favole
Contrariamente all’opinione comune, le favole e le leggende popolari non sono state inventate per puro intrattenimento, ma per insegnare ai bambini (e agli adulti) lezioni importanti in una forma facile da capire. Da tempo immemorabile, i narratori hanno intrecciato consigli sulla sicurezza informatica alle loro fiabe, sperando di rendere Internet (che avevano previsto) un luogo più sicuro. Ad esempio, la storia di Cappuccetto Rosso è un avvertimento sugli attacchi Man in the Middle e Biancaneve aveva già immaginato il panorama delle campagne APT sponsorizzate dai governi. La lista continua.
Purtroppo, l’umanità continua a ripetere gli stessi errori con persistenza maniacale, ignorando le ovvie lezioni delle favole. Un altro esempio lampante è la leggenda del pifferaio magico di Hamelin.
Il pifferaio magico di Hamelin
Come spesso accade per i racconti atavici, ci sono state tramandate diverse versioni, tutte varianti dello stesso tema di base. L’argomento principale è più o meno questo: la città tedesca di Hamelin è invasa dai topi, che saccheggiano le provviste, attaccano le persone e gli animali domestici e, in generale, causano un enorme disagio.
Incapaci di farvi fronte, le autorità locali si rivolgono a uno specialista, un cacciatore di topi vestito elegantemente, che usa un piffero magico per attirare i topi fuori dalla città per poi portarli nel vicino fiume, dove annegheranno.
Successivamente l’avaro sindaco si rifiuta di adempiere alla sua parte dell’accordo e offre al cacciatore di topi, alias il pifferaio magico, una remunerazione molto più bassa di quella stipulata nel contratto. Il pifferaio non dice nulla. Si vendica invece usando di nuovo il suo piffero magico, questa volta per portare via i bambini di Hamelin, come aveva fatto con i topi.
Il finale dipende dall’epoca in cui è vissuto il narratore e dal suo ottimismo (di solito non era molto). I bambini o annegano nel fiume Weser come i topi, o vengono portati sulle colline di Koppenberg, oppure (nella resa più recente e meno cupa) vanno oltre le colline verso una terra lontana dove trovano una città.
Il significato dell’allegoria
Curiosamente, all’incidente è stata attribuita una data ben precisa: il 26 giugno 1284. La leggenda è stata registrata per la prima volta nelle cronache della città nel 1375, dopo di che è stata riscritta e raccontata più volte, acquisendo ulteriori dettagli e abbellimenti. La maggior parte dei dettagli hanno chiare motivazioni politiche o religiose. Alcune versioni si concentrano sull’avidità dei cittadini di Hamelin, altre demonizzano apertamente la figura del pifferaio. Saltiamo i pregiudizi medievali del tempo e ci concentriamo sui fatti principali.
Attacchi ad Hamelin
Per come la vediamo noi, l’infrastruttura di Hamelin viene attaccata da malintenzionati sconosciuti. Essi divorano letteralmente i beni materiali (grano) e le informazioni (documenti legali), minacciando la salute degli abitanti del posto.
Non è pervenuta alcuna descrizione dettagliata dell’attacco, ma è probabile che i criminali siano stati dei “topi” perché hanno utilizzato un Remote Access Tool (o Remote Access Trojan), entrambi abbreviati in RAT (in inglese “topo”). In generale, tali strumenti/Trojan possono essere utilizzati per tutti i tipi di lavori sporchi, perché danno ai cybercriminali pieno accesso al sistema della vittima.
Assunzione di uno specialista
All’inizio, gli abitanti della città tentano una soluzione basata per proteggere i propri endpoint (i gatti), ma quando questo metodo si rivela inefficace, si rivolgono a un esperto esterno che conosce la vulnerabilità del RAT dei criminali informatici. Concentrandosi sulla vulnerabilità, assembla una potente arma cibernetica per prendere il controllo remoto dei computer degli operatori RAT, trasformandoli in una sorta di botnet. Dopo averli dominati tutti, il pifferaio riesce a neutralizzare la minaccia.
Obiettivo: i civili
Dopo la sconfitta dell’attacco RAT, le autorità incautamente non rispettano il contratto stipulato con lo specialista. La maggior parte delle versioni della leggenda parla di divergenze economiche, ma questo è impossibile da verificare, naturalmente. In ogni caso, si scopre che la stessa vulnerabilità è presente nei dispositivi utilizzati dai bambini della città.
Purtroppo, la leggenda non fornisce dettagli tecnici che spieghino perché la stessa minaccia funzioni sia per gli operatori RAT, sia contro i comuni cittadini. Ipotizziamo che si tratti di una vulnerabilità in qualcosa di universale (ad esempio, alcuni popolari protocolli di rete a livello applicativo utilizzati per l’accesso remoto alle risorse di rete).
Non è del tutto chiaro il motivo per cui i cosiddetti “adulti” del racconto non siano interessati dalla vulnerabilità. Forse la parola “bambini” nella storia non si riferisce a utenti minorenni, ma a una nuova generazione di dispositivi con un sistema operativo più recente, che ha sviluppato una vulnerabilità dopo un aggiornamento del protocollo sopra citato.
In ogni caso, il finale è tragico: il pifferaio esegue lo stesso trucco della botnet, solo che questa volta non sui RAT, ma sugli abitanti più giovani ella città.
Il pifferaio magico di Hamelin in tempi moderni
La storia ricorda molto la vicenda del gruppo di hacker Shadow Brokers e della fuga di dati dell’exploit EternalBlue, che ha portato all’epidemia di WannaCry e a diverse altre epidemie ransomware. Se avessimo letto la storia del pifferaio magico di Hamelin solo dopo la fuga di dati di EternalBlue, senza dubbio l’avremmo presa come un’interpretazione allegorica dell’incidente. La situazione sembra essere identica: un’organizzazione governativa commissiona lo sviluppo di una potente arma cibernetica che viene poi inaspettatamente utilizzata contro gli abitanti di quello stesso paese.
Possiamo attribuire questa notevole coincidenza all’abitudine della storia di ripetersi. Ovviamente, gli esperti tedeschi di infosec del XVI secolo erano già consapevoli del problema e hanno cercato di mettere in guardia i proprio discendenti (noi) dai pericoli dei programmi di armi cibernetiche sponsorizzati dal governo, che un giorno potrebbero essere rivolti contro gli utenti civili, con conseguenze niente affatto gradevoli.
Consigli