giovedì 17 febbraio 2011

Marco Pacchiardo - Il Cyberlaundering

Siamo arrivati a cinque!

Cinque post della serie "Voci Amiche"; cinque contributi esterni di persone che stimo e che hanno raccolto il mio invito a scrivere di ciò che li appassiona (nel campo della sicurezza... ovviamente ;-)) ). Questa volta ho il piacere di ospitare il contributo dell'amico Marco Pacchiardo; ricordo ancora quando ho sentito il suo intervento al Security Summit di Roma e quanto mi aveva colpito per la chiarezza e la semplicità con cui riusciva a illustrare concetti non semplici come quelli legati al riciclaggio di denaro su Internet.
E proprio di questo parlerà questo contributo di Marco. Argomento assolutamente centrale e da capire a fondo se, già negli anni '60, Robert W. Sarnoff affermava: "Finance is the art of passing money from hand to hand until it finally disappears"....

-----------------------------------------------------------------------------------------------
"Da qualche tempo sto collaborando per definire e comprendere in dettaglio argomenti come Cyberwar, cyberintelligence e cyberlaundering. La prima cosa interessante che salta all'occhio è che in realtà attacchi, metodi di attacco e bersagli sono identici a quelli di prima che esistesse il "cyber" (qualsiasi cosa voglia dire).

L'unica cosa che è cambiata è la tecnologia.

Perchè in realtà lo scopo di chi attacca è sempre lo stesso di sempre, così come è sempre lo stesso il bersaglio e la motivazione di un attacco. Cambia la tecnologia, che diventa cyber per eseguire azioni malevole ben note già ai nostri antenati.

Così il fenomeno del riciclaggio di denaro, caro agli italiani dai tempi della prima repubblica, non fa altro che avvalersi di tecnologie cyber per... far sparire denaro esattamente come è sempre stato.
Dov'è la differenza allora? Proprio la tecnologia che, utilizzata in modo appropriato, permette maggiore libertà e velocità di azione.

Come disse Kevin Mitnick: "come, la domanda è sempre come"; i metodi rimangono identici a se stessi, la tecnologia muta.

Tradizionalmente si individuano tre azioni fondamentali nel processo di riciclaggio elettronico: Placement, Layering e Integration.

Ne parlerò, ma credo che, in modo forse presuntuoso e innovatore, ci sia un principio differente alla base del cyberlaundering: il passaggio da denaro fisico a denaro virtuale (per poterne sfruttare i vantaggi cyber) e il sucessivo passaggio inverso: da denaro virtuale a denaro fisico, per poterlo spendere. Al giorno d'oggi siamo permeati di questo fenomeno: dal piccolo spacciatore che, chiede una ricarica in cambio di una dose, fino ai terroristi, a chi rivende armi, a chi vuole soltanto evadere le tasse.

Esistono vere e proprie organizzazioni che si occupano, per esempio, di spostare denaro in modo "informale" (informale nel senso che in Italia è illegale trattare denaro se non si è una banca). Si chiamano IVTS, ovvero "Informal Value Transfer System" e lavorano con un metodo semplicissimo.
Chi vuole dare del denaro a una persona che si trova in qualsiasi parte del mondo, deve soltanto chiamare una persona che fa parte dell'IVTS e consegnargli il denaro contante a mano. A questo punto la persona chiamerà la sua controparte nella nazione di destinazione, la quale preleverà il denaro e lo consegnerà al beneficiario. In questo modo il denaro non viene mai fisicamente spostato, mantenendo alto il meccanismo di sicurezza e rendendo complicato il tracciamento. L'informazione di consegna del denaro può anch'essa essere altrettanto irrintracciabile e Internet aiuta. Basta aprire un account di posta con dati fasulli, scrivere una mail con le informazioni e salvarla come bozza invece che spedirla. La controparte dovrà soltanto conoscere il nome dell'account e la password per avere le informazioni che occorrono, senza che la mail sia mai spedita. Se guardiamo nel nostro piccolo quotidiano, ciascuno di noi potrebbe conoscere qualcuno che sfrutta queste tecnologie per far "sparire il grano".

Per capire il fenomeno più nel dettaglio riprendiamo i tre principi alla base del riciclaggio. La prima operazione è il Placement. Significa piazzare il denaro sonante su Internet. Il contante, che pesa, che occupa spazio, che è difficile da occultare, deve diventare elettronico. I modi sono i più disparati, ma è chiaro che il suo volume diventa pari a uno o due campi di un database. Adesso che il denaro è elettronico, la cosa migliore da fare è sfruttare la caratteristica principale di una rete dati: la velocità. In pochi attimi è possibile trasferire piccole somme di denaro su banche differenti, in paesi differenti, compiendo la seconda operazione: il Layering, la stratificazione del capitale. Ultima operazione è ricomporre la somma (Integration), di solito su una banca off shore, in un paese non allineato alle regolamentazioni internazionali in materia bancaria (e così scopriamo anche uno dei valori di Basilea II). La cosa più importante da tenere in conto, è che tutta questa operazione è stata eseguita nell'arco di neppure mezza giornata, nei casi peggiori si parla di 2/3 giorni. L'altra cosa fondamentale è essere coscienti che le autorità, per ricosturire i passaggi di placement e layering, impiegheranno mesi se non anni. A questo punto il denaro arriva da altri conti correnti e non più da proventi di attività illecite o, quanto meno, non è direttamente riconducibile ad esse. Non resta che spenderlo per smaterializzare ancora di più il rapporto tra il denaro e l'attività che l'ha prodotto.

In pratica il denaro contante è stato preso, trasformato in denaro elettronico, spezzettato in giro per il mondo in cifre piccole (di solito in cifre più basse delle soglie definite dalle leggi anti riciclaggio), ricomposto su una banca off shore e quindi speso. Immaginate che sia possibile acquistare i dati di accesso al conto di qualcuno per poche decine di dollari, immaginate di avere del denaro "sporco", di trasferirlo su internet tramite intermediari (Exchange Maker: esistono!), di comperare oro on line e di trasferire il controlavlore dell'oro (realmente mai posseduto) su 20 banche estere, immaginate di prendere dalle banche tutte le somme e di trasferirle in una banca alle Cayman, vendere l'oro e convertirlo in denaro elettronico e immaginate di farvi una vacanza ai caraibi con quel capitale. Vacanza a parte, tutta l'operazione è stata eseguita nell'arco di circa 2 giorni. Immaginate anche che qualcuno abbia dei sospetti e decida di ricostruire il percorso del denaro: vorreste essere nei suoi panni?

Per complicare ancora di più le cose (io lo farei), introdurrei anche un principio, tutto mio, di meta-layering, che potremmo chiamare "diversificazione". Prima di suddividere il denaro su più banche, suddividerei anche i canali trasmissivi, utilizzando bonifici, compravendita di oro, investimenti e IVTS. Se già all'origine, durante l'operazione di placement, il denaro è suddiviso non soltanto su più banche, ma anche in "prodotti" differenti, allora la combinazione diventa ancora più complicata da ricostruire.

Giusto per completare questa breve analisi, consideriamo anche che: aprire un conto su una banca off shore e comprare oro on line, una volta trovati i canali giusti, richiede solo una mail e una password. Naturalmente avrete già immaginato che la mail non permetterà di risalire all'identità del possessore e che sarà di conseguenza impossibile ricomporre a ritroso il percorso del denaro.

Come ultima considerazione, ritengo importante segnalare che, a livello internazionale, esistono leggi per tentare di arginare il fenomeno, così come esistono enti che si occupano soltanto di capire come funziona e come si può fermare il cyberlaundering. In particolare l'ente più importante in questo senso è il FATF "Financial Action Task Force"."
-----------------------------------------------------------------------------------------------
Marco Pacchiardo si occupa di sicurezza informatica in qualità di consulente dal 1997. La sua attività l'ha portato spesso all'estero, dove, tra gli altri progetti, ha realizzato un SOC per un governo, attività di vulnerability assessment, ethical hacking e diverse analisi di compliance rispetto alle normative internazionali (ISO2700X, SOX, PCI). Ha da poco terminato la realizzazione e lo startup del suo secondo SOC e attualmente si occupa di aspetti di sicurezza più organizzativi, di business e procedurali. Collabora con enti internazionali per la realizzazione di framework e whitepaper di Cyber Intelligence e Cyber War. Pacchiardo ha al suo attivo la redazione di un libro, numerosi articoli e guide di sicurezza informatica e ha creato software e metodologie innovative nei campi del risk management, della secuirty awareness e della compliance normativa.

Nessun commento:

Posta un commento

http://www.wikio.it