{"id":21632,"date":"2020-05-18T17:55:29","date_gmt":"2020-05-18T15:55:29","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21632"},"modified":"2020-05-18T17:56:13","modified_gmt":"2020-05-18T15:56:13","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/snow-queen-cybersecurity\/21632\/","title":{"rendered":"La Regina delle Nevi e l’indagine sulla cybersicurezza"},"content":{"rendered":"

Di cosa credete che tratti in realt\u00e0 la favola La regina delle nevi<\/strong> dello specialista danese<\/strong> in sicurezza informatica <\/strong>Hans Christian Andersen? Una ragazza coraggiosa che sconfigge la personificazione dell\u2019inverno e della morte per salvare la sua amata amica? Ripensateci.<\/p>\n

Diciamoci la verit\u00e0: si tratta di un resoconto abbastanza dettagliato di un\u2019indagine dell\u2019esperta di sicurezza informatica emergente di nome Gerda su come un certo Kai sia stato infettato da un fastidioso e sofisticato malware<\/strong>. Questa cosiddetta favola \u00e8 scritta sotto forma di sette storie che corrispondono chiaramente alle fasi dell\u2019indagine di un incidente di sicurezza informatica<\/a><\/strong>.<\/p>\n

Storia 1: Uno specchio e i suoi frammenti<\/h2>\n

Se avete mai letto il nostro blog di esperti di sicurezza informatica<\/strong> Securelist.it<\/a> (o qualsiasi altra ricerca di sicurezza informatica<\/strong> ben fatta, per quel che conta), probabilmente sapete che i report di indagine<\/strong> spesso iniziano con una spiegazione sulle orgini degli incidenti di cybersecurity<\/strong>. Quella di Andersen non \u00e8 diversa: la sua prima storia approfondisce le origini stesse del caso Kai.<\/p>\n

Una volta (secondo i dati di Andersen<\/a>) un hobgoblin cre\u00f2 uno specchio magico che aveva il potere di sminuire le qualit\u00e0 buone e belle delle persone e di ingrandire i loro aspetti brutti e cattivi. Lo specchio fu rotto dai suoi apprendisti in miliardi di frammenti che penetrarono negli occhi e nel cuore delle persone, pur conservando le propriet\u00e0 originali dello specchio che distorcono la realt\u00e0. Alcuni inserivano frammenti nelle cornici delle finestre, che deformavano la vista. Altri li usavano come lenti per gli occhiali.<\/p>\n

Sappiamo gi\u00e0 dall\u2019analisi del racconto di sicurezza informatica<\/strong> di Biancaneve<\/a> che i narratori hanno spesso usato gli specchi come metafora per gli schermi in senso lato: TV, computer, tablet, telefoni, potete immaginarlo.<\/p>\n

Quindi, traducendo le parole di Andersen dal linguaggio delle allegorie in prosa semplice, si ottiene quanto segue: un potente hacker<\/strong> ha creato un sistema con un browser<\/strong> integrato che ha distorto i siti web<\/strong>. Successivamente, i suoi apprendisti hanno usato pezzi di codice sorgente per infettare un numero enorme di dispositivi Microsoft Windows e persino occhiali di realt\u00e0 aumentata.<\/p>\n

In effetti, il fenomeno non era affatto insolito. La fuga di dati dell\u2019exploit<\/strong> EternalBlue<\/strong> ne \u00e8 unesempio, portando alle pandemie di WannaCry e NotPetya<\/a><\/strong>, oltre a diverse altre epidemie di ransomware<\/strong> meno devastanti. Ma stiamo divagando. Torniamo alla nostra favola dal punto di vista della sicurezza infomatica<\/strong>.<\/p>\n

Storia 2: Un bambino e una bambina<\/h2>\n

Nella seconda storia, Andersen procede a una descrizione pi\u00f9 dettagliata di una delle vittime del malware<\/strong> e del vettore iniziale dell\u2019infezione<\/a><\/strong>. Secondo i dati disponibili, Kai e Gerda comunicavano attraverso le loro finestre adiacenti della soffitta (comunicazione basata su Windows<\/a><\/strong>!). Un inverno, Kai vide attraverso la sua finestra una strana, bellissima donna avvolta in un tulle bianco molto sottile. Questo fu il primo incontro di Kai con l\u2019hacker<\/strong> (da qui in poi, \u201cla regina delle nevi\u201d).<\/p>\n

Poco tempo dopo, Kai prov\u00f2 la sensazione di una pugnalata al cuore e qualcosa gli punse l\u2019occhio. Cos\u00ec Andersen descriveva il momento dell\u2019infezione a causa del malware<\/strong>. Una volta che il codice maligno<\/strong> era entrato nel suo cuore (nucleo del sistema operativo<\/strong>) e nell\u2019occhio (dispositivo di inserimento dati<\/a><\/strong>), la reazione di Kai agli stimoli esterni cambi\u00f2 radicalmente, e tutte le informazioni in arrivo apparvero distorte.<\/p>\n

Qualche tempo dopo, se ne and\u00f2di casa, legando il suo slittino alla slitta\u00a0 della Regina delle Nevi. Fidandosi di lei per qualche ragione, Kai disse alla Regina delle Nevi come riusciva a eseguire l\u2019aritmetica mentale anche con le frazioni, e che conosceva le dimensioni e la popolazione di ogni paese. Dettagli minori, a quanto pare. Ma come vedremo pi\u00f9 avanti, questo \u00e8 in realt\u00e0 proprio ci\u00f2 a cui mirava l\u2019hacker.<\/p>\n

Storia 3: Il giardino di fiori della donna esperta di magia<\/h2>\n

Gerda agli inizi della sua indagine sulla sicurezza informatica, <\/strong>si imbatt\u00e8 per caso in una donna che, per qualche motivo, aveva ostacolato la sua ricerca. Per andare al sodo, ci interessa soprattutto il momento in cui la maga pettinava i riccioli di Gerda, facendole dimenticare Kai.<\/p>\n

In altre parole, la strega aveva in qualche modo corrotto i dati relativi all\u2019indagine. Si noti che la sua arma<\/strong> informatica<\/strong> preferita, un pettine, ci \u00e8 gi\u00e0 nota. Nel racconto di sicurezza dei fratelli Grimm sull\u2019incidente di Biancaneve<\/a><\/strong>, la matrigna usava uno strumento simile per bloccare la sua vittima. Coincidenza? O questi incidenti sono collegati?<\/p>\n

In ogni caso, come nel caso di Biancaneve, il blocco<\/strong> indotto dal pettine non era permanente; i dati furono ripristinati <\/strong>mediante strumenti di decodifica<\/a><\/strong> e Gerda continu\u00f2 la sua indagine.<\/p>\n

Alla fine della terza parte del report di sicurezza informatica<\/strong>, Gerda chiese ai fiori nel giardino della strega se avessero visto Kai. Questo \u00e8 molto probabilmente un riferimento alla vecchia applicazione di messaggistica<\/a> ICQ<\/strong>, che aveva un fiore come logo (e come indicatore dello stato dell\u2019utente). Comunicando con la strega, Gerda cercava di ottenere ulteriori informazioni sull\u2019incidente di cybersicurezza <\/strong>utilizzando i suoi contatti.<\/p>\n

Story 4: Il principe e la principessa<\/h2>\n

La quarta fase dell\u2019indagine dell\u2019incidente <\/strong>non sembra del tutto rilevante. Gerda cerc\u00f2 di ritrovare nel database<\/a><\/strong> del governo. Per farlo, conobbe alcune cornacchie che le diedero accesso a un edificio del governo (il palazzo reale).<\/p>\n

Sebbene ci\u00f2 non produsse alcun risultato, Gerda dovette informare il governo della vulnerabilit\u00e0<\/strong> e dell\u2019insicurezza delle cornacchie. Il principe e la principessa risolsero\u00a0 la vulnerabilit\u00e0<\/strong><\/a>, dicendo all cornacche che non erano arrabbiati con loro, ma di non farlo pi\u00f9. Si noti che decisero di non punire gli uccelli, ma chiesero semplicemente o di cambiare il loro comportamento.<\/p>\n

Come ricompensa, il principe e la principessa diedero a Gerda delle risorse (una carrozza, vestiti caldi, servitori). Questo \u00e8 un grande esempio di come un\u2019organizzazione dovrebbe rispondere quando i ricercatori di cybersecurity<\/strong> segnalano una vulnerabilit\u00e0<\/strong>; speriamo che la ricompensa non sia stata una tantum, ma che sia diventata un vero e proprio programma <\/strong>bug-bounty<\/a><\/strong>.<\/p>\n

Storia 5: La piccolo ladruncola<\/h2>\n

In questa storia, Gerda sembra essere caduta nelle grinfie dei banditi. In realt\u00e0 Andersen usa un\u2019altra allegoria per spiegare che, essendo arrivata a un vicolo cieco nella fase precedente dell\u2019indagine dell\u2019incidente di sicurezza informatica<\/strong>, Gerda fu costretta a ricorrere all\u2019aiuto di forze che non erano, diciamo, del tutto rispettose della legge.<\/p>\n

I criminali informatici<\/strong> misero Gerda in contatto con alcuni informatori che sapevano esattamente di chi era la colpa dell\u2019incidente di cybersecurity<\/strong> di Kai, e anche con una renna in possesso degli indirizzi di alcuni utili contatti della darknet<\/a><\/strong>. L\u2019aiuto si fece pagare a caro prezzo: Gerda aveva perso la maggior parte delle risorse ottenute nella storia precedente.<\/p>\n

Per non compromettere l\u2019integrit\u00e0 della giovane ricercatrice, Andersen cerca di descrivere i suoi rapporti con i criminali come inevitabili ( l\u2019hanno derubata per prima cosa, dice, e solo allora, avendo piet\u00e0 della loro vittima, le forniscono informazioni). Non sembra molto convincente, pi\u00f9 probabilmente, si \u00e8 trattato di un accordo vantaggioso per entrambe le parti.<\/p>\n

Storia 6: La donna lappone e la donna finlandese<\/h2>\n

Segue la fase finale della raccolta delle informazioni<\/strong> necessarie per l\u2019indagine dell\u2019incidente informatico,<\/strong> attraverso i contatti darknet<\/strong> forniti dai banditi. La renna present\u00f2 a Gerda una certa donna lappone, che scrisse su un merluzzo essiccato una lettera di raccomandazione al prossimo informatore, una certa finlandese.<\/p>\n

La finlandese, a sua volta, forn\u00ec l\u2019indirizzo del \u201cgiardino della Regina delle Nevi\u201d, chiaramente il nome del server di Command & Control<\/a><\/strong>. Un bel tocco di classe: dopo aver letto il messaggio, gett\u00f2 il merluzzo in una ciotola di zuppa. Consapevole dell\u2019importate pratica di non lasciare tracce inutili, Gerda segu\u00ec attentamente le regole<\/strong> dell\u2019OPSEC<\/a><\/strong>. Il marchio caratteristico di una professionista della cyber<\/strong>sicurezza <\/strong>navigata.<\/p>\n

Storia 7: Cosa \u00e8 successo nel palazzo della Regina delle Nevi e morale della favole<\/h2>\n

La settima storia spiega infine perch\u00e9 la Regina delle Nevi aveva bisogno di Kai. Se ne stava l\u00ec seduta a riordinare le schegge di ghiaccio, cercando di scrivere la parola \u201ceternit\u00e0\u201d. Pazzesco, vero? Per niente. Leggete questo post come gli inizi del mining di critomonete<\/a><\/strong>. Come spiega, i miner lavorano essenzialmente riorganizzando un blocco di informazioni<\/a><\/strong> per ottenere non un codice hash<\/strong> qualsiasi, ma il pi\u00f9 \u201cbello\u201d possibile.<\/p>\n

Vale a dire, Kai\u00a0 cerc\u00f2 di organizzare i frammenti di informazioni<\/strong> in modo che dal suo codice hash<\/strong> venisse fuori la parola \u201ceternit\u00e0\u201d. A questo punto, diventa chiaro perch\u00e9 nella seconda storia Andersen si fosse concentrato sulla potenza del computer<\/strong> di Kai. Questo \u00e8 esattamente ci\u00f2 che cercava la Regina delle Nevi cercava, e Kai venne infettato solo per il mining. Ci\u00f2 spiega anche l\u2019apparente ossessione della Regina delle Nevi per tutte le cose del nord e del freddo; una fattoria di mining<\/strong> ad alte prestazioni richiede un solido sistema di raffreddamento<\/strong>.<\/p>\n

Gerda sciolse poi il cuore ghiacciato di Kai con le sue lacrime (cancell\u00f2 il codice maligno<\/strong> usando varie soluzioni di sicurezza informatica<\/a><\/strong> e riprese il controllo del nucleo del sistema<\/strong>). Kai scoppi\u00f2 in lacrime, il che significa che aveva attivato il suo antivirus integrato (precedentemente bloccato dal modulo<\/strong> infetto<\/strong> nel suo nucleo) e rimosse il secondo pezzo di codice dannoso, dal suo occhio.<\/p>\n

La fine del racconto<\/strong> dell\u2019incidente di cybersecurity<\/strong> \u00e8 piuttosto strana per gli standard odierni. Invece di fornire consigli per le potenziali vittime, indicatori di compromesso del sistema e altre notizie utili, Andersen divaga sul viaggio di ritorno a casa dei personaggi. Forse nel XIX secolo, \u00e8 cos\u00ec che si concludevano i report<\/strong> di sicurezza informatica.
\n<\/strong><\/p>\n

Come abbiamo detto prima, gli scrittori di fiabe sono di fatto i pi\u00f9 antichi esperti di sicurezza<\/strong> informatica<\/strong> del settore. Il caso della Regina delle Nevi non fa che rafforzare la nostra convinzione. Come descritto sopra, il racconto \u00e8 il resoconto dettagliato di un\u2019indagine<\/strong> su un incidente<\/strong> di sicurezza informatica<\/strong> complesso. Vi consigliamo inoltre di dare un\u2019occhiata alla nostra analisi di altre fiabe popolari:<\/p>\n