Attribuzione di cyber attacchi, chi c’è dietro l’indirizzo IP: una complessità irrisolta

Il problema dell’attribuzione nel cyberspazio rappresenta una delle questioni più discusse e al contempo più elusive nell’ambito della sicurezza informatica. Lungi dall’essere una semplice operazione tecnica, l’attribuzione comporta una serie di passaggi che coinvolgono aspetti infrastrutturali, metodologici, normativi e talvolta anche politici.

Ecco i principali elementi che caratterizzano il processo di attribuzione a partire da un indirizzo IP.

Attribuzione di cyber attacchi: scoprire chi c’è dietro l’IP

Come evidenziato da Rid e Buchanan [1], l’attribuzione di responsabilità in ambito cibernetico non può prescindere da un’analisi multilivello, che tenga conto sia delle tracce digitali sia dei contesti geopolitici in cui gli attacchi si inseriscono.

Analogamente, le linee guida contenute nel Tallinn Manual 2.0 [2] offrono un quadro interpretativo per valutare l’attribuibilità di un’azione nel cyber spazio dal punto di vista del diritto internazionale.

Facciamo luce sulle condizioni in cui tale informazione può essere messa in relazione a un’identità, le tecniche che possono ostacolare o vanificare tale ricostruzione, nonché le implicazioni derivanti dall’uso di strumenti di anonimizzazione o alterazione del traffico.

L’approccio adottato non è esaustivo, ma selettivo e orientato alla messa a fuoco di snodi concettuali e operativi rilevanti. L’intento è stimolare maggiore consapevolezza critica sull’affidabilità e sui limiti delle attribuzioni nel contesto digitale contemporaneo.

L’attribuzione dell’indirizzo IP

Il problema dell’attribuzione presenta profili multidisciplinari che derivano in maniera naturale dalla sua definizione. Consiste nel determinare chi è effettivamente responsabile di un attacco informatico, di una violazione o di una certa attività in rete, in modo tecnicamente fondato, legalmente valido e politicamente sostenibile.

Sono molte le implicazioni giuridiche e tecniche. Con conseguenze che possono sfociare nella dimensione politica.

Chi, cosa, come e perché

La problematica ha natura ciclica e consiste nel rispondere a sei quesiti chiave, relativi all’attribuzione della responsabilità di un atto, spesso ostile, verificatosi nella dimensione cyber:

• chi: quesito la cui risposta – spesso parziale/incompleta – si correla alle altre risposte fino ad arrivare alla definizione di un quadro convincente, ragionevole, possibile, motivato e più probabile delle altre possibilità. Spesso sovrapposto a rivendicazioni la cui credibilità può essere giudicata in molti modi [3]. Va da sé che la risposta al “chi” trova le sue radici in una analisi tecnica i cui elementi essenziali saranno presentati nel seguito.
• Cosa. Il “cosa” in un processo di attribuzione si riferisce all’azione compiuta nel cyberspazio: è ciò che è stato fatto, la natura tecnica e operativa dell’attacco o della condotta digitale da attribuire. Cruciale per la delimitazione.
• Come. Si riferisce al modo in cui è stata compiuta l’azione. È l’insieme delle tecniche, tattiche e procedure utilizzate dall’attaccante per raggiungere i propri obiettivi. Il “come” descrive la metodologia operativa dell’attacco: quali strumenti sono stati usati, come è stato compromesso il bersaglio, come si è propagato l’attacco e come sono stati nascosti i movimenti o raccolti i dati.
• Perché. È forse l’elemento più sottile e strategico nel processo di attribuzione. Riguarda le motivazioni dell’attacco, ovvero lo scopo per cui è stata compiuta l’azione. Il “perché” risponde alla domanda: quale obiettivo voleva raggiungere l’attaccante? La sua conoscenza aiuta a capire la natura dell’attacco (spionaggio, sabotaggio, estorsione e via dicendo), contestualizzare il rischio per l’organizzazione colpita, rafforzare l’attribuzione verso attori con motivazioni coerenti. Il movente è spesso ciò che distingue gruppi diversi: un attore statale e un cyber criminale possono usare tecniche simili, ma con obiettivi radicalmente diversi. L’analisi del “perché” aiuta a valutare chi aveva interesse ad agire, chi trae vantaggio dall’attacco e quale messaggio si vuole inviare (per esempio, deterrenza, destabilizzazione).
• Prove. Sono gli elementi oggettivi e tecnici su cui si basa il processo di attribuzione. Consentono di correlare un’azione a un attore specifico, o almeno a restringere il campo dei possibili responsabili. In questo contesto, per “prova” si intende ogni traccia digitale o indicatore tecnico che può descrivere un attacco (cosa è successo), ricostruirne le modalità operative (come) e suggerire un collegamento con uno o più attori noti. Possibili esempi sono gli indicatori tecnici (IoC, Indicators of Compromise), i pattern operativi, gli artefatti linguistici o culturali, le tracce nei log e nei sistemi compromessi, le evidenze raccolte tramite Open Source Intelligence (OSINT) [4]. Un buon processo di attribuzione non si basa su una singola prova, ma su un insieme coerente di elementi, valutati con rigore metodologico. Il risultato non è quasi mai “certezza”, ma grado di confidenza o attribuzione probabilistica. Le prove sono il fondamento dell’attribuzione, ma da sole non bastano. Vanno interpretate nel quadro più ampio del cosa, come, chi e perché, e sempre con attenzione a tecniche di inganno e limiti epistemologici propri del cyber spazio.
• Certezza. Sebbene “certezza” significhi avere la piena e indiscutibile conoscenza del fatto e del suo autore, nel contesto cyber, però, essa è estremamente rara, se non impossibile. A causa della natura della rete, delle tecniche di offuscamento e dell’asimmetria informativa, l’attribuzione è quasi sempre probabilistica. Le prove sono spesso indirette (si analizzano tracce digitali che possono essere emulate, manipolate, falsificate), l’attaccante può nascondersi dietro terzi, si impiegano spesso tecniche di inganno (per esempio, false flag), c’è assenza di trasparenza e cooperazione internazionale (le prove cruciali possono trovarsi in Paesi non collaborativi). Si preferisce perciò parlare di livelli di confidenza. Se poi l’attribuzione deve avere valore legale occorrono: prove robuste, replicabili, documentate; tracciabilità della catena di custodia delle evidenze; standard elevati di responsabilità e onere della prova. In questo caso si parla di “certezza giuridica”, che richiede requisiti più stringenti di quelli tecnici o strategici. Ne segue che la “certezza,” in ambito di attribuzione cyber, è un obiettivo asintotico, e più che raggiungerla, si cerca di avvicinarvisi con rigore metodologico e trasparenza analitica. Per questo, le dichiarazioni serie si basano su valutazioni di probabilità e livelli di confidenza, non su verità assolute.

Rispondendo al “chi” c’è dietro un indirizzo IP

Senza alcuna pretesa di profondità o completezza desideriamo analizzare uno degli elementi base (risposta al “chi”), che spesso inizia da un indirizzo IP [5], lasciato come flebile traccia, con o senza consapevolezza, forse fornito “ad arte”.

Sul significato e ruolo tecnico di un indirizzo IP non desideriamo dilungarci e ci limitiamo ad osservare che spesso questo è un indizio concreto da cui si può iniziare l’analisi, sapendo che chi usa Internet ha in ogni momento un unico indirizzo IP [6], per ragioni di funzionamento della rete.

Dall’indirizzo IP all’identità

Il tipico obiettivo di questo processo è arrivare ad identificare chi usava un determinato IP in un preciso timestamp [7].

Lo scenario più semplice vede l’investigatore sottoporre il quesito a IANA, che come è noto è l’autorità di riferimento planetaria per le assegnazioni degli indirizzi IP: tali assegnazioni, a livello mondiale, sono statiche (fisse nel tempo), operate per mezzo dei RIR (Regional Internet Registries), onerose, specie nel caso dei vecchi formati di indirizzi IP (quaterne di interi).

Si sottopone il quesito in molti modi possibili, qui ci limitiamo a darne uno (linea di comando Linux, chiamato whois lookup) e non ne approfondiamo il funzionamento.

Il comando Linux: whois lookup

Il comando è whois 89.46.108.74 (è l’indirizzo IP usato da socint.org) e riceve una risposta inaspettata:
fab@Fabrizios-iMac ~ % whois 89.46.108.74
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object
refer: whois.ripe.net
inetnum: 89.0.0.0 – 89.255.255.255
organisation: RIPE NCC
status: ALLOCATED
whois: whois.ripe.net
changed: 2005-06
source: IANA

# whois.ripe.net

inetnum: 89.46.108.0 – 89.46.108.255
geoloc: 43.45997095884493 11.837875843048096
netname: ARUBA-NET
descr: Aruba S.p.A. – Shared Hosting IT1
country: IT
admin-c: AN3450-RIPE
tech-c: AN3450-RIPE
mnt-by: ARUBA-MNT
status: ASSIGNED PA
created: 2024-08-14T08:58:45Z
last-modified: 2024-08-14T08:58:45Z
source: RIPE
[…]
troncata per brevità, che ci informa che il blocco di indirizzi IP 89.0.0.0 – 89.255.255.255 (a cui 89.46.108.74 appartiene) è stato assegnato ad Aruba S.p.A. dal 14 agosto 2024 (data in cui presumibilmente l’azienda ha rinnovato l’uso proprietario di quel blocco di indirizzi).

La spiegazione è semplice. Aruba ha ottenuto l’utilizzo del blocco e l’investigatore, dopo la richiesta whois, deve domandare ad Aruba a chi ha concesso in uso l’indirizzo 89.46.108.74.

A tal proposito occorre specificare che la sub-assegnazione operata da Aruba è soggetta alle normative sulla data retention [8] che regola la conservazione dei metadati delle comunicazioni da parti di tutti i provider nazionali.

Riassumendo, il processo di identificazione consta di due passi: whois lookup e consultazione dati del provider.

Inoltre, esistono innumerevoli maniere per sostituire la consultazione whois (gratuita) con servizi (ancora gratuiti) offerti sul web [9]. La Figura 2 ne mostra lo schema.

Ma le cose possono complicarsi, come vedremo nella sezione successiva.

La prima complicazione

Anche se l’approccio precedentemente descritto conserva una sua universale validità, le cose si complicano quando una entità, per esempio, un’azienda, si affida a un provider per la connettività alla rete.

Si tratta di una situazione tipica, che, specie in Italia, è piuttosto diffusa, date le innumerevoli PMI (le cose differiscono, per una grande azienda, come vedremo nel seguito).

Il provider non assegna IP alle singole persone di un’azienda, ma un IP, o un blocco di IP, all’intera azienda, che ne fa un uso autonomo. Questo significa che la catena di interrogazione si allunga (come vediamo nella figura 3).

Ciò significa che, in aggiunta al provider, anche l’azienda deve praticare una data retention. Concettualmente nessuna complicazione, ma il processo si allunga e va incontro più facilmente a problemi ed anomalie.

Intanto l’azienda non è un provider per cui potrebbe non conservare i dati di assegnazione degli IP, ma, anche nell’ipotesi che lo facesse scrupolosamente, data la dinamicità degli IP (assegnazioni diverse in istanti diversi), occorrerebbe assicurarsi della corretta sincronizzazione degli orologi dei server fra provider ed azienda (o anche PA): non c’è dubbio che quelli del provider siano corretti (molti provider sono persino timestamp authorities) ma è frequente il (malcostume) di lasciare gli orologi dei server aziendali non sincronizzati, per mancata configurazione di NTP, reti chiuse/offline, virtualizzazione o ambienti legacy, assenza di policy e monitoraggio, indifferenza o sottovalutazione del rischio.

Tutto questo è ulteriormente complicato dal fatto che le interrogazioni si riferiscono sempre al passato, per cui nasce una questione relativa alla corretta sincronizzazione in un tempo passato, che potrebbe differire dalla situazione presente. In pratica, anche nello scenario migliore, il processo si allunga e si articola.

Un altro dettaglio sull’attribuzione dell’indirizzo IP

Negli anni ‘80/’90, con Internet in forte espansione, lo spazio degli indirizzi IP cominciò a rivelarsi troppo piccolo. A tale problema ci furono due risposte: il NATting [11] e una nuova versione di IP.

Il NATting consiste nella condivisione da parte di un gruppo di soggetti appartenenti a una stessa entità di uno stesso IP. Tutti i dati trasmessi all’esterno appaiono come trasmessi da uno stesso IP, che è poi appartenente all’entità.

Questo permette una notevole economia nella quantità di IP necessari per i dispositivi connessi alla rete. Nella LAN interna all’entità in realtà i vari soggetti usano IP differenti, detti privati.

Tali IP sono operativi solo all’interno della LAN, mentre, quando gli utenti desiderano accedere alla rete esterna (Internet), il gateway (o un firewall) sostituisce “a volo” all’IP privato quello unico (o forse non unico, magari se ne usano alcuni, ma comunque molto meno rispetto al numero di utenti) da esibire in Internet (detto IP pubblico). Il gateway saprà effettuare la sostituzione inversa per i pacchetti di ritorno.

La nuova versione di IP a 128 bit

Con un piccolo ritardo fu introdotta una nuova versione di IP [12], con indirizzi a 128 bit anziché 32, rendendo il numero di possibili IP più che sufficiente per ogni esigenza.
Nonostante questa nuova soluzione, il NATting è rimasto componente intrinseca di tutte le infrastrutture per le reti locali e continua ad essere sistematicamente usato [14].

Questo spiega perché l’IP rilevato da un dispositivo è spesso differente da quello con cui il dispositivo stesso accede alla rete esterna.

Whois lookup da eseguire su IP pubblici

In effetti le operazioni di whois lookup si eseguono su IP pubblici: quelli privati, essendo confinati all’interno di reti locali, sono usati ripetutamente all’interno di innumerevoli reti locali e, a causa del NATting, non sono esposti al suo esterno. Non ha senso, pertanto, il lookup di IP privati.

Gateway per il NATting oggetto di interrogazione

Ai fini della nostra indagine, le cose non cambiano in maniera rilevante: il gateway che effettua il NATting deve essere fatto oggetto di interrogazione, per conoscere il soggetto che ha causato la partenza o arrivo di un pacchetto con l’IP pubblico aziendale, in un determinato istante.

In questo caso valgono le norme sulla data retention. Si capisce facilmente tuttavia il maggior rischio connesso alla non sincronizzazione degli orologi (l’azienda non è un provider e potrebbe più facilmente essere inadempiente).

La Figura 3 va quindi leggermente modificata, come visto nella Figura 4.

Attribuzione dell’indirizzo IP: le complicazioni crescono

Consideriamo adesso il caso di una rete più complessa, come per esempio quella di una grande università.

Anche se concettualmente non c’è nulla di nuovo la catena di interrogazione si allunga:

• IANA;
• Garr (gruppo per l’armonizzazione della rete della ricerca);
• università;
• dipartimento.

Questo significa che aumenta ancora il rischio di problemi/anomalie, oltre al tempo necessario per condurre l’indagine.

Inoltre, esiste la concreta possibilità di aggiungere un altro livello alla catena:

• dipartimento;
• laboratorio.

Si osserva spesso in ambito universitario che i laboratori non praticano la data retention, troncando dunque la catena descritta e rendendo impossibile la finalizzazione dell’indagine.

A parte la disastrosa eventualità, l’esistenza di catene molto lunghe è tipica non solo nelle grandi università, ma nella PA, grandi aziende e multinazionali, organismi della difesa, sanità.

L’aumentare dei soggetti non solo ingrandisce il problema della sincronizzazione degli orologi, ma introduce significative inefficienze nella conduzione dell’investigazione, che dovrà tener conto di luoghi e orari differenti, possibili scollegamenti dei dati, diverse modalità/regole di cooperazione, difficoltà con l’inglese, misconfigurazioni.

Ciò chiarisce che i laboratori universitari consentono spesso la connessione alla rete in pieno anonimato. Lo stesso che avviene in alcuni wi-fi pubblici (esempio, in Starbucks), ove chiunque, senza adottare alcuna misura tecnica, può connettersi a Internet in anonimato, rivelando al più la locazione.

Le misure che si possono impiegare per celare l’IP consistono essenzialmente nell’usare:

• Vpn: celebre ma onerosa;
• Proxy: non sempre disponibili.
• Wi-fi pubblico: oggetto all’attacco MITM;
• Tor, rete sovrapposta con sicurezza militare.
• IP spoofing: tecnico e non sostenibile.

Vpn

Una VPN 19 (Virtual Private Network) è una tecnologia che crea un canale di comunicazione sicuro e cifrato tra un dispositivo e un server remoto.

In questo modo, l’utente può accedere a Internet mascherando il proprio indirizzo IP, che viene sostituito da quello del server VPN.

È importante sottolineare che la VPN garantisce confidenzialità e integrità solo nel tratto tra l’utente e il server VPN. Da quel punto in poi, i dati viaggiano verso la destinazione finale (ad esempio un sito web) con il livello di protezione eventualmente offerto dal servizio stesso, come https — o, in assenza di tale protezione, in chiaro.
In sintesi, l’uso di una VPN consente di navigare in modo più sicuro e privato, soprattutto quando si utilizza una rete Wi-Fi pubblica o non protetta. Il server finale “vedrà” come indirizzo IP quello del server VPN, che spesso si trova in un altro Paese rispetto all’utente reale.

Molti fornitori di VPN dichiarano di non effettuare logging né conservare dati di navigazione, ma in alcuni casi sono stati riportati incidenti che mettono in dubbio queste promesse.

I servizi VPN di qualità sono generalmente a pagamento ; al contrario, è opportuno diffidare delle VPN gratuite, soprattutto se funzionano bene: è lecito chiedersi in che altro modo si stia “pagando” il servizio (per esempio con i propri dati).

Le Vpn sono utili non solo per proteggere il traffico su reti insicure, ma anche per accedere a contenuti web geograficamente limitati, pensati solo per utenti residenti in determinati Paesi.

Non a caso, molti provider collocano i propri server in giurisdizioni poco cooperative, così da rendere più difficile l’identificazione o la tracciabilità degli utenti.

Proxy

Si tratta di una soluzione che presenta varie similarità con le VPN (si parla talvolta di VPN proxy) e si comportano similmente a queste, ma non proteggono il tratto di conversazione fra utente e proxy.

Uno schema è mostrato nella figura sottostante.

Precisazioni aggiuntive

Un primo aspetto riguarda il fatto che i proxy operano a livello di protocollo: ciò significa che agiscono in un ambito più ristretto rispetto alle VPN.

Per esempio, un proxy configurato per il protocollo HTTPS non può essere utilizzato per altri protocolli (come FTP o SMTP). Al contrario, le VPN incapsulano tutto il traffico di rete, indipendentemente dal protocollo utilizzato. Se si desidera utilizzare più protocolli tramite proxy, è quindi necessario configurarne più di uno, ciascuno dedicato a un protocollo specifico.

Nella pratica, la maggior parte dei proxy disponibili è progettata per gestire traffico http/https, anche se esistono eccezioni.

Inoltre, molti proxy sono offerti direttamente da singole organizzazioni (per esempio, aziende, istituzioni), sebbene esistano anche servizi proxy commerciali disponibili online [14].

Infine, esistono diversi tipi di proxy, ognuno con caratteristiche e funzioni specifiche. La Figura 6 rappresenta, in particolare, un forward proxy, ovvero un proxy che agisce per conto del client verso l’esterno.

Nella tabella seguente, sono illustrati i principali tipi di proxy, con le
relative caratteristiche.

Wi-fi pubblico

Con wi-fi pubblico intendiamo un servizio wi-fi con o senza password offerto indiscriminatamente.

È tipicamente offerto da un negozio, bar, ristorante, Internet café, senza effettuare la registrazione da parte degli utenti. Gli accessi ad Internet avvengono usando l’IP dell’attività che farà invece avere a tutti i suoi utenti degli IP privati (NATting).

L’IP sarà celato, ma non la locazione, come avviene per VPN e proxy. I wi-fi pubblici, specie quelli senza password, sono soggetti a facili attacchi MITM, ove l’attaccante si interpone fra l’utente ed Internet, esibendo un comportamento passivo (solo intercettazione) o anche attivo (manomissione).

L’attaccante può facilmente creare un wi-fi sotto il suo completo controllo con lo stesso nome di uno pubblico.

Un utente tecnico sa come comportarsi per avere connessioni sicure pur in presenza di un attacco MITM, ma le competenze richieste sono complesse e non alla portata del pubblico.

MITM, ove l’attaccante si interpone fra l’utente ed Internet, esibendo un comportamento passivo (solo intercettazione) o anche attivo (manomissione). L’attaccante può facilmente creare un wi-fi sotto il suo completo controllo con lo stesso nome di uno pubblico.

Un utente tecnico sa come comportarsi per avere connessioni sicure pur in presenza di un attacco MITM, ma le competenze richieste sono complesse e non alla portata del pubblico.

Il progetto Tor

Il nome Tor (The Onion Router) si riferisce sia a un browser (più propriamente chiamato Tor Browser), sia a una rete sovrapposta (overlay network) costruita sopra l’infrastruttura di Internet.

Questa rete utilizza protocolli di comunicazione aggiuntivi, progettati per garantire anonimato e privacy nel trasferimento dei dati.

Il progetto Tor fu creato dalla Marina USA nei primi anni 2000, con l’obiettivo di garantire comunicazioni sicure e anonime per il governo e i militari statunitensi.

Con il tempo ci sono state alcune modifiche e la missione attuale del Tor Project, l’organizzazione no-profit che ne cura lo sviluppo, è centrata su privacy, libertà e diritti digitali: la crittografia impiegata garantisce confidenzialità, integrità ed anonimato.

Chiunque può utilizzare Tor, anche se in alcuni Paesi il suo uso è vietato per legge.

Tuttavia, ciò non significa che non venga comunque impiegato anche in quei contesti, soprattutto da attori statali o gruppi dotati di risorse e competenze tecniche.

Il Tor Browser è gratuito, costruito sullo scheletro di Firefox e scaricabile dal sito del Tor Project.

Questo browser è capace di usare la rete Tor, una overlay network che usa nodi sparsi su tutto il pianeta detti relay. Per spiegarne a grandi linee il funzionamento useremo una illustrazione pubblica impiegata da anni a tale scopo (vedi figura sottostante).

L’utente usa il client e desidera connettersi al server. A tale scopo estrae dalla lista di relay (pubblica, composta da circa 7000 nodi) una terna casuale (tre relay, denominati guard, middle ed exit) per costruire un circuito che viene impiegato per comunicare con il server finale: client colloquia con guard, guard con middle, middle con exit, exit con server finale.

Tutti i colloqui sono protetti crittograficamente a partire dal client, fino ad arrivare all’exit.

Ogni nodo conosce solo chi lo precede e chi lo segue nel circuito; confidenzialità ed integrità, all’interno della rete Tor, sono garantite.

Tutto ciò è consentito da un tipo di crittografia chiamata telescopica (o a strati, o a cipolla – onion), che protegge i singoli tratti relay-relay o client-relay (non protegge il tratto relay-server).

Una protezione più completa si potrà ottenere dall’uso congiunto di Tor ed https, come illustrato in una celebre immagine pubblicata da EFF (vedi figura sottostante).

Poiché tutti gli indirizzi IP dei relay Tor sono pubblici, un sito web visitato tramite la rete Tor rileverà una connessione proveniente dal nodo di uscita (exit node) e potrà quindi dedurre che l’utente sta utilizzando Tor.

Molte organizzazioni, sia pubbliche che private, mal tollerano le visite effettuate tramite Tor.

Per esempio, nella seguente figura, si osserva il comportamento del sito di Repubblica.it: da una parte, l’accesso tramite Tor Browser viene bloccato o ostacolato; dall’altra, la stessa pagina è accessibile senza problemi utilizzando un browser tradizionale.

Le motivazioni di questo blocco sono principalmente due:

• l’anonimato garantito da Tor, che impedisce il tracciamento dell’utente da parte del sito;
• il fatto che il Tor Browser è anche il principale strumento per accedere al Dark Web, spesso associato – a torto o a ragione – ad attività illegali.

Inoltre. non tutti i relay Tor sono pubblici: esistono relay “nascosti”, detti bridge, che permettono di accedere alla rete Tor anche nei Paesi in cui l’accesso ai nodi noti è bloccato per legge o per censura.

Questi bridge costituiscono uno strumento essenziale per aggirare le restrizioni governative in contesti autoritari.

Deanonimizzare Tor

La deanonimizzazione di Tor, ovvero l’identificazione dell’utente dietro una connessione, è un’operazione tecnicamente molto complessa. Già nel 2013, le rivelazioni di Edward Snowden hanno mostrato come un documento interno della NSA dichiarasse: “We will never be able to de-anonymize all Tor users all the time”.

Questo non significa che Tor sia invulnerabile: attacchi mirati hanno avuto successo in passato, e le principali agenzie di sicurezza al mondo continuano a studiare la rete Tor alla ricerca di vulnerabilità.

Proprio per questo motivo, Tor e il Tor Browser vengono aggiornati frequentemente, soprattutto nei loro dettagli operativi e meccanismi di difesa, per mantenere la rete resiliente alle minacce e garantire il massimo livello possibile di anonimato.
Infine, le prestazioni di Tor Browser sono limitate: c’è una lentezza intrinseca collegata ai relay, alla cifratura multipla, alla latenza, alla limitata banda passante (per cui non potremo mai usare Tor per guardare Netflix!).

C’è molto altro da dire sul tema – e sul Dark Web – ma tutto ciò sarebbe decisamente fuori tema, anche perché non appare sostenibile la posizione di collocare un server nel Dark Web allo scopo di anonimato legale.

IP spoofing

Il termine “spoofing” è usato frequentemente in informatica ed indica la falsificazione/manomissione dell’indirizzo del mittente di un messaggio.

Cosa sia l’indirizzo dipende fortemente dal tipo di protocollo impiegato, ma è in teoria possibile falsificare l’IP del mittente di un pacchetto che deve essere inoltrato verso la destinazione usando il protocollo IP.

Mentre l’IP del mittente non è rilevante per l’inoltro del pacchetto a destinazione, lo è per la ricezione delle risposte, che vengono inviate all’IP del mittente mostrato nel pacchetto IP.

Il caso degli attacchi DoS

A prescindere dunque dalle difficoltà tecniche si capisce che l’IP spoofing può divenire interessante quando sono previste comunicazioni che non si attendono una risposta: questo il caso degli attacchi DoS, in cui un server viene “affogato” da troppe richieste di contatto che non riesce più a stabilirne una.

Si capisce che questo scenario è piuttosto lontano da quelli in cui si vuole celare l’IP per motivi legittimi.

Gli attacchi DoS sono essenzialmente dimostrativi e difficilmente producono danni permanenti, e vengono per lo più praticati in momenti strategici quali, per esempio, eventi critici (elezioni, lanci di prodotti, conferenze), in concomitanza con attacchi più sofisticati, per distrarre la sicurezza, in orari di punta, per causare il massimo disagio.

Più specificamente ecco una tabella che descrive i contesti in cui è praticato l’IP spoofing (quasi tutti illegali).

Prospettive future nell’attribuzione dell’indirizzo IP

L’analisi condotta ha evidenziato come l’attribuzione di un’azione nel cyberspazio a uno specifico soggetto sia un processo complesso, frammentato e spesso soggetto a margini significativi di incertezza.

La possibilità di stabilire un nesso affidabile tra un’attività digitale e un’identità fisica richiede condizioni tecniche favorevoli (come la conservazione dei log, la sincronizzazione temporale e la tracciabilità dei percorsi di rete), nonché un quadro normativo che supporti la raccolta e l’analisi dei dati in modo legittimo e verificabile.

A fronte di una molteplicità di fattori distorsivi – dall’uso di tecniche di anonimizzazione (proxy, VPN, Tor) fino alle limitazioni intrinseche delle infrastrutture condivise – l’attribuzione resta un’operazione per sua natura probabilistica e contestuale, piuttosto che deterministica.

Alcuni studiosi propongono di parlare non tanto di “attribuzione” in senso stretto, quanto di confidence levels associati a ipotesi operative o giudiziarie.

In prospettiva, l’attribuzione non dovrebbe essere concepita come un traguardo assoluto, ma come un processo che, pur muovendosi verso un obiettivo di identificazione, richiede cautela metodologica, trasparenza procedurale e consapevolezza epistemologica dei propri limiti.

Solo in questo modo sarà possibile coniugare efficacia operativa, affidabilità probatoria e rispetto dei principi dello stato di diritto nel cyberspazio.

Bibliografia

[1] Rid, T. & Buchanan, B. (2014). Attributing Cyber Attacks. Journal of Strategic Studies, 38(1-2), 4–37.
[2] Schmitt, M. N. (Ed.). (2017). Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations. Cambridge University Press.

[3] https://thecyberwire.com/glossary/false-flag, https://en.wikipedia.org/wiki/False_flag, https://tolumichael.com/examples-of-false-flags-in-cybersecurity, https://www.countercraftsec.com/blog/false-flag, https://ccdcoe.org/library/publications/mitigating-risks-arising-from-false-flag-and-no-flag-cyber-attacks/.

[4] https://harfanglab.io/blog/methodology/osint-vector-cyber-threat-intelligence-indicator-collection-attribution, https://evalian.co.uk/the-importance-of-osint, https://cybersecurity-magazine.com/open-source-intelligence-in-action-with-dr-varin-khera-and-dr-anand-r-prasad, https://www.imperva.com/learn/application-security/open-source-intelligence-osint/.

[5] L’indirizzo IP appare in molti casi come una quaterna di numeri interi positivi separati da un puntino.
89.46.108.74 nel caso di socint.org. Ogni intero varia nell’intervallo [0..255], per un totale di oltre 4 miliardi di indirizzi IP differenti. L’evoluzione di IP ha portato ad indirizzi di lunghezza maggiore, e quindi ben più numerosi (2 128 ), ancora non sempre sistematicamente usati.

[6] Asserzione non totalmente corretta, in quanto vedremo nel seguito che esistono gruppi di individui differenti con uno stesso IP. Sono necessarie precisazioni.

[7] Gli indirizzi IP sono spesso dinamici e uno stesso indirizzo può essere assegnato in momenti differenti ad individui diversi.

[8] Il D.Lgs. 196/2003 (Codice Privacy) introduce regole generali sulla protezione dei dati personali; il D.Lgs. 109/2008 stabilisce il recepimento parziale della Direttiva UE 2006/24/CE sulla data retention; la Legge n. 167/2017 (Decreto sicurezza bis) estende il periodo di conservazione dei dati di traffico fino a 6 anni; la Delibera AGCOM n. 513/17/CONS definisce gli obblighi per operatori in termini di sicurezza e conservazione; infine le Sentenze della Corte di Giustizia UE (2014, 2016, 2022) vincolano l’Italia a un uso proporzionato della retention. Tipologie di dati conservati: dati di traffico telefonico: numeri chiamante/chiamato, durata, orario, cella; dati di traffico nternet: IP assegnato, orario di connessione, indirizzo Mac; dati di localizzazione (in ambito mobile). Gli operatori sono obbligati a conservare i dati in forma sicura e cifrata, proteggere i log da accessi non autorizzati, collaborare con le autorità su richiesta motivata e registrare gli accessi ai sistemi di retention.

[9] Si veda, per esempio, https://whois.domaintools.com/, https://www.whois.com/whois/, https://lookup.icann.org/en.

[10] La mancata sincronizzazione del clock dei server determina molte anomalie tecniche, con ripercussioni a livello forense. https://learn.microsoft.com/it-it/troubleshoot/windows-server/active-directory/time-
synchronization-not-succeed-non-ntp, https://www.cisco.com/c/it_it/support/docs/ip/network-time-protocol-
ntp/108076-ntp-troubleshoot.html, https://learning.lpi.org/it/learning-materials/102-500/108/108.1/108.1_02.

[11] https://www.facile.it/adsl/glossario/nat.html, https://nordvpn.com/it/blog/nat/, https://www.fastweb.it/fastweb-
plus/digital-magazine/cos-e-il-nat-e-come-funziona.

[12] https://en.wikipedia.org/wiki/IPv6, https://supporthost.com/it/ipv6/, https://www.fs.com/it/blog/ipv4-vs-ipv6-whats-the-difference-1282.html.

[13] Si pratica NATting anche a livello di singola abitazione.

[14] https://brightdata.com, https://oxylabs.io, https://smartproxy.com, https://proxyrack.com, https://stormproxies.com eccetera.