come agisce davvero un criminale informatico oggi



Ventisette secondi. È il tempo record in cui un criminale informatico, una volta entrato in un sistema aziendale, ha già cominciato a rubare dati. Senza usare alcun virus, senza lasciare quasi nessuna traccia. E l’Italia, in questa partita, non è uno spettatore neutrale: nel 2024 il nostro Paese ha ricevuto oltre il 10% di tutti gli attacchi informatici mondiali, una quota enorme rispetto al suo peso.

In una puntata precedente di “Tech Talks”, il vodcast di QN – Quotidiano Nazionale dedicato alla tecnologia, avevamo raccontato le straordinarie opportunità aperte dall’intelligenza artificiale. Oggi ne esploriamo il lato oscuro, perché quella stessa tecnologia è già nelle mani di chi vuole fare del male. A guidarci in questo mondo è Luca Nilo Livrieri, Director Sales Engineering per il Sud Europa di CrowdStrike, una delle aziende leader al mondo nella cybersicurezza, che ogni giorno difende le più grandi organizzazioni del pianeta dagli attacchi informatici.

Dimenticate il ragazzo incappucciato

La prima cosa da fare, spiega Livrieri, è aggiornare l’immaginario. Il giovane incappucciato, solo in una stanza buia davanti a un monitor, è la figura degli albori dell’hacking: lo “script kiddie” che voleva soltanto dimostrare le proprie capacità. Quel mondo non esiste più. Oggi parliamo di un vero e proprio ecosistema criminale, organizzato come un’impresa, diviso in affiliazioni, estremamente specializzato.

E come ogni impresa, ha un obiettivo primario: fare soldi. È il cybercrime, che copre la maggior parte degli attacchi. Sono gruppi verticali, che eseguono anche solo un piccolo pezzo dell’attacco. C’è chi è specializzato nel rubare le nostre credenziali, username e password, per poi rivenderle. Chi mette in pratica il phishing o, nelle fasi più avanzate, il ransomware. Chi è esperto nel monetizzare il bottino. Accanto a loro, gruppi con finalità governative o filogovernative, sostenuti da nazioni, che fanno spionaggio industriale o attacchi dimostrativi. E, infine, gli attivisti, gli hacktivisti dalle azioni puramente dimostrative. Un mondo vasto, insomma, ma quasi sempre con il denaro come bussola.


Entrano con le chiavi di casa

Ed eccoci al punto che ribalta ogni luogo comune. Molti attacchi di oggi non hanno più bisogno del virus. Si chiamano attacchi “malware free”, senza malware, perché l’attaccante possiede già le chiavi di casa. Le nostre credenziali, spesso, sono state comprate e vendute nel dark web, quella parte sommersa della rete dove interi forum commerciano queste informazioni. Le abbiamo perse per disattenzione, o ce le hanno sottratte con un messaggio su WhatsApp o un portale finto.

Il risultato è inquietante nella sua semplicità. Dentro l’azienda si registra un comportamento anomalo, ma compiuto con credenziali perfettamente lecite. L’attaccante entra con le chiavi vere e, una volta dentro, si muove come un dipendente qualsiasi. La sfida, allora, non è più tenere fuori il ladro: è capire quando un “dipendente” è in realtà un infiltrato. In gergo tecnico, un insider.

Il lato oscuro dell’intelligenza artificiale

Se l’AI democratizza le opportunità, purtroppo democratizza anche il crimine. Livrieri descrive due fenomeni paralleli. Da un lato, gruppi con competenze basse riescono oggi a sferrare attacchi di alto livello semplicemente usando l’intelligenza artificiale. Dall’altro, chi era già molto abile diventa più pervasivo ed evasivo: più efficace, più veloce e soprattutto più silenzioso.

L’esempio più concreto lo troviamo tutti, ogni mattina, nella nostra casella di posta. Qualche anno fa una mail di phishing era spesso riconoscibile: italiano stentato, link palesemente sospetti. Oggi l’intelligenza artificiale genera contenuti fedelissimi agli originali, e solo un occhio molto attento riesce a smascherarli. Non solo: una volta dentro l’azienda, gli attaccanti usano l’AI per orientarsi più in fretta nell’ambiente e colpire con maggiore precisione.

Perché il tempo è tutto

Torniamo allora a quei ventisette secondi. Nel gergo della sicurezza si chiama “break out time”, il tempo entro il quale un attaccante, arrivato su una macchina, riesce a muoversi lateralmente verso un’altra, prendendo il controllo di una porzione di rete. Il record rilevato quest’anno è, appunto, di 27 secondi.


Provate a guardarlo dal lato di chi difende. In meno di mezzo minuto bisognerebbe accorgersi dell’attacco, investigarlo, distinguerlo da un falso allarme e iniziare a rispondere. Le tre fasi classiche, rilevamento, investigazione e risposta, compresse in una manciata di secondi. È un “tempo macchina” che nessun team di sicurezza tradizionale, nemmeno il più nutrito Security Operation Center fatto di analisti esperti, può reggere con le sole forze umane.

Le PMI italiane, un bersaglio perfetto

E qui arriva la domanda più scomoda, quella che tanti piccoli imprenditori si pongono: perché un hacker internazionale dovrebbe colpire proprio me? La risposta di Livrieri è netta: colpiti lo siamo tutti. Non per fare terrorismo, ma perché è così che operano gli attaccanti, con una logica di “pesca a strascico”. Le operazioni sono automatizzate: scansionano di continuo la rete in cerca, metaforicamente, della porta blindata meno sicura, quella con un solo giro di chiave. Costa meno fatica ed è più rapido.

C’è poi un secondo motivo, più sottile: gli attacchi alla supply chain, alla filiera. Una PMI iper-specializzata produce magari un piccolo componente, o una porzione di software, che finisce dentro il prodotto di una grande banca o di una grande industria. Colpendo l’anello piccolo, l’attaccante raggiunge il bersaglio grande. Ed è proprio questo che rende l’Italia così appetibile: il nostro tessuto manifatturiero, pieno di aziende leader in settori verticali e inserite in catene produttive più ampie, è un terreno fertile. E quando un terreno si rivela fertile, la voce gira nell’underground, e gli attacchi si moltiplicano.

Ma allora, per una piccola azienda senza un reparto IT dedicato, è una battaglia persa in partenza? No, risponde Livrieri, a patto di essere consapevoli. Come una piccola impresa non ha un medico interno ma si appoggia ai servizi esterni in caso di infortunio, così può affidarsi a servizi esternalizzati di rilevamento e risposta agli incidenti, capaci di garantire quella copertura 24 ore su 24, sette giorni su sette. Perché gli attacchi, come i furti in appartamento d’agosto, arrivano spesso il venerdì sera prima di un ponte, quando sanno che nessuno se ne accorgerà per giorni.

Password come chiavi di casa, e un pizzico di istinto

Cosa può fare, allora, ognuno di noi, domani mattina? Il messaggio di Livrieri è chiaro: proteggere a 360 gradi la propria identità digitale. Ogni volta che inseriamo dati in uno smartphone, un portale o un’app, dovrebbe suonare un piccolo campanello, perché per un criminale quelle credenziali sono oro.


Il primo passo, banale ma decisivo, riguarda le password. Non usare la stessa su sistemi diversi, cambiarla spesso, renderla complessa. Esistono database pubblici in cui inserire la propria mail per scoprire se si è già stati vittime di una fuga di dati, e i risultati, ammette Livrieri, sono sconfortanti: tra i suoi amici, il controllo dà quasi sempre esito positivo. Attenzione anche ai nostri schemi: se usiamo sempre lo stesso titolo di canzone cambiando un numero e aggiungendo un punto esclamativo, oggi ci sono strumenti di intelligenza artificiale che studiano i nostri vecchi codici e indovinano il prossimo.

Le password sono come le chiavi di casa e le dobbiamo custodire gelosamente, ma con una accortezza: queste vanno anche cambiate molto spesso.

Poi c’è l’istinto. Così come non entreremmo mai in un negozio dall’aria sospetta, quando qualcosa in un processo non torna, o quando un portale ci chiede un dato che non dovrebbe chiederci, conviene fare un passo indietro e una domanda in più. Anche un’informazione apparentemente banale, un numero di telefono, una mail, può diventare un’arma nelle mani di chi ci vuole adescare.

Quanto costa (davvero) difendersi

Molti temono che proteggersi sia troppo caro. Ma il parametro giusto, spiega Livrieri, non è il ROI, il ritorno sull’investimento, bensì il ROSI, il ritorno sull’investimento in sicurezza. La domanda da farsi è: quanto perderei se la mia produzione si fermasse per ore o giorni? Un’azienda manifatturiera bloccata, magari attraverso i suoi sistemi operativi più obsoleti, subisce un danno che va calcolato e ribaltato sul costo della sicurezza. Vista così, la difesa non è una spesa, ma un investimento sulla “resilienza operativa”, ovvero sulla capacità del business di continuare a funzionare. Il vero punto di partenza è chiedersi quali siano i “gioielli della corona” da proteggere.

La buona notizia: difendersi a velocità macchina

C’è anche una buona notizia, però. Se l’attacco corre a velocità macchina, oggi anche la difesa può farlo. Non basta più prevenire: bisogna rilevare, cogliere quei piccoli segnali che, sommati nel tempo, preparano il grande danno. I sistemi di intelligenza artificiale permettono di “unire i puntini” di tutto ciò che accade in un’azienda, magari sparsa in tanti Paesi o in piccoli uffici commerciali, e di accorgersi che un movimento anomalo in una sede periferica sta puntando al cuore dell’organizzazione.


È un po’ come ricostruire la trama di un film mettendo insieme i fotogrammi, invece di guardarne uno solo. Gli strumenti più avanzati ricostruiscono l’intero percorso dell’attacco e stanno trasformando i sistemi tradizionali in sistemi “agentici”, che pre-elaborano l’incidente per l’analista o, quando serve, rispondono in modo totalmente automatico. È l’unico modo per reggere la sfida di quei ventisette secondi.

Quando la guerra si combatte online

Resta l’ombra più grande: il cyberterrorismo. In un mondo segnato dal moltiplicarsi dei conflitti, è diventato un’arma vera e propria. Livrieri conferma: assistiamo a una guerra cyber e a operazioni di “information warfare”, con gruppi criminali che sostengono i conflitti in corso. Come ci si difende? Conoscendo l’avversario. CrowdStrike ha visibilità su circa 190 gruppi criminali e 150 cluster attivi nel dark e nel deep web. Sapere che un certo gruppo, su un certo forum, sta preparando una certa operazione consente ai governi occidentali e alle agenzie di sicurezza di muoversi in anticipo, prima che qualcuno provi a spegnere una centrale elettrica o a bloccare i trasporti di un intero Paese.

Siamo partiti da ventisette secondi, e forse è proprio da lì che dobbiamo ripartire. Perché la lezione più importante di questa conversazione non è tecnologica, ma quasi filosofica: la domanda giusta non è “se” toccherà a te, ma “quando”, e quanto sarai pronto ad affrontarlo. In un mondo in cui persino le nostre chiavi di casa sono diventate una riga di testo salvata da qualche parte, la vera difesa comincia dove è sempre cominciata: dalla consapevolezza.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 

Source link


Di