Un paio di giorni fa sono partito per la Germania, destinazione la NATO School di Oberammergau, per partecipare come supporter e come relatore al quarto e-Crime Researchers Sync-Up organizzato dagli amici di APWG (Anti-Phishing Working Group), un’associazione internazionale di esperti in cybersecurity, che combatte il cybercrime su più livelli.
L’agenda, assolutamente interessante, vedeva una tre giorni fitta di relatori di altissimo livello, argomenti per gli addetti ai lavori, tavole rotonde e confronti, in un ambiente informale – nonostante la location militare – e dove la regola numero uno è l’Information Sharing, quel famoso scambio di informazioni che sta alla base della lotta contro il cybercrime, seppur sotto le regole della Chatam House.
E proprio parlando di information sharing, uno degli interventi che mi ha colpito di più si intitolava “Cyber attacks in the Ukraine: Quantitative Analysis, December 2013-March 2014”, a cura di Glib Pakharenko. Glib è il fondatore della ONG “UISG”, Ukraine’s Information Security Group: ci conosciamo da diversi anni e spesso di incontriamo in eventi e conferenze, ufficiali ed underground. Glib ha stupito la platea, analizzando quattro mesi di attacchi verso lo spazio Internet del suo Paese, e fornendo importanti confronti con gli attacchi storicamente ritenuti delle pietre miliari nella c.d. “Cyber War”, quali gli attacchi in Estonia nel 2007 ed in Georgia nel 2008.
Glib ha osservato una crescita molto forte nei cyber attacchi (attacchi intenzionali e mirati, nulla dunque a che vedere con le “normali” attività del cybercrime classico) tra il dicembre 2013 ed il marzo del 2014, diretti verso asset importanti per il suo Paese. La maggior parte degli obiettivi di questi attacchi era costituito da quei media che hanno supportato la c.d. “Eurorevolution”, sebbene tra i target vi fossero anche obiettivi governativi, oggetto di pesanti attacchi DDoS. Inoltre, molti attacchi erano relativi ad attacchi fisici alle infrastrutture della nazione, mentre altri alle tecnologie mobili. Glib ed il suo team hanno analizzato più di 35 attacchi, reperendo le informazioni ed i dati sia da fonti pubbliche che private.
“All’inizio della guerra fredda tra Russia ed Ucraina”, spiega Glib Pakharenko, diversi gruppi “anonimi” hanno visto la luce, come CyberBerkut in supporto della Russia e Cyber100 in supporto della causa Ucraina. Organizzazioni come ISACA (capitolo di Kiev) ed il RISSPA (l’affiliato russo di ISC2) hanno avuto parte in causa, in un modo o nell’altro (pro o contro la causa ucraina, NdA), ma le conseguenze degli attacchi sono state tangibili per i cittadini: per parecchi giorni, ad esempio, non è stato possibile collegarsi ai portali dei media nazionali, ed i clienti delle banche ucraine non hanno potuto effettuare alcuna attività di e-banking.”
“Il rischio di una cyber-war tra la Russia e l’Ucraina è ancora incredibilmente alto”, prosegue Glib. “La comunità internazionale, ed in particolar modo l’Europa, non dovrebbero lasciare l’Ucraina da sola a fronteggiare questa emergenza, questa cyber-cold war, ma dovrebbero anzi supportare ed aiutare nello sviluppo delle capacità di cyber defense della nazione. “.
“Infine”, conclude Glib, “credo che il mondo intero e le altre nazioni possano imparare molto da quanto è successo nel mio Paese. Innanzitutto, la natura stessa del conflitto e come la parte cyber abbia giocato e stia tuttora giocando un ruolo primario, sia da un punto di vista politico che diplomatico. In secondo luogo, gli obiettivi degli attacchi: i media, il governo e le istituzioni finanziarie erano impreparati a questa tipologia di eventi. Inoltre, come ho già detto, dobbiamo comprendere le profonde differenze con quanto successo nei conflitti in Estonia nel 2007 ed in Georgia nel 2008. Infine, gli ultimi aspetti sono prettamente tecnologici: la problematica degli Open DNS resolvers, i quali permettono agli attacchi DDoS di moltiplicare esponenzialmente la loro potenza di fuoco, ma anche la necessità di migliorare i meccanismi di filtering; una migliore protezione dalle minacce fisiche, dato che abbiamo persino visto gruppi organizzati entrare negli ISP e rubare fisicamente i server, oltre che danneggiare le dorsali in fibra ed in rame al fine di non permettere le comunicazioni tra snodi cruciali della città di Kiev.”.
Durante l’e-Crime Researchers Sync-Up sono riuscito ad intervistare Jart Armin, responsabile del capitolo europeo dell’APWG, caro amico e vero e proprio guru nella lotta al Cybercrime (fu tra i primi al mondo ad indagare con successo sul gruppo organizzato di cybercriminali “RBN”, Russian Business Network) ed a scambiare qualche opinione con lui su cosa è successo in Ucraina prima delle azioni politiche, diplomatiche e militari: le sue risposte sono davvero interessanti e danno da pensare.
“L’Internet Exchange ucraino è il quarto per importanza in Europa e gestisce una notevole quantità di traffico internet in quell’area del vecchio continente. Per anni, inoltre, l’IX ucraino è stato uno dei “peggiori della classe”, nel senso che la maggior parte del traffico malevolo (botnet, campagne di spam e così via) di quella zona proveniva proprio dallo spazio internet ucraino, come possiamo verificare dai report trimestrali di Host Exploit per i mesi e gli anni passati. Quello che è interessante evidenziare, in seguito alla presentazione del nostro amico Glib, è invece proprio il fatto che, dallo scorso febbraio circa, l’Internet Exchange dell’Ucraina sia divenuto uno dei più puliti in assoluto a livello europeo. Una seconda osservazione è che, da qualche parte, il traffico malicious doveva pure spostarsi… ed in effetti così è successo, “migrando” verso la Bielorussia e Cipro. “
“Da un punto di vista geopolitico”, continua Jart Armin, “questo può significare due cose: che il cybercrime ed il crimine organizzato russo (i maggiori “esportatori” di cybercrime, NdA) hanno voluto evitare di “impattare” ed appesantire le reti ucraine, in quanto sapevano che si sarebbero svolte azioni di “black-ops” (Black Operations, NdA), operazioni sporche per la compromissione di target ucraini (ISP, operatori mobili, siti governativi), oppure che non volevano rischiare il proprio business, una sorta di “risk analysis” del cybercrime.”.
In ambo i casi la situazione e gli scenari sono inquietanti e fanno presagire, se ancora ce ne fosse il bisogno, come quanto successe in Estonia ed in Georgia alcuni anni fa, non sia lontanamente paragonabile – in termini di modus operandi, strategia della “cyber-instability”, motivazioni ed attori – a quanto è in corso oggi nello spazio internet ucraino.
Quello che mi chiedo, da cittadino italiano, è molto semplice: cosa sarebbe successo in Italia? Saremmo stati in grado di fronteggiare simili scenari, al di là di tutto quanto viene dipinto come “bellissimo” sulla carta e dal punto di vista teorico e di compliance? Ricordo l’attacco Spamhaus-Cyberbunker e quei 300 GBit/s che i media italiani definirono “il più grande attacco internet della storia”: 300 GBit/s supera di molto la punta massima del traffico internet al MIX di Milano, e credo che nessuno degli ISP italiani sia ad oggi in grado di fronteggiare, o anche solo arginare, un simile picco. Siamo davvero pronti per la Cyber War?
