Hacker, cracker e gli altri: chi sono e perché attaccano
Transcript
Hacker, cracker e gli altri: chi sono e perché attaccano
Hacker, cracker e gli altri: chi sono e perché attaccano Terzo appuntamento con la rubrica OAI (Osservatorio Attacchi Informatici), dove si traccia l’identikit di chi può rappresentare una minaccia ai sistemi IT aziendali. M.R.A. Bozzetti Il Rapporto 2009 OAI, Osservatorio Attacchi Informatici in Italia, evidenzia come gli attacchi volontari ai sistemi informatici siano diffusi e frequenti. È importante distinguere tra attacchi volontari e non: questi ultimi dipendono da errori involontari degli operatori, quali sistemisti, amministratori di sistema, addetti alla manutenzione e alla riparazione dei sistemi, e degli utenti, oltre che dall’incappare in vulnerabilità dei sistemi e degli applicativi non conosciute. Gli attacchi volontari sono invece azioni specifiche con l’obiettivo criminale di portare danno alle aziende/enti o di dimostrare le proprie capacità, oltre che le vulnerabilità dei sistemi attaccati: nel primo caso gli attaccanti sono denominati cracker, nel secondo hacker. Spesso invece il termine hacker è erroneamente correlato al concetto di crimine informatico, confondendolo con il cracker. L’hacker non intende compiere crimini, ma, per diletto e per soddisfazione intellettuale, cerca di violare le misure di sicurezza per dimostrarne le vulnerabilità. Il termine hack usato nei college statunitensi nei primi anni ’50, aveva e ha il significato di goliardata, scherzo, in qualche maniera è un analogo di goof: sta a indicare un’azione creativa e divertente, ma innocua e che non causa reali danni. A questo significato originale si è poi aggiunto un connotato di sovversione, che sfuma poi in un’area grigia tra gioco e crimine, e che avvicina l’hacker al cracker. Hacker e cracker L’hacker è comunque un attaccante dei sistemi informatici, ma con buone intenzioni: è un esperto che con le sue azioni e 86 office automation maggio 2010 scoperte vuole individuare e far conoscere alla comunità degli utenti gli errori dei programmi, di base ed applicativi, e le loro vulnerabilità. Tra gli hacker si includono nomi prestigiosi dell’informatica mondiale, quali Richard Stallman e Eric S. Raymond, ideatori e fondatori del free-sofware e dell’open source, Ken Thompson e Dennis Ritchie, autori di Unix, Linus Torvalds, autore di Linux. Un attacco di hacker è sempre rivolto a uno specifico software per verificarne la sua reale sicurezza e correttezza operativa: egli non andrà mai a rubare dati o a manipolarli, non farà mai ricatti. Il suo comportamento è sempre eticamente corretto. Il cracker invece è un criminale, che agisce in logica criminale con gli attacchi informatici al fine di un guadagno illecito. Le sue motivazioni sono quindi semplici e chiare, e per raggiungere l’obiettivo attacca i sistemi ICT o per ricatto (il “pizzo informatico”) o per rubare informazioni che rivende o sfrutta in maniera illegale. Il cracker può anche attaccare per causare danno a uno o più dei suoi concorrenti: concorrenza sleale che scofina, con l’attuale legge sul computer crime, nel penale. Ricordo il caso che affrontai parecchi anni fa, quando ancora parlavamo di telematica e la connessione per lo scambio dati ad alta velocità avveniva via linea telefonica a 9600 k bps (preistoria, vero?). Uno studio di commercialisti, nel periodo caldo delle dichiarazioni, non fu più in grado di collegarsi con alcune applicazioni centralizzate dell’agenzia delle entrate in quanto il suo codice identificativo e relativa password erano bloccate, con evidenti problemi, danni d’immagine e perdita di qualche cliente. Dall’indagine scoprii che i diritti d’accesso furono bloccati perché uno studio concorrente, individuato facilmente il codice d’utente del concorrente, semplicemente in- serì a caso per più di tre volte delle password. E a quei tempi l’applicativo, per motivi di sicurezza, dopo tre tentativi di password errate, bloccava l’utente e richiedeva una lunga procedura cartaceo-manuale di riattivazione dei diritti d’accesso, che richiedeva due-tre settimane di tempo. In altri casi il criminale attacca non logicamente ma fisicamente i sistemi ICT, dal Data Center ai sistemi periferici e ai posti di lavoro, causando da danni gravi (ad esempio danneggiando la sala macchine) a più semplici furti, tipicamente PC lap top, per rivenderli. In altri casi ancora il criminale non attacca il sistema informativo, ma lo sfrutta per compiere reati, anche assai tradizionali: tipici esempi i crimini legati al sesso e in particolare alla pedofilia. Di questi reati l’OAI non si occupa, volutamente si focalizza sugli attacchi ai sistemi ICT, e in particolare su quelli voluti e non casuali. Altre figure, altre motivazioni Tra il criminale cracker e l’hacker esistono e si possono concettualmente classificare altre figure con motivazioni diverse, ma non per questo meno pericolose, in particolare: a) i cyber-ideologici: sono persone, gruppi o addirittura enti di stati che attaccano con e per motivazioni ideologiche, tipicamente politiche o religiose, i sistemi di coloro che ritengono nemici: organizzazioni, istituzioni, grandi imprese. Il potenziale di rischio e di gravità degli attacchi cresce dal singolo al gruppo fino a strutture organizzate e dedicate. In questo ultimo caso si tratta di cyber war, di vera e propria guerra informatica, dato che gli obiettivi sono tipicamente le infrastrutture critiche di una o più nazioni, con l’obiettivo di destabilizzarle economicamente e politicamente. Malware diffusi sui sistemi bancari-finanziari-borse, blocchi non brevi di infrastrutture vitali come i sistemi energetici e di telecomunicazione possono metter in ginocchio le società occidentali, quanto più evolute tanto più fragili. Fino a qualche anno fa il tema era considerato fantascienza o da romanzo, ora è una realtà e costituisce un rischio tale, soprattutto per i paesi occidentali, tale da richiedere consiglieri sulla sicurezza informatica a livello di presidente o di primo ministro; b) i cyber-terroristi: terroristi che utilizzano l’ICT per ottenere risultati analoghi, se non superiori, a quelli che otterrebbero con il “tradizionale” terrorismo. Hanno spesso motivazioni analoghe a quelle dei cyber-ideologici, l’humus è il medesimo, ma la differenza sostanziale è che il cyber-terrorista non esita a causare, con le sue azioni, morti e distruzioni. Da terrorista, è indifferente di fronte alla sofferenza e al dolore che può provocare, anzi sofferenza e dolore, possibilmente su larga scala, sono suoi obiettivi. Incidenti sulle infrastrutture di trasporto (dai treni agli aeroporti) ed energetiche, tipicamente su centrali nucleari e su dighe, causati da malfunzionamenti e manipolazioni dei sistemi informativi sono tipici attacchi da cyber-terroristi; c) i cyber-vendicativi: persone che vogliono vendicarsi con attacchi informatici di ingiustizie, vere o presunte, subite; è il dipendente licenziato, o quello che non ha ricevuto la promozione o l’aumento atteso; hanno spesso competenze e diritti d’accesso specifici nell’ambiente informatico delle loro aziende, e il risultato dei loro attacchi può essere assai serio; talvolta possono divenire cyber-ideologici o cyber terroristi; d) i cyber-teppisti: il confine tra gioco, dimostrazione di bravura a se stessi e alla propria comunità e attacco dannoso è spesso labile. I cyber-teppisti sono spesso giovani, con tempo a disposizione per giocare al PC e in Internet, dove trovano gratuitamente, e senza bisogno di grandi competenze, potenti strumenti di attacco. Scannerizzare a caso un insieme di indirizzi IP per verificare quali porte sono indifese, e in quelle tentare di prendere il controllo di un server di un negozio, di un piccolo studio professionale, di una piccola azienda è un gioco facile, e molti server in questi contesti sono una facile preda per un ragazzo di 12-15 anni. E perché, preso il controllo, non cancellare tutti file, quasi come una punizione dello sconosciuto che spesso non ha un back-up aggiornato? Il giovane attaccante nemmeno percepisce i reali danni economici che il suo attacco può provocare. Queste di fondo le motivazioni principali di attacchi che talvolta subiscono sistemi piccoli-piccolissimi e con dati di nullo interesse mediatico-nazionale, a parte l’eventuale (ma per ora raro o poco rilevato) attacco di concorrenti cracker o cyber-vendicativi; e) i cyber- idioti: la stupidità è un’altra significativa causa per taluni attacchi, di cui spesso non si capisce il perché. Uno stupido, un PC e una connessione a Internet possono provocare tera-danni, data anche la facilità di ritrovamento e d’uso di molti strumenti efficaci per attaccare, e le limitate misure di sicurezza che molti sistemi hanno. A questo tentativo di classificazione, che non ha alcuna pretesa di esaustività, corrisponde poi un miscuglio motivazionale e caratteriale difficilmente distinguibile e identificabile. Ma è su tali miscugli che dobbiamo centrare l’analisi del rischio, per cercare di proteggere i sistemi informativi, sempre più complessi e vulnerabili. Il Rapporto è disponibile in forma elettronica e gratuita, previa registrazione, sui siti di Soiel (www.soiel.it), del ClubTI di Milano (www.clubtimilano.net), di FidaInform (www.fidainform.it), di AIPSI (www.aipsi.org), di FTI (www.forumti.it) e dell’autore (www.malaboadvisoring.it). maggio 2010 office automation 87