Di cosa credete che tratti in realtà la favola La regina delle nevi dello specialista danese in sicurezza informatica Hans Christian Andersen? Una ragazza coraggiosa che sconfigge la personificazione dell’inverno e della morte per salvare la sua amata amica? Ripensateci.
Diciamoci la verità: si tratta di un resoconto abbastanza dettagliato di un’indagine dell’esperta di sicurezza informatica emergente di nome Gerda su come un certo Kai sia stato infettato da un fastidioso e sofisticato malware. Questa cosiddetta favola è scritta sotto forma di sette storie che corrispondono chiaramente alle fasi dell’indagine di un incidente di sicurezza informatica.
Storia 1: Uno specchio e i suoi frammenti
Se avete mai letto il nostro blog di esperti di sicurezza informatica Securelist.it (o qualsiasi altra ricerca di sicurezza informatica ben fatta, per quel che conta), probabilmente sapete che i report di indagine spesso iniziano con una spiegazione sulle orgini degli incidenti di cybersecurity. Quella di Andersen non è diversa: la sua prima storia approfondisce le origini stesse del caso Kai.
Una volta (secondo i dati di Andersen) un hobgoblin creò uno specchio magico che aveva il potere di sminuire le qualità buone e belle delle persone e di ingrandire i loro aspetti brutti e cattivi. Lo specchio fu rotto dai suoi apprendisti in miliardi di frammenti che penetrarono negli occhi e nel cuore delle persone, pur conservando le proprietà originali dello specchio che distorcono la realtà. Alcuni inserivano frammenti nelle cornici delle finestre, che deformavano la vista. Altri li usavano come lenti per gli occhiali.
Sappiamo già dall’analisi del racconto di sicurezza informatica di Biancaneve che i narratori hanno spesso usato gli specchi come metafora per gli schermi in senso lato: TV, computer, tablet, telefoni, potete immaginarlo.
Quindi, traducendo le parole di Andersen dal linguaggio delle allegorie in prosa semplice, si ottiene quanto segue: un potente hacker ha creato un sistema con un browser integrato che ha distorto i siti web. Successivamente, i suoi apprendisti hanno usato pezzi di codice sorgente per infettare un numero enorme di dispositivi Microsoft Windows e persino occhiali di realtà aumentata.
In effetti, il fenomeno non era affatto insolito. La fuga di dati dell’exploit EternalBlue ne è unesempio, portando alle pandemie di WannaCry e NotPetya, oltre a diverse altre epidemie di ransomware meno devastanti. Ma stiamo divagando. Torniamo alla nostra favola dal punto di vista della sicurezza infomatica.
Storia 2: Un bambino e una bambina
Nella seconda storia, Andersen procede a una descrizione più dettagliata di una delle vittime del malware e del vettore iniziale dell’infezione. Secondo i dati disponibili, Kai e Gerda comunicavano attraverso le loro finestre adiacenti della soffitta (comunicazione basata su Windows!). Un inverno, Kai vide attraverso la sua finestra una strana, bellissima donna avvolta in un tulle bianco molto sottile. Questo fu il primo incontro di Kai con l’hacker (da qui in poi, “la regina delle nevi”).
Poco tempo dopo, Kai provò la sensazione di una pugnalata al cuore e qualcosa gli punse l’occhio. Così Andersen descriveva il momento dell’infezione a causa del malware. Una volta che il codice maligno era entrato nel suo cuore (nucleo del sistema operativo) e nell’occhio (dispositivo di inserimento dati), la reazione di Kai agli stimoli esterni cambiò radicalmente, e tutte le informazioni in arrivo apparvero distorte.
Qualche tempo dopo, se ne andòdi casa, legando il suo slittino alla slitta della Regina delle Nevi. Fidandosi di lei per qualche ragione, Kai disse alla Regina delle Nevi come riusciva a eseguire l’aritmetica mentale anche con le frazioni, e che conosceva le dimensioni e la popolazione di ogni paese. Dettagli minori, a quanto pare. Ma come vedremo più avanti, questo è in realtà proprio ciò a cui mirava l’hacker.
Storia 3: Il giardino di fiori della donna esperta di magia
Gerda agli inizi della sua indagine sulla sicurezza informatica, si imbattè per caso in una donna che, per qualche motivo, aveva ostacolato la sua ricerca. Per andare al sodo, ci interessa soprattutto il momento in cui la maga pettinava i riccioli di Gerda, facendole dimenticare Kai.
In altre parole, la strega aveva in qualche modo corrotto i dati relativi all’indagine. Si noti che la sua arma informatica preferita, un pettine, ci è già nota. Nel racconto di sicurezza dei fratelli Grimm sull’incidente di Biancaneve, la matrigna usava uno strumento simile per bloccare la sua vittima. Coincidenza? O questi incidenti sono collegati?
In ogni caso, come nel caso di Biancaneve, il blocco indotto dal pettine non era permanente; i dati furono ripristinati mediante strumenti di decodifica e Gerda continuò la sua indagine.
Alla fine della terza parte del report di sicurezza informatica, Gerda chiese ai fiori nel giardino della strega se avessero visto Kai. Questo è molto probabilmente un riferimento alla vecchia applicazione di messaggistica ICQ, che aveva un fiore come logo (e come indicatore dello stato dell’utente). Comunicando con la strega, Gerda cercava di ottenere ulteriori informazioni sull’incidente di cybersicurezza utilizzando i suoi contatti.
Story 4: Il principe e la principessa
La quarta fase dell’indagine dell’incidente non sembra del tutto rilevante. Gerda cercò di ritrovare nel database del governo. Per farlo, conobbe alcune cornacchie che le diedero accesso a un edificio del governo (il palazzo reale).
Sebbene ciò non produsse alcun risultato, Gerda dovette informare il governo della vulnerabilità e dell’insicurezza delle cornacchie. Il principe e la principessa risolsero la vulnerabilità, dicendo all cornacche che non erano arrabbiati con loro, ma di non farlo più. Si noti che decisero di non punire gli uccelli, ma chiesero semplicemente o di cambiare il loro comportamento.
Come ricompensa, il principe e la principessa diedero a Gerda delle risorse (una carrozza, vestiti caldi, servitori). Questo è un grande esempio di come un’organizzazione dovrebbe rispondere quando i ricercatori di cybersecurity segnalano una vulnerabilità; speriamo che la ricompensa non sia stata una tantum, ma che sia diventata un vero e proprio programma bug-bounty.
Storia 5: La piccolo ladruncola
In questa storia, Gerda sembra essere caduta nelle grinfie dei banditi. In realtà Andersen usa un’altra allegoria per spiegare che, essendo arrivata a un vicolo cieco nella fase precedente dell’indagine dell’incidente di sicurezza informatica, Gerda fu costretta a ricorrere all’aiuto di forze che non erano, diciamo, del tutto rispettose della legge.
I criminali informatici misero Gerda in contatto con alcuni informatori che sapevano esattamente di chi era la colpa dell’incidente di cybersecurity di Kai, e anche con una renna in possesso degli indirizzi di alcuni utili contatti della darknet. L’aiuto si fece pagare a caro prezzo: Gerda aveva perso la maggior parte delle risorse ottenute nella storia precedente.
Per non compromettere l’integrità della giovane ricercatrice, Andersen cerca di descrivere i suoi rapporti con i criminali come inevitabili ( l’hanno derubata per prima cosa, dice, e solo allora, avendo pietà della loro vittima, le forniscono informazioni). Non sembra molto convincente, più probabilmente, si è trattato di un accordo vantaggioso per entrambe le parti.
Storia 6: La donna lappone e la donna finlandese
Segue la fase finale della raccolta delle informazioni necessarie per l’indagine dell’incidente informatico, attraverso i contatti darknet forniti dai banditi. La renna presentò a Gerda una certa donna lappone, che scrisse su un merluzzo essiccato una lettera di raccomandazione al prossimo informatore, una certa finlandese.
La finlandese, a sua volta, fornì l’indirizzo del “giardino della Regina delle Nevi”, chiaramente il nome del server di Command & Control. Un bel tocco di classe: dopo aver letto il messaggio, gettò il merluzzo in una ciotola di zuppa. Consapevole dell’importate pratica di non lasciare tracce inutili, Gerda seguì attentamente le regole dell’OPSEC. Il marchio caratteristico di una professionista della cybersicurezza navigata.
Storia 7: Cosa è successo nel palazzo della Regina delle Nevi e morale della favole
La settima storia spiega infine perché la Regina delle Nevi aveva bisogno di Kai. Se ne stava lì seduta a riordinare le schegge di ghiaccio, cercando di scrivere la parola “eternità”. Pazzesco, vero? Per niente. Leggete questo post come gli inizi del mining di critomonete. Come spiega, i miner lavorano essenzialmente riorganizzando un blocco di informazioni per ottenere non un codice hash qualsiasi, ma il più “bello” possibile.
Vale a dire, Kai cercò di organizzare i frammenti di informazioni in modo che dal suo codice hash venisse fuori la parola “eternità”. A questo punto, diventa chiaro perché nella seconda storia Andersen si fosse concentrato sulla potenza del computer di Kai. Questo è esattamente ciò che cercava la Regina delle Nevi cercava, e Kai venne infettato solo per il mining. Ciò spiega anche l’apparente ossessione della Regina delle Nevi per tutte le cose del nord e del freddo; una fattoria di mining ad alte prestazioni richiede un solido sistema di raffreddamento.
Gerda sciolse poi il cuore ghiacciato di Kai con le sue lacrime (cancellò il codice maligno usando varie soluzioni di sicurezza informatica e riprese il controllo del nucleo del sistema). Kai scoppiò in lacrime, il che significa che aveva attivato il suo antivirus integrato (precedentemente bloccato dal modulo infetto nel suo nucleo) e rimosse il secondo pezzo di codice dannoso, dal suo occhio.
La fine del racconto dell’incidente di cybersecurity è piuttosto strana per gli standard odierni. Invece di fornire consigli per le potenziali vittime, indicatori di compromesso del sistema e altre notizie utili, Andersen divaga sul viaggio di ritorno a casa dei personaggi. Forse nel XIX secolo, è così che si concludevano i report di sicurezza informatica.
Come abbiamo detto prima, gli scrittori di fiabe sono di fatto i più antichi esperti di sicurezza informatica del settore. Il caso della Regina delle Nevi non fa che rafforzare la nostra convinzione. Come descritto sopra, il racconto è il resoconto dettagliato di un’indagine su un incidente di sicurezza informatica complesso. Vi consigliamo inoltre di dare un’occhiata alla nostra analisi di altre fiabe popolari: