Tutto quello che c’è da sapere su Osint e gli hacker
La diffusione ormai capillare della tecnologia digitale ha fatto emergere, soprattutto negli anni del nuovo millennio, questioni sempre più urgenti inerenti la sicurezza; in particolare, una delle questioni primarie è quella riguardante la riservatezza delle informazioni personali, in special modo quelle che vengono immesse nel web e potrebbero essere utilizzate in maniera fraudolenta da soggetti terzi che violano i sistemi di sicurezza di reti e network; si tratta dei cosiddetti “hacker”, ossia di figure in possesso di spiccate competenze informatiche, utilizzate per implementare azioni esplorative – spesso non autorizzate – nei confronti di un sistema programmabile. Poiché gli hacker con il tempo sono diventati una minaccia, si è sviluppato uno specifico ramo di intelligence che si occupa di prevenirne o bloccarne l’azione.
Cos’è Osint
Una parte delle operazioni di intelligence che riguardano la sicurezza digitale si concentrano sulle informazioni denominate “open source”, ossia liberamente accessibili (la definizione si applica anche ai software resi disponibili gratuitamente dai possessori della licenza, ma non vi è alcuna correlazione tra i due ambiti). Il ramo delle attività investigative in ambito di sicurezza digitale che si occupa dei dati open source prende il nome di OSINT, acronimo di Open Source Intelligence. La prima definizione ufficiale di questo genere di procedure investigative risale alla fine degli anni Novanta (quando la Open Source Intelligence veniva chiamata OSCINT) e venne formulata dalla Intelligence Community degli Stati Uniti: “Con Open Source si fa riferimento alle informazioni disponibili pubblicamente diffuse in forma stampata o elettronica. Le informazioni Open Source possono essere trasmesse via radio, in televisione e sui quotidiani, e possono essere distribuite da database commerciali, network di posta elettronica o supporti digitali portatili come i CDROM. Può essere diffusa presso il grande pubblico, come quello dei mass media, o ad un pubblico più ristretto, come la letteratura grigia, che comprende conferenze, report agli azionisti e indicazioni telefoniche locali. Qualunque forma assuma, l’Open Source non include informazioni che siano originariamente riservate o soggette a restrizioni da parte dei proprietari (diverse dal diritto d’autore) o che siano acquisite attraverso mezzi clandestini o sotto copertura”. In base alla definizione sopra fornita, l’OSINT attinge a qualsiasi genere di informazione che sia liberamente reperibile dai contesti più disparati: dai mass media alle pubblicazioni accademiche, passando per i dati resi pubblici da organi ed autorità di vario tipo (conferenze stampa, rapporti governativi e simili).
Come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations – a distinguere le procedure di OSINT da una semplice ricerca di dati è l’applicazione di un preciso criterio di gestione delle informazioni per cui esse vengono raccolte, catalogate ed analizzate in tempi relativamente brevi e trasmesse ad un soggetto terzo per soddisfare specifiche finalità investigative. In altre parole, l’OSINT è strutturata in modo tale da perseguire uno scopo ben preciso, ossia centrare un obiettivo investigativo predefinito.
Come i dati Open Source utilizzato dagli hacker
Poiché le Open Source sono informazioni accessibili a chiunque, esse sono facile preda degli hacker, che rientrano tra le figure interessate ad implementare procedure di OSINT. Queste vengono utilizzate per raccogliere, catalogare ed analizzare dati ed informazioni inerenti ad uno specifico obiettivo; gli hacker utilizzano i riscontri ottenuti per mezzo delle procedure di Open Source Intelligence al fine di delineare il profilo del proprio target ed organizzare un attacco informatico. Non si tratta necessariamente di una minaccia se l’azione viene approntata da un cosiddetto “hacker etico”, ossia una figura specializzata dalle elevate competenze informatiche che sfrutta le proprie conoscenze per ‘attaccare’ un sistema informatico non allo scopo di arrecare danno alla struttura digitale ma, piuttosto, di testarne il grado di sicurezza e la capacità di resistenza nei confronti di un attacco esterno; questa procedura, che prende il nome di ‘penetration test’ viene spesso utilizzata a scopo preventivo, per individuare tempestivamente i punti deboli di una determinata architettura digitale, al fine di permettere al mandante del test di predisporre adeguati aggiornamenti e contromisure.
Come difendere la tua azienda
Le informazioni raccolte dagli hacker tramite OSINT rappresentano una minaccia per la sicurezza digitale sia dei singoli individui sia di società ed aziende con una forte presenza sul web o sui mass media. La tutela delle informazioni protette e dei dati riservati è di fondamentale importanza per l’economia complessiva delle attività aziendali e per questo, nel caso in cui si vogliano approntare verifiche preliminari o individuare le prove di azioni di pirateria informatica a danno delle reti aziendali o personali, è possibile dare mandato ad un’agenzia di investigazioni privata per lo svolgimento di apposite indagini informatiche. L’incarico può essere conferito in prima persona dal diretto interessato, ma nel caso in cui si tratti di una società o di un’azienda, ad occuparsi di questa incombenza è quasi sempre un legale rappresentante.
La prima fase della procedura investigativa consiste nell’individuare gli obiettivi della stessa; sulla base dello scopo primario delle indagini, gli agenti incaricati approntano la strategia, o le strategie, che più si adattano a raggiungere l’obiettivo investigativo prefissato. Per prevenire un eventuale attacco esterno da parte di un hacker, gli agenti incaricati possono decidere di effettuare un Penetration Test: in tal caso, è necessario garantire l’integrità e la riservatezza dei dati sensibili e delle informazioni riservate, sottoscrivendo apposite clausole di riservatezza (in genere, al mandante delle indagini vengono comunicati i nominativi di tutti i soggetti che, a vario titolo, prendono parte alla procedura investigativa). Il test può essere eseguito in vari modi, a seconda di quali e quante informazioni vengano fornite agli investigatori da parte dell’azienda o della società titolare delle reti o delle strutture da testare; nella sua versione più ‘verosimile’, gli hacker etici procedono ‘al buio’, ossia senza alcuna informazione preliminare: in uno scenario di questo tipo, è loro compito effettuare una procedura di OSINT, così come farebbe un vero hacker, e poi procedere con un attacco non programmato, così da riprodurre nella maniera più fedele possibile le condizioni ambientali in cui si potrebbe verificare un attacco informatico da parte di un soggetto esterno. In alternativa, esistono svariate procedure di intelligence (Digital Forensic) che consentono l’analisi di reti e dispositivi finalizzate all’individuazione di elementi in grado di comprovare un attacco informatico; la prassi vuole che il dispositivo da analizzare venga isolato e che i dati al suo interno vengano copiati per essere analizzati separatamente in un ambiente completamente sicuro, senza il rischio di comprometterli o esporli ad ulteriori attacchi. Al termine delle procedure previste, gli agenti incaricati stilano una relazione tecnica: si tratta di un documento all’interno del quale viene descritto il lavoro svolto dagli investigatori ed i risultati ottenuti, in relazione agli obiettivi concordati.