Darktrace, gli hacker entreranno dalla porta principale

Darktrace, gli hacker entreranno dalla porta principale

Mike Beck, Global Head of Threat Analysis di Darktrace, tratteggia il comportamento dei criminali, l’attuazione di una vera cyber-war e lo sfruttamento di backdoor.

La mossa di limitare Huawei alle componenti non centrali delle infrastrutture critiche testimonia gli sforzi messi in atto dal Regno Unito nel gestire il rischio informatico per le infrastrutture critiche nazionali e i dati più sensibili del Paese.

L’idea è che, se i cinesi hanno intenzione di spiare il Regno Unito, più verosimilmente lo faranno innestando “backdoor” – deliberate falle di sicurezza – nelle componenti centrali dell’infrastruttura 5G. Quindi, se si tengono le loro componenti infrastrutturali al di fuori di queste aree, si è in grado di sventare il principale metodo utilizzato degli hacker sponsorizzati dagli Stati. Eppure, la realtà che si omette è che questi spesso entrano dalla porta principale.

Il Huawei Cyber Security Evaluation Centre (HCSEC) di GCHQ, frutto della collaborazione dell’azienda e del Governo inglese, monitora l’hardware Huawei dal 2010, controllando ogni dispositivo Huawei destinato a essere utilizzato nel Regno Unito tramite backdoor. Anche se sono state identificate vulnerabilità software che colpiscono tutta la tecnologia, non c’è traccia di alcuna falla che possa essere classificata come “backdoor” deliberatamente o maliziosamente installata.

Le backdoor sono una preoccupazione legittima per la sicurezza informatica – si può scommettere qualunque cosa che se gli hacker sponsorizzati dagli Stati riusciranno a impiantarle con successo all’interno della tecnologia passando inosservati, le sfrutteranno. Gli sforzi del GCHQ per scoprire le backdoor sono sicuramente un tentativo ben accetto, ma non sufficiente a garantire la sicurezza nel contrastare attacchi di questo genere.

È improbabile che delle nazioni estere scelgano l’uso di backdoor come “ingresso principale”, perché sforzi come quelli messi in atto dall’HCSEC possono evidenziare facilmente falle nell’hardware, e una volta esposte, l’attribuzione non sarà difficile. Considerate proprio il caso in questione: se il Centro trovasse delle backdoor impiantate sull’hardware Huawei, saprebbe esattamente verso chi puntare il dito, e il gioco finirebbe in fretta. Alla lunga, sono invece le minacce avanzate e persistenti a fare da padroni.

Nella realtà, gli aggressori sponsorizzati dai Governi lanciano campagne su più fasi, testando diversi percorsi, noti e inediti, per ottenere l’accesso e cancellare le proprie tracce. Una volta all’interno, cercano di passare inosservati per periodi di tempo prolungati, impossessandosi lentamente dei dati più preziosi o acquisendo conoscenze sufficienti a causare danni diffusi.

Inoltre, le minacce più avanzate e persistenti sfruttano le vulnerabilità accidentali, spesso partendo da tecniche di social engineering e di hacking creativo e continuo per accedere a sistemi critici e rimanere inosservate.

Gli hacker al servizio degli stati esteri non hanno bisogno di installare backdoor perché sempre più spesso si accontentano dell’ingresso principale. L’attacco del 2015 alla rete elettrica ucraina, ad esempio, che ha fatto sprofondare nell’oscurità un’intera comunità, ha combinato lo sfruttamento delle vulnerabilità accidentali conosciute con lo spear phishing – una serie di email false inviate ai dipendenti che contenevano in allegato documenti Word maligni.

Questa metodologia di attacco è più incisiva perché maggiormente mirata. Sempre più spesso, infatti, vediamo questa tipologia di hacker ottenere l’accesso iniziale corrompendo o ricattando i dipendenti in possesso di importanti credenziali amministrative, o addirittura ottenendo l’accesso fisico alle strutture obiettivo.

È proprio la creatività degli aggressori ad aver innescato il cambio di rotta verso il monitoraggio continuo del rischio nei vari network distribuiti a livello globale, che comprendono numerose terze parti localizzate in tutto il mondo, utilizzando l’intelligenza artificiale.

Il numero di entry point e di potenziali movimenti che devono essere analizzati è semplicemente troppo elevato per i team di sicurezza composti dalle persone; oggi sono i sistemi di intelligenza artificiale comportamentale a fare il lavoro pesante per un numero sempre crescente di enti governativi in tutto il mondo, comprendendo e anticipando le decisioni degli avversari a una velocità e scala che gli esseri umani non possono eguagliare.

Bannare Huawei dalle componenti dell’infrastruttura 5G in cui si trovano i dati maggiormente sensibili rappresenta un tentativo di gestione del rischio degli attacchi sponsorizzati dagli Stati contro le infrastrutture critiche. Tuttavia, concentrare gli sforzi principali della propria strategia di sicurezza nazionale sull’esclusione di un fornitore dalle componenti più sensibili della rete e sull’esame di tutto il suo hardware per verificare la presenza di backdoor impiantati significa perdersi nei dettagli e non vedere la situazione reale nel suo complesso.

Il punto è che non possiamo realmente prevedere dove gli hacker faranno la prossima mossa nel perseguire il proprio obbiettivo di ottenere l’accesso ai dati e alle infrastrutture critiche di una nazione. Potrebbero impiantare delle backdoor – e certamente smantellare ogni singolo pezzo potrebbe essere utile per difendersi da questo tipo di minaccia – ma questo è solo uno dei tanti modi in cui possono infiltrarsi. Affidarsi a esseri umani che eliminano le componenti di un vendor e riparare le vulnerabilità non sarà sufficiente per combattere questa minaccia imprevedibile; la nostra infrastruttura deve essere in grado di difendersi da sola.