Non è un aspetto molto conosciuto della cyber security, ma per gli addetti ai lavori l’Open Source Intelligence sta acquisendo un valore sempre più elevato in chiave di prevenzione degli attacchi informatici alle aziende. La raccolta di informazioni attraverso fonti pubbliche, infatti, è una delle scacchiere su cui si gioca il confronto tra pirati informatici ed esperti di sicurezza. Ma perché riveste una grande importanza e da quali dinamiche è caratterizzata?
Contrastare i professionisti del cyber crimine
Contrastare i professionisti del cyber crimine
I pirati informatici non sono tutti uguali. Nel variegato campionario di cyber criminali attivi su internet si muovono numerosi gruppi di criminali “comuni”, che vivono di piccole truffe ai consumatori, diffusione di spam e di malware piuttosto dozzinali.
Accanto a loro, però, operano anche gruppi più specializzati e professionali, in grado di utilizzare strumenti sofisticati e colpire attraverso strategie estremamente elaborate. Proprio questi ultimi rappresentano il pericolo maggiore per le aziende, che nell’ottica di un pirata informatico rappresentano il “bersaglio grosso”.
Un attacco informatico portato a segno ai danni di un’impresa, infatti, può fruttare decine (se non centinaia) di migliaia di euro. Ed è proprio il modus operandi di questi pericolosi cyber criminali che coinvolge il tema dell’Open Source Intelligence. Prima di sferrare un attacco nei confronti di un’azienda, infatti, i pirati informatici hanno la necessità di “preparare il campo” e individuare i punti deboli che possono sfruttare per fare breccia nei sistemi che vogliono colpire. Per farlo, utilizzano servizi pubblici che gli permettono di ricavare informazioni preziose per i loro scopi. Accedere agli stessi servizi permette agli esperti di sicurezza di anticiparne le mosse e contrastare eventuali attacchi.
L’Open Source Intelligence per individuare i potenziali bersagli
L’Open Source Intelligence per individuare i potenziali bersagli
Anche se nella fase avanzata di un attacco i cyber criminali utilizzano strumenti tecnici molto complessi, il primo passo richiede l’individuazione di un bersaglio funzionale a garantirsi l’accesso ai sistemi. Per questo scopo, devono raccogliere tutte le informazioni che possono sull’organizzazione aziendale e individuare i bersagli “sensibili” che possono colpire.
Le fonti per reperire queste informazioni sono numerose e tutte liberamente accessibili. Un esempio è rappresentato dai vari servizi “Whois”, che consentono di ottenere informazioni sui domini registrati. Tra questi il nominativo di chi ha registrato il sito (con tanto di indirizzo), il responsabile tecnico e altre informazioni che permettono ai cyber criminali di creare una “mappa” dei soggetti coinvolti nella gestione dei sistemi IT.
Da questa analisi, è possibile individuare il bersaglio migliore per portare l’attacco e garantirsi un accesso privilegiato all’infrastruttura e ai servizi dell’azienda. Sul fronte opposto, le attività di Open Source Intelligence e, quindi, l’analisi di queste informazioni permettono di sapere chi siano i potenziali bersagli e anticipare le mosse dei cyber criminali, predisponendo, per esempio, sistemi di controllo specifici o dedicando una maggiore attenzione alla loro protezione.
Caccia ai dispositivi IoT
Caccia ai dispositivi IoT
I dispositivi della cosiddetta “Internet of Things” (IoT) rappresentano una vera riserva di caccia per i pirati informatici. Sono device semplici, spesso equipaggiati con software di controllo obsoleti e, come dimostra la cronaca, vulnerabili a vari tipi di attacchi.
Anche in questo caso, i cyber criminali possono contare su strumenti liberamente accessibili che gli consentono di individuarli. Uno strumento di questo genere è Shodan (ma esistono altri servizi equivalenti), che permette di eseguire una scansione di internet basata su diversi parametri per individuare qualsiasi dispositivo connesso a Internet.
I filtri messi a disposizione da Shodan consentono di eseguire ricerche estremamente dettagliate, che permettono di individuare per esempio uno specifico router, stampante o videocamera esposta su Internet o limitare la ricerca a quelli che espongono un determinato servizio (per esempio Telnet) che può servire ai pirati per sferrare l’attacco.
Un monitoraggio continuo attraverso questi strumenti da parte degli esperti di Open Source Intelligence garantisce un duplice risultato: oltre a poter anticipare, ancora una volta, le eventuali mosse dei pirati informatici, si possono individuare eventuali dispositivi esposti agli attacchi, per modificarne le impostazioni in modo di metterli in sicurezza.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
