Sicurezza

Hacker, come fanno a sapere tutto di noi

Non ci sono solo i cracker siriani che fanno crollare Wall Street con un tweet. La sicurezza è sempre sotto attacco. Kit per diventare pirati fai da te oggi sono facilmente reperibili in Rete a prezzi stracciati. E ancor più facile è assoldare un «bandito» che per pochi euro viola mail e social network. Anche se il loro alleato migliore è sempre la nostra ingenuità.

Credits: Getty Images

di Guido Castellano e Marco Morello

«Offriamo una garanzia soddisfatti o rimborsati e anche un periodo di prova gratuito riservato ai nuovi clienti». Questa la frase che rassicura gli acquirenti su un sito di e-commerce ai confini della legalità testato da Panorama. Una web vetrina che commercializza kit per hacker fai da te. Software che possono essere acquistati liberamente tramite un sistema di pagamenti virtuali. Con pochi clic si comprano programmi in grado di infettare altri computer, rubare i dati memorizzati al loro interno o mettere fuori uso una pagina web al costo di appena 45 euro. «Tutto il materiale è per scopi educativi, non siamo responsabili per eventuali usi illeciti» recita una piccola nota, un semplice stratagemma usato dai gestori per scaricare ogni colpa sugli acquirenti.

Di indirizzi così sul web ormai se ne trovano parecchi mentre da alcuni «forum pirata», con un po’ di pazienza, si riesce a scaricare gli stessi software addirittura a costo zero. Non solo: le istruzioni dettagliate per utilizzarli sono pubblicate persino su Youtube, dove alcuni video che spiegano come improvvisarsi hacker superano il mezzo milione di visualizzazioni. Insomma, se gli attacchi informatici sono diventati una notizia quotidiana o quasi, è perché gli strumenti per sferrarli sono usciti dai sotterranei della rete e sono sempre più facili da trovare. Anche da internauti che decidono di prendere di mira il sito di una squadra di calcio (è successo al Chievo Verona e all’Udinese), sabotare le Quirinarie o rendere pubblico il contenuto delle mail dei parlamentari di un partito, come nel caso del Movimento 5 stelle.

Non è immune nemmeno Facebook, dove è stata appena scoperta una pagina che offriva kit per sottrarre i dati bancari a vittime ignare. Anzi, i social network sono luoghi perfetti per le azioni dei cybercriminali: l’esempio più clamoroso è la violazione dell’account Twitter dell’agenzia di stampa Associated Press: un gruppo di hacker siriani ha annunciato il finto ferimento del presidente Barack Obama con immediate conseguenze sulla borsa di Wall Street e ha anche violato tutti gli 11 account Twitter del quotidiano inglese The Guardian. In generale sta esplodendo il «twishing», un’invasione di messaggi privati e cinguettii infarciti con link pericolosi per la sicurezza dei nostri dati.

Certo, generalizzare sarebbe un errore, gli hacker non sono tutti uguali e non sono tutti pericolosi. Di sicuro sono in costante aumento: ci sono quelli amatoriali, che usano il fai da te per spiare la moglie, l’amante o i figli. Ma il vero pericolo arriva dai «cracker», delinquenti digitali che mettono il profitto al primo posto e offrono i loro servizi in affitto. Panorama, scandagliando il lato oscuro del web, ha scoperto le loro tariffe: fino a 300 euro per ottenere la password di un indirizzo di posta elettronica e 350 euro per violare un account di Facebook. Pagamento alla consegna: con chi si presenta come «squadra infezione» o «buco nero» non è prudente fare i furbi.

Poi ci sono gli «hacktivisti», che si coalizzano intorno a una causa o colorano le loro azioni di significati etici, come «Anonymous», collettivo inserito dal settimanale Time tra le personalità più influenti del 2012. Gli hacker che lavorano per le grandi aziende rafforzano invece le misure di sicurezza e scoprono eventuali falle nei sistemi, quelli assoldati dai governi mettono sotto controllo i sospettati durante un’indagine o per azioni di spionaggio contro altri paesi: la Cina, da questo punto di vista, pare essere in prima linea da tempo. La rete è il nuovo fronte da proteggere anche nel campo della sicurezza nazionale. Basti pensare che il primo provvedimento firmato dal presidente americano Barack Obama dopo la sua rielezione è stato un Executive Order sulla cybersecurity e la creazione di una nuova forza di polizia in stile Cia e Fbi per proteggere al meglio le infrastrutture critiche nazionali dagli attacchi provenienti dal cyberspazio.

Lo spettro è ampio e chiama in causa differenti livelli di competenze: si va dagli «script kiddie», epiteto che è un mezzo insulto e in gergo identifica i parassiti che sfruttano software elaborati da altri, a «organizzazioni che creano a loro uso e consumo programmi di una complessità inaudita. D’altronde esistono minacce molto raffinate e in continua evoluzione» spiega Marco Bavazzano, direttore delle strategie di sicurezza per il Sud Europa della Symantec, azienda impegnata a livello mondiale nella protezione dei dati e delle informazioni. Tecnica di nuova generazione è il «watering hole»: si studia a fondo la potenziale vittima, si capisce quali siti web tende a frequentare o possono essere di suo interesse e li si infetta infarcendo le pagine di «trojan» e altre minacce anziché ricorrere a tranelli come il «phishing», ricetta da vecchia scuola e più facile da individuare. «Chi sceglie questa tattica si comporta come un predone nel deserto che, anziché andare a cercare i viandanti tra le dune, li aspetta in agguato nell’oasi dove saranno obbligati a entrare per fare scorta d’acqua» spiega Bavazzano.

L’oasi è il sito infetto e, una volta dentro, i danni per il visitatore saranno enormi. Non va meglio quando si è presi di mira da una «botnet»: una rete di computer controllati da un’unica mano che sovraccarica di richieste le pagine web finendo per renderle inaccessibili a chiunque. Gli hacktivisti usano queste azioni per fini dimostrativi o di protesta: ne sono state vittime nei mesi passati il Vaticano come l’Fbi, Equitalia come Trenitalia. I cracker danno invece vita a una sorta di pizzo virtuale, prendendo in ostaggio e mandando offline interi portali di e-commerce: se il gestore non paga subito una cifra stabilita, i clienti non possono fare acquisti e le perdite economiche aumentano di minuto in minuto. Ma se antivirus e strumenti analoghi aiutano a difendersi, «nessuno sarà mai protetto al 100 per cento.

Potrai ridurre i rischi a un livello accettabile, però non potrai rimuoverli del tutto» scrive con una punta di enfasi Kevin Mitnick, uno degli hacker più famosi della storia, nel suo bestseller Ghost in the wires («Un fantasma nei fili»). Nel libro racconta le sue imprese, la sua capacità di violare qualsiasi sistema, inclusa la radio usata dalla McDonald’s per prendere le ordinazioni degli automobilisti. E scorrendo le cronache di questi ultimi anni, ricordando gli episodi che hanno colpito colossi come la Sony, social network come Linkedin, portali come Yahoo! e colossi come Google, c’è da pensare che Mitnick non stia affatto esagerando.

È proprio quest’aura a metà tra la spavalderia e l’invisibilità a rendere gli hacker anche affascinanti per il grande pubblico. Perfetti antagonisti per gli eroi del momento, come nel film Iron Man 3, dove riescono a intrufolarsi persino nel telefono cellulare del presidente degli Stati Uniti. Artefici di minacce concrete e non solo fantascientifiche per la stabilità dei governi, al punto che già nel giugno del 2011 Leon Panetta, all’epoca direttore della Cia, suonava l’allarme: «La prossima Pearl Harbor potrebbe benissimo essere un attacco informatico che paralizza la rete elettrica americana, la sua sicurezza e i sistemi finanziari». Toni apocalittici, presagio di una cyberguerra che prima o poi potrebbe travolgerci. Bavazzano rincara la dose sul fronte economico: «Oggi l’informazione digitale rappresenta circa il 40 per cento del valore di un’azienda. Una compromissione o una perdita di questa ricchezza può determinarne il fallimento».

Il Clusit, l’associazione italiana per la sicurezza informatica, nel suo rapporto 2013 scrive che nel nostro Paese appena il 2 per cento della popolazione «dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure». Aggiunge che «usiamo tanto e male le tecnologie, il che ci espone a rischi enormi». Non a caso il nostro Paese è al settimo posto nel mondo per la quantità di software illegali generati (siamo messi peggio della Russia…) e spesso i cybercriminali non devono elaborare tecniche troppo raffinate per incastrarci nella loro rete: più di una volta documenti riservati sono stati pubblicati online assieme a pericolosi virus. Chiunque li visualizzava, veniva contagiato e i suoi dati ben visibili ai pirati. Oggi potrebbe succedere lo stesso mentre andiamo a curiosare nelle mail violate di qualche parlamentare o magari mettiamo il naso nel conto in banca del nostro vicino di casa svelato da un sedicente paladino della trasparenza. Per quanto le minacce si possano evolvere, c’è qualcosa che non cambia mai: la nostra ingenuità, da sempre l’alleato numero uno di qualsiasi hacker.

Leggi Panorama on line

© Riproduzione Riservata

Commenti