“Lei stava con gli israeliani o con gli americani?” Così comincia il dialogo tra Simone Pace agente operativo della CIA in Italia ed il giornalista del romanzo “Educazione Americana” di Fabrizio Gatti. Nel libro viene descritta una rete di agenti che manipola e influenza delicati passaggi storici e le democrazie occidentali. Una “rete coperta che è come un grande quadro su cui si muovono i cittadini ignari, i governi e gli stati dove gli agenti dipingono nuove figure e aggiungono colori”.
Nel libro una ex spia decide di rivelare al giornalista una serie di verità su alcune attività rilevanti della CIA in Europa, ricostruendo l’operato di una cellula speciale dei servizi americani che ha effettuato azioni sotto copertura, gestito giochi di potere interferendo e modificando la storia. Il libro è un ottimo esempio di come lavora l’intelligence di un governo e di come si selezionano, reclutano le fonti informative e si creano gli asset alla base di questa attività. L’attività di intelligence è il prodotto derivante dalla raccolta, valutazione, analisi e interpretazione delle informazioni raccolte.
Agenti analogici e attività di intelligence
Lo sviluppo di un prodotto di intelligence richiede la raccolta di informazioni da diverse fonti che devono essere selezionate in base agli obiettivi richiesti dall’organizzazione.
Il prodotto informativo di questa attività fornisce agli stati le informazioni necessarie per promuovere i propri interessi nazionali: nel libro di Gatti, precedentemente citato, viene particolarmente evidenziato questo aspetto. Le organizzazioni di intelligence cercano generalmente informazioni riguardanti capacità militari, questioni che minaccino la sicurezza nazionale, programmi economici e posizioni diplomatiche.
Nello scenario digitale/cyber si utilizzano scenari simili allo scopo di prevenire le minacce o per raccogliere informazioni strategiche; programmi sempre più sofisticati fanno ormai parte della strategia difensiva/offensiva di protezione cyber sia a livello governativo che nelle aziende che fanno parte delle infrastrutture critiche, per queste ultime ci si limita alla parte difensiva.
L’attività di intelligence si divide in strategica e operativa. La prima fornisce informazioni necessarie ai decisori per fare scelte o prendere decisioni di lunga durata, normalmente queste informazioni devono poi essere integrate con informazioni relative a politica, economia, interazioni sociali e sviluppi tecnologici. L’intelligence operativa riguarda, invece, eventi attuali o comunque di breve portata e non comporta proiezioni a lungo termine.
Cybersecurity, tecniche di raccolta informazioni
Sono diverse le discipline utilizzate per la raccolta delle informazioni. Queste discipline includono l’intelligenza umana (HUMINT), l’intelligenza derivante dai segnali (SIGINT), quella derivante dalle immagini (IMINT), quella derivante dalle rilevazioni delle radiofrequenze e emissioni radioattive (MASINT) e l’intelligence open source derivante da fonti aperte (OSINT). Sul tema dell’open source intelligence occorre notare che più una organizzazione/stato è aperta, più successo ha questo tipo di attività. Riviste, siti, database online, social sono spesso fonti redditizie di informazioni riguardanti attività governative e commerciali.
Le attività di intelligence umana, HUMINT, sono sinonimo di spionaggio e attività clandestine come quelle descritte nel libro di Gatti prima citato, ma non occorre trascurare anche l’attività svolta da diplomatici e addetti militari.
Questa disciplina rappresenta il metodo più antico per la raccolta delle informazioni e rimane, sino alla fine del ventesimo secolo, la principale fonte di intelligence per governi/organizzazioni. L’attività di HUMINT include attività manifeste, sensibili e clandestine con l’utilizzo di persone che controllano, supervisionano e supportano le fonti necessarie. Le attività di tipo esplicito vengono gestite apertamente, in questo caso le persone che raccolgono le informazioni possono essere diplomatici, personale militare distaccato, membri di delegazioni ufficiali che partecipano o gestiscono pubblicazioni non classificate o conferenze. L’attività clandestina richiede, invece, agenti che vengono infiltrati nei paese/organizzazioni svolgendo ruoli sotto copertura. La gestione di questa disciplina richiede un numero significativo di personale sia tra chi raccoglie le informazioni, sia tra chi supporta e coordina le diverse attività.
Fattore umano, chiave decisiva per l’intelligence
Oggi sia gli autori delle minacce che i professionisti che operano nel settore della sicurezza informatica hanno a disposizione tecnologie sempre più efficienti e letali. Insieme a questi strumenti abbiamo gli strumenti che si possono considerare più utili in assoluto, la conoscenza e l’esperienza umana.
Per queste ragioni si capisce bene come l’utilizzo di HUMINT sia fondamentale sia per chi lavora a individuare i cyber criminali, sia per chi si occupa della gestione e prevenzione delle minacce. Comprendere motivazioni, tendenze e ragioni che sono alla base degli avversari è chiave per ogni tipologia di guerra, inclusa la guerra informatica. Come conferma la letteratura sul tema, occorre conoscere il proprio nemico; occorre tenere sempre a mente che il nemico in questa guerra informatica può essere virtuale, anonimo ma mai invisibile.
La tecnica utilizzata nel mondo digitale è simile a quella utilizzata nel mondo fisico: un Threat Hunter per avere successo nell’utilizzo di HUMINT deve apprendere e pensare come gli attori che mettono in atto le minacce, individuare gli strumenti, le tecniche utilizzate e capire i loro obiettivi. Tutto ciò richiede una buona abilità e capacità nell’infiltrarsi tra gli attori che generano minacce informatiche, guadagnare la loro fiducia e apprendere il loro funzionamento. Lo stesso impegno equivalente a quello messo in campo dalle agenzie quando inseriscono un agente sotto copertura per infiltrarsi in un’organizzazione criminale.
È un lavoro scrupoloso, che mette a dura prova i nervi; individuare i luoghi digitali dove si riuniscono gli attori delle minacce per condividere informazioni, forum nel dark web, chat IRC, stanze virtuali e black market. Una attività pericolosa tanto come quella che si svolge nel mondo fisico, non importa quanto si sia esperti o qualificati. Quando si fa ingresso in questi lati oscuri della rete, dove ci sono attori che provengono da tutte le parti del mondo e che sono spesso anche in conflitto fra loro, si è costantemente analizzati.
Cyber-agenti: l’avatar non ha orari di lavoro
In questi forum gli amministratori o i moderatori esaminano tutto ciò che ci riguarda allo scopo di determinare se si è un infiltrato. Il solo sospetto provoca come minimo la messa al bando. Certamente prima di cominciare questa attività è importante cautelarsi gestendo molto bene la propria sicurezza: i Threat Hunter hanno bisogno di strumenti che nascondano la loro reale identità; strumenti semplici come una VPN, TOR, sino a proxy e macchine virtuali. Essere smascherati può rappresentare una grave minaccia per se stessi e per l’organizzazione per la quale si lavora.
In queste attività è possibile, inoltre, scontrarsi con le forze dell’ordine senza contare il possibile scontro con il dipartimento legale della nostra azienda. La raccolta di dati attraverso le tecniche di HUMINT può essere molto dispendiosa in termini di tempo ed è pertanto necessario fare affidamento su tecnologie all’avanguardia avendo sempre bene in mente gli obiettivi e i target dell’organizzazione, ovvero l’infrastruttura ed i processi critici di business. Per gestire iniziative HUMINT non si deve fare solamente affidamento su stessi, ma suggerisco caldamente di lavorare in team con aziende di sicurezza informatica affidabili. In generale più informazioni si hanno migliore è la qualità del nostro lavoro.
Le informazioni provengono da più fonti, dark web, social media ecc.. per questo è indispensabile creare il giusto mix di analisti, interni ed esterni. Il lavoro che viene svolto non può basarsi sulla ricerca casuale di attori nel dark web, si deve arrivare a qualificare delle fonti specializzate sugli asset che sono di nostro interesse. Ad esempio potrebbero essere utili, nel settore finanziario, avere delle fonti tra gli sviluppatori che scambiano e acquistano informazioni su carte di credito o PIN oltre a moderatori di forum sul tema.
Su Jabber ci sono elenchi e su questo sistema di messaggistica decentralizzato si pongono le domande o si ricercano indizi sui quali investigare. In questa attività occorre anche gestire e mantenere una serie di avatar, ognuno dei quali ha il suo elenco di persone che può contattare su Jabber. Chiaramente si deve fare attenzione a non fare nulla di illegale, non comprare nulla e non gestire materiale illegale. Altro punto che occorre risolvere sono gli orari, se vi vuole mantenere la credibilità degli avatar si deve uscire dal paradigma 9-17 e settimana lavorativa, l’assenza dell’avatar sicuramente insospettirebbe le nostre fonti. Per essere credibili occorre una presenza in rete costante, si dovrà garantire la presenza degli avatar anche al di fuori degli orari di ufficio e accedere anche di sabato e domenica.
Obiettivo finale: prevenire gli attacchi
Software, strumenti e tecnologie cambiano velocemente, ma anche in questo scenario complesso esiste il fattore umano, tutti gli attacchi informatici sono guidati da uomini. Proprio per questo motivo conoscere le motivazioni degli avversari, le tendenze alla base di campagne e attacchi può aiutarci a definire decisioni strategiche e indirizzare gli investimenti che meglio proteggono la nostra infrastruttura.
Come descritto, l’attività di HUMINT può rappresentare un tassello fondamentale nella nostra strategia di difesa cyber, ma può essere anche incredibilmente pericolosa. Si dovrà avere cura di nascondere la propria identità e obiettivi. Per cominciare si può sicuramente partire da piattaforme di intelligence che includono anche questo servizio o affidarsi a società che offrono questa tipologia di servizio. Strumenti tradizionali e tattiche di HUMINT combinate insieme ci offrono la possibilità di identificare comportamenti criminosi e ci permettono di passare ad un approccio più proattivo della sicurezza informatica, un approccio che si concentra sulla prevenzione degli attacchi, perché la migliore forma di mitigazione consiste nel fermare le minacce prima che queste abbiano effetti sulla nostra infrastruttura e sui nostri processi critici.
