La caccia ai ricercatori di cybersecurity

Il ricercatore di cybersecurity Peter Kruse, fondatore del CSIS Security Group in Danimarca, pensava che sua madre lo stesse chiamando. Il suo numero è apparso sul telefono, ma quando ha risposto, non era lei. Invece, una voce maschile gli ha comunicato di cessare le sue attività da esperto informatico.

"Hanno controllato i miei parenti," ha detto, riferendosi ai suoi stalker anonimi. "Hanno fatto i compiti."

Il security researcher Costin Raiu, del Kaspersky Lab in Romania ha una storia simile. Mentre stava analizzando Stuxnet, un worm programmato dagli Stati Uniti e da Israele e considerato essere la prima arma cibernetica della storia, qualcuno è sgattaiolato dentro la sua casa.

L'intruso ha lasciato un cubo illustrato—un dado di gomma con, sulle sue facce, delle scritte come "sì," "no," "forse,"—sul tavolo del salotto, con il messaggio "prenditi una pausa" rivolto verso l'alto.

Queste storie di minacce e "consigli" sono piuttosto comuni per questa ristretta cerchia di noti ricercatori nell'ambito della cybersecurity, ma sono pochi quelli che amano parlare degli episodi. "Se il tuo lavoro consiste nel tracciare cybercriminali, durante la ricerca devi fare molta attenzione a dove metti i piedi, alla tua famiglia e alle persone che ti circondano," ha detto Righard Zwienenberg, esperto di security di ESET. "Le persone che portano avanti questo tipo di ricerche si prendono il rischio volontariamente e coscientemente."

Nemici ovunque

Anche se questo tipo di vita può essere allettante per molti, la maggior parte di questi ricercatori sono, di fatto, dei geek. L'informatica che gli hanno insegnato alle superiori e all'università non li ha preparati per uno scenario del genere, ai limiti dei blockbuster hollywoodiani a tema spionaggio.

Collegare delle identità specifiche a determinate minacce è praticamente impossibile, vista la mancanza di prove concrete. Molti degli incidenti non vengono nemmeno denunciati. "Nessuno ti crederà se vai dalla polizia e spieghi loro che è apparso un dado di gomma nella tua casa," ha detto Raiu.

In molti casi, i ricercatori sospettavano di alcune agenzie di intelligence che potevano star proteggendo interessi governativi. Nel caso di Stuxnet, il fatto che sia stato creato dagli Stati Uniti e da Israele è rimasto segreto fino a due anni dopo la sua scoperta. In altre parole, potrebbero essere coinvolti dei cybercriminali intenti a recuperare i dati dei ricercatori o a zittire le loro investigazioni.

Le minacce possono includere "pressioni, corruzione, infiltrazioni e ricatti, ripercussioni legali, minacce alla salute, minacce alla vivibilità della area di influenza della vittima, minacce di violenza o morte," in base a chi attacca, ha scritto Juan Andreas Guerrero-Saade, esperto di cybersecurity, in un paper presentato questo autunno alla Virus Bulletin Conference a Praga.

Le minacce più spaventose possono arrivare dai governi, spiega. "I ricercatori, in quanto singoli individui, si scontrano con sfide piuttosto pericolose quando si ritrovano nel mirino delle agenzie governative," ha scritto. "L'operatore di una campagna di spionaggio non è un criminale comune o un semplice cittadino, e le sue risorse sono davvero preziose." Anche, "Le minacce più vaghe sono importanti," ha sottolineato.

"Prenditi una pausa"

Per questo articolo abbiamo parlato con 18 ricercatori, la maggior parte dei quali hanno rifiutato di essere menzionati per nome e cognome.

Queste minacce sono reali, spiegano i ricercatori, non si tratta solamente di reazioni paranoiche vicine al loro modo di vivere il lavoro—anche se ammettono che vivere nella paura cambi la loro percezione del mondo.

"Sono arrivato a casa alle 7 di sera. Ho visto il dado al centro del tavolo con la faccia "Prenditi una pausa" rivolta verso l'alto," mi ha detto Costin Raiu. "Avevamo un dado ai Kaspersky Lab, a Bucharest. Il dado è sparito da lì, ed è riapparso a casa mia." Dice di non ricordare di aver portato il dado a casa, e anche di aver fatto colazione su quel tavolo, la mattina. Ha detto di averlo pulito, dopo, prima di uscire per andare a lavoro. Era il 29 novembre 2010.

Ha connesso l'incidente a una strana sensazione che ha percepito il 30 settembre dello stesso anno, durante la Virus Bulletin Conference, a Vancouver, dove ha pronunciato un discorso su Stuxnet, sostituendo il suo collega Alexander Gostev.

"A quella conferenza avevamo tre partecipanti dell'ultimo minuto. Avevano pagato in contante, e tutti e tre hanno dichiarato di venire dal GOI," ha detto.

Raiu ha detto di non sapere che cosa significasse GOI. Ha affermato, comunque, che dato il loro aspetto sembravano provenire da un paese del Medio Oriente. La sua era l'unica presentazione a cui i tre hanno partecipato, ha detto.

Dopo l'incidente del cubo, Costin Raiu si è preso una pausa da Stuxnet. "Per un po' ha sconvolto la mia vita," ha detto." Ho capito che si trattava di qualcosa di serio. Che le mie ricerche stavano dando fastidio a personalità potenti."

Un anno e mezzo dopo, ci ha ripensato. Il suo team è stata coinvolto attivamente nell'analisi di Flame, una cyber weapon proveniente dalla stessa famiglia di Stuxnet, anch'essa pensata per attaccare paesi mediorientali, specialmente l'Iran. Il sofisticato malware è stato, di nuovo, probabilmente sviluppato dagli Stati Uniti e Israele, secondo il Washington Post.

"Farsi intimidire è un errore," ha detto Raiu. "Quello che facciamo è importante."

Telefonate intimidatorie

Peter Kruse aveva denunciato l'incidente alla polizia nel 2011, quando è successo. Il ricercatore danese ha spiegato di essere stato minacciato al telefono e che l'aggressore sembrava chiamare dal numero di sua madre.

"La polizia mi ha detto che le chiamate provenivano dall'Inghilterra. Non ho mai più avuto notizie dagli investigatori," ha detto. Ancora non sa chi sia stato a minacciarlo.

Secondo lui, è possibile che le minacce siano collegate al lavoro che ha svolto sul Multibanker/Patcher Trojan, che attaccava i conti bancari online. Il malware ha silenziosamente prelevato i dati da migliaia di computer infetti, molti dei quali in Danimarca. Probabilmente, gli hacker responsabili del malware non vedevano di buon occhio il fatto che lui ficcasse il naso in giro, ha detto.

Non è stato l'unico incidente. "Ho ricevuto minacce su internet molte volte, via mail," ha detto. Ad un certo punto, qualcuno ha persino usato il suo nome per diffondere un malware. "Inviano mail da parte mia, con un file allegato."

"È impossibile essere al sicuro al 100 percento, a prescindere da chi tu sia", ha detto.

Bombe

Alle volte, la fonte degli attacchi è più facile da identificare. La società di sicurezza russa Dr. Web, i cui prodotti sono utilizzati da aziende bancarie, petrolifere e di telecomunicazioni, è stata bombardata con bombe molotov dopo che i ricercatori hanno rivelato che una gang creava e vendeva un Trojan in grado di rubare i soldi dai bancomat.

Dr. Web ha ricevuto una minaccia via mail che diceva che l'azienda aveva una settimana di tempo per cancellare qualsiasi riferimento al gruppo fatto online. "Altrimenti l'associazione interromperà le transazioni e invierà criminali a riscuotere la testa dei vostri programmatori," c'era scritto sulla nota. "La fine di Doctor Web sarà tragica."

Il CEO Boris Sharov decise di non cedere alle richieste.

Nel marzo 2014, un'azienda a San Pietroburgo che distribuiva il software ATM Shield della Dr. Web è stata attaccata tre volte con bombe molotov, con danni non gravi. Ci sono state anche due intrusioni negli uffici della Dr. Web a Mosca.

La società di sicurezza sospetta che gli attacchi con le bombe Molotov siano stati eseguiti da estranei pagati su internet da un gruppo di sviluppatori che ha venduto un software a diverse gang specializzate nello svuotare le carte di credito hackerate. Una banca di Mosca è riuscita a confermare che il team stava operando da Kiev, in Ucraina, ha detto il CEO Boris Sharov a Brian Krebs, giornalista che si occupa di cyber-sicurezza.

Swatting

Krebs, il giornalista con cui ha parlato Sharov, ha ricevuto a sua volta una serie di minacce per le ricerche fatte a proposito di cybersecurity.

Nella primavera del 2013, la polizia ha ricevuto una chiamata di emergenza da casa di Krebs, una pratica conosciuta come "swatting," che consiste in una falsa chiamata alla polizia, con un pretesto che porti quelli della SWAT (Special Weapons Attack Team) a casa della vittima.

"Chi ha chiamato ha detto di essere me, dicendo che i russi erano entrati in casa e avevano sparato a mia moglie," ha scritto Krebs sul suo blog.

Si è fatto molti nemici nel corso delle sue indagini giornalistiche sugli hacker e sapeva che prima o poi una cosa del genere doveva succedere. Il giornalista aveva avvisato la polizia locale sei mesi prima, ma la polizia ha comunque preso seriamente la minaccia. Gli agenti sono arrivati a casa di Krebs, gli hanno puntato addosso i fucili e lo hanno ammanettato, prima di lasciarlo andare e scusarsi.

Questo incidente è avvenuto in contemporanea a un attacco DDoS sul suo blog.

Poi, durante l'estate del 2013, Krebs ha ricevuto un pacco di eroina "dall'amministratore di un forum di cyber-crimine esclusivo" che voleva incastrarlo. Il giornalista ha seguito in diretta su un forum l'organizzazione della frode e ha chiamato la polizia prima che la consegna fosse effettuata. L'hacker responsabile di questa cosa è ora sotto processo.

Krebs ha anche detto che alcuni hacker hanno aperto linee di credito a suo nome, hanno pagato le sue bollette con una carta di credito rubata e hanno usato il suo nome e le sue sembianze online.

Necessaria paranoia

Poiché sono così tanti i gruppi che vogliono avere accesso ai frutti delle loro ricerche, gli esperti di cyber-sicurezza devono mettere in sicurezza i propri computer, telefoni e qualsiasi conversazione in generale.

"I ricercatori che si occupano di cyber-sicurezza sono paranoici per natura. Ogni mia comunicazione è criptata," ha detto Kruse.

Questi ricercatori prendo misure extra quando vanno alle conferenze sulla cyber-sicurezza, per esempio. Ogni volta che lasciano un computer incustodito in una camera d'albergo, lo chiudono e ci spargono sopra un po' di cavi. Poi scattano una foto. "Se qualcuno apre il portatile, è impossibile che riesca a rimettere i cavi come erano," ha detto Raiu.

Proprio durante una di queste conferenze, ha raccontato Raiu, gli è capitato di lasciare il computer nella camera d'albergo per andare a prendere un caffé. Quando è tornato, si è accorto che qualcuno era passato di lì: l'intruso non si era preoccupato di richiudere il portatile.

Due esperti che preferiscono restare anonimi hanno confessato di essersi scambiati messaggi nascondendoli nel codice che postavano online. Usavano internet per condividere informazioni e cercare di evitare le infrastrutture cellulari GSM. C'è chi usa una gabbia di Faraday, che blocca i campi elettrici e i segnali radio, per evitare di essere spiato, o quando deve avere una conversazione faccia a faccia.

I ricercatori che si occupano di cyber-sicurezza sanno come proteggersi nel mondo digitale. Sono più preoccupati per le loro vite nel mondo reale, e per quelle dei loro cari.

"Le persone che mi spiano sanno quali sono i miei punti deboli nel mondo fisico, reale," ha detto Kruse.

Il che significa che i ricercatori di cybersecurity devono abituarsi a una vita da James Bond.

"Temo che nessuno possa fare qualcosa per proteggere le persone che lavorano in questo settore," ha detto Raiu.

Contatta l'autore: andradaf@gmail.com (PGP)