aspettando_spieInformation warfare e hacking, le nuove frontiere dell’intelligence

Arturo Di Corinto
Leonida Reitano

per Limes di Luglio 2014

Lo 007 del terzo millennio non è un elegante signore in smoking, non si nasconde dietro occhiali scuri e barba finta, non ha licenza di uccidere, ma è un analista digitale che, senza che noi lo sappiamo, potrebbe starci seduto accanto. La guerra dell’informazione oggi si combatte sulle reti informatiche, sul web di superficie o sotto di esso, nel deep web, luogo in cui si cercano e spesso si raccolgono informazioni privilegiate, qualche volta dentro buste chiuse (file crittografati), ma più spesso usando informatori inconsapevoli e informazioni accessibili a tutti a patto di usare strumenti “speciali”.

Non si tratta però di un vero cambiamento metodologico. Da sempre, scopo di un servizio di intelligence è la raccolta e l’analisi di informazioni strategiche per assumere una superiorità informativa di fronte all’avversario, oppure per inquinare e neutralizzare le informazioni su cui il nemico basa le proprie scelte. Esito di ogni processo di intelligenze è comunque quello di riferire a coloro che governano i processi, le informazioni strategiche per la propria organizzazione.

Perciò la raccolta di queste informazioni avviene sempre attraverso tutti gli strumenti disponibili. Il nostro 007 digitale usa “fonti umane” (l’HUMan INtelligence), ossia reti di informatori da cui reperire informazioni confidenziali; intercetta comunicazioni (la SIGnal INTelligence); elabora e analizza immagini satellitari o di altri vettori (IMINT), studia e scompone “firme” chimiche, radio e spettrografiche di sistemi d’arma e vettori che possano nuocere alla sicurezza; oppure, ed è il caso più frequente, analizza fonti aperte, cioè pubblicamente accessibili (Open Source INTelligence).

Le discipline dell’intelligence digitale: l’Osint e la Sigint

Negli ultimi anni, caratterizzati dalla rivoluzione tecnologica che ci ha catapultati in una società più liquida, complessa, interconnessa e soprattutto competitiva, la quantità di informazioni che produciamo è infinitamente più grande di quanto siamo in grado di consumarne. Siamo di fatto entrati nell’era dei big data. In questo nuovo panorama avere gli strumenti per identificare, trattare ed estrarre da tale mole di dati della conoscenza di valore è la sfida del momento.

La facilità di accesso ai dati ha cambiato il processo d’intelligence: l’OSINT che in passato era una mera disciplina a supporto delle fasi di intelligence tradizionale, è divenuta oggi un processo informativo abilitante e centrale alla fasi investigative e preventive.
Dopo il grande fallimento dell’intelligence dell’11 settembre le agenzie si sono dovute confrontare con minacce globali che hanno trasformato anche il valore del “dato”. In altri termini è radicalmente mutato il modo di fare intelligence. Si è passati da un mondo in cui il costo dell’intelligence era prettamente investito nella fase di acquisizione delle informazioni a un mondo, quello attuale, in cui il valore si è spostato sul trattamento e l’estrazione di senso dalle informazioni liberamente disponibili. Basti pensare che circa 80% delle informazioni utili per una investigazione al momento provengono dalle “fonti aperte”.

Da quanto detto emerge con chiarezza che l’OSINT è una metodologia intellettualmente complessa, e tecnicamente raffinata che trasforma dati e informazioni apparentemente slegati tra loro in un quadro coerente e significativo sul piano investigativo.
Va sottolineato e ribadito che l’attività di OSINT non è una attività percorribile solamente attraverso l’accesso gratuito alle informazioni. Fanno parte dell’OSINT tutte quelle informazioni contenute nei database strutturati (dal Cerved per le informazioni finanziarie e camerali al catasto per le proprietà immobiliari etc.) le quali possono avere un significativo costo di utilizzo e quindi presentare delle barriere di accesso a volte insormontabile per i singoli individui.

In linea generale le competenze richieste per un buon analista  OSINT appartengono ai seguenti domini di conoscenza:

1. hacking: per l’utilizzo delle risorse informative relative ai protocolli di rete e in particolare l’uso dei DNS  tools;

2. search engine knowledge: conoscenza degli operatori booleani, delle peculiarità dei vari motori di ricerca, capacità di costruire query complesse e attività di manipolazione delle URL;

3. rudimenti di linguistica: per costruire keyword efficaci e organizzare piani di ricerca semanticamente pertinenti;

4. rudimenti di analisi di bilancio: per leggere i documenti di bilancio di provenienza camerale e non;

5. rudimenti di diritto societario: per saper individuare le principali tipologie di società e le loro diverse finalità;

6. strumenti di Data Analysis: in particolare l’uso di Excel, ma essenziale è anche la conoscenza di Google Refine e Google Fusion così come elementi di progettazione database e programmazione in SQL non guastano;

7. metodologie investigative e di analisi: matrici di correlazione, diagrammi di flusso e di stato, analisi contro fattuale, collection planning;

8. social engineering: uso di strumenti di anonimato e di strategie e tecniche di dissimulazione identitaria per raccogliere informazioni sotto copertura;

9. conoscenza dei software specialistici OSINT: studiare, applicare e seguire lo sviluppo dei principali strumenti software dedicati all’investigazione e al monitoraggio OSINT;

10. capacità di scrittura chiara e sintetica: saper scrivere dei report OSINT in maniera chiara, esaustiva ed esplicativa;

11.  nozioni di ricerca bibliotecaria e d’archivio: per individuare testi, esperti e informazioni presenti nel sistema bibliotecario nazionale e internazionale;

12. conoscenza lingue straniere: l’inglese obbligatoriamente, ma sicuramente sono necessarie almeno un’altra lingua ad ampio spettro (come spagnolo o francese) e una lingua “esotica” come l’arabo o il cinese per poter esplorare domini informativi diversi da quelli occidentali o occidentalizzati.

L’elenco di skills su indicato rappresenta il range di conoscenze e capacità operative necessarie per effettuare una efficace analisi OSINT, su cui c’è una base condivisa tra diversi manuali di Open Source Intelligence.

Nondimeno va fatta presente l’esistenza di diverse scuole di pensiero:

1) la scuola del datamining/textmining che vede l’OSINT come un fenomeno di analisi semantica svolto in maniera automatica da sistemi esperti. In questo caso le competenze richieste all’analista vanno nella direzione dell’acquisizione di una conoscenza specialistica dei software in questione spesso molto complessi. Il software Cogito dell’Expert System è un esempio di questo tipo di approccio.

2) La scuola del software proprietario di alto livello: si tratta di software di analisi evoluti come I2 o Sentinel, Palantir, Kapow, che offrono strumenti di integrazione di database e dati presenti sul web organizzandoli in modelli di analisi coerenti. Il rischio di questi strumenti “all in one” consiste nel limite che essi pongono alla creatività investigativa. Gli strumenti automatici, potenti, ma standardizzati che compongono questi software non tengono presenti quegli elementi di dettaglio delle singole informazioni (che possono essere tracciate solo “manualmente”) suscettibili di aprire nuove piste investigative. Altri problemi di questi software sono legato all’alto costo di acquisto e di gestione, alla curva di apprendimento elevata e alla rigidità dell’interfaccia di analisi che consente scarse opzioni di customizzazione.

3) La scuola della metodologia analyst centered, vale a dire un approccio che considera i software come secondari, all’implementazione di strategie di ricerca e analisi basati sulle conoscenze personali dell’analista/investigatore. Si tratta di una metodologia che pone al centro del processo l’analista e non il software e che contempla l’uso di diversi strumenti informatici (in buona parte eterogenei tra di loro) per soddisfare i requisiti investigativi da raggiungere. L’esponente più noto di questa “scuola” è l’ex dirigente del dipartimento OSINT dei servizi segreti danesi Arno Reuser1 il quale organizza insieme a Jane’s Intelligence uno dei migliori corsi di OSINT europei.

4) La scuola hacker che interpreta l’OSINT soprattutto come una attività ricognitiva dei sistemi da penetrare per individuare le falle nella sicurezza. Software come Google Hacks, Shodan, FOCA, Maltego, dirBuster sono stati progettati dalla comunità hacker con lo scopo principale di fare una scansione delle vulnerabilità da sfruttare. Buona parte di questo software può naturalmente essere usato anche per ragioni diverse dal penetration testing ed individuare informazioni sensibili nascoste nel codice delle pagine e dei file dei vari siti online o nei dati dei sistemi di hosting dei medesimi siti.

La ciberwarfare e la SIGINT rappresentano l’altro lato della medaglia, quello di un’intelligence digitale che svolge attività di “penetrazione informativa” .  Tale attività viene svolta in maniera mirata su bersagli di particolare importanza

Metodo mirato

1) Uso di software di intrusione detti trojan horse (Magic Lantern , Remote Control) inseriti attraverso allegati di posta elettronica, javascript contenuti nella mail, video in streaming, link e applicazioni facebook, siti web, file torrent, etc.

2) Uso di programmi di intercettazione del traffico di rete sia attraverso il crack delle password delle reti wifi, sia attraverso la compromissione di router e server (Langrabber, Backtrack)

3) Uso di apparati hardware in grado di intercettare il traffico di rete in maniera invisibile agli stessi operatori di rete: (Nemesys)

Oppure viene svolta come attacchi “a strascico” su grandi settori

Metodo massivo

1) Sistemi di intercettazione del traffico telefonico e satellitare globale come Echelon.

2) Sistemi di intercettazione del traffico di Internet attraverso programmi di sniffing installati presso gli Internet Service Provider (Carnivore, PRISM)

Carnivore essendo un programma di sniffing usato su reti statunitensi in grado di copiare e riversare su hard disk i dati intercettati; Prism un programma di sniffing della NSA abilitato alla sorveglianza in profondità su comunicazioni dal vivo di gran parte del traffico Internet mondiale e delle informazioni memorizzate:  email, chat, chat vocali e videochat, video, foto, conversazioni VoIP, trasferimento di file, notifiche d’accesso. Per ottenere ciò, PRISM si serve della collaborazione di vari fra i maggiori service provider.

Lo spionaggio digitale del resto prevede la partecipazione sia di software house private sia della disponibilità di controllo della infrastruttura di rete.
Il nostro 007 digitale non lavora mai da solo.