Crowdsourcing per trovare falle nella sicurezza su internet: alcune piattaforme sperimentali coinvolgono pirati informatici per scoprire i punti deboli nelle difese di aziende e istituzioni pubbliche. Resta una goccia nel mare. Ma è un tentativo di affrontare la rapida evoluzione degli attacchi online. Bugcrowd ha progettato il «bug bounties as a service»: chiede la collaborazione degli hacker per andare a caccia (ricompensata) di bug. La traduzione letterale di bug è insetto. I primi colossali elaboratori elettronici adoperavano valvole termoioniche e lunghi cablaggi resi inutilizzabili, appunto, dagli insetti. Sembra che a scegliere la parola bug sia stata Grace Hopper, pioniera delle programmatrici informatiche di epoca contemporanea. E da allora bug, semplificando, può indicare anche un errore in grado di aprire la strada ai pirati. Non esistono stime o sondaggi: la comunità dei ricercatori di sicurezza digitale è eterogenea. Spesso sono appassionati di hacking con una lunga esperienza alle spalle, come i fondatori dell'italiana ReVuln che parteciperanno al convegno Black Hat Europe di Amsterdam dove convergono gli hacker. L'altra startup che mira al crowdsourcing e ha acceso i motori da pochi mesi è CrowdStrike, fondata dal l'ex vicepresidente di threat research di McAfee, Dmitri Alperovitch: ha costruito una piattaforma per esaminare i rischi di sicurezza informatica dopo aver assistito al rapido aumento delle incursioni attraverso internet.
Conquistano consensi le prove sul campo di penetration testing. Google assegnerà premi fino a 3 milioni di dollari per scalfire il sistema operativo ChromeOs e in questo modo valuta, ad esempio, quanto sia sicuro da eventuali tentativi di intrusione. Il penetration testing conosce una rapida evoluzione: è la simulazione di attacchi contro le difese digitali di un'azienda. A condurla sono hacker etici o imprese. Mettono alla prova la solidità del perimetro difensivo per capire quanto possa reggere a un'azione offensiva vera di criminali. Descrive la mutazione dello scenario Mikko Hypponen, chief research officer di F-Secure: ha ricordato durante la conferenza Dld che sta cambiando il cyberwarfare. Gli Stati sostengono ampie campagne di incursioni digitali e alimentano le Advanced persistent threat (Apt) capaci di mettere alla prova anche le aziende di sicurezza informatica. Complicano il panorama gli hacktivist come il gruppo Anonymous. Che sono meno imprevedibili di quanto si pensi. La piattaforma Recorded Future pubblica calendari con le date delle prossime mobilitazioni: i pirati informatici hanno l'abitudine di comunicare nei social network o sui blog quando inizieranno le loro campagne, anche per coinvolgere più utenti. E in questo modo i dati vengono elaborati fino a ricostruire un'agenda dei giorni a rischio. Negli attacchi, come ha osservato Hypponen, sono coinvolti inoltre cittadini che partecipano alle operazioni degli hacktivist.
Non perde tempo nemmeno la catena di montaggio della criminalità organizzata. Di recente Brian Krebs, esperto di sicurezza informatica, ha scoperto che una falla nei muri elettronici adoperata da Duqu viene impiegata anche dal kit di Cool: è una versione a pagamento di Blackhole. Come Nòva aveva anticipato, i criminali avrebbero imparato a riutilizzare i software di cyberspionaggio progettati dai governi e scoperti negli ultimi anni. Fino a trasformarli in minacce per utenti e imprese. Duqu è imparentato con Stuxnet e viene adoperato per sottrarre dati, in particolare nelle aziende. I criminali hanno utilizzato una parte dei suoi codici per assemblare Cool: è un laboratorio a pagamento dove gli utenti possono fabbricare software malevoli (malware), come i ransomware, ed è stato costruito dal medesimo gruppo che ha varato l'exploit kit più diffuso al mondo, Blackhole, diventato da anni un modello di riferimento per il «crime as a service». I criminali imparano presto.
© RIPRODUZIONE RISERVATA
