Nei mesi scorsi si è molto parlato della discontinuità introdotta dal secondo mandato Trump nella strategia di cybersicurezza (la “Cyber Strategy”) adottata dal Dipartimento della Difesa (DoD) americano per contrastare le operazioni informatiche straniere che prendono di mira gli Stati Uniti.
Indice degli argomenti
La dottrina della forward defense nella strategia americana
La Cyber Strategy del 2018, emanata sotto la prima amministrazione Trump, conteneva la dottrina della “forward defense”, la forma di difesa proattiva in cui il DoD ha la facoltà di impegnarsi in operazioni nel mondo fisico per proteggere le infrastrutture tecnologiche usate per le funzioni di interesse pubblico, comprese le campagne elettorali [1].
La successiva versone della Cyber Strategy del 2023, rilasciata sotto l’amministrazione Biden, dice che il DoD “continuerà la pratica della forward defense, interrompendo le attività degli attori informatici malintenzionati e degradando i loro ecosistemi di supporto” [2]. La forward defense è il tipo di difesa più controverso, perchè prevede che i team di sicurezza informatica possano lanciare ritorsioni contro gli hacker anche nella vita reale.
Tecniche di active e forward defense
Vediamo la cosa dal punto di vista tecnico. Amzitutto la forward defense presuppone una difesa informatica attiva, in grado di ricostruire la provenienza degli attacchi e contrattaccare. La difesa attiva si basa spesso su tracker detti honeytoken. Gli hacker credono di essersi imbattuti in una preda, come il database di simpatizzanti di un partito, che invece contiene un honeytoken incorporato nel file.
Un file contenente honeytoken creato online con Neroswarm.com
Quando l’attaccante ruba il file, porta con sè l’honeytoken, il che consente ai team di sicurezza informatica di seguirlo. Se l’hacker appartiene a un gruppo noto, l’honeytoken può essere personalizzato in modo che sia univoco per ogni persona del gruppo (in questo caso, viene chiamato “canary”) per legare la segnalazione dell’attacco a una specifica identità. La presenza di honeytoken eseguibili cambia però l’entropia del contenuto binario del file, una cosa che in genere non sfugge agli hacker più agguerriti.
L’analisi binaria del file permette di identificare la presenza di codice compresso
Un modo per inserire una trappola honeytoken in un file senza cambiare l’entropia della rappresentazione binaria è aggiungere contenuto attaccabile falso, ad esempio, indirizzi e-mail fasulli. Questi indirizzi di e-mail non vengono divulgati, ma solo inseriti nel database potenzialmente oggetto di intrusione. Se l’indirizzo fasullo riceve e-mail di phishing, significa che qualcuno ha rubato il database. L’analisi di provenienza delle campagne di phishing può consentire ai team di sicurezza informatica di lavorare a ritroso per trovare la persona che lo ha fatto. Nei processi di creazione di massa di spam o di utenze sui social network, le limitazioni di banda e di tempo imposte dai service provider limitano anche la possibilità dell’attaccante di diversificare le configurazioni da uno spam al successivo [9], permettendo di creare detector molto precisi basati sulla statistica di alcune caratteristiche dei messaggi. Oggi, sono disponibili anche modelli di Machine Learning profondi e ad alta dimensionalità, che prendono in considerazione il contenuto dei file di configurazione e tutte le informazioni disponibili su di essi.
Applicazioni pratiche della forward defense contro minacce informatiche
La difesa attiva diventa forward defense propramente detta attraverso l’inserimento di spyware, anziché di semplici honeytoken, all’interno di dati riservati. Gli spyware usati nelle ritorsioni sono di tipo polimorfico per sfuggire all’analisi dell’entropia da parte degli attaccanti. In alcuni casi, lo spyware identifica la posizione geografica del suo luogo di esecuzione, aprendo la strada alla ritorsione fisica. Un esempio pubblico dell’applicazione della dottrina della “forward defense” è l’operazione del Cyber Command statunitense (USCYBERCOM) contro attori informatici russi durante le elezioni di medio termine del 2018. Questa operazione, nota come “Operazione Synthetic Theology”, mirava a scoraggiare l’interferenza russa nel processo elettorale statunitense. La procedura iniziò con una fase di ricognizione in cui USCYBERCOM identificò le attività degli attori informatici russi associati al GRU (l’intelligence militare russa), raccogliendo footprint digitali di questi attori, comprese le loro attività online e suii canali di comunicazione.
Oltre a contrattaccare per disabilitare l’infrastruttura informatica utilizzata dagli attaccanti, Uscybercom inviò anche messaggi personali agli operatori che avevano partecipato agli attacchi, avvisandoli che le loro attività erano monitorate e che le loro identità erano note. Anche se la documentazione ufficiale è reticente sembra che, in almeno un caso, il messaggio sia stato consegnato attraverso un pop-up su un sito social frequentato dall’attaccante [8]. Il governo degli Stati Uniti ha intrapreso azioni legali contro gli individui identificati, tra cui incriminazioni e sanzioni ad personam. Per applicare questa dottrina Uscybercom ha impegnato le aziende statunitensi di social media per identificare gli account responsabili delle campagne disinformazione orchestrate da attori russi. Il risultato ha dimostrato che la strategia della “difesa avanzata” può essere applicata in modo efficace per migliorare la sicurezza complessiva [2].
Evoluzione della forward defense nella seconda amministrazione Trump
Va subito chiarito che la potenziale discontinuità introdotta dalla seconda amministrazione Trump non riguarda la dottrina della forward defense in sè: qualunque sia la futura revisione della Cyber Strategy che sarà attuata al Segretario della Difesa Pete Hegseth (in carica dalla fine di gennaio 2025) possiamo aspettarci che le operazioni di forward defense del DoD continueranno contro gli avversari che utilizzano le loro capacità informatiche “per cercare un vantaggio politico, economico e militare sugli Stati Uniti” [2]. Quello che sta cambiando è piuttosto la priorità attribuita dal DoD ai vari tipi di vantaggio, e di conseguenza agli scenari di intervento. Pete Hegseth ha annunciato la sospensione delle operazioni informatiche di forward defense contro la Russia da parte del Cyber Command degli Stati Uniti. La decisione di Hegseth non influisce sulle operazioni condotte da altre agenzie, tra cui la CIA, ma l’amministrazione Trump ha anche sospeso le iniziative di forward defense in corso presso l’FBI e altre agenzie relative al contrasto alle minacce digitali e informatiche. La decisione di Hegseth è arrivata proprio mentre gli esperti di sicurezza nazionale e sicurezza di tutto il mondo hanno sollecitato maggiori investimenti nella difesa informatica attiva.
Prospettive future della forward defense americana
Finora, l’amministrazione Trump ha dimostrato una forte propensione ad adottare la “difesa avanzata”, in particolare contro attacchi diretti all’infrastruttura come Salt Typhoon, l’offensiva lanciato alla fine dell’anno scorso da un gruppo di hacker cinesi contro le reti di otto operatori di telecomunicazioni statunitensi. Sebbene le infiltrazioni cinesi non siano state completamente eliminate dalle reti, gli autori sono stati identificati anche nel mondo fisico.
Nelle prossime elezioni congressuali, parziali e di midterm, vedremo se e come verrà eseguita la difesa avanzata contro il trolling organizzato e soprattutto se continuerà il coinvolgimento delle società di gestione dei social network nell’identificazione degli attaccanti.
Bibliografia
[1] Cyber Strategy Summary – U.S. Department of Defense
[2] DOD Releases 2023 Cyber Strategy Summary > U.S. Department of Defense …
[3] 2023 DOD Cyber Strategy Summary – U.S. Department of Defense
[4] 2023 DOD Cyber Strategy Fact Sheet – U.S. Department of Defense
[5] 2018 DoD Cyber Strategy and Cyber Posture Review
[6] DOD’s Cyber Strategy of Past Year Outlined Before Congress
[7] The Pentagon’s 2023 cyber strategy: What you need to know
[8] CYBER 101
[9] Ernesto Damiani “Perchè è cosi’ difficile combattere lo spam”
