Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2012  ottobre 05 Venerdì calendario
La storia raccontata da Giorgio Dell'Arti 

Stefania Parmeggiani, la Repubblica 5/10/2012, 5 ottobre 2012

IO, HACKER PER UN GIORNO COSÌ VI RUBO LE PASSWORD

Per violare un computer, rubare l’identità e il numero di carta di credito del proprietario, scovare i codici e le password del suo conto in banca e lasciarlo senza neanche uno spicciolo bastano buone conoscenze nella rete, un kit che si rimedia anche per qualche decina di euro e un’oretta di tempo libero. E, ovviamente, una mente criminale e cattive, anzi cattivissime intenzioni.
Bisogna farsene una ragione: non serve essere un
cracker,
la versione “nera” degli hacker, né uno Zuckerberg o uno Steve Jobs in erba. Ci può riuscire chiunque, anche un semplice cronista, meglio se assistito da un classico “smanettone” da pc capace di indirizzarlo nei siti giusti.
Il primo passo è trovare un buon
crimeware kit,
ovvero un codice malevolo pronto all’uso con tanto di libretto delle istruzioni. Il fai-da-te del crimine digitale esiste già da qualche anno, ma è sempre più aggressivo: i gruppi organizzati hanno capito che commerciare i kit per gli attacchi informatici è un grosso affare. Ne inventano di nuovi, aggiungono optional per rendere la merce più appetibile, danno assistenza tecnica a chi li acquista e offrono anche giri di prova. Come se vendessero un’auto, non un grimaldello per forzare le nostre casseforti.
Dove si comprano e a che prezzo i kit che promettono di trasformare chiunque in un criminale informatico? Per scoprirlo abbiamo simulato un vero e proprio attacco: bisognava scegliere una vittima — per questa volta consenziente — e “infettarla” grazie a uno dei kit disponibili on line. Abbiamo rubato i suoi dati e abbiamo provato a rivenderli sul mercato nero. Insomma, per un giorno anche
noi ci siamo trasformati in hacker fai-da-te.
ALLA RICERCA DEL KIT
Si chiama Zeus ed è considerato il padre di tutti i
crimeware kit
sviluppati per rubare password, carte di credito, credenziali bancarie e molto altro. Anche se oggi esistono minacce più sofisticate, come
BlackHole,
nell’Olimpo dell’informatica Zeus resta un mito: è sopravvissuto ai raid della polizia e alle guerre tra bande. Ha cambiato forma molte volte e oggi minaccia persino gli smartphone. Secondo l’Fbi uno dei suoi figli più giovani, Citadel, dopo il debutto di inizio anno sui forum underground russi, viene venduto per 2500 dollari. Optional esclusi. Non volendo alimentare il mercato criminale lanciamo una richiesta di aiuto su una bacheca di hacker: chiediamo il codice sorgente di Zeus, divulgato gratuitamente più di un anno fa. Otteniamo il link e la password per scaricarlo e in aggiunta l’indicazione di un video che ne spiega l’utilizzo. È diviso in due parti, una quindicina di minuti ciascuno con tanto di colonna sonora (neanche a dirlo musica elettronica) e grafica nera con teschio sullo sfondo. Comincia con il decantare le qualità della merce: «È un vecchio strumento, ma ti permette di rubare password e dati di credito. Ti mostrerò come usarlo, passo dopo passo ». La videocamera inquadra il desktop di un pc e la lezione entra nel vivo. Scopriamo come modificare il file eseguibile, quello che ci servirà per prendere il controllo della macchina: è necessario che il nostro ladro elettronico,
una volta sferrato l’attacco, sappia a chi inviare le informazioni. Dobbiamo anche decidere ogni quanto tempo riceverle su un pannello di controllo sul web. In teoria meno volte il nemico invisibile comunica con il suo padrone meglio è: si riducono i rischi di essere scoperti. Noi non abbiamo questo problema e decidiamo che sessanta secondi sono un’attesa più che sufficiente. Non ci resta che tendere un tranello alla vittima. Ma come possiamo indurla in errore perché cada senza accorgersene nella nostra trappola?
SCATTA LA TRAPPOLA
Il video che ci guida passo dopo passo sulla strada del crimine informatico suggerisce raffinate tecniche di raggiro, ad esempio spiega come nascondere il file eseguibile in un programma per fare musica: «La vittima sarà felice di installarlo e voi di avere la sua carta di credito». Potremmo provarci, ma confidiamo nella più semplice delle eventualità: l’errore umano. D’altronde il pc nel nostro mirino è una facile preda: il suo antivirus non viene aggiornato da mesi. Appartiene a un tecnico informatico, Cristiano Aluffi, che ha acconsentito a fare da cavia e che ci assiste nelle varie fasi dell’attacco. Antonio Forzieri, docente del politecnico di Milano e security practice manager della Symantec, azienda americana di antivirus, ci spiega i sistemi più utilizzati dai criminali per diffondere il contagio: «Possiamo dividerli in due grandi famiglie, da una parte i siti compromessi, non necessariamente quelli per adulti. Anzi, le pagine religiose superano quelle pornografiche per numero di minacce medie presenti con un rapporto di 115 a 25. Dall’altra le mail con un link o un allegato infetto».
Per la nostra simulazione scegliamo la mail. Nel 2011 ogni giorno sono state spedite per il mondo 42 miliardi di
mail spam e non tutte promuovevano prodotti con promesse di miracoli della virilità: molte erano una trappola. La vittima-complice abbocca all’amo e apre il pdf, una pagina di giornale che nasconde il codice nocivo. Non si accorge di nulla, manda una mail, controlla la bacheca di Facebook e fa un acquisto on-line. Dopo pochi secondi sulla nostra interfaccia arrivano i dati: indirizzo di posta elettronica e password, account del social network, nome e cognome, numero di carta di credito, data di scadenza e codice di sicurezza.
Ce ne dimentichiamo immediatamente, ma se invece di simulare stessimo facendo sul serio, cosa potremmo fare con questi dati? Potremmo arrivare al plafond della sua carta di credito, ma non è così semplice: anche per il commercio elettronico, così come per l’accesso ai conti correnti on line, esistono sistemi di autenticazione basati su password temporanee monouso. Le banche poi si allertano di fronte a transazioni di denaro su conti correnti stranieri o pagamenti dall’estero e spesso bloccano l’operazione prima che vada in porto. Sempre più persone sono avvisate, tramite sms, di ogni pagamento o prelievo e quindi sono in grado, una volta constatata l’anomalia, di bloccare la propria carta. Quindi? Proviamo a rivendere le informazioni rubate.
IL MERCATO NERO DI INTERNET
Basta digitare su YouTube “cvv2” per trovare video promozionali di pirati del web che pubblicizzano la propria merce. Oppure scrivere
dumps seller,
venditore di codici, in un qualsiasi motore di ricerca per trovare migliaia di annunci. Ma i veri affari si fanno altrove, nei negozi on line del
deep web,
l’Internet sommerso. Antonio Forzieri ci aiuta a visitarne uno: le offerte italiane non mancano.
Il numero di una carta di credito è venduto a dieci dollari, ma più se ne acquistano più il prezzo scende. Come per le offerte al supermercato. «Le carte di credito italiane hanno un prezzo mediamente più alto di quelle statunitensi, ma solo perché in circolazione ce ne sono di meno». Ma chi alimenta il mercato nero? Evidentemente non siamo gli unici ad avere scaricato e utilizzato un
crimeware kit.
LA CAPITALE DEI COMPUTER ZOMBIE
«La diffusione di questo genere di kit è preoccupante — spiega Carlo Iantorno, National Technology Officer di Microsoft Italia — perché segna il passaggio da una fase di attacchi compiuti da hacker a una in cui chiunque, anche con poche conoscenze informatiche, può improvvisarsi criminale. Sul mercato esistono da anni ma è recentemente che abbiamo assistito a una vera esplosione del fenomeno ». Nel mondo, ma anche in Italia dove, stando ai dati di Microsoft, esistono un milione e 400mila computer infetti, in pratica il 9 per mille. «Siamo leggermente sopra alla media mondiale, ma esistono paesi come la Turchia in cui la percentuale supera il 20 per mille». Se andiamo a dare un’occhiata più da vicino al nemico invisibile che si annida nei nostri computer scopriamo che l’11 per cento è programmato per rubare password. Peggio di noi
fa solo il Brasile. Dati non certo tranquillizzanti, anche se Iantorno non vuole fare allarmismi: «Il 35 per cento delle infezioni è legato alla pubblicità pirata. È questa la piaga maggiore in Italia». Unita al fatto che molti computer, all’insaputa dei proprietari, sono stati “catturati” e inseriti
in una
botnet,
una rete di computer controllati da remoto. Secondo l’ultima ricerca Symantec l’Italia ha il primato in Europa, Medio Oriente e Africa (il cosiddetto Emea) ed è quarta a livello mondia-le, dopo Stati Uniti, Taiwan e Brasile per numero di pc zombie: una percentuale-monstre del 18,3. Roma, a conferma del primato italiano, ha quasi 60mila pc controllati da remoto e utilizzati per lanciare attacchi coordinati e mirati. Nel pianeta fa peggio solo Taipei (157mila).
DANNI MILIARDARI
Secondo l’ultimo Norton Cybercrime Report il volume di affari del cybercrimine nel mondo si aggira attorno ai 388 miliardi di dollari, una cifra che supera quella del mercato nero mondiale di marijuana, cocaina ed eroina messe insieme. Più di un milione di vittime al giorno, cinquantamila ogni ora, 820 al minuto, 14 al secondo che hanno perso tutte insieme 114 miliardi di dollari e una quantità di tempo (per risolvere il problema) stimata in 274 miliardi di dollari. In Italia il 68 per cento degli adulti è stata vittima di un crimine informatico, perdendo in media nove giorni di tempo contro un inglese che riesce a sbrigarsela in appena 4 giorni. Tutto questo, ovviamente, ha un costo: nel nostro paese sono stati polverizzati, in termini di perdite dirette, 857 milioni di dollari e una quantità di tempo quantificata in 8,5 miliardi di dollari.
UN FENOMENO IN CRESCITA
«Il furto dei dati personali, rappresenta al momento, per ampiezza dei numeri e per la sua prodromicità rispetto alla quasi totalità dei reati informatici, il fenomeno criminale più importante della rete Internet». A metterlo nero su bianco in una inedita relazione scritta per il Clusit, associazione per la sicurezza informatica che dipende dall’università di Milano, è la nostra polizia postale. Nel 2011 ha infatti ricevuto 4.707 denunce, e ha denunciato 210 persone. Tra i dati un altro emerge con prepotenza. È il numero di carte di credito e di bancomat clonati: 19.356 denunce ricevute e 77 persone arrestate. Un settore sensibile resta quello dell’home banking: l’anno scorso la polizia ha indagato su 10.339 attacchi al sistema bancario italiano denunciando 975 persone e arrestandone 4. E se accanto ai criminali professionisti s’ingrossa la schiera di quelli fai-da-te, il rischio non può che aumentare. Nulla di cui stupirsi, visto che violare un computer con i kit acquistati sul mercato nero è proprio un gioco alla portata di tutti.