Arriva RAIN, il replay che svela i segreti degli attacchi hacker 

Allo stato attuale, ricostruire i passaggi di un attacco hacker è un’operazione lunga e complessa gestita da esperti umani. Col suo nuovo sistema Refinable Attack INvestigation (RAIN), il Georgia Institute of Technology offre agli inquirenti un prezioso strumento automatico che come in un replay, traccia tutte le fasi di un’intrusione informatica.

Monitorando gli elementi fisici di un sistema e le modifiche ai dati, RAIN permette di risalire ai punti di ingresso di un attacco e di mappare la sua progressione: “Si può tornare indietro e capire dove il vostro sistema ha fallito”, spiega Wenke Lee, co-direttore del Georgia’s Institute for Information Security and Privacy. “RAIN non si ferma al momento in cui ci si accorge del problema, ma può svelare come un hacker è entrato nel sistema e come si è mosso dopo”.

Finanziato in gran parte dalla DARPA, il progetto mira a superare i limiti delle attuali tecniche investigative basate sui log files dei sistemi. Il problema più grande sta nel fatto che in genere, questi log registrano attività in un arco di tempo limitato e quindi contengono pochi dettagli. Al contrario, il tracking di RAIN è continuo ed intensivo, e le sue euristiche possono individuare processi anomali con un margine di errore davvero minimo. Il software è programmato per scrutare con maggiore attenzione solo i processi che reputa interessanti, e la sua precisione può arrivare al singolo byte di memoria.

Secondo il ricercatore Alessandro Orso, questo tipo di analisi “a grana fine” è indispensabile per le indagini,  ma troppo gravoso da realizzare in realtime. Applicando una gerarchia alle procedure, è possibile analizzare i dati offline e solo quando serve. Il Georgia Institute of Technology giudica più che sostenibile la mole di dati generata da RAIN: si parla in media di 4 GB al giorno, ossia 2 Terabyte l’anno.

Un requisito modesto a fronte del grado di sicurezza che il sistema può garantire alle aziende. Come insegnano le recenti vicissitudini di Apple (continua a leggere), soprattutto in ambito corporate, non si è mai troppo prudenti.