Mike Burgess, capo dell’Australian Signals Directorate (l’agenzia governativa che si occupa di crimine informatico e di cyberdifesa), si è recentemente espresso in maniera decisamente negativa in merito all'”hack-back“, a volte detto impropriamente “revenge hacking”, ovvero dare la possibilità alle aziende private di attuare operazioni di hacking e di infiltrazione come risposta a un attacco subìto.
In un discorso di pochi giorni fa all’Australian Strategic Policy Institute, Burgess ha ribadito che la prospettiva di violare network e dispositivi altrui, anche se in risposta a un attacco, non dovrebbe far parte delle strategie di difesa di un’organizzazione o di un’azienda australiana.
” More worryingly I’ve heard of board rooms in Australia contemplating the prospect of hacking back to defend themselves against potential attacks.
That should not be part of any organisation’s cyber security strategy; that would be an illegal act here in Australia.
An obligation to protecting corporate assets does not extend to breaking the law. No board or company should spend a dollar on getting advice on hacking back. “
Il concetto espresso da Burgess si può riassumere così: a compiere queste operazioni, se necessarie, penseranno le istituzioni preposte dopo aver collaborato con le aziende colpite.
Potrebbe sembrare ovvio, in realtà sono molte le aziende – che forse non si fidano completamente delle capacità delle forze di cyber-sicurezza pubbliche – a contemplare risposte di “difesa attiva” in caso di attacco. Basti immaginare un ipotetico provider che subisce un Denial-of-service, perdendo ingenti quantità di denaro con ogni minuto di inoperatività. Se i tecnici del provider riuscissero a individuare il server di comando e controllo (C&C) che ha lanciato l’attacco e fossero in grado di violarlo per porre fine al DDoS, il provider dovrebbe agire per far cessare subito l’attacco (e consentire quindi ai clienti di riprendere le attività), o dovrebbe limitarsi a fare denuncia e aspettare i tempi della polizia?
Negli Stati Uniti c’è chi vuole dare la “licenza di hacking” a quelle aziende che subiscono un attacco informatico. Al Congresso è pronta una proposta di legge, la H. R. 4036, per consentire alle aziende di compiere vere e proprie azioni di hacking per difendere i propri sistemi, per identificare gli attaccanti e per ottenere dati eventualmente rubati. La proposta di legge, nota anche come Active Cyber Defense Certainty Act (ACDC), è stata presentata nel 2017 dal repubblicano Tom Graves, ma ha raccolto e sta continuando a raccogliere supporto bi-partisan, anche se secondo l’azienda Skopos Labs ha solo il 2% di possibilità di essere approvata.
Ma se durante queste attività di “legittima cyber-difesa” si finisse per danneggiare anche eventuali innocenti? Nel 2014 Microsoft, per chiudere due botnet responsabili di aver colpito milioni di computer, ha “preso possesso” di 23 domini dell’azienda Vitalwerks, che i tecnici Microsoft credevano fosse complice degli hacker. In realtà Vitalwerks era all’oscuro di tutto, ma l’azione anti-botnet di Microsoft ha causato la perdita di connettività di molti clienti del provider, vittime inconsapevoli di una “guerra” privata, costringendo l’azienda di Redmond a scusarsi pubblicamente con Vitalwerks.
Ed è proprio una guerra che vorrebbe evitare il Generale Keith Alexander, già direttore dell’NSA e del Cyber Command, che teme ripercussioni geopolitiche nel caso una grande azienda americana attivasse di propria iniziativa attacchi cibernetici “di rappresaglia” contro gruppi di hacker stranieri. Del resto i più attivi hanno base in Russia, in Cina, in Iran, in Corea del Nord, esattamente quei Paesi con i quali gli USA devono calcolare accuratamente ogni azione diplomatica. Un attacco di un’azienda statunitense verso network stranieri, magari contro un obiettivo sbagliato o con troppi danni collaterali, potrebbe avere effetti destabilizzanti e portare a un’escalation che danneggerebbe tutti.
Ma Burgess e Alexander non sono i soli a considerare l’hack-back come un errore e un pericolo. A ogni passo vi è il rischio di sbagliare, ad esempio quando si deve identificare il nemico (l’attribution è notoriamente uno dei principali ostacoli), quando si deve stabilire quali attacchi meritano una “legittima cyberdifesa“, quanti e quali danni collaterali è possibile sopportare, come ci si deve comportare con le rappresaglie internazionali (magari legali nel Paese di origine ma illegali in quello di destinazione) e quali competenze devono possedere le aziende per poter indossare la “felpa con cappuccio” dell’hacker.
