Hacker, cracker e gli altri: chi sono e perché attaccano

Hacker, cracker e gli altri:
chi sono e perché attaccano
Terzo appuntamento con la rubrica OAI (Osservatorio Attacchi Informatici),
dove si traccia l’identikit di chi può rappresentare una minaccia ai sistemi IT aziendali.
M.R.A. Bozzetti
Il Rapporto 2009 OAI, Osservatorio Attacchi Informatici in Italia, evidenzia come gli attacchi volontari ai sistemi informatici siano diffusi e frequenti. È importante distinguere tra attacchi volontari e non: questi ultimi dipendono da errori
involontari degli operatori, quali sistemisti, amministratori di
sistema, addetti alla manutenzione e alla riparazione dei sistemi, e degli utenti, oltre che dall’incappare in vulnerabilità
dei sistemi e degli applicativi non conosciute. Gli attacchi volontari sono invece azioni specifiche con l’obiettivo criminale
di portare danno alle aziende/enti o di dimostrare le proprie
capacità, oltre che le vulnerabilità dei sistemi attaccati: nel
primo caso gli attaccanti sono denominati cracker, nel secondo hacker. Spesso invece il termine hacker è erroneamente
correlato al concetto di crimine informatico, confondendolo
con il cracker. L’hacker non intende compiere crimini, ma, per
diletto e per soddisfazione intellettuale, cerca di violare le misure di sicurezza per dimostrarne le vulnerabilità. Il termine
hack usato nei college statunitensi nei primi anni ’50, aveva
e ha il significato di goliardata, scherzo, in qualche maniera
è un analogo di goof: sta a indicare un’azione creativa e divertente, ma innocua e che non causa reali danni. A questo
significato originale si è poi aggiunto un connotato di sovversione, che sfuma poi in un’area grigia tra gioco e crimine,
e che avvicina l’hacker al cracker.
Hacker e cracker
L’hacker è comunque un attaccante dei sistemi informatici, ma
con buone intenzioni: è un esperto che con le sue azioni e
86
office automation
maggio 2010
scoperte vuole individuare e far conoscere alla comunità degli utenti gli errori dei programmi, di base ed applicativi, e
le loro vulnerabilità. Tra gli hacker si includono nomi prestigiosi
dell’informatica mondiale, quali Richard Stallman e Eric S. Raymond, ideatori e fondatori del free-sofware e dell’open
source, Ken Thompson e Dennis Ritchie, autori di Unix, Linus
Torvalds, autore di Linux. Un attacco di hacker è sempre rivolto a uno specifico software per verificarne la sua reale sicurezza e correttezza operativa: egli non andrà mai a rubare
dati o a manipolarli, non farà mai ricatti. Il suo comportamento
è sempre eticamente corretto. Il cracker invece è un criminale,
che agisce in logica criminale con gli attacchi informatici al
fine di un guadagno illecito. Le sue motivazioni sono quindi
semplici e chiare, e per raggiungere l’obiettivo attacca i sistemi ICT o per ricatto (il “pizzo informatico”) o per rubare
informazioni che rivende o sfrutta in maniera illegale. Il cracker può anche attaccare per causare danno a uno o più dei
suoi concorrenti: concorrenza sleale che scofina, con l’attuale
legge sul computer crime, nel penale. Ricordo il caso che affrontai parecchi anni fa, quando ancora parlavamo di telematica e la connessione per lo scambio dati ad alta velocità
avveniva via linea telefonica a 9600 k bps (preistoria, vero?).
Uno studio di commercialisti, nel periodo caldo delle dichiarazioni, non fu più in grado di collegarsi con alcune applicazioni centralizzate dell’agenzia delle entrate in quanto
il suo codice identificativo e relativa password erano bloccate,
con evidenti problemi, danni d’immagine e perdita di qualche cliente. Dall’indagine scoprii che i diritti d’accesso furono
bloccati perché uno studio concorrente, individuato facilmente il codice d’utente del concorrente, semplicemente in-
serì a caso per più di tre volte delle password. E a quei tempi
l’applicativo, per motivi di sicurezza, dopo tre tentativi di password errate, bloccava l’utente e richiedeva una lunga procedura cartaceo-manuale di riattivazione dei diritti d’accesso,
che richiedeva due-tre settimane di tempo. In altri casi il criminale attacca non logicamente ma fisicamente i sistemi ICT,
dal Data Center ai sistemi periferici e ai posti di lavoro, causando da danni gravi (ad esempio danneggiando la sala
macchine) a più semplici furti, tipicamente PC lap top, per rivenderli. In altri casi ancora il criminale non attacca il sistema
informativo, ma lo sfrutta per compiere reati, anche assai tradizionali: tipici esempi i crimini legati al sesso e in particolare alla pedofilia. Di questi reati l’OAI non si occupa, volutamente si focalizza sugli attacchi ai sistemi ICT, e in
particolare su quelli voluti e non casuali.
Altre figure, altre motivazioni
Tra il criminale cracker e l’hacker esistono e si possono concettualmente classificare altre figure con motivazioni diverse,
ma non per questo meno pericolose, in particolare:
a) i cyber-ideologici: sono persone, gruppi o addirittura
enti di stati che attaccano con e per motivazioni ideologiche,
tipicamente politiche o religiose, i sistemi di coloro che ritengono nemici: organizzazioni, istituzioni, grandi imprese.
Il potenziale di rischio e di gravità degli attacchi cresce dal
singolo al gruppo fino a strutture organizzate e dedicate. In
questo ultimo caso si tratta di cyber war, di vera e propria
guerra informatica, dato che gli obiettivi sono tipicamente le
infrastrutture critiche di una o più nazioni, con l’obiettivo di destabilizzarle economicamente e politicamente. Malware diffusi sui sistemi bancari-finanziari-borse, blocchi non brevi di
infrastrutture vitali come i sistemi energetici e di telecomunicazione possono metter in ginocchio le società occidentali,
quanto più evolute tanto più fragili. Fino a qualche anno fa
il tema era considerato fantascienza o da romanzo, ora è una
realtà e costituisce un rischio tale, soprattutto per i paesi occidentali, tale da richiedere consiglieri sulla sicurezza informatica a livello di presidente o di primo ministro;
b) i cyber-terroristi: terroristi che utilizzano l’ICT per ottenere
risultati analoghi, se non superiori, a quelli che otterrebbero
con il “tradizionale” terrorismo. Hanno spesso motivazioni
analoghe a quelle dei cyber-ideologici, l’humus è il medesimo,
ma la differenza sostanziale è che il cyber-terrorista non esita
a causare, con le sue azioni, morti e distruzioni. Da terrorista, è indifferente di fronte alla sofferenza e al dolore che può
provocare, anzi sofferenza e dolore, possibilmente su larga
scala, sono suoi obiettivi. Incidenti sulle infrastrutture di trasporto (dai treni agli aeroporti) ed energetiche, tipicamente
su centrali nucleari e su dighe, causati da malfunzionamenti
e manipolazioni dei sistemi informativi sono tipici attacchi da
cyber-terroristi;
c) i cyber-vendicativi: persone che vogliono vendicarsi con
attacchi informatici di ingiustizie, vere o presunte, subite; è il
dipendente licenziato, o quello che non ha ricevuto la promozione o l’aumento atteso; hanno spesso competenze e diritti d’accesso specifici nell’ambiente informatico delle loro
aziende, e il risultato dei loro attacchi può essere assai serio;
talvolta possono divenire cyber-ideologici o cyber terroristi;
d) i cyber-teppisti: il confine tra gioco, dimostrazione di bravura a se stessi e alla propria comunità e attacco dannoso è
spesso labile. I cyber-teppisti sono spesso giovani, con tempo
a disposizione per giocare al PC e in Internet, dove trovano
gratuitamente, e senza bisogno di grandi competenze, potenti
strumenti di attacco. Scannerizzare a caso un insieme di indirizzi IP per verificare quali porte sono indifese, e in quelle
tentare di prendere il controllo di un server di un negozio, di
un piccolo studio professionale, di una piccola azienda è un
gioco facile, e molti server in questi contesti sono una facile
preda per un ragazzo di 12-15 anni. E perché, preso il controllo, non cancellare tutti file, quasi come una punizione dello
sconosciuto che spesso non ha un back-up aggiornato? Il giovane attaccante nemmeno percepisce i reali danni economici
che il suo attacco può provocare. Queste di fondo le motivazioni principali di attacchi che talvolta subiscono sistemi piccoli-piccolissimi e con dati di nullo interesse mediatico-nazionale, a parte l’eventuale (ma per ora raro o poco rilevato)
attacco di concorrenti cracker o cyber-vendicativi;
e) i cyber- idioti: la stupidità è un’altra significativa causa per
taluni attacchi, di cui spesso non si capisce il perché. Uno stupido, un PC e una connessione a Internet possono provocare
tera-danni, data anche la facilità di ritrovamento e d’uso di
molti strumenti efficaci per attaccare, e le limitate misure di sicurezza che molti sistemi hanno.
A questo tentativo di classificazione, che non ha alcuna pretesa di esaustività, corrisponde poi un miscuglio motivazionale
e caratteriale difficilmente distinguibile e identificabile. Ma è
su tali miscugli che dobbiamo centrare l’analisi del rischio, per
cercare di proteggere i sistemi informativi, sempre più complessi e vulnerabili.
Il Rapporto è disponibile in forma elettronica e gratuita, previa registrazione, sui siti di Soiel (www.soiel.it), del ClubTI di
Milano (www.clubtimilano.net), di FidaInform (www.fidainform.it), di AIPSI (www.aipsi.org), di FTI (www.forumti.it) e dell’autore (www.malaboadvisoring.it).
maggio 2010
office automation
87