Stiamo vivendo un periodo che è sempre più caratterizzato da uno sviluppo esponenziale della tecnologia. Tecnologia che ha in sé anche potenziali minacce per noi, ovvero, lo spettro di una architettura di sorveglianza onnipresente e attiva 24 ore su 24 per 365 giorni all’anno. Architettura che, abbiamo visto, fa gli interessi di grandi OTT (Over the Top), ovvero coloro che gestiscono la compravendita dei nostri dati personali e, cosa importante, la parte predittiva delle nostre abitudini e comportamenti. Uno scenario in cui Facebook è ormai una delle autorevoli fonti di modelli comportamentali. Questo modello economico viene definito nel libro di Zuboff il “Capitalismo della sorveglianza”; uno scenario in cui i dati sono alla base di vere e proprie guerre e movimenti di potere che sfidano persino le democrazie.
Attività di intelligence
L’attività di intelligence è il prodotto derivante dalla raccolta, valutazione, analisi e interpretazione delle informazioni raccolte.
Lo sviluppo di un prodotto di intelligence richiede la raccolta di informazioni da diverse fonti, fonti che devono essere selezionate in base agli obiettivi richiesti dall’organizzazione.
Il prodotto informativo di questa attività fornisce agli stati le informazioni necessarie per promuovere i propri interessi nazionali. Le organizzazioni di intelligence cercano generalmente informazioni riguardanti capacità militari, questioni che minaccino la sicurezza nazionale, programmi economici e posizioni diplomatiche. Nello scenario digitale/cyber si utilizzano scenari simili allo scopo di prevenire le minacce o per raccogliere informazioni strategiche; programmi sempre più sofisticati fanno ormai parte della strategia difensiva/offensiva di protezione cyber sia a livello governativo che nelle aziende che fanno parte delle infrastrutture critiche, per queste ultime ci si limita alla parte difensiva.
L’attività di intelligence si divide in strategica e operativa. La prima fornisce informazioni necessarie ai decisori per fare scelte o prendere decisioni di lunga durata, normalmente queste informazioni devono poi essere integrate con informazioni relative a politica, economia, interazioni sociali e sviluppi tecnologici. L’intelligence operativa riguarda, invece, eventi attuali o comunque di breve portata e non comporta proiezioni a lungo termine.
Tecniche di raccolta informazioni
Sono diverse le discipline utilizzate per la raccolta delle informazioni. Queste discipline includono l’intelligenza umana (HUMINT), l’intelligenza derivante dai segnali (SIGINT), quella derivante dalle immagini (IMINT), quella derivante dalle rilevazioni delle radiofrequenze e emissioni radioattive (MASINT) e l’intelligence open source derivante da fonti aperte (OSINT). Sul tema dell’open source intelligence occorre notare che più una organizzazione/stato è aperta, più successo ha questo tipo di attività. Riviste, siti, database online, social sono spesso fonti redditizie di informazioni riguardanti attività governative e commerciali.
Le attività di intelligence umana, HUMINT, sono sinonimo di spionaggio e attività clandestine come quelle descritte nel libro di Fabrizio Gatti, ma non occorre trascurare anche l’attività svolta da diplomatici e addetti militari.
Questa disciplina rappresenta il metodo più antico per la raccolta delle informazioni e rimane, sino alla fine del ventesimo secolo, la principale fonte di intelligence per governi/organizzazioni. L’attività di HUMINT include attività manifeste, sensibili e clandestine con l’utilizzo di persone che controllano, supervisionano e supportano le fonti necessarie. Le attività di tipo esplicito vengono gestite apertamente, in questo caso le persone che raccolgono le informazioni possono essere diplomatici, personale militare distaccato, membri di delegazioni ufficiali che partecipano o gestiscono pubblicazioni non classificate o conferenze. L’attività clandestina richiede, invece, agenti che vengono infiltrati nei paese/organizzazioni svolgendo ruoli sotto copertura. La gestione di questa disciplina richiede un numero significativo di personale sia tra chi raccoglie le informazioni, sia tra chi supporta e coordina le diverse attività.
HUMINT in Onlife
Oggi sia gli autori delle minacce, che i professionisti che operano nel settore della sicurezza informatica hanno a disposizione tecnologie sempre più efficienti e letali. Insieme a questi mezzi abbiamo gli strumenti che si possono considerare più utili in assoluto, la conoscenza e l’esperienza umana.
Per queste ragioni si capisce bene come l’utilizzo di HUMINT sia fondamentale sia che per chi lavora a individuare i cyber criminali, sia per chi si occupa della gestione e prevenzione delle minacce. Comprendere motivazioni, tendenze e ragioni che sono alla base degli avversari è chiave per ogni tipologia di guerra, inclusa la guerra informatica. Come conferma la letteratura sul tema, occorre conoscere il proprio nemico diventando il loro nemico; occorre tenere sempre a mente che il nemico in questa guerra informatica può essere virtuale, anonimo ma mai invisibile. La tecnica utilizzata nel mondo digitale è simile a quella utilizzata nel mondo fisico, un Threat Hunter per avere successo nell’utilizzo di HUMINT deve apprendere e pensare come gli attori che mettono in atto le minacce, individuare gli strumenti, le tecniche utilizzate e capire i loro obiettivi. Tutto ciò richiede una buona abilità e capacità nell’infiltrarsi tra gli attori che generano minacce informatiche, guadagnare la loro fiducia e apprendere il loro funzionamento. Lo stesso impegno equivalente a quello messo in campo dalle agenzie quando inseriscono un agente sotto copertura per infiltrarsi in un’organizzazione criminale. È un lavoro scrupoloso, che mette a dura prova i nostri nervi; individuare i luoghi digitali dove si riuniscono gli attori delle minacce per condividere informazioni, forum nel dark web, chat IRC, stanze virtuali e black market. Una attività pericolosa tanto come quella che si svolge nel mondo fisico, non importa quanto si sia esperti o qualificati. Quando si fa ingresso in questi lati oscuri della rete, dove ci sono attori che provengono da tutte le parti del mondo e che sono spesso anche in conflitto fra loro, si è costantemente analizzati. In questi forum gli amministratori o i moderatori esaminano tutto ciò che ci riguarda allo scopo di determinare se si è un infiltrato. Il solo sospetto provoca come minimo la messa la nostra messa al bando. Certamente prima di cominciare questa attività è importante cautelarsi gestendo molto bene la propria sicurezza, i Threat Hunter hanno bisogno di strumenti che nascondano la loro reale identità; strumenti semplici come una VPN, TOR, sino a proxy e macchine virtuali. Essere smascherati può rappresentare una grave minaccia per sé stessi e per l’organizzazione per la quale si lavora. In queste attività è possibile, inoltre, scontrarsi con le forze dell’ordine, con alcune particolari attività, senza contare il possibile scontro con il dipartimento legale della nostra azienda. La raccolta di dati attraverso le tecniche di HUMINT può essere molto dispendiosa in termini di tempo ed è pertanto necessario fare affidamento su tecnologie all’avanguardia avendo sempre bene in mente gli obiettivi e i target dell’organizzazione, ovvero l’infrastruttura ed i processi critici di business. Per gestire iniziative HUMINT non si deve fare solamente affidamento su stessi, ma suggerisco caldamente di lavorare in team con aziende di sicurezza informatica che siano affidabili e in generale più informazioni si hanno migliore è la qualità del nostro lavoro. Le informazioni provengono da più fonti, dark web, social media ecc.. per questo è indispensabile creare il giusto mix di analisti, interni ed esterni. Il lavoro che viene svolto non può basarsi sulla ricerca casuale di attori nel dark web, si deve arrivare a qualificare delle fonti specializzate sugli asset che sono di nostro interesse. Ad esempio potrebbe essere utile, nel settore finanziario, avere delle fonti tra gli sviluppatori che scambiano e acquistano informazioni su carte di credito o PIN oltre a moderatori di forum sul tema. Su Jabber ci sono degli elenchi e su questo sistema di messaggistica decentralizzato si pongono le domande o si ricercano indizi sui quali investigare. In questa attività occorre anche gestire e mantenere una serie di avatar, ognuno dei quali ha il suo elenco di persone che può contattare su Jabber. Chiaramente si deve fare attenzione a non fare nulla di illegale, non comprare nulla e non gestire materiale illegale. Altro punto che occorre risolvere sono gli orari, se vi vuole mantenere la credibilità degli avatar si deve uscire dal paradigma 9-17 e settimana lavorativa: l’assenza dell’avatar sicuramente insospettirebbe le nostre fonti. Per essere credibili occorre una presenza in rete costante, si dovrà garantire la presenza degli avatar anche al di fuori degli orari di ufficio e accedere anche di sabato e domenica.
Conclusioni
Software, strumenti e tecnologie cambiano velocemente, ma anche in questo scenario complesso esiste il fattore umano, tutti gli attacchi informatici sono guidati da uomini. Proprio per questo motivo conoscere le motivazioni degli avversari, le tendenze alla base di campagne e attacchi può aiutarci a definire decisioni strategiche e indirizzare gli investimenti che meglio proteggono la nostra infrastruttura. Come descritto, l’attività di HUMINT può rappresentare un tassello fondamentale nella nostra strategia di difesa cyber, ma può essere anche incredibilmente pericolosa. Si dovrà avere cura di nascondere la propria identità e obiettivi. Per cominciare si può sicuramente partire da piattaforme di intelligence che includono anche questo servizio o affidarsi a società che offrono questa tipologia di servizio. Strumenti tradizionali e tattiche di HUMINT combinate insieme ci offrono la possibilità di identificare comportamenti criminosi e ci permettono di passare ad un approccio più proattivo della sicurezza informatica, un approccio che si concentra sulla prevenzione degli attacchi, perché la migliore forma di mitigazione consiste nel fermare le minacce prima che queste abbiano effetti sulla nostra infrastruttura e sui nostri processi critici.