{"id":7457,"date":"2016-02-10T12:06:09","date_gmt":"2016-02-10T12:06:09","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7457"},"modified":"2019-11-22T11:25:12","modified_gmt":"2019-11-22T09:25:12","slug":"math-catches-hackers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/math-catches-hackers\/7457\/","title":{"rendered":"Come usare la matematica per acciuffare un cybercriminale"},"content":{"rendered":"<p>Ci si creda o no, la matematica \u00e8 importante. Per quanto possa farci strabuzzare gli occhi di fronte alle nostre maestre delle elementari, il comportamento umano \u00e8 piuttosto prevedibile e la matematica aiuta in queste previsioni; perlomeno, in questo senso noi umani possiamo essere definiti matematicamente. La buona notizia \u00e8 che vale anche per i cybercriminali.<\/p>\n<p>Gli hacker e gli altri criminali che usano Internet per \u201clavoro\u201d (come trafficanti di droga e armi) compiono grandi sforzi per rimanere anonimi: usano Tor per accedere online, modificano i loro handle (i nickname usati nei forum underground) e usano tool speciali che anonimizzano.<\/p>\n<p>Detto questo, i cybercriminali sono pur sempre delle persone e sono pesantemente limitate dal loro ambiente e dalle loro abitudini sociali. Festeggiano l\u2019anno nuovo, dormono la notte e vanno a lavoro. Inoltre, sono anche impossibilitati a postare da diversi account simultaneamente. In teoria si pu\u00f2 creare un bot che pubblichi qualcosa allo stesso tempo dell\u2019hacker, ma quella \u00e8 un\u2019altra storia.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">RT <a href=\"https:\/\/twitter.com\/chthierry?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@chthierry<\/a>: How <a href=\"https:\/\/twitter.com\/hashtag\/BigData?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BigData<\/a> helps to catch criminals: <a href=\"https:\/\/t.co\/nIu1L9sd4S\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nIu1L9sd4S<\/a> via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/684487957928132608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ogni attivit\u00e0 online genera dati e quando se ne hanno abbastanza da analizzare, prendere un criminale diventa un po\u2019 pi\u00f9 facile. <a href=\"https:\/\/www.kaspersky.it\/blog\/big-data-forensics\/5910\/\" target=\"_blank\" rel=\"noopener\">Molte compagnie di analytics <\/a>effettuano ricerche forensi per le forze dell\u2019ordine, e una di queste \u00e8 Recorded Future. Al <a href=\"https:\/\/www.kaspersky.it\/blog\/?s=security+analyst+summit&amp;submit=Search\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a> il CEO della compagnia <a href=\"https:\/\/twitter.com\/cahlberg\" target=\"_blank\" rel=\"noopener nofollow\">Christopher Ahlberg<\/a> ha mostrato in che modo si servono della matematica per acciuffare i criminali della rete.<\/p>\n<p>La compagnia ha automatizzato i processi di raccolta dati per ricavare informazioni da oltre 50 forum diffusi tra i cybercriminali. I dati vengono raccolti in sette lingue da pi\u00f9 di quattro anni. Di conseguenza, Recorded Future ha fatto diverse, interessanti scoperte.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Non-Impervious: <a href=\"https:\/\/twitter.com\/hashtag\/cybercriminals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybercriminals<\/a> make mistakes too: <a href=\"https:\/\/t.co\/WC8392Uwh3\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/WC8392Uwh3<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/571418391443083266?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 27, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Pare piuttosto interessante come i cybercriminali di rado riutilizzino gli handle. Recorded Future ha tracciato 742.000 nickname, il 98.8% dei quali, unici. Nonostante ci\u00f2, l\u2019analytics \u00e8 in grado di rilevare quali siano utilizzati dal medesimo criminale. Cambiare handle \u00e8 facile, ma cambiare comportamento \u00e8 molto pi\u00f9 difficile.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">RT <a href=\"https:\/\/twitter.com\/chthierry?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@chthierry<\/a>: How <a href=\"https:\/\/twitter.com\/hashtag\/BigData?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BigData<\/a> helps to catch criminals: <a href=\"https:\/\/t.co\/nIu1L9sd4S\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nIu1L9sd4S<\/a> via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/684487957928132608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Analizzando i programmi di attivit\u00e0 e il modo di esprimersi, si possono trovare connessioni tra diversi account che non sembrano affatto collegati. Ad attirare l\u2019attenzione \u00e8, ovviamente, la cronologia delle attivit\u00e0 online. Se account diversi si collegano uno dopo l\u2019altro, come dei vagoni, non si pu\u00f2 escludere che appartengano alla stessa persona.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233244\/image00.png\" alt=\"\" width=\"956\" height=\"529\"><\/p>\n<p>Come si pu\u00f2 vedere dalla schermata in alto, non appena si scollega l\u2019utente Hassan20, \u00e8 l\u2019utente Crisis a connettersi. Forse questi account appartengono al medesimo tizio. Questo metodo pu\u00f2 servire per identificare i membri di una banda, che saranno attivi simultaneamente per un lasso di tempo sufficiente a coordinare i loro affari.<\/p>\n<p>Se i componenti di un gruppo rimangono online tutto il giorno, o vivono sparsi in tutto il mondo con diversi fusi orari, o \u00e8 quello che vogliono far credere.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233243\/image03.png\" alt=\"\" width=\"941\" height=\"536\"><\/p>\n<p>Studiando i giorni di riposo degli hacker e i periodi con il maggior carico di lavoro, si pu\u00f2 individuare la loro nazionalit\u00e0. Per esempio, \u00e8 molto probabile che i criminali provenienti da paesi islamici siano attivi durante il Ramadan. Beh, se non si \u00e8 molto religiosi, cos\u2019altro fare in quei giorni se non lavorare? Inoltre, sono piuttosto attivi anche durante le celebrazioni dell\u2019anniversario della Rivoluzione Islamica. Allo stesso modo, gli hacker russi lavorano di pi\u00f9 nell\u2019ultima settimana di dicembre. Vale la pena notare come il Capodanno venga festeggiato da tutti, cybercriminali compresi.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233242\/image02.png\" alt=\"\" width=\"933\" height=\"493\"><\/p>\n<p>Individuare altri segnali e tratti pi\u00f9 specifici permette di scovare utenti con abitudini simili, non nella dark net bens\u00ec nell\u2019Internet legale. I criminali coltivano degli hobby, proprio come noi. Usano i social network, vanno in vacanza, utilizzano diverse piattaforme web per guardare film e leggere libri. Queste, a differenza di Tor, forniscono maggiori opportunit\u00e0 di scoprire la reale identit\u00e0 dei delinquenti, e alla fine, di arrestarli.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2016\/02\/05233242\/image01.png\" alt=\"\" width=\"952\" height=\"538\"><\/p>\n<p>Attraverso l\u2019analisi dei piani di attivit\u00e0 su un sito underground londinese che vende droghe, si nota che l\u2019utente Abraxas \u00e8 l\u2019amministratore della risorsa. <em>Bene, cosa abbiamo qui? <\/em>Pare sia stato via per due giorni, che risulta in una perdita di denaro per i trafficanti di droga. \u00c8 andato in vacanza? O forse si \u00e8 preso un raffreddore? Quando le forze dell\u2019ordine possiedono una quantit\u00e0 sufficiente di questi dati, sono in grado di trovare una persona reale.<\/p>\n<p>Inoltre, non c\u2019\u00e8 bisogno di limitarsi all\u2019osservazione passiva. In alcuni casi \u00e8 molto meglio fargli cambiare i modelli comportamentali con una provocazione, cos\u00ec da tradirsi. Christopher afferma di conoscere molte indagini che si sono risolte con trucchetto del genere, ma per motivi di sicurezza non pu\u00f2 rivelarne i dettagli, per cui analizzeremo questo metodo con l\u2019aiuto di un esempio molto conosciuto.<\/p>\n<p>Gli esperti di sicurezza informatica sono coscienti del seguente principio: una volta che uno sviluppatore produce una patch, qualcuno la decodifica immediatamente e crea un exploit. Dato che molti non installano in tempo gli aggiornamenti di sistema, diventeranno bersagli di zelanti cybercriminali. Poich\u00e9 Microsoft ha l\u2019abitudine di rilasciare patch il marted\u00ec, \u00e8 comparso il detto: <a href=\"https:\/\/it.wikipedia.org\/wiki\/Patch_Tuesday\" target=\"_blank\" rel=\"noopener nofollow\">\u201cPatch marted\u00ec, exploit mercoled\u00ec<\/a>\u201c, che esprime il principio sopramenzionato.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Patch Tuesday created exploit Wednesday <a href=\"https:\/\/twitter.com\/cahlberg?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@cahlberg<\/a> at <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/RevqYIPagT\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/RevqYIPagT<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/696730907143770113?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Le patch sono quindi diventate un\u2019arma a doppio taglio. Da una parte, offrono protezione, ma dall\u2019altra, forniscono davvero agli hacker uno strumento per agganciare utenti distratti. Inoltre, le patch del marted\u00ec hanno fatto faticare gli hacker nei giorni successivi al loro rilascio.<\/p>\n<p>Per errore Microsoft ha riprogrammato i piani degli hacker per ogni secondo e quarto mercoled\u00ec del mese. Gli esperti in sicurezza possono fare lo stesso e spingere gli hacker a tradirsi con l\u2019aiuto di una campagna pianificata, ed \u00e8 quello che fanno.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Osservando il comportamento dei cybercriminali si possono trovare schemi ricorrenti e cos\u00ec scoprire chi siano nella vita reale.<\/p>\n","protected":false},"author":522,"featured_media":7458,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12,2642],"tags":[1409,632,1814,45,1828],"class_list":{"0":"post-7457","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-analytics","11":"tag-cybercriminali","12":"tag-sas-2016","13":"tag-sicurezza","14":"tag-thesas2016"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/math-catches-hackers\/7457\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/math-catches-hackers\/6674\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/math-catches-hackers\/6749\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/math-catches-hackers\/6662\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/math-catches-hackers\/7717\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/math-catches-hackers\/10822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/math-catches-hackers\/6006\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/math-catches-hackers\/6975\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/math-catches-hackers\/10374\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/math-catches-hackers\/10822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/math-catches-hackers\/11274\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/analytics\/","name":"analytics"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7457"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7457\/revisions"}],"predecessor-version":[{"id":18935,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7457\/revisions\/18935"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7458"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}