Gruppi criminali sempre più potenti e ricchi, Intelligenza Artificiale, Machine Learning e visibilità sono alcuni dei temi toccati dall’esperto di cyber security Mikko Hyppönen di WithSecure nell’incontro con la stampa a Milano.
In un’epoca in cui gli esperti di security sono fra le figure professionali più richieste al mondo, e in cui a fare la differenza fra un esperto di altissimo livello e un aspirante tale è più l’esperienza che la formazione, è un piacere incontrare Mikko Hyppönen, Chief Research Officer di WithSecure. Il perché è presto detto: un conto è raccontare “i numeri” della cyber security odierna (xx attacchi, di cui xx ransomware, xx APT, etc), un conto è padroneggiare la memoria storica e il vissuto che occorrono per tracciare paragoni circostanziati e coerenti fra quello che accadeva ieri e quello che succede oggi, e attraccare a una previsione attendibile dell’era cybersec di domani. L’esperto ha ribadito le sue considerazioni sulla guerra in Ucraina, già espresse nel corso dell’evento Sphere22 di Helsinki. Ieri è andato oltre.
Ieri ChannelCity ha incontrato Hyppönen, che ha appena compiuto 31 anni di lavoro in quella che fino a poco tempo fa era F-Secure e oggi è WithSecure. L’esperto non ha citato un solo numero, ma ha dipinto un quadro dello scenario ancora più forte, proponendo riflessioni alla luce di una ferrea logica temporale. Il punto centrale non è il cybercrime e non è il computer. Il nocciolo della questione è la necessaria presa di coscienza del fatto che la tecnologia non è neutrale, per questo Internet è allo stesso tempo “la cosa migliore e la cosa peggiore”.
Sul lato positivo della medaglia possiamo annotare il business, la connettività, la socialità. Sull’altro però troviamo i rischi per la privacy, i criminali informatici, il terrorismo. Per comprendere il concetto basta un esempio semplice: le persone che erano isolate all’interno della propria community fisica perché avevano idee diverse dai concittadini, con Internet hanno potuto costruire una community globale, che le ha fatte uscire dall’isolamento e gli ha permesso di dialogare con chi la pensava allo stesso modo, organizzare iniziative per sensibilizzare l’opinione pubblica, e molto altro. La stessa Internet, però, ha facilitato il recruiting di terroristi e la moltiplicazione di attentati a fini terroristici.
Questo dimostra che la tecnologia è sempre la stessa, ma può essere usata a fin di bene ottenendo benefìci per la società, o con fini malevoli causando problemi. Tutta colpa di Tim Berners-Lee? Per nulla, semplicemente è tutto riconducibile al fatto che ogni volta che creiamo una tecnologia è assolutamente imprevedibile l’uso che potrà esserne fatto in futuro. E al fatto che la tecnologia neutrale non esiste. E una volta che è stato inventato qualcosa, non si può “disinventarlo” per impedire che qualcuno ne approfitti.
In una discussione su questo tema non poteva che venire a galla Pegasus, il software inventato dai “buoni” per intercettare conversazioni e dati ai fini investigativi. Un prodotto costosissimo, accessibile solo da Governi o intelligence governative. Peccato che non tutti lo abbiamo usato allo stesso modo: alcuni Governi totalitari, per esempio, lo hanno impiegato per spiare diplomatici e giornalisti dei Paesi avversari.
All’opposto, TOR è quasi sempre impiegato a fini illegali, sfruttato dal cybercrime per impedire alle forze dell’ordine e agli esperti di security di localizzare (e quindi spegnere) i server da cui vengono sferrati gli attacchi informatici. Però è una manna per i cittadini che vivono sotto regimi totalitari, che grazie a TOR riescono ad aggirare la censura. Molti ricorderanno che molte emittenti occidentali e social hanno attivato canali TOR all’inizio del conflitto ucraino proprio per dare la possibilità ai cittadini russi di conoscere che cosa accadeva davvero oltreconfine.
Lo scenario descritto finora sembra non lasciare via di scampo: dato che la nostra vita fisica è ormai indissolubilmente legata alla nostra vita digitale, e che non possiamo più “disinventare”, sembra ci si debba rassegnare. Invece Hyppönen indica una via d’uscita tanto semplice quanto l’origine del problema: dobbiamo imparare a usare la tecnologia in modo sicuro. Serve una “strong security” che impedisca l’uso illecito o con fine dannoso di quello che c’è e che ci sarà. L’esperto parla chiaramente di una rivoluzione tecnologica di massa a cui tutti sono chiamati e che – ci piaccia o meno – dovremo mettere in atto, dato che ormai abbiamo ucciso la privacy e viviamo immersi in una vita digitale indissolubile dall’esistenza fisica.
A partire dalla filosofia di base con cui sono fabbricati i dispositivi. Una declinazione allargata per il concetto non certo nuovo di secured by design, in una chiave ben più ampia di quella finora affrontata (peraltro senza grandi risultati concreti finora). Come sempre, Hyppönen si è mosso per esempi per far arrivare il concetto forte e chiaro. Su un computer Windows chiunque può scrivere del codice ed eseguirlo, testarlo, quindi diffonderlo. Con i sistemi Apple e con le console di gaming non funziona così: chiunque può scrivere un programma, ma per poterlo usare deve prima ottenere l’approvazione della casa produttrice, che ovviamente ha l’onere di condurre tutte le verifiche sulla security.
Sappiamo che non è un metodo perfetto, ma è innegabile che i sistemi chiusi siano più sicuri di quelli aperti. Il risultato è che un exploit per sistemi Apple costa tantissimo ed è difficile usarlo, quindi pochi si cimentano in un’impresa simile (per colpire uno share di mercato che comunque non supera il 20%). Al contrario, la cronaca di cybersec ricorda quotidianamente che un exploit per sistemi Windows è economico, facile da reperire e da usare.
Fin qui per la parte produttori. Va da sé che poi spetta anche a ciascun singolo utente tutelare la propria privacy e muoversi online applicando tutte le best practice per non favorire le attività criminali. Una questione culturale più che nozionistica, che molti hanno già appreso a proprie spese, e gli altri faranno lo stesso con il tempo.
Spetta poi alle aziende attuare un contrasto proattivo al cybercrime. Come? La partita oggi si gioca tutta sulla visibilità: di ogni singolo endpoint, di ogni nodo dell’infrastruttura, di ogni risorsa in cloud e on-premise, e di ogni dato. Perché sempre più spesso l’indicatore di un attacco non è un file malevolo, ma un’attività apparentemente lecita, fino a quando non la si contestualizza, e si scopre che non ha senso di esistere. Per esempio: perché due server che storicamente non hanno mai comunicato fra loro adesso si scambiano file? Perché un dispositivo interno spedisce senza ragione dati all’esterno? Crescono più queste sottigliezze che indicano la presenza di un attacco. Prima le si individua, meno danni si subiranno.
Finora si è dibattuto di massimi sistemi: Internet, strong security, privacy. Hyppönen però è andato oltre e ha parlato diffusamente anche dell’altra metà del cielo: il cybercrime. L’esperto spiega che cinque anni fa ha coniato lui stesso il termine cybercrime unicorn. Ricordiamo che unicorn (in italiano unicorno), applicato all’ambito della finanza indica una startup che ha superato una valutazione di mercato di un miliardo di dollari, benché non sia quotata in Borsa.
Per estensione, i cybercrime unicorn sono i gruppi di criminali informatici che hanno accumulato capitali da capogiro. Hyppönen ritiene che il concetto avveniristico che aveva espresso si sia ormai ampiamente concretizzato. “Oggi ci sono gruppi di hacker che sono autentici unicorni: potenti, ricchi, per lo più russi”. La loro ricchezza è dovuta principalmente a due fattori: i soldi che incassano annualmente con vari tipi di cyber attacchi e il fatto che lavorano in Bitcoin. Il primo aspetto è scontato; il secondo fa riferimento alla quotazione del Bitcoin: quand’è stato creato nel 2009 un bitcoin valeva meno di 0,01 euro, nel 2017 quando sono arrivati gli attacchi con WannaCry e Not Petya un bitcoin valeva oltre 16.000 euro, nel 2021 il valore al cambio era 48.400 euro per 1 bitcoin. I criminali informatici sono i primi ad avere usato la moneta virtuale in virtù della sua non-tracciabilità, e chi è nel settore da anni ha visto lievitare in maniera pazzesca la sua liquidità.
Che fine fa tutto questo denaro? Ovviamente viene in parte reinvestito nell’attività, foraggiando nuovi tipi di attacchi sempre più complessi e insidiosi, infrastrutture sempre più solide e difficili da bloccare. Il risultato è la formulazione di attacchi come quello contro Kaseya, che Hyppönen ha portato ad esempio: è stato impiegato un exploit per una falla zero-day. Gli zero day hanno costi (centinaia di migliaia di dollari) e richiedono tempi e competenze di cui un tempo solo militari e Governi disponevano. Oggi, grazie ai cybercrime unicorn, sono alla portata del cybercrime.
Pensare a Kaseya porta inevitabilmente la memoria ad altri casi che hanno avuto enorme risonanza mediatica, come JBS e Colonial Pipeline. Hyppönen traccia due linee di connessione chiare che gli servono da gancio per un altro argomento scottante: sono tre aziende statunitensi; gli accusati sono tutti russi. Era inevitabile che gli USA mettessero una taglia sui responsabili, di importo talmente alto, che nella storia è eguagliato solo dalle cifre che il Governo era disposto a pagare per catturare i terroristi. Da qui il primo passaggio chiave: gli attacchi informatici sono diventati talmente importanti da essere trattati alla pari del terrorismo. Questa informazione era già nota, quello che molti non avevano calcolato è l’impatto che tale taglia ha avuto sul cybercrime: è scattata una inedita competizione fra gruppi rivali, ed è partita una “stagione di caccia” come non si era mai vista nella storia. Il problema è che non ha portato a nulla.
Il discorso dei cybercrime unicron però non è finito. Anzi, si amplia a dismisura quando si parla di futuro, e in particolare di Intelligenza Artificiale e di Machine Learning. Oggi sono le nostre armi di difesa migliori. Finora il cybercrime non le ha usate negli attacchi perché non servivano, e perché costavano troppo: i programmatori di ML sono pagati talmente bene dalle aziende legali da non avere bisogno di riciclarsi in quelle illegali.
Ma Hyppönen allerta: gli unicorni iniziano a investire. Stanno impiegando queste tecnologie avanzate per monitorare il successo delle campagne di phishing basate sul social engineering (l’argomento x, spedito alla categoria y di utenti, ottiene un maggior numero di clic), l’efficacia dei malware e la risposta della security IT. Si arriverà inevitabilmente al momento in cui le azioni difensive operate dai “buoni” suggeriranno ai “cattivi” i punti deboli e i modi più efficaci per portare avanti gli attacchi. È un’evenienza da mettere in conto secondo l’esperto. Ma è molto più preoccupante quello che arriverà dopo: “lo shift ci sarà quando l’AI auto-ottimizzerà il codice scritto dal programmatore”. Accadrà nell’arco di una decade, e a quel punto l’AI andrà protetta. Ritenetevi avvisati.