Per contrastare un approccio sempre più aggressivo da parte dei cybercriminali e far fronte ad attacchi sempre più sofisticati, l’azienda italiana Innovery, ha creato una divisione specializzata in Offensive Security per testare le difese perimetrali e applicative delle aziende, sia dal punto di vista della sicurezza informatica che fisica. E ci ha raccontato questa storia.
Il team di incursori di Innovery – professionisti che operano nell’ambito di programmazione e ingegneria informatica, elettronica e affini – ha infatti il compito di identificare le vulnerabilità delle aziende, tra cui le “zero day”, ossia falle nella sicurezza del software prima sconosciute.
Agiscono secondo le logiche dell’hacking etico, “bucano” sistemi informativi di banche, enti e organizzazioni private, verificano le falle del software, creano malware appositi e mettono alla prova tutto ciò che può compromettere la sicurezza perimetrale del “bersaglio”, e cioè gli allarmi, i rilevatori di movimento, le serrature, i sensori, le telecamere, e tutte le barriere fisiche e informatiche progettate per tenere al sicuro dati, macchine e oggetti di valore.
L’azienda, multinazionale, ma nata a Napoli, è una delle poche realtà italiane specializzate in “infiltrazione aziendale”. Il suo Red Team scende in campo con vere e proprie attività di spionaggio aziendale, partendo dalla ricognizione del perimetro e il pedinamento dei dipendenti fino all’intrusione tramite clonazione dei badge e la manomissione di videocamere e porte blindate per mettere in luce i gap e le vulnerabilità delle aziende: l’obbiettivo finale può essere una control room, un caveau o un server dedicato.
Ladri (etici) per contratto
Tutto quello che fanno questi esperti lo fanno sulla base di un contratto scritto tra il committente, cioè il responsabile legale dell’azienda o dell’ente che ne richiede i servizi, e i propri avvocati, un contratto cui è associata una clausola di non divulgazione delle attività svolte e prevede la massima attenzione a non ledere la privacy di chicchessia.
È in questo modo si sono infiltrati più volte fino agli uffici di un Amministratore delegato o all’interno del caveau di una banca, proprio per dimostrare com’è possibile sottrarre informazioni o beni di valore. Come dicono a Innovery, “è una storia alla Ocean’s Eleven”, il film seriale dove il team di George Clooney e Brad Pitt si intrufola in maniera rocambolesca nel caveau di un casinò. L’armamentario usato è quello che si vede anche nella saga di James Bond e che fa da contorno a tutti i film di spionaggio; occhiali con telecamera, chiavette Usb nel tacco delle scarpe, cellulari che rilevano le cimici.
L’intelligence, la raccolta di informazioni viene prima di tutto. Gli esperti di Innovery fanno prima un’analisi passiva con metodi Osint (Open Source intelligence) sfruttando i feed (contenuti da varie fonti) che vengono dal clear web e usano personale specializzato che infiltra i gruppi chiusi degli hacker che pianificano gli attacchi informatici.
Ma non è tutto digitale “Facciamo la stampa delle planimetrie dalle mappe di Google maps – ci dice Antonio Fiorito di Innovery, il segugio a capo di un team dedicato di 20 persone – poi un secondo step di analisi, recandoci davanti all’edificio o alla stanza del cliente, registriamo orari di ingresso e uscita del luogo di lavoro, e così capiamo dove sono le telecamere e i servizi di vigilanza e portineria. Mi ricordo di una volta che siamo arrivati con una scala davanti all’ingresso della banca per accedere al secondo piano, nessuno ci ha detto niente e siamo entrati dentro”.
Gli esperti, tutto personale altamente specializzato ma non per forza con una laurea, dopo il primo accesso studiano i sistemi di sicurezza, i rilevatori di movimento, quelli volumetrici, le telecamere.
Qualche volta lasciano in giro oggetti come portachiavi e pennette usb (ricordate Mr. Robot?), o spie ambientali per collezionare altri elementi informativi, perfino tablet e telefoni per vedere se qualcuno è così ingenuo da prenderli e usarli. Una delle operazioni più spavalde consiste nel lasciare le lan turtle (un oggetto che, collegato alla rete si può collegare a un Vpn o propagare un segnale Wi-fi) per monitorare tutto il traffico internet della vittima.
Una lunga pianificazione
La pianificazione delle attività richiede da 15 giorni di sopralluoghi a 4 messi di attività, ci dicono: “Ottenuto l’accesso fisico alla struttura poi dobbiamo capire come arrivare al bersaglio, il caveau, e quindi capire come bypassare sensori e serrature”. Quando l’intrusione è fisica usano occhiali dotati di telecamere che raccolgono post-it, scritte sui cartelloni, a volte basta parlare con una persona che permetta di ottenere informazioni preziose.
Ma non è così facile come sembra a dirlo. In genere si tratta di sistemi di allarme separati l’uno dall’altro e quindi un primo obbiettivo può essere bypassare le strutture fisiche, il secondo è bypassare tutti i segnali sulla rete Gsm e infine intervenire sui software. “Piccole interruzioni non suscitano allarme. Noi usiamo software specifici per prendere il controllo remoto degli strumenti di sorveglianza (gli RCE) e per lanciare alla fine uno 0-day”.
Insomma, non è cosa che possa fare chiunque. “Alla fine facciamo i video di tutto e l’impatto sul cliente è enorme. L’obiettivo è quello di rilevare possibili falle nella difesa, fisica e digitale, del cliente, e sensibilizzarlo sull’importanza della sicurezza”.
Come funziona l’offensive security secondo innovery
Le fasi del lavoro di Innovery si articolano in:
- Ricognizione passiva – raccolta di informazioni sull’ambiente dell’obiettivo.
- Cyber Threat Intelligence – approfittando delle informazioni liberamente disponibili sul bersaglio così come le sue persone e le specificità dell’ambiente.
- Ricognizione attiva – ottenimento di informazioni attraverso telefonate, e-mail interrogando direttamente il personale o i fornitori dell’obiettivo.
- Osservazione nascosta – appostamenti, droni e fotografie nascoste aiutano a identificare controlli di sicurezza fisica e monitorare il personale mentre va e viene.
- Pianificazione dell’attacco – utilizzo di ciò che è stato appreso su vulnerabilità, punti di fuga e di ingresso, telecamere, guardie, recinzioni, tecnologia aziendale, membri del personale e altro.
- Pretexting – test dell’attrezzatura di prova, del trasporto e del personale per assicurarsi che tutto sia pronto per il lancio.
- Infiltrazione, Sfruttamento – realizzazione dell’attacco pianificato.
- Post-Exploitation – penetrazione dell’ambiente per mantenere una backdoor persistente.
“Adoro il mio lavoro, ci dice Fiorito. Lo si fa per passione. Vogliamo dare un aiuto concreto per comprendere la giusta postura di sicurezza. Lo facciamo anche per i Vip, non solo per le loro aziende. Lavoriamo in tutti gli ambiti, finance, assicurativo, energetico, accademico e nella Pubblica Amministrazione. Ma potremmo farlo anche per un attore famoso o per un calciatore”.
Sembra ovvio che ogni cliente abbia un contratto a sé che definisce fino a che punto si possono spingere gli incursori garantendo il rispetto della privacy e della reputazione dei soggetti coinvolti, ma è bene ribadirlo per evitare incaute emulazioni.
