Sicurezza

Criminalità Informatica

L’attuale era informatica sta mutando costantemente il modo di vivere della società di oggi. Qualunque cambiamento epocale genera stravolgimenti economici, politici, sociali e persino religiosi. La criminalità informatica è una semplice evoluzione in campo socio-criminale. Numerosi sono i campi in cui confluisce: si passa dalla psicologia, al diritto; dalla sociologia all’ingegneria.

Analizziamo inizialmente una definizione universalmente riconosciuta di Crimine Informatico o Computer’s crime.

In senso lato un crimine informatico è un fenomeno criminale che si caratterizza nell’abuso della tecnologia informatica. I reati informatici sono rappresentati dalle seguenti caratteristiche:

  • l’utilizzo di un “sistema informatico” per compiere l’abuso.

  • l’utilizzo dell’elaboratore nella realizzazione del fatto.

Perché si possa parlare di "sistema informatico", infatti, è necessario che si tratti di un apparato elettronico, che funzioni a "programma", digitale (e non analogico), funzionante secondo la logica di Boole, multifunzionale. Tuttavia, anche in presenza di un sistema informatico non sempre è possibile parlare di computer's crime in quanto deve assumere rilevanza anche l'uso che del sistema è stato fatto non potendo ritenersi tali tutti quei reati in cui l'utilizzo di un sistema informatico appare strettamente casuale e slegato dalla condotta dell'agente (i.e. un'aggressione fisica che avvenga afferrando una tastiera, un mouse o anche un computer portatile non potrebbe, quindi, definirsi computer's crime).

APPROCCI

Nello studio della Criminalità Informatica vi sono diversi approcci: psicologico, sociologico, normativo, tecnico-scientifico.

PSICOLOGICO

Sotto l’aspetto psicologico l’impiego di tale pratica è alquanto oscuro e confuso, proprio per la naturale ambiguità e riservatezza dei cosiddetti hacker, i principali responsabili dei computer’s crime. Secondo alcune teorie psicologiche, la causa  trova fondamento in una devianza comportamentale che scaturisce nell’isolamento e nella vendetta “trasversale” a distanza. Secondo altre invece gli hacker sono accomunati da caratteristiche e principi, tra loro strettamente connessi, quali la curiosità, la creatività, la ricerca della perfezione, la sfida nel superare i limiti, un atteggiamento antiautoritario e antiburocratico e, soprattutto, la convinzione che la libera informazione sia il presupposto necessario per il progresso della società.

SOCIOLOGICO

Sotto l’aspetto sociologico le nuove tecnologie creano un ambiente inesplorato dove il soggetto interessato interagisce in modalità differenti dal mondo “reale”. L’uso impersonale dei mezzi informatici ha creato una sorte di onnipotenza dovuta al fatto di poter essere chiunque si voglia in qualsiasi parte del mondo. Ciò provoca un nuovo “essere” globale al di sopra dei limiti conosciuti: nazionali, sociali, di identità. Vi è altresì un processo di antropomorfizzazione che, in casi estremi, può far considerare l’idea che una macchina abbia pensieri e desideri.

NORMATIVO

Sotto l’aspetto normativo si annidano invece i principali problemi che potrebbero ledere la vita dei singoli cittadini. E’ questo infatti il settore che spesso recepisce più lentamente (e negativamente) l’evolversi delle cose. Esiste una reale inadeguatezza sia della legislazione in materia repressiva sia negli strumenti per metterla in pratica. In Italia, l’approccio legislativo sul tema della Criminalità Informatica ha semplicemente esteso alcuni concetti già esistenti.

Solo recentemente la situazione sta lentamente avanzando. Il 27 febbraio 2008 il Parlamento ha ratificato la “Convenzione del Consiglio d’Europa sulla criminalità informatica”. La Convenzione riordina il quadro giuridico italiano per quanto riguarda i crimini informatici modificando alcuni articoli del “Codice Penale” e del “Codice in materia di protezione dei dati personali”.

La novità più eclatante è rappresentata dall’estensione (art. 6) della responsabilità amministrativa delle aziende per una ampia serie di reati informatici. Cosa significa tutto ciò? Nel 2001 con il D.Lgs. 231/01 è stata introdotta nell’ordinamento italiano la responsabilità “amministrativa” delle aziende: per una serie di reati indicati dal legislatore (ad esempio: la corruzione) l’azienda risponde in sede civile e penale per il comportamento dei suoi dipendenti.

Con la ratifica della “Convenzione del Consiglio d’Europa sulla criminalità informatica” anche i crimini informatici vengono inclusi tra quelli previsti dal D.Lgs. 231/01 e dunque le aziende devono darsi regole, misure di sicurezza e controlli per impedire che tali reati vengano commessi al proprio interno.

Ecco l’elenco dei reati informatici di cui le aziende possono essere chiamate a rispondere:

  • attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità;

  • falsità in un documento informatico pubblico o privato;

  • accesso abusivo ad un sistema informatico o telematico;

  • detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;

  • diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;

  • intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;

  • installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche;

  • danneggiamento di informazioni, dati e programmi informatici;

  • danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità;

  • danneggiamento di sistemi informatici o telematici;

  • truffa del certificatore di firma elettronica.

TECNICO-SCIENTIFICO

L’area tecnica è quella in costante evoluzione ed espansione.

Dal punto di vista informatico possiamo delineare nelle seguenti tecniche, le principali “armi” in dotazione al reo telematico. 

VIRUS

Il più noto sistema di violazione è sicuramente il Virus Informatico. Un virus è composto da un insieme di istruzioni, come qualsiasi altro programma per computer. È solitamente composto da un numero molto ridotto di istruzioni, (da pochi byte ad alcuni kilobyte), ed è specializzato per eseguire soltanto poche e semplici operazioni e ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il più possibile invisibile. Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.

Un virus, per essere attivato, deve infettare un programma ospite, o una sequenza di codice che viene lanciata automaticamente, come ad esempio nel caso dei boot sector virus. La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.

Si possono distinguere due fasi di un virus:

    * quando è solo presente su un supporto di massa (disco fisso, floppy, CD, ...) il virus è inerte, anche se copiato sul proprio PC non è in grado di fare nulla fino a quando non viene eseguito il programma che lo ospita;

    * quando è stato caricato in memoria RAM il virus diventa attivo ed inizia ad agire.

Principalmente un virus esegue copie di sé stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi (cancellare o rovinare dei file, formattare l'hard disk, aprire delle back door, far apparire messaggi, disegni o modificare l'aspetto del video, ...).

Alcuni virus vengono denominati in maniera particolare a seconda che possiedano a meno determinate caratteristiche:

virus polimorfico

un virus, di solito, viene criptato lasciando in chiaro solo la routine di decriptazione. Un virus polimorfico modifica il codice della routine di decriptazione ad ogni nuova infezione (lasciando ovviamente invariato l'algoritmo) mediante tecniche di inserimento di codice spazzatura, permutazione del codice, etc...

virus metamorfico

simile al virus polimorfico, è però in grado di mutare completamente il proprio codice, è più potente del virus polimorfico in quanto alcuni software antivirus possono riconoscere un virus dal codice anche durante l'esecuzione. Inoltre a volte impiega tecniche di mascheramento avanzate basate sulla divisione del proprio codice e successivo inserimento delle parti all'interno di diversi punti del file infetto (i virus convenzionali inseriscono il codice integralmente in fondo al file cambiando l'entry point per far eseguire per primo il codice maligno), lasciando inoltre invariato l'entry point per rendere ancora più difficile la vita agli antivirus. C'è da dire anche che la criptazione dei virus metamorfici non è necessaria.

exe virus

virus che infettano i file eseguibili.EXE.

com virus

virus che infettano i file di comando.COM (ormai rari).

companion virus

virus che sfruttano la caratteristica dei sistemi ms-dos che consiste nell'eseguire prima un file di comando.COM e poi un eseguibile.EXE in caso abbiano lo stesso nome di file (es. tra PROGRAM.EXE e PROGRAM.COM se si avvia PROGRAM senza specificarne l'estensione verrà prima lanciato PROGRAM.COM), in questo modo i virus creano dei "gemelli" (companion) che sono copie del virus stesso che, dopo essere stati eseguiti, lanciano il relativo.EXE mascherandosi (ormai rari).

virus di boot

un tipo di virus ormai poco diffuso, che infetta il boot sector dei dischi (floppy disk o hard disk) invece che i singoli file.

macrovirus

può essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint e consiste in una macro; può diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo di virus può essere trasmesso da una piattaforma all'altra, limitatamente a quelle su cui gira MS Office, a causa dello scambio di file.

retrovirus

virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come, ad esempio, l'HIV).

virus multipiattaforma

ci sono stati vari tentativi per creare virus che infettassero più sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso processore, ma si sono rilevati degli insuccessi o hanno avuto un successo molto limitato. In generale questi tipi di virus multipiattaforma si possono difficilmente inserire su un sistema unix-like: di solito la diffusione avviene solo se l'utente esegue un allegato di una mail, cosa già di per se abbastanza remota, e perché un allegato, appena salvato, non può essere eseguito se non gli vengono assegnati i permessi di esecuzione, quindi si può scartare il caso che l'esecuzione sia accidentale; in altri casi addirittura deve essere l'utente root ad eseguire l'allegato, cosa ancora più improponibile per chi sa gestire un sistema di tale tipo. Il successo di questo tipo di virus è circoscritto al fronte dei sistemi operativi della Microsoft, dove invece è possibile quasi sempre eseguire un allegato, anche solo per errore.

SPYWARE

Uno spyware è un software che raccoglie informazioni relativi l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata.  In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione speciale.

Diffusione

Gli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati. In questo senso sono dunque simili ai trojan. Uno spyware può essere installato sul computer di un ignaro utente sfruttando le consuete tecniche di ingegneria sociale. Molti programmi offerti "gratuitamente" su Internet nascondono in realtà un malware di questo tipo: il software dunque non è gratuito, ma viene pagato attraverso un'invasione della privacy dell'utente, spesso inconsapevole. In alcuni casi, la stessa applicazione che promette di liberare dagli spyware ha in realtà installato spyware o è essa stessa uno spyware.

Molti software sono diffusi dichiarando in modo più o meno esplicito di contenere un componente che verrà utilizzato per tracciare le abitudini di navigazione dell'utente: in questo caso siamo in presenza non di uno spyware propriamente detto, ma di un programma rilasciato con licenza adware.

Talvolta l'installazione di spyware viene eseguita in maniera ancora più subdola, attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in; in questo caso si parla di drive by download (o installazione tramite exploit).

Gli spyware possono anche far parte del payload di un malware a diffusione automatica, come un worm, ma questo metodo di diffusione è assai meno comune dei precedenti.

Alcuni spyware vengono eseguiti solo quando si utilizza l'applicazione di cui fanno parte e con cui sono stati installati e la loro esecuzione cessa nel momento in cui si chiude detto programma. Molti hanno invece un comportamento più invasivo, simile a quello di molti trojan o worm: modificano infatti il sistema operativo del computer ospite in modo da essere eseguiti automaticamente ad ogni avvio.

In alcuni casi il meccanismo dei cookies può assumere connotazioni e scopi simili a quelli degli spyware, ma generalmente con rischi nettamente più limitati per l'utente e con efficacia limitata al sito Web che li usa.

Danni causati

Gli spyware costituiscono innanzi tutto una minaccia per la privacy dell'utente, in quanto carpiscono senza autorizzazione informazioni sul suo comportamento quando connesso ad Internet: tempo medio di navigazione, orari di connessione, siti Web visitati, se non dati più riservati come gli indirizzi e-mail e le password. Le informazioni raccolte vengono inviate ad un computer remoto che provvede ad inviare pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione. Gli annunci possono essere ricevuti sotto forma di pop-up, banner nei siti Web visitati o nel programma contenente lo spyware o, nei casi più invasivi, posta elettronica non richiesta (spam). Talvolta lo spyware è utilizzato da vere e proprie organizzazioni criminali, il cui obiettivo è utilizzare le informazioni raccolte per furti di denaro tramite i dati di home banking o tramite i numeri di carta di credito.

Questi malware portano con sé anche delle conseguenze sul funzionamento del computer su cui sono installati. I danni vanno dall'utilizzo di banda della connessione ad Internet, con conseguente riduzione della velocità percepita dall'utente, all'occupazione di cicli di CPU e di spazio nella memoria RAM, fino all'instabilità o al blocco del sistema. Tali conseguenze sono effetti collaterali dell'attività principale degli spyware, ossia quella della raccolta di informazioni. Nessuno spyware ha lo scopo di rendere inutilizzabile il sistema su cui è installato, dato che esso deve essere funzionante per consentire la raccolta e l'invio delle informazioni. Malfunzionamenti sono tuttavia piuttosto comuni, soprattutto nel caso si accumulino molti spyware.

I sistemi Windows non protetti, se usati con inconsapevole leggerezza, possono accumulare centinaia di spyware. La presenza di una tale mole di applicazioni indesiderate causa una notevole diminuzione delle prestazioni del sistema e considerevoli problemi di stabilità. Un altro sintomo comune di una grave infezione da spyware è la difficoltà di connettersi ad Internet, oppure la presenza di tentativi di connessione non richiesti dall'utente. Spesso tali malfunzionamenti vengono attribuiti dall'utente a difetti del sistema operativo, a problemi hardware o a virus, causando quindi azioni radicali come la formattazione e reinstallazione del sistema operativo o il ricorso all'assistenza tecnica, con notevoli perdite di tempo e di denaro. Alcuni spyware inducono perfino a credere che l'eventuale firewall installato sul computer stia funzionando male, simulando messaggi di errore di applicazioni legittime allo scopo di indurre l'utente a concedere l'accesso ad Internet al componente spyware, se non addirittura a disabilitare o disinstallare il firewall stesso.

Strumenti di difesa

L'arma migliore per difendersi dagli spyware è diffidare da qualsiasi software offerto gratuitamente su Internet: come detto l'inclusione in programmi molto scaricati è il mezzo più frequente di diffusione di questi malware. Evitare di visitare siti "sospetti", come quelli che offrono software pirata o crack è un'altra precauzione salutare, così come l'astenersi dal seguire i link contenuti nei messaggi di spam (posta indesiderata) ricevuti nella casella di posta elettronica. Mantenere sempre il proprio sistema operativo aggiornato con le patch rilasciate dal produttore può spesso prevenire l'installazione di spyware che sfruttino di vulnerabilità del sistema (va sottolineato, tuttavia, che si sono avuti esempi di spyware o malware in grado di sfruttare vulnerabilità per le quali il produttore non aveva ancora rilasciato una patch).

PHISHING

Il phishing ("spillaggio (di dati sensibili)", in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

Metodologia di attacco

Il processo standard delle metodologie di attacco di spillaggio può riassumersi nelle seguenti fasi:

   1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

   2. l'email contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).

   3. l'email invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.

   4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

   5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro", a dare le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto online.

Si tratta del denaro rubato con lo spillaggio, per il quale il titolare del conto online, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perché diviene più difficile risalire al suo conto e dati identificativi.

Se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Difesa

Banche, istituzioni o internet provider non fanno mai richiesta dei dati personali a mezzo di una e-mail. In caso di richiesta di dati personali, numeri di conto, password o carta di credito,è buona norma, prima di cancellare, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.

Per eventuali comunicazioni, possono utilizzare un account istituzionale accessibile solo dal loro sito, ma non la e-mail personale del cittadino.

Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di spillaggio.

Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un'azione preventiva.

TROJAN

Un trojan o trojan horse (dall'inglese per Cavallo di Troia), è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

L'attribuzione del termine "Cavallo di Troia" ad un programma o, comunque, ad un file eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan.

In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma. Esistono anche alcuni software legali, come GoToMyPC o PCAnywhere, con funzionalità simili ai trojan, ma che non sono dei cavalli di Troia poiché l'utente è consapevole della situazione.

I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima. Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica, come probabile malware.

Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.

All'incirca negli anni successivi al 2001 o 2002 i trojan incomiciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email.

I Trojan di nuova generazione hanno molteplici funzionalità, quali connessioni tramite IRC bot, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit.

ROOTKIT

Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è una tecnologia software in grado di occultare la propria presenza, relativa a un oggetto malevolo (processo, file, chiave di registro, porta di rete) all'utente o all'amministratore del computer, all'interno del sistema operativo. Se è vero che questa tecnologia è fondamentale per il buon funzionamento del sistema operativo, purtroppo negli anni sono stati creati trojan e altri programmi maligni in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, s'è molto diffusa la pratica tra i creatori di malware di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali.

INGNEGNERIA SOCIALE

Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni.

Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema. Similmente al metodo del tubo di gomma può essere un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.

Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.

Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.

Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.

Le fasi dell'attacco

Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.

Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

Tecniche alternative

Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche. Su questo tema Mitnick ha scritto un libro, L'arte dell'inganno. Altre tecniche descritte in questo libro sono:

  • rovistare nella spazzatura in cerca di foglietti con appuntate delle password, o comunque in cerca di recapiti telefonici indirizzi, ecc.
  • fare conoscenza con la vittima, fingendo di essere un incompetente informatico e chiedendo lumi all'esperto;
  • spacciarsi per un addetto della compagnia che vende i programmi utilizzati, dicendo che è necessario installare una patch al sistema.

In alcuni dei casi descritti, Mitnick afferma di aver avuto accesso diretto alle macchine tramite l'amministratore, utilizzando una connessione ritenuta normalmente sicura come quella SSH (Secure Shell).

CONCLUSIONI

E’ evidente che l’evolversi del crimine non può esimersi da uno studio multidisciplinare. In un futuro prossimo sussisteranno esclusivamente crimini ad alto impatto tecnologico poiché non ci sarà reato che non coinvolgerà almeno un’apparecchiatura digitale.

Ogni tecnica criminale tecnologica verrà affinata con una velocità impensabile per i normali metodi delittuosi. Le rispettive difese dovranno adeguarsi a questo ritmo. Per ora la partita è ancora aperta.

FONTI