La sicurezza informatica

UNIVERSITÀ CARLO CATTANEO – LIUC
Facoltà di Giurisprudenza - A.A. 2008-09
La sicurezza informatica
Dispensa a integrazione del materiale didattico
dell’insegnamento di Informatica Giuridica
(Jennifer Moro)
CETIC
CENTRO DI RICERCA PER L’ECONOMIA E LE TECNOLOGIE
DELL’INFORMAZIONE E DELLA COMUNICAZIONE
HTTP://CETIC.LIUC.IT
INDICE
IT Security ........................................................................................................ 3
1. Le tipologie d’attacco .................................................................................. 3
1.1. SOCIAL ENGINEERING .......................................................................... 3
1.2. PHISHING e SPEAR-PHISHING ............................................................... 4
1.3. PHARMING ........................................................................................... 6
1.4. SPYWARE ............................................................................................. 8
1.5. IDENTITY THEFT .................................................................................. 9
1.6. TROJAN HORSES .................................................................................. 9
2. Le soluzioni a disposizione degli utenti ....................................................... 11
3. Le soluzioni offerte dal mercato ................................................................. 13
IT Security
1. Le tipologie d’attacco
Social engineering, phishing, pharming, spyware identity theft, Trojan horse…sembrano nomi
bizzarri alle orecchie di chi non ne hai mai sentito parlare, magari anche simpatici, ma qual è il
significato di tali termini? Essi sono i nomi di quelle che attualmente rappresentano le più pericolose
minacce alla privacy di chiunque utilizzi un computer collegato a Internet: si tratta, in sostanza, di
modalità di accesso non autorizzato ad informazioni personali dell’utente allo scopo di ricavare
denaro dallo sfruttamento di tali dati o di riutilizzarli per poter compiere crimini di diverso tipo, sia
online che offline, facendo in modo che le ripercussioni di queste azioni fraudolente non ricadano
sul reale colpevole ma sulla persona di cui sono state scoperte queste informazioni private.
Tali modalità di attacco alla privacy altrui sono escogitate da persone molto abili nell’utilizzo del
computer e specializzate nel convincere gli altri della veridicità delle loro parole. Il termine più
generale per indicare questi criminali è “hacker”, ma, a seconda del tipo di intrusione che scelgono
di mettere in atto, possono anche essere identificati come “social engineer”, “pharmer” o “identity
thieve”.
Ciascuna tipologia di attacco ha le sue tattiche e le sue caratteristiche. Conoscerle è molto
importante per poterle evitare ma purtroppo, al momento, molte di queste sono praticamente
ignote a coloro che non appartengono al gruppo degli esperti in questo ambito dell’informatica. I
loro nomi non rientrano nemmeno nei dizionari più recenti, quindi per capire di cosa si tratta forse il
metodo più diffuso (ma anche quello che arreca maggiori danni) è cadere in una delle trappole di
questi criminali e sperimentare sulla propria pelle cosa significano questi strani nomi.
1.1. SOCIAL ENGINEERING
Sono numerosi gli autori che nelle loro opere hanno cercato di fornire una definizione del
termine “social engineering”. Al Berg (1995) lo considera “un modo di ottenere informazioni (per
esempio una password) direttamente da una persona piuttosto che accedere segretamente
all’interno di un sistema”. Bernz (1999) invece definisce il social engineering come “l’arte e la
scienza di far compiere alle persone la nostra volontà”. John Palumbo (2000) lo considera “l’uso di
inganni psicologici verso gli utenti legittimi di un sistema di computer da parte di un hacker
intenzionato ad ottenere le informazioni necessarie per accedere al sistema”. Kevin Mitnick (2002),
autore di due libri che hanno come argomento il social engineering, lo definisce come “l’arte
dell’inganno”.
Si può affermare che il social engineering, a seconda dei casi, è descrivibile da ognuna di queste
definizioni. Ciononostante, gli esperti concordano tutti sul fatto che esso rappresenti un ingannevole
sfruttamento della naturale tendenza umana a fidarsi degli altri. Consiste infatti nel guadagnarsi la
fiducia delle vittime per acquisire informazioni usando le armi della familiarità e del fascino,
ricorrendo ad un gergo appropriato unito ad altre tecniche di persuasione.
Il criminale, che viene chiamato “social engineer”, cerca di ottenere tali dati contattando le
persone per telefono o sfruttando le risorse della rete e nella maggior parte dei casi, per
persuaderle, si finge un amministratore di un sito e richiede la password della vittima. In realtà, gli
amministratori di un sito web raramente, se non addirittura in nessun caso, hanno la necessità di
conoscere la password degli utenti per eseguire dei compiti amministrativi ma non tutti i navigatori
di Internet ne sono consapevoli e quindi facilmente cadono nella trappola tesa dai criminali.
Le vittime dei social engineer possono essere compagnie telefoniche, organizzazioni finanziarie,
banche e bersagli militari ma si possono verificare casi in cui vengano attaccate persone comuni.
Internet rappresenta un paradiso virtuale per questi criminali alla ricerca di informazioni
riservate anche a causa dell’abitudine, diffusa tra coloro che navigano in Internet, di utilizzare la
stessa password per accedere a diverse tipologie di servizi online, quali ad esempio i siti per la
compra-vendita, la casella di posta elettronica o i siti delle banche che permettono di controllare il
proprio conto corrente direttamente dal proprio computer. Questo però non fa altro che aiutare il
lavoro degli hacker che, una volta scoperta una password, riescono ad avere accesso ad un numero
di informazioni elevatissimo.
Il modo più diffuso per richiedere all’utente informazioni personali, tra cui password, è quello
dell’e-mail, apparentemente inviata dall’amministratore di un sito ma che in realtà è semplicemente
lo strumento per carpire dati personali, che in seguito saranno utilizzati per portare a compimento
azioni di diverso tipo, quali prelievi di denaro dal conto corrente, apertura di conti bancari sotto il
nome della vittima prescelta, intrusioni nella rete o spionaggio industriale.
Un altro metodo utilizzato dagli hacker è quello di installare delle finestre pop-up, cioè dei
riquadri che appaiono sul nostro schermo all’apertura di una pagina web e che sono creati con
l’intenzione di incrementare il traffico in rete o per rilevare informazioni, quali gli indirizzi e-mail. Tali
finestre possono essere usate dal social engineer con lo scopo di far reinserire all’utente la sua
password con la scusante di risolvere, in questo modo, un problema insorto.
Il problema più grande nella difesa contro questo tipo di attacco è rappresentato dal fatto che le
persone tendono a fidarsi degli altri e quindi rivelano quanto viene richiesto senza farsi troppi
scrupoli sulla veridicità di ciò che viene detto loro. Inoltre non sono molte le persone a conoscenza
dell’esistenza di tale tipo di truffa quindi questa scarsa consapevolezza non fa altro che aumentare il
rischio di rimanerne colpiti.
1.2. PHISHING e SPEAR-PHISHING
La parola “phishing” deriva dal termine inglese fish (=pesce), in cui ph- rappresenta la tipica
sostituzione a cui ricorrono gli hacker al posto della lettera f-. Essa fu coniata da un gruppo di
criminali che nel 1996, ricorrendo ad una tecnica che venne appunto definita “phishing”, riuscì a
ricavare delle password da un gruppo di utenti dell’America On-Line, un fornitore di accessi ad
Internet avente sede negli Stati Uniti.
Trattando questo fenomeno, bisogna fare una distinzione tra il “phishing” propriamente detto e
la tipologia di attacco sviluppatasi a partire dalla prima e chiamata “spear-phishing”. Entrambe sono
tecniche che, come una canna da pesca, cercano di fare cadere l’utente nell’imbroglio sfruttando,
per raggiungere il proprio scopo, un’esca: gli utenti vengono ingannati con l’utilizzo di un’e-mail
(che rappresenta appunto l’esca) per poter “pescare” dati personali 1 e password nel mare della
rete. Il testo di queste e-mail contiene dei facsimili o, addirittura, dei veri e propri documenti della
società, ottenuti attraverso la tattica del social-engineering.
I criminali che utilizzano le tecniche di phishing e spear-phishing possono essere ex-lavoratori
della società che apparentemente risulta aver inviato la lettera oppure venditori o persone che
hanno avuto accesso alle sedi fisiche dell’organizzazione.
Per phishing si intende un’e-mail, apparentemente inviata dal responsabile o da un
collaboratore di un sito a cui siamo iscritti, che ci invita a collegarci a tale sito effettuando
l’operazione di login, cioè inserendo il nostro username e la nostra password. Nell’e-mail è presente
un link che riporta l’utente ad un facsimile di un sito Internet a cui siamo iscritti, creato di proposito
1
Ai sensi dell’articolo 4, comma 1, lettera b del Codice della privacy, per dati personali si deve
intendere “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale”.
dai criminali in modo da assomigliare il più possibile all’originale affinché le vittime non si rendano
conto di questa sostituzione. Le informazioni di login fornite dagli utenti inconsapevoli sono salvate
dai criminali e successivamente riutilizzate per accedere all’account e commettere la frode.
Lo spear-phishing utilizza le tecniche proprie del social engineering per ottenere le
informazioni da un gruppo ben definito di potenziali vittime. Come conseguenza dell’uso di queste
tecniche, lo spear-phishing risulta essere più efficace del normale phishing. La differenza esistente
tra questo tipo di attacco alla privacy e il social engineering consiste nella modalità scelta dal
criminale per ottenere la password: il social engineer chiede esplicitamente all’utente di rivelargli la
sua password, adducendo come pretesto il fatto che tale parola chiave sia necessaria per risolvere
un problema sorto nella gestione dell’account dell’utente; con lo spear-phishing, invece, il criminale
non è così esplicito e si limita a rimandare al sito Internet di cui la vittima è utente abituale e lì
richiede di effettuare come di consueto l’operazione di login.
Se si conosce come il phishing funziona, allora si conosce anche il funzionamento di questa
sottocategoria ma il problema è che questa conoscenza non è sufficiente per poter evitare di cadere
nella trappola. Le tecniche di persuasione a cui ricorre lo rendono infatti molto credibile.
Il problema legato al riconoscimento dello spear-phishing concerne l’oggetto e il mittente delle
e-mail: essi non presentano niente di sospetto, anzi, hanno tutta l’aria di una normalissima e-mail
inviataci da qualcuno di cui ci fidiamo. Inoltre la loro circolazione non attira l’attenzione dei
programmi per l’eliminazione dello scam2 grazie all’apparente normalità dei dati contenuti nel
campo del mittente e nell’oggetto del messaggio, che quindi possono arrivare indisturbate nella
nostra casella di posta elettronica.
Il caso tipo di spear-phishing funziona in questo modo: una persona o un gruppo di persone
riesce ad ottenere, attraverso sotterfugi di diverso tipo (ad esempio ricorrendo a conoscenze
all’interno di una determinata società prescelta come ipotetico mittente delle lettere), un
documento societario che può essere usato come esca per ottenere informazioni di particolare peso
commerciale. Le vittime vengono convinte ad immettere il loro username e la loro password in un
sito fasullo o ad aprire un allegato che contiene altri programmi pericolosi, in grado di controllare le
mosse degli utenti della rete e di registrare le loro digitazioni. A questo punto, una volta che le
persone, ingannate da un mittente e da un oggetto familiari, cadono nella trappola, i criminali
riescono ad accedere a file personali o ad altre informazioni sensibili.
La differenza fondamentale tra il phishing e lo spear-phishing dipende dal gruppo di destinatari
delle e-mail che vengono inviate dai criminali: infatti nel caso del phishing il numero di persone che
le ricevono è davvero elevatissimo e sui milioni di vittime possibili, solo alcune diventano vittime
effettive. Lo spear-phishing, invece, dipende dall’abilità del criminale nel conquistarsi la fiducia di un
piccolo gruppetto di utenti, per un tempo sufficiente ad estorcere loro il maggior numero di
informazioni possibile. La scelta del gruppo di persone da colpire si può basare su diversi parametri,
anche se solitamente il criminale decide di inviare le e-mail ad un ridotto numero di persone che
lavorano in una grande società, le cui dimensioni non permettono un controllo totale sui dipendenti.
Apparentemente il mittente della mail è una persona che lavora nella stessa organizzazione e di cui
i dipendenti sanno di potersi fidare; se i destinatari, cadendo nella trappola, rivelano la loro
2
Con il termine “scam” si intende un tentativo di truffa effettuato attraverso l’invio di un’e-mail in cui
si richiede al destinatario di anticipare delle somme di denaro in cambio di grossi guadagni. Nell’email tipo si dice che è necessario trasferire del denaro da una banca estera che però chiede come
garanzia la cittadinanza e un deposito cauzionale. La ricompensa consisterebbe in una percentuale
del denaro recuperato. Un altro esempio di e-mail promette una vincita alla lotteria ma per poter
ritirare il premio si deve versare una tassa.
password al mittente della mail, il criminale riesce ad accedere all’interno della rete
dell’organizzazione prescelta come bersaglio.
A differenza del social engineering, che si può praticare sia online che offline (ricorrendo
rispettivamente all’uso di Internet e all’uso del telefono), il phishing e lo spear-phishing hanno
eletto come strumento chiave di tali criminali l’e-mail.
Per meglio comprendere la tipologia di e-mail infetta da phishing, guardiamone un esempio (Fig.
1)
• Il campo del mittente, nella fig. 1 affiancato dal numero uno, sembra essere occupato dal nome
della compagnia menzionata nell’e-mail.
• L’e-mail conterrà molto probabilmente il logo o delle immagini che sono state scaricate dal sito
web della compagnia prescelta. Il logo della compagnia (nella fig. 1 affiancato dal numero due)
in realtà non è quello originale: presenta dei segni che ci dovrebbero far rilevare la presenza
dell’inganno, come per esempio errori di spelling, segni di percentuali, numeri o la chiocciola
(@) che lo accompagnano.
• L’e-mail conterrà un link attivo ( nella fig. 1 classificato con il numero tre). Una volta che si clicca
sul link, comparirà l’indirizzo del sito web a cui verremo condotti (nell’immagine l’indirizzo si
trova in basso a sinistra). Naturalmente il sito non corrisponde alla pagina web legittima
dell’organizzazione scelta come esca per perpetrare l’inganno. In questo caso il testo del link è
la parola here (= qui), ma gli autori delle mail avrebbero potuto scegliere di ricorrere ad
alternative ancora più fuorvianti, ad esempio “Login a Citibank” o www.citibank.com/secure.
Fig.1: esempio
di phishing via
e-mail
La pericolosità di questo attacco è perciò evidente e probabilmente questa è la ragione per cui
nell’ultimo anno è risultato essere la più grande minaccia alla sicurezza online (Communications of
the ACM, 2005).
1.3. PHARMING
Il termine “pharming” indica una pratica criminale che consiste nel modificare la richiesta
dell’utente per aprire un determinato sito web in modo tale che al posto della pagina legittima
compaia sullo schermo del suo pc un sito Internet fraudolento, all’interno del quale gli artefici della
pagina, chiamati “pharmer”, possono venire a conoscenza di informazioni personali relative alle loro
vittime.
E’ un attacco simile al phishing ma la sua pericolosità è maggiore (Communications of the ACM,
2005; Jones, 2005). In entrambe i casi i criminali cercano di accedere ad informazioni personali
degli utenti della rete sfruttando un sito fasullo ma si differenziano nel modo in cui conducono le
vittime in tale sito. I pharmer rubano il nome del dominio di un sito, quindi l’indirizzo Internet che
compare sul nostro browser appare corretto, ma lo username e la password saranno inseriti
all’interno del server di qualcun altro. In questo modo i criminali cercano di accedere ai conti
correnti bancari e ad altre informazioni personali delle persone che cadono nel loro inganno.
La vittima del pharmer può essere chiunque utilizzi una connessione Internet. Le informazioni
che il pharmer cerca di ottenere sono in sostanza le stesse a cui aspirano coloro che ricorrono al
phishing, ovvero le password di accesso ai siti e le informazioni personali.
Il pharming può avvenire in quattro diversi modi (Tellervision, 2005):
1) Imbroglio del nome del dominio: il criminale trae vantaggio da un errore di spelling compiuto
dall’utente nel digitare l’indirizzo del sito a cui voleva accedere ed induce quindi a visitare il sito
appositamente costruito da lui. Ad esempio, se un utente al posto di digitare l’indirizzo
anybank.com, per errore digita anybnk.com, accederà ad un sito fasullo costruito dal pharmer.
2) Malware (software malevolo): il pharmer infetta il computer di un utente o di un’organizzazione
con un software malevolo, che automaticamente indirizza il browser verso un sito il cui nome ed
aspetto assomigliano molto a quello legittimo, e contenente i link iniziali che richiedono le
informazioni del possessore dell’account.
3) Furto di dominio: un dominio è un indirizzo Internet che serve a localizzare un determinato sito
sulla rete. Il dominio è associato ad un indirizzo numerico (l’indirizzo IP, Internet Protocol). Per
rendere più semplice l’associazione tra dominio e indirizzo IP sono stati creati i DNS (Domain Name
System= sistema dei nomi dei domini ), cioè un sistema che si occupa di convertire un indirizzo
numerico nel nome corrispondente e viceversa. La conversione degli indirizzi IP sotto forma di
nome consente alle persone di ricordare più facilmente l’indirizzo del sito Internet che vogliono
visitare. Nel caso del furto di dominio, il pharmer entra in possesso del sito web legittimo di una
compagnia e indirizza tutti gli utenti di tale sito verso quello illegittimo. Il criminale si può
appropriare del nome del dominio in due modi:
a) domain slamming (chiusura del dominio): il TLD (Top Level Domain) è la parte finale di un
dominio ed è un suffisso che può indicare l’appartenenza ad una certa area geografica (ad esempio,
il TLD “.it” che segue il sito www.virgilio.it indica che tale dominio appartiene all’Italia). La gestione
dei domini aventi lo stesso TLD è affidata ad un’organizzazione chiamata “Registry”. Il “Registrar” è
invece un’organizzazione che viene incaricata dal Registry per registrare i domini. Nel caso del
domain slamming, i pharmer modificano l’indirizzo IP di un dominio, mantenendo però lo stesso
nome. Perciò gli utenti del sito apparentemente si collegheranno alla pagina che hanno richiesto ma
in realtà verranno indirizzati verso un altro Registrar. Il pharmer è quindi in grado di modificare le
istruzioni di instradamento per indirizzare la vittima verso un server illegittimo, senza che il
malcapitato se ne accorga.
b) domain expiration (scadenza del dominio): i nomi dei domini sono affittati per un anno ma
può capitare che sorga un errore nella gestione del processo di affitto. In altre parole, una persona
o un’organizzazione registrano un dominio e lo usano per un determinato periodo di tempo. Se alla
fine di tale periodo dimenticano di rinnovarlo, il dominio può essere registrato da un'altra persona.
Il vantaggio di sfruttare la dimenticanza del primo proprietario per rilevare il dominio piuttosto che
aprirne uno nuovo è che ci possono essere dei collegamenti ipertestuali già esistenti in altri siti che
rinviano alla pagina web che in precedenza occupava il dominio. In questo caso, per recuperare i
domini persi, si deve fare ricorso all’aiuto della legge.
4) Avvelenamento del Domain Name System (DNS): questa è la pratica più pericolosa di pharming.
Il sistema dei nomi dei domini si può considerare come una mappa stradale di Internet. Quando un
utente inserisce ad esempio l’indirizzo www.anybank.com nella barra del suo browser, il sistema dei
nomi dei domini traduce il nome in un indirizzo IP (Internet Protocol), che fornisce le indicazioni di
instradamento del messaggio. Dopo che il server DNS ha fornito questo indirizzo, sullo schermo
dell’utente comparirà il sito dell’anybank. I pharmer possono “avvelenare” i server DNS locali
manomettendoli in modo che gli utenti vengano mandati ad un sito diverso da quello richiesto.
Questo avvelenamento può derivare da una sbagliata configurazione, dalla vulnerabilità della rete o
da software malevoli installati sul server.
Come si può desumere da questa descrizione delle tattiche di attacco dei pharmer, il pharming è
più complesso rispetto al phishing e richiede un livello di sofisticazione tecnologica più elevato. La
sua identificazione è molto complessa, anche perché si può presentare sotto forme diverse.
Difendersi da questo tipo di attacco è dunque molto difficile ma è fondamentale cercare di fermare
in qualche modo la sua diffusione.
1.4. SPYWARE
Spyware è un termine che viene usato per indicare due categorie differenti di programmi
informatici: la maggior parte dei programmi di spyware appartiene alla categoria più benigna di
programmi che rilevano le abitudini di navigazione degli utenti allo scopo di inviare loro, in un
momento successivo, pubblicità mirata. Il resto dei programmi di spyware rientra invece tra la
categoria dei “cattivi”: sono dei software in grado di ricavare informazioni che vengono in seguito
utilizzate per perpetrare furti di identità e crimini di tipo finanziario (Hu e Diney, 2005). Coloro che
traggono benefici dalla presenza di tali programmi in milioni di computer nel mondo non sono i
possessori del pc o gli operatori della rete, bensì i loro produttori.
Per quanto riguarda il tipo di vittima degli spyware, non esistono categorie precise: chiunque
può diventare un possibile bersaglio, sia che si tratti della tipologia benigna di spyware sia che si
tratti di quella maligna.
Gli spyware, grazie alla nascita di una rete mondiale, hanno trovato un modo per comunicare
una risposta ai loro produttori.
A differenza dei virus del computer, che provocano panico tra gli utenti informatici, questo tipo
di attacco sembra non generare paure. Molti utenti si dimostrano disposti ad accettare lo spyware
come il prezzo da pagare per ottenere gratuitamente programmi e per poter usufruire di programmi
destinati alla condivisione di file. Altri invece sono solo inconsapevoli della loro esistenza e quindi
dei conseguenti rischi che possono correre. In realtà i danni che gli spyware possono arrecare sono
tanto gravi quanto quelli provocabili da un virus informatico e ciò che è ancor più preoccupante è
che liberarsi dei primi non è certo meno complicato di quanto non sia l’eliminazione dei virus. Anzi,
a volte la rilevazione di un’intrusione, la difesa e la disinfestazione possono essere addirittura più
complicate. La maggior parte degli anti-virus esistenti non è in grado di individuare l’esistenza di
spyware e molti programmi di spyware hanno un componente che permette di farli reinstallare
automaticamente nel caso venissero rimossi. E’ dunque necessario un particolare tipo di software
anti-spyware per eliminare il problema. Nei casi più fortunati, la loro presenza all’interno del
computer può manifestarsi attraverso un nuovo bottone misteriosamente apparso sulla barra degli
strumenti del nostro browser o sotto forma di una strana icona ma l’utente non sempre nota tali
cambiamenti. A volte, infatti, non vi sono indicazioni visibili della presenza di questi software, che
quindi agiscono indisturbati.
Hu e Diney hanno proposto una scala di priorità tra i fattori che permettono una difesa contro gli
spyware. Al primo posto gli autori dell’articolo collocano la consapevolezza: essi sostengono, infatti,
che se gli utenti sono a conoscenza dell’esistenza degli spyware e della loro pericolosità, avranno
molto probabilmente una propensione ad agire in loro difesa e, una volta colpiti da questi,
cercheranno di sbarazzarsene in ogni modo. Il problema maggiore riguarderà invece coloro che non
hanno questa consapevolezza: non essendo a conoscenza dell’esistenza del problema, non si
preoccuperanno di prepararsi a combatterlo.
Nella graduatoria di Hu e Diney, il secondo posto è occupato dalla fiducia nell’utilità degli antispyware. Gli utenti infatti devono essere convinti che gli anti-spyware siano necessari.
A seguire, nella scala delle priorità vi è poi la sicurezza che si tratti di programmi di facile utilizzo
e che la loro azione possa essere sorvegliata dal possessore del computer. Infatti se un utente è a
conoscenza dell’esistenza degli spyware e ne ha rilevato la presenza nel suo computer ma non ha
idea di come usi un programma di anti-spyware, i danni che egli può provocare con un utilizzo
scorretto possono superare quelli che gli spyware avrebbero arrecato, se lasciati agire indisturbati.
1.5. IDENTITY THEFT
L’identity theft o furto di identità consiste nel furto di informazioni personali di un utente allo
scopo di utilizzarle per commettere azioni fraudolente.
Le azioni che i ladri di identità possono commettere si dividono in due gruppi:
- i criminali, chiamati “identity thieve”, ricorrono al furto di identità per ottenere carte di credito
e prestiti intestati ad altri individui per poi spendere i soldi senza ripagare i conti (dal momento che
le ricadute non riguarderanno la loro persona);
- i ladri di identità sfruttano il nome di altri per commettere crimini di diverso tipo nel mondo
offline, come ad esempio immigrazioni illegali, terrorismo, spionaggio o cambio permanente di
identità.
Questo è un crimine molto pericoloso e cadere nella trappola tesa dagli identity thieve può avere
conseguenze enormi. Chiunque può diventare una vittima di questi criminali e ad aggravare la
situazione vi è la difficoltà di dover dimostrare che quanto è avvenuto non è dipeso da noi ma da
qualcuno che fingeva di essere noi. Un esempio esplicativo a questo proposito è il caso riportato da
un articolo del Fortune di settembre, il cui protagonista è un ventiduenne in cerca di un lavoro che,
contattato da un tale dichiaratosi disposto ad offrirgli un ottimo posto nella sua agenzia
assicurativa, si è invece trovato vittima di un furto di identità. Dopo aver infatti fornito al presunto
datore di lavoro informazioni personali, quali nome, cognome suo e della madre, data di nascita e
estremi del conto bancario, si è trovato a dover giustificare l’apertura di nuovi conti bancari sotto il
suo nome con un bilancio in rosso. Alla facilità con cui la sua identità è stata clonata hanno fatto da
contrappunto le difficoltà incontrate dalla vittima per risolvere i problemi generati da questo furto.
Questo tipo di inganni, oggigiorno, si sta trasformando in una pratica quotidiana, alimentata da un
comportamento poco attento durante la navigazione online o da distrazioni nella vita offline (quali
la perdita del portafoglio contenente i propri documenti).
Si tratta evidentemente di un problema molto grave che ha portato perdite in denaro del
totale di 52 miliardi e mezzo di dollari nei soli Stati uniti durante il 2004.
1.6. TROJAN HORSES
L’espressione “Trojan horses” (cavalli di Troia), usata in ambito informatico per definire una
particolare tipologia di programmi, deriva dal mito greco del cavallo donato dagli Achei ai Troiani
come omaggio agli dei ma in realtà contenente i soldati che avrebbero, durante la notte, invaso la
città di Troia e sconfitto i suoi abitanti.
I Trojan horse possono essere classificati in tre diverse tipologie:
1) programmi non autorizzati che sono contenuti all’interno di un programma legittimo. Il
programma illegittimo agisce all’insaputa dell’utente;
2) programmi legittimi che sono stati alterati dall’inserimento di un codice non autorizzato al loro
interno.
3) programmi non autorizzati “travestiti” da programmi autorizzati. Essi
apparentemente delle funzioni a favore dell’utente ma in realtà agiscono contro di lui.
compiono
Gli ideatori dei Trojan horse ricorrono a tali sistemi di invasione all’interno del computer per
scopi diversi. Essi possono essere ispirati da pure manie distruttive ed usare i Trojan horse per
provocare danni ai computer altrui o possono essere alla ricerca di informazioni e quindi sfruttare
tali programmi come strumenti di spionaggio. Le informazioni che più frequentemente ricercano
sono: a) dati relativi alle carte di credito, in seguito usati per comprare addebitando la spesa sul
conto corrente della propria vittima; b) password di accesso alle caselle di posta elettronica o i
servizi erogati via web; c) indirizzi e-mail per l’invio di spam3; d) furti di progetti di lavoro o
scolastici, presentazioni e documenti, con l’obiettivo di plagiarli; e) foto di bambini poi usati per
traffici di pedofili; f) dati personali poi utilizzati per il furto di identità. A volte poi, i criminali
ricorrono all’uso di Trojan horse per utilizzare i computer delle vittime come magazzini di materiali
quali foto e film pornografici. In altri casi invece l’invasore ricorre a questi programmi
semplicemente per prendere in giro la vittima, divertendosi a muovere il suo mouse o aprendo e
chiudendo in continuazione lo sportello del lettore di Cd-rom del malcapitato.
La vittima, anche nel caso dei Trojan horse, può essere chiunque, soprattutto a causa dei
molteplici scopi che spingono i criminali ad utilizzare tali programmi.
I modi in cui i Trojan horse s’insinuano nel nostro pc sono vari: spesso utilizzano quei giochini o
test di personalità che i nostri amici ci inviano come allegati alle e-mail, e che noi apriamo perché
inconsapevoli del pericolo in agguato.
La maggior parte dei Trojan horse usa i metodi di avvio automatico per i quali anche quando il
computer infetto è spento, questi programmi sono in grado di ripartire, permettendo agli hackers di
accedere al pc dell’utente.
I tipi di Trojan horse esistenti sono tantissimi; sotto sono elencati i principali programmi, dalla
cui combinazione sono ricavati altri tipi.
Remote access Trojans (cavalli di Troia per accesso remoto): questi programmi danno all’hacker
un accesso completo al computer della vittima e quindi consentono di consultare file, conversazioni
private e password.
Password sending Trojans (cavalli di Troia per l’invio di password): questo tipo di programma cerca
di sfruttare le informazioni che siti come ICQ (programma che consente agli utenti di comunicare
con altri utenti e di inviare file, messaggi verso telefonini e cartoline d’auguri) e IRC, Internet Relay
Chat ( programma di conversazione istantanea molti a molti o uno a uno) o altri siti web forniscono
quando viene aperto un nuovo account; infatti l’utente riceve un’e-mail contenente il nome e la
password da lui scelti.
Keyloggers (rilevatori delle digitazioni): questi Trojan registrano le digitazioni degli utenti e li inviano
agli hacker in cerca di password o di altre informazioni sensibili.
Destructive (distruttivi): questi programmi distruggono e cancellano file. A volte funzionano come
delle bombe che si attivano in uno specifico giorno ad un orario determinato.
Denial of Service (DoS) Attack Trojans: questo tipo di attacco colpisce una rete di computer
causando una perdita a livello di servizi offerti all’utente. In genere questa perdita riguarda la
capacità di connessione tra i computer di una rete: la connessione è compromessa a causa di un
eccessivo sfruttamento della sua larghezza di banda o a causa di un sovraccarico delle risorse del
computer della vittima. La rete viene danneggiata da una serie di attacchi ai server, che sono
3
Lo spam via e-mail consiste nell’invio, ad un elevato numero di destinatari, di messaggi di posta
elettronica. Tali messaggi sono generalmente inviati senza il permesso del destinatario e
frequentemente contengono inganni di diverso tipo.
controllati a distanza dagli hacker. I Trojan horse, infatti, permettono al criminale un controllo
remoto (cioè a distanza) sul computer su cui tali programmi malevoli sono stati istallati e gli
consentono di attaccare direttamente il pc della vittima. Il computer collegato alla rete e infetto dal
Trojan horse viene definito “zombie computer” ed è utilizzato dall’hacker per svolgere attività
malevole di diverso tipo, senza che il proprietario del sistema infetto se ne renda conto. L’utilizzo
degli “zombie computer” permette al criminale di agire senza che le sue mosse possano produrre
delle conseguenze negative sulla sua persona, in quanto apparentemente non è il criminale ad
compiere tali azioni ma risulta essere il proprietario del computer infetto.
Software detection killers (distruttori dei programmi di individuazione dei software): questo tipo di
Trojan sono in grado di distruggere firewall di tipo software (cioè dei programmi che impediscono
agli hacker di introdursi nel computer della vittima) e anti-virus che proteggono il pc. Disattivandoli,
gli hacker hanno libero accesso al computer della vittima e possono compiere attività illegali o usare
il computer infetto per attaccare quello di altri.
L’elenco delle tipologie di Trojan esistenti è molto più ampio ma quelle presentate sono
sufficienti per comprenderne la pericolosità. Il modo più frequente in cui si può diventare vittime di
questi programmi è l’apertura di allegati che li contengono oppure contagiati anche attraverso la
condivisione di file e utilizzando ICQ o altri programmi che permettono conversazioni sincrone con
altri utenti collegati alla rete).
E’ evidente quindi quanto sia alto il rischio che corrono gli utenti della rete e quali possono
essere le perdite economiche conseguenti al contagio. Un esempio di tale attacco verificatosi
recentemente ha avuto come vittima un gruppo bancario giapponese che è stato derubato di
un’elevatissima somma di denaro da parte di una banda di criminali che ha fatto ricorso ai Trojan
horse per raggiungere il suo obiettivo. I programmi registravano le digitazioni degli utenti e
inviavano segretamente queste informazioni alla banda criminale per analizzarle.
2. Le soluzioni a disposizione degli utenti
A seconda del tipo di minaccia a cui si deve fare fronte, l’utente ha a disposizione strumenti
diversi per difendersi.
Al fine di evitare di diventare vittima del social engineering, la cosa più prudente che
possiamo fare è non dire a nessuno quale sia la nostra password, a meno che non sappiamo di
poterci fidare ciecamente della persona a cui decidessimo di rivelarla; la soglia di attenzione deve
salire soprattutto se la password viene richiesta per telefono perché non possiamo essere sicuri
della vera identità del nostro interlocutore. Se qualcuno ci contatta fingendosi l’amministratore di
un’organizzazione e ci richiede la nostra password, al 99,9% dei casi si tratta di una truffa perché
una compagnia seria ha gli strumenti per risalire a tale chiave senza bisogno di rivolgersi al cliente.
E’ poi consigliabile fare il procedimento opposto per mettere alla prova la compagnia: se la
contattiamo per cercare di farci rivelare la nostra password e questa ci viene rivelata, ciò è segno di
poca affidabilità perché lo stesso potrebbe succedere se fosse contattata da altri che fingono di
essere dei clienti che hanno dimenticato la loro parola chiave.
Se la compagnia consente ai dipendenti dell’organizzazione di accedere alle password dei clienti,
ciò non è un punto a suo vantaggio perché secondo gli esperti i dipendenti interni rappresentano
una minaccia ancora maggiore degli hacker esterni alla compagnia.
Per quanto riguarda il phishing, è bene considerare il fatto che nessuna organizzazione seria
chiederebbe al proprio cliente di collegarsi al proprio sito Internet urgentemente: se infatti ci fosse
la necessità di comunicare urgentemente con la propria clientela, si provvederebbe al contatto
diretto della persona, senza aspettare che sia il cliente a fare il primo passo. In secondo luogo, il
cliente deve prestare attenzione al sito che compare nella barra degli indirizzi dopo aver cliccato su
un link contenuto in una mail infetta: se l’indirizzo non coincide con quello del sito
dell’organizzazione, questo rappresenta un segnale evidente che ci sia qualcosa di losco. A questo
punto, è dovere del cliente riportare all’organizzazione quanto accaduto in modo che questa possa
prendere provvedimenti. Infine, è bene cambiare la propria password di accesso al sito
dell’organizzazione se si ha la sensazione di essere diventati vittime di phishing.
Contro gli attacchi di pharming, le mosse che gli utenti possono intraprendere sono differenti.
Per iniziare, è bene assicurarsi che il sito usi un sistema in grado di criptare le informazioni sensibili
durante il loro passaggio attraverso la rete, in modo che i criminali non possano riuscire a leggerle.
Un indizio che le informazioni del sito sono criptate è la presenza di un piccolo lucchetto giallo
nell’angolo destro dello schermo: la sua assenza è un possibile segno che il sito visualizzato è
infetto, perché molti criminali non si preoccupano di criptare i dati nel momento che creano il
facsimile del sito legittimo dell’organizzazione. Un ulteriore segno che dimostra la presenza di
informazioni criptate è una “s” che segue l’ “http” nell’indirizzo del sito ( si avrà https://…. Invece
che http://…). E’ possibile verificare che il sito appartenga effettivamente all’organizzazione facendo
un doppio clic sull’icona del lucchetto giallo nel fondo dello schermo: si dovrebbe quindi aprire una
finestra che contiene il cosiddetto certificato SSL, che rappresenta una dimostrazione della
legittimità del sito che stiamo visitando. Si deve inoltre controllare che il certificato sia ancora valido
e che non presenti nessuna caratteristica sospetta. In tal caso è bene contattare immediatamente
l’organizzazione. Se poi il sito dovesse apparirci strano, confuso o sfuocato, questo non è un buon
segno: con molta probabilità è un facsimile creato da qualche pharmer. Un ultimo consiglio che è
valido anche per i casi di phishing è quello di cambiare la propria password di accesso al sito
qualora si sospetti di essere stati colpiti dai pharmer.
Per difendersi contro lo spyware l’utente deve prestare attenzione a tutto ciò che è presente
nel suo computer: solo un’analisi attenta può infatti rivelare la presenza di nuove icone, barre o
pulsanti che una volta non c’erano e che ad un certo punto sono comparse nel nostro pc. Tali indizi
rivelano la presenza di programmi di spyware e ci dovrebbero convincere ad iniziare a muoverci in
nostra difesa: dovremmo quindi decidere di istallare programmi anti-spyware e studiarne il
funzionamento per renderli efficaci ed evitare di creare ulteriori problemi legati ad un loro sbagliato
utilizzo.
Per quanto riguarda i problemi collegati all’identity theft, esiste un numero consistente di
misure che l’utente può adottare. In primo luogo, è bene ridurre l’uso della posta elettronica per
l’invio e la ricezione di documenti finanziari. E’ poi consigliabile consultare il proprio conto bancario
ogni settimana: il 70 % dei furti di identità è rilevato dalla vittima e la scoperta online della frode
comporta delle perdite minori rispetto a coloro che si affidano alla carta stampata per monitorare il
proprio traffico bancario. Sarebbe prudente inoltre stracciare le ricevute dei pagamenti con carta di
credito perché possono contenere delle informazioni personali. Non si devono poi divulgare dati
privati ai venditori che ci contattano per telefono e vanno cancellate subito quelle e-mail che ci
richiedono di collegarci al nostro account bancario usando il link contenuto nella lettera stessa.
In caso di dubbi sulla legittimità o meno di tali e-mail, è meglio contattare la nostra banca per
chiedere conferma.
Nel caso si volesse procedere all’acquisto di qualche prodotto online, sarebbe prudente verificare
se la compagnia sia fidata e controllare che il sito contenga un marchio apposito che dimostri la sua
sicurezza.
Sarebbe bene, poi, richiedere una copia del nostro estratto conto almeno una volta all’anno o
ogni sei mesi in caso si sia diventati vittima di identity theft in passato.
E’ poi da evitare la pubblicazione di molte informazioni private in rete, ad esempio su siti web ed
è importante non rivelare né il cognome della propria madre né la propria data di nascita alle
organizzazioni che palesemente non necessitano essere a conoscenza di tali dati, quindi quasi tutte
le organizzazioni commerciali.
Al di fuori dall’ambito della rete, per ridurre il rischio di furto di identità è ovviamente
consigliabile di prestare la massima attenzione ai propri documenti ed evitare di rilasciarne copie
alle organizzazioni commerciali o, se inevitabile, chiedere di riavere la copia quando la
collaborazione con tale organizzazione sia finita.
Se, contattati da un’organizzazione commerciale per la quale lavoriamo, ci viene richiesto di
fornire delle informazioni personali, è bene domandare per che cosa verranno usate tali
informazioni.
Per concludere, le soluzioni adottabili contro i diversi tipi di Trojan horse sono usare un
programma di antivirus o programmi anti-trojan e aggiornarli periodicamente; procedere al
controllo di tutte le e-mail arrivate nella nostra casella di posta prima di aprirle.
Infine è consigliabile non aprire i file di cui non siamo sicuri che siano stati inviati
intenzionalmente a noi: molti Trojan horse inviano e-mail utilizzando come mittente una persona
che rientra nella nostra rubrica e che quindi conosciamo.
Compiere queste operazioni di difesa richiede tempo, fatica e a volte denaro da parte nostra
però noi siamo i primi ad essere esposti al rischio di attacco degli hacker, quindi per poter evitare
disastri finanziari e legali è meglio non affrontare con leggerezza questi problemi e sforzarsi di
combatterli.
3. Le soluzioni offerte dal mercato
Il continuo aumento dei pericoli cui gli utenti di Internet sono esposti quotidianamente ha
portato il mercato dei produttori di hardware e software alla ricerca di soluzioni che possano fornire
protezione per il PC e garantire un buon livello di sicurezza all’utente della rete.
Tuttavia la ricerca di una soluzione hardware o software che possa fornire all’utente una
protezione contro il social engineering è ostacolata dalla natura stessa di questo attacco: si è già
ripetuto più volte, infatti, che tale tecnica prevede la richiesta esplicita della password direttamente
all’utente del computer. Essendo la vittima stessa a rivelare la sua parola chiave e non l’hacker a
scoprirla attraverso un accesso illegittimo, essa rende la soluzione a questa tipologia di attacco alla
privacy indipendente dall’avanzamento tecnologico e dipendente dall’utente stesso, il quale deve
seguire un comportamento prudente che riduca i rischi di cadere nella trappola dei social
engineering (vedi pag 35).
Per quanto riguarda il phishing e lo spear-phishing, invece, esistono sul mercato delle
soluzioni tecnologiche appositamente studiate. Dal punto di vista hardware, una soluzione di cui
già si è parlato è quella rappresentata dai token e dalle smart card che vengono utilizzati per
l’autenticazione a due fattori. Questi dispositivi forniscono all’utente una password che cambia ogni
60 secondi e che deve essere inserita all’interno delle pagine web in combinazione con un altro PIN
o un’altra parola chiave. Il vantaggio di tale soluzione è che l’autenticazione a due fattori garantisce
all’utente l’autenticità del sito a cui si è connessi e impedisce agli hacker di riutilizzare una
password, in quanto ogni parola chiave è valida per un solo login.
Dal punto di vista dei software esistenti per combattere phishing e spear-phishing, in commercio
vi sono i cosiddetti software anti-phishing, cioè dei programmi che cercano di identificare i tentativi
di phishing sia nei siti web che nelle e-mail. Essi mostrano il vero nome di un dominio del sito che
l’utente sta visitando.
Risultano efficaci, poi, anche i filtri contro lo spam perché riducono il numero di e-mail,
contenenti tentativi di phishing, che gli utenti ricevono.
Per quanto riguarda le minacce di pharming, i dispositivi hardware per l’autenticazione a due
fattori rappresentano una soluzione anche per questa tipologia di attacco, in quanto forniscono
garanzie sull’autenticità del sito in cui cui l’utente sta navigando. Dal punto di vista software,
invece, non sono numerosi i programmi appositamente creati contro l’attacco dei pharmer. Tra i
programmi esistenti ricordiamo l’“Antipharming 1.00”, che è stato commercializzato il 30 giugno del
2005, e l’“Identity Defender Anti-pharming solution”. Il primo è un software che fornisce una
protezione dal pharming, attraverso l’identificazione degli attacchi dei pharmer. Il secondo è un
programma contenente dei componenti per la difesa dal pharming.
Un ulteriore aiuto a cui si può poi ricorrere è l’istallazione (e l’aggiornamento costante) di
antivirus, anti-spyware e firewall sul proprio computer. Questa mossa riduce la possibilità che un
virus possa indirizzarci verso una sito creato dai pharmer.
Un altro metodo di difesa dal pharming è il ricorso a software per la protezione del DNS, il
sistema dei nomi dei domini. Tali software permettono di fornire agli utenti degli indizi visibili sulla
legittimità o meno di un sito web. Inoltre impediscono che gli hacker possano accedere al DNS e
quindi possano praticare phishing e pharming.
Per difendere i computer dagli spyware, esistono due tipologie di attacco: il primo metodo è la
protezione in tempo reale, il secondo è la scansione e la rimozione dello spyware. Gli anti-spyware
con protezione in tempo reale funzionano come i programmi di anti-virus che usano tale metodo di
difesa: il software analizza i dati provenienti dalla rete e i file dell’hard disk nel momento stesso in
cui vengono scaricati e blocca quei componenti riconosciuti come spyware. In alcuni casi può
anche individuare i tentativi di modifica delle impostazioni del browser.
Il secondo metodo di difesa dallo spyware è solitamente più semplice e questo ha facilitato la
diffusione dei programmi che vi ricorro. In tali programmi, viene analizzato il contenuto del registro
di Windows, i file e i programmi istallati e vengono rimosse le voci che risultano appartenere agli
spyware secondo una lista degli spyware conosciuti.
Attualmente, le possibili soluzioni allo spyware offerte dal mercato sono varie. Il primo
programma anti-spyware ad offrire una protezione in tempo reale è stato lo “SpywareBlaster” della
Javacool Software. A questo se ne sono poi aggiunti altri sempre più efficaci: l’azienda Lavasoft
produce l’ “Ad-Aware”, che rappresenta uno dei più affidabili programmi per l’eliminazione degli
spyware e che è in grado di analizzare l’hard disk di un computer avente come sistema operativo
Windows XP.
Un altro programma scaricabile gratuitamente da Internet e considerato molto efficiente
nell’eliminazione e nell’individuazione dei problemi legati allo spyware è “Spybot-Search & Destroy”.
La Microsoft invece ha recentemente proposto il “Windows Antispyware Beta”, il cui download
può essere effettuato gratuitamente per i pc aventi come sistema operativo Windows XP, Windows
2000 e Windows 2003.
A questi prodotti vanno poi aggiunti quelli delle maggiori case produttrici di anti-virus, come
Symantec e Sophos, che hanno inserito, all’interno dei loro programmi per l’eliminazione dei virus,
dei componenti che permettono l’individuazione di spyware. Tuttavia, tali prodotti non risultano
efficaci come i programmi esplicitamente creati per la difesa dallo spyware in quanto
l’aggiornamento relativo ai nuovi tipi di spyware che man mano vengono ideati non avviene in
tempo reale, a differenza invece di quanto succede nel trattamento dei virus con questi stessi
prodotti.
Va poi citato il programma di anti-spyware della McAfee che verrà commercializzato nel 2006: il
software individua automaticamente gli spyware, i vari tipi di Trojan horse e i tutti i programmi che
possono rappresentare una minaccia alla privacy dell’utente e ridurre la funzionalità del computer.
Oltre ad informare l’utente della presenza di spyware la nuova versione della McAfee sarà in grado
di bloccare il funzionamento dello spyware in modo che non possa arrecare danni al pc nel quale si
è insinuato.
Per quanto concerne la ricerca di soluzioni tecnologiche contro la minaccia di identity theft,
anche in questo caso si ripropone lo stesso problema relativo al social engineering: la causa
principale del furto di dati è un comportamento poco attento da parte delle persone, che si lasciano
perciò derubare di informazioni private. La difesa più importante proviene quindi dall’utente, che
deve cercare di evitare quei comportamenti considerati pericolosi per un attacco da parte degli
identity thieve.
Tra i prodotti per computer, le alternative disponibili si riducono ai sistemi per la difesa della
privacy. In questo ambito, va ricordato il McAfee Wireless Home Network Security, un sistema che
verrà commercializzato nel 2006 e che fornirà al personal computer degli utenti una protezione
contro i furti di dati (e quindi contro il conseguente identity theft) e contro gli accessi non
autorizzati. Tale sistema di sicurezza potrà essere scaricato direttamente dal sito dell’organizzazione
e garantisce un’interfaccia semplice ed intuitiva. Al sistema proposto dalla McAffe si aggiunge
l’“Identity Defense Kit”, un kit che include un AntiSpyware, e l’“Identity Defender”, un libro
elettronico contenente una serie di consigli per difendersi dai ladri di identità.
Per difendere i pc contro i Trojan horse, infine, esistono, sul mercato, numerosi programmi per
il monitoraggio dell’attività di eventuali trojan presenti sul computer dell’utente. Questi programmi
superano le limitazioni dei tradizionali anti-virus in quanto, seppur gli ultimi possono risultare
efficaci nel caso di alcuni trojan horse, non forniscono tuttavia una protezione totale a causa della
numerosità di trojan esistenti e della rapidità con cui ne vengono creati di nuovi.
Tra i software anti-trojan gratuitamente scaricabili dalla rete vi sono il “TDS-3” (“Trojan Defence
Suite”), avente caratteristiche innovative rispetto agli altri pacchetti anti-trojan esistenti.