Intelligence 2.0: quando l’illegalità si propaga sul web, il caso ILLBuster

Cybercrime, Cyberterrorism, Intelligence: neologismi anglofoni entrati di prepotenza nel nostro vocabolario quotidiano, sbarcati prima su un panorama di nicchia, quello della comunità scientifica, e poi sullo scenario dell’attualità di tutti. Parole usate, abusate, ripetute e ricercate: nei discorsi dei ministri che anticipano investimenti e finanziamenti nel settore della sicurezza informatica; sulle tastiere dei cittadini che le utilizzano a tal punto da renderle keywords e tag tra le più gettonate degli ultimi tempi.

L’altra keyword del momento è “Europa”. E l’altro tema caldo è quello della “Sicurezza in Europa” e degli “Investimenti Europei nella lotta contro Cybercrime e Cyberterrorism”. Non mancano e non sono mancate riflessioni su quanto abbia fatto l’Europa per contrastare questi fenomeni. In questo articolo vogliamo raccontare una piccola storia, che parte da lontano e che mostra come sia facile oggi cavalcare i temi sulla cresta dell’onda, ma già in fermento su una rotta invisibile percorsa già da tempi non sospetti.

Nelle prossime righe vi presentiamo ILLBuster, Buster of ILLegal contents spread by malicious computer networks , esempio della sinergia tra gli studi di nicchia e le esigenze quotidiane, con tutte le misure e contromisure che queste richiedono. E’ la storia del frutto della collaborazione tra la ricerca e le forze dell’ordine, della commistione tra prodotti e partner nazionali, e tra capitali privati e finanziamenti internazionali (Europei), uniti nel contrasto al crimine informatico.

Facciamo qualche passo indietro, assegnando un anno a ogni passo, in una ipotetica scala 1:1.

Venti passi indietro. E’ il 1996 quando, presso l’Università di Cagliari, nasce sotto la guida del prof. Fabio Roli il laboratorio PRA Lab, allora group, unità di ricerca del Dipartimento di Ingegneria Elettrica ed Elettronica che si occupa da allora di sistemi di elaborazione delle informazioni attraverso tecniche di Pattern Recognition : riconoscimento di forme, oggetti, eventi. Ed è all’interno di questa unità che cominciano a fermentare idee di ricerca che gravitano intorno alla sicurezza dei dispositivi e dei processi elettronici e digitali. L’unità si sviluppa e ramifica in diversi strati che si occupano di sicurezza dei dispositivi biometrici , di videosorveglianza intelligente e sicurezza informatica, ottenendo via via importanti riconoscimenti e finanziamenti nei temi citati E’ già nel momento della sua fondazione che l’unità percepisce la necessità di esportare la ricerca verso ambiti applicativi esperibili nel quotidiano e verso soluzioni di problemi di sicurezza attuali e concreti. Il laboratorio sceglie di chiamarsi Pattern Recognition and Applications Lab.

I successivi quindici passi. Iniziano nel 2004 le collaborazioni sempre più strette con il provider isolano Tiscali, sempre in prima linea in tema di sicurezza, all’interno di alcuni progetti di rilevanza nazionale ( IceLab e SafeNET in particolare, quest’ultimo finanziato dal Ministero per le Attività Produttive).

Nel 2007 si fortificano i rapporti di collaborazione tra ricerca sulla sicurezza informatica all’Università di Cagliari e forze dell’ordine . Analisi biometriche del PRA Lab e Carabinieri del RIS cominciano a percorrere gli stessi binari.

E’ nello stesso anno 2007 che il Consiglio Europeo, sulla base del Trattato dell’ Unione Europea (articoli 30, 31, 34) adotta il piano di finanziamento “Prevention of and Fight against Crime ”, come parte del più ampio “General Programme on Security and Safeguarding Liberties”. E’ prevenzione la parola chiave (ancora una), oggi come allora.

Nei successivi anni (2007-2014) la vocazione divulgativa e ancorata alle applicazioni concrete, subirà un incremento costante all’interno del PRA Lab. Nuovi docenti e ricercatori neo-laureati, che confluiranno poi anni dopo nel progetto ILLBuster, sposano la causa: Giorgio Giacinto, Igino Corona, Davide Ariu lavorano costantemente sul tema. Nasce la Summer School, Building Trust in the Information Age . Nasce Flux-Buster, pro-zio di ILLBuster.

Si infittiscono inoltre le relazioni con apparati che operano a livello nazionale, tra gli altri il CLUSIT – Associazione Italiana per la Sicurezza Informatica e il Laboratorio Nazionale di Cyber Security CINI . E’ in questo contesto che si sviluppano prolifiche reti internazionali che coinvolgono gli attori più attivi nella lotta al cybercrime, i quali a loro volta portano il loro bagaglio di esperienze pluriennali. E’ in questo frangente che, come accadde per l’Intellighenzia dei salotti ottocenteschi, si costituisce un profilo condiviso di Intelligence 2.0.

Nel frattempo anche il web fa passi da gigante, meritandosi l’appellativo di web 2.0, l’interattività e l’online banking proliferano, i -criminali (divenuti cyber– nel frattempo) tengono botta. Perfino una banalissima pubblicità sulla più innocua delle pagine web potrebbe celare un link a siti in grado di chiedere, estorcere o carpire informazioni di un utente (dati sensibili, credenziali, profili economici). Nasce l’esigenza di sviluppare un sistema integrato che anticipi le mosse dei cybercriminali, nel quale confluiscano anni di ricerca volti al contrasto di fenomeni come phishing, divulgazione di materiale pedopornografico, malware, vendita di prodotti contraffatti su farmacie illegali. Un sistema pronto all’uso, disponibile per gli attori dell’ordine pubblico, e modulare, predisposto per evoluzioni che fronteggino ogni forma di illecito potenzialmente perpetrabile online.

Due passi indietro… La Commissione Europea (DG-HOME), attraverso il programma citato nelle righe precedenti, finanzia il progetto ILLBuster, il cui Kick-off ufficiale risale al Gennaio 2014. Nasce ufficialmente la ILLBuster Experience, che come visto, in realtà di experience ne ha da vendere. Si articolerà per due anni dal suo kick-off, ma già dalla sua nascita ha quantomeno la maggiore età .

Oltre al PRA Lab, coordinatore delle attività di ricerca, aderiscono al progetto altri 7 Partner Internazionali, provenienti da 5 stati, Università degli Studi di Milano-Bicocca , Tiscali e Tech & Law Center (Italia), NASK (Polonia) NETCLEAN (Svezia), University of Georgia (Stati Uniti), DBI – Danish Institute of Fire and Security Technology (Danimarca) e 2 Unità Italiane delle forze dell’ordine Guardia di Finanza e Polizia Postale e delle Comunicazioni.

L’obiettivo comune dichiarato è quello di predisporre un sistema integrato per il rilevamento automatico di attività illegali sulla rete internet, in modo che questo possa poi essere utilizzato dalle forze dell’ordine in ausilio alle loro attività di contrasto al crimine informatico. E l’intento è quello di farlo rispettando garanzie legali e privacy dei cittadini. Un mezzo da utilizzare in fase di investigazione, ma anche con una funzione preventiva: un programma che consenta l’oscuramento di siti con materiale dannoso per gli utenti.

Fino a questo momento la caccia ai cybercriminali avviene (avveniva?) sulla base di segnalazioni o attraverso tecniche quantomeno aggirabili. Da molti anni i criminali informatici si avvalgono di botnet, tecnologie e meccanismi per cui il materiale illecito non viene mantenuto su un singolo server, ma viene disseminato su macchine “infette” e ignaramente complici allo stesso tempo, sparpagliate per il mondo. Di conseguenza diventa difficile perseguire la via dell’investigazione tradizionale, e diventa forse impossibile individuare il luogo esatto dove si svolgono le attività criminali. E’ in questo contesto che subentra la necessità di una Intelligence 2.0, applicata e semi-automatica.

…E l’attuale posizione. ILLBuster è stato presentato il 29 Gennaio 2016 presso il Tiscali Auditorium (Cagliari), in un più ampio contesto che ha visto la partecipazione di autorevoli esponenti della comunità scientifica ( Aldona Trela – Europol EC3; Raj Samani – Intel Security; Roberto Baldoni – Laboratorio Nazionale di Cyber Security CINI ; Marco Morana – CITIGROUP).

Il software presentato è in grado di scandagliare la rete di continuo e fornire in tempo reale una lista di domini (e contenuti) maligni attraverso l’analisi del traffico DNS, fornito nella fase di prototipazione dal partner Tiscali, che regala alla ricerca la rara opportunità di analizzare dati reali basati sul traffico web Italiano . Contestualmente ILLBuster segnala URL sospetti alle forze dell’ordine , in modo che gli illeciti possano essere meglio analizzati, e indica anche il tipo di attività illecita rilevata, dando così all’operatore la possibilità di verificare subito i contenuti del sito ed eventualmente intervenire sul provider che lo ospita, rendendolo inaccessibile.

La tecnologia di ILLBuster mira a stanare preventivamente i server colpevoli, andando a esaminare la rete per vedere dove si trovino macchine con un comportamento simile alle botnet. Laddove si nota che il traffico salta da una parte all’altra del mondo, il software stila una lista nera di indirizzi sospetti. E’ questo il risultato che viene reso alle forze dell’ordine: toccherà poi alla valutazione degli agenti fare una verifica finale e capire se ci si trova effettivamente di fronte a un reato.

Senza però mai accantonare una delle regole più importanti nel web: la cautela.

La caratteristica peculiare del sistema proposto infatti è che esso è stato progettato tenendo presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini, scongiurandone gli abusi. Per questi motivi sono stati coinvolti nel progetto due partner “legali”: la facoltà di Giurisprudenza dell’Università Milano-Bicocca, e il Tech and Law Center. Il software ILLBuster lavora setacciando solo i siti in cui si svolge l’attività illegale, ed è progettato per ignorare tutto ciò che riguarda direttamente la navigazione dell’utente, dunque non c’è nulla da temere sotto il profilo della privacy.

I prossimi passi. ILLBuster è uno strumento – da oggi – a disposizione delle forze dell’ordine, composto da un motore principale responsabile della rilevazione di una lista “nera” di domini malevoli e da un insieme di periferiche e servizi in grado di ispezionare le pagine web ospitate su domini maligni con lo scopo di individuare e classificare materiale illecito o pericoloso (pedopornografia, malware, phishing) e sottoporlo a un successivo controllo di un operatore di polizia, a cui spetta valutare se si tratti effettivamente di crimine informatico o no.

Questo articolo è nato con lo scopo di testimoniare l’esperienza del progetto ILLBuster. Convergenza delle spinte e delle risorse Europee, esempio riuscito della collaborazione tra movimenti e intenzioni, tra studio e pratica, tra investimenti pubblici e privati, ILLBuster è uno strumento neonato, che inizia ora la sua vita da farfalla dopo aver brucato per 18 anni, e aver passato gli ultimi 2 in stato pupale. La ILLBuster Experience sta cominciando ora.