Il ransomware ormai è attento alla qualità del servizio. La sua diffusione segue un modello simile alle diramazioni delle specie nelle rappresentazioni del processo evolutivo. Mentre al tempo stesso evolve la crittografia come strumento di difesa.
Sono i concetti che possiamo portare a casa dalle lezione del professor Moti Yung al recente ITASEC19 ( realizzata grazie al CINI con la collaborazione del professor Alfredo De Santis Direttore del Dipartimento di Informatica dell’Università di Salerno). Matematico di formazione, professore a Columbia e ricercatore presso Google, Yung ha un approccio costantemente aperto al ponte che lega, nelle due direzioni, realtà e teoria, ricerca e applicazione. Ha ricevuto importanti riconoscimenti scientifici da quando, negli anni ‘90, ha individuato un punto di svolta introdotto dalla digitalizzazione.
Crittografia, da strumento di difesa a mezzo di offesa
La crittografia, che nella sua lunga tradizione storica è stata usata come difesa per proteggere le informazioni, avrebbe potuto essere utilizzata come strumento di offesa, ossia per sequestrare i dati: prefigurando una attività criminale e aggressiva che sarebbe poi esplosa con il ramsonware nei decenni successivi. Usò, nei suoi studi, il termine cryptovirology, un approccio che trovò iniziale contrasto nella comunità scientifica. Intuì anche gli sviluppi delle cryptocurrency, che nel 2009 si materializzò con il dirompente avvento di Bitcoin.
Ad ITASEC19 il tema della lezione di Moti Yung era: Crossing the Theory-to-Business Chasm: Why and How to Deploy “Secure Computation” in Daily Business, un intervento che esprime – ha chiarito – esclusivamente le sue personali posizioni sulla materia.
Moti salta da teoria a pratica, citando Leonardo che riteneva vitale per la teoria confrontarsi con la realtà, pena la sterilità. La sua ricostruzione della relazione tra ricerca teorica, sviluppatasi negli ultimi 40 anni sulla crittografia e la sicurezza computazionale, tende a dimostrare che i problemi reali suscitano domande teoriche che possono sorprendentemente aprire nuovi filoni applicativi.
La differenza tra crittografia e sicurezza computazionale
Una differenza concettuale su cui ha insistito, tra crittografia e sicurezza computazionale, risiede nel fatto che, mentre nella difesa attraverso la crittografia, l’obiettivo è di tenere il nemico al di fuori del controllo dei propri dati, che vengono scambiati tra due soggetti che hanno fiducia l’uno nell’altro, la sicurezza computazionale assume che il nemico sia all’interno del sistema, ovvero che il sistema abbia soggetti che, per propri interessi e non necessariamente per intenti criminali, non hanno fiducia l’uno nell’altro.
Un esempio di questo tipo può essere lo scambio tra un gestore di carta di credito e un fornitore di pubblicità targettizzata in rete. Il primo conosce le transazioni dei singoli soggetti, voce per voce. Il secondo, per motivi di privacy, non deve accedere a quei dati. Come instaurare una collaborazione che risulti utile al fornitore di pubblicità targettizzata, senza violare la privacy?
La risposta può consistere nel fornire i volumi di spesa, anonimizzando attraverso la crittografia i dati personali e quelli relativi alle voci di spesa. Ottenendo così degli aggregati che comunque forniscono informazioni sui comportamenti dei consumatori, ma senza violare la privacy e senza incorrere nel rischio che comportamenti egoistici di uno dei partner mettano a rischio l’integrità dei dati dell’altro e soprattutto la sua compliance rispetto ai doveri di tutela della privacy.
I quesiti posti alla ricerca dall’evoluzione della tecnologia e della complessità del mondo digitale, sono sollevati anche dalla dimensione quantitativa e dall’accelerazione che la crescita delle applicazioni e dei device manifestano.
L’economia del ransomware
In un interessante studio dell’economia del ransonware, (Julio Hernandez-Castro, Edward Cartwright, and Anna Stepanova Economic Analysis of Ransomware,arXiv:1703.06660v1 [cs.CR] 20 Mar 2017) ovvero del modello economico del ricatto digitale, gli autori giungono alla conclusione che, con una attenta gestione dei tempi di rilascio dei dati sequestrati e una capacità di trattare sul prezzo durante la fase del blocco dei dati, gli attaccanti possono stimare le curve di elasticità della domanda delle chiavi per recuperare i dati.
In questo modo possono arrivare a costruire curve di prezzo ottimali, sfruttando il mercato e la diversa volontà di pagare dei “clienti” ovvero dei ricattati, mantenendo il controllo di questo “mercato” ed utilizzando sofisticati sistemi di riciclaggio (money laundering).
Figura: l’albero evolutivo del ransomware (da F-Secure State of Cyber Security 2017)
Il saggio cita la figura sopra riportata per dimostrare come ormai la diffusione del ransomware segua un modello simile alle diramazioni delle specie nelle rappresentazioni del processo evolutivo. Non solo il ransomware può ormai essere analizzato con gli strumenti classici della scienza economica, ma il suo “servizio” comincia a seguire, proprio per i motivi indicati dal saggio di Hernandez-Castro ed altri, una logica di marketing attenta alla “qualità del servizio”.
Il giornalista Brain Krebs sostiene che i modelli di ransomware di maggior successo sono quelli che sanno come offrire un miglior servizio alle loro vittime “Alcune delle operazioni di ransomware più avanzate e professionali hanno incluso un supporto tecnico 24/7 basato sul web”.
Potremmo concludere questa nota all’insegna dell’ottimismo della volontà oppure, seguendone la filosofia possiamo ripetere con Moti Yung, “dal punto di vista della ricerca industriale: il processo di problem solving tecnico di situazioni / bisogni reali realmente caotici che sembrano non offrire alcuna speranza è, in effetti, un’interessante navigazione in grado di trasformare la mancanza di speranza in una soluzione”.
