Ogni volta che leggi una notizia che tratta dell’arresto di un cyber-criminale,
puoi stare certo che la maggior parte del lavoro di investigazione si
può attribuire ai ricercatori anti-malware sparpagliati in giro per il
mondo.
Sia che si tratti dello smantellamento di una botnet spam,
dell’esplosione di una gang Koobface o dell’arresto dei cyber-criminali
responsabilli del trojan bancario Zeus, le forze dell’ordine di tutto
il mondo chiedono aiuto ai migliori ricercatori in materia di sicurezza
IT (in particolare agli esperti specializzati in malware). La loro
collaborazione è preziosa per la buona riuscita delle indagini e per
tintracciare le prove che possono eventualmente portare ad un arresto.
Jeff Williams sa quanto è difficile riconoscere un attacco informatico e realizzare un indagine. Dopo aver lavorato come program manager
presso il Microsoft Protection Center (MMPC) e essere passato alla Dell
SecureWorks, Williams ha partecipato allo smantellamento di varie reti
botnet, incluso la virulenta Waledac e le operazioni Zeus e Kelihos.
In un’intervista, Williamas ha spiegato che le indagini iniziano
quasi sempre in un laboratorio anti-malware. “A volte sono le forze
dell’ordine ad aprire le indagini. Altre volte l’indagine nasce nei
laboratori, nel momento in cui stiamo lavorando su di un nuovo malware.
Anche quando si tratta di un’indagine, le forze dell’ordine ci
contattano per avere informazioni approfondite sul malware. In
Microsoft, la priorità era proteggere i clienti; il nostro lavoro era
capire le proporzioni del problema, l’impatto sugli utenti di Windows e
offrire una maggiore protezione”, spiega Williams.
E’ un lavoro multi-sfaccettato. “I ragazzi del laboratorio fanno il
lavoro sporco. Verificano che il malware esista, raccolgono i campioni
(questa è la parte più consistente del lavoro) e poi procedono con il
processo di ingegneria inversa” afferma Williams. Questo lavoro include
algoritmi complessi di ingegneria inversa capaci di rompere il
protocollo di comunicazione che il malware utilizza per comunicare con
l’hacker. “Vogliamo sapere come si controllano i binari attraverso
l’infrastruttura di controllo e comando creata dall’hacker; dove sono i
nodi e che comandi usano. Tutto questo lavoro è condotto in un
laboratorio anti-malware. E’ un lavoro molto importante.” Solo dopo che il laboratorio ha raggiunto una comprensione completa
della struttura interna del malware e delle contromisure tecniche da
adottare (sia attraverso un aggiornamento delle definizioni virus, che
con il miglioramento delle tecnologie di difesa), le forze dell’ordine
aprono l’azione legale. “Qualche volta, dobbiamo presentarci in
tribunale e lavorare a stretto contatto con le forze dell’ordine”,
spiega Williams.
Costin Raiu, responsabile del team Global Research & Analysis
presso Kaspersky Lab, è d’accordo sul fatto che le indagini sul
cybercrimine possono essere molto ‘complicate’. Il team di Raiu ha
lavorato fianco a fianco con Microsoft, CrowdStrike, OpenDNS e altre
entità rappresentative dell’industria della sicurezza IT per gestire lo
smantellamento di un’operazione di botnet. Secondo il ricercatore si
tratta di un lavoro molto complesso “un lavoro multi-sfaccettato e
intenso”. “Direi che la competenza dei ricercatori è fondamentale e può fare la
differenza nelle indagini; può condurre a un arresto o a un criminale
in fuga”, afferma Raiu. Oltre all’ingegneria inversa e allo scambio di informazioni con le
forze dell’ordine, i ricercatori di sicurezza lavorano spesso a stretto
contatto con il CERT
(Computer Emergency Response Team) nel momento del sequestro o dello
smantellamento dei server hackerati o dell’analisi del server alla
ricerca di prove e informazioni utili per il processo. “Il crimine cibernetico è un campo incredibile e complicato,
multi-sfaccettato. Ecco perché ai ricercatori viene spesso chiesto di
offrire il loro aiuto in qualità di esperti durante i processi” spiega
Raiu. I laboratori malware esperti in cyber-sicurezza ricorrono spesso all’utilizzo di Open Source INTelligence o OSINT.
Questa parte dell’indagine è esaustiva e molto spesso comporta il
rastrellamento della rete alla ricerca di qualsiasi indizio che possa
portare al criminale o all’operazione malware. “Nel corso di una indagine, sono molti gli indizi che possono
portarci sulle tracce dell’identità di un cyber-criminale. Alcuni
campioni di codici possono includere un nickname o un certo stile di
programmazione. Questo genere di informazioni possono essere usate come
punto di partenza nel processo che porta all’arresto di un criminale”
spiega Williams di Dell SecureWorks.
I ricercatori usano un nickname o un indizio estrapolato da un pezzo
di codice o un indirizzo e-mail da un nome di dominio registrato per
setacciare le community on-line, come Facebook, Twitter, YouTube, Wikis,
blog o qualsiasi altro tipo di contenuto generato dall’utente in cui il
criminale possa aver utilizzaro quel nickname o indirizzo e-mail. Nel caso di Koobface, il team di sicurezza di Facebook ha condotto
una operazione di open source intelligence in collaborazione con la
community dei ricercatori di sicurezza IT; insieme hanno reso pubblici i
nomi, le foto e le identità delle persone che ritengono responsabili
dell’attacco diffusosi in questo network. Questa informazione ha
raggiunto i mezzi di comunicazione come parte di una operazione di
denuncia. “La maggior parte del lavoro è tecnico e riguarda la protezione dei
clienti, ma le informazioni vengono poi condivise con le forze
dell’ordine e sono molto rilevanti per le indagini. Quando si giunge a
un arresto o si va in tribunale, la maggior parte del lavoro (potete
starne certi) è stato svolto nei laboratori di ricerca” aggiunge
Williams. “L’attribuzione del reato e dell’arresto non è sempre parte delle
operazioni iniaziali. Tuttavia quando un laboratorio malware scopre
qualcosa di importante, i risultati della ricerca vengono passati alle
forze dell’ordine e ciò può condurre ad un arresto o a una azione
legale” aggiunge Williams. Williams ripete più volte che il lavoro della community di ricerca
deve essere di qualità perché le informazioni devono essere
eventualmente presentate in tribunale.
I ricercatori che si occupano di cyber-sicurezza si lamentano spesso
della lentezza dei tempi legali, sopratutto quando si tratta di attacchi
virulenti come il trojan bancario o le reti botnet che portano a frodi
banacarie. La lentezza del sistema giudiziario ha spinto Facebook a
pubblicare i dettagli dell’indagine Koobface prima della fine del
processo. Willliams sottolinea però che le cose stanno migliorando.
“E’ assolutamente necessario migliore il sistema penale. I criminali
sanno che leggi non sono severe e cosa devono fare per evitare di essere
beccati. Comunque sia, io credo che le forze dell’ordine ogni giorno
imparano a gestire meglio questi casi. Siamo testimoni di casi dove sono
state applicate leggi che non hanno nulla a che vedere con il
cyber-crimine”, aggiunge l’esperto riferendosi al caso Zotob, processo
in cui alcuni criminali informatici sono stati perseguiti per
riciclaggio di denaro, evasione fiscale e frode finanziaria in base alle
leggi vigenti in queste materie.
“Si tratta di una evoluzione naturale; le tecniche di difesa e di
demolizione della rete del crimine informatico non possono che
migliorare. Se la rete del cyber-crimine non verrà smantellata, i
delinquenti continueranno a rubare soldi e questi soldi verrano
reinvestiti in altri attacchi. Tuttavia, io credo che siamo giunti a un
punto in cui le competenze tecnologiche e la cooperazione con le forze
dell’ordine possono fare la diffenza nella battaglia contro il
cyber-crimine”, conclude Williams.
Nessun commento:
Posta un commento