Print La pericolosa sicur

Alla diffusione di Internet nel nostro Paese non è corrisposta una pari consapevolezza dei
rischi cui ci si espone utilizzando gli strumenti del Web, senza conoscerli. E gli hacker non
sono più quelli di una volta. L'esperienza di Raoul Chiesa e Fabrizio Sensibile
Mario De Ascentiis
29 Aprile 2010
Nessun commento
“Cosa c’è di più semplice (e rischioso, ndr) che collegarsi a Internet senza porsi problemi?
Senza farsi domande? E’ proprio necessario tenere aggiornato il sistema operativo fino
all’ultima patch? Configurare attentamente il firewall e aggiornare il software antivirus? Ma
sì, più o meno… A me non è mai successo nulla di grave”.
Questa frase potrebbero averla detta in moltissimi nel nostro Paese. E proprio atteggiamenti
come questo e l’ignoranza diffusa riguardo i reali pericoli della Rete hanno portato l’Italia a
mettere a disposizione il 30% delle risorse hardware/software per il successo di una delle ultime
Botnet, rispetto al 60% degli Usa: un’enormità, considerate le differenze di popolazione e
territorio. E nella percezione comune sopravvive ancora (è giusto che sia solo un pochino così),
l’idea che il mondo degli hacker sia ‘ethical’, che gli attaccanti che bucano i sistema di
sicurezza delle aziende, lo facciano ancora solo per dimostrare di essere i più bravi, o al massimo
per evidenziare le lacune dei sistemi.
“Non è più così - spiega Raoul Chiesa, consulente unico di Cyber Crime per l’agenzia Onu [1]
Unicri, in occasione di un incontro organizzato da Websense - sono finiti i tempi in cui due
gruppi di teenager per una semplice offesa facevano cadere le reti di At&T, e quelli in cui
Poulsen manometteva i centralini delle trasmissioni per aggiudicarsi 6 Porsche e regalarne 3
agli amici“. E lo spiega, in cifre, anche l’[1] Hacker Profiling Project, una ricerca sostenuta da
Unicri, curata anche da Chiesa, in prima persona. E’ un progetto teso a individuare l’identikit
degli attuali hacker e identifica Cyber Warrior, Industrial Spy e Government Agent, come le
figure più pericolose in azione, protagoniste dell’attività criminale hacker dal 2000 in poi,
quando si sono aggiunte rabbia, voglia di denaro, quando si è capitato che anche al servizio della
politica si sarebbero potuti fare tanti soldi ed è in pratica terminata l’età dell’innocenza. Ora del
tutto defunta, se si pensa che la merce di pagamento in alcuni casi è diventata la cocaina.
[2]
Raoul
Chiesa,
Consulente
Unicri
Per essere chiari: Droga, Armi e tratte umane, da sole, generano meno fatturato rispetto
agli “hacker cattivi” che non hanno più il cappellino di traverso e lo skateboard, ma sono in
giacca e cravatta, e con le scarpe costose spaiate per far vedere che se ne possono permettere
due paia alla volta, utilizzano come testimonial delle proprie malefatte sul Web avvenenti
modelle, organizzano party in ville hollywoodiane. Si affidano a forza lavoro recelutata tra
Russia, Ucraina, Romania, ma anche l’Egitto e gli altri paesi dell’Africa del Nord e infine la
Cina che dispone di hacker esperti nello spionaggio politico: i soldi e la collusione con il potere
sono i fini unici degli hacker, oggi, in oltre il 90 percento dei casi.
Fabrizio Sensibile, Ethical Hacker e Ict Security Expert in forze a [3] Mediaservice.net e [4]
Isecom - incontrato come ospite di Trend Micro - fa eco alle parole di Chiesa con un
intervento sugli stessi toni: “Sulle bacheche online è facile trovare annunci di personaggi
senza scrupoli disposti ad assoldare manovalanza per attaccare aziende concorrenti e
impadronirsi o danneggiare i relativi database”. La criminalità, ben cosciente delle difficoltà
tecniche legate alla gestione di server, o all’infezione di pagine web, preferisce ‘affittare un
servizio’. In questo modo i criminali ottengono direttamente da altri criminali (Criminalto-Criminal, C2C) i dati (carte di credito, dati d’accesso a conti bancari o a web server e altro)”.
Sono poi disponibili in commercio veri ‘kit pre a porter di malware‘ - così li definisce anche
Chiesa - per le più svariate finalità, venduti anche in bundle completi di aggiornamenti, oppure
macchine in grado di fabbricare carte di credito contraffatte, perfette, a poco meno di 30.000
euro. Un buon attacco ‘0 days’ può costare una paio di migliaia di euro.
[5]
Fabrizio
Sensibile,
Ethical
Hacker e Ict
Security
Expert
E la criminalità organizzata è ora in cerca di ‘muli‘: non solo Script Kiddies (apprendisti, si
inizia ancora tra i 10 e i 15 anni), ma anche adolescenti o anziani poco consapevoli che si
prestano a movimentare denaro nei più svariati modi sui propri conti, dopo essere stati adescati
via email, ovviamente. Per quanto i trend dei report più attuali sottolineano come, oggi, la
sicurezza (e la fedina penale, se ci si presta ad attività illecite), non siano più tanto minacciate
dagli allegati infetti, ma dal [6] Phishing e più semplicemente dalla navigazione sul Web, senza
l’installazione di soluzioni di content filtering e analyzing. Secondo Scansafe, nel terzo
trimestre del 2009, il 74% dei software nocivi si è diffuso tramite pagine Web. Basta un sito anche sano - poco protetto, per essere catapultati letteralmente all’inferno, senza accorgersene.
E in gioco non ci sono più i numeri delle carte di credito - troppo facile e dallo scarso valore ma i CVV (i codici riservati, per l’utilizzo della carta che - allibiti - anche alcuni form di albergo
chiedono di lasciare segnato nero su bianco su carta, quando si fa check-in) e prossimamente potente starne sicuri - i PIN con cui i principali istituti, stanno cercando di innalzare le barriere
di sicurezza. Per non perdere la faccia - e l’identità - ci vuole solo tanta prudenza, avvedutezza,
la consapevolezza di quello che si sta facendo navigando sul Web, un po’ meno fiducia cieca nei
social network, ma soprattutto la buona volontà di aggiornare sempre browser, sistema
operativo, software antivirus, adottare un buon firewall e magari scegliere un buon libro
per conoscere il Cybercrime, in fondo su Internet ci mettiamo davvero… in gioco.
Articolo stampato da ITespresso.it: http://www.itespresso.it
URL all'articolo: http://www.itespresso.it/la-pericolosa-sicurezza-degli-ignoranti-il-crimeas-a-service-45288.html
URL in questo articolo:
[1] Unicri :
http://www.unicri.it/wwd/cyber_crime/hpp.php
[2] Immagine :
http://www.itespresso.it/wp-content/uploads/2010/04/raoul.png
[3] Mediaservice.net :
http://www.mediaservice.net/
[4] Isecom :
http://www.isecom.org/team.shtml
[5] Immagine :
http://www.itespresso.it/wp-content/uploads/2010/04/fabrizio-sensibile.png
[6] Phishing :
http://www.itespresso.it/symantec-fotografa-il-phishing-made-in-italy-45093.html
Copyright © 2010 ITespresso.it. Tutti i diritti riservati.