“Se conosci te stesso e conosci il tuo nemico, non dovrai mai temere la sconfitta” – Sun Tzu
Nel I secolo A.C. il saggio Sun Tzu scrisse nel celebre libro “L’arte della guerra”– “Se conosci te stesso e conosci il tuo nemico, non dovrai mai temere la sconfitta”. Come non applicare una massima così diretta e chiara al mondo della cyber security? Scopriremo che ciò è tutt’altro che banale e scontato.
E’ ormai opinione condivisa, nel settore della cyber security, che l’arma più potente nella lotta al crimine informatico (cyber crime) non può derivare dalla semplice adozione delle più recenti tecnologie: il problema va estirpato alla radice. Esistono vere e proprie organizzazioni criminali che favoriscono la ricerca e lo sviluppo di prodotti e servizi illeciti per fini commerciali e di lucro.
Il mercato nasce sempre dall’incontro tra una domanda e un’offerta; le organizzazioni criminali forniscono prodotti e servizi a clienti che possono essere criminali, aziende (spionaggio, attacchi ai concorrenti, etc.) o addirittura veri e propri governi.
Figura 1 – Modelli di business e struttura organizzativa del Cyber Crime
Esistono due principali modelli di business del cyber crime:
1. Raccolta e sfruttamento di informazioni, quali numeri di carte di credito, coordinate bancarie, etc., o rivendita delle stesse a terzi. Per la raccolta dei dati si impiegano strumenti e metodologie di attacco differenti (o combinazioni di esse), come ad esempio il phishing o il social engineering;
2. Vendita di servizi o prodotti software a scopo malevolo. Sono ormai diffusi sul mercato nero servizi di spamming, ma anche attacchi miranti a bloccare l’operatività di siti o di intere reti (i.e. Distributed Denial of Service). I più comuni strumenti a supporto di questo modello sono le botnet, i malware, i keylogger, etc.
Le organizzazioni criminali, adottano una struttura gerarchica al cui vertice siede il leader. Operativamente gli attacchi sono sferrati dai proprietari dei toolkit, che si occupano di diffondere spam, malware, virus, e quant’altro commissionato.
Ma nel concreto, conosciamo realmente il nostro nemico?
Recenti stime sul giro d’affari del cyber crime posizionerebbe l’ipotetica “Repubblica del Cyber Crime” in quindicesima posizione in classifica, confrontando il PIL dei Paesi più sviluppati, e al primo posto nella Fortune Global 500 list, con un fatturato maggiore della Royal Dutch Shell e Exxon Mobil messe insieme.
Figura 2 – Stime ipotetiche sul giro d’affari del cyber crime
Parliamo di un giro d’affari pari a 2.5 volte quello dell’industria delle telecomunicazioni; circa 20-100 volte il mercato della security e compliance / audit.
Ma su quali dati poggiano le suddette stime? Le ipotesi sono validate numericamente da business case formali?
Nel novembre 2005 Valerie McNiven, consulente del Dipartimento del Tesoro degli USA, dichiara: “Lo scorso anno i profitti del cyber crime sono stati maggiori del traffico di stupefacenti, ed è pari, credo, ad oltre $105 miliardi”. Sarebbe interessante valutare la plausibile di tale ipotesi, ma non è stata pubblicata alcuna analisi al riguardo.
Nel settembre 2007, Dave DeWalt, CEO di McAfee, ripropone la stessa cifra anticipata da McNiven all’InformationWeek 500 conference.
Nel 2009, la suddetta stima sale rapidamente a circa $1,000 miliardi l’anno. Infatti DeWalt dichiara tale cifra sul suo blog. McAfee nel proprio Report valuta perdite pari a circa $1,000 miliardi l’anno o più, dovute ad azioni di cyber crime, a discapito delle principali aziende sul mercato. La stima economica sembra derivare dalla valorizzazione delle informazioni ottenute illecitamente dai criminali, o deliberatamente/ accidentalmente smarrite dai dipendenti. Il 20 marzo 2009, Ed Amoroso, Senior Vice Presidente e Chief Security Officer di AT&T, dichiara durante il “Congressional Committee” che nel 2008 l’FBI ha stimato profitti annessi al cyber crime pari a più di $1,000 miliardi. In questo caso parliamo addirittura di profitti, e non ricavi. Si tratta di una cifra pari a circa 47 volte il profitto di Exxon Mobil degli ultimi 12 mesi. Ovviamente tale affermazione ha scatenato accese discussioni tra gli specialisti del settore, tuttavia, l’FBI non ha mai pubblicato alcun report ufficiale in merito. Il Direttore dell’FBI Robert S. Mueller III espone il tema al Senato, richiedendo un budget per il FY2010 di $7 miliardi, e affermando che “proteggere gli Stati Uniti contro gli attacchi informatici è fra le maggiori priorità per l’FBI”. Tuttavia Mueller non fa alcun riferimento alle dimensioni di mercato del cyber crime.
Ancora, sei giorni dopo la dichiarazione di Ed Amoroso Finjan Software Inc. ne sostiene la validità facendo riferimento ad uno loro studio relativo al fatturato di una specifica organizzazione attiva nel cyber crime, nel primo Quarter 2009: $10,800/giorno per rogueware o $39.42 milioni l’anno. Finjan dichiara inoltre che, date le migliaia di organizzazioni operanti nel settore, è facile raggiungere volumi complessivi di $1,000 miliardi.
Purtroppo le suddette ipotesi non sono sostenibili:
1. il fattore moltiplicativo per cui $39.42 milioni l’anno dovrebbe condurre a $1,000 miliardi è del tutto aleatorio;
2. $10,800 x 365 giorni l’anno equivale a $3.942 milioni e non $39.42 milioni;
3. per arrivare a $1,000 miliardi, il numero di organizzazioni criminali attive dovrebbe essere pari a 253,678, secondo la proporzione descritta da Finjan, e produrre ricavi costanti ogni giorno dell’anno.
La verità è che non abbiamo idea di quale sia la reale dimensione del mercato del cyber crime.
Ad aggiungere “entropia” ai numeri c’è la tendenza a non distinguere i potenziali ricavi ottenuti dai cyber criminali dagli impatti sul mercato. Ad esempio, qualora un criminale pubblicasse su Internet il numero di carta di credito di 20 milioni di clienti di una certa “Azienda X”, il potenziale impatto su quest’ultima potrebbe essere pari a circa $5 miliardi, in termine di perdita di ricavi (passaggio dei clienti alla concorrenza, danno di immagine e reputazione, etc.), ma ciò non vuol dire che l’autore del crimine intascherà $5 miliardi.
L’attenzione al tema è quanto mai intensa e attuale; il 22 dicembre 2009 il Presidente degli USA Obama nomina Howard Schmidt coordinatore della cybersecurity della Casa Bianca e, successivamente, il 25 maggio 2010 il Pentagono annuncia il primo cyber-generale della sua storia, Keith Alexander, responsabile del Cyber Command che conta circa 90 mila uomini: un vero e proprio esercito. Il messaggio è chiaro, bisogna essere pronti a fronteggiare queste nuove minacce virtuali, a livello di impresa, di Stato e di insiemi di Stati.
L’unico dato certo è che non conosciamo il nostro nemico, nè la dimensione del suo mercato. Per chiudere con le parole di Sun Tzu, per il momento non possiamo non temere la sconfitta. E’ necessario agire, subito.
