Piuttosto che fare report e tirare le somme dell’anno appena passato con tutte le previsioni per il futuro, quest’anno ho voluto creare direttamente lo strumento che, un giorno, potrebbe essere utile per fare proprio questo.
Dopo il blog (questo che stai leggendo), il recente progetto Mastodon, arriva un nuovo elemento all’interno della galassia inSicurezzaDigitale.
Si chiama Dashboard Ransomware Monitor è raggiungibile apertamente da questo indirizzo: ransom.insicurezzadigitale.com e come si può intuire è uno strumento che (spero) possa essere utile a tutti per fare chiarezza su ciò che sta succedendo nel settore informatico (quasi in real time), con gli attacchi di tipo ransomware.
Dashboard Ransomware Monitor in dettaglio
La piattaforma si presenta in versione Web application, l’ho scritta io in PHP ed è un prodotto che offro come liberamente accessibile a chiunque sia interessato. Per il momento il frontend non è opensource semplicemente perché non sono un coder professionista e reputo il codice di questo progetto non presentabile al mondo esterno (funziona bene per me, anche se non è bello da leggere). Nasce dall’esigenza di avere, su un unico contenitore, tutto il mondo del ransomware (che oggi è molto vasto) facilmente visionabile, con aggiornamenti più o meno puntuali e pressoché automatizzato. Senza che l’archivio avesse limitazioni di consultazione, esportazione e fruizione.
Il punto di forza di questo progetto italiano, è appunto la possibilità di seguire il tutto con un comodo e standard feed RSS universale.
Il progetto è italiano, la piattaforma è italiana, tuttavia la funzionalità è globale, quindi può avere impatti anche all’estero qualora reputata utile.
Lo strumento per il backend è un fork di RansomWatch, modificato per le esigenze di scraping personalizzate e più precise, correggendone alcuni punti deboli, che appunto effettuata l’interrogazione di un grande numero di siti Web onion appartenenti alle più note organizzazioni criminali informatiche, ad intervalli di tempo regolari. Queste interrogazioni vengono salvate sul server e successivamente vengono analizzate dallo scraper, che cattura gruppo per gruppo le informazioni (titolo e data) degli ultimi post inseriti, conservandole in un file JSON.
Il file JSON viene poi dato in pasto al parser (in PHP) che ogni 5 minuti, interroga gli ultimi 200 elementi archiviati, confrontandoli con un database MySQL permanente tramite un hash, il quale in caso di non esistenza, produce una nuova INSERT sul database, generando così un feed perenne e autogestito, dall’inizio alla fine, senza intermediari terzi, di attacchi ransomware.
Funzionalità della Dashboard
Dal punto di vista dell’analisi, l’applicazione Web offre poche funzionalità per non perdere appunto la sua semplicità di utilizzo. Ad ogni modo, queste poche funzionalità sono sempre espandibili e lasciano l’utente libero di poterne usufruire o farne ulteriori analisi in proprio, grazie agli strumenti standardizzati utilizzati.
Oltre la consultazione e la ricerca, direttamente da browser, c’è una sezione “Grafici” che viene aggiornata in tempo reale con i gruppi più prolifici e i Paesi più colpiti.
Una sezione è poi dedicata ad offrire una rassegna stampa giornaliera, di ciò che è l’universo ransomware nel mondo. Con una selezione curata di notizie WorldWide, inerenti il ransomware e degne di nota (con opportuni link).
Altra importanza, per la fruizione standard ed aperta dello strumento, è la sezione “Esportazioni” che la piattaforma offre. Permette infatti differenti metodi di esportazione dei dati, direttamente in formato CSV, anche totali (di tutto l’archivio memorizzato), o parziali (solo attacchi Italia, oppure di anni specifici).
Questa funzionalità, molto importante in una politica pienamente open dello strumento, è importante per chiunque voglia utilizzare questi dati, al fine di curarne ulteriori analisi e studi.
Come già detto, dunque, non può mancare la funzione di feed RSS. Tutti gli aggiornamenti, quasi in tempo reale, della piattaforma, sono associabili ad un qualsiasi lettore Feed RSS utilizzato dall’utente, semplicemente presentando l’apposito link. Come specificato nella barra laterale (o in alto) nella piattaforma.
Dunque non mi resta che augurarvi Buon inizio di anno nuovo, con questo buon proposito per il 2023. E augurarmi che la piattaforma possa diventare uno strumento utile per chiunque voglia aggiornamenti puntuali sul mondo ransomware, facili da fruire.
Buona navigazione e buon utilizzo della Dashboard Ransomware Monitor.