Immagini GettyUna squadra di esperti si riunisce e irrompe in una base militare top secret o in un quartier generale aziendale: probabilmente l’hai visto in un film o in TV una dozzina di volte.
Ma tali team esistono nel mondo reale e possono essere assunti per testare la massima sicurezza.
Molte aziende si offrono di testare i sistemi informatici tentando di hackerarli da remoto. Si chiama White Hat Hacking.
Ma le competenze coinvolte nella violazione della sicurezza fisica, note come Red Teaming, sono rare.
Le aziende che offrono il servizio Red Team devono riunire personale con competenze molto particolari.
Spesso, utilizzando ex personale militare e di intelligence, alle squadre rosse viene posta una domanda.
“Come puoi entrare in questo progetto top secret?”
Leonardo, il colosso della difesa, offre questo servizio.
Afferma che gli stati ostili che cercano disordine e caos sono una vera minaccia e vende le sue capacità di Red Team al governo, alle infrastrutture critiche e ai clienti del settore della difesa.
La sua squadra rossa ha accettato di parlare alla BBC sotto pseudonimi.
Greg, il leader della squadra, ha prestato servizio nel reparto di ingegneria e intelligence dell’esercito britannico, studiando le capacità digitali di potenziali nemici.
“Ho passato un decennio a imparare a sfruttare le comunicazioni nemiche”, dice del suo background.
Ora coordina la squadra composta da cinque persone.
L’attacco mira ad ottenere l’accesso. L’obiettivo potrebbe essere quello di impedire il funzionamento di un processo, come il nucleo di una centrale nucleare.
Il primo passo per Greg e il suo team si chiama ricognizione passiva.
Utilizzando un dispositivo anonimo, forse uno smartphone identificabile solo dalla sua scheda SIM, il team costruisce un’immagine dell’obiettivo.
“Dobbiamo evitare di sollevare sospetti, in modo che l’obiettivo non sappia che lo stiamo guardando”, dice Greg.
Qualsiasi tecnologia utilizzata non è collegata a un’azienda tramite il suo indirizzo Internet e viene acquistata in contanti.
Immagini GettyCharlie ha trascorso 12 anni nell’intelligence militare, le sue tecniche includono lo studio delle immagini satellitari commerciali di un sito e la scansione degli annunci di lavoro per capire che tipo di persone lavorano lì.
“Partiamo dai bordi del bersaglio, restando lontani. Poi cominciamo a spostarci nell’area target, guardando anche come si vestono le persone che ci lavorano”.
Questo è noto come ricognizione ostile. Si stanno avvicinando al sito, ma mantenendo bassa la loro visibilità, indossando abiti diversi ogni volta che si presentano e scambiando i membri del team, in modo che gli addetti alla sicurezza non vedano la stessa persona che passa davanti ai cancelli.
La tecnologia è ideata dalle persone e il fattore umano è il punto più debole in qualsiasi assetto di sicurezza. È qui che entra in gioco Emma, che ha prestato servizio nella RAF.
Con un background in psicologia, Emma si definisce felicemente “un po’ un’osservatrice ficcanaso”.
“Le persone prendono scorciatoie oltre i protocolli di sicurezza. Quindi, cerchiamo persone scontente sul posto”.
Ascolta le conversazioni nei bar e nei pub adiacenti per sentire dove emerge l’insoddisfazione nei confronti di un datore di lavoro.
“Ogni organizzazione ha le sue peculiarità. Vediamo qual è la probabilità che le persone cadano in un’e-mail sospetta a causa del carico di lavoro e della stanchezza.”
Una guardia di sicurezza infelice potrebbe diventare pigra al lavoro. “Stiamo valutando l’accesso, ad esempio inserendoci con una consegna.”
Un elevato tasso di turnover evidenziato da posti vacanti pubblicizzati frequentemente segnala anche insoddisfazione e mancanza di impegno nelle responsabilità di sicurezza. Un’altra tecnica è il tailgating, ovvero individuare le persone che potrebbero tenere aperta una porta di accesso per un follower.
Usando questa intelligenza, più un piccolo sotterfugio, i pass di sicurezza possono essere copiati e la squadra rossa può entrare nei locali fingendosi un dipendente.
Katsuhiko TOKUNAGAUna volta all’interno del sito Dan sa come aprire porte, schedari e cassetti della scrivania. È armato con chiavi da grimaldello conosciute come jiggler, con molteplici contorni che possono aprire una serratura.
Sta cercando le password scritte o utilizzerà un adattatore USB intelligente plug-in per simulare la tastiera di un computer, irrompendo in una rete.
L’ultimo passo della cosiddetta kill chain è nelle mani di Stanley.
Esperto di sicurezza informatica, Stanley sa penetrare nei sistemi informatici più sicuri, lavorando sul rapporto di ricognizione dei suoi colleghi.
“Nei film un hacker impiega pochi secondi per entrare in un sistema, ma la realtà è diversa.”
Preferisce il proprio “approccio escalation”, lavorando attraverso un sistema tramite l’accesso di un amministratore e cercando una “confluenza”, una raccolta di informazioni condivise in un unico luogo, come un’intranet sul posto di lavoro.
Può spostarsi tra file e dati utilizzando l’accesso di amministratore. Un modo in cui si conclude una kill chain è quando Stanley invia un’e-mail impersonando l’amministratore delegato dell’azienda tramite la rete interna, quindi affidabile.
Anche se operano con l’approvazione del cliente target, entrano nel sito come completi estranei. Come ci si sente?
“Se hai accesso a una sala server è piuttosto snervante”, afferma Dan, “ma diventa più facile quanto più lo fai.”
C’è qualcuno nel luogo di destinazione che sa cosa sta succedendo. “Rimaniamo in contatto con loro, così possono dare istruzioni ‘non sparare a queste persone'”, aggiunge Charlie.
