consapevolezza (con e-mail di phishing, penetration test ecc.).
Sicuramente oggi più è alta la resilienza e la consapevolezza del valore di un determinato sistema, maggiore sarà la sua stabilità e sicurezza.
In natura la resilienza è una capacità che da sempre incide sulla sopravvivenza o meno di una specie. Vince il più resiliente. Lo stesso concetto si può riportare nell’ambiente cibernetico: vince il sistema più resiliente, ovvero quello che, non solo è in grado di fronteggiare un attacco, ma al contempo è in grado di proseguire nella sua attività nonostante l’attacco.
Un esempio, già accennato nei paragrafi precedenti e che riguarda da vicino l’Italia, è proprio l’attacco alla Regione Lazio. In un momento critico per lo scenario mondiale, l’evento ha messo a nudo le vulnerabilità, le difficoltà e la mancanza di resilienza di quei sistemi che soprattutto in questo particolare momento storico sono di estrema importanza.
Tuttavia, al contrario di quello che si potrebbe pensare non sono solamente le grandi realtà ad essere bersaglio di azioni malevole, ma anche le piccole realtà quali PMI, centri di ricerca e università. Difatti, essendo queste organizzazioni meno pronte da un punto di vista tecnologico e di knowledge in materia, andrebbero attenzionate e supportate maggiormente rispetto ad eventuali attività di spionaggio.
Conclusioni
Riallacciandosi al discorso fatto in precedenza in riferimento al depistaggio, contro le nuove possibili tipologie di attacco ransomware provenienti anche dall’interno, serve un approccio ancora più integrato e raffinato secondo un modello più israeliano incentrato anche sul fattore umano e le sue minacce.
Come ha sottolineato il capo dell’MI6: “nello spionaggio di quarta generazione servono nuove abilità umane fuse con l’innovazione tecnologica”.