È quasi impossibile attribuire le cyber-intrusioni. Un attacco ben eseguito non può esser fatto risalire al suo autore. Bisogna stare molto attenti nel seguire le tracce: molto probabilmente sono false.

Migliaia di report mostrano che questa lezione non è stata appresa. Ogni attacco è attribuito ad uno tra i vari “nemici”, senza alcuna prova. Esempi:

Nel giugno 2016 abbiamo avvertito che il prossimo “attacco cibernetico russo” potrebbe essere un falso, sul tipo di quello del Golfo del Tonchino:

Tutto ciò che si può vedere in una violazione [cyber] è, semmai, un qualche modello di azione che può sembrare tipico di un avversario. Ma chiunque può imitare un tale modello, non appena gli sia noto. Ecco perché non vi è mai una chiara attribuzione in questi casi. Chiunque sostenga altrimenti, mente o non sa di cosa stia parlando.

Vi è ora prova pubblica che questa lezione base di informatica forense è corretta.

Wikileaks ha acquisito e pubblicato una gran quantità di documenti dell’organizzazione di hackeraggio interna della CIA. Parte di essa è un sottogruppo chiamato UMBRAGE:

UMBRAGE group raccoglie e archivia le tecniche di attacco ‘rubate’ da malware prodotti in altri stati, tra cui la Russia.

Con tali progetti la CIA aumenta il proprio bagaglio di attacchi, ma riesce anche a mimetizzarsi, lasciando dietro le “impronte digitali” dei gruppi da cui le tecniche di attacco sono state rubate.

I componenti di UMBRAGE si interessano di keylogging, raccolta di password, riprese da webcam, distruzione dati, azioni furtive, aggiramento di anti-virus (PSP) e tecniche di indagine.

I metodi di hacking sono raramente di nuova concezione. Vengono presi da esempi pubblici e malware, da attacchi di qualche altra organizzazione, che, una volta commessi, vengono comprati e venduti da entità commerciali. Molti attacchi ricombinano un mix di strumenti di hack precedenti. Una volta che l’attacco Stuxnet della NSA contro l’Iran è diventato pubblico, gli strumenti in esso utilizzati sono stati copiati e modificati da altri servizi simili, così come da parte di hacker commerciali. Ogni nuovo attacco che sembra fatto da Stuxnet, potrebbe essere fatto da chiunque ne abbia le conoscenze adeguate. Sarebbe stupido dire che la NSA ha commesso il nuovo attacco solo perché ha fatto Stuxnet.

La CIA, così come altri servizi, hanno interi database di tali strumenti ‘rubati’. Possono combinarli in modo che sembrino attribuibili alla Cina, compilando il codice sorgente con l’orario di Pechino o “dimenticando di rimuovere” il nome di un famoso imperatore cinese nel codice. La CIA potrebbe farlo per simulare un “hacking cinese” in Corea del Sud, per aumentare la paura che si ha della Cina e per, alla fine, vendere più armi americane.

La Russia non ha hackerato le mail dei democratici, l’Iran non ha hackerato casinò americani e la Corea del Nord non ha hackerato la Sony.

Come detto: “Non vi è mai una chiara attribuzione”. Non cascateci quando uno cerca di convincervi.

(PS: C’è molto di più nei nuovi Wikileaks sulla CIA, e sembra molto più grande del poco pubblicato da Snowden sulla NSA)

 

Link

Traduzione per www.comedonchisciotte.org a cura di HMG