Tecnologia
December 15 2012
Vi racconto quello che mi è successo. Accendo il mio PC portatile e cerco un negozio di musica online per acquistare un Greatest Hits dei Foo Fighter. In pochi secondi arrivo su un music-store dalla grafica pulita e molto accattivante, mi registro con una password a prova di bomba (12 caratteri,di cui sei lettere minuscole, due maisucole, 2 cifre e 2 simboli) e sono pronto a effettuare il mio acquisto: due clic ed ecco che Dave Grohl e soci sono già sulle mie casse a tutto volume.
Musica per le mie orecchie. Peccato che dopo qualche minuto un suono stonato finisca per rovinare tutto: è il trillo del mio telefono. Un sms mi avvisa che oltre ai Foo Fighter il mio conto corrente è stato utilizzato per effettuare altri cinque acquisti consecutivi, per un importo totale di 500 euro. I dati della mia carta di credito, non ci vuole un genio per capirlo, sono stati appena frodati.
Ci sarebbe da sudare freddo e chiamare subito la polizia, se non fosse che quello che vi ho appena raccontato è solo un grande (e diabolico) esperimento condotto nei laboratori di Helsinki di StoneSoft. Chi vi scrive, in sostanza, è stato “vittima” (si fa per dire, visto che non mi è stato sottratto nemmeno un centesimo) di una demo sui rischi informatici. La mia carta di credito non è finita fra le mani di un malintenzionato ma è stata semplicemente “hackerata” dallo staff della più grande azienda europea di sicurezza informatica.
Un gioco di prestigio che solo un abilissimo fromboliere informatico può eseguire, direte voi. E invece no. Perché entrare nel cuore di un sito Internet e fare incetta di dati sensibili – carte di credito comprese – è più facile di quanto pensiate.
Funziona così. Il malintenzionato prende di mira un sito vulnerabile e comincia a girovagare fra le sezioni interne, nei forum, ad esempio, laddove gli username degli utenti appaiono spesso in chiaro.
Una volta raccolti un centinaio di nomi utente l’hacker prova a loggarsi. La password? Basta fare una query fra quelle più comuni e il gioco è fatto. “Nonostante i continui appelli del mondo della sicurezza", spiega Otto Airamo, Senior Network Security Specialist di StoneSoft, "gli utenti continuano a utilizzare password molto banali: 12345, qwerty, iloveyou, oltre ovviamente alle immancabili parolacce. Il gioco sta tutto nel raccogliere un buon numero di username e incrociarle con queste password. In cinque minuti, un hacker, può ritrovarsi fra le mani almeno tre-quattro combinazioni vincenti".
Ma non finisce qua. Una volta all’interno del sito il cybercriminale può avviare la cosiddetta Sql Injection, una tecnica d’attacco che sfrutta la modalità con cui le pagine Web comunicano con i database di backend. Chi vìola un servizio, in sostanza, studia un messaggio di errore per ricostruire lo schema Sql del database e accedere con ampi privilegi in aree protette. Pochi clic, insomma, ed ecco spalancarsi le porte dei dati sensibili di migliaia di account, con tanto di codici bancari. E tutto senza lasciare tracce (l’hacker, non dimentichiamocelo, ha avuto accesso al servizio utilizzando le credenziali di un altro utente regolarmente iscritto).
Attacchi di questo tipo, ci fanno capire che sul Web nessuno è al sicuro. E che nemmeno la password più diligente può metterci al riparo dalle brutte sorprese. In fondo basta anche una sola vulnerabilità affinché il cybercriminale possa farsi largo fra le maglie di un sito e violare tutti gli account in esso presenti.
Il problema, naturalmente, non riguarda solo i servizi di vendita online, ma tutti gli ambiti nei quali l'informazione - soprattutto quella di un certo valore - corre sul filo di una connessione Web. L’orizzonte è vastissimo e coinvolge organizzazioni finanziarie, attività militari, gruppi terroristici, hacktivisti e ovviamente le aziende, forse le più tartassate dalle minacce informatiche: "Molte fra quelle occidentali – spiega Jarno Limnell, Cybersecurity Director di StoneSoft – sono oggetto di attività di spionaggio industriale dalla Cina, per via della loro proprietà intellettuale".
Cambia il livello di complessità ma lo schema generale è più o meno sempre lo stesso: c’è un malintenzionato (che magari non sa usare i mezzi informatici), c’è qualcuno che sa usare i mezzi informatici (e che magari non ha cattive intenzioni) e poi c’è un bersaglio vulnerabile.
Nel 2010, StoneSoft ha messo a nudo il problema delle cosiddette AET, Tecniche di Evasione Avanzata che permettono al cyber-crimine di superare tutti i principali sistemi di anti-intrusione per arrivare fino al cuore dei sistemi informativi di organizzazioni blindatissime (sulla carta): aziende, strutture ospedaliere, municipalizzate, governi. Chiarisce Otto Airamo: "Gli hacker mettono a fattore comune gli exploit per entrare nelle falle di sistema, ad esempio una porta http aperta. E da qui possono scavalcare tutti vari sistemi di sicurezza compresi gli Ips per arrivare fino al centro nevralgico degli impianti".
Con questi mezzi, anche una centrale nucleare potrebbe essere violata, spiegano i responsabili StoneSoft. Il tutto in maniera pressoché invisibile. "La differenza principale fra gli attacchi di oggi e quelli di qualche anno fa è che quelli attuali sono praticamente invisibili", spiega Emilio Turani, Country Manager di Stonesoft Italia, Svizzera Italiana Grecia. "Gli obiettivi non hanno la consapevolezza di essere stati colpiti".
Fondamentale, a questo punto, aprire gli occhi. In fondo basta poco per capire a cosa si va incontro, sottolinea StoneSoft che non a caso ha pubblicato sul suo sito un software scaricabile gratuitamente (Evader ) in grado di mostrare quanti e quali rischi può correre un’organizzazione senza gli opportuni correttivi. Dice il saggio: non si può gestire ciò che non si può controllare. Non sarà la panacea di tutti i mali ma è comunque un primo passo per recuperare un po' di quella fiducia in Internet che oggi, sempre più spesso, appare sempre più in discussione.
Seguimi su Twitter: @TritaTech