La nostra società è evoluta al punto che molti, moltissimi di noi, passano gran parte del proprio tempo online. Per aspetti, questo mondo virtuale rispecchia il nostro mondo reale. I criminali, che sono purtroppo parte integrante della struttura sociale, hanno fatto la loro comparsa anche nella dimensione online. La loro presenza è diventata sempre più dilagante a causa della crescente circolazione di dati e denaro che avviene tramite Internet, la quale non ha fatto che fornire loro un allettante scopo in più. Oggi, il sistema della criminalità informatica è ormai piuttosto maturo: le relazioni sono ben definite e i modelli di business pronti all’uso. Una nuova classe di criminali informatici compra e vende malware liberamente ed in maniera del tutto aperta: dai piccoli truffatori che rubano tante esigue somme di denaro, fino a quelli che cercano di sottrarre grandi cifre in una volta sola. L’attività criminale ha sempre rispecchiato in qualche modo l’architettura del business lecito: si pensi all’immagine di uno scrupoloso contabile mafioso, ad esempio.
Vogliamo comunque sottolineare che il crimine informatico non è attualmente organizzato in una o più lobby mondiali come è per la mafia, con figure di primo piano al comando. Si tratta piuttosto di un mondo interdipendente basato su gruppi con funzioni complementari. L’individuo o il gruppo che possiede una botnet capace di lanciare attacchi DDoS o di distribuire spam, ad esempio, ha bisogno di indirizzi e-mail cui inviare i messaggi. Qualcun’altro, con cui il proprietario della botnet è in contatto, verrà incontro a questa esigenza rubando e vendendo liste di indirizzi. Questo modello di business copia, di fatto, quello del commercio lecito. Proprio come la presenza di un’azienda che produce motori in una specifica zona genera il nascere del relativo indotto, come industrie che producono carburatori o bulloni, così i criminali informatici non hanno bisogno di essere riuniti in un unico gruppo, ma è sufficiente essere connessi per realizzare una mutua collaborazione economica.
Il crimine informatico come business La criminalità informatica è un business come tanti altri, che si comporta secondo schemi e principi precisi quanto tradizionali quali il profitto, la reperibilità, la gestione dei rischi, i mercati emergenti etc.
Il crimine informatico è redditizio Il criterio cardine alla base di ogni business è senza dubbio il profitto, e il crimine informatico non fa certo eccezione: esso è estremamente redditizio. Grosse somme di denaro vengono rubate con successo in azioni singole, così come furti di piccole somme su larga scala. Ad esempio nel solo 2007 vi è stata una media di un crimine denunciato al mese. Gennaio 2007 – Hacker russi, con l’aiuto di intermediari svedesi, rubano 800.000 euro alla banca svedese Nordea. Febbraio 2007 – La polizia brasiliana arresta 41 hacker per aver sottratto, con un Trojan, codici segreti di conti correnti bancari e aver poi rubato 4.74 milioni di dollari. Febbraio 2007 – Diciassette membri di una gang di truffatori della Rete vengono arrestati in Turchia per un furto di 500.000 dollari. Febbraio 2007 – Li Jun, arrestato per il virus “Panda burning Incense” utilizzato per il furto di account nei sistemi di gioco e messaggistica istantanea. Si crede abbia guadagnato circa 13.000 dollari grazie alla vendita di malware. Marzo 2007 – Cinque cittadini provenienti da paesi dell’Europa dell’Est imprigionati in Gran Bretagna per frodi con le carte di credito. Hanno sottratto denaro per circa 1 milione 700.000 sterline. Giugno 2007 – 150 criminali informatici arrestati in Italia, accusati di aver bombardato gli utenti italiani con e-mail false per guadagnare illecitamente 1.250.000 euro. Luglio 2007 – Pare che dei cyber-ladri russi abbiano utilizzato un Trojan per rubare 500.000 dollari ad alcune banche turche. Agosto 2007 – L’ucraino Maxim Jastremsky [aka “Maksik”] arrestato in Turchia con l’accusa di aver guadagnato decine di milioni di dollari grazie ai furti di identità. Settembre 2007 – Gregory Kopiloff, accusato negli USA per aver impiegato i software di file-sharing P2P Limewire e Soulseek per raccogliere informazioni sensibili e poi averle rivendute guadagnandoci migliaia di dollari. Ottobre 2007 – Greg King, arrestato negli USA per aver partecipato, nel febbraio 2007, ad un attacco DDoS a Castle Cops: condannato a 10 anni di reclusione e 250.000 dollari di risarcimento. Novembre 2007 – L’FBI arresta otto persone nella seconda fase dell’iniziativa anti-botnet “Operation Bot Roast”, che pare abbia scoperto più di 20 milioni di dollari in perdite economiche e più di un milione di computer-vittima. Dicembre 2007 – Alcuni criminali hanno fatto irruzione nei computer del Department of Energy’s Oak Ridge National Laboratory (ORNL). Si dice abbiano anche colpito i laboratori Los Alamos National Laboratory e Lawrence Livermore National Laboratory. Rubati, tra il 1999 e il 2004, oltre 12.000 numeri di tessere della Social Security e date di nascita dei visitatori di ORNL. Questa violazione rappresenta un problema di sicurezza nazionale e fa capire quanto si possa essere vulnerabili di fronte al furto di identità e la frode finanziaria.
Questi esempi non sono che la punta dell’iceberg. Le vittime e/o le forze dell’ordine hanno deciso di portare questi casi alla luce per favorire una discussione pubblica sull’accaduto. Ma la maggior parte dei crimini informatici viene investigata “in casa” in maniera silenziosa, e quasi mai i risultati delle indagini vengono resi pubblici. In figura 1, da un recente report del Computer Security Institute, si indicano le ragioni per cui le organizzazioni o le forze dell’ordine scelgono di non portare alla luce tali incidenti.
Il crimine informatico è facile e a basso rischio Il secondo fattore chiave che incide nella crescita del crimine informatico come business è che si può avere successo facilmente e correndo pochi rischi. Se nel mondo reale l’aspetto psicologico funziona in qualche modo da deterrente, in quello virtuale i criminali non vedono di persona le vittime o le società che vogliono colpire, ed è sicuramente più semplice derubare un perfetto sconosciuto con cui non occorre entrare in contatto. Oltre all’anonimato, gioca un importante ruolo la gran quantità risorse disponibili online e l’ampia vendita di vulnerabilità, dai Trojan per costruire botnet fino a vere e proprie soluzioni di affitto delle stesse. Il livello di esperienza tecnica richiesto per gestire un business di questo tipo continua a scendere, così come aumenta il numero di persone che posseggono una buona conoscenza del funzionamento di Internet.
Il crimine informatico sfrutta le possibilità del Web 2.0 La valanga di nuovi servizi offerti da Internet contribuisce fortemente al successo del crimine informatico, e la popolazione mondiale è sempre più pronta ad adottare tali servizi e farne uso. Le aree particolarmente passibili di attacco sono: Internet-money e online banking – L’e-commerce e le banche che lavorano diligentemente per rendere possibili le transazioni finanziarie online, alimentano la continua lotta per bilanciare velocità e convenienza con una adeguata sicurezza. Strutture di archivio dati e applicazioni remote – Dati ed applicazioni sono sempre più spesso raccolti e collocati su server esterni remoti (cloud computing): i criminali possono così dirottare il traffico per avere accesso ad informazioni confidenziali, finanziarie… Giochi online – I crimini includono il furto di password e quello della proprietà virtuale per poi rivendere queste informazioni sensibili molto care. Agenzie di brokeraggio online – Questa modalità veloce e comoda che risponde alle fluttuazioni delle borse è sicuramente molto allettante per i criminali, poiché il mercato delle azioni rappresenta una ingente risorsa di liquidità. Web 2.0 – I social network, i blog, i forum, i wiki, MySpace, YouTube, Twitter, si basano sul download facile, su tecniche di condivisione dell’informazione e di pubblicazione che rendono ogni partecipante potenzialmente vulnerabile alle infezioni di malware.
Come funzionano gli attacchi Ogni generazione di criminali sceglie i propri strumenti di lavoro. I criminali informatici di oggi usano i Trojan come armi predilette per costruire botnet, rubare password e dati confidenziali, per condurre attacchi DDoS e per criptare dati per ricattare le vittime. Una caratteristica inquietante degli attacchi odierni è quella di mantenere una presenza costante nei computer infetti: per realizzare questa finalità, i criminali informatici adoperano le tecniche più diverse. Oggi, alcuni di questi criminali preferiscono condurre attacchi discreti, che colpiscano specifiche società. Scrivere del malware che sia unico e mirato porta via molto tempo, ed il prodotto che ne deriva è anche difficile da attivare. Comunque, una volta lanciati, questi attacchi mirati hanno successo la maggior parte delle volte: in genere garantiscono un notevole profitto a chi li organizza, e anche se rappresentano una piccola fetta del crimine informatico, questa si può dire piuttosto importante.
Le botnet di oggi Attualmente, le botnet sono composte da una quantità di computer infetti piuttosto maneggevoli che rendono abbastanza semplice la gestione dei bot e la raccolta dati. I guadagni dipendono sia dal numero delle vittime che dalla frequenza con cui il nuovo malware viene richiesto. Più esso è longevo all’interno dei PC, più denaro guadagna chi lo controlla. Altri metodi effettivi ed altrettanto popolari in voga oggi per aumentare i margini di profitto, includono la competizione tra “gestori” di botnet e il sabotaggio delle soluzioni di sicurezza.
Tecniche utilizzate dal crimine informatico In termini generali, i criminali informatici oggi devono considerare duDelivery (La consegna) Il primo passo da compiere in qualsiasi attività criminale informatica è la delivery, seguita dall’installazione del malware, ed i criminali informatici utilizzano svariate tecniche per fare in modo che ciò avvenga. I metodi odierni di trasmissione del malware (chiamati anche “vettori di infezione”) sono i mailing di spam e i siti web infetti. L’ideale per il criminale informatico è un computer-vittima che sia vulnerabile e che consenta un’immediata installazione del malware, “consegnato” tramite spam o da uno scenario “drive-by”, in cui il codice maligno è scaricato da un sito che la vittima ha visitato navigando in Internet.
Deployment (L’attivazione) Una volta che il malware è stato consegnato e introdotto nel computer, i criminali faranno di tutto affinché esso rimanga inosservato il più a lungo possibile. I virus-writer fanno uso di svariate tecniche per prolungare la longevità dei codici maligni, devono essere accorti e circospetti non solo per effettuare la consegna del loro prodotto, ma anche per assicurargli la sopravvivenza.
Meno esso è visibile ai radar dei sistemi di sicurezza e alle forze dell’ordine, più a lungo può venire usato per avere accesso ai computer infetti e raccogliere dati. Le tecniche più diffuse di mimetizzazione prevedono tecnologie rootkit, la soppressione dei messaggi di errore di sistema, incrementi nascosti delle dimensioni del file, svariati packer e l’eliminazione dei messaggi di allerta degli anti-virus. Gli autori di malware si avvalgono anche di tecniche di inganno e offuscamento (cosiddette “stealth”) per aggirare l’identificazione da parte delle soluzioni di sicurezza. Il polimorfismo, ad esempio, era un metodo popolare negli anni 90 e poi apparentemente sparito. Oggi si è tornati a questa strategia, anche se raramente si modifica il codice nei computer delle vittime. Invece, si registra una tendenza di polimorfismo dei server: si ricompila il codice su server di Internet con istruzioni “do-nothing” che cambiano col tempo rendendo più complicato identificare il nuovo malware insediatosi nel server. Di fatto, oggi ci sono siti in cui i bot ricompilano il malware ogni 5 minuti.
Attacchi alle Soluzioni di Sicurezza Un’altra tecnica diffusa è il sabotaggio dei programmi di sicurezza per eludere l’identificazione ed estendere la propria “conservazione”. Questo avviene tramite la chiusura dei processi di sicurezza, la cancellazione del codice o la modifica dei file degli host di Windows per impedire gli aggiornamenti del programma anti-virus. Inoltre, il malware spesso rimuove il codice maligno che è già installato, non certo per il bene dell’utente, ma allo scopo di assicurarsi il controllo esclusivo del computer-vittima. Questa attiva competizione tra i programmi maligni evidenzia quali siano le ricche opportunità di cui dispongono i virus-writer e i criminali che li sponsorizzano. Il fattore umano Fondamentalmente, l’efficacia di qualsiasi sistema di sicurezza dipende dall’anello più debole del sistema. Nel caso della sicurezza online, l’anello più debole è rappresentato dal fattore umano. Oggi, le tecniche di ingegneria sociale sono un elemento chiave nel processo di diffusione del malware.
Spesso si tratta di azioni semplici quali l’invio di link che risultano inoltrati da un amico via e-mail o IM. Questi link sono fatti in modo da far credere che conducano ad interessanti risorse online, ma di fatto portano solo a siti infetti. Al giorno d’oggi, i messaggi di posta elettronica possono contenere degli script che connettono l’utente a siti infetti senza che questi debba fare nulla. Anche persone con cognizione di causa e generalmente caute, che mai cliccano su link sconosciuti o anche solo minimamente sospetti, corrono il rischio di infezione eseguendo un download “drive-by”. Sempre più spesso in queste “campagne criminali” si fa un mirato utilizzo dei temi di attualità, cosa che porta a dei risultati incredibilmente efficaci. Il phishing continua ad essere la maggiore fonte di infezione, nonostante gli sforzi fatti dalle banche e altre società che effettuano transazioni finanziarie. Troppe vittime innocenti possono ancora venire convinte a cliccare dei link “interessanti” e ad accettare come legittime comunicazioni apparentemente ufficiali.
Considerazioni finali dell’autore Per far fronte al crimine informatico abbiamo bisogno di sviluppare ed implementare svariate strategie di protezione. Ovviamente, un software anti-malware e strategie di gestione dei rischi sono essenziali a tutti i livelli. Comunque non mi stancherò mai di ripetere che, oltre ad adeguate strategie di protezione dal codice maligno, è necessario, per risultare vincenti nella lotta al crimine informatico, uno sforzo da parte di tutta la comunità. Vi deve essere una efficace Interpol per Internet, ma va fatta anche una sapiente educazione dell’utente, intraprese campagne di sensibilizzazione come quella che raccomandava con vigore l’uso delle cinture di sicurezza agli automobilisti. Dovrebbero essere adottate misure e norme legali che richiedano alle persone di comportarsi, online, in maniera sicura e rispettosa della legge, così come vere e proprie conseguenze legali che diano forza all’introduzione delle dovute norme. Così come è stato per le cinture di sicurezza, anche nel nostro caso è necessaria un’educazione a lungo termine e costante affinché queste misure vengano accettate ed introdotte nella maniera più ampia possibile. Anche se non credo che saremo in grado di debellare del tutto il crimine informatico, così come è impossibile fare lo stesso con il crimine in generale, sono però fermamente convinto che possiamo rendere Internet un posto più sicuro. Ci vorranno più sforzi rispetto a quelli evocati: più misure adottate, più società e aziende coinvolte, e più di un singolo governo. Serve una comunità unita, formata da individui che singolarmente contribuiscono al grande scopo comune della sicurezza online…solo così si potrà vincere la dura battaglia contro il crimine informatico. Questo è uno scopo che vale tutti i nostri sforzi.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!