daily dot ddos usa
Sicurezza

Cosa succede tra USA e Russia? La cyberwar spiegata in 10 parole

Dopo la decisione di Obama, di espellere 35 diplomatici coinvolti nella campagna hacker "Grizzly Steppe", la guerra fredda 3.0 è entrata nel vivo

Ogni guerra ha le sue regole e i suoi termini. Anche quella “cibernetica”, universalmente conosciuta come cyberwar o cyberwarfare. L'obiettivo è sempre lo stesso: rendere più deboli le difese nemiche, per distruggerle e impossessarsi di territori, seppur prettamente digitali. In che senso? Server, computer e reti conservano oggi molti tesori, che agli stati fanno comodo per capire in che modo la politica di una certa nazione si muoverà oppure che tipo di tecnologia sta appoggiando per far evolvere la sua economia. Ma anche peggio: manipolando le informazioni sulle autostrade del web si può persino veicolare il voto della più grande potenza al mondo: gli Stati Uniti.

Ne è convinto Barack Obama, che prima di lasciare per sempre la Casa Bianca ha sferrato un colpo mortale alla soporifera storia di intenti che si stava creando tra Putin e la guida USA dei prossimi anni, Donald Trump. Sono 35 i diplomatici russi espulsi (famiglie comprese) dal paese, con l'accusa di aver collaborato e semplificato le operazioni di "Grizzly Steppe", la campagna hacker che tra le tante attività comprendeva anche un'intrusione nel voto statunitense, per favorire il candidato repubblicano.

Non è certo così semplice pilotare le elezioni. Il sistema elettorale americano non è connesso a internet, non nel momento in cui si vota. Questo vuol dire che nessun criminale avrebbe potuto cambiare la preferenza di un cittadino per Clinton in favore di Trump. Se intrusione vi è stata, questa si è svolta su territori paralleli che, visto il risultato, sembrano aver colto in pieno lo scopo finale. Quali? Il furto di informazioni atte a denigrare il partito democratico, con la conseguente fornitura dei dati a WikiLeaks e loro diffusione; monitoraggio delle email e conversazioni private degli elettori per capire su quali punti deboli dell'avversario bisognava puntare per spostare la bilancia, e così via. Insomma, l'attacco è avvenuto tramite internet ma non si è concluso qui (con il cambio di voto), dando vita a conseguenze più estese (ne parlavamo ad agosto) e forse durature. 

Nel documento diffuso ieri da FBI e DHS, che spiega in poche pagine cosa comprendeva la campagna "Grizzly Steppe", ci sono un bel po' di termini tecnici, non di facile comprensione ai neofiti di sicurezza informatica. Capire il loro significato è fondamentale per rendersi conto delle capacità di intercettazione degli smanettoni al servizio di Mosca. Ecco i principali.

Advanced Evasion Techniques (AET)

Si tratta di metodi di violazione in modalità “silenziosa”. Sono attacchi che utilizzano diverse tecniche “evasive” per creare azioni di intrusione simultanee sui diversi livelli della rete da colpire. Ecco una spiegazione molto semplificata di come funziona un AET: diciamo che la parola "attacco" e "intromissione" rappresentano due stringhe di codice dannoso conosciuto. Quando un sistema individua queste stringhe in una richiesta interviene e ne vieta l'ingresso. Se invece si utilizzano stringhe collegate alle prime e in grado di richiamarle, ma non riconosciute come maligne dal sistema, non viene attivato alcun blocco con la conseguenza di un ingresso “silenzioso” ma pienamente riuscito. Da qui un terzo soggetto può fare quello che vuole.

Resilienza

La capacità di un sistema o di un dominio di resistere agli attacchi o a tentativi di intrusione con la possibilità di ristabilire velocemente l’ecosistema di difesa. In questo la strategia di cyber security sta nel saper intraprendere metodologie di difesa e azioni concrete per contrastare gli attacchi digitali. Da una precisa e valida formazione “sul campo” dipendono le possibilità di sopravvivere e avere successo nel mondo informatico.

Vulnerabilità

Una parola che si sente spesso quando si parla di internet. Così come nel contesto umano, la vulnerabilità riguarda la possibilità che un sistema (una parte del corpo, di un oggetto) sia “scoperto” e, teoricamente, indifeso contro attacchi esterni. Se per proteggerci dal freddo o dal caldo utilizziamo i dovuti accorgimenti non si capisce perché ciò in ambito informatico non venga fatto. In entrambi i casi il rischio maggiore arriva dalla negligenza umana che preferisce rinnovare sistemi e procedure piuttosto che proteggere quelle esistenti.

Cyber attack

Attacco predeterminato a reti e computer mirati. Il tutto avviene attraverso l’utilizzo di tecniche specifiche (vedi AET o DDoS) che coinvolgono, o meno, diversi soggetti e aggressori. Un attacco cyber può essere portato avanti sia da hacker (senza scopi di lucro, col solo fine di condividere informazioni con l’esterno) sia da cracker (con l’obiettivo di guadagnare dalla vendita dei dati rubati o direttamente da account e accessi a siti di home banking).

DDoS

Quello più comune, anche grazie alle azioni piratesche di Anonymous. In un attacco DDoS il traffico in entrata di un sito viene inondato da una serie di richieste derivanti da una vasta gamma di computer (oppure server e device mobili infetti). Le vittime di un attacco DDoS non riescono a gestire la mole di dati in entrata, con un conseguente sovraccarico dei server e l’impossibilità di accedere al sito.

Advanced Persistent Threat (APT)

Di solito un gruppo indipendente o appoggiato da un governo con la capacità, motivazioni e l’intento di mirare ad un soggetto specifico in maniera efficace e continua nel tempo. Comunemente si pensa che gli APT siano attacchi lanciati da governi orientali all’occidente. La differenza è che, vivendo in un mondo occidentalizzato, gli attacchi contro i nostri modelli sono ampliati in maniera diffusa, mentre quelli verso governi o aziende dell’Oriente (si pensi alla Cina o Iraq) passano in secondo piano. Il worm Stuxent , sviluppato dagli USA e Israele per spiare le centrali di arricchimento di uranio in Iran, parte da una “logica” APT, ovvero da un’organizzazione militare che attacca, a livello informatico, un nemico.

Exploit

L’esistenza di falle nei sistemi, bug di ingresso o sequenza di azioni che permettono ad un terzo di entrare nel sistema preso di mira. Il termine è diventato noto grazie ai fautori dello sblocco degli iPhone, ovvero del jailbreak, che utilizza gli exploit presenti su iOS. Questi bug, se utilizzati, possono far compiere al dispositivo attaccato una serie di azioni di cui difficilmente il reale possessore si accorgerà, portandolo a rivelare informazioni sensibili e dati personali.

SCADA

Ovvero “controllo di supervisione e acquisizione dati”. Si riferisce ai sistemi e alle reti che controllano processi fisici industriali. Violare sistemi informatici del genere può permettere di azionare (o disattivare) funzioni critiche e vitali come l’erogazione di energia elettrica e il contenimento dell’acqua in una diga. I sistemi SCADA rientrano tra quelli controllati dagli ICS, cioè dai sistemi di controllo industriale che comprendono, tra l’altro, anche configurazioni più piccole come quelle montate su schede e dispositivi logici. A questo livello di violazione, un individuo può controllare tutti i processi industriali di una rete, dal livello inferiore al superiore. Probabilmente grazie a una tecnica SCADA, gli hacker russi il 30 dicembre del 2016 sono riusciti a intrufolarsi in una centrale elettrica del Vermont; la prima rappresaglia dopo il ban di Obama.

Defacing

È il termine che indicata il deturpamento della prima pagina di un sito. Viene utilizzato, di solito, dagli hacker come azione dimostrativa, un avviso per dire “noi ci siamo”. Seppur non preveda una violazione profonda del database del sito (si modifica solo il codice della prima pagina o “index”), la pratica è illegale in tutti i paesi del mondo.

Keylogger

Si tratta di uno strumento, hardware o software, che è in grado di intercettare ciò che una persona digita su una tastiera. A livello software sono diversi i programmi che permettono un’azione del genere. Sono programmi che restano in esecuzione in background captando i tasti premuti e inviando le informazioni a computer in remoto. Le soluzioni hardware, non del tutto obsolete, comprendono adattatori che si camuffano tra i cavi del computer o nella tastiera. Sono collegati fisicamente al computer così da intercettare le parole digitate nel percorso tra la tastiera e il PC.

© Riproduzione Riservata

Commenti