I poliziotti in borghese più famosi degli anni ’70, il mito che ci ha accompagnato in tanti pomeriggi in casa nella nostra infanzia, contraddistinti da fisicità e intuizioni, potrebbe competere oggi con i moderni criminali per sventare una rapina in banca?
La domanda può sembra banale e soprattutto non centrata rispetto la tematica della cybersecurity … ma presto vedremo la correlazione.
Starsky e Hutch a bordo della loro fiammante Ford Torino del 1976 avevano una tecnica standard per ventare una rapina. Infatti, nel caso il loro informatore Huggy Bear li avesse informati che un gruppo di criminali avrebbe rapinato una predeterminata banca loro avrebbero trascorso ore e ore in appostamento di sorveglianza nelle vicinanze della banca. Notte e giorno ad osservare ciò che accade davanti alla banca con un obiettivo ben preciso: riuscire a riconoscere una eventuale rapina. I segnali classici che una rapina in banca sta avvenendo sono di questo tipo: una auto che parcheggia proprio davanti all’ingresso, alcune persone scendo dall’auto di corsa indossando passamontagna e imbracciando fucili e pistole, l’auto rimane con il motore acceso pronta a ripartire. Ecco, so se riescono ad individuare uno o più di questi segnali allora possono intervenire e sventare la rapina.
Questo è il modo in cui si comportano i sistemi di sicurezza standard degli endpoint. Se vedono un “modello di attacco” conosciuto, ad esempio una persona con un passamontagna, allora riescono ad individuare un attacco.
I moderni attacchi informatici, evoluti, sofisticati, zero-day invece non utilizzano “modelli di attacco” noti. Difficilmente si palesano come un rapinatore che entra in banca con un passamontagna nero calato sul volto. Invece, si muovono invisibili e insospettabili come delle spie. Studiano l’ambiente intorno alla banca attraverso l’uso di binocoli e in distanza, studiano l’interno della banca andando ad effettuare prelievi o appuntamenti alla cassa con telecamere nascoste che filmano l’intero ambiente per poi rivedere e studiare i filmati, scambiano quattro chiacchiere amichevoli con la guardia oppure con la cassiera, allo scopo di reperire informazioni utili. Magari fingono di ricevere una telefonata mentre sono all’interno della banca per appartarsi e studiare ulteriormente la dinamica delle guardie o altri sistemi di difesa che dovranno eludere o evitare.
A differenza dei nostri eroi degli anni ‘70 Starsky e Hutch, la metodologia “deceptive” (metodologia dell’inganno) è invece in grado di sventare un attacco informatico individuando l’attaccante (non un metodo di attacco) attraverso l’osservazione dei suoi comportamenti già in fase di ricognizione dell’ambiente che intende attaccare, osservando soprattutto le tecniche di evasione delle difese che ogni malware mette sempre in atto (in media ogni malware applica 10 tecniche di evasion tecniques). Ciò è quello che farebbe il controspionaggio per individuare la presenza di una spia.
L’unico prodotto di cybersecurity che implementa questa innovativa tecnologia ad inganno per la protezione degli endpoint è l’azienda israeliana Deceptive Bytes.
E per chi è nato prima del 1975 non rimane che rivedere gli inseguimenti di Starsky e Hutch su qualche videocassetta VHS.