nume.it

Percepire, creare, divenire...

Hackers, Ingegneria sociale e crimini informatici

a cura di Maurizio Carrer
Sommario
  • Credenze diffuse
  • Hacking
  • Cracking
  • L’ingegneria sociale
  • Un caso famoso
  • Il phishing
  • Come difendersi?

Il tema dell’hacking è oggi molto diffuso, ci fa riflettere sul fatto che i nostri dati non sono poi tanto al sicuro come comunemente pensiamo. Spesso però  confondiamo la figura dell’hacker con quella del cracker, attribuendo ad entrambi la figura di “pirata informatico”, e cioè quella di un delinquente tecnologicamente evoluto che si arricchisce rubando numeri di carta di credito, codici di accesso per conti correnti online, eludendo o forzando i sistemi di sicurezza. La differenza invece è rilevante: un hacker non è una figura negativa, è una persona con spiccate capacità tecnico-informatiche, molto intelligente, curiosa, che ama esplorare in profondità, andare oltre le apparenze, che di solito ama mettere a disposizione di tutti le sue scoperte. Perciò un hacker non si accontenta dell’utilizzo di un software, ma vuole capirne le logiche di fondo, lo disassembla, evidenzia lacune e difetti, immagina una soluzione migliore e più efficiente. E’ una persona alla ricerca del software perfetto. Per questo predilige la filosofia open source rispetto al mondo delle multinazionali del software, che creano programmi blindati e chiusi con le logiche della licenza d’uso e destinati perlopiù ad un pubblico di utilizzatori passivi. Spesso l’hacker per mettere alla prova le sue capacità e per testare il sistema che ha di fronte ne forza divieti e password, ma non lo fa con lo scopo di delinquere, anzi spesso segnala le lacune proprio al creatore del software, offrendo aiuto nella sistemazione del problema.

Hacking

Recentemente ho subito il defacciamento di un mio sito web. L’hacker in questione cioè si è introdotto illecitamente nel mio server web sostituendo alcune pagine (di solito gli attacchi si limitano alla homepage) con altre a suo piacimento. Certo la cosa oltre ad essere fastidiosa mi ha anche arrecato dei danni. L’autore del gesto mi ha comunque lasciato la sua email, e così ho potuto conoscere il motivo dell’azione criminosa: voleva dimostrarmi quanto fosse fallibile il server, e certamente lo ha fatto nel modo più violento. Però mi ha anche mandato la soluzione tecnica per renderlo più sicuro da possibili azioni future che avrei potuto ricevere da altri. Sbollita l’arrabbiatura iniziale ho potuto rendermi conto di quanti preziosi consigli ho potuto ricevere proprio dall’autore dell’attentato alla sicurezza del mio sistema. Persino Bill Gates, noto acerrimo nemico degli hackers, ne ha riconosciuto l’utilità perché grazie ai loro ripetuti attacchi hanno contribuito a rendere più sicuri i sistemi Windows.  Un caso italiano di hacking è quello di Salvatore Aranzulla, un brillante quindicenne che ha scoperto falle sui siti di Microsoft, Google e Yahoo! Tutti gli episodi sono pubblicati e documentati sul suo sito http://www.salvatore-aranzulla.com, la sua attività è servita a rendere più sicuri i server e a saperne di più in tema di sicurezza informatica.

Cracking

Molto diversa è la figura del cracker, che invece cerca di eludere i sistemi di protezione a scopo di lucro, rubare segreti aziendali, carte di credito e quant’altro gli capiti a tiro. A volte gli hackers, sedotti dal proprio talento informatico e dalla conseguente possibilità di fare soldi facilmente, si cimentano in attività di cracking ma scoprono subito a loro spese che servono abilità diverse. Sembra paradossale ma quasi sempre gli hackers sono dotati di competenze informatiche superiori ai crackers, che a prima vista pare ne avrebbero più bisogno, non credete? Il motivo è semplice: i crackers portano a termine le loro azioni criminose utilizzando tecniche molto più efficaci della pura abilità informatica: la più importante è l’ingegneria sociale. Una diffusa credenza descrive il cracking (come detto spesso confuso con l’hacking) come una sofisticatissima guerra tecnologica, con ingegneri aziendali dotati di costose apparecchiature da una parte e giovani criminali super-esperti dall’altra, che operano dalle cantine di palazzi di periferia, con computer assemblati e altri strumenti fatti in casa. Se lo scenario fosse veramente questo, è facile prevedere la conclusione: le aziende descritte come vittime sono enormemente più forti: vi lavorano infatti i migliori cervelli informatici del mondo, spesso sono proprio ex-hackers reclutati con contratti milionari. Altra credenza esistente: i sistemi di sicurezza informatica fanno acqua da tutte le parti. I massmedia ci raccontano spesso di ragazzini terribili che mettono in ginocchio le multinazionali del software. La cosa è vera solo in parte. Le aziende investono sostanziosi budget nella sicurezza informatica e hanno sempre a disposizione come già accennato le migliori risorse umane e le tecnologie più sicure e raffinate. La guerra insomma, pare già vinta in partenza. E allora? Molto meglio lavorare e sfruttare le debolezze del fattore umano: gli esseri umani che controllano le macchine sono sicuramente molto più vulnerabili.

L’ingegneria sociale

L’ingegneria sociale è quella disciplina che prevede lo studio di un sistema sociale nel suo complesso (macchine e uomini) per capirne a fondo le dinamiche. Il social engineer prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire. Questa fase, chiamata tecnicamente footprinting può durare parecchi mesi. Durante questo periodo il cracker studia e impara i sistemi di comunicazione aziendali, come funziona la posta interna, l’organigramma aziendale, giorni e orari di pulizia. Frequenta gli uffici aziendali, magari consegna buste, caffé, acqua. Conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti. Manda e-mail, telefona, si informa, magari finge di essere un utente inesperto che ha smarrito una password, o manda un’offerta di un nuovo firewall per aumentare il sistema di sicurezza, conoscendo nel frattempo il funzionamento dell’attuale. L’ingegneria sociale ci insegna vari sistemi per ottenere una password di sistema. Spesso la soluzione è veramente più semplice di quanto possiamo immaginare: di solito basta chiederla nei modi e nelle procedure aziendali corrette alla persona giusta, altre volte basta sapere dov’è tenuta nascosta, altre ancora possiamo provare con tentativi mirati. Il primo problema per un possessore di password è ricordarsela, per cui nella stragrande maggioranza dei casi le password create sono legate alla vita personale: date di nascita, nome dei figli o del partner, il numero telefonico di casa, la squadra del cuore, il film preferito ecc. Tutte informazioni accessibili al social engineer.

Kevin Mitnick: un  caso famoso

Kevin Mitnick, conosciuto in rete come il condor, nasce in California nel 1963 e comincia la sua attività come hacker nei primi anni 80. Diventa famoso grazie a delle imprese leggendarie: riesce facilmente ad introdursi illegalmente nei sistemi informatici delle grandi compagnie: Arpanet, Bell’s, Digital, Sun, Apple, Motorola sono solo alcune delle sue vittime più note. Ruba codice software e manuali d’informatica per accrescere la sua cultura e per testare la propria competenza. Siamo agli albori dell’informatica moderna, Internet così come lo conosciamo oggi non esiste ancora, la telefonia mobile muove i suoi primi passi. Kevin diventa un esperto di sistemi di telecomunicazione, conosce già le falle che gli consentono di telefonare gratis in tutto il mondo (phreaking) riuscendo a mascherare l’origine della chiamata. E’ un precursore dell’ip-spoofing, fondamentale tecnica oggi molto utilizzata dagli hackers su Internet, che rende invisibile l’autore.  Mitnick è una persona particolarmente sveglia e brillante, affascinato da tutte le tecnologie informatiche, è un hacker a tutti gli effetti, almeno fino a quando non rimane conquistato dai poteri dell’ingegneria sociale. Al termine del liceo continuò gli studi informatici presso il Computer Learning Center di Los Angeles. Dopo pochi mesi riuscì a penetrare in tutte le  procedure del sistema informatico IBM dell’Istituto e informò il corpo docente della fragilità del sistema. Fu chiamato dal preside il quale gli fece una proposta: o rendere il sistema sicuro, o essere espulso dalla scuola per averlo forzato. Un inconsapevole intervento in anticipo sulla futura politica di assunzione degli hackers che fecero le aziende qualche anno dopo. Naturalmente Kevin scelse la prima ipotesi e si diplomò a pieni voti. Negli anni successivi (fine anni 80 e inizio anni 90) approfondisce i suoi studi di ingegneria sociale, che lui definisce come “l’arte di convincere la gente a fare qualcosa che di norma non farebbe per un estraneo”. Pare che l’attività di Kevin Mitnick come social engineer abbia causato danni alle aziende per 80 milioni di dollari. Nel 1995 finì in carcere e ne uscì 5 anni dopo. Scrisse nel 2002 un interessante libro, The art of deception, uscito in Italia con il titolo L’arte dell’inganno dove descrive le varie tecniche di persuasione da lui utilizzate e sperimentate con successo. Una delle tecniche più efficaci operate dal social engineer consiste ad esempio nel rovistare nei cestini della carta degli uffici, alla ricerca di appunti, numeri di telefono, password appuntate ecc. In ogni caso Kevin Mitnick ha sempre respinto le accuse difendendo la sua natura di hacker. La sua dichiarazione di fronte al Congresso davanti ai senatori Lieberman e Thompson fu: “Ho ottenuto accesso non autorizzato ai sistemi informatici di alcune delle più grandi aziende del pianeta, e mi sono infiltrato con successo nei sistemi più inaccessibili mai sviluppati. Ho utilizzato metodi tecnologici e non per ottenere il codice sorgente di svariati sistemi operativi e strumenti delle telecomunicazioni, per studiarne la loro vulnerabilità e il funzionamento interno. Tutte queste attività servivano soltanto a soddisfare la mia curiosità innata, per vedere cosa ero in grado di fare e scoprire informazioni segrete su sistemi operativi, cellulari e tutto quanto mi stimolasse.”
Un personaggio davvero interessante, che unisce le tipiche competenze informatiche evolute dell’hacker ad approfondite conoscenze di ingegneria sociale, condendo il tutto con un pizzico di malizia: qualità davvero rare per una persona, quando ciò accade è un cocktail davvero micidiale. Le sue gesta ispirarono la sceneggiatura di un film di successo uscito nel 1983: Wargames, per la regia di John Badham.

Phishing

Chiunque lavori o usi Internet e la posta elettronica si imbatte giornalmente con esempi piccoli o grandi di ingegneria sociale, che ci invitano a compiere azioni che normalmente non faremmo mai. E’ relativamente semplice oggi per un bravo tecnico informatico poter spedire un email mascherando il reale indirizzo di provenienza, o realizzare una copia pressoché identica di un sito del quale ci fidiamo. Da qualche tempo circolano false email che sembrano  provenire da istituti di credito, il cui contenuto chiede all’utente di reinserire username e password del proprio conto corrente online su una pagina web che è la copia esatta del sito di riferimento. Una volta inseriti i dati del conto questi vengono inviati al cracker che si impossessa dei nostri codici. E’ una pratica chiamata phishing ma chiunque lavora con l’email sa che esistono molte altre truffe in circolazione. Alcune ad esempio ci invitano ad installare un programma per togliere un virus dal nostro computer, e per convincerci della buona fede ci chiedono di verificare la presenza di un determinato file del sistema operativo (che guarda caso esiste), indicato come presunto rivelatore dell’infezione in corso. Se seguiamo questo consiglio apparentemente spassionato ci ritroveremo con un programma installato nel nostro computer che consente al cracker di controllare tutto il contenuto della nostra macchina da remoto senza che ce ne accorgiamo. Senza renderci conto, abbiamo innescato noi il processo, per scarsa attenzione.

Come difendersi?

Come muoversi in questa giungla complessa? Da un lato occorre sempre proteggere il nostro computer con antivirus, antispam e firewall, ma soprattutto è bene tenere presente alcune regole di fondo:

  • Assumere sempre un atteggiamento diffidente su tutti i messaggi che provengono da persone non conosciute
  • Non alimentare le catene che invitano a rispedire il messaggio ad altre persone
  • Banche, Assicurazioni e altri istituti di credito non mandano mai comunicazioni via email che riguardano codici di accesso personale, quindi è bene cancellare ogni messaggio di questo tipo
  • Diffidate di soluzioni antivirus che provengono via email
  • Effettuate acquisti con carta di credito solo presso società conosciute e controllate che il processo di pagamento avvenga in una pagina che inizia con https:// e protetta da protocollo a 128 bit: si deve vedere cioè sulla barra di stato in basso a destra un lucchetto giallo chiuso, e un doppio clic del mouse dovrà mostrare tutte le caratteristiche di sicurezza della pagina e del certificato digitale in essa installato. Un altro motivo di sicurezza è la presenza su questa pagina del logo Verisign. Un clic sopra questo logo dovrà riportare al sito di Verisign Inc. ad una pagina con le informazioni relative al Fully Qualified Domain Name.

In ogni caso dobbiamo cominciare a cambiare il nostro immaginario collettivo rispetto alla figura del pirata informatico: anziché un ragazzo schivo e senza amici, secchione, davanti al computer per notti intere è più vicina alla realtà l’immagine di una persona brillante, con ottime relazioni sociali, esperto di comunicazione interpersonale e magari è dipendente part-time in un’impresa di pulizie.

««

Tag: