Mi chiamo Security, Cyber-Security

(di Fabrizio Colalongo)
02/03/20

Sul grande schermo si rincorrono immagini di pistole e belle ragazze mentre suona il famoso jingle. Poi, appare una persona “M” che, con fare autoritario assegna un compito impossibile a “double-0-seven”. L'agente segreto prende dalle mani di un “Q” rassegnato qualche improbabile strumento e si getta nella eterna lotta tra bene e male.

Gli effetti speciali, i martini, i colpi di fortuna e la giravolta di eventi inaspettati portano la storia verso l’epilogo: i morti innocenti vengono vendicati, il mondo viene messo al sicuro e le tracce di Mr. Bond si perdono su un'isola tropicale o in un'altra amena località.

Tutti dimentichiamo com'è iniziata la favola ma andiamo a letto lieti di essere stati per qualche minuto nei panni dei salvatori dell'umanità e, ancora più importante, della corona britannica.

È divertente notare che anche nell'affascinante mondo della fantasia di Fleming, ricostruita in una parodistica semplificazione, James ha avuto due aiuti senza i quali la storia sarebbe caduta sotto il proprio peso. “M” aveva già il quadro della missione e “Q” aveva pronti gli strumenti da... agente segreto.

Ma come faceva “M” a sapere tutto? Leggendo attentamente tra le righe dei romanzi anni '50 scopriamo l'intensa attività di raccolta delle informazioni che ha preceduto la fase "operativa". Aerei spia, giornali, agenti nemici traditori, distrazioni... ma più di tutto, “Q” aveva inventato una macchina troppo segreta da rimanere celata anche agli occhi degli agenti doppio zero. Un octopus che funziona nel mondo virtuale dell’informazione che ha l’accesso ad un’infinita quantità di dati, organizzati per tipo ed indicizzati dal miglior archivista di tutti i tempi. A dire il vero, i ben informati sospettano che la macchina sia stata inventata da SPECTRE, ma è certo che “Q” ha trovato il modo di usare questo “dio” dell’informazione mettendolo al servizio del bene comune (cfr. Johnny Long ed il suo progetto chiamato “hackers for charity”). Questa macchina è un motore che cerca dati in un’enorme rete di nodi distribuiti e li mette a disposizione degli analisti.

Gli anni della guerra fredda e degli agenti con licenza di uccidere sono passati di moda. Il muro è stato abbattuto; il velo che copriva i grandi segreti è volato via. Le complesse procedure di utilizzo della rete sono state semplificate, la tecnologia è diventata trasparente e i ragazzi degli anni 90 sono diventati tutti aspiranti agenti. La rete si è diffusa ed i suoi tentacoli sono entrati in ogni casa. Che siano stati gli inglesi, la CIA, il KGB, la SPECTRE o gli alieni ad inventare internet (ed il WWW) non importa ma per capire come funziona questo prodigio serve qualche nozione elementare (e spero non banale) del funzionamento di un motore di ricerca tradizionale, ad esempio Google.

Quando si apre il browser ci si trova davanti una scarna finestra dove inserire una parola o una frase che restituirà tanti siti web che hanno una relazione con quello che cerchiamo. A volte la relazione è evidente perché la frase cercata è contenuta nel testo dell'articolo di giornale o del blog. Altre volte, invece, il sito che cercavo ha diciture completamente diverse, eppure è proprio lì che volevo andare. La magia ha avuto successo ed una fredda intelligenza ha capito quello che volevo. Mi pongo poche domande e, dopo un paio di doppi click prendo decisioni importantissime che decideranno il futuro della mia famiglia, lo sterminio del pianeta Terra o il colore del prossimo zerbino.

Se uno va un po’ più a fondo, scopre che i motori di ricerca permettono di inserire istruzioni che interagiscono con le loro intelligenze artificiali. Google li chiama Dorks e sono tra le funzioni più utili del gigante di Mountain View. Con loro si possono organizzare, filtrare, ampliare e personalizzare le ricerche. L’utilizzo è semplice, basta aggiungere caratteri speciali o comandi alle parole da ricercare per ottenere risultati diversi. Ad esempio, se si cercano informazioni sul ~gheppio (questo simbolo ~ è detto tilde e, con la tastiera italiana si fa tenendo premuto Alt e poi, di seguito, 1-2-6), google restituirà tutti quei siti che hanno la parola cercata o uno dei suoi sinonimi (con poco rigore scientifico). Infatti, l’intestazione di google sarà “Ricerche correlate a Gheppio e a Falco”. Se, al contrario, scriverò “gheppio” (tra apici doppi), allora il risultato si limiterà a quei siti che hanno la parola o la frase cercata senza alcuna elasticità. I dorks sono centinaia. Ad esempio, aggiungendo semplicemente filetype:pdf ad una ricerca, possiamo ottenere i documenti in formato pdf. Ma quali sono le potenzialità di questo strumento? Senza andare troppo nel teorico, scrivendo: “john curriculum vitae” filetype:pdf si otterranno decine di CV contenenti informazioni private e riservate dei vari John che hanno avuto poca cura nel proteggerle. Fare queste ricerche non è illegale e abusare di queste informazioni è solo questione di morale, fantasia e un pizzico di capacità tecnica.

Ma Google cosa sa e come fa a sapere cosa contiene il sito che cerco? La risposta è contenuta in due parole: metadati e spider (letto spy…der). Il motore di ricerca spedisce dei piccoli agenti mobili che, come dei ragnetti impiccioni, s’insinuano in ogni parte dei server web (e non solo…) e raccolgono dati utili ad indicizzarne i contenuti. Ogni parola viene inserita in un contesto e l’intelligenza artificiale, valutando anche possibili interpretazioni e traduzioni, estrapola connessioni e significati. Fin qui, è tutto un bene. Tuttavia, già dai primi anni in cui il noto motore di ricerca ha iniziato a rendere popolare internet, ci si è accorti che gli spider, insieme ad immense quantità di dati “legittimi” portava fuori dai server una grande mole di informazioni sensibili.

A questo punto apparirà chiaro che un utente smaliziato potrà facilmente utilizzare i Google Dorks per trovare, indicizzare, organizzare i dati nel modo che riterrà più opportuno. Se l’utente smaliziato è armato di cattive intenzioni, il giorno stesso in cui esce un nuovo strumento del male (tecnicamente “malware”: MALicious softWARE), potrà effettuare una ricerca estensiva per individuare quei server che manifestano problemi di sicurezza ed attaccarli senza pietà. Gli hacker chiamano questo tipo di attività “la raccolta dei frutti bassi” (in inglese “low hanging fruits”). La metafora fa riferimento al fatto che, evidentemente, i frutti pendenti dagli alberi sono i più facili da raggiungere ma proprio per questo, non hanno tempo per maturare a dovere. Non essendo protetti, può mangiarne abbastanza per sopravvivere anche chi non è dotato di abilita o tecniche raffinate e si accontenta di assumere meno zuccheri1.

Accanto a questi strumenti, semplici ed accessibili a tutti ma potenti da essere usati anche dagli specialisti di cyber-security, esistono utensili di raccolta d’informazioni ancora più orientati alla sicurezza. Per citarne alcuni dei più noti, c’è “Maltego”, “TheHarvester”, “Recon-Ng”, “SpiderFoot” e, soprattutto “Shodan”. Quest’ultimo è il preferito da molti cyber-operatori ed analisti perché restituisce ogni tipo d’informazione utile a valutare il livello di sicurezza implementato in quasi ogni apparato connesso sulla rete. Che si stia valutando un laptop, un desktop o un forno a microonde, Shodan sarà in grado di identificare l’obiettivo fornendoci informazioni essenziali. Gli spydan di shodan.io (spider avanzati che svolgono una ricerca esaustiva sfruttando anche i banner degli indirizzi IP) sono sempre a lavoro per cercare password di default, porte di rete esposte, vulnerabilità, servizi attivi, sistemi operativi non adeguatamente configurati e aggiornati, ecc.

Con l’avvento dell’IoT - Internet of Things (ed ancora peggio sarà con l’IoE - Internet of Everything), si assiste ad una diffusione di apparati capaci di connettività ma incapaci di aggiornamenti. Infatti, è da molto tempo che si è capito che i computer hanno bisogno di adeguarsi alle mutate esigenze di protezione (aggiornamenti di sicurezza, anti-malware, anti-virus, firewall software, patch delle vulnerabilità hardware, ecc.) ed oggi, ogni azienda che produce software, investe ingenti (ma comunque insufficienti) risorse in sicurezza. Lo stesso, però, si può dire di chi fabbrica videocamere di sorveglianza, sensori d’incendio, automobili, televisori, elettrodomestici, smart plugs, smart home, ecc.?

Ognuno di questi oggetti, può rappresentare un punto di accesso di curiosi e malintenzionati. In effetti, la pericolosità di questi dispositivi non è legata solo al loro funzionamento e ai dati in essi contenuti. Tolti casi specifici relativi ai sistemi di allarme o di controllo remoto, il problema comune si ha quando un apparato IoT diventa la porta di accesso verso aree più confidenziali oppure quando molti apparati diversi vengono coordinati al fine di realizzare un attacco collettivo (o più propriamente “distribuito”) verso un servizio terzo.

Ma non è tutto.

Per anni ci si è illusi che i sistemi elettronici di comando e controllo delle infrastrutture meccaniche delle grandi aziende fossero sicuri perché disconnessi dall’esterno. Tuttavia, per mille ragioni, è da tempo che gli S.C.A.D.A. (dall'inglese "Supervisory Control And Data Acquisition", cioè "controllo di supervisione e acquisizione dati" dei sistemi di automazione industriale, porti, aeroporti, ecc.) si affacciano su internet; di conseguenza, la distanza tra l’IT - Information Technology e l’OT - Operational Technology si sta assottigliando. In un contesto ideale, la rete di comunicazione contenente gli apparati sensibili, dovrebbe essere disconnessa da internet e quindi non accessibile da chi non è autorizzato. Ma i fatti di cronaca dimostrano che l’Air Gap, ovvero la separazione fisica di contesti differenti, non è più considerata una barriera inaccessibile (si pensi al caso Stuxnet in cui sono stati attaccate le centrifughe della centrale nucleare iraniana di “Natanz”). Se l’IT è il tessuto nervoso dell’organismo sociale, l’OT ne rappresenta la muscolatura. Il rischio oggi non è più solo nel “dominio dell’informazione” ma è nel “dominio della cibernetica”, entra cioè in quello spazio in cui il pensiero si trasforma in azione.

Dobbiamo quindi preoccuparci? La risposta è un semplice “no”. L’informatica è uno strumento formidabile che ha moltiplicato la capacità dell’uomo di agire sul mondo in cui vive. Ma è uno strumento e come tale presenta vantaggi e pericoli. Negli ultimi anni abbiamo sfruttato alcuni dei benefici di questo progresso occupandoci solo marginalmente dei suoi rischi ma la cyber-security inizia ad essere un’esigenza sentita anche a livello politico domestico ed internazionale e, sono sicuro che i James Bond del XXI secolo siano già a lavoro. Quello che sarebbe opportuno, invece, è una maggiore consapevolezza da parte di tutti. Infatti, nessuno si “preoccupa” quando esce di casa per fare una passeggiata perché è patrimonio di ognuno la diligenza nella gestione dei pericoli del dominio fisico. Tutti abbiamo imparato da piccoli ad attraversare la strada senza sottovalutarne i rischi. Anche chi era nato nell’epoca in cui le automobili erano una rarità, ha dovuto imparare a conviverci, sfruttandone le potenzialità ma tenendo gli occhi aperti. Lo stesso dovremmo insegnare ai nostri figli che, volenti o nolenti, saranno adulti che vivranno nel dominio cibernetico.

Facciamo un piccolo passo indietro e torniamo alla raccolta delle informazioni, fase prodromica di ogni operazione di successo sia offensiva che difensiva. Con Shodan gli amministratori di rete con una semplice richiesta (ad esempio aggiungendo il tag: “hacked by”) possono ottenere informazioni sullo stato di un’innumerevole quantità di server la cui violazione è stata firmata. A questo punto, le grandi organizzazioni a cui fanno riferimento potranno individuare con estrema facilità le falle del sistema e porre in atto le contromisure necessarie ad evitare il ripetersi dell’evento.

Per concludere, rivelerò un segreto che mi ha detto “mio cugino che è amico di un amico di quel James”: esistono hacker che non agiscono per fini nobili e, certamente, chi appartiene alla SPECTRE non si firma né denuncia le porte che apre per i suoi sporchi traffici. Per contrastarli servono conoscenze, pratiche complesse, risorse e tanto studio. Però all’uomo comune non è richiesto tutto questo impegno. A lui basta sapere che esistendo i vari Google Hacking e Shodan, non è opportuno lasciare i propri dati in giro per il web. È sufficiente che impari che la privacy ed il CV di John non sono stati protetti dal suo anonimato. “A me chi mi cerca?” non è una tecnica di difesa.

Un po’ di più devono fare i “Q” e gli “M”, cioè i manager e gli operatori del settore IT, perché è necessario che abbiano un’idea chiara dei rischi, della loro gestione e delle pratiche di protezione. Però, anche questi ultimi possono limitarsi a mantenersi aggiornati e fare il bene il loro lavoro perché in prima linea contro il male ci sono gli agenti doppio zero e degli scrittori di spy-thriller.

1 Il fatto che sia facile sfruttare una vulnerabilità non vuol anche dire che sia lecito. Rubare frutti bassi è comunque rubare. Il solo accesso abusivo in un sistema informatico è un reato punibile a norma dell’art. 615 ter del Codice Penale che prevede, in assenza di circostanze, la reclusione fino a tre anni. Il bene giuridicamente protetto è la riservatezza dei dati, quindi non importa se “nell’effrazione” si commettano anche altri reati. Tuttavia, la semplice attività di ricerca con gli strumenti descritti in questo articolo è attività lecita che non configura per se alcun rischio.

Foto: U.S. Marine Corps Forces Cyberspace Command