Sicurezza

Il Crime as a Service, problematiche di sicurezza nel terzo millennio

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Alla diffusione di Internet nel nostro Paese non è corrisposta una pari consapevolezza dei rischi cui ci si espone utilizzando gli strumenti del Web, senza conoscerli. E gli hacker non sono più quelli di una volta. L’esperienza di Raoul Chiesa e Fabrizio Sensibile

“Cosa c’è di più semplice (e rischioso, ndr) che collegarsi a Internet senza porsi problemi? Senza farsi domande? E’ proprio necessario tenere aggiornato il sistema operativo fino all’ultima patch? Configurare attentamente il firewall e aggiornare il software antivirus? Ma sì, più o meno… A me non è mai successo nulla di grave”.

Questa frase potrebbero averla detta in moltissimi nel nostro Paese. E proprio atteggiamenti come questo e l’ignoranza diffusa riguardo i reali pericoli della Rete hanno portato l’Italia a mettere a disposizione il 30% delle risorse hardware/software per il successo di una delle ultime Botnet, rispetto al 60% degli Usa: un’enormità, considerate le differenze di popolazione e territorio. E nella percezione comune sopravvive ancora (è giusto che sia solo un pochino così), l’idea che il mondo degli hacker sia ‘ethical’, che gli attaccanti che bucano i sistema di sicurezza delle aziende, lo facciano ancora solo per dimostrare di essere i più bravi, o al massimo per evidenziare le lacune dei sistemi.

“Non è più così – spiega Raoul Chiesa, consulente unico di Cyber Crime per l’agenzia Onu Unicri, in occasione di un incontro organizzato da Websense sono finiti i tempi in cui due gruppi di teenager per una semplice offesa facevano cadere le reti di At&T, e quelli in cui Poulsen manometteva i centralini delle trasmissioni per aggiudicarsi 6 Porsche e regalarne 3 agli amici“. E lo spiega, in cifre, anche l’Hacker Profiling Project, una ricerca sostenuta da Unicri, curata anche da Chiesa, in prima persona. E’ un progetto teso a individuare l’identikit degli attuali hacker e identifica Cyber Warrior, Industrial Spy e Government Agent, come le figure più pericolose in azione, protagoniste dell’attività criminale hacker dal 2000 in poi, quando si sono aggiunte rabbia, voglia di denaro, quando si è capitato che anche al servizio della politica si sarebbero potuti fare tanti soldi ed è in pratica terminata l’età dell’innocenza. Ora del tutto defunta, se si pensa che la merce di pagamento in alcuni casi è diventata la cocaina.

raoul.png

Raoul Chiesa, Consulente Unicri

Per essere chiari: Droga, Armi e tratte umane, da sole, generano meno fatturato rispetto agli “hacker cattivi” che non hanno più il cappellino di traverso e lo skateboard, ma sono in giacca e cravatta, e con le scarpe costose spaiate per far vedere che se ne possono permettere due paia alla volta, utilizzano come testimonial delle proprie malefatte sul Web avvenenti modelle, organizzano party in ville hollywoodiane. Si affidano a forza lavoro recelutata tra Russia, Ucraina, Romania, ma anche l’Egitto e gli altri paesi dell’Africa del Nord e infine la Cina che dispone di hacker esperti nello spionaggio politico: i soldi e la collusione con il potere sono i fini unici degli hacker, oggi, in oltre il 90 percento dei casi.

Fabrizio Sensibile, Ethical Hacker e Ict Security Expert in forze a Mediaservice.net e Isecom – incontrato come ospite di Trend Micro – fa eco alle parole di Chiesa con un intervento sugli stessi toni: “Sulle bacheche online è facile trovare annunci di personaggi senza scrupoli disposti ad assoldare manovalanza per attaccare aziende concorrenti e impadronirsi o danneggiare i relativi database”. La criminalità, ben cosciente delle difficoltà tecniche legate alla gestione di server, o all’infezione di pagine web, preferisce ‘affittare un servizio’. In questo modo i criminali ottengono direttamente da altri criminali (Criminal-to-Criminal, C2C) i dati (carte di credito, dati d’accesso a conti bancari o a web server e altro)”. Sono poi disponibili in commercio veri ‘kit pre a porter di malware‘ – così li definisce anche Chiesa – per le più svariate finalità, venduti anche in bundle completi di aggiornamenti, oppure macchine in grado di fabbricare carte di credito contraffatte, perfette, a poco meno di 30.000 euro. Un buon attacco ‘0 days’ può costare una paio di migliaia di euro.

fabrizio-sensibile.png

Fabrizio Sensibile, Ethical Hacker e Ict Security Expert

E la criminalità organizzata è ora in cerca di ‘muli‘: non solo Script Kiddies (apprendisti, si inizia ancora tra i 10 e i 15 anni), ma anche adolescenti o anziani poco consapevoli che si prestano a movimentare denaro nei più svariati modi sui propri conti, dopo essere stati adescati via email, ovviamente. Per quanto i trend dei report più attuali sottolineano come, oggi, la sicurezza (e la fedina penale, se ci si presta ad attività illecite), non siano più tanto minacciate dagli allegati infetti, ma dal Phishing e più semplicemente dalla navigazione sul Web, senza l’installazione di soluzioni di content filtering e analyzing. Secondo Scansafe, nel terzo trimestre del 2009, il 74% dei software nocivi si è diffuso tramite pagine Web. Basta un sito – anche sano – poco protetto, per essere catapultati letteralmente all’inferno, senza accorgersene. E in gioco non ci sono più i numeri delle carte di credito – troppo facile e dallo scarso valore – ma i CVV (i codici riservati, per l’utilizzo della carta che – allibiti – anche alcuni form di albergo chiedono di lasciare segnato nero su bianco su carta, quando si fa check-in) e prossimamente – potente starne sicuri – i PIN con cui i principali istituti, stanno cercando di innalzare le barriere di sicurezza. Per non perdere la faccia – e l’identità – ci vuole solo tanta prudenza, avvedutezza, la consapevolezza di quello che si sta facendo navigando sul Web, un po’ meno fiducia cieca nei social network, ma soprattutto la buona volontà di aggiornare sempre browser, sistema operativo, software antivirus, adottare un buon firewall e magari scegliere un buon libro per conoscere il Cybercrime, in fondo su Internet ci mettiamo davvero… in gioco.