05/06/2015 di Redazione

Tre mosse indispensabili per diventare un cybercriminale

Sviluppare una motivazione, definire gli strumenti e scovare un’opportunità: questi i passaggi obbligati per diventare un “cattivo del Web”. Roland Dobbins, principal engineer, Asert team di Arbor Networks, spiega come alcune dinamiche del mondo del fumet

immagine.jpg

Potrebbe assomigliare a un fumetto, a una trama fatta di eroi, antagonisti, inseguimenti e colpi di scena. La lotta al crimine informatico è anche un po’ questo, ma non è fiction. Il parallelismo tra cybercrimine e letteratura a fumetti nasce dalla penna di Roland Dobbins, principal engineer, Asert team di Arbor Networks, che comincia con una digressione sull’arte dei comics per introdurre alcune delle dinamiche valide anche dello scenario cybercriminale.
Anche hacker, nichilisti digitali e ladri di dati sono figure capaci di rigenerarsi e mutare nel tempo. E anche loro, come gli eroi e antieroi di Marvel e DC Comics, trovano nuove interpretazioni e variazioni sul tema nei sequel e nelle trasposizioni filmiche del fumetto originario. A questo excursus segue un’analisi in tre capitoli – motivazione, strumenti, opportunità – che spiega quanto sia facile, al giorno d’oggi, diventare un “cattivo di Internet”. L’esempio citato è quello di Dd4bc: una banda che agisce attraverso attacchi DDoS per colpire casinò online e siti di scommesse, ma anche istituti finanziari di alto profilo.

 

 


Non esiste fumetto o graphic novel in cui vi sia alcunché di immutabile: buoni e cattivi non scompaiono mai veramente, ma in un modo o nell’altro tornano sempre sulla scena o vengono riproposti in versioni profondamente o lievemente diverse all’interno di linee temporali alternative, e così via. L’universo cinematografico Marvel, comprendente finora i film dedicati a Capitan America, Thor, Hulk, Iron Man e agli Avengers, ne è un buon esempio. Dc sta facendo lo stesso con Flash e Green Arrow, mentre nuove incarnazioni di Batman e Superman combatteranno tra di loro in un blockbuster che dovrebbe uscire il prossimo anno.

Queste nuove varianti di vecchie storie proliferano nelle differenti versioni di ciascun personaggio: variazioni sui medesimi temi istantaneamente riconoscibili da parte dei vecchi fan e facilmente memorizzabili da parte di quelli nuovi. La rivisitazione della storia dell’origine di Iron Man dovuta a Tony Stark nel primo film dell’omonima serie ne è un esempio; l’origine del supercattivo Mystique nella serie dei film X-Men ne è un altro.

Ciò non significa che non vi sia dell’innovazione. Frank Miller, con il suo Ritorno del Cavaliere Nero, ha spostato radicalmente la percezione di Batman da parte del pubblico dal paradigma di commedia degli anni Sessanta, diffuso dalla serie televisiva dell’epoca, verso un’interpretazione molto più dark della sofferta trasformazione di Bruce Wayne in Batman nel corso di due (presto saranno tre) rifacimenti successivi del ritratto cinematografico di questo supereroe. I Watchmen di Alan Moore hanno abilmente sovvertito le comprovate formule dei supereroi e delle loro nemesi supercattive, trasformando gli uni negli altri in una serie di inversioni di personaggi che sono tra le più forti e memorabili mai ritrovate in qualunque forma di letteratura. Con Marvels, Alex Ross e Kurt Busiek ci hanno riportato all’epoca degli albori di molti dei principali supereroi Marvel offrendoci un punto di vista assai diverso da quello consueto, con la conseguenza di alterare significativamente la percezione delle storie e del significato di questi personaggi. Ross e Mark Waid hanno fatto lo stesso con Superman, Wonder Woman e Capitan Marvel (insieme con diversi altri personaggi pressoché dimenticati) nella serie DC Kingdom Come.

Dopodiché è arrivato Mark Millar, e ha sovvertito tutto quel che credevamo di conoscere circa la dicotomia supereroe/supercattivo nel suo milieu Millarworld oltre che in alcune serie Marvel e DC più affermate. Millar ha fatto uso di molti degli stessi concetti base con personaggi e situazioni di genere più estremo, portando a risultati familiari nel tema ma estremamente diversi in quanto a dettagli.

A seconda delle inclinazioni e sensibilità di ciascuno, le somiglianze tematiche e archetipali tra le storie narrate da fumetti e graphic novel, da una parte, e lo stato della sicurezza di numerose risorse e reti connesse a Internet, dall’altra, possono risultare divertenti, deprimenti o stranamente interessanti. O una qualche combinazione di tutte e tre. Da questo fatto emerge come sia decisamente più semplice diventare un “supercattivo su Internet” di quanto non lo sia mai stato nei fumetti.

 



Mossa numero uno: possedere (o inventarsi) un motivo
Che sia per ideologia, per avidità, per dispute legate a giochi online o per puro e semplice nichilismo, esiste oggi su Internet un’infinità di malintenzionati effettivi o potenziali (ultima stima della popolazione collegata: tre miliardi e in crescita) molti dei quali si sentono in dovere, per motivi reali o immaginari, di regolare una quantità di conti pressoché infinita.

Indipendentemente dal segmento, dal focus, dal mercato, dai servizi o dall’utenza di un’organizzazione, là fuori c’è sicuramente qualcuno che sarà felice di poterne impedire la presenza su Internet. Non importa chi o perché, è sufficiente sapere che personaggi del genere esistono e a quanto pare sono una caratteristica permanente della vita su Internet da sempre, fino anche a tornare indietro alle sue radici legate alla Guerra Fredda, ad Arpanet e ad Irc, apparentemente destinata a non abbandonarci mai.

Mossa numero due: sviluppare o acquisire i mezzi
Indipendentemente dal fatto che un nemico sia un grande esperto di reti e applicazioni piuttosto che un banale “script kiddie”, al mondo esistono superpoteri che non aspettano altro che essere inventati, utilizzati o riutilizzati al servizio della distruzione. I veri innovatori (pensiamo a Lex Luthor o Victor von Doom) sono relativamente rari: essi sono quelli che sviluppano nuove metodologie di attacco DDoS per poi venderle o utilizzarle in prima persona per raggiungere i propri obiettivi individuali (in genere estorsioni, diversioni a copertura di attività di spionaggio online o scopi di natura ideologica).

Dopodiché tali metodologie trovano inevitabilmente la strada per arrivare a un pubblico più vasto sotto forma di “booter” o “stresser” DDoS basati su cloud per consentire anche agli aspiranti “Dr. Impossibile” meno tecnicamente capaci di sfruttare tecniche DDoS altamente efficaci (come quelle di saturazione dei link per riflessione/amplificazione) oppure più sottili metodologie di attacco alle connessioni Tcp. E tutto attraverso un’interfaccia Web grafica accessibile e a volte addirittura esteticamente piacevole. Premi qualche pulsante, sposta qualche cursore, paga con una carta di credito o qualche Bitcoin (probabilmente rubati), et voilà, ecco che è nato un nuovo “supercattivo di Internet”.

Mossa numero tre: identificare l’opportunità
Sfortunatamente le best practice correnti del settore, tese a massimizzare la disponibilità degli elementi di rete, dei server, degli stack applicativi, dei servizi e via dicendo, che sono state sviluppate e pubblicate finora eche  sono costantemente promosse e diffuse da molti operatori della community globale della sicurezza (tra cui Arbor Asert), vengono seguite più scrupolosamente nella loro violazione che non nella loro applicazione.

Di conseguenza persino metodologie di attacco DDoS elementari ben note riescono troppo spesso ad avere la meglio su grandi organizzazioni ricche di risorse, che possiedono iniziative Internet essenziali per i loro flussi di ricavi, per la loro logistica o per la loro reputazione del brand. Questa situazione va a vantaggio dei malintenzionati di ogni livello, che spesso non si curano di effettuare particolari ricognizioni (se mai ne venissero fatte) prima di lanciare attacchi DDoS contro i loro obiettivi.

I “supercattivi di Internet” più bravi, quelli dalle carriere criminali più longeve, sono coloro che sanno muoversi al meglio senza rischiare troppe attenzioni negative dalla combinazione dei vari enti responsabili della sicurezza, e che sanno quando è il momento di scomparire discretamente dalla scena fino all’arrivo della successiva finestra di opportunità.

Poi ci sono quelli che adottano un nickname chiassoso, che conducono le loro campagne di attacchi in maniera scapestrata, che minacciano attacchi DDoS della più alta complessità e dai più alti volumi di traffico, ma che in realtà non fanno altro che avvalersi delle stesse comprovate metodologie di attacco scoperte dagli innovatori originali ampliando lentamente le proprie competenze dei servizi booter/stresser elementari per farsi poi prendere dalle vertigini di fronte ai loro superpoteri appena scoperti e tuttavia così circoscritti. Nel caso di questa categoria di supercattivi di Internet, piccoli successi iniziali spesso non fanno altro che gonfiare l’autostima fino a livelli ingiustificati per scatenarsi in un’orgia di attacchi diretti contro istituzioni di alto profilo; cosa che quasi sicuramente susciterà molta attenzione ufficiale indesiderata.
 

 


Il caso di Dd4Bc
Nell’ultimo anno o giù di lì un individuo o un’organizzazione che si fa chiamare Dd4Bc (DDoS for Bitcoins) ha aumentato rapidamente sia la frequenza sia la portata dei propri tentativi di estorsione via DDoS, spostando le proprie attenzioni dai cambiavalute specializzati in Bitcoin ai casino online, alle società di scommesse e, ultimamente, a importanti istituzioni finanziarie di Europa, Asia, Australia e Nuova Zelanda.

Il modus operandi di Dd4Bc è in genere quello di lanciare un attacco DDoS a riflessione/amplificazione relativamente piccolo, sui 10 o 15 gb al secondo, per poi inviare una email estorsiva con la richiesta di una cifra compresa tra 15 e 100 Bitcoin (in linea con quanto si ritiene che la vittima possa essere disposta a pagare) a un indirizzo di contatto ufficiale dell’azienda colpita. Queste richieste estorsive affermano tipicamente che Dd4Bc è in grado di mettere in campo una capacità di attacco DDoS compresa tra 400 gb/sec e 500gb/sec, lasciando quindi 48 ore di tempo per pagare e minacciando in caso contrario di sferrare immensi attacchi contro la vittima che si rifiuti di cedere.

Al momento non siamo a conoscenza di alcuna azienda od organizzazione che si sia piegata ai ricatti di Dd4Bc , quindi non sappiamo quanto possano essere lucrose le campagne estorsive condotte da questa persona o persone. Quel che abbiamo osservato è che, a oggi, Dd4Bc non sembra aver generato alcun attacco DDoS superiore a qualche decina di gb/sec, un volume purtroppo sufficiente a bloccare almeno inizialmente la disponibilità di molti obiettivi a causa della troppo diffusa assenza di preparativi adeguati da parte dei difensori.

Tuttavia gli obiettivi degli attacchi e i loro Isp e Mssp si sono generalmente mossi con rapidità per mitigare con successo le ondate DDoS scatenate da Dd4Bc, grazie anche al fatto che quest’ultima si avvale semplicemente di metodologie di attacco ben conosciute come la riflessione/amplificazione Ntp, Ssdp e Wordpress Xml-Rpc, oltre all’occasionale SYN-flood (una delle metodologie di attacco DDoS originarie, emerse nell’allora nascente Internet commerciale e osservata per la prima volta nel 1995). L’attacco a riflessione/amplificazione basato su Wordpress, descritto per la prima volta agli inizi del 2014, sembra essere l’ultima novità aggiunta al repertorio di Dd4Bc.

Gli attacchi a riflessione/amplificazione Ntp utilizzati da questo gruppo circolano sulla rete Internet pubblica da diversi anni e hanno raggiunto il massimo della popolarità tra la fine del 2013 e gli inizi del 2014. […] Sembra che Dd4Bc utilizzi servizi booter/stresser commerciali e che stia lentamente ampliando le proprie competenze di questi sistemi allo scopo di lanciare campagne basate su metodologie ben conosciute. Per queste ultime sono, tuttavia, disponibili tecniche di mitigazione altrettanto sperimentate attraverso servizi e soluzioni commerciali, come Arbor Peakflow Sp/Tms, Aps, Arbor Cloud e una varietà di altri tool e metodi basati sull’infrastruttura di rete raccomandati da Arbor agli operatori di rete di ogni tipo  […].

Nel corso della più recente recrudescenza delle attività di Dd4Bc abbiamo lavorato a fianco di alcune aziende che non avevano ancora incorporato le best practice correnti necessarie, né seguito le raccomandazioni per la mitigazione rilasciate da Arbor e altri operatori appartenenti alla community globale della sicurezza, e che quindi sono state inizialmente colpite. Tuttavia è stato relativamente semplice riportare molto rapidamente alla pari queste aziende con servizi, tecniche e soluzioni sia on-premise che Isp/Mssp, che hanno mitigato efficacemente gli attacchi in corso […].

“Più grande il potere, più grandi le responsabilità”, afferma lo zio Ben a un giovane Peter Parker in Ultimate Spider-Man #4. La buona notizia è che praticamente qualsiasi azienda di un certo rilievo dotata di una presenza Internet o possiede i superpoteri necessari a sconfiggere i moderni supercattivi specializzati in attacchi DDoS, oppure è comunque un grado di farsi velocemente aiutare da alleati che dispongono in abbondanza di tali superpoteri. E, proprio come accade nei fumetti, il fatto che la maggior parte dei cattivi utilizzi semplicemente variazioni di temi ben conosciuti significa che, una volta che un’azienda abbia implementato le raccomandazioni e le best practice pertinenti, questa risulta ben preparata ad affrontare gli avversari: da Trapster e Negaduck fino a Galactus, Eater of Worlds o Darkseid, e tutti quelli che si trovano nel mezzo.

 

ARTICOLI CORRELATI