skip to main | skip to sidebar
31 commenti

Storie di un “cacciatore di hacker”: Mikko Hypponen

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/06/02 10:50.


Mikko Hypponen, di F-Secure, ha raccontato di recente al Collision di New Orleans alcuni suoi casi di lavoro molto illuminanti: un informatico che si è dato al crimine perché nel suo paese non c’erano sbocchi legali per il suo talento; una vittima di ransomware, che conferma che pagare conviene, purtroppo; un tracciamento del giro di denaro enorme dei ransomware, reso possibile dai bitcoin; la visione del mondo che hanno i paesi dove prospera il crimine informatico semplicemente perché in quei paesi la polizia ha problemi ben più gravi; i pregiudizi sull'uso dei siti d'incontri, che causano danni a persone innocenti; e l'attacco informatico all'Ucraina, vero e proprio esempio di guerra informatica.

Ho preparato una rapida trascrizione che può aiutarvi a seguire l'ottimo inglese di Mikko; dopo la pubblicazione iniziale di questo articolo, ho ricevuto il permesso di Mikko di pubblicare anche una mia traduzione, che trovate più sotto (grazie a chi mi ha dato una mano). Se trovate errori, segnalateli nei commenti.

Dopo questi racconti non dormirete tranquilli, ma questa è la realtà informatica che ci circonda.


My name is Mikko and I hunt hackers. Well, actually, I hunt the evil kind of hackers, because there's a lot of different hackers. Some are actually good. We like some hackers, but some we don't. And in this line of work, when you hunt hackers, analyze malware and reverse engineer online attacks, you get to meet different kinds of people. We regularly infiltrate forums in the deep web to figure out what's happening right now in the world of cybercrime organized gangs, and try to figure out what's their next step. So let me tell you a couple of stories about the kind of people that I meet in this line of work.

I regularly meet the attackers themselves, because we work with law enforcement to do investigations, and there was this one guy that I met around two years ago. His name was Sorin; he's from Romania, in Eastern Europe. He lives in a small village maybe a hundred kilometers east from Bucharest, the capital of Romania. And he was running botnets: he was making money online with cybercrime. And his botnets had these keylogger components to steal people's credit card numbers. That's what he was doing. He was stealing people's credit card numbers as they were typing their credit card details on their infected computers while they were doing online shopping. So he was caught, he was charged, sentenced – he's actually right now in jail. But when I met him and I spoke with him I asked him why: why did you choose this career? Why did you go into the life of crime?

Obviously he was smart, he was a programmer, he could have done other things. And he told me that, well, he didn't really see other options. In this tiny village where he was living, you know, there weren't any jobs, there weren't any startups. The easiest way for him to turn his skills into income was to go into the life of crime. And the lesson here is that many of these problems that we're fighting aren't really technical: they are social problems. When you have people with the skills but without the opportunities you end up with problems like cybercrime. And that is a hard problem to fix. It's easy to fix technical problems; it's hard to fix social problems.

Now, I also meet a lot of victims when I work with computer security. And I met this one guy, actually a CEO for a startup in San Francisco, a couple of months ago. And I spoke with him because his company was in a big problem, because one of the employees had become infected with a ransom trojan and that employee's computer, his laptop, had been encrypted by the ransom trojan. Not only that, it had also mounted all the shares that this user could see in their network and encrypted all those, including their Dropbox shares. And ransom trojans make money by locking you out of your data. You get hit by a ransom trojan like Reveton or Cryptowall or Petya and it will encrypt your files and then it will demand a payment in bitcoin from you in order to get your own files back.

And if you actually pay – if you actually pay – the ransom, like this guy did, you will get your files back. These cybercrime gangs that work with ransom trojans practically always deliver. If you pay, you will get your files back. So at least they are honest criminals. And the reason why these gangs are honest, why they deliver, is that these guys need a good reputation. Pretty much any victim for any ransom trojan will first try googling for a solution. Like let's say you get hit with Teslacrypt or Hydracrypt; you will Google for "Teslacrypt help". And when you do that, you will find earlier victims, people who had been infected with the same ransom trojan maybe last week, and they will tell their story: “I got infected, the encryption that they used was too strong, we couldn't figure out any way to decrypt the files, I didn't have backups, so I ended up paying two bitcoins to get my files back, and as soon as I paid they did provide me with a program which did decrypt all my files, I got everything back, they supported me – nice guys, you know, would recommend, five out of five”. So these guys need a good reputation, so that future victims will pay as well.

Now the megatrend that has made ransom trojans one of the biggest headaches, one of biggest problems we have right now, is bitcoin: the fact that now, for the first time, online criminals have a way of getting the payday without us being able to follow the money and catch them. This is the problem. Now that doesn't mean that bitcoin is bad, because bitcoin isn't bad, or any blockchain-based currency, they aren't bad. They're just tools: just like cash is neutral. I mean, we all carry cash in our pockets, but especially criminals love cash, because for example real-world drug trade is done with cash. It's kind of hard to buy cocaine with a credit card – or so I've been told. And exactly for the same purpose online criminals use the online equivalent of cash: bitcoin.

But the most important difference between real-world cash and online cash is that bitcoin can be tracked to an extent. Bitcoin is based on blockchain. Blockchain is a public ledger. And when I say public, I really mean public. So public that anybody – I mean, any of you – can go online today and download the whole bitcoin blockchain, which will include every single transaction that has ever been done with bitcoin. Now you don't see who sent money to who, but you do see the transactions – like how much money, when, and from which wallet to which wallet. And this means that we can actually track the amount of money online criminals are moving: not who they are, but we can see how much they're moving. And it turns out that some of these ransom trojan gangs are making a lot of money.

For example, the Cryptowall gangs bitcoin wallets have had traffic worth more than $300 million over the last two years. Three hundred million dollars. Now if that would be a company instead of a cybercrime gang, that would probably be a unicorn. If you make 300 million in revenue and are very profitable, you probably would be a unicorn company. Cybercrime unicorns: we have cybercrime unicorns. Lesson here is that the money moving in these online cybercrime gangs is surprisingly large. Online organized crime is surprisingly large.

We also regularly work with the cops, and I remember this one meeting I had with law enforcement officers in Brazil, in São Paulo; this small unit of cops working for the central criminal police of São Paulo trying to solve cybercrime cases in Brazil. And São Paulo as a city is one of the hotspots in the world. São Paulo for years, for example, was the capital for banking trojans: they were creating more banking trojans in São Paulo than anywhere else in the world.

So when I met these guys I suppose I was sort of the ignorant European who comes over to tell these people what problems they have, and they really taught me a lesson, because after we chatted for a while and I told them what we see about the kind of crime coming out of their country, one of these cops told me that well, yeah, they get that. They understand that they have a problem. They know that there's lots of cybercrime in there: they understand it. But what I should understand is that São Paulo is also one of the murder capitals of the world. So where exactly should the law enforcement there be putting their limited resources? To fight online crime, which is certainly a problem, or to fight crimes where people actually die? And when you look at it from that point of view it's quite clear where you put your limited resources. And the lesson here is that problems seem different, they seem much smaller when you look at them from far away. But when you get closer the problems look different.

Then last year I met this lady in Australia. She wasn't really a victim of a hack. Not directly. She wasn't hacked herself: she was a victim of a data leak. It turns out that she had an account at Ashley Madison. She had an account at AshleyMadison.com, the cheating website. And as the Ashley Madison database was leaked, publicly published, late last year, her identity, the fact that she was there, became public as well. And of course the word got around: people at the office heard about it, the neighbors heard about it. Very embarrassing, of course. However, the reason why she was on Ashley Madison was not that she was trying to cheat on her husband. Quite the contrary.

A couple of years earlier she had suspected her husband of infidelity. She suspected that he was cheating on her. And she was convinced that he had an account at Ashley Madison, so she actually went to Ashley Madison trying to find him. She registered an account trying to find him, but she never did. Then she forgot all about it, until the neighbors started chatting about how she's a user of Ashley Madison. Now the lesson here is that we really shouldn't be jumping to conclusions.

Now everything around us is more and more running on computers and software. It's not just the computers that we are protecting anymore: it's pretty much the whole infrastructure. And this was very clear when I met this guy who works for a company called Prykarpattya Oblenergo; that's a company in Ukraine, headquartered in Kiev. It's a company which handles the electrical grid for most of Ukraine. And this company was hit with a cyberattack last Christmas Eve's eve, on December 23.

What actually happened on December 23 was that one of the operators realized that his mouse doesn't work. His mouse doesn't work: that's how it started. Maybe it's broken, maybe it's a bad battery, but then the operator realizes that although his mouse didn't work, the cursor was moving on the screen anyway. And this is a bad sign. You can take this to heart: if your mouse doesn't work but it's still moving, you have a problem. And they did have a problem. It turns out that he was locked out from his own workstation: a Windows workstation which was used to operate the actual electrical grid – to actually operate the relays that control the flow of electricity in Ukraine. And he wasn't alone: all the operators in the same room were locked out of their own systems. So they were just bystanding and watching as someone else was using their computers to turn off backup power and then switch off relays, which directly translated into power being cut off in different parts of Ukraine.

It only took the shadow operator half a minute to switch off power for 200,000 people, eventually clicking the relay which controlled the power for the building where the operators were in themselves, so they were left in the darkness.

Now this power outage didn't last forever. Power was recovered within a couple of hours. Not through computers, because the unknown attacker had actually overwritten the firmware on the control equipment. So there was no way to recover: they actually had to physically go and switch the relays on by hand. But that's what they did, and they recovered the power to most of the country within the day. Which was very good, because this was in December, and temperatures can get really freezing in December: you can easily see how this could have turned into something more serious if the power had been out for maybe a week, well, people start dying as temperature start dropping. And at the very same time when this attack was underway, the company was hit with a denial of service attack which overflowed their phone central. Phones were ringing off the hook. Whoever was behind the attack launched a phone denial of service attack at the same time, maybe to disrupt the operations or maybe just to prevent real victims of the power outage from being able to call the power company and report the outage. And all those phone calls which were coming into this company in Ukraine were coming from Russia; they were coming from the area code of Moscow.

Now this is important, because Ukraine and Russia are at war. Russians don't call it a war, but Russia has annexed part of Ukraine and joined it to its own country. With force. I call that a war. So when you have something like this happening between two countries who are at war, well, I think we really should be calling that cyberwar.

Cyberwar is a term that I've never liked, because almost always when it's being used it's being used incorrectly. You know, there's some random denial of service attack somewhere or there's some spying attack somewhere else, maybe done by a nation-state, maybe not; but the headlines will always speak about cyberwar. But most of those cases are not about war: most of those cases are about espionage and spying. And espionage isn't war, and spying isn't war. But what happened on Christmas Eve's eve in Ukraine was something different.

So we are entering a new era. We just got rid of the last arms race, the nuclear arms race, and now it seems we're entering the next arms race, the cyber arms race; and I believe that we've seen only the very beginning of this arms race. It will most likely go on for decades. And that attack was possible because everything around us is being controlled by computers. Every single factory is being run by computers. Every single power plant, every single food processing plant. And we all know that this is extending into our homes with the IOT revolution. You can't imagine a device so small or insignificant that it wouldn't be online. Eventually, everything will be online – your toasters will be online, whether you like it or not, whether it makes any sense or not: your goddamn toasters will be online. Which means they will be a vector for attackers.

Attackers aren't really interested in hacking toasters, but if the toaster will leak your Wi-Fi password they will certainly use that as a way of getting into your home network or into your enterprise network. They are becoming vectors for attackers, and that's why we have to secure them, and that is hard.

The lesson here is that whenever you hear the word "smart" what you should be thinking about is "exploitable". You know: a smart factory, exploitable factory; smart grid, exploitable grid; smart car, smartwatch, smartphone. That's what it means: it's programmable, which means it's exploitable.

But don't get me wrong. I do believe that the Internet is the greatest thing that has happened to mankind during our generations. When there will be history books written about this time, a hundred years from now, the thing that they will highlight as the most important thing is that we were the people that first got online. The Internet was born, and yes - the Internet was born, and when it was born it created problems for us. We no longer have to worry about just criminals who are close to us; we have to worry about criminals who can be anywhere on the planet, but clearly it has brought us more good than bad. So much connectivity, so much business, so much entertainment: clearly more good than bad. And I wish – I hope – that eventually we can say the same thing about the Internet of things as well. I hope it will eventually bring us more good than bad, just like the Internet has brought us more good than bad. Thank you very much.


Traduzione (grazie ancora ai commentatori che hanno contribuito):


Mi chiamo Mikko e sono un cacciatore di hacker. Be’, in realtà vado a caccia degli hacker cattivi, perché ci sono molti tipi diversi di hacker. Alcuni sono buoni. Alcuni ci piacciono, altri no. Nel mio lavoro, quando vai a caccia di hacker, analizzi il malware e fai reverse engineering degli attacchi online, incontri persone di vario genere. Noi ci infiltriamo abitualmente nei forum nel deep web per capire cosa sta succedendo in questo momento nel mondo delle bande di criminali informatici organizzati e per cercare di capire quale sarà il loro prossimo passo. Per cui lasciate che vi racconti qualche storia sul genere di gente che incontro nel mio lavoro.

Mi capita spesso di incontrare gli aggressori stessi, perché collaboriamo con le forze dell'ordine per le indagini, e un paio di anni fa ho incontrato una persona, Sorin, che viene dalla Romania, in Europa orientale. Vive in un piccolo villaggio a un centinaio di chilometri a est di Bucarest, la capitale della Romania. Gestiva delle botnet: faceva soldi online con il crimine informatico. Le sue botnet avevano dei componenti keylogger per rubare i numeri delle carte di credito delle persone. Rubava i numeri delle carte di credito della gente mentre questa gente li digitava sui propri computer infetti durante gli acquisti online. Lo hanno beccato, incriminato e condannato: in questo momento è in carcere. Ma quando l'ho incontrato e gli ho parlato gli ho chiesto il perché. Perché hai scelto questa carriera? Perché ti sei dato al crimine?

Era chiaramente un tipo sveglio, era un programmatore, avrebbe potuto fare altro. Mi ha detto che, be', non vedeva altre possibilità. Nel paesino dove viveva non c'era lavoro, non c'erano delle startup. Per lui il modo più facile di trasformare il suo talento in un reddito era darsi al crimine. La lezione, qui, è che molti di questi problemi con i quali stiamo lottando non sono in realtà tecnici, ma sociali. Se hai gente con talento ma senza opportunità, finisci per avere problemi come il crimine informatico. E questo è un problema difficile da sistemare. È facile risolvere i problemi tecnici; è difficile risolvere quelli sociali.

Quando mi occupo di sicurezza informatica incontro anche tante vittime. Un paio di mesi fa ho incontrato questo tizio, un CEO di una startup a San Francisco. Gli ho parlato perché la sua azienda aveva un grosso problema: uno dei suoi dipendenti si era infettato con un trojan che chiede un riscatto e il computer di quel dipendente, il suo laptop, era stato cifrato dal trojan. Non solo: aveva montato tutte le condivisioni che quell'utente poteva vedere nella propria rete e aveva cifrato anche quelle, comprese le condivisioni su Dropbox. Questi trojan fanno soldi impedendoti di accedere ai tuoi dati. Ti prendi un trojan come Reveton o Cryptowall o Petya, che ti cifra i file e poi ti chiede un pagamento in bitcoin per farteli riavere.

E se paghi il riscatto – se lo fai davvero – come ha fatto questa persona, riavrai i tuoi file. Queste bande di criminali informatici che lavorano con i trojan con riscatto [ransomware, n.d.t.] mantengono praticamente sempre l'impegno preso. Se paghi, riavrai i tuoi file. Per cui perlomeno sono criminali onesti. La ragione per cui lo sono è che hanno bisogno di una buona reputazione. Quasi tutte le vittime di un trojan con riscatto per prima cosa cercano una soluzione su Google. Per esempio, ti prendi Teslacrypt o Hydracrypt e vai su Google a cercare "Teslacrypt aiuto". Quando lo fai, trovi le vittime precedenti, persone infettate dallo stesso trojan magari una settimana fa, che ti raccontano la propria storia: "Mi sono infettato, la cifratura che usavano era troppo robusta, non riuscivamo a trovare un modo per decifrare i file, non avevo un backup, per cui ho pagato due bitcoin per riavere i miei file, e non appena ho pagato mi hanno dato un programma che ha davvero decifrato tutti i miei file; ho riavuto tutto, mi hanno fatto assistenza – gente simpatica, la raccomanderei, cinque su cinque". Per cui a questa gente serve una buona reputazione in modo che anche le vittime future paghino.

Ora la mega-tendenza che ha reso i trojan con riscatto uno dei più grandi mal di testa, uno dei più grandi problemi che abbiamo in questo momento, è il bitcoin: il fatto che ora, per la prima volta, i criminali online hanno un modo di ricevere la paga senza che noi possiamo seguire il denaro e quindi catturarli. Questo è il problema. Ora questo non significa che il bitcoin sia un male, perché il bitcoin non è male, o qualsiasi altra valuta basata sulla blockchain, non sono un male. Sono solo strumenti: proprio come è neutrale il denaro contante. Voglio dire, tutti portiamo contanti in tasca, ma soprattutto i criminali amano i contanti, perché per esempio il traffico di droga nel mondo reale è fatto con denaro contante. È un po’ difficile comprare cocaina con una carta di credito – o almeno così mi è stato detto. Ed esattamente per lo stesso scopo i criminali online utilizzano l'equivalente online del denaro contante: il bitcoin.

Ma la differenza più importante tra i contanti del mondo reale ed il contante virtuale è che i bitcoin possono essere tracciati fino ad un certo punto. I bitcoin sono basati su una blockchain. La blockchain è un registro pubblico. E quando dico pubblico, intendo veramente pubblico. Talmente pubblico che chiunque – intendo ognuno di voi – può andare online oggi e scaricare tutta la blockchain dei bitcoin, che includerà ogni singola transazione che sia mai stata fatta con i bitcoin. Non potreste vedere chi ha mandato soldi a chi, ma vedreste le transazioni – tipo quanti soldi, quando e da quale portafogli verso quale altro portafogli. Questo significa che possiamo davvero tracciare l'ammontare di denaro che i criminali informatici stanno muovendo: non chi sono, ma quanti soldi muovono. E ne risulta che alcune di queste gang del trojan con riscatto stanno facendo soldi a palate.

Per esempio, i portafogli di bitcoin delle bande che usano Cryptowall hanno avuto un traffico del valore di più di 300 milioni di dollari negli ultimi due anni. Trecento milioni di dollari. Se fosse un'azienda invece che una banda di criminali, sarebbe probabilmente un “unicorno” [una start-up valutata oltre un miliardo di dollari, n.d.t.]. Se fai 300 milioni di ricavi e hai profitti elevati, probabilmente sei un unicorno. Unicorni di cybercrimine: abbiamo gli unicorni di cybercrimine. La lezione da imparare è che l'ammontare di denaro che muovono queste bande del crimine informatico online è sorprendentemente grande. Il cybercrimine organizzato è sorprendentemente grande.

Lavoriamo anche regolarmente con la polizia e ricordo un incontro che ho avuto con i funzionari delle forze dell'ordine in Brasile a São Paulo; una piccola unità di poliziotti che lavoravano per la Polizia Criminale Centrale di São Paulo e cercavano di risolvere i casi di cybercrimine in Brasile. São Paulo, come città, è un punto caldo planetario. Per esempio, per anni São Paulo è stata la capitale per i trojan bancari: venivano creati più trojan bancari a São Paulo che in qualsiasi altro luogo nel mondo.

Così quando li ho incontrati immagino di essere stato un po' l'europeo ignorante che arriva e dice alla gente quali problemi ha, ma mi hanno davvero insegnato una lezione, in quanto dopo aver chiacchierato per un po' e dopo aver detto loro che tipo di crimini vedevamo partire dal loro Paese, uno di loro mi ha detto che, beh, sì, capiscono. Sanno di avere un problema. Sanno di avere molto crimine informatico: lo capiscono. Ma quello che dovevo capire io era che São Paulo è anche una delle capitali degli omicidi nel mondo. Quindi a cosa dovrebbero dedicare le proprie esigue risorse le forze dell'ordine? A combattere il crimine online, che è sicuramente un problema, o a combattere i crimini nei quali le persone muoiono davvero? Quando si guarda la situazione da questo punto di vista è abbastanza ovvio decidere dove indirizzare le proprie risicate risorse. La lezione qui è che i problemi sembrano differenti, diventano molto più piccoli quando li guardi da molto lontano. Ma quando ti avvicini i problemi cambiano aspetto.

L'anno scorso ho incontrato una donna in Australia che non era una vittima di un'intrusione informatica. Perlomeno non direttamente. Non era lei ad aver subito una violazione informatica, però era la vittima di una fuga di dati. Aveva un account presso Ashley Madison. Aveva un account presso AshleyMadison.com, il sito web per le infedeltà coniugali. E quando il database di Ashley Madison è stato trafugato e pubblicato, alla fine dell'anno scorso, è stata resa pubblica anche l'identità di questa donna. Il fatto che c'era anche lei è diventato pubblico. E naturalmente la voce s'è sparsa: l'hanno saputo in ufficio, l'hanno saputo i vicini di casa. Molto imbarazzante, ovviamente. Ma la ragione per la quale la donna era su Ashley Madison non era l'adulterio. Anzi.

Un paio d'anni prima aveva avuto sospetti d'infedeltà sul marito. Sospettava che lui la tradisse. Lei si era convinta che lui avesse un account presso Ashley Madison e così era andata su Ashley Madison per cercarlo. Aveva registrato un account nel tentativo di trovarlo ma non c'era riuscita. Poi aveva dimenticato tutta la faccenda, fino a quando i vicini hanno cominciato a spettegolare sul fatto che lei era una utente di Ashley Madison. La lezione, in questo caso, è che non dovremmo saltare alle conclusioni.

Tutto quello che ci circonda è sempre più basato su computer e software. Ora non proteggiamo più soltanto i computer: proteggiamo praticamente l'intera infrastruttura. E questo è risultato molto chiaro quando ho incontrato questa persona che lavora per un'azienda che si chiama Prykarpattya Oblenergo; un'azienda in Ucraina, con sede a Kiev. Gestisce la rete elettrica per la maggior parte dell'Ucraina. E quest'azienda è stata colpita da un attacco informatico il giorno prima della vigilia di Natale dell'anno scorso, il 23 dicembre.

Il 23 dicembre uno degli operatori si è accorto che il mouse non gli funzionava. È cominciata così. Forse il mouse era rotto, magari la batteria era difettosa. Ma poi l'operatore si è reso conto che anche se il suo mouse non funzionava, il cursore si stava spostando lo stesso sullo schermo. E questo è un cattivo segno. Tenetevelo bene in mente: se il vostro mouse non funziona ma il cursore si sta ancora muovendo, avete un problema. E loro avevano un problema: lui era stato disconnesso dalla propria postazione di lavoro Windows, usata per controllare la rete elettrica e azionare i relè che controllano il flusso di elettricità in Ucraina. E non era il solo: tutti gli operatori nella stessa sala erano stati disconnessi dai propri sistemi. Per cui hanno assistito inermi mentre qualcun altro usava i loro computer per spegnere le fonti d'energia di riserva e poi spegnere i relè, col risultato diretto di togliere la corrente in varie parti dell'Ucraina.

All'operatore fantasma è bastato mezzo minuto per spegnere la corrente a 200.000 persone. A un certo punto ha disattivato anche il relè che controllava l'energia elettrica dell'edificio nel quale si trovavano gli operatori, lasciandoli così al buio.

Questo blackout non è durato per sempre: la corrente è stata ripristinata nel giro di un paio d'ore. Non tramite i computer, perché l'aggressore ignoto aveva sovrascritto il firmware sui dispositivi di controllo e quindi non c'era modo di ripristinare: sono dovuti andare fisicamente a commutare a mano i relè. Ma l'hanno fatto e sono riusciti a ridare elettricità alla maggior parte del paese in giornata. Che è una buona cosa, perché era dicembre e le temperature possono diventare davvero gelide a dicembre: è chiaro che la cosa sarebbe potuta diventare ben più seria se l'energia fosse stata interrotta per una settimana e la gente avesse iniziato a morire man mano che calavano le temperature. E mentre era in corso questo attacco l'azienda è stata colpita da un attacco di denial of service che ha sovraccaricato il centralino telefonico. Squillavano tutti i telefoni in continuazione. Chi aveva lanciato l'attacco aveva contemporaneamente avviato un attacco di blocco del servizio telefonico, forse per sabotare il lavoro o semplicemente per impedire alle persone effettivamente colpite dal blackout di chiamare l'azienda e segnalarlo. E tutte quelle chiamate che arrivavano all'azienda in Ucraina arrivavano dalla Russia. Provenivano dal prefisso telefonico di Mosca.

Tutto questo è importante, perché l'Ucraina e la Russia sono in guerra fra loro. I russi non la chiamano guerra, ma la Russia si è annessa una parte dell'Ucraina e l'ha unita al proprio paese. Con la forza. Io questa la chiamo guerra. Quindi quando hai una cosa di questo genere che avviene fra due paesi che sono in guerra fra loro, be', credo che dovremmo veramente chiamarla cyberguerra.

“Cyberguerra” è un termine che non mi è mai piaciuti, perché quasi sempre viene usato a sproposito. Per esempio, c'è un attacco di denial of service a caso da qualche parte, oppure c'è un attacco di spionaggio da qualche altra parte, magari ad opera di uno stato oppure no; ma i titoli dei giornali parlano sempre di cyberguerra. Eppure la maggior parte di questi casi non riguarda una guerra: riguarda lo spionaggio e la sorveglianza. E lo spionaggio e la sorveglianza non sono guerra. Ma quello che è successo alla vigilia della vigilia di Natale è stato qualcosa di diverso.

Stiamo quindi entrando in una nuova era. Ci siamo appena sbarazzati dell'ultima corsa agli armamenti, quella nucleare, e ora sembra che stiamo iniziando la prossima corsa, quella alle armi informatiche, e credo che ne abbiamo visto soltanto l'inizio. Probabilmente andrà avanti per decenni. Quell'attacco è stato possibile perché tutto intorno a noi è controllato dai computer. Ogni fabbrica è gestita da computer. Ogni singola centrale elettrica, ogni impianto di trattamento degli alimenti. E sappiamo tutti che questa tendenza sta entrando nelle nostre case con la rivoluzione dell'Internet delle Cose. Non c'è dispositivo troppo piccolo o troppo insignificante per non metterlo online. Prima o poi tutto sarà online: saranno online i vostri tostapane, che vi piaccia o no, che abbia senso o no. I vostri stramaledetti tostapane saranno online. E questo vuol dire che saranno un vettore per gli aggressori.

Gli aggressori in realtà non sono interessati a violare i tostapane, ma se il tostapane si fa sfuggire la vostra password del Wi-Fi lo useranno certamente come modo per entrare nella vostra rete domestica o aziendale. Stanno diventando vettori per gli aggressori, ed è per questo che dobbiamo metterli in sicurezza, e questo è difficile.

La lezione in questo caso è che tutte le volte che sentite la parola "smart" dovreste pensare "vulnerabile". Nel senso di "fabbrica smart", "fabbrica vulnerabile"; "rete elettrica smart", "rete elettrica vulnerabile"; smart car, smartwatch, smartphone. Questo è il significato: è programmabile, quindi è vulnerabile.

Ma non fraintendetemi. Credo fermamente che Internet sia la cosa più grande capitata all'umanità nel corso delle nostre generazioni. Quando verranno scritti i libri di storia a proposito del nostro tempo, fra cent'anni, quello che metteranno in evidenza è che noi siamo stati quelli che per primi sono andati online. È nata Internet, e quando è nata ci ha causato dei problemi. Non dobbiamo più preoccuparci soltanto dei criminali che ci stanno vicino; dobbiamo preoccuparci anche per criminali che possono essere ovunque nel mondo. Ma è chiaro che ci ha portato più benefici che danni. Così tanta connettività, così tanti affari, così tanto intrattenimento: chiaramente più bene che male. E desidero – spero – che prima o poi potremo dire la stessa cosa a proposito dell'Internet delle cose. Spero che ci porterà più bene che male, proprio come Internet ci ha dato più bene che male. Grazie.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (31)
In poche parole, qualsiasi cosa si attacchi ad un server fuori da casa vostra, può essere interrogata da un malintenzionato. Nessuno può garantirvi che sia impossibile.
Non solo darà le risposte senza obbiettare, ma andrà a cercare le informazioni a disposizione degli altri apparecchi che impiegate, ed anche loro non muoveranno obbiezioni.
ualsiasi cosa si attacchi ad un server fuori da casa vostra, può essere interrogata da un malintenzionato
In realta' qualsiasi cosa connessa ad internet puo' essere interrogata e sistematicamente viene fatto. Nulla e' inviolabile, ma siccome il numero di bersagli e' estremamente elevato, basta un livello di protezione accettabile per essere (relativamente) al sicuro. Poi ovvio se qualcuno ce l'ha proprio con te...
Non solo darà le risposte senza obbiettare, ma andrà a cercare le informazioni a disposizione degli altri apparecchi che impiegate, ed anche loro non muoveranno obbiezioni.
Il problema e' che gli apparati "tradizionali" (aka server/pc) di solito vengono monitorati adeguatamente, poi c'e' un sacco di altri dispositivi connessi (vedi hacked team e le telecamere di sicurezza) che sono connessi senza una reale protezione e costituiscono l'entry point per chiunque sappia passarci...
grazie mille, veramente molto interessante!
Dopotutto sono macchine che fanno semplicemente quello per cui sono state costruite..
La cyber-guerra è da brividi (letteralmente, nel caso ucraino di fine dicembre). Il cursore del mouse che si muove da solo e va a spegnere parti di un impianto, compreso l'edificio in cui si lavora, poi i telefoni aziendali che squillano senza motivo.
Se questo succede in un grande areoporto o stazione ferroviaria, il rischio di incidenti a catena è alto.
L'unica cosa che non mi spiego è come i criminali russi siano riusciti a sovrascrivere il firmware dei PC, non dovrebbe essere una parte del software non-riscrivibile se non dal produttore?
facciamoci una domanda e diamoci una risposta,
Il malware smuove miliardi di $$$

PS x il "dating" bella scusa però ahah
Beh se il firmware è flashabile lo può fare chiunque, dipende da quale firmware e di cosa, ma per esempio se già rovini il BIOS del computer, dopo non lo riaccendi.

Basterebbe non collegare a internet niente che faccia cose critiche per mitigare il rischio almeno in parte.

PS con l'ultimo chrome su Mac non carica i commenti e la console degli errori dice qualcosa sull'inserire il dominio delle impostazioni dell'app, qualsiasi cosa significhi.
Io ricordo di un attacco molti anni addietro. Non ricordo chi fosse il bersaglio ma ricordo attraverso cosa attaccarono: una stampante laser Hp di fascia alta che aveva un'interfaccia telnet senza protezione o con impostata la password di default.

Spesso, quando si pensa alla sicurezza, si guarda solo da una parte e ci si scorda di altri dispositivi come, per esempio, i telefonini troppo disinvoltamente allacciati al WI-FI aziendale.
Eurofascysm,

Domanda retorica a risposta blanda. Manca un dato fondamentale su quanto dici: l'illiceità di quei miliardi di $$$.

Non è la stessa cosa che vendere scarpe o cibo. Sono soldi derivanti dall'estorsione. Se per te sono la stessa cosa, dovresti dare un'altra occhiata al tuo manuale dell'etica.
Apporto il mio modesto contributo per la collettività! :)
Non è molto, ma se ognuno di noi ne fa un pezzetto, la traduzione finisce in un batter d'occhio!

NB: Sono partito da dove ti sei fermato tu, Paolo!


____

Ora la mega-tendenza che ha reso i trojan con riscatto uno dei più grandi mal di testa, uno dei più grandi problemi che abbiamo in questo momento, è il bitcoin: il fatto che ora, per la prima volta, i criminali online hanno maniera di ottenere "lo stipendio" (payday n.d.t.) senza lasciarci in grado di seguire il denaro e quindi catturarli.
Questo è il problema. Ora questo non significa che il bitcoin sia un male, perché il bitcoin non è male, o qualsiasi altra valuta basata sulla "catena di blocchi" (blockchain n.d.t.), che non sono male. Sono solo strumenti: come denaro contante, sono neutrali. Voglio dire, tutti portiamo contanti in tasca, ma soprattutto i criminali amano contanti, perché per esempio, il traffico di droga nel mondo reale è fatto con denaro contante.
È un po difficile comprare cocaina con una carta di credito - o almeno così mi è stato detto. Ed esattamente per lo stesso scopo i criminali online utilizzano l'equivalente online di denaro contante: il bitcoin.

____
Da Diego Laurenti in poi:


----------------------------------------

Ma la differenza più importante tra i soldi contanti del mondo reale ed il contante virtuale è che i bitcoin possono essere tracciati fino ad un certo punto. I bitcoin sono basati su una Blockchain. Blockchain è un registro pubblico. E quando dico pubblico, intendo veramente pubblico. Talmente pubblico che chiunque - intendo, ognuno di voi - può andare online oggi e scaricare tutta la Blockchain dei bitcoin, che includerebbe qualsiasi singola transazione che sia mai stata fatta con i bitcoin. Ora non potreste vedere chi manda soldi a chi, ma vedreste le transazioni - tipo quanti soldi, quando e da quale portafoglio verso quale altro portafoglio. Questo significa che possiamo davvero tracciare l'ammontare di denaro che i criminali informatici stanno muovendo: non chi sono, ma quanto muovono. E ne risulta che alcune di queste gang del riscatto digitale stanno facendo soldi a palate.

Per esempio, il portafoglio della gang di Cryptowall ha avuto un traffico del valore di più di 300 milioni di dollari americani solo negli ultimi due anni. Trecento milioni di dollari. Se fosse un'azienda invece che una banda di criminali, sarebbe probabilmente una mosca bianca. Se fate 300 milioni di entrate ad alto profitto, probabilmente sareste un'azienda unica nel suo genere. Mosche bianche del cybercrimine: abbiamo le mosche bianche del cybercrimine. La lezione da imparare è che l'ammontare di denaro che muovono queste bande del crimine digitale è sorprendetemente grande. Il cybercrimine organizzato è enorme.

Lavoriamo anche regolarmente con i poliziotti e ricordo un meeting avuto con gli ufficiali di Polizia in Brasile a São Paulo; una piccola unità di poliziotti che lavoravano per la Polizia Criminale Centrale di São Paulo che cercavano di risolvere i casi di cybercrimine in Brasile. São Paulo come città è un punto caldo nel mondo. Per anni São Paulo, ad esempio, è stata la capitale per i trojan bancari: venivano creati più trojan bancari a São Paulo che in qualsiasi altro luogo nel mondo.

Quindi, quando incontrai questi ragazzi credo di essere stato visto come l'europeo ignorante che arriva e dice alle persone quali problemi hanno, ma mi hanno davvero insegnato una lezione, in quanto dopo aver chiacchierato per un po' e mentre dicevo ai poliziotti cosa vedevamo sul tipo di crimini che originavano dal loro Paese, uno dei poliziotti mi disse che, beh, sì, lo sapevano. Sapevano di avere un problema. Sapevano perfettamente che c'erano un sacco di cybercriminali lì in giro: lo capivano. Ma quello che dovevo capire io era che São Paulo è anche una delle capitali degli omicidi nel mondo. Quindi dove esattamente dovrebbero mettere a disposizione le loro esigue risorse le forze dell'ordine? A combattere il crimine online, che è sicuramente un problema o a combattere i crimini dove le persone muoiono davvero? Quando si guarda la situazione sotto questo punto di vista è abbastanza ovvio decidere dove indirizzare le risicate risorse. La lezione qui è che i problemi sembrano differenti, diventano molto più piccoli quando li si guarda da molto lontano. Ma quando ci si avvicina abbastanza il problema è diverso.


-------------------------------------------------
Continua

--------------------------------------



Poi l'anno scorso ho incontrato questa signora in Australia. Non era una vera vittima di un hackeraggio. Non direttamente. Non è stata attaccata personalmente: era vittima di una fuga di dati. Risultava che avesse un account su Ashley Madison. Aveva un account su AshleyMadison.com, il sito di incontri clandestini. E quando il database di AshleyMadison.com fu bucato ed i dati pubblicati, più tardi quest'anno passato, la sua identità, il fatto che lei fosse in quella lista, divenne pubblico anch'esso. E naturalmente la parola si sparse: persone dell'ufficio ne vennero a conoscenza, i vicini pure. Molto imbarazzante come si può immaginare. Ad ogni modo la ragione per la quale era su Ashley Madison non era perché stava cercando di tradire il marito. Piuttosto il contrario.


Un paio d'anni prima sospettò della fedeltà del marito. Ebbe la sensazione che il marito la tradisse. Ed era convinta che egli avesse un account su Ashley Madison, quindi andò sul sito per provare a cercarlo, ma non lo trovò mai. Poi se ne dimenticò completamente, fino al momento in cui i vicini cominciarono a spettegolare sul fatto che lei fosse una utente di Ashley Madison. Ora la lezione in questo caso è che non dovremmo saltare subito alle conclusioni.

Oggi qualsiasi cosa ci circondi è sempre più gestita da computer e software. Non sono solamente i computer che stiamo proteggendo ormai: piuttosto è l'intera infrastruttura. E questo divenne molto chiaro quando incontrai questo ragazzo che lavorava per un'azienda chiamata Prykarpattya Oblenergo; è una compagnia ucraina con gli uffici centrali a Kiev. E' un'azienda che gestisce la griglia elettrica per gran parte dell'Ucraina. E questa azienda ha subito un cyber-attacco alla vigilia di Santo Stefano scorso, il 23 dicembre.

Quello che è successo in pratica il 23 dicembre è stato che uno degli operatori si è accorto che il suo mouse non funzionava più. Il suo mouse non andava: ecco com'è incominciato. Forse si è rotto, forse ha finito la batteria, ma poi l'operatore si accorge che nonostante il suo mouse non funzioni, il cursore si muoveva da solo sullo schermo. E questo è un brutto segno. Scolpitelo nella mente: se il vostro mouse non funziona ma il cursore si muove ancora, avete un problema. E loro ebbero un problema. E' risultato che l'operatore si trovò estromesso/chiuso fuori dalla sua stessa postazione: una postazione Windows che era usata per gestire la griglia elettrica - ovvero gestiva direttamente i relais che controllano il flusso di corrente elettrica in Ucraina. E non era il solo: tutti gli operatori nella stessa stanza erano estromessi dai loro sistemi. Quindi potevano solo stare li ad osservare mentre qualcun altro stava usando i loro computer per spegnere i generatori d'emergenza e poi spegnere i relais, il che si tradusse in un taglio di energia elettrica in varie parti dell'Ucraina.

All'operatore fantasma è bastato solo mezzo minuto per lasciare 200.000 persone senza energia elettrica, solo cliccando sul relais che controllava l'energia elettrica dello stabile dove erano gli operatori stessi, che vennero quindi lasciati al buio.


--------------------------------------------------
@Guido Pisano

Se tu fai una catena con un anello di acciaio, uno di iridio, uno di teflon, uno di lana di cavallo ed uno di grissino, tutta quella catena avrà la resistenza del grissino.

è vero che il numero dei bersagli è estremamente elevato, ma anche la velocità con cui un ragnetto passa da un router all'altro a "tastar bicipiti" è estremamente elevata.
Stupidocane,

grazie! Sto proseguendo anch'io la traduzione e ho già messo online la parte che ho fatto. Qualche minuto e metto online anche il finale.
@Guido Pisano

E poi c'è un'informazione, che è fra le più importanti, che risiede nel modello di una centralina: la "facoltosità" del proprietario.

Se a rispondere ad un ping è l'alzacristalli di una Lamborghini del 2016, l'indagine più importante è già risolta nel momento in cui il ragnetto riferisce l'esito del ping.
da ignorante in inglese, posso solo farvi notare che "unicorn" è un termine che si usa per indicare start up valutate oltre 1 miliardo di dollari.
Paolo,

Prego. Onorato di far parte della traduzione. Naturalmente, non a livelli del Maestro... ;) Ti dirò che inaspettatamente trovo la traduzione interessante ed appassionante, soprattutto la parte dell'interpretazione e della resa dei concetti.

Quella dell'"unicorn" proprio non me la aspettavo. Menzione a PierDG per aver colto la sfumatura. L'avevo interpretato come "mosca bianca". I reconditi e per me ancora inesplicabili misteri delle locuzioni e dei phrasal verbs. Evidentemente ho ancora molta strada da fare.:D

Puffolotti,

Il marker del portafoglio insito nella centralina può anche essere faLRocco. Non è infatti inconsueto nel nostro italico stivale trovare guapp'e cartone che girano col Lambo a noleggio e non hanno nemmeno i soldi per pagare l'affitto di casa. O il conto al bar.



Ad ogni modo, confrontando le traduzioni, la prima cosa che mi salta all'occhio è la mancanza di linearità nei tempi verbali. Ho scritto di getto e riletto troppo velocemente. Avrei dovuto rimetterli a posto meglio.
@Stupidocane

Basta vedere se distrugge freni und frizione per sparagnare benzina.
@Stupidocane

Comunque le pubblicità personalizzate calcolate dall'analisi della mia attività sul web mi hanno perfettamente persuaso che per la sicurezza, nessuna informazione va considerata innocua.
Puffolotti, non credo che una supercar moderna ce l'abbia ancora la frizione (intesa come "pedale della f.") come credo sia altrettanto difficile distruggere i freni carboceramici scendendo dallo Stelvio in folle... Dopotutto se uno deve proprio fare lo sborone, vorrai mica che noleggi il GT2 con i freni in acciaio da pezzente? Che figura ci fa con gli amici al bar? Vuoi che passi per uno che non ha sti 16000 euro per i freni carboceramici ed altri 20000 per il cambio doppelkupplung? Come fa a fare la staccata davanti alle fioriere del bar sennò? Mi arriva lungo e gli tocca parcheggiare sul posto per i portatori di handicap, che gli amici ridono strozzandosi con lo spritz e le gnocche sono costrette a fare la bocca schifata che gli tirano i punti in faccia...

E comunque non ho capito il tuo intervento sulle informazioni personali. O meglio, sono d'accordo sul fatto di metterne online il meno possibile ma non faccio il collegamento con il resto...
Cifre summenzionate sugli optionalses (un optional, due sono optionals, più di due optionalses) totalmente sparate a gatto anglo-ceco.
Piccolo aneddoto del binomio ricco-supercar. Anni fa un fiGGo della zona lacustre qui sul Garda, si fece la tanto agognata Porsche Cabrio. Due giorni dopo averla ritirata era a piedi. Il giorno prima aveva scarrozzato le "belle" del luogo verso un ameno ristorantino con vista lago. Solo che il ritorno l'ha fatto tutto con il freno a mano tirato. Dischi cotti und pastiglie biscottate.

FiGGo: "Ehchecazz... mi sembrava che prima andasse di più!!!"
FiGGhe: "UIIIIIII!!!"
FiGGo: "Ma non sentite anche voi un odore strano?"
FiGGhe: "UII.... IIII!!"


@Stupidocane

Per una curiosa coincidenza...
...Sono i prezzi in marchi tedeschi di quei componenti + supporto sulla dodge viper nel videogioco GT2 per la psx.
Puffolotti,

Hai visto mai...
Mi sfugge una cosa: l'hacker citato nell'articolo stava togliendo corrente usando il PC del tecnico oppure il PC del tecnico era solo il monitor di un sistema di cui l'hacker aveva preso il controllo?
C'è una soluzione definitiva a tutti questi problemi, e si chiama "tecnologia del millenovecento", una cosa che era più che sufficiente a far marciare speditamente un mondo con soli 5 miliardi di persone. Basta non dimenticarsi del tutto come si fa.
Jonny Dio,

C'è una soluzione definitiva a tutti questi problemi, e si chiama "tecnologia del millenovecento", una cosa che era più che sufficiente a far marciare speditamente un mondo con soli 5 miliardi di persone.

Se per "far marciare speditamente" intendi "tenere nella povertà più misera quattro miliardi di persone per dare lussi al restante miliardo ammazzando il pianeta", sì, era più che sufficiente.
E' stato un onore, caro Paolo!