{"id":622,"date":"2013-03-14T20:00:03","date_gmt":"2013-03-14T20:00:03","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=622"},"modified":"2022-05-05T12:26:55","modified_gmt":"2022-05-05T10:26:55","slug":"viaggio-al-centro-del-cybercrimine","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/viaggio-al-centro-del-cybercrimine\/622\/","title":{"rendered":"Viaggio al centro del cybercrimine"},"content":{"rendered":"<p>Ogni volta che leggi una notizia che tratta dell\u2019<a href=\"https:\/\/www.kaspersky.it\/blog\/dieci-arresti-che-fanno-tremare-il-mondo-della-criminalita-informatica\/\" target=\"_blank\" rel=\"noopener\">arresto di un cyber-criminale<\/a>, puoi stare certo che la maggior parte del lavoro di investigazione si pu\u00f2 attribuire ai ricercatori anti-malware sparpagliati in giro per il mondo.<\/p>\n<p>Sia che si tratti dello smantellamento di una botnet spam, dell\u2019esplosione di una gang Koobface o dell\u2019arresto dei cyber-criminali responsabilli del trojan \u00a0bancario Zeus, le forze dell\u2019ordine di tutto il mondo chiedono aiuto ai migliori ricercatori in materia di sicurezza IT (in particolare agli esperti specializzati in malware). La loro collaborazione \u00e8 preziosa per la buona riuscita delle indagini e per tintracciare le prove che possono eventualmente portare ad un arresto.<\/p>\n<p>Jeff Williams sa quanto \u00e8 difficile riconoscere un attacco informatico e realizzare un indagine. Dopo aver lavorato come <i>program manager<\/i> presso il Microsoft Protection Center (MMPC) e essere passato alla Dell SecureWorks, Williams ha partecipato allo smantellamento di varie reti botnet, incluso la virulenta Waledac e le operazioni Zeus e Kelihos.<\/p>\n<p>In un\u2019intervista, Williamas ha spiegato che le indagini iniziano quasi sempre in un laboratorio anti-malware. \u201cA volte sono le forze dell\u2019ordine ad aprire le indagini. Altre volte l\u2019indagine nasce nei laboratori, nel momento in cui stiamo lavorando su di un nuovo malware. Anche quando si tratta di un\u2019indagine, le forze dell\u2019ordine ci contattano per avere informazioni approfondite sul malware. In Microsoft, la priorit\u00e0 era proteggere i clienti; il nostro lavoro era capire le proporzioni del problema, l\u2019impatto sugli utenti di Windows e offrire una maggiore protezione\u201d, spiega Williams.<\/p>\n<p>E\u2019 un lavoro multi-sfaccettato. \u201cI ragazzi del laboratorio fanno il lavoro sporco. Verificano che il malware esista, raccolgono i campioni (questa \u00e8 la parte pi\u00f9 consistente del lavoro) e poi procedono con il processo di ingegneria inversa\u201d afferma Williams. Questo lavoro include algoritmi complessi di ingegneria inversa capaci di rompere il protocollo di comunicazione che il malware utilizza per comunicare con l\u2019hacker. \u201cVogliamo sapere come si controllano i binari attraverso l\u2019infrastruttura di controllo e comando creata dall\u2019hacker; dove sono i nodi e che comandi usano. Tutto questo lavoro \u00e8 condotto in un laboratorio anti-malware. E\u2019 un lavoro molto importanete.\u201d<\/p>\n<p>Solo dopo che il laboratorio ha raggiunto una comprensione completa della struttura interna del malware e delle contromisure tecniche da adottare (sia attraverso un aggiornamento delle definizioni virus, che con il miglioramento delle tecnologie di difesa), le forze dell\u2019ordine aprono l\u2019azione legale. \u201cQualche volta, dobbiamo presentarci in tribunale e lavorare a stretto contatto con le forze dell\u2019ordine\u201d, spiega Williams.<\/p>\n<p>Costin Raiu, responsabile del team <i>Global Research &amp; Analysis<\/i> presso Kaspersky Lab, \u00e8 d\u2019accordo sul fatto che le indagini sul cybercrimine possono essere molto \u2018complicate\u2019. Il team di Raiu ha lavorato fianco a fianco con Microsoft, CrowdStrike, OpenDNS e altre entit\u00e0 rappresentative dell\u2019industria della sicurezza IT per gestire lo smantellamento di un\u2019operazione di \u00a0botnet. Secondo il ricercatore si tratta di un lavoro molto complesso \u201cun lavoro multi-sfaccettato e intenso\u201d.<\/p>\n<p>\u201cDirei che la competenza dei ricercatori \u00e8 fondamentale e pu\u00f2 fare la differenza nelle indagini; pu\u00f2 condurre a un arresto o a un criminale in fuga\u201d, afferma Raiu.<\/p>\n<p>Oltre all\u2019ingegneria inversa e allo scambio di informazioni con le forze dell\u2019ordine, i ricercatori di sicurezza lavorano spesso a stretto contatto con il <a href=\"http:\/\/it.wikipedia.org\/wiki\/CERT\" target=\"_blank\" rel=\"noopener nofollow\">CERT<\/a> (Computer Emergency Response Team) nel momento del sequestro o dello smantellamento dei server hackerati o dell\u2019analisi del server alla ricerca di prove e informazioni utili per il processo.<\/p>\n<p>\u201cIl crimine cibernetico \u00e8 un campo incredibile e complicato, multi-sfaccettato. Ecco perch\u00e9 ai ricercatori viene spesso chiesto di offrire il loro aiuto in qualit\u00e0 di esperti durante i processi\u201d spiega Raiu.<\/p>\n<p>I laboratori malware esperti in cyber-sicurezza ricorrono spesso all\u2019utilizzo di Open Source INTelligence o <a href=\"https:\/\/it.wikipedia.org\/wiki\/OSINT\" target=\"_blank\" rel=\"noopener nofollow\">OSINT<\/a>. Questa parte dell\u2019indagine \u00e8 esaustiva e molto spesso comporta il rastrellamento della rete alla ricerca di qualsiasi indizio che possa portare al criminale o all\u2019operazione malware.<\/p>\n<p>\u201cNel corso di una indagine, sono molti gli indizi che possono portarci sulle tracce dell\u2019identit\u00e0 di un cyber-criminale. Alcuni campioni di codici possono includere un nickname o un certo stile di programmazione. Questo genere di informazioni possono essere usate\u00a0 come punto di partenza nel processo che porta all\u2019arresto di un criminale\u201d spiega Williams di Dell SecureWorks.<\/p>\n<p>I ricercatori usano un nickname o un indizio estrapolato da un pezzo di codice o un indirizzo e-mail da un nome di dominio registrato per setacciare le community on-line, come Facebook, Twitter, YouTube, Wikis, blog o qualsiasi altro tipo di contenuto generato dall\u2019utente in cui il criminale possa aver utilizzaro quel nickname o indirizzo e-mail.<\/p>\n<p>Nel caso di Koobface, il team di sicurezza di Facebbok ha condotto una operazione di open source intelligence in collaborazione con la community dei ricercatori di sicurezza IT; insieme hanno reso pubblici i nomi, le foto e le identit\u00e0 delle persone che ritengono responsabili dell\u2019attacco diffusosi in questo network. Questa informazione ha raggiunto i mezzi di comunicazione come parte di una operazione di denuncia.<\/p>\n<p>\u201cLa maggior parte del lavoro \u00e8 tecnico e riguarda la protezione dei clienti, ma le informazioni vengono poi condivise con le forze dell\u2019ordine e sono molto rilevanti per le indagini. Quando si giunge a un arresto o si va in tribunale, la maggior parte del lavoro (potete starne certi) \u00a0\u00e8 stato svolto nei laboratori di ricerca\u201d aggiunge Williams.<\/p>\n<p>\u201cL\u2019attribuzione del reato e dell\u2019arresto non \u00e8 sempre parte delle operazioni iniaziali. Tuttavia quando un laboratorio malware scopre qualcosa di importante, i risultati della ricerca vengono passati alle forze dell\u2019ordine e ci\u00f2 pu\u00f2 condurre ad un arresto o a una azione legale\u201d aggiunge Williams.<\/p>\n<p>Williams ripete pi\u00f9 volte che il lavoro della community di ricerca deve essere di qualit\u00e0 perch\u00e9 le informazioni devono essere eventualmente presentate in tribunale.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2013\/03\/06004759\/a2.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-626\" alt=\"a2\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2013\/03\/06004759\/a2.jpg\" width=\"666\" height=\"283\"><\/a><\/p>\n<p>I ricercatori che si occupano di cyber-sicurezza si lamentano spesso della lentezza dei tempi legali, sopratutto quando si tratta di attacchi virulenti come il trojan bancario o le reti botnet che portano a frodi banacarie. La lentezza del sistema giudiziario ha spinto Facebook a\u00a0 pubblicare i dettagli dell\u2019indagine Koobface prima della fine del processo. Willliams sottolinea per\u00f2 che le cose stanno migliorando.<\/p>\n<p>\u201cE\u2019 assolutamente necessario migliore il sistema penale. I criminali sanno che leggi non sono severe e cosa devono fare per evitare di essere beccati. Comunque sia, io credo che le forze dell\u2019ordine ogni giorno imparano a gestire meglio questi casi. Siamo testimoni di casi dove sono state applicate leggi che non hanno nulla a che vedere con il cyber-crimine\u201d, aggiunge l\u2019esperto riferendosi al caso Zotob, processo in cui alcuni criminali informatici sono stati perseguiti per riciclaggio di denaro, evasione fiscale e frode finanziaria in base alle leggi vigenti in queste materie.<\/p>\n<p>\u201cSi tratta di una evoluzione naturale; le tecniche di difesa e di demolizione della rete del crimine informatico non possono che migliorare. Se la rete del cyber-crimine non verr\u00e0 smantellata, i delinquenti continueranno a rubare soldi e questi soldi verrano reinvestiti in altri attacchi. Tuttavia, io credo che siamo giunti a un punto in cui le competenze tecnologiche e la cooperazione con le forze dell\u2019ordine possono fare la diffenza nella battaglia contro il cyber-crimine\u201d, conclude Williams.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ogni volta che leggi una notizia che tratta dell\u2019arresto di un cyber-criminale, puoi stare certo che la maggior parte del lavoro di investigazione si pu\u00f2 attribuire ai ricercatori anti-malware sparpagliati<\/p>\n","protected":false},"author":2706,"featured_media":625,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[],"class_list":{"0":"post-622","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/viaggio-al-centro-del-cybercrimine\/622\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=622"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/622\/revisions"}],"predecessor-version":[{"id":20084,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/622\/revisions\/20084"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/625"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}