Viaggio al centro del cybercrimine

Ogni volta che leggi una notizia che tratta dell’arresto di un cyber-criminale, puoi stare certo che la maggior parte del lavoro di investigazione si può attribuire ai ricercatori anti-malware sparpagliati

Ogni volta che leggi una notizia che tratta dell’arresto di un cyber-criminale, puoi stare certo che la maggior parte del lavoro di investigazione si può attribuire ai ricercatori anti-malware sparpagliati in giro per il mondo.

Sia che si tratti dello smantellamento di una botnet spam, dell’esplosione di una gang Koobface o dell’arresto dei cyber-criminali responsabilli del trojan  bancario Zeus, le forze dell’ordine di tutto il mondo chiedono aiuto ai migliori ricercatori in materia di sicurezza IT (in particolare agli esperti specializzati in malware). La loro collaborazione è preziosa per la buona riuscita delle indagini e per tintracciare le prove che possono eventualmente portare ad un arresto.

Jeff Williams sa quanto è difficile riconoscere un attacco informatico e realizzare un indagine. Dopo aver lavorato come program manager presso il Microsoft Protection Center (MMPC) e essere passato alla Dell SecureWorks, Williams ha partecipato allo smantellamento di varie reti botnet, incluso la virulenta Waledac e le operazioni Zeus e Kelihos.

In un’intervista, Williamas ha spiegato che le indagini iniziano quasi sempre in un laboratorio anti-malware. “A volte sono le forze dell’ordine ad aprire le indagini. Altre volte l’indagine nasce nei laboratori, nel momento in cui stiamo lavorando su di un nuovo malware. Anche quando si tratta di un’indagine, le forze dell’ordine ci contattano per avere informazioni approfondite sul malware. In Microsoft, la priorità era proteggere i clienti; il nostro lavoro era capire le proporzioni del problema, l’impatto sugli utenti di Windows e offrire una maggiore protezione”, spiega Williams.

E’ un lavoro multi-sfaccettato. “I ragazzi del laboratorio fanno il lavoro sporco. Verificano che il malware esista, raccolgono i campioni (questa è la parte più consistente del lavoro) e poi procedono con il processo di ingegneria inversa” afferma Williams. Questo lavoro include algoritmi complessi di ingegneria inversa capaci di rompere il protocollo di comunicazione che il malware utilizza per comunicare con l’hacker. “Vogliamo sapere come si controllano i binari attraverso l’infrastruttura di controllo e comando creata dall’hacker; dove sono i nodi e che comandi usano. Tutto questo lavoro è condotto in un laboratorio anti-malware. E’ un lavoro molto importanete.”

Solo dopo che il laboratorio ha raggiunto una comprensione completa della struttura interna del malware e delle contromisure tecniche da adottare (sia attraverso un aggiornamento delle definizioni virus, che con il miglioramento delle tecnologie di difesa), le forze dell’ordine aprono l’azione legale. “Qualche volta, dobbiamo presentarci in tribunale e lavorare a stretto contatto con le forze dell’ordine”, spiega Williams.

Costin Raiu, responsabile del team Global Research & Analysis presso Kaspersky Lab, è d’accordo sul fatto che le indagini sul cybercrimine possono essere molto ‘complicate’. Il team di Raiu ha lavorato fianco a fianco con Microsoft, CrowdStrike, OpenDNS e altre entità rappresentative dell’industria della sicurezza IT per gestire lo smantellamento di un’operazione di  botnet. Secondo il ricercatore si tratta di un lavoro molto complesso “un lavoro multi-sfaccettato e intenso”.

“Direi che la competenza dei ricercatori è fondamentale e può fare la differenza nelle indagini; può condurre a un arresto o a un criminale in fuga”, afferma Raiu.

Oltre all’ingegneria inversa e allo scambio di informazioni con le forze dell’ordine, i ricercatori di sicurezza lavorano spesso a stretto contatto con il CERT (Computer Emergency Response Team) nel momento del sequestro o dello smantellamento dei server hackerati o dell’analisi del server alla ricerca di prove e informazioni utili per il processo.

“Il crimine cibernetico è un campo incredibile e complicato, multi-sfaccettato. Ecco perché ai ricercatori viene spesso chiesto di offrire il loro aiuto in qualità di esperti durante i processi” spiega Raiu.

I laboratori malware esperti in cyber-sicurezza ricorrono spesso all’utilizzo di Open Source INTelligence o OSINT. Questa parte dell’indagine è esaustiva e molto spesso comporta il rastrellamento della rete alla ricerca di qualsiasi indizio che possa portare al criminale o all’operazione malware.

“Nel corso di una indagine, sono molti gli indizi che possono portarci sulle tracce dell’identità di un cyber-criminale. Alcuni campioni di codici possono includere un nickname o un certo stile di programmazione. Questo genere di informazioni possono essere usate  come punto di partenza nel processo che porta all’arresto di un criminale” spiega Williams di Dell SecureWorks.

I ricercatori usano un nickname o un indizio estrapolato da un pezzo di codice o un indirizzo e-mail da un nome di dominio registrato per setacciare le community on-line, come Facebook, Twitter, YouTube, Wikis, blog o qualsiasi altro tipo di contenuto generato dall’utente in cui il criminale possa aver utilizzaro quel nickname o indirizzo e-mail.

Nel caso di Koobface, il team di sicurezza di Facebbok ha condotto una operazione di open source intelligence in collaborazione con la community dei ricercatori di sicurezza IT; insieme hanno reso pubblici i nomi, le foto e le identità delle persone che ritengono responsabili dell’attacco diffusosi in questo network. Questa informazione ha raggiunto i mezzi di comunicazione come parte di una operazione di denuncia.

“La maggior parte del lavoro è tecnico e riguarda la protezione dei clienti, ma le informazioni vengono poi condivise con le forze dell’ordine e sono molto rilevanti per le indagini. Quando si giunge a un arresto o si va in tribunale, la maggior parte del lavoro (potete starne certi)  è stato svolto nei laboratori di ricerca” aggiunge Williams.

“L’attribuzione del reato e dell’arresto non è sempre parte delle operazioni iniaziali. Tuttavia quando un laboratorio malware scopre qualcosa di importante, i risultati della ricerca vengono passati alle forze dell’ordine e ciò può condurre ad un arresto o a una azione legale” aggiunge Williams.

Williams ripete più volte che il lavoro della community di ricerca deve essere di qualità perché le informazioni devono essere eventualmente presentate in tribunale.

a2

I ricercatori che si occupano di cyber-sicurezza si lamentano spesso della lentezza dei tempi legali, sopratutto quando si tratta di attacchi virulenti come il trojan bancario o le reti botnet che portano a frodi banacarie. La lentezza del sistema giudiziario ha spinto Facebook a  pubblicare i dettagli dell’indagine Koobface prima della fine del processo. Willliams sottolinea però che le cose stanno migliorando.

“E’ assolutamente necessario migliore il sistema penale. I criminali sanno che leggi non sono severe e cosa devono fare per evitare di essere beccati. Comunque sia, io credo che le forze dell’ordine ogni giorno imparano a gestire meglio questi casi. Siamo testimoni di casi dove sono state applicate leggi che non hanno nulla a che vedere con il cyber-crimine”, aggiunge l’esperto riferendosi al caso Zotob, processo in cui alcuni criminali informatici sono stati perseguiti per riciclaggio di denaro, evasione fiscale e frode finanziaria in base alle leggi vigenti in queste materie.

“Si tratta di una evoluzione naturale; le tecniche di difesa e di demolizione della rete del crimine informatico non possono che migliorare. Se la rete del cyber-crimine non verrà smantellata, i delinquenti continueranno a rubare soldi e questi soldi verrano reinvestiti in altri attacchi. Tuttavia, io credo che siamo giunti a un punto in cui le competenze tecnologiche e la cooperazione con le forze dell’ordine possono fare la diffenza nella battaglia contro il cyber-crimine”, conclude Williams.

Consigli