Profilare i malviventi è una tecnica utilizzata dalla polizia per identificare probabili sospetti in un crimine e analizzare i loro modelli di comportamento per prevedere reati futuri. Creare profili degli hacker ha lo stesso obiettivo: prevenire i crimini e catturare i criminali
Di Massimiliano Brugnoli, Business Development Manager di Orange Business Services
I profili degli hacker sono creati usando comportamenti osservati negli hacker reali e nei loro attacchi. Grazie a essi, le organizzazioni possono individuare quale sia la migliore difesa contro determinati tipi di attacchi e prevedere quando potrebbero verificarsi.
Che cosa motiva gli hacker?
Gli hacker possono avere ogni genere di background: ragazzini in cerca di notorietà, dipendenti rancorosi che cercano vendetta nei confronti di un datore di lavoro o esperti che lavorano per i gruppi cybercriminali globali. Anche il livello delle loro abilità di hacking può variare notevolmente, da geni del computer a ragazzini che essenzialmente utilizzano exploit preformulati scaricati da internet.
In linea di massima, gli hacker rientrano in tre categorie principali:
- Cybercriminali, normalmente motivati dal denaro
- Gli attivisti, anche detti “hacktivisti”, guidati da motivazioni politiche
- Reti di hacker sponsorizzate da governi che svolgono attività di guerra cibernetica
Gli hacktivisti hanno motivazioni politiche e vogliono attirare l’attenzione su una condotta sbagliata o rivolgersi a un’organizzazione di alto profilo. Normalmente vogliono ottenere una di queste tre cose: esporre dati sensibili, alterare o rendere inutilizzabili delle informazioni o lanciare un attacco DDoS (distributed denial of service), in cui un sistema informatico composto di molti computer compromessi attacca un bersaglio, come un sito Web o un server, oscurandone il servizio. Gli hacktivisti vanno da studenti a tecnici con grande esperienza.
I criminali informatici sono spesso altamente sofisticati. In genere lavorano in team che impiegano set di competenze diverse, e i membri a volte vengono reclutati sul dark web. Questi hacker normalmente pianificano i loro attacchi con molta attenzione. Gli attacchi spaziano dal ransomware distribuito alle iniezioni SQL, al phishing.
Mentalità di gruppo
Anche gli hacker si coordinano sempre più per sostenersi a vicenda e creare nuove minacce. Ad esempio, Morpho, noto anche come Wild Neutron, è un gruppo ben finanziato che ha realizzato diversi hack di alto profilo a imprese internazionali tra cui Apple e Microsoft utilizzando una vulnerabilità del software zero-day.
L’attacco del ransomware WannaCry, che si è diffuso a macchia d’olio l’anno scorso, è un esempio della forza di questi gruppi. WannaCry ha preso di mira un exploit in sistemi che eseguono versioni precedenti di Windows e ha installato backdoor su sistemi infetti, crittografando dati e richiedendo un riscatto in bitcoin. Si stima che l’attacco abbia colpito oltre 300.000 computer in 150 paesi.
Testare i profili
I profili hanno un valore inestimabile per i penetration tester e per gli hacker etici che aiutano le organizzazioni a scovare vulnerabilità e rischi per le loro infrastrutture. Vengono simulate azioni di minaccia da finti attaccanti al fine di stimare i rischi per un’organizzazione, le sue risorse e i suoi dati.
I dati ottenuti da questi test di penetrazione sono fondamentali per aiutare le organizzazioni a mettere a punto i giusti livelli di sicurezza e per prevedere quale tipo di attacchi siano dietro l’angolo, oltre a testare l’efficacia dei team di sicurezza.
Cacciatori di bug
La continua espansione della superficie d’attacco ha causato l’avvento dei cosiddetti “cacciatori di bug”, che usano anche i profili degli hacker per capire come agiscono i malintenzionati. Questi hacker “onesti” vengono retribuiti con delle “taglie” quando stanano vulnerabilità ad alto impatto.
Ad esempio Bugcrowd, che funziona in crowdsourcing, offre ricompense in base ai bug catturati e fornisce test di penetrazione su larga scala tramite intelligenza umana che – sostiene – scovano sette volte più problemi critici rispetto ai test di penetrazione tradizionali, eseguiti internamente o tramite una società di consulenza.
Secondo il recente rapporto “Mind of a Hacker” di Bugcrowd, esiste una crescente comunità di hacker onesti che aiutano a combattere gli attacchi informatici. La stessa Bugcrowd vanta 65.000 ricercatori, tra cui penetration tester, consulenti per la sicurezza e ingegneri del software.
Gli attacchi continuano a crescere
Più siamo connessi, più aumentano gli attacchi informatici. Un progetto di ricerca condotto dall’Università della California di San Diego e dall’Università di Twente in Olanda della durata di due anni ha scoperto che in ogni dato momento, un terzo di Internet è soggetta ad attacchi denial-of-service e questo dato non farà che peggiorare.
“In altre parole, Internet è presa di mira da quasi 30.000 attacchi al giorno”, afferma Alberto Dainotti, ricercatore presso il CAIDA (Centro per l’analisi dei dati Internet applicata) presso l’Università della California di San Diego, e il principale investigatore del rapporto.
Gli attacchi informatici sono inestricabilmente legati al nostro mondo connesso, ma se le organizzazioni riusciranno a comprendere meglio i criminali informatici avranno più possibilità di affrontarli.