Ha dedicato tutta la sua vita alla protezione della privacy delle persone online e presso l'azienda F-Secure continua con questo lavoro. “Si può dire in molti modi… che abbiamo perso la battaglia per la privacy. Molte persone non ricordano com'era il mondo prima di Internet. Per molte persone, Google o Wikipedia sono sempre stati presenti. Ed è naturale per loro utilizzare una moltitudine di servizi su Internet, introducendo tutti i tipi di dati e contenuti. Questo è davvero il modo in cui paghi su Internet. Fare un video costa ma lo paghiamo con i nostri dati e la nostra privacy”, non spiega l'esperto di F-Secure, Miko Hypponen, a RootedCON 2017.
“Potremmo aver perso una guerra alla privacy. Siamo quella generazione di persone la cui vita può essere tracciata dall'inizio alla fine. Tutti portiamo dispositivi di localizzazione. È molto facile monitorare dove siamo, con chi comunichiamo. È facile sapere che tipo di persone siamo. Cosa ci interessa. E tutti i dati vengono raccolti. I dati sono il nuovo petrolio. È così ed è per questo che si parla di agenzie di intelligence, ma anche di aziende che raccolgono dati da noi. Google ha guadagnato 80.000 milioni nel 2016… offrendo servizi gratuiti”.
Guerra asimmetrica contro la criminalità informatica
“Abbiamo perso la battaglia della privacy e la battaglia della sicurezza. Tuttavia, mi rifiuto di ammettere che abbiamo perso quest'ultimo. Tutto quello che ho fatto da quando ho iniziato a studiare malware e reverse engineering era per questo scopo: combattere i cattivi. Contro chi invia malware, attacchi Denial of Service. Ma noi siamo quelli con il cappello bianco rispetto a quelli con il cappello nero. Non nego che il nostro lavoro sia complicato, perché gli aggressori hanno accesso alle nostre difese.
“La prima cosa che imparano è che tipo di sicurezza devono violare. Questo è il punto di partenza di un attaccante. E una volta che lo sanno decidono come entrare. Hanno molto tempo per prepararsi… e noi poco per rispondere. Riceviamo sempre cattive notizie sulla sicurezza del computer, su attacchi, perdite o su utenti che fanno cose stupide, usano la stessa password per tutto, aprono collegamenti dannosi. Eppure dove eravamo 10 anni fa? Ci sono stati grandi progressi nella sicurezza. Un decennio fa molti utenti utilizzavano Windows XP che, per impostazione predefinita, non aveva nemmeno un firewall.
“In termini di sicurezza, abbiamo fatto molta strada. Stiamo facendo passi da gigante ma, purtroppo, anche il nemico si evolve con i tempi. Forse è arrivato il momento di incontrare il nemico, capirlo. Ma, come spesso accade, è più facile a dirsi che a farsi. L'utente finale non ha idea di chi ci sia dietro gli attacchi. Ci sono attivisti informatici, criminali, berretti bianchi, governi, estremisti… ci sono hacker di ogni tipo. Abbiamo persone come Charlie Miller e Chris Vallasek. Hanno hackerato perché vogliono migliorare la sicurezza. Anonymus ha un motivo di protesta politica. I criminali vogliono fare soldi scrivendo virus. E anche i governi sono interessati a questo perché gli attacchi informatici si sommano a loro. Sono efficaci, non sono costosi e sono innegabili. È una combinazione perfetta quando pensi da un punto di vista militare. Quando hai un'arma poco costosa, efficace e innegabile, hai il mix perfetto. Per questo inizia ora il momento del cambiamento».
Sta iniziando una nuova corsa agli armamenti cibernetici
Siamo all'inizio della prossima battaglia armata. Abbiamo assistito alla corsa agli armamenti nucleari. Siamo ora in quello delle armi informatiche. È iniziato e vi resterà per anni. Ci vorranno decenni per parlare di disarmo informatico. E dal punto di vista dei governi non ci sono solo i militari ma anche le forze di sicurezza. Se qualcuno mi avesse detto che la polizia avrebbe dei virus per infettare i cittadini, non ci avrei creduto, ma è così. Non ho problemi con i governi che utilizzano tecnologie offensive per indagare sui crimini e dare la caccia ai terroristi. Devi cercarli nel mondo fisico e nel mondo online. Ma se come cittadini diamo questo diritto alle forze dell'ordine, dobbiamo chiedere trasparenza. Questo potere cibernetico offensivo deve significare che le forze di sicurezza pubblicano statistiche. Abbiamo infettato 200 computer con malware e 150 provenivano da persone cattive e condannate. Ma può anche essere il contrario. Non c'è trasparenza e quindi non possiamo prendere decisioni in merito. Ma il gruppo più numeroso che guadagna dagli attacchi sono i criminali. Sono persone che guadagnano molto e sono perseguitate.
Le ultime tendenze del crimine informatico per fare soldi a tue spese
“Una delle ultime tendenze nel cybercrime sono stati i trojan per rubare bitcoin e valute digitali. Sappiamo che le invenzioni sono ovvie… quando sono inventate. Questi sono i migliori. Grazie alla tecnologia blockchain, le transazioni possono essere eseguite automaticamente senza l'intervento di nessun altro. Bitcoin e la blockchain non sono male. Vanno bene come soldi. Il problema è che anche i criminali vogliono i soldi, fisici o virtuali che siano. È difficile acquistare cocaina con una carta di credito. Ma con bitcoin è più facile. Per i criminali, il bitcoin è come un dono del cielo. Questo è il motivo per cui c'è così tanto boom di Trojan. Attualmente stiamo seguendo 110 diversi gruppi in competizione per le stesse vittime. E non tutti i gruppi provengono dalla Russia, ce ne sono anche alcuni dall'Ucraina.
Come cercano le loro vittime? Innanzitutto attraverso exploit che hanno infettato un computer aprendo un collegamento. Oggi il modo più comune è attraverso un documento Word e un allegato di posta elettronica. Questo ha cominciato a essere fatto nel 2008 attraverso la macro. E ora è tornato. Quindi quelli che possono ricevere più attacchi sono i dipartimenti delle risorse umane che ricevono curriculum infetti che hanno collegamenti per espandere le proprie informazioni. Microsoft deve cambiare il nome del pulsante invece di abilitare il contenuto dovrebbe dire "infetta il mio sistema" "-risate del pubblico-.
Il virus informatico che “ti perdona” se infetta due amici
«C'è stato anche un ransomware - il software che dirotta un computer crittografando le sue informazioni - che chiede 1.300 dollari ma puoi salvarti infettando altre due macchine. Devi infettare due persone che finiscono per pagare la taglia del ransomware. Sono i popcorn. Ogni vittima ha un URL univoco, quindi se lo invii a Facebook, molte persone vengono infettate. È molto creativo e il mio intelligente. Torniamo a questi ragazzi dopo il ransomware."
L'attacco informatico contro LinkedIN ha reso milionario il criminale informatico che l'ha fatto
«C'è stato un hack di LinkedIN nel 2012 e se ci fossi tu…. ti hanno rubato le chiavi Quindi, se avevi un account su questo social network, è stato rubato da un criminale informatico che ora tutti conoscono: ha mostrato la sua foto. Ero una delle sue vittime. Non ha ancora ricevuto una condanna, anche se è detenuto mentre è in vacanza a Praga con la fidanzata e spera di essere estradato negli Stati Uniti. Cosa c'entra con il furto di 130 milioni di password? Bene, altri criminali informatici sarebbero venuti da loro. Quanto puoi guadagnare vendendo password? Non lo so. Ma guardando qualche video su YouTube possiamo farci un'idea. Parla della tua vacanza con auto super sportive come l'Audi R8 e la Lamborghini Hurracane. Inoltre, si vede che ha una Mercedes, un'Aston Martin, una Porsche, un Rolex e una Rolls Royce. Allora quanto ha guadagnato? Beh, non lo so, ma basta».
«Se ottieni queste chiavi puoi accedere a 1,3 milioni di account Gmail. Perché hanno tutti la stessa password di linkedIN. Abbiamo chiesto e il 50% degli utenti utilizza la stessa password su tutti i siti. È piuttosto stupido. Quindi, una volta che entrano in Gmail, cercano vecchie email. Gmail non li elimina mai e cercano un tipo specifico. Quelli che ricevi quando ti registri in un negozio online, come Amazon. Quindi sanno che hai un account con questo indirizzo email, ad esempio Amazon. E se la tua password non funziona, non importa. Perché tutte le pagine di accesso hanno un pulsante magico "Ho dimenticato la password" e come hanno accesso a Gmail … beh, ci accedono. Una volta che accedono a Gmail, hanno accesso a tutto. Possono comprare Xbox, Palystation e tu la pagherai».
Il temuto Internet delle cose
«Un'altra grande sfida nelle nostre mani è il brillante futuro di Internet of Things e ICS, il sistema di controllo industriale. Così ha mostrato una reazione nucleare che si svolge in una piscina. Perché sto mostrando questo video? Bene, perché è un esempio di controllo industriale. Questo reattore è controllato da un PLC, un robot programmabile. Tutte le infrastrutture sono gestite da computer e software. Devi essere chiaro a riguardo. Veniamo dalla sicurezza informatica e per anni ho pensato di dover proteggere i computer. Ma ora non lo so. Il nostro lavoro non è proteggere i computer… Consiste nel dare sicurezza all'intera società. È tempo di cambiare il modo in cui vedi il mondo. E ci sono così tante cose e si parla di così tante cose sui rischi IOT e ICS e la prima è che queste cose si connettono a Internet anche se non devono connettersi. Queste cose consentono l'accesso a ciò che è dietro. Esistono molti sistemi di fabbrica che si collegano a Internet per errore.
Così ha mostrato un crematorio online, camere da letto viste attraverso le telecamere di sicurezza… «Un mio amico trova cose come una barca collegata senza password. Anche tende e persiane. E il mio amico dice che quando si possono aprire e chiudere le tende su Internet significa che l'Internet delle cose non è nel futuro. È qui. E sono vettori. Puoi accedere a una lampadina che ti permette di raggiungere altri sistemi. Metti una caffettiera con Wi-Fi e diventa l'anello più debole della catena e un giorno ti svegli e hai tutti i tuoi computer crittografati. Fare? "Non usare mai un dispositivo senza inserire password complesse."
“Il malware Mirai ha infettato 120 milioni di dispositivi IOT, ma ai loro proprietari non importava. Parliamo con loro. La tua telecamera di sicurezza è stata hackerata … e hanno risposto di sì, che bello? Ma funziona bene. Se funziona, alla gente non interessa se viene usato per un attacco. E la cosa più triste è che utilizzava poche password utilizzate da tutti i dispositivi. E usavano anche Telnet - un sistema degli anni '80 - perché non era criptato».
I dispositivi elettronici devono essere regolamentati: se non sono sicuri devi poter reclamare
“Bisogna investire in sicurezza. Regoliamo la sicurezza fisica e la sicurezza online deve essere regolamentata. Non sto parlando di uno che stabilisce i regolamenti degli elettrodomestici. Ma è necessario regolamentare che il produttore sia citato in giudizio per i problemi che crea. Se hai una lavatrice con un corto circuito, devi ripararlo. E se non puoi farle causa e questo deve essere raggiunto nel mondo cibernetico. Che puoi citare in giudizio per una violazione della sicurezza.
È giunto il momento delle armi informatiche e del disarmo informatico
«Ho parlato dei governi e del loro hacking. Abbiamo un posto in prima fila nello spiegamento degli attacchi contro gli Stati Uniti nelle elezioni presidenziali. La Russia ha cercato di influenzare l'esito delle elezioni della più grande potenza mondiale. C'è un'intervista su Bloomber con Putin diversi mesi prima ma era già nota. Quindi gli hanno chiesto, chi ha hackerato i Democratici? Importa davvero? L'importante è il contenuto delle email. Non distrarre il pubblico su chi l'ha fatto. Questa è una guerra cibernetica? Non".
Soldati ucraini uccisi dopo che il loro cellulare è stato infettato… e sono stati geoposizionati
Ma due mesi fa i soldati ucraini hanno visto il loro telefono infettato da malware, sono stati posizionati e l'artiglieria li ha distrutti. Parlo della nebbia della guerra cibernetica. Questa corsa agli armamenti in un paese specifico, puoi sapere quanti carri armati ha un paese… Ma in cybercapacides nessuna idea. Sappiamo che gli Stati Uniti sono buoni, che più soldi sono stati investiti per un tempo più lungo per aumentare le capacità di difesa informatica, che Israele, Russia, Cina sono molto bravi. Ma poi tutto è molto nebuloso, qual è la capacità offensiva cibernetica della Svezia? Spagna? Vietnam? Nessuna idea. Questa è la nebulosa della guerra cibernetica. Ecco perché è molto diverso dalla corsa alle armi nucleari. Il suo potere non era nel suo uso, ma nella sua capacità di creare paura. Hiroshima e Nagasaki sono stati chiari esempi. Non si tratta di usarlo ma di dimostrare di averli. Tutti sanno che quando un paese ha quell'arma nessuno se ne occupa.
Con la nebulosa della guerra cibernetica, nessuno sa niente. Il potere delle armi informatiche non è nel dissenso. Ecco perché li vediamo. Lo stuxnet e l'hacking della rete elettrica in Ucraina nel 2015 o i soldati ucraini morti sul campo di battaglia nel 2016.
Il potere delle armi informatiche sta nel loro uso. Le armi informatiche sono facilmente disponibili e hanno molto potere. Stuxnet non può essere realizzato con una pura capacità militare. Se si trattasse di ritardare il programma nucleare iraniano, il Paese potrebbe essere invaso a caro prezzo, anche in vite umane, oppure la centrale potrebbe essere bombardata. Oppure puoi scrivere stuxnet che costa un milione. E costa quanto un'uscita B52. Ma a differenza di questo non è visibile.
Gli hacker non difendono più i computer… ora difendono il mondo
«Questo è il mondo in cui viviamo oggi. Siamo tutti persone della sicurezza. Abbiamo pensato che il nostro compito fosse dare sicurezza ai computer. Ma non più. Ora questo lavoro d'ora in poi è dare sicurezza alla società e dobbiamo prenderlo molto sul serio perché abbiamo una grande responsabilità, più di quanto pensiamo molto perché siamo noi che difendiamo la nostra società».
Puoi vedere più articoli come questo in OneMagazine.