15/07/2021

Digitalizzazione come una doppia spada: riusciremo mai a sconfiggere il cybercriminale?

Questo testo è stato tradotto automaticamente e quindi può differire dall'originale. Nessun diritto può derivare da questa traduzione.

💬 Click here to read this page in English.

La cybercriminalità sta aumentando in modo esplosivo

Era una domanda nell'Agenda Nazionale della Scienza: 'Quali nuove forme di criminalità stanno emergendo nella nostra società a causa della crescente digitalizzazione e come affrontare questa criminalità?' Tra le nuove forme si citano la pirateria digitale di disegni in 3D (compresi quelli di pistole) e i cyber crimini medici (hacking di dispositivi come pacemaker e fascicoli elettronici). C'è molta confusione sulle nuove forme di (cyber)criminalità e rischiamo quasi di non farcela a stare al passo. Questo non è così sorprendente, considerando che la polizia è ancora in gran parte addestrata in modo tradizionale e che c'è carenza di esperti in ICT in quasi tutti i settori governativi. Allo stesso tempo, soprattutto la nuova generazione apprende rapidamente trucchi relativamente semplici su internet. È estremamente facile rimanere anonimi nel dark web, dove droghe, armi, nuove identità e attacchi informatici possono essere ordinati tanto facilmente e velocemente quanto su bol.com. Non stiamo affermando assolutamente che le forze dell'ordine e i servizi di sicurezza non abbiano le competenze necessarie per affrontare la questione, ma è innegabile che resteremo sempre indietro. Lo confermano i dati. A metà gennaio 2021 la Polizia Nazionale ha pubblicato i dati sull'andamento della criminalità registrata nel 2020. È particolarmente sorprendente l'aumento del 127% delle prevalenze della criminalità online, mentre si è verificata una forte diminuzione delle prevalenze registrate di borseggi e furti in casa, rispettivamente quasi del 50% e del 25% (Polizia, s.d.). Questo significa un cambio dalla criminalità tradizionale alla cybercriminalità? Secondo gli esperti, è proprio così (Van der Vorst, Steur, Jelicic, Van Rees, 2019).

Nell'ultima Monitoraggio della Sicurezza, il 13% della popolazione di 15 anni o più ha dichiarato di essere stato vittima di una o più forme di cybercriminalità nel 2019 (CBS, 2020). Solo una piccola parte delle vittime segnala o denuncia il fatto alla polizia. La percentuale di segnalazioni è del 12,8% e quella di denunce dell'8,2% (CBS, 2020). Per la criminalità tradizionale queste percentuali sono notevolmente più alte: nel 2019 si registra una segnalazione nel 31,9% dei casi e una denuncia nel 22,9% dei casi. Quindi non solo c'è un cambiamento, ma la cybercriminalità resta ancora più nascosta per il sistema penale rispetto alla criminalità tradizionale.

Nel 2018 abbiamo condotto una ricerca sul famigerato 'numero oscuro nei crimini', con la cybercriminalità come uno dei focus (Smit, Ghauharali, Van der Veen, Willemsen, Steur, et al., 2018). È emerso che le stime sulla portata della cybercriminalità variano notevolmente. Per le ragioni sopra descritte ('sotto-segnalazione', ad esempio perché individui o aziende spesso non sono inclini a segnalare un attacco, perché non vogliono ammettere di essere stati vittime o a volte non sanno nemmeno di esserlo stati), ma anche perché le stime generali spesso si basano su dati incompleti e non rappresentativi. Molte affermazioni si basano su ciò che i software antivirus rilevano presso grandi aziende in determinati paesi. Abbiamo esaminato diversi nuovi metodi di misurazione per DDoS, phishing, pharming e ransomware, tra gli altri. Ogni interazione che avviene in un sistema digitale è essenzialmente misurabile da qualche parte. Ciò può avvenire in tre punti: sul sistema informatico o sulla rete di una vittima, sul dispositivo dell'attaccante o su una piattaforma intermedia. Per la maggior parte delle forme di attacco, le stesse interazioni ricorrono: acquisizione di malware o strumenti, diffusione o installazione dell'attacco, azioni di protezione e sicurezza, pagamenti (spesso in Bitcoin) e denunce. Questi sono tutti possibili punti di misurazione, ma vale la stessa limitazione menzionata in precedenza: sono incompleti e non rappresentativi.

Anche se per la ricerca in generale è vero che per definizione siamo sempre un passo indietro e possiamo misurare solo una parte degli incidenti, questo problema è più grande in un settore estremamente dinamico come la cybercriminalità. Numerose evoluzioni (che ironicamente spesso derivano dalla tendenza a migliorare la privacy) comportano nuove sfide per i servizi di polizia. Nel 2019 abbiamo ad esempio esaminato le possibilità tecniche di indagine dinanzi al crescente riutilizzo degli indirizzi IP (Van der Vorst, Steur, Jelicic & Van Rees, 2019). Questo si è rivelato un argomento interessante, poiché sebbene un indirizzo IP possa rendere identificabile l'attaccante come una sorta di 'targa' su internet, gli indirizzi IP (v4) sono scarsi. Per questo motivo gli indirizzi IP vengono sempre più riutilizzati, rendendo i criminali ancora più difficili da rintracciare. Inoltre, sempre più dati vengono crittografati e memorizzati 'nel cloud', la complessità del software aumenta e le tecniche di attacco diventano sempre più sofisticate.

È una sfida enorme, ma il divario rispetto ai cybercriminali può essere effettivamente contenuto o addirittura ridotto ulteriormente. Negli ultimi anni la lotta alla cybercriminalità si è notevolmente professionalizzata e meglio organizzata. Il tema è al centro delle priorità, anche a L'Aia. Si pensi all'Agenda Olandese per la Sicurezza Informatica e a tutte le iniziative che ne sono scaturite (compresa una metodologia di valutazione approfondita, Brennenraedts, Hanswijk, Jansen, Kats, Sahebali & Hermanussen, 2020). E i servizi di polizia stanno iniziando ad utilizzare sempre più tecniche innovative. La quantità di dati disponibili sta piano piano diventando un vantaggio. Un esempio specifico è la tendenza emergente degli incontri organizzati tra tifosi di club di calcio. I colpevoli pubblicano foto e video online, dai quali possono essere identificati. Se in passato questi dati venivano esaminati da agenti di polizia, ora si sta sperimentando sempre di più l'uso di riconoscimento facciale automatico e modelli predittivi (Ferwerda, Wolsink, Steur, Jelicic, 2020).

Il dark web diventa un po' meno oscuro

Il motivo principale per cui i cybercriminali sono così difficili da individuare risiede nell'anonimato che trovano su internet. Questo può avvenire ad esempio tramite una connessione VPN. Con una VPN, il traffico internet viene instradato tramite una connessione sicura e l'indirizzo IP rimane nascosto. Navigare in modo anonimo è possibile anche con un server proxy. L'utente richiede i dati tramite il server proxy e da lì la richiesta è inoltrata al sito web corrispondente. Anche in questo caso, viene visualizzato solo l'indirizzo IP del server proxy (ma manca la crittografia dei dati e il traffico dati e l'indirizzo IP dell'utente possono comunque essere rintracciati). Una navigazione anonima di livello successivo è possibile con un browser Tor. Tor (acronimo di The Onion Router) è una rete online per comunicazioni crittografate e anonime. La rete è composta da migliaia di server in tutto il mondo e il traffico dati viene frammentato e criptato attraverso più server prima di raggiungere il destinatario. I dati non possono essere associati a un singolo computer o utente. Tor consente agli utenti di accedere al dark web, dove le cose diventano davvero interessanti. Questa è la parte di internet non regolamentata e è la base di molte attività illegali.

Tutti conosciamo le storie sui servizi e i beni bizzarri e terrificanti offerti sul dark web. Pensiamo a droghe, armi, dati personali, nuove identità, truffe mirate o frodi con dispositivi, pornografia infantile, video violenti, snuff movie e persino servizi di assassini a pagamento (anche se per lo più si tratta di truffe; pagare ma non ottenere nulla). Il più famoso 'mercato' sul dark web era Silk Road. Si ritiene che Silk Road abbia permesso la vendita di droghe per un valore di 1,2 miliardi di dollari durante la sua esistenza. La piattaforma è stata smantellata, ma nel frattempo sono presenti abbastanza siti simili.

La polizia olandese è sempre più presente sul dark web, anche a causa della pressione politica dagli Stati Uniti e dall'Australia a causa della grande quantità di droghe (principalmente sintetiche) spedite dai Paesi Bassi (Hietkamp, 2021). E lo sta facendo bene. Nel 2017, la polizia olandese insieme all'FBI ha arrestato dei trafficanti mantenendo operativa per un mese una piazza di commercio illegale: Hansa. Quando Alphabay (un mercato dieci volte più grande di Silk Road) è stato chiuso, molti utenti si sono spostati su Hansa, proprio come aveva previsto la polizia. Disattivando la crittografia, la polizia è riuscita a leggere tutto ciò che veniva trasmesso attraverso il sito. E all'improvviso il dark web non era più così oscuro.

Tuttavia, nella maggior parte dei casi le azioni sono reattive e opportunistiche, come emerge dalla ricerca del nostro stagista Lennart Hietkamp (2021). Monitorare, leggere e sperare che qualcuno rilasci informazioni, ad esempio su metodi di imballaggio o posizioni. La comunicazione è una delle componenti principali per l'indagine online. Il commercio sul dark web si basa sulla fiducia. Per questo sono essenziali le recensioni e la reputazione. Aiuta dire che le droghe provengono dai Paesi Bassi o dare l'idea di un'origine olandese attraverso nomi con una sfumatura olandese, poiché le droghe olandesi sono ben considerate. Questo 'branding olandese' è utilizzato anche dai venditori che non provengono dai Paesi Bassi. La polizia si affida principalmente alla comunicazione olandese, anche se si tratta solo di un termine o di una certa struttura di frase in inglese. Per portare la reputazione e l'identità costruite su diverse piattaforme, viene spesso utilizzato pgp (pretty good privacy; un modo per scambiare messaggi e file in modo crittografato).

La polizia cerca di minare questa struttura di fiducia costruita attentamente, rendendosi visibile sul dark web (Hietkamp, 2021). Comunicando chi hanno arrestato di recente o chi stanno seguendo, la polizia comunica consapevolmente che il dark web non è così anonimo come si pensava. Aumentando la percezione della possibilità di essere catturati, vengono soprattutto scoraggiati i piccoli acquirenti.

Anche se negli ultimi tempi sono stati ottenuti alcuni successi, secondo noi c'è ancora molto da fare nel campo dell'indagine sul dark web. I noti mercati sono letteralmente un luogo in cui si svolgono attività illegali, a disposizione della polizia per individuare i criminali. Ci sono ancora numerosi punti da esplorare, come il tracciamento delle transazioni finanziarie (criptotraccia).

Una gara che possiamo vincere?

Sì, possiamo farlo. Le attuali evoluzioni e la crescente digitalizzazione rendono la vita più facile ai cybercriminali, ma le stesse opportunità sono presenti anche per i servizi di polizia. A patto che continuiamo a utilizzare metodi innovativi, a intervenire in modo proattivo, a stipulare accordi (internazionali) e soprattutto a continuare a fare molta ricerca.

Scarica l'articolo completo in PDF.

Vuoi saperne di più? Contattare Jessica Kats.