Uno dei principali problema relativi all’investigazione di violazioni di sistemi informatici è la scoperta tempestiva dell’incidente. Purtroppo molto spesso prima che le organizzazioni vittime di un attacco si rendano conto dell’accaduto passano mesi, un’eternità in cui la informazioni passano di mano in mano, oggetto di scambio o vendita.
L’azienda Bitglass ha condotto un interessante esperimento per valutare la velocità con cui le informazioni sottratte in un attacco informatico si propagano incontrollate nella rete, come questi dati sono scambiati o venduti su forum criminali specializzati e in quale posto del globo finiscono. Gli esperti hanno utilizzato dei documenti Excel che sembravano originali e hanno sparso queste informazioni in rete: per rendere realistici i documenti sono stati utilizzati nomi, per i file, tali da poter credere che il contenuto fosse una collezione di dati provenienti da violazioni (e.g. credit_cerd_sn.xsl, ssn_employee.xls, oppure nomi di aziende recentemente vittime di attacchi informatici Anthem.xls).
Gli esperti hanno inserito nei file dei marcatori, ovvero codici che all’apertura del documento inviano agli esperti informazioni come l’indirizzo IP di coloro che hanno letto il file. I file sono stati quindi pubblicati su una cartella pubblica del servizio di cloud storage DropBox e su un altro paio di siti web utilizzati da comunità di criminali informatici.
“Abbiamo utilizzato 1.568 file Excel contenenti false credenziali dei dipendenti di un’azienda, poi abbiamo messo i file su siti di file sharing anonimo all’interno del Deep Web” spiegano gli esperti della Bitglass “Successivamente abbiamo rintracciato i dati in giro per il mondo individuando come essi si sono propagati.”
Secondo i dati forniti nel rapporto recentemente pubblicato dall’azienda, ci sono voluti appena 12 giorni perché i file fossero aperti più di 1.081 volte in 22 diversi paesi, in 5 distinti continenti. Questo dato è allarmante se si considera che mediamente per scoprire una violazione di dati si impiegano 205 giorni. Se in 12 giorni i file hanno fatto il giro del mondo, pensate cosa potrebbe accadere in 205 giorni, a dimostrazione dalla rapida propagazione delle informazioni. “Il livello di accesso, dopo soli 12 giorni è stato straordinario”, recita lo studio. “Immaginate come sarebbe potuto accadere in 205 giorni.”
Ma dove sono finiti i dati?
Ovviamente in qui paesi con maggiore attitudine alle attività criminali online, Russia, Cina e Brasile sono stati riconosciuti come punti di accesso principali per i file contenenti le false credenziali.
Ulteriori analisi sul tempo, luogo, e indirizzi IP relativi all’apertura dei documenti hanno consentito ai ricercatori di individuare due organizzazioni principali attive nella vendita delle informazioni “esca”: i gruppo operano principalmente in Nigeria e in Russia.
Proprio in alcuni paesi del contenente africano si stanno sviluppando comunità criminali dedite alle frodi online che sono estremamente attive. Inoltre, l’anonimato offerto dalla parte del web nota come Deep Web (ovvero non indicizzata dai principali motori di ricerca) , agevola la commercializzazione di dati rubati.
La ricerca è unica nel suo genere ed è considerata molto significativa perché aiuta a misurare la velocità con la quale le informazioni rubate si propagano nella rete e va precisato, inoltre, che le visualizzazioni contabilizzate potrebbero essere in realtà di gran lunga superiori perché in taluni casi i criminali potrebbero aver rimosso o neutralizzato i marcatori.
Non vi è dubbio, se si vogliono limitare i danni di una violazione di dati … occorre battere i criminali sul tempo ed operare prima che le propagazioni dei dati abbiano raggiunto livelli ingestibili.
Facebook Comments