Il valore del cybercrime

Spesso si parla di economia del cybercrime parlando del giro di soldi, effettivamente enorme, che c’è dietro l’attività della criminalità organizzata che costantemente inonda le caselle di posta di malware, phishing e schifezze di questo tipo.

Spesso però mancano i dati reali di quanto sia questo giro d’affari, e cosa c’è di più reale di un listino prezzi?

Grazie a Gianni, posso mostrare uno di questi prezziari, tra l’altro molto recente

black market price list

Ovviamente la moneta di riferimento è sempre BitCoin, ma per comodità qui hanno fatto anche una pratica conversione con gli euro.

Oltre a far comprendere il giro d’affari (perché i prezzi naturalmente sono legati al mercato, con tutte le logiche di domanda e offerta che ne conseguono), si capisce bene anche la semplicità di fare certe cose, rispetto alla complessità di farne altre.

Non mi soffermo nemmeno sui conti bancari/carte di credito, visto che sul mercato (in particolare quello USA, dovuto ad una scarsa sicurezza dell’implementazione) non valgono praticamente più nulla.

È interessante però il lato dei servizi, in particolare quelli legati alle password.

45.000 password di WordPress, ovvero l’accesso alla parte amministrativa di 45mila blog costano solo poco più di 300 euro.

Questo “servizio” è molto importante perché la compromissione di siti WordPress (la più diffusa piattaforma di blogging web), è il primo passo per implementare una campagna di phishing o diffusione malware, senza praticamente rischiare nulla e senza avere legami poi con il sito che offre il codice malevolo.

Interessante anche il servizio di firma del codice (indicato come REALE), che permette di inviare un malware che risulta firmato, quindi potenzialmente passerebbe le policy di sicurezza di Windows. Il costo è qui più elevato, sugli 800 euro.

Molto basso invece, nemmeno 50 euro, il costo di un kit per farsi in casa il proprio ransomware (Cryptolocker e affini). Il che spiega anche la grande quantità di questo tipo di attacchi negli ultimi mesi, ma è un’altra storia…

I prezzi salgono, anche di qualche decina di migliaia di euro, per gli exploit zero day o quasi.

Mentre causare un kernel panic costa poco, ma può comunque provocare danni se mirato su un server critico, un attacco 1day (perché noto) sfruttando la CVE-2015-0057 mirata ad una privilege elevation su un server Windows arriva a più di 10.000 euro.

Il top di gamma del listino è un attacco, sempre verso un server Windows ISS che permette, sfruttando la vulnerabilità MS-15-034, di eseguire codice sul server stesso.
Qui arriviamo a 65.000 euro, praticamente il costo di un monolocale.

Ovviamente il prezzo molto elevato è dovuto alla scarsità di offerta e alla domanda molto elevata, visto molti server sono vulnerabili e al momento non risulta ci sia ancora una patch valida.

Tornando al discorso dell’economia, il fatto che questi prezzi vengano esposti, significa che qualcuno è disposto a pagarli. Subito e in contanti.

Il fatto poi che le cifre in gioco sono così alte indica che comprando questi servizi, exploit o kit, ovviamente testati e funzionanti, si ha la certezza di poterli usare per guadagnare ancora di più.

La sicurezza è un trade-off, anche in volo

scatola nera

Bureau d’Enquetes et d’Analyses, via Associated Press

Adoro la sicurezza aerea.

L’adoro perché la ritengo la massima espressione di metodologie e tecniche di sicurezza che l’umanità abbia (per ora) mai raggiunto.

Questo perché

  • lavora contro natura: volare è una delle poche cose che gli umani non possono fare, quindi farlo significa andare fondamentalmente contro la nostra natura,
  • salva realmente delle vite: se un aereo cade, muoiono tutti (non sempre,m ma chi vuole sfidare le probabilità?),
  • coinvolge tantissime persone: magari la sicurezza aerospaziale può essere migliore, ma di sicuro riguarda molte meno persone,
  • ha una capacità incredibile di trovare e applicare le lessons learned: gli investigatori di sicurezza aerea sono tra i migliori al mondo, sangue freddo, esperti reali e riconosciuti, e sempre mirati a trovare la causa del perché si è verificato un incidente,
  • è pragmatica: il focus è sempre risolvere il problema nel modo più rapido possibile, e trovare la soluzione migliore affinché l’incidente non si ripeta mai più,
  • ha conseguenze enormemente visibili: tutti odiano la sicurezza aeroportuale, no?

Ma, come tutte le metodologie di sicurezza nel mondo, implica sempre un trade-off.
Necessita sempre di trovare un equilibrio.

Nel recente passato due eventi hanno cambiato molto le procedure, i controlli e in generale la sicurezza aerea.

9/11

Gli attacchi dell’11 settembre sono stati una pietra miliare nella sicurezza aerea, perché mostrarono a tutti l’anello più debole (ai tempi) della catena della sicurezza: il rischio che qualcuno potesse prendere il controllo dell’aereo.

La IATA (l’associazione mondiale delle compagnie aeree) ha pubblicato qualche anno fa un’ottima analisi su come la sicurezza aerea è cambiata dopo l’11 settembre (qui il PDF).

Uno dei punti più interessanti della timeline riportata nell’analisi è questo

Entro il primo marzo 2002, tutte le maggiori compagnie aeree USA completarono l’installazione delle modifiche alle porte della cabina di pilotaggio.

Solo 4 mesi dopo gli attacchi e dopo che il Rapid Response Team della FAA (l’ente del governo statunitense per l’aviazione civile) raccomandò la modifica. Entro il novembre 2003 tutti gli aerei del mondo con più di 60 passeggeri avevano il nuovo standard per le porte.

Quelle porte ora possono resistere ad un’esplosione di una granata.

Il disastro di Tenerife

Il disastro di Tenerife è un’altra pietra miliare nella sicurezza aerea. Non tanto per l’impatto tragico ma limitato come vittime e sulla vita di chiunque, quanto mostrò un altro anello debole della catena, forse il più debole di tutti: l’essere umano.

Gli umani sono esseri fallibili, e prima di Tenerife chiunque pensava che il capitano non lo fosse. Ma il capitano è anche lui un essere umano come tutti gli altri, può sbagliare come tutti e, a differenza di molti, i suoi errori costano molte vite.

L’incidente non solo ha cambiato le procedure di comunicazione tra cabina e torre di controllo (anche se non fu abbastanza, vedi il disastro di Linate), ma ancora più importante cambiò il ruolo del capitano. Per sempre.

Non più un uomo solo al comando, ma dei rapporti gerarchici più rilassati, e un nuovo set di procedure di allenamento e operative chiamato Crew Resource Management (CRM) sono state implementate su l’intera industria dell’aviazione civile.

E adesso l’incidente Germanwings

Siamo al presente.

Come riportato dal New York Times con uno scoop da scuola di giornalismo, non solo il disastro è stato causato da un uomo solo ai comandi, ma l’altro pilota è rimasto fuori, bloccato dallo stesso meccanismo delle porte pensato per evitare un dirottamento.

E il meccanismo, sfortunatamente per le vittime, ha funzionato benissimo.

Questo è il trade-off

Il meccanismo di blocco delle porte è fatto male? No.
Ha causato la morte di molte persone? Probabilmente sì.
Ha protetto molti voli dall’essere dirottati facilmente come negli attacchi dell’11 settembre? Probabilmente sì.

Penso che le regole della sicurezza aerea cambieranno ancora, provando a proteggerci tutti da ogni tipo di minaccia e ogni tipo di rischio mentre voliamo lassù.

Penso anche che l’attitudine di imparare costantemente sia la chiave del successo della sicurezza aerea, e il perché volare è ancora il modo più sicuro di viaggiare.

Penso fortemente che ogni azione che viene intrapresa per contrastare un rischio abbia conseguenze, trade-off e necessiti di trovare un equilibrio. Che può includere ritardi per i controlli all’aeroporto, passeggeri frustrati e, in casi estremi, anche delle morti.

Questo è vero per la sicurezza aerea, ma è vero per tutte le forme di sicurezza, inclusa la sicurezza IT e la Cyber Security.

In definitiva credo che tutti noi dobbiamo imparare dalla sicurezza aerea su come mitigare i rischi e contrastare le minacce e come applicare, velocemente e con efficacia, delle lessons learned imparate in modo così doloroso.

E naturalmente affrontare le conseguenze delle scelte che vengono fatte.

Siete d’accordo? Cosa pensate voi?

L’intelligence italiana usa FinFisher?

Torno a parlare dell’attività dei nostri servizi di intelligence, sempre in seguito a leak di informazioni.

L’altra volta si trattava della pubblicazione di indirizzi non proprio nascosti, ma nemmeno tanto pubblici, usati per ricercare fonti OSINT e poi divenuti OSINT loro stessi.

Stavolta si tratta di cose molto più serie, come seria è la fonte: Wikileaks.

Grazie all’eccellente opera di ricerca e pubblicazione fatta da Stefania Maurizi, ieri ha avuto molta eco la pubblicazione da parte di Wikileaks di un altra tranche di informazioni sul prodotto di spionaggio FinFisher, e i clienti governativi che l’hanno acquistato.

Che cos’è FinFisher?

FinFisher è una suite di programmi (in particolare il prodotto FinSpy), prodotti dall’omonima azienda anglo-tedesca, specializzati nel raccogliere informazioni e intercettazioni in un modo molto particolare (ma efficiente): installando spyware.

Già questo non è propriamente il modo più corretto di fare queste cose, ma del resto si può comprendere che una intercettazione per essere efficiente debba essere svolta nel modo più anonimo possibile, e intrusivo allo stesso tempo.

Vista la delicatezza dei prodotti, il loro uso è quasi esclusivamente destinato ad ambienti governativi, gli unici che dovrebbero avere hanno il potere giudiziario per svolgere questo tipo di controlli.

Fin qui nulla di particolare, se non che FinFisher è finito nel mirino degli attivisti per i diritti umani perché pare avesse venduto il proprio prodotto non solo a governi democratici (umh…), ma anche a regimi oppressivi come ad esempio l’Egitto di Mubarak, l’Etiopia o il Vietnam e il Bahrain.

F-Secure, nel 2011, aveva pubblicato tutti i documenti ritrovati dai ribelli negli archivi del Cairo.

L’Italia usa FinFisher?

Stando a quanto dice Wikileaks, pare proprio di sì.

L’Italia, anche se non è specificato quale ente o agenzia di intelligence o di polizia, ha acquistato delle licenze di FinFisher ed è nell’elenco dei clienti pubblicato dall’organizzazione di Julian Assange

italy finfisher

Tra l’altro uno degli allegati pubblicati sembrerebbe far pensare che ci sia anche una localizzazione in italiano del prodotto, cosa che non risultava dai documenti pubblicati finora

finspy italian error

Qualche osservazione

Devo dire che il fatto di trovare l’Italia su questa lista non mi stupisce più di tanto. In fondo il prodotto è uno dei migliori in questo campo, altrimenti non sarebbe stato usato da nazioni con regimi che esercitano un controllo estremo sui propri cittadini.

Manca però, ad oggi, il chi e il perché.

Sul chi posso fare qualche speculazione basandomi sulla cifra: un totale di 1.024.200 €.

Non è poco, e avendo qualche esperienza in contratti pubblici (anche segretati) quella cifra è comunque alta per permettere un acquisto tranquillo.

Direi che i casi sono due

  1. Una unicità del prodotto, cosa possibile visto che FinSpy pare essere unico nel suo genere. Esistono altre soluzioni più o meno lecite che inviano spyware e malware, ma di sicuro non sono pacchettizzate, non hanno supporto e training-on-the-job da parte degli sviluppatori. O meglio, ci sono, ma le vendono nell’underground le organizzazioni criminali.
  2. È stato acquisito da chi non ha vincoli. E in Italia questo significa sostanzialmente due stazioni appaltanti: la Protezione Civile, in caso di calamità naturale, e il Sistema di informazione per la sicurezza della Repubblica.

E onestamente non penso proprio che un alluvione si combatte con lo spyware.

Parliamo del perché.

Su questo vanno analizzate le licenze acquistate, che sono poche.

finspy italy license

Lo stesso numero è stato preso sia per FinSpy normale che per quello mobile, anche se dall’elenco pubblicato da Wikileaks non è chiaro come vengano suddivise.

Certo è che altri clienti, come ad esempio il customer 86 (non ancora noto chi sia), ne ha prese duecento.

finspy customer 86

L’Estonia ne ha prese anche in numero analogo.

Detto questo sarebbe da conoscere il modello di licensing di FinFisher, ma vista l’esiguità delle licenze acquisite (a fronte però di un prezzo molto elevato, giustificato dal tipo di prodotto e dalla clientela governativa) lascia pensare che siano state prese per una Proof of Concept (PoC). Cioè un test per permettere all’ente che le ha acquistate di provare il prodotto, magari su target molto specifici e particolarmente critici per la sicurezza nazionale, e poi eventualmente estendere l’installato comprando altri target da usare.

Sarebbe interessante quindi sapere chi le ha queste licenze, il che chiarirebbe molto di più come e perché vengono usate.

Su questo sappiamo però che i diretti interessati non risponderanno mai, speriamo in Wikileaks.