GIULIA MIGLIORANZA
UTONTO VS UTENTE CRACKING E SICUREZZA INFORMATICA ALL'INTERNO DELLE AZIENDE
GIULIA MIGLIORANZA Università Iuav di Venezia Facoltà di Design e Arti Corso di laurea specialistica in Comunicazioni Visive e Multimediali Tesi di laurea Utonto vs utente - Cracking e sicurezza informatica all’interno delle aziende Giulia Miglioranza matr. n. 265885 sessione straordinaria 2008-2009 Relatore Massimiliano Ciammaichella Correlatori Stefano Mazzanti, Davide Rocchesso
Questa tesi è stata scritta in Linotype Universe e in Equilibrium In copertina City informatica
UTONTO VS UTENTE CRACKING E SICUREZZA INFORMATICA ALL'INTERNO DELLE AZIENDE
INDICE
Introduzione
7
SICUREZZA INFORMATICA Sicurezza informatica Il mondo degli hacker Intervista ad un hacker I pionieri dell’hacking
13 15 19 22
CRACKING Hacker vs cracker Tecniche di attacco Prevenire gli attacchi informatici Dispositivi crackabili
33 36 45 50
COMUNICARE LA SICUREZZA INFORMATICA Stato dell’arte Emaze Networks Dinamiche aziendali Comunicare con i clienti
56 62 64 67
CRACKER ALARM Il video Protagonisti e scenari Trama degli episodi Storyboard
73 75 86 90
CONCLUSIONI
97
Glossario
98
Appendice Bibliografia, sitografia, filmografia e fonti iconografiche 4 - UTONTO VS UTENTE
102 INDICE - 5
INTRODUZIONE
Gli anni ‘50 e ‘60 hanno segnato la nascita dell’informatica e quindi l’inizio della grande rivoluzione culturale che ha cambiato il modo di vivere e di comunicare delle persone. Da allora la tecnologia è avanzata esponenzialmente, diventando una componente essenziale delle nostre vite. Tramite il computer possiamo gestire interamente la nostra vita, sia nel lavoro che nel tempo libero. Le e-mail e gli sms hanno preso il posto delle lettere cartacee, i cellulari ed Internet permettono alle persone di comunicare in qualunque momento e a qualsiasi distanza. Oggi gran parte delle relazioni interpersonali nascono e si mantengono grazie a social network come Twitter, MySpace, Facebook, ... . Anche l’immaginario collettivo è influenzato dal mondo cybernetico, dai fumetti come: “Ghost in the Shell” di Masamune Shirow, ai film come “Hackers” di Iain Softley, alla moda cyberpunk e così via. A dispetto dell’informatizzazione della quotidianità, c’è un abissale gap tra una cultura basata sempre più fortemente sul mondo dell’informatica e la reale consapevolezza dei rischi, comportati dall’utilizzo della tecnologia. Parallelamente alla nascita dei primi computer, ha iniziato ad emergere il problema della sicurezza informatica e telematica. Intercettazioni, furti d’identità, truffe elettroniche, violazioni di sistemi di sicurezza e di banche dati; oggi la protezione delle informazioni riguarda ognuno di noi. Per salvaguardare i dati sensibili è importante conoscere non solo i potenziali attacchi informatici, ma anche i metodi per prevenirli. Soprattutto in ambito lavorativo, chiunque oggi dovrebbe essere responsabile e cosciente di quello che compie sul piano informatico. 6 - UTONTO VS UTENTE
INTRODUZIONE - 7
Questi temi, però, non vengono mai affrontati nello specifico, sebbene se ne senta parlare quotidianamente. Basti pensare alla recentissima cronaca, che ha riportato il mega-attacco informatico partito da un gruppo di cracker in Germania, ai danni di circa 2.500 aziende - tra cui la Paramount Pictures, agenzie governative statunitensi e colossi farmaceutici come Merck & Co. - appartenenti a quasi 200 paesi(1).
L’attacco è stato scoperto nel gennaio 2010 dall’esperto di sicurezza informatica Alex Cox. (1)
Per far conoscere veramente il problema a tutte le persone, è necessario iniziare una capillare ed efficace campagna di sensibilizzazione ed informazione sulla sicurezza informatica. La sfida sta nel riuscire a comunicare in modo chiaro ed esaustivo argomenti inerenti ad un campo altamente specializzato come quello dell’informatica, senza banalizzare il problema o risultare incomprensibili. Bisogna fornire le conoscenze essenziali per proteggere in modo efficace le informazioni e per agire in modo accorto sul piano informatico. Un primo piccolo passo verso questo lungimirante intento è rappresentato dalla realizzazione di Cracker Alarm, un video di informazione e sensibilizzazione sul problema della sicurezza informatica, rivolto principalmente ad utenti aziendali.
8 - UTONTO VS UTENTE
INTRODUZIONE - 9
SICUREZZA INFORMATICA
SICUREZZA INFORMATICA
La digitalizzazione di documenti e dati sensibili ha determinato in modo sempre più pressante la necessità di salvaguardare i sistemi informatici. La sicurezza informatica, o information security, si occupa della protezione di tali sistemi, sia sul piano fisico che a livello logico. Gli hacker sono le persone che operano in questo settore. Inoltre, in ambiti particolarmente sensibili come quelli aziendali, la protezione delle informazioni è gestita dal security manager, che si occupa della sicurezza in tutti i suoi aspetti e non solo di quella informatica. Sul piano teorico, la condizione ottimale per la sicurezza prevede lo spegnimento del sistema, posto in un luogo non accessibile, quindi inutilizzabile. Nella realtà si tende ad avvicinarsi il più possibile a questa condizione per evitare che qualcuno violi il sistema informatico. L’insieme delle tecniche utilizzate per impedire l’intrusione di un cracker nel luogo in cui si trova il sistema informatico fa parte della cosiddetta sicurezza passiva. Alcuni strumenti difensivi di questa categoria sono: i sistemi di allarme, le porte blindate, i sistemi di identificazione personale. I server devono essere custoditi in luoghi sottoposti a sorveglianza costante. La sicurezza passiva è fondamentale anche se si adotta un sofisticato sistema di sicurezza informatica. La sottrazione di informazioni importanti, infatti, può avvenire senza l’utilizzo di tecniche digitali. Ad esempio, Kevin Mitnick, detto Condor, è un famoso cracker californiano ricercato a lungo dall’FBI negli anni ‘80 e ‘90, che spesso operava con la tecnica del social engineering. Questo metodo consiste nell’acquisire direttamente dalle persone coinvolte le informazioni riservate, attraverso l’inganno e una serie di sotterfugi informatici ... . 12 - SICUREZZA INFORMATICA
SICUREZZA INFORMATICA - 13
Se il cracker deve impossessarsi dei dati contenuti in un computer custodito in un locale sorvegliato, con la tecnica del social engineering, ha un’alta probabilità di riuscirci. Dopo aver causato un’anomalia sulla rete informatica dell’azienda, telefona di persona al custode del locale fingendosi un tecnico preoccupato di riparare il danno, rilevato da un controllo remoto. Avendo in tempo reale la conferma del guasto, il custode si fida del cracker, che poco dopo arriva sul luogo travestito da tecnico ed entra senza problemi nel locale che ospita il computer. A quel punto l’obiettivo del cracker è raggiunto. Per difendere un sistema in modo ottimale i dati devono essere salvaguardati soprattutto attraverso tecniche informatiche. La sicurezza attiva consiste nel proteggere i dati sensibili e le informazioni, sia dalla violazione, che dalla manipolazione da parte di utenti non autorizzati. Nel primo caso si parla di confidenzialità, nel secondo di integrità dei dati protetti. Le aziende di sicurezza informatica si occupano degli aspetti legati alla sicurezza attiva dei dati. Il controllo della salvaguardia di informazioni sensibili può essere condotto sia tramite il monitoraggio remoto del sistema in questione, sia con l’utilizzo di specifici programmi di protezione, spesso progettati ad hoc a seconda delle necessità del cliente. Ad esempio, l’azienda Emaze Networks(1) di Trieste produce degli interessanti strumenti che permettono di monitorare e proteggere i dati sensibili. Interessante è il caso di ipLegion, una piattaforma di Vulnerability Assessment che “identifica in tempo reale le minacce e i rischi sui sistemi e sulla rete. Suggerisce ai tecnici le contromisure e fornisce ai manager una visione di insieme dello stato di sicurezza”(2).
IL MONDO DEGLI HACKER
Gli hacker sono esperti che utilizzano e sviluppano le proprie capacità per proteggere i sistemi informatici. Il mondo degli hacker è popolato prevalentemente da persone di età compresa tra i 16 e i 30 anni. In Italia questo aspetto viene accolto con difficoltà perché la realtà lavorativa tende a diffidare del lavoro dei giovani, mentre all’estero viene considerato un punto di forza. L’hacker camuffa la propria identità all’interno della rete tramite un nickname, che equivale ad un soprannome o ad un nome d’arte. Sebbene per la maggior parte gli hacker siano uomini, c’è un numero abbastanza nutrito di donne che si dedica alla sicurezza informatica. La maggior parte degli hacker inizialmente si concentrava in America, soprattutto nella Silicon Valley, luogo in cui negli anni ‘60 e ‘70 è nata l’informatica e con essa il problema della sua salvaguardia. Oggi in tutto il mondo sono presenti queste figure professionali, se così possiamo chiamarle, dato che più che un lavoro quello dell’hacker è uno stile di vita. Il principio che sta alla base del lavoro degli hacker è quello dell’open source, che si fonda sui presupposti delle informazioni aperte e del libero scambio di tecnologie. Il termine open source indica che il software è aperto a modifiche e che il codice sorgente è disponibile per tutti. Il noto saggio “La cattedrale e il bazaar” di Eric S. Raymond(3), presentato per la prima volta nel 1997 durante un congresso dedicato a Linux, è considerato il manifesto del movimento open source. Raymond paragona lo sviluppo tradizionale del software alla struttura gerarchica presente nella cattedrale, e la program-
14 - SICUREZZA INFORMATICA
IL MONDO DEGLI HACKER - 15
mazione del software libero al modo di lavorare all’interno del bazaar. Il modello a cattedrale prevede un numero esiguo di sviluppatori, ciascuno di essi concentrato in una particolare porzione di codice. I bug finali sono difficilmente prevedibili e il lavoro si svolge in un arco di tempo molto lungo. Nel modello a bazaar, invece, il codice sorgente è disponibile liberamente. Qualunque programmatore di buona volontà può apportare il suo contributo allo sviluppo e alla correzione del software. In questo modo “ogni problema verrà rapidamente definito e qualcuno troverà la soluzione adeguata, [...] molte teste funzionano inevitabilmente meglio di una sola” (4). Inoltre, essendo quotidianamente soggetti all’analisi di innumerevoli occhi, i bug del codice in via di sviluppo vengono identificati e corretti costantemente. Uno strumento fondamentale per l’hacker è il Jargon File, una sorta di bibbia dell’hacking, ideato nel 1975 da Raphael Finkel. Il Jargon File è principalmente un glossario che raccoglie tutta la terminologia e la grammatica del gergo hacker. Nel corso degli anni sono state pubblicate diverse versioni del File. Dopo un lungo periodo di stallo, nel 1990 il Jargon File ha iniziato ad essere nuovamente revisionato a cura di Eric S. Raymond. Oltre al testo originario e ai relativi ampliamenti, a questa versione del File sono stati aggiunti dei capitoli extra, che trattano argomenti inerenti la cultura hacker. Il Jargon File fornisce un linguaggio comune a tutti gli hacker, per comunicare, condividere esperienze ed arricchire la propria conoscenza. La padronanza del gergo è anche un metro di valutazione per determinare se una persona appartiene o meno al mondo degli hacker. Risulta quindi allo stesso tempo uno strumento di comunicazione, di inclusione e di esclusione. Il gergo dell’hacker è composto da tre categorie di linguaggio: lo slang, che deriva dal tradizionale Inglese e dalle sottoculture quali quella dei biker, dei fan dei gruppi rock, dei surfisti e così via; il jargon, ovvero il linguaggio colloquiale predominante tra gli hacker; il techspeak, cioè il vocabolario tecnico formale utilizzato nella programmazione, nella scienza informatica, nell’elettronica e negli altri ambiti connessi al mondo dell’hacking. Nel Jargon File è studiata, e presentata nello specifico, la categoria del linguaggio jargon, composto da termini provenienti da diverse lingue. Il suo processo formativo richiede una logica interna così precisa che, in diverse culture e con differenti linguaggi, sono stati realizzati jargon con forti analogie. Serve fondamentalmente ad ufficializzare e rendere universali i termini jargon . 16 - SICUREZZA INFORMATICA
In uno degli ultimi capitoli del Jargon File troviamo una graffiante e divertente descrizione di J. Random Hacker, un personaggio immaginario che riassume in sé tutte le caratteristiche degli hacker. Gli aspetti più interessanti di J. R. Hacker sono: l’intelligenza superiore alla norma, la propensione alle sfide e l’innato senso dell’umorismo. J. R. Hacker utilizza un linguaggio forbito, caratterizzato da una sottile ironia. Comunica con maggiore disinvoltura scrivendo piuttosto che parlando. Difficilmente fa trapelare le proprie emozioni. J. R. Hacker veste con indumenti comodi, solitamente T-shirt personalizzate con frasi, jeans e scarpe da ginnastica. Dopo il 1995 il suo guardaroba è stato influenzato dalle correnti punk, gotica e rave. J. R. Hacker legge molti libri, soprattutto fantascientifici, e svariate riviste specializzate. La sua cultura è data soprattutto dai suoi studi da autodidatta. Ama i giochi di logica e Dungeons and Dragons, anche se da quando è diventato il gioco più famoso d’America ha iniziato a scemare il suo favore - a J. R. Hacker non piace tutto ciò che è commerciale, compresa la musica pop. J. R. Hacker pratica solo ed esclusivamente le arti marziali. Odia profondamente i lavori della Microsoft, la burocrazia, la televisione - eccetto Star Trek -, l’incompetenza e le interfacce grafiche che presentano dei personaggi nel menu di navigazione. L’aggiornamento e lo studio delle tecniche informatiche è un aspetto fondamentale del lavoro dell’hacker. Oltre a passare intere nottate su siti specializzati, spesso egli partecipa alle conferenze del settore, che vengono organizzate con una certa frequenza. Gli incontri annuali più importanti sono i Black Hat Briefings(5), che ospitano gli hacker più influenti del mondo. Fondati nel 1997 da Jeff Moss, i Black Hat inizialmente si tenevano a Las Vegas; oggi questi eventi si dividono fra: USA, che indica l’originaria Las Vegas, Washington DC, Europa, Abudhabi e Tokyo.
Logo dell’evento Black Hat Briefings.
Un importante presupposto per operare nel campo della sicurezza informatica è conoscere profondamente il nemico, ovvero il cracker, per prevenire e sventare i suoi attacchi. Molti hacker sono cracker pentiti che hanno precedenti penali per azioni informatiche compiute con fini illeciti. Un famoso esempio è quello di John Draper, detto Capitan Crunch. Riproducendo le frequenze emesse dal fischietto trovato in regalo negli omonimi cereali, negli anni ‘70 Capitan Crunch creò un circuito elettrico chiamato Blue Box. Grazie a questo dispositivo, l’hacker compiva in modo semplice IL MONDO DEGLI HACKER - 17
il reato del phreaking(6) ai danni della compagnia telefonica Bell. Inoltre vendette la Blue Box ad esponenti del crimine organizzato. Per questi motivi Capitan Crunch passò diversi anni in carcere. Dal 2001 John Draper si è convertito al campo della sicurezza informatica e ha inventato il Crunch Box, un noto programma di difesa informatica. Talvolta la linea di separazione tra il mondo degli hacker e quello dei cracker è molto sottile. Può capitare che un hacker, esplorando la rete, finisca per un errore di digitazione all’interno del server della biblioteca nazionale di uno stato estero. In tal caso deve immediatamente contattare l’ambasciata, riferire l’errore e sventare così un’inopportuna crisi diplomatica con lo stato offeso. Oppure un attacco da parte di veri cracker può risultare così esilarante da associarlo all’azione goliardica di simpatici hacker. Un caso del genere è accaduto nel Febbraio 2009 vicino ad Austin nel Texas, dove i cartelli stradali elettronici riportavano la minacciosa avvertenza “Caution! Zombies! Ahead!!!”, “Attenzione, zombi più avanti!!!”. Nello stesso periodo in Indiana i cartelli stradali elettronici riportarono l’avviso “Raptors ahead caution”, “Dinosauro raptor più avanti, attenzione”.
INTERVISTA AD UN HACKER
Fotografia della Blue Box appartenuta a Steve Wozniak, cofondatore della Apple Computer Inc. La fotografia, scattata nel 1972, è stata tratta dall’archivio informatico del Computer History Museum di Mountain View, CA.
Ivan Giacomelli, giovane hacker che attualmente lavora per un’importante azienda di information security di Londra. [5 ottobre 2009]
“Finché non ci sarà la giusta sensibilizzazione e non si darà il giusto peso all’importanza di questo settore, non è facile fare una previsione sul futuro”
A destra e in alto, due fotografie amatoriali di cartelli stradali colpiti dall’attacco di cracker ignoti. Sono state scattate rispettivamente ad Austin, Texas, e in Indiana.
18 - SICUREZZA INFORMATICA
Quando e come è nata la tua passione per l’hacking? Durante l’adolescenza, prima è nata la passione per l’informatica che si è evoluta in passione per la security. É stata una cosa abbastanza naturale. É iniziata con l’interessarsi a certi aspetti ed argomenti, per poi evolversi in una passione a tutto tondo nel campo della sicurezza. Quali sono i maggiori problemi che hai riscontrato finora nella comunicazione con il cliente? L’ignoranza prima di tutto. Sono poche le persone, soprattutto se non tecniche o non di educazione tecnica, che si sforzano di capire le vere motivazioni che devono spingere un’azienda a curare l’aspetto della sicurezza. A questa cosa si aggiunge il fatto che, come in tutte le varie sfere del business, un’azienda sia soggetta a pianificazioni di budget. Purtroppo non essendoci tanta coscienza a riguardo è uno dei settori che riceve meno sovvenzioni.
Sei d’accordo con le teorie di Stallman riguardanti l’open source e il free software? Sì, sono d’accordo. Il software è cultura, come la musica o la poesia, e per questo deve essere dominio di tutti. Anche qui sono purtroppo gli interessi economici che vincono. Quali hacker ti hanno ispirato in questi anni? Per primi i ‘soliti noti’ : Stallman, Raymond, Captain Crunch (che ho avuto l’onore di conoscere di persona l’anno scorso ad una conferenza) e successivamente personaggi come FX, Skyper (ex collega), RainForestPuppy. Piu’ in generale crew come: THC, CCC, e-zine come ad esempio Phrack, OndaQuadra (italiana), BFI (Butchered From Inside, italiana). Anche in Italia non sono mancati gli spunti: Buffer, Vecna, Alor e Naga, Xoanon, RGod, Sgrakkyu, Twiz, i ragazzi di s0ftpj, Gli Spippolatori, il collettivo Autistici/Inventati, MetroOlografix. Ho la fortuna di aver conosciuto parecchi di loro col passare del tempo, per iniziativa personale o per motivi di lavoro e ognuno di loro mi ha lasciato qualcosa. INTERVISTA AD UN HACKER - 19
Come affronti un nuovo pro- Preferisci lavorare in team o getto? Quanta creatività metti da solo? nel lavoro? Dipende: dal progetto, dal moUn nuovo progetto deve innan- mento, dalla voglia, dagli obiettizitutto partire con l’entusiasmo vi. Alcune cose riescono meglio e la consapevolezza che lo si da soli, altre in team. Dipende. vedrà evolvere in qualche modo, anche se non necessariamente nel modo in cui lo si vorrebbe Mediamente quante ore al giorall’inizio. Non deve essere ‘poin- no stai davanti al computer? tless’ se vogliamo usare un in- 10-12, ma 8 sono di lavoro quinglesismo che rende abbastanza di non le conterei. ;) bene il concetto. La creatività è una componente fondamentale e nel mio lavoro Nel campo della sicurezza infaccio il possibile per metterne formatica chi sono i maggiori più che posso. Non tutto è ba- competitor a livello nazionale nale come sembra, molto spes- e internazionale? so le soluzioni devono per forza In Italia Emaze, Communication essere ‘tricky’ o addirittura ‘dou- Valley, Spike-Reply, Hacking ble-tricky’ quindi una certa com- Team, Secure Network. A livelponente di fantasia non guasta. lo internazionale Core Security, Immunity Inc., Corsair, multinazionali del calibro di McKinsey Hai mai creato un programma ed Accenture. con l’aiuto di altri hacker? Li conoscevi di persona? Si è creata un’atmosfera di fiducia Sei mai stato ad un convegno e collaborazione? di sicurezza informatica? Che Sì, mi è capitato. Sia con perso- atmosfera si respira? ne che ho frequentato che con Sì, in media 5-10 all’anno. Dipenpersone conosciute online. Alla de dal tipo di convegno, quelli fine lavorando per un obiettivo spiccatamente ad orientamento comune, alla lunga gli intenti tecnico sono quelli che preferiescono allo scoperto e per forza sco, li sento più vicini a me. di cose, sulla base di questo, si Quelli orientati al parlare al ‘macostruiscono i rapporti di fidu- nagement’ non li gradisco molcia, ci si conosce magari anche to, troppa ‘fuffa’ e troppa gente personalmente e il tutto viene in cravatta. arricchito ... E perché no? Si diventa pure amici. Gli hacker son tutti nerd? Assolutamente no!!! Ti sei mai imbattuto in un cracker? Ne conosci qualcuno di persona? In Italia quali sono le lacune Sì, ne conosco anche di persona. maggiori nella conoscenza delle problematiche di questo campo? I mass-media e la ‘dirigenza’, ovvero chi prende le decisioni all’interno delle aziende. 20 - SICUREZZA INFORMATICA
Quali sono a tuo avviso gli utenti più sprovveduti? In un certo senso lo siamo tutti, ma alla base c’è sempre la mancanza di conoscenza imposta oppure no. Se non ci preoccupiamo di capire come funzionano le cose saremo sempre vittime degli eventi. Che genere di clienti si rivolge a te? Banche, assicurazioni, aziende medio-grandi principalmente. Qual’è il sistema operativo migliore a livello di funzionalità e sicurezza? Il sistema operativo che probabilmente ad oggi si avvicina di più al giusto compromesso tra sicurezza, semplicità, funzionalità e potenzialità è, secondo il mio parere, MacOS X. É un dato di fatto però che esistono tantissime alternative e tantissimi sistemi operativi dedicati ad usi specifici, quindi dipende sempre da cosa si intende fare. Quanto importanti sono i penetration test nel tuo lavoro? I penetration test sono la parte fondamentale del mio lavoro, esistono varie tipologie di simulazione, questa è la più diffusa e la più richiesta dai clienti. Quali sono le tempistiche a cui devi sottostare, a seconda dei casi, nell’affrontare un problema? Dipende da quello che si è concordato con il cliente. Purtroppo anche in un’azienda di informatica i contratti vengono stipulati da gente che ahimè
sa poco delle tempistiche necessarie, quindi la stragrande maggioranza delle volte ci si deve arrangiare in meno tempo di quello che sarebbe necessario. Quali sono i punti chiave per descrivere il tuo lavoro e per sensibilizzare gli utenti comuni sul problema della sicurezza informatica? Basti pensare, anche qui, al furto di dati personali, alla pericolosità di infilare parti sempre più grosse della nostra vita in un sistema che per definizione non ha confini o limitazioni geografiche e la risposta viene da sé.
Guardando al futuro della sicurezza informatica, che previsione fai? Finché non ci sarà la giusta sensibilizzazione e non si darà il giusto peso all’importanza di questo settore, non è facile fare una previsione sul futuro. La security continuerà ad esistere finché gli utenti si comporteranno in modo pericoloso per loro e per i loro dati personali. Sicuramente al giorno d’oggi c’è la tendenza a mettere online fettine sempre più grandi della nostra privacy e del nostro ‘io’ e quindi l’impatto della cosa tende a crescere col tempo.
In questo momento quali sono i “nemici” peggiori nel campo della sicurezza informatica? E quelli meno pericolosi? Quelli più pericolosi sono le organizzazioni malavitose e i governi. Questi ultimi sono di solito i più insospettabili, ma sono quelli che godono di risorse maggiori, soprattutto nei paesi in via di sviluppo e nei quali girano grossi interessi economici. I meno pericolosi sono probabilmente i ragazzini che si atteggiano a rock-star dell’hacking. Quali sono i campi maggiormente colpiti dai cracker (sistemi bancari, posta elettronica, etc). Quali entità di danni possono causare? Sistemi bancari e posta elettronica fra tutti, ma i danni più grossi vengono dal furto d’identità e dal controllo dei canali di comunicazione. Basti pensare a cosa può creare la censura in Cina, applicata ai canali telematici.
INTERVISTA AD UN HACKER - 21
I PIONIERI DELL'HACKING
La culla dell’hacking fu il nono piano del MIT, il Massachusetts Institute of Technology, presso Boston. In particolar modo al MIT, una delle più importanti università e centri di ricerca al mondo, c’erano il Project MAC, in seguito divenuto MIT Laboratory for Computer Science(7), e l’Artificial Intelligence Laboratory(8). Alla fine degli anni ‘50, al MIT c’era un grande fermento attorno al TMCR, acronimo di Tech Model Railroad Club, in cui un gruppo di studenti trascorreva tutto il tempo possibile attorno al grande plastico ferroviario, animato dall’incrocio di cavi, commutatori e relè. Gli studenti più portati all’informatica, conosciuti come gli hacker del TMCR, ebbero ben presto a che fare con il gigantesco IBM 704, il cosiddetto “bestione”, custodito nell’edificio 26. L’obiettivo principale era riuscire a ridurre al minimo le istruzioni che facevano funzionare il sistema. Dal Lincol Lab(9) arrivò il Tx-0, un’enorme macchina che occupava un’intera stanza e costava tre milioni di dollari. Il Tx-0 non utilizzava schede, ma leggeva nastri di carta perforati dall’operatore con una Flexowriter(10). La grande novità portata dal Tx-0 era la possibilità di modificare un programma stando seduti di fronte al computer. I protagonisti di questo periodo furono: l’hacker del TMCR Bob Saunders, il dodicenne Peter Deutsch, l’esperto di telefonia Alan Kotok, il professore del MIT “Zio” John McCarthy e Steve “Slug” Russell, l’hacker che realizzò il primo videogioco della storia, Spacewar. Gli hacker del TMCR passavano tutte le notti di fronte al Tx-0 programmando e sperimentando il linguaggio macchina. Programmarono un nuovo assemblatore, che traduceva il linguaggio assembly in linguaggio macchina. Crearono il Fit, ovvero un debugger che permetteva di trovare i bug del pro22 - SICUREZZA INFORMATICA
Il logo del Massachusetts Instute of Technology. Persone che lavorano con il Tx-0 nella computer room del MIT, 1962. La fotografia è stata tratta dall’archivio informatico del Computer History Museum di Mountain View, CA.
gramma, correggerli e farli girare durante un’unica sessione. Iniziarono a studiare il modo per elaborare i toni differenti prodotti dall’altoparlante, rendendo così al computer anche la funzione di compilatore musicale. Tutto questo lavoro valse loro il nuovo nome di hacker del Tx-0. Dal gruppo emerse una nuova etica hacker, basata sull’idea di poter accedere ai computer e alle nuove conoscenze in modo illimitato e sulla libertà di informazione. Gli hacker vedevano in modo negativo la burocrazia, rappresentata dall’IBM, per l’atteggiamento da “sacerdoti e portaborse” che frenava fortemente l’apertura al dialogo e più in generale la corsa all’innovazione. Mettevano invece al primo posto la meritocrazia, che andava oltre alle differenze di età, ceto e religione. Il sistema meritocratico premiava coloro che creavano programmi innovativi e descrivevano nuove funzioni. Fu grazie a questo sistema che Peter Deutsch, il geniale figlio appena dodicenne di un professore del MIT, entrò a far parte del gruppo degli hacker del Tx-0. Secondo l’etica hacker, i computer non solo erano strumenti che permettevano di creare arte attraverso la bellezza del codice, ma avrebbero anche permesso di migliorare la vita delle persone. Dopo il Tx-0 fu il turno del Pdp-1(11), divenuto famoso in seguito come il primo minicomputer - l’intero impianto era grande come tre frigoriferi messi insieme - abbastanza economico - il prezzo al dettaglio era 120.000 dollari. Il Pdp-1 era stato progettato per favorire la ricerca scientifica, l’elaborazione degli enunciati matematici e per l’hackeraggio. Servendosi del nuovo computer, tra il 1961 e il 1962, “Slug” Russell realizzò Spacewar(12), il primo videogioco interattivo della storia. Al progetto parteciparono tutti gli hacker del MIT, migliorando il gioco sia dal punto di vista tecnico, come ad esempio il controllo della traiettoria dei missili, che sul piano grafico, basti pensare alla fedele rappresentazione del cielo stellato. Venne introdotta persino la funzione “iperspazio”, che per tre volte permetteva di saltare le situazioni critiche e ricominciare da un altro imprevedibile scenario. A Spacewar si poteva giocare singolarmente o sfidando un avversario. Gli hacker del MIT ingaggiavano infiniti tornei, tanto che alla fine Russell introdusse anche un contatore per il punteggio, visualizzato in ottale. Kotok e Saunders cercarono un modo per superare la difficoltà data dall’azionamento degli interruttori sulla scomoda consolle del Pdp-1. Tra le pareti del TMCR nacque così il primo joystick, costituito da scatole di controllo di legno con coperchi in masonite, dotate di interruttori per la rotazione e la spinta e un pulsante dedicato alla funzione “iperspazio”.
Schermata del gioco Spacewar, tratta dall’emulatore del computer PDP-1 presente nel sito http://spacewar.oversigma.com/
I PIONIERI DELL’HACKING - 23
Da questa intensa attività che si svolgeva nelle stanze del MIT nacque l’idea dell’uomo informatizzato, che utilizza il computer quotidianamente per giocare, lavorare ed informarsi. L’uomo del futuro, ovvero l’uomo di oggi. Nelle classi degli anni ‘60 del MIT lavorarono alcuni tra i migliori hacker del mondo come: Bill Gosper, Marvin Minsky e Richard Greenblatt. In particolar modo quest’ultimo viene ricordato come l’hacker per eccellenza, un personaggio geniale quanto puzzolente, che fu espulso dal MIT per aver trascurato gli studi per dedicarsi interamente all’hacking. Greenblatt, in barba ai famosi ma scettici professori universitari, nel giro di una sola settimana programmò MacHack, il primo programma del gioco degli scacchi capace di competere con la mente umana. Gli hacker ormai facevano parte di una famiglia, emergeva un linguaggio comune e le idee venivano discusse tra la “tool room” e i ristoranti cinesi. Erano tutti ragazzi entrati irrimediabilmente in “modalità scapolo” e le donne furono escluse da questa nuova cultura prettamente maschile - non ci fu mai una hacker donna che spiccò nel gruppo. Le fondamenta dell’etica hacker furono quindi poste da Greenblatt, definito da Steven Levy “hacker dei sistemi e visionario delle applicazioni”, Gosper, “esploratore metafisico e praticante dell’esoterismo”(13), e Stewart Nelson. Quest’ultimo era un ragazzo di rara intelligenza, esperto di sistemi telefonici, che inizialmente si divertiva a far “ballare” i telefoni del MIT utilizzando le frequenze emesse dall’altoparlante del Pdp-6. L’hackeraggio telefonico era un’estensione dell’etica hacker perché permetteva di sperimentare per raggiungere una conoscenza sempre più vasta. Tuttavia, Nelson non approvava gli studenti che costruivano le BlueBox per telefonare illegalmente, truffando le compagnie telefoniche. Piuttosto, con i suoi compagni cercava di migliorare il sistema telefonico, fingendosi tecnici della compagnia telefonica Bell per segnalare i bug riscontrati. La competenza acquisita permise agli hacker di iniziare a manomettere gli hardware delle macchine del MIT. Colpito dal modo di operare dell’hacker, Minsky presentò Nelson al suo amico Ed Fredkin, fondatore dell’Information International Incorporated (Triple I), il quale si considerava l’hacker migliore del mondo. Ben presto Fredkin si accorse delle straordinarie capacità di Nelson, che iniziò a lavorare attivamente al suo fianco. Nelson inoltre collaborava con Greenblat per realizzare sistemi e con Gosper per migliorare il monitor. La specialità di Nelson era il lock hacking, cioè il superamento di barriere fisiche - ad esempio i serramenti di alta sicurezza - per raggiungere gli strumenti che servivano per lavorare, 24 - SICUREZZA INFORMATICA
come cacciaviti, pinze, ... . Il lock hacking divenne una tradizione del MIT, tanto che i supervisori dei locali fecero un patto silente con gli hacker, permettendo loro di superare i blocchi fisici di sicurezza senza conseguenze punitive. Un altro hacker di spicco al MIT fu David Silver, il quattordicenne appassionato di robotica, figlio di un professore. Minsky permise al ragazzo di frequentare il nono piano del MIT, e Gosper divenne il suo guru. Sulla scia del progetto di Nelson, Gosper e Greenblatt, un robot che colpiva una pallina da ping-pong con il braccio meccanico, Silver realizzò una cimice di 15x30 cm con le antenne di rame, che recuperava gli oggetti caduti a terra per poi spingerli fino al suo “recinto”. Ovviamente, questa intensa attività sperimentale mandava in escandescenze i laureandi del MIT, che nel giro di pochi mesi vedevano scavalcare le proprie conoscenze e teorie da un ragazzino e da un gruppo di nerd. Il programma più importante realizzato dagli hacker al MIT, guidati da Grinblatt, Nelson e dal diciasettenne Tom Knight, fu l’Its, l’Incompatible time-sharing system. Il nome del progetto fu dato in senso ironico. Infatti, grazie all’Its i vari utenti potevano lanciare contemporaneamente lo stesso programma, oppure un solo utente poteva lanciare diversi programmi. Nell’Its non c’erano password, chiunque poteva consultare i lavori degli altri hacker per prendere spunto o apportarvi miglioramenti. Vigeva una sorta di codice d’onore, per cui nessuno mai si permise di cancellare i file altrui. L’idea di base era che i programmi non appartengono agli individui ma a tutto il mondo degli utenti. Così l’Its divenne la più forte espressione dell’etica hacker, dove ognuno lavorava per migliorare il sistema. Alla fine degli anni ‘70 il mondo degli hacker si espanse a macchia d’olio. Computer interattivi come il Pdp-10 e il Xds940 si diffusero, fiorirono molteplici ambienti di programmazione facilitati come lo era il MIT, i veterani di Boston si spostarono in altri luoghi portando la loro conoscenza. Le mete erano le istituzioni o gli affari. Ad esempio, il programmatore Mike Levitt fondò l’azienda tecnologica System Concepts, rendendo Stewart Nelson suo socio e assumendo molti hacker del MIT. Molti hacker si spostarono anche allo Stanford Artificial Intelligence Laboratory (SAIL), fondato nel 1962 da “Zio” John MacCarthy per emulare l’esperienza del MIT in California. Un simpatico aspetto di questi luoghi di ricerca è il “tormentone” che accomunava gli hacker. Mentre al MIT tutti erano appassionati di fantascienza, al SAIL erano seguaci di Tolkien e dei suoi hobbit. I PIONIERI DELL’HACKING - 25
A sinistra, schermata del gioco Colossal Cave Adventure, tratta dall’emulatore Java presente nel sito http://www.astrodragon.com
La stampante del SAIL era configurata in modo da scrivere in tre differenti caratteri elfici. Il programmatore e speleologo Will Crowther e l’hacker Don Woods, realizzarono il videogioco fantasy Colossal Cave Adventure(14), la prima avventura testuale della storia, che ovviamente aveva come protagonisti elfi e troll(15). Anche l’atmosfera che si respirava era completamente diversa dal MIT. Allo Stanford gli hacker giocavano a pallavolo e c’era persino una sauna. L’etica hacker veniva comunque rispettata con rigore e lo stile di vita, sebbene più goliardico, rifletteva la trasandatezza e la mancanza di regolarità dei colleghi del MIT. Sempre negli anni ‘70, il SAIL e il MIT, università come il Canergie Mellon e centri di ricerca come lo Stanford Research Institute, furono collegati da Arpanet, la forma embrionale di Internet. L’etica hacker influenzò l’utilizzo di Arpanet, così inizio il grande scambio di conoscenze, le sfide di videogiochi online, la sperimentazione virtuale, ... . Questo periodo però vide anche il tramonto della cosiddetta età dell’oro dell’hacking. Gli hacker del MIT erano una nicchia che portava avanti i propri progetti utopistici senza aver alcun contatto con il mondo reale. Molti giovani studenti contestatori disprezzavano il computer e non vedevano con buon occhio questi geni, in parte per la diffidenza verso la tecnologia, in parte per gli eventi storici che si stavano verificando - la guerra in Vietnam veniva combattuta anche con l’utilizzo dei computer. Le sovvenzioni dell’Arpa erano considerate esternamente come prova del legame tra il mi26 - SICUREZZA INFORMATICA
Nella pagina a fronte: il logo Apple Computer, disegnato da Rob Janoff nel 1977; il logo Microsoft utilizzato a partire dal 1987, in seguito sostituito da quello attuale; il logo GNU, disegnato da Etienne Suvasa; TUX, il pinguino mascotte ufficiale del kernel Linux, disegnata da Larry Ewing nel 1996.
nistero della difesa e gli hacker. Infine il lancio sulla Luna di Apollo 17 nel 1972 fece capire a Gosper e credo in generale anche agli altri, che la mancanza di macchinari potenti era un grande ostacolo, sia fisico che mentale, al raggiungimento di obiettivi concreti. La NASA, che fino ad allora aveva operato lontano dall’etica hacker e dai loro intensi studi, era riuscita ugualmente a mandare in orbita uno shuttle, evento fino allora tecnicamente “impossibile” per il più esperto degli hacker. Ma la storia dell’hacking era destinata ad andare avanti, altrove. Così iniziò la seconda ondata di hacker che, sulle basi culturali costituite dagli hacker del MIT, avrebbero diffuso questo sogno nel resto del mondo. Il cuore della rivoluzione tecnologica fu in California nella Silicon Valley, il cui nome deriva dal silicio prodotto dalla sabbia raffinata, impiegato per fabbricare i semiconduttori. Qui nacque il microchip e quindi la possibilità di realizzare i computer, macchine di dimensioni ragionevolmente contenute e dal prezzo abbordabile. I cosiddetti hacker dell’hardware, protagonisti di questo periodo, erano coloro che attraverso la conoscenza personale e lo sforzo collettivo avrebbero contribuito alla realizzazione di un sogno: portare i computer alla gente comune. In questo senso, tra i protagonisti assoluti degli anni ‘70 ci furono: Steve Jobs, che nel 1976 fondò la Apple Computer con l’amico Steve Wozniak e Bill Gates, che con l’amico Paul Allen fondò la Microsoft Corporation nel 1975(16). Bill Gates, nonostante sia diventato un grandissimo imprenditore e una delle persone più ricche del mondo, resta comunque un personaggio fortemente odiato dagli hacker per le sue idee, concentrate sulla proprietà privata del software. Un altro importante momento della storia dell’hacking ha come epicentro i concetti di free software ed open source. Il movimento dell’open source nacque dal contesto in cui il giovane Linus Torvalds stava sviluppando il sistema operativo Linux, il quale in poco tempo diventò un forte concorrente di Windows. A sua volta, l’idea di open source seguiva la scia del movimento del free software, iniziato negli anni ‘80, il cui padre fondatore fu Richard Stallman, il creatore del sistema operativo GNU(17). Stallamn gettò le basi legali, filosofiche e tecnologiche del movimento, che sostengono l’assoluta condivisione della conoscenza informatica all’interno della grande comunità degli hacker. Quest’idea di libertà di conoscenza informatica si opponeva fortemente alla Microsoft, che negli anni ‘70 e ‘80 era tra i principali pionieri del software proprietario. Bill Gates allora I PIONIERI DELL’HACKING - 27
sosteneva con decisione la proprietà intellettuale, volta alla qualità del software. La rivoluzione portata da GNU si avvale del concetto di free software, il che non vuol dire gratuito. Da qui è nata l’idea del copyleft o permesso d’autore: l’autore mette il copyright al software ma permette agli utenti di modificarlo e condividerlo con gli altri. Mentre con il software proprietario l’assistenza ha il monopolio totale e la qualità dei servizi tende ad essere mediocre, il software libero genera un mercato libero di qualità. Nel 1989 fu fondata da Michael Tiemann la Cygnus Solution, la prima azienda ad offrire servizi ed assistenza al software GNU. Dai primi anni del MIT fino ai giorni nostri l’hacking si è evoluto fortemente. Molti dei personaggi che ne hanno segnato la storia ancora oggi lavorano nel campo informatico, come tecnici e ricercatori, o sono diventati esperti di sicurezza.
Emaze Networks è un’azienda che offre servizi e prodotti di sicurezza informatica. Le specifiche di Emaze Networks sono analizzate nel dettaglio nel capitolo “Comunicare la sicurezza informatica”. (1)
Per ulteriori informazioni di questo prodotto si visiti il sito www. emaze.net/prodotti/iplegion (2)
(3) Eric S. Raymond, detto ESR, è un programmatore, avvocato e autore di software open source, divenuto famoso per essere il nuovo gestore del Jargon File. Nel 1997 Raymond ha scritto “La cattedrale e il bazaar”, un’importante saggio sullo sviluppo del software secondo le logiche dell’open source. (4) Tratto da “La cattedrale e il bazaar” di Eric S. Raymond, 1998. (5) Per ulteriori informazioni si veda: http://www.blackhat.com/ (6) Il phreaking riguarda la manipolazione di sistemi telefonici per hobby o utilità. Il termine nasce dall’unione delle parole phone (telefono) e freak (persona bizzarra).
a Mountain View, in California. Per giocare a Spacewar si può utilizzare un emulatore scritto in linguaggio Java, come quello presente nel sito internet: http:// spacewar.oversigma.com/ (13) Tratto liberamente da: Steven Levy, Hackers - Gli eroi della rivoluzione informatica, ShaKe, Milano 1994. (14) Si può trovare un emulatore di Colossal Cave Adventure in internet: http://www.astrodragon. com/zplet/advent.html (15) Nell’avventura testuale, o interactive fiction, il giocatore utilizza comandi testuali per fare interagire il personaggio con l’ambiente in cui si trova. Negli anni ‘80 questo genere di gioco raggiunse il suo picco, oggi non è più commercializzabile, ma se ne trovano svariate versioni nel web. (16) La storia di Steve Jobs e Bill Gates è raccontata nel film: “I pirati della Silicon Valley”, diretto da Martyn Burke nel 1999.
GNU è l’acronimo di Gnu’s Not Unix, il sistema alternativo ad Unix. (17)
(7) Tradotto in italiano: Laboratorio per la scienza del computer. (8) Tradotto in italiano: Laboratorio di intelligenza artificiale. (9) Il Lincoln Lab è il laboratorio di applicazioni militari affiliato al MIT. (10) La Flexowriter era una sorta di macchina da scrivere che perforava dei fogli di carta. Poteva essere controllata manualmente o dal computer cui veniva collegata. (11) Pdp è acronimo di Programmed data processor. (12) La versione originale di Spacewar si può vedere nell’unico Pdp-1 funzionante, che si trova al Computer History Museum
28 - SICUREZZA INFORMATICA
29
CRACKING
HACKER VS CRACKER
Gli hacker sono esperti di informatica che utilizzano e sviluppano le loro conoscenze per operare nel campo della sicurezza. Il termine è spesso usato in modo improprio per indicare la categoria dei cracker, detti anche black hat. Il termine cracker fu coniato da Richard Stallman proprio per arginare l’abuso della parola hacker(1). La differenza fondamentale tra i due termini sta nel fatto che i cracker sono degli hacker malintenzionati, che utilizzano le loro capacità per violare i sistemi informatici per fini illeciti. La pericolosità di un cracker è determinata principalmente dai fattori tempo e denaro. Quando un cracker ha poco tempo e nessuna somma di denaro da impiegare per raggiungere il suo scopo, abbandona velocemente l’attacco informatico per dedicarsi ad altro. Nel caso opposto, invece, quando un cracker ha a disposizione tempo e risorse illimitate non abbandona il progetto di attacco, a meno che il contesto e le ragioni per cui è stato richiesto il suo intervento non cambino. Come spiega Raoul Chiesa(2), i cracker si dividono in nove categorie diverse, dalla più innocua alla più pericolosa. La prima categoria è quella dei Wannabe Lamer (traslitterazione di: vorrei essere un lamer). Sono facilmente rintracciabili nella rete in quanto si espongono totalmente, chiedendo aiuto e consigli per hackerare. Scrivono nel tipico slang hacker ricavato dal Jargon File. Accanto a questa categoria c’è quella dello Script Kiddie, il ragazzino degli script. Questi cracker hanno una conoscenza dell’informatica sufficiente per hackerare, ma non sono in grado di proteggere un sistema. Utilizzano exploit e tools copiati da Internet e talvolta riescono persino ad entrare in alcuni sistemi, per poi vantarsene a gran voce. Segue la fantasiosa categoria degli 311337 K-rAd #hack 32 - CRACKING
HACKER VS CRACKER - 33
0-day exploit, ovvero l’insieme degli adolescenti che si atteggiano a rock star e si vantano delle loro capacità informatiche con arroganza. Questi cracker mirano esclusivamente alla celebrità, pubblicando ovunque il loro nickname e tentando attacchi brutali. La quarta categoria, abbastanza pericolosa, è rappresentata dai Cracker. Inizialmente il termine indicava una persona che rimuove le protezioni dai software commerciali. Più recentemente il termine è stato adottato per indicare le persone che attaccano i sistemi per cancellare file e creare danni permanenti. I Cracker possiedono le conoscenze necessarie per hackerare e cercano di rimanere nel sistema per tutto il tempo possibile. Poi c’è la categoria dell’Ethical Hacker, l’hacker etico. Questi cracker entrano nel sistema per “curiosare”, spesso per far notare in seguito la presenza di bug e consigli per coprirli tramite una gentile e-mail. Conoscono perfettamente la struttura di tutti i sistemi operativi ed agiscono senza scopi ostili ma per passione. Molto spesso i loro consigli sono preziosi. Al contrario, quella del Quiet, paranoid, skilled hacker(3) è la tipologia di cracker più pericolosa e temuta perché è difficile, se non impossibile, rilevare la sua presenza. Il cracker esplora il sistema per un tempo molto lungo, ignora tutto ciò che non gli interessa, non lascia tracce della sua presenza. Opera esclusivamente per accrescere il suo potenziale e la sua esperienza. Nella categoria del Cyber-Warrior, o cyber-guerriero, ci sono i cracker cosiddetti mercenari. I Cyber-Warrior hanno capacità informatiche elevate e si vendono al miglior offerente. Tuttavia i loro target sono bassi, non attaccano i sistemi delle aziende multinazionali, ma piuttosto quelli delle università, singoli utenti o uffici comunali. Non si preoccupano dell’identità del loro datore di lavoro e del suo fine ultimo; lavorano solo per denaro, senza lasciare tracce, in modo intelligente. Un’altra categoria di cracker mercenario è quella della spia industriale, l’Industrial Spy. Questi cracker sono altamente capaci e hanno moltissima esperienza. Cercano materiale confidenziale e sono pericolosi. La categoria comprende anche gli “insider”, ovvero quei dipendenti aziendali che accedono illegalmente alle informazioni sensibili dell’azienda, per i propri fini. L’ultima categoria di cracker è quella del Government agent, l’agente governativo. Sono militari che hanno un background hacker. Utilizzano le loro conoscenze per scopi politici ed economici.
possedere le stesse conoscenze del cracker ed entrare nella sua mentalità; solo in questo modo può riuscire a prevedere le mosse dell’avversario e costruire una solida barriera difensiva attorno al sistema informatico. Data la varietà delle tecniche di attacco, per difendere in modo opportuno un sistema, l’hacker dovrà applicare al sistema stesso molteplici tecniche difensive.
Un aspetto importante del lavoro dell’hacker è lo studio delle modalità di attacco ai sistemi informatici. L’hacker deve 34 - CRACKING
HACKER VS CRACKER - 35
nutenzioni. Questa tecnica viene attuata per raccogliere informazioni dettagliate sulle porte di accesso del computer. Il cracker invia delle richieste di connessione per rilevare quali servizi di rete sono attivi nel computer. Le porte possono risultare aperte, chiuse, filtrate da un firewall, oppure bloccate da un ostacolo di rete. La raccolta dei dati spesso avviene in modo passivo, utilizzando strumenti che semplificano il compito. Un esempio è la ricerca delle informazioni tramite Google. Attraverso la raccolta dei dati il cracker riesce a tracciare una mappa della rete interna, creando così un quadro generale dell’obiettivo da attaccare. Questa operazione è nota come network mapping e può essere utile a capire come attaccare il sistema a livello informatico, ma anche per raccogliere le informazioni indispensabili per attuare la tecnica del social engineering.
TECNICHE DI ATTACCO
Il cracker può agire con svariate intenzioni e in diverse modalità. Le tipologie di attacco sono moltissime e data la loro continua evoluzione non si può stilarne una lista definitiva. Gli obiettivi più comuni dei cracker sono: rubare informazioni alla vittima, danneggiare i computer di utenti ingenui, danneggiare i computer di utenti accorti, sfruttare la vulnerabilità di un sistema, prendere il controllo di un dispositivo, diffondere materiale illegale. In seguito è presentata una breve panoramica delle modalità di attacco più note, senza la pretesa di elencarle tutte. La loro classificazione è stata fatta in modo arbitrario.
Previsione del numero di sequenza Il cracker, tramite l’attacco a previsione del numero di sequenza, riesce ad intromettersi nel sistema e accedere alle informazioni che passano dal sistema stesso al server. Tra questi dati possono esserci: file di password, nomi di login e dati riservati. Quando un computer comunica tramite una rete TCP/IP, allega al proprio pacchetto l’indirizzo IP di comunicazione ed un numero di sequenza, che è univoco. Dopo aver determinato l’indirizzo IP del server, il cracker monitora le trasmissioni di rete e cerca di prevedere il prossimo numero di sequenza che verrà generato dal server. Inserendo questo numero nel proprio pacchetto, il cracker riesce ad inserirsi tra il server e l’utente. Questa tecnica di attacco fu utilizzata nel 1994 da Kevin Mitnick, detto Condor, per violare la rete di calcolatori del famoso esperto di sicurezza informatica Tsutomu Shimomura(4).
1. Rubare informazioni alla vittima Uno degli obiettivi più diffusi tra i cracker è quello di rubare informazioni preziose. Per far questo, si cimentano in svariate tecniche informatiche, talvolta agendo personalmente sul piano reale. Information gathering e network mapping La tecnica della information gathering riguarda la raccolta dei dati che l’utente ha reso disponibili in Internet senza rendersene conto. Solitamente il cracker cerca questi dati per progettare un attacco mirato senza il rischio di essere scoperto. Trova informazioni sulle componenti fisiche dell’infrastruttura informatica, sui processi gestionali seguiti e sulla gerarchia interna al sistema. Per far questo il cracker utilizza tecniche come quella del port scanning, o scansione delle porte, solitamente utilizzata dagli amministratori di sistema per effettuare controlli e ma36 - CRACKING
Information gathering
Spoofing Lo spoofing(5) riguarda tutte le tecniche di attacco informatico che impiegano la falsificazione dell’identità. Esistono diverse tipologie di spoofing, tutte incentrate sul far credere che si è qualcosa di diverso. In seguito sono elencate alcune interessanti categorie di spoofing. - MAC-spoofing, consiste nell’immettere nella rete un pacchetto che contiene il MAC address identico a quello della vittima. - IP-spoofing, è la falsificazione dell’indirizzo IP per presentarsi al server nelle vesti di un client valido. - Spoofing applicativo, colpisce i protocolli applicativi o le applicazioni stesse del computer.
Previsione del numero di sequenza
Sproofing
TECNICHE DI ATTACCO - 37
2. Danneggiare i computer di utenti ingenui Spesso i cracker si dilettano a infierire sui computer di utenti ingenui. I danni possono essere di diversi livelli di gravità, dal semplice blocco di funzionalità del sistema, alla cancellazione totale di tutti i dati presenti nel computer.
- Web spoofing, riguarda la falsificazione di un server web malevolo, con l’obiettivo di far credere all’utente di essere connesso ad un altro server. Social engineering La tecnica del social engineering, o ingegneria sociale, contrariamente allo spoofing, riguarda la falsificazione dell’identità con espedienti non informatici. L’obiettivo è ingannare l’interlocutore al fine di impossessarsi di informazioni protette. L’attacco è preceduto da un attento studio della vittima: raccogliendo e-mail, recapiti telefonici, generalità e così via. Successivamente il cracker sfrutta i dati raccolti per contattare direttamente la vittima, interrogarla e carpire le informazioni cercate. Un importante aspetto del social engineering è la modulazione della voce, essenziale al cracker per impersonare il personaggio voluto e per infondere sicurezza all’interlocutore.
Social engineering
Sniffing La tecnica dello sniffing consiste nell’intercettazione passiva dei dati che transitano in una rete telematica. Gli sniffers sono gli strumenti software che permettono di svolgere questa attività: analizzano e memorizzano il traffico, intercettano i singoli pacchetti e li decodificano. Keylogging Il keylogging consiste nell’intercettazione di tutto ciò che l’utente digita sulla tastiera del proprio computer. Questa tecnica può avvenire per mezzo di un keylogger hardware o software. I keylogger hardware posso essere installati tra la tastiera e il computer, sotto forma di un adattatore o di cavi di prolunga, oppure all’interno della tastiera stessa, risultando così invisibili. Memorizzano la sequenza dei tasti premuti e la inviano a dispositivi wireless. Funzionano in modo indipendente rispetto al sistema operativo. I keylogger software sono dei programmi che rilevano ogni digitazione effettuata dall’utente, per poi inviare le informazioni ad un computer remoto. Vengono installati nel computer attraverso worm o trojan inviati con Internet. Solitamente il loro scopo è quello di intercettare il numero delle carte di credito e le password, per inviarle al cracker tramite e-mail. Oltre alle parole digitate, il keylogger può memorizzare le azioni del mouse e ciò che viene detto attraverso il microfono collegato al computer. Attraverso il keylogging il cracker può ottenere informazioni anche se provengono da un computer protetto da una connessione cifrata(6). 38 - CRACKING
Sniffing
Keylogging
Virus informatici I virus informatici sono dei software che si replicano autonomamente. Non essendo dei programmi eseguibili, i virus devono infettare il programma ospite o una sequenza di codice che viene lanciata automaticamente. I virus si riproducono, facendo copie di se stessi, ogni volta che i file infettati vengono aperti. Il loro scopo è quello di corrompere o cancellare i dati contenuti nel computer, talvolta fino a cancellare l’intero contenuto del disco rigido. Alcuni virus riescono persino a provocare danni a livello hardware, ad esempio bloccando la ventola di raffreddamento del computer. Altri virus hanno lo scopo di installare delle backdoor, visualizzare messaggi o disegni, ... I virus si diffondono auto-inviandosi di computer in computer, tramite gli allegati di posta elettronica, oppure attraverso i download di file da Internet. Il loro ciclo di vita è analogo a quello dei virus biologici. Dopo che il cracker ha creato e distribuito il virus, questo rimane inerte nel computer colpito finché non si attuano le condizioni per la sua attivazione. A questo punto il virus infetta il file e propaga l’infezione alla macchina e ad altri sistemi. I virus informatici sono programmati dai cracker con linguaggi semplici e in forma minimale. Questo aspetto li rende difficilmente scovabili. Ciascun virus è caratterizzato da una stringa di riconoscimento, che una volta identificata è utilizzata per creare un programma che rileva ed estirpa il virus. I virus si sviluppano in supporti fisici di diversa natura: i file virus, i boot virus, i macro virus e i network virus. Ovviamente sono camuffati in modo accattivante. Tra i peggiori virus informatici di tutti i tempi si ricorda il Chernobyl virus, programmato da Chen Ing Hau al fine di cancellare gli hard disk e sovrascrivere il BIOS. Questo virus si attiva ogni anno, il 26 Aprile, anniversario del disastro di Chernobyl. Un altro simpatico virus è Anna Kournikova worm, un worm scritto da Jan de Wit per infettare i computer tramite una foto della provocante tennista Anna Kournikova(7).
Virus informatici
Phishing Il termine phishing, che significa “spillaggio”, indica l’attività del cracker volta al furto di identità mediante l’utilizzo delle comunicazioni elettroniche. TECNICHE DI ATTACCO - 39
Questa tecnica è preceduta dal social engineering, utilizzato per ottenere le informazioni personali della vittima quali l’indirizzo e-mail o il numero di telefono. Tramite messaggi fasulli, resi credibili dall’utilizzo dei format grafici e dei loghi dei siti istituzionali, il cracker riesce a spillare all’utente ingannato dati personali come il numero di conto corrente, il numero della carta di credito, i codici di identificazione e così via. Spesso la mail si riferisce alla Banca della vittima o ad un’agenzia che invita a cogliere delle opportunità di lavoro. I dati forniti dall’utente truffato vengono registrati in un server gestito dal phisher, che li utilizza per acquistare beni, trasferire somme di denaro o compiere altri attacchi.
Phishing
3. Danneggiare i computer di utenti accorti Le azioni dei cracker possono colpire anche gli utenti più accorti, nonostante le precauzioni prese per proteggere il computer. In questi casi le modalità di attacco sono molto difficili da prevedere o identificare. DoS - Denial of Service L’attacco DoS, acronimo di Denial of Service(8), è difficilmente prevedibile. Il suo obiettivo è portare un sistema al limite delle prestazioni, inviando una grande quantità di richieste da più computer verso un solo server. Molto spesso il DoS viene lanciato contro dei siti web. Solitamente i computer “zombies”, dai quali partono gli attacchi, sono infetti da malware e ciò all’insaputa dell’utente. Questo permette al cracker di avere a disposizione una botnet da attivare per sommergere il server o il sito con richieste di connessione. Questo attacco blocca la rete e manda in tilt il sistema. Un esempio di attacco DoS è quello che ha colpito il social network Twitter, che è stato messo fuori uso per 3 ore, il 6 agosto 2009(9). Inoltre ha causato forti rallentamenti del motore di ricerca Google e del social network Facebook.
4. Sfruttare la vulnerabilità di un sistema Molto spesso i cracker utilizzano le vulnerabilità di un sistema per prendere il controllo del dispositivo o causare danni più o meno gravi. In seguito sono presentate le tecniche di sfruttamento di vulnerabilità remote più diffuse.
40 - CRACKING
Buffer overflow La tecnica del buffer overflow viene impiegata dai cracker per bloccare o prendere il controllo di altri computer collegati alla rete. Il buffer overflow si manifesta quando una stringa di input è più grande della memoria, detta buffer, che dovrà contenere. Di conseguenza si verifica un trabocco, o overflow, che sovrascrive le porzioni di memoria destinate ad altre istruzioni. Infatti, durante l’esecuzione del programma, i dati elaborati dalle funzioni, devono essere archiviati nella stack, ovvero la zona di memoria riservata per questo compito. Se lo spazio nella stack non è sufficiente e la funzione non si accorge dell’errore, i dati vengono comunque salvati sovrascrivendo e corrompendo la stack stessa. Di conseguenza il programma può dare risultati errati o imprevedibili, bloccarsi o, nel caso dei driver di sistema e dello stesso sistema operativo, bloccare il computer.
Buffer overflow, heap overflow
Heap overflow La modalità di attacco heap overflow è analoga a quella del buffer overflow. La differenza sta nel fatto che, mentre il buffer overflow colpisce la stack, la heap overflow avviene nell’area dati della heap, la struttura fatta ad albero binario quasi completo, usata per la memorizzazione di collezioni di dati. Con questo metodo il cracker può prendere il controllo dell’esecuzione del programma.
Denial of Service
SQL injection La tecnica SQL injection è una tipologia di exploit che colpisce le applicazioni web basate su un database di tipo SQL. Sfrutta l’inefficienza dei controlli sui dati ricevuti dal sistema per inserire un codice maligno all’interno di una query SQL. Con questo metodo di attacco il cracker ha la possibilità di autenticarsi con ampi privilegi nelle aree protette del sito. Di conseguenza può visualizzare ed eventualmente alterare dati sensibili. Cross-site scripting La vulnerabilità cross-site scripting, nota anche come XSS, è sfruttata dal cracker per inserire un codice maligno all’interno di un sito web dinamico. L’obiettivo è sottrarre dati sensibili ai visitatori del sito stesso, modificandone i contenuti. Questa tecnica è particolarmente efficace se applicata ai siti web che hanno un elevato numero di utenti. Esistono due tipologie di vulnerabilità XSS. La XSS stored consiste nel modificare in modo permanente il contenuto della pagina web. La XSS reflected prevede la scrittura di un
SQL injection
http://_ http:// Cross-site scripting TECNICHE DI ATTACCO - 41
Il cracker scrive una shellcode e la inserisce nella memoria del computer attaccato, utilizzando tecniche come quella del buffer overflow. Queste shellcode vengono nascoste dal cracker, con tecniche come la criptazione o il codice auto-modificante, per evitare che vengano rilevati dagli Intrusion Detection System(10). La tecnica della shellcode permette al cracker di accedere alla riga di comando del computer, oppure di eseguire un codice arbitrario.
URL che, utilizzata nel sito web vulnerabile, altera temporaneamente il contenuto delle pagine. Alcuni effetti della tecnica XSS sono l’invio del contenuto di cookie a terzi e l’aggiunta di elementi HTML alla pagina web per sottrarre credenziali di autenticazione al visitatore del sito. Cross-site request forgery La cross-site request forgery, conosciuta come XSRF, consiste nell’indurre la vittima a far eseguire un codice maligno HTML o Java Script in un sito web o tramite e-mail. La differenza sostanziale tra la XSS e la XSRF è la seguente: la prima sfrutta la fiducia dell’applicazione rispetto all’utente attivo, che non compie le normali operazioni ma opera con i contenuti del sito web modificati dal cracker; la seconda, invece, sfrutta la fiducia che l’utente ripone nell’applicazione, che in realtà è malevola.
Cross-site request forgery
TCP hijacking La tecnica TCP hijacking consiste nel dirottamento del protocollo TCP. Questa tipologia di attacco rappresenta la più grave minaccia per i server connessi ad Internet. Il cracker acquisisce il controllo di un computer che si collega alla rete a cui è interessato. Disconnette il medesimo computer dalla rete e si sostituisce ad esso, ingannando il server. L’indirizzo IP di ogni pacchetto viene sostituito con quello del computer disconnesso e i numeri di sequenza vengono alterati. In tal modo il cracker simula con il proprio computer l’indirizzo IP di un sistema fidato e tramite un apposito numero di sequenza diventa la nuova destinazione del server. Grazie a questo attacco i sistemi di password vengono aggirati e il cracker riesce ad eludere i blocchi di sicurezza.
5. Prendere il controllo di un dispositivo In certi casi i cracker si dilettano nel prendere il controllo parziale o totale dei computer altrui. Solitamente questi attacchi avvengono con secondi fini, come quello di rubare informazioni, o utilizzare il computer ostaggio come strumento per danneggiare terzi. Exploit L’exploit è un attacco informatico che si utilizzare per sfruttare la vulnerabilità del sistema operativo o del software che gestisce i server e le loro funzionalità. In particolare, il termine “exploit”, indica un codice che sfrutta un bug o una debolezza del sistema per acquisire privilegi o per provocare un DoS. L’exploit remoto avviene attraverso la rete, sfruttando la vulnerabilità, senza precedenti accessi al sistema. L’exploit locale invece, richiede un preventivo accesso al sistema e determina un aumento dei privilegi dell’utente, rispetto a quelli impostati dall’amministratore del sistema. In molti siti gli exploit vengono annunciati e ne viene spiegata la procedura d’attacco. Il produttore del software, in seguito, rilascia una “fix” o una “patch” per rimediare al difetto. Shellcode Shellcode è un programma che esegue una shell, ovvero una componente del sistema operativo che permette di impartire comandi al computer, per richiedere l’esecuzione dei programmi. Questa tecnica fa parte di un exploit. 42 - CRACKING
Backdoor Le backdoor sono una sorta di porte di servizio che permettono di violare le procedure di sicurezza attivate in un sistema informatico. Sono spesso create da cracker che vogliono manomettere il sistema, oppure vengono generate automaticamente da malware, come virus, worm o trojan, in modo tale che il cracker possa prendere il controllo remoto della macchina senza l’autorizzazione del proprietario. Backdoor
TCP hijacking
Exploit
6. Diffondere materiale illegale Un noto fenomeno appartenente al mondo dei cracker è la pirateria informatica. I cracker distribuiscono illegalmente materiale coperto da copyright: videogiochi, film e programmi, al fine di trarne profitto. Cracking La tecnica del cracking serve a rimuovere la protezione della copia di un software, oppure ad ottenere l’accesso ad aree riservate del programma. Shellcode
Cracking TECNICHE DI ATTACCO - 43
La distribuzione del software privo di protezione, detto warez, viola il copyright ed è quindi illegale. Il crack solitamente si ottiene tramite il processo del reverse engineering, che consiste nell’analizzare dettagliatamente il funzionamento del programma, per poi riprodurlo. In senso più generale, il termine “cracking” viene utilizzato per indicare tutti i procedimenti atti a violare i sistemi informatici tramite Internet o una rete. Analogamente, il termine “cracker” è utilizzato, o dovrebbe esserlo nell’uso comune, come contrario di “hacker”.
PREVENIRE GLI ATTACCHI INFORMATICI
La sicurezza informatica si occupa in misura differente dell’utente comune e delle realtà lavorative. Queste ultime, soprattutto nel caso delle grandi aziende, sono maggiormente soggette ad attacchi mirati, in quanto fonti di informazioni preziose utilizzabili per fini di lucro. Purtroppo il rischio residuo informatico non può mai essere annullato, ma lo si può coprire con un’assicurazione. Gli attacchi informatici sferrati verso le grandi aziende mirano a carpire informazioni preziose, con scopi che variano dalla diffusione di materiale sensibile, come nel caso del mercato nero delle password, al sabotaggio d’immagine. Per difendere l’azienda in modo ottimale spesso si ricorre al security manager, un esperto che studia i sistemi di sicurezza aziendale sia sul piano reale che su quello informatico. Innanzitutto il security manager stabilisce quali sono gli ipotetici attacchi che l’azienda potrebbe subire. Dopodichè si occupa sia della disposizione di impianti come quelli antiincedio e di allarme, che della salvaguardia del sistema informatico aziendale(11). Ovviamente la complessità delle problematiche varia a seconda delle dimensioni e dell’attività svolta dall’azienda. Contrariamente a quanto si potrebbe pensare, i dati maggiormente sensibili non vengono mai introdotti in supporti informatici, ma sono custoditi fisicamente. Le precauzioni prese per salvaguardare le informazioni possono essere molto fantasiose. In una nota azienda di moda è stato escogitato un macchinoso ma inattaccabile metodo per trasportare i disegni dei modelli dallo studio dello stilista alla sartoria. Le tavole vengono riposte in una valigetta chiusa a chiave e assicurata con delle manette ad un uomo che viaggia su un aereo. Le chiavi di questa valigetta sono 44 - CRACKING
PREVENIRE GLI ATTACCHI INFORMATICI - 45
custodite in modo analogo da un altro uomo che viaggia su un aereo diverso. In questo modo, le possibilità che i modelli dello stilista vengano rubati sono molto remote. Tuttavia c’è sempre una minaccia latente che incombe sulla salvaguardia delle informazioni aziendali. I comportamenti delle singole persone possono vanificare completamente le attività di sicurezza atte a sventare gli attacchi sferrati dall’esterno. Purtroppo alcuni dipendenti aziendali vengono corrotti per fornire dati sensibili. La regola della cosiddetta “immunità allo zero” è molto chiara: più aumentano gli “zeri” della corruzione, più alta è la probabilità che l’utente passi i dati dall’interno dell’azienda. Nel caso in cui l’azienda non possa permettersi o non voglia assumere un security manager, ricorrerà alle aziende di sicurezza informatica in cui operano hacker esperti. Generalmente questi professionisti analizzano lo stato dell’azienda, entro i limiti imposti dalla legge della privacy, per poi fornire dei sistemi di protezione standard o progettati ad hoc a seconda delle esigenze. L’azienda di sicurezza informatica può essere consultata anche per sventare attacchi in atto o controllare remotamente il sistema aziendale. La probabilità che un cracker sferri un attacco mirato ad un utente qualsiasi è molto remota. Infatti, nella maggior parte dei casi l’obiettivo del cracker non consiste nel colpire il singolo utente, ma nell’attaccare un gruppo più o meno vasto di persone in modo casuale. I fini ultimi di questi attacchi possono essere diversi, dalla diffusione di spam alla creazione di una botnet per lanciare attacchi DoS. Data una serie di minime misure di sicurezza, è difficile ricevere attacchi proprio perché non sono indirizzati al singolo ma alla massa. Paradossalmente, i problemi di violazione non dipendono dal sistema, ma nascono dal comportamento sprovveduto dell’utente stesso. L’utente deve provvedere all’installazione di un antivirus e al suo costante aggiornamento. Il personal firewall dev’essere attivo e aggiornato periodicamente. I pericoli derivano dai programmi che l’utente installa e dal modo in cui utilizza la rete. Dovrebbe evitare di visitare siti web sospetti come quelli contenenti materiale pornografico, scaricare patch o interi videogiochi con programmi peer to peer (P2P), come ad esempio Emule. Un aspetto importante per la salvaguardia dei dati è l’aggiornamento del computer, necessario per prevenire che il sistema si blocchi. In generale, l’utente può prevenire gli attacchi informatici con diversi strumenti. In seguito sono presentate, brevemente, le tecniche di protezione informatica più diffuse. 46 - CRACKING
Firewall Il firewall è un sistema passivo di difesa perimetrale che innalza il livello di sicurezza della rete. La sua funzione primaria è quella di filtrare tutti i pacchetti in entrata e uscita, da e verso una rete o un computer, con la possibilità di controllarli, modificarli e monitorarli. Il Personal Firewall, invece, viene installato nel computer per controllare i programmi che tentano di accedere ad Internet, consentendo all’utente di personalizzare le modalità di accesso ad internet. Questo software permette di prevenire che dei programmi malevoli connettano il computer all’esterno.
Firewall
Honeypot L’honeypot è un sistema di sicurezza che funziona come un barattolo di miele. Il barattolo è un computer, o un sito web, che sembra far parte della rete, ma in realtà è isolato. Il miele, che funge da esca, consta di dati che sembrano sensibili, ma non lo sono. Ovviamente il cracker impersona Winnie the Pooh, il famoso orso di pezza attirato in modo irresistibile dal miele. La funzione dell’honeypot è quella di fornire informazioni sulla natura e sulla frequenza degli attacchi sferrati al sistema.
Honeypot
Antivirus Gli antivirus sono dei software che cercano ed eliminano dal sistema virus informatici e malware, come worm, trojan, ... Ciascun tipo di virus è caratterizzato da una particolare stringa di byte. L’antivirus cerca questa stringa nella RAM o nei file presenti nel computer e ne rileva la presenza. Quando viene scoperto un nuovo virus, il produttore dell’antivirus provvede a fornire agli utenti gli aggiornamenti necessari ad eliminarlo. L’antivirus provvede anche a rilevare comportamenti anomale dei vari programmi, che possono dipendere dall’azione di un virus; inoltre cerca possibili variazioni dei virus già esistenti.
Antivirus, antispyware
Antispyware L’antispyware funziona in modo analogo all’antivirus. La differenza sta nel fatto che il software rileva spyware, keylogger, trojan e altri malware. Intrusion Detection System (IDS) L’Intrusion Detection System consiste in un dispositivo che identifica gli accessi non autorizzati ai computer o alle reti locali. Può essere hardware, software o la combinazione di entrambi. Gli IDS analizzano l’Host, l’intero traffico di rete o entrambi. Operano secondo due diverse tecniche, dividendosi in PREVENIRE GLI ATTACCHI INFORMATICI - 47
signature, ovvero sistemi basati sulle firme, e in anomaly, sistemi basati sulle anomalie. I primi lavorano in modo analogo agli antivirus, mentre i secondi si basano su delle regole che stabiliscono quali sono i comportamenti “normali” del sistema e viceversa. Un’ulteriore suddivisione degli IDS è quella tra IDS passivi e IDS attivi. I primi rilevano e notificano le anomalie del sistema di sicurezza informatica, mentre i secondi si occupano anche dell’isolamento della violazione informatica secondo regole prestabilite. Crittografia La crittografia consiste nella creazione di crittogrammi, dei messaggi in codice leggibili solo dal destinatario. Fino a pochi anni fa si utilizzava esclusivamente la tecnica della crittografia simmetrica, che prevede l’utilizzo di un’unica chiave per codificare e decodificare il messaggio. Recentemente è stata messa a punto la crittografia asimmetrica, che utilizza due chiavi diverse, una per crittografare, visibile da chiunque, e una per decifrare, conosciuta solo dal destinatario del messaggio. In altre parole, il destinatario fornisce una scatola munita di lucchetto aperto al mittente. Quest’ultimo inserisce il messaggio nella scatola, chiude il lucchetto e manda il messaggio così crittografato al destinatario, il solo a possedere la chiave per aprire la scatola. La crittografia quantistica è basata sull’utilizzo della meccanica quantistica, durante lo scambio della chiave. Questa tecnica previene gli attacchi man in the middle (uomo nel mezzo), quindi qualsiasi intercettazione della chiave sarà resa nota sia al mittente che al destinatario del messaggio. Steganografia A differenza della crittografia, che rende inaccessibili le informazioni, la steganografia ne mantiene nascosta l’esistenza. Esistono due tipologie di steganografia: la LSB o rumore di fondo e la steganografia pura o a generazione di copertura. La LSB si basa sul principio che l’alterazione impercettibile dei colori dei pixel di un’immagine digitale, ad alta definizione, non cambia il contenuto dell’immagine stessa. L’algoritmo steganografico, tramite una chiave, sostituisce i bit meno significativi dell’immagine di copertura con i pezzi del messaggio. Solo quella chiave permetterà poi di rilevare l’esistenza del messaggio nell’immagine. Questa tecnica può essere applicata anche a file audio o video. La steganografia pura, invece, non nasconde il messaggio in contenitori già esistenti, ma ne crea di nuovi tramite un software di steganografia.
48 - CRACKING
Intrusion Detection System
Crittografia
Sistemi di autenticazione I sistemi di autenticazione verificano l’identità di utenti, computer e software. Si suddividono rispetto a ciò che l’utente: - è: impronte digitali e vocali, DNA, calligrafia, ... - possiede: tessere identificative, ... - conosce: password, parole chiave, PIN, ... I sistemi di autenticazione sono svariati e ne riporto solo alcuni esempi. La firma digitale, realizzata con la tecnica della crittografia asimmetrica, è utilizzata per autenticare documenti digitali. Inoltre garantisce che il documento non venga disconosciuto, determinando in modo sicuro sia l’identità del mittente che l’avvenuta ricevuta del messaggio da parte del destinatario. La chiave hardware è un oggetto che contiene una memoria sulla quale si possono registrare password, codici e firme digitali. Un esempio è la smart card, un dispositivo hardware, simile ad una carta di credito, capace di elaborare e memorizzare dati in modo altamente sicuro. Il login consiste nell’inserimento di username e password nel sistema di autenticazione e serve ad escludere tutti gli utenti non autorizzati. Un esempio è il sistema di accesso alla propria casella di posta elettronica. Backup Oltre alla protezione del sistema, è importante prevenire la perdita dei dati informatici archiviati nel computer. Il backup è lo strumento che permette di creare delle copie di sicurezza. La maggior parte dei personal computer è dotata di un programma di backup. I dati vengono salvati su supporti ottici o magnetici. Esistono anche servizi come il backup online che operano attraverso software che rilevano i nuovi file da archiviare e ne eseguono immediatamente la copia di sicurezza.
Sistemi di autenticazione
Backup
Steganografia
PREVENIRE GLI ATTACCHI INFORMATICI - 49
DISPOSITIVI CRACKABILI
La diffusione sempre più capillare di strumenti informatici e tecnologici ha comportato un radicale cambiamento delle modalità di gestione dei dati e delle informazioni personali. Delicate discussioni lavorative avvengono telefonicamente, il conto bancario può essere gestito da casa attraverso Internet (home banking), vendite e acquisti vengono effettuati online. I social network sono diventati la vetrina delle nostre vite e la nostra identità è sempre più esposta alla vista di estranei. Se da un lato l’utilizzo di dispositivi tecnologici ha portato ad un effettivo miglioramento della nostra vita quotidiana, dall’altro la fiducia riposta in questi oggetti e nella loro sicurezza è discutibile. Utilizzando supporti informatici, aumenta progressivamente la precarietà del salvataggio dei dati, che possono essere cancellati per problemi hardware, software ma anche umani. La violazione delle informazioni diventa una sfida combattuta a distanza, tramite stringhe di codici o per mezzo di onde radio, e la parte lesa spesso ne è ignara. Comunicare con altre persone, anche sconosciute, è diventato sin troppo facile, stiamo un po’ alla volta abbandonando i nostri filtri nel selezionare cosa dire al nostro interlocutore. I cracker hanno potenzialmente in mano l’accesso a qualsiasi tipo di informazione custodita con strumenti informatici e possono contare sulla diffusa ignoranza delle persone rispetto a questo mondo. Infatti, la maggior parte degli utenti che utilizzano dispositivi tecnologici, compreso il computer, non ne conoscono il reale funzionamento e non sono interessati ad informarsi sulle precauzioni da prendere per salvaguardarne il contenuto.
50 - CRACKING
Analogamente, le persone spesso abusano di dispositivi che potenzialmente espongono la privacy, ad esempio il GPS, che rileva la propria posizione attuale. Se questi strumenti non hanno un adeguato sistema di protezione, l’utente può essere soggetto ad azioni da parte di malintenzionati, spinti da motivi d’interesse personale o dalla voglia di divertirsi. Un esempio lampante di dispositivo crackabile è il Nike+iPod Sport Kit, una sorta di personal trainer interattivo da utilizzare mentre si fa jogging(12). Il kit è composto da un sensore, da inserire nelle apposite scarpe da ginnastica Nike, e da un ricevitore da collegare all’iPod. I due componenti comunicano utilizzando un protocollo wireless. Un esperimento condotto dai ricercatori dell’University of Washington ha dimostrato che è molto semplice rilevare la posizione del dispositivo e quindi del suo possessore, attraverso l’utilizzo di semplici strumenti di sorveglianza(13). Una volta riconosciuto il dispositivo Nike+iPod, il pedinatore può controllare la vittima anche dopo l’allenamento, ad esempio mentre sta tornando a casa. I ricercatori di Washington hanno fatto notare come questo disguido sia il frutto di insufficiente attenzione da parte dei progettisti del dispositivo stesso. Infatti, un semplice codice crittografato avrebbe preservato la privacy del possessore del kit Nike+iPod.
Il packaging del kit Nike+iPod, tratta dal sito http://store.apple.com/it/
DISPOSITIVI CRACKABILI - 51
Tratto da http://it.wikipedia.org/ wiki/Black_hat (1)
(2) Raul Chiesa è stato uno dei primi hacker italiani. Ha scontato diversi anni di galera in seguito all’intrusione nel sistema informatico della Banca d’Italia. In seguito si è dedicato all’ambito della sicurezza informatica. Si definisce un hetical hacker, categoria che riconduce alle sue esperienze passate.
Per consultare il report dell’esperimento, visitare il sito internet: http://www. cs.washington.edu/ (13)
(3) Quiet, paranoid, skilled hacker; in italiano: hacker taciturno, paranoico, specializzato (4) Tsutomu Shimomura, assieme al famoso giornalista John Markoff, collaborò con l’FBI per arrestare Kevin Mitnick. Nel 1996 fu pubblicato il suo libro “Takedown”, da cui è tratto l’omonimo film del 2000 diretto da Joe Chappelle. (5) Il termine “sproofing” deriva da “sproof”, che significa falsificazione dell’identità. (6) Una connessione è detta cifrata quando i codici sono protetti da un sistema crittografico. Quest’ultimo genera un nuovo codice, incomprensibile se non si utilizza la corrispettiva chiave di decifrazione. (7) Per ulteriori informazioni si veda: http://www.geekissimo.com/
Tradotto letteralmente: “negazione del servizio”. (8)
(9) Tratto da: http://www. towerlight2002.net/ (10) Gli Intrusion Detection System (IDS) sono dei dispositivi che rilevano gli accessi non autorizzati ai computer e alle reti locali. (11) Per ulteriori informazioni si veda: http://www.romaexplorer.it (12) Per informazioni sulle funzionalità di Nike+iPod visitare il sito internet: http://www.apple. com/it/ipod/nike/
52 - CRACKING
53
COMUNICARE LA SICUREZZA INFORMATICA
STATO DELL'ARTE
La comunicazione inerente al mondo della sicurezza informatica, e più in generale al mondo dell’hacking e del cracking, spazia dalle copertine di libri e riviste, ai poster, agli spot sociali, ... . Nella maggior parte dei casi il tema trattato è quello della sicurezza informatica rispetto all’utente comune. Complessivamente il livello qualitativo degli elaborati analizzati è molto scarso. Il messaggio spesso viene banalizzato e ricondotto a stereotipi noiosi, come ad esempio quello dell’uomo malvagio che spia la vittima ignara dalla panchina vicina. Talvolta il tema informatico viene sostituito da metafore incoerenti, ad esempio quelle che riprendono il cinema horror. Solo in pochi casi il messaggio è comunicato attraverso una veste grafica accattivante, senza contare che parte di questi elaborati non funziona sul piano comunicativo. Segue l’analisi di dieci video sulla sicurezza informatica. I lavori sono stati selezionati secondo criteri di qualità comunicativa e di realizzazione(1).
I 5 video peggiori 1. Public Wireless Security Awareness - MindfulSecurity Questo video è stato realizzato nel 2009 per sponsorizzare il sito internet: http://mindfulsecurity.com, creato e gestito nel tempo libero da Paul Johnson, un esperto di sicurezza informatica. Il contenuto del video cerca di fornire una serie di regole per salvaguardare, i dati custoditi nel computer, da attacchi sferrati attraverso i network wireless pubblici. 56 - COMUNICARE LA SICUREZZA INFORMATICA
Il messaggio è presentato attraverso brevi slogan, come: “Disable your wireless to stop automatic connecting”(2), seguito da avvertimenti piuttosto vaghi e minacciosi, come: “Be aware that the person sitting opposite could be attempting to access your information”(3). Ai testi si alternano delle fotografie molto banali e imbarazzanti: un ragazzo con il volto coperto dal cappuccio che finge di scrivere sul computer spento, un computer portatile avvolto da una catena chiusa col lucchetto, un uomo con passamontagna che tiene un computer sottobraccio, ... . 2. Password Management Information Security Awareness Cartoon - MindfulSecurity Ecco un altro video tratto dall’archivio di http://mindfulsecurity.com, realizzato nel 2009. Lo scopo del video è informare gli utenti sull’importanza di utilizzare password sicure. Il video è un cartone animato ambientato nel giardino della Casa Bianca. Il Presidente Barack Obama chiede allo sconsolato George W. Bush - che piange e tiene in mano un orsetto di pezza - se può dirgli la password del computer della Stanza Ovale. Bush dice una password di sole 3 lettere. Segue un balletto di Obama, che con una canzone in rima snocciola una serie di massime sull’importanza di avere una password sicura. Per enfatizzare il momento, arrivano anche Bill Clinton e la consorte. Al di là della simpatia per i disegni, ritengo che il messaggio venga banalizzato e reso ridicolo, dando invece spazio a rime come: “Don’t use the same password across every site. Someone with your password could access what they like.” (4) 3. Navighiamo in sicurezza - Regola 0 Questo video, realizzato nel 2008 dal CNR(5) nel corso del progetto EDEN (Educazione Didattica per la E-Navigation) (6) , è diffuso dal Portale Ragazzi, un progetto dell’Ente Cassa di Risparmio di Firenze, che vuole promuovere l’utilizzo di Internet tra i ragazzi. Personalmente penso che il messaggio trasmesso dal video sia sbagliato. La voce narrante spiega che la realtà ed Internet sono due mondi molto differenti e il loro incontro è pericoloso. La regola 0 è “tenerli ben distinti e separati”. Nel mondo virtuale tutto è fantastico e irreale. Innanzitutto, se utilizzato in modo intelligente, Internet è uno strumento altamente costruttivo ed educativo. Inoltre l’essere degli utenti non si annulla magicamente connettendosi alla rete. Ognuno deve essere responsabile delle proSTATO DELL’ARTE - 57
prie azioni e mantenere la propria identità anche quando si trova in Internet. Le immagini del video servono a sottolineare ciò che viene detto. Un’immagine della Terra malamente scontornata rappresenta il mondo reale, un disegno probabilmente fatto da un bambino rappresenta il mondo virtuale. Quando si sovrappongono, i due mondi sono separati da una linea rossa lampeggiante che enfatizza il senso di pericolo. Il video termina con l’esplosione del mondo. 4. Il decalogo della sicurezza di Webank Il video è stato realizzato nel 2008 per conto di Webank, la banca online del Gruppo Bipiemme, che è stata partner della Settimana della Sicurezza in Rete(7). Il messaggio è chiaro e ben strutturato, contrariamente all’accompagnamento d’immagine che è banale e ripetitivo. L’utente domestico compie alcune azioni descritte dalla voice over, mentre l’animazione sottolinea le parole chiave in modo molto semplificato. Purtroppo questo aspetto del video, che penso sia l’unica ragione per cui l’hanno fatto, si riduce all’area molto ristretta del computer, che occupa meno della metà dello schermo. Nella parte inferiore del video, vicino ad utente, tappettino e mouse, c’è un riassunto illeggibile di ciò che viene raccontato. In alcune parti del video un piccolo personaggio con maschera da ladro e braccia attaccate alle orecchie appare e scompare sull’angolo in alto a sinistra. 5. Computer Security Day 2008 Questo video, presente nel canale YouTube di Infoaware, è stato realizzato per il Computer Security Day 2008. Presenta una serie di informazioni e consigli sulla sicurezza informatica, esposti da una voice over piuttosto noiosa. Delle frasi in sovraimpressione - presentate in una veste che non si può definire grafica - sottolineano ciò che viene detto dal narratore. Le immagini mostrate sono molto banali e talvolta non corrispondono nemmeno al significato del messaggio. Ad esempio, come sfondo al discorso sulle informazioni confidenziali c’è una bella ragazza che ascolta la musica con il suo iPod. Certe immagini, invece, sono state concepite in modo alquanto contorto. In una vediamo il fantasma di un uomo, che presenta solo: busto, braccia e testa. Il fantasma fluttua alle spalle della povera vittima, che guarda con aria seria lo schermo spento. La frase avverte: “Be careful in giving away personal info on the internet” (8) …, con il computer spento e un fantasma che ti guarda alle spalle con aria perplessa.
58 - COMUNICARE LA SICUREZZA INFORMATICA
I 5 video più significativi 1. Sicurezza-informatica Questo video è stato realizzato nel 2007 da Luz Vogel e Benjamin Stephan(9). Il video ha vinto l’Adobe Design Achievement Award 2007, nella categoria Motion Graphics. Il tema trattato riguarda il significato del termine “Trust” all’interno dell’industria informatica, riferendosi alla falla di sicurezza dovuta all’utilizzo del trusted computing(10). La spiegazione delle problematiche presentate è esposta in modo chiaro da una voice over che parla in italiano. Il video è stato realizzato con la tecnica della grafica in movimento. La tipografia che guida il succedersi del racconto è curata e precisa. Le animazioni sono accattivanti, i colori e le inquadrature sono utilizzati in modo da catturare l’attenzione su particolari punti del testo, che è scritto in inglese. La tipografia è accompagnata da illustrazioni semplici ed efficaci. Un simpatico personaggio enfatizza la presa di posizione dell’autore. 2. Symantec per la PMI: proteggi il tuo business Il video è stato realizzato nel 2009 per conto di Symantec(11), un’azienda che produce prodotti per la sicurezza informatica. L’obiettivo è sensibilizzare le piccole e medie imprese italiane sui temi della sicurezza informatica. Ho apprezzato il fatto che il video sia rivolto in modo specifico sia al management che ai dipendenti aziendali. L’argomento trattato è la sicurezza informatica in ambito aziendale, soprattutto rispetto alla sfera del business. Il caso presentato è quello del virus informatico, che attacca l’azienda eliminando dati sensibili. La conseguenza è riassunta nel cartello “Azienda chiusa per virus”. Le cause dell’attacco vengono riassunte in tre punti: spam, dispositivi di connessione e phishing. Le cause e lo svolgersi di questi attacchi informatici sono rappresentate in modo accattivante. Tra le soluzioni di protezione ovviamente è presentato un prodotto Symantec. Il video nel complesso è molto divertente, soprattutto per il personaggio che rappresenta il virus. Testi, immagini e voice over si alternano in modo abbastanza equilibrato. 3. Symantec: Proteggi i tuoi dati dai rischi informatici! Anche questo video è distribuito da Symantec ed è stato realizzato nel 2009. Lo scopo è quello di informare gli utenti comuni sui rischi che si corrono quando si naviga in Internet, nonostante il sistema di sicurezza. Il video invita a controllare sempre di essere in pagine web protette, a diffidare delle mail che chiedono informazioni riSTATO DELL’ARTE - 59
servate e a controllare le estensioni dei file scaricati dalla rete. Infine vengono sponsorizzati i prodotti di sicurezza informatica Norton. Le immagini del video rimandano al mondo dei fumetti, in particoare a quello dei supereroi. Infatti, i tre personaggi che rappresentano Symantec sono delle persone con poteri sovrannaturali, mentre il cracker è un mostro terribile che vaga tra la gente nel mondo virtuale. Anche in questo video troviamo il paragone tra città reale e città informatica, che viene presentata come un mondo sotterraneo, a cui si accede attraverso i circuiti elettronici. I colori utilizzati sono prevalentemente il nero, il bianco e il giallo, che è il colore di Symantec, mentre il rosso è utilizzato per indicare il pericolo. Complessivamente, sia il messaggio che la realizzazione del video sono stati progettati in modo chiaro e preciso.
to di NetIQ per salvaguardare i dati in modo conveniente. La comunicazione è molto efficace e l’immagine risulta incisiva, anche se il video è stato realizzato con materiali poveri. Infatti le scene sono state costruite utilizzando delle sagome di cartone disegnate con il pennarello. Una mano muove i personaggi o scrive con il pennarello direttamente sullo sfondo bianco, per sottolineare dei passaggi. Il risultato è un video esplicativo e divertente.
4. Master Plan - About the power of Google Questo video di denuncia è stato prodotto e diretto da Ozan Halici e Jürgen Mayer per la tesi di laurea specialistica presso l’University of Applied Sciences di Ulm, Germania, nel 2007(12). Il video è ispirato ai libri “What Barry Says” di Simon Robson e a “The Google Story” di David A. Wise. Il problema della sicurezza è qui trattato da un punto di vista molto ampio e trasversale. “The Google Master Plan” consiste nel fatto che qualsiasi tipo di informazione è resa disponibile a chiunque sia controllato da Google, con l’intenzione di aumentare l’accesso delle informazioni senza arrecare danni a nessuno. Il video porta serie di argomentazioni che invece dimostrano il contrario. La domanda finale “What do you think? Does Google really worry about our privacy?” (13), lascia aperto il dibattito sull’argomento. Le argomentazioni sono esposte da una voice over in modo dettagliato. Le informazioni principali sono riportare dalla tipografia in movimento. La tecnica di realizzazione è sempre quella della grafica in movimento, con l’aggiunta di alcune brevi riprese elaborate al computer. Le immagini sono un valido supporto al racconto e cercano di visualizzare quello che accade sul piano virtuale. 5. IT Joe gets Secure and Complaint with NetIQ Il video è stato realizzato per sponsorizzare NetIQ, azienda leader nel campo dell’informatica(14). Il fine è quello di invitare le aziende a rivolgersi a NetIQ per incrementare il livello di sicurezza. Una voice over spiega in modo semplice i pericoli dovuti alle falle di sicurezza aziendale e l’importanza di ricorrere all’aiu60 - COMUNICARE LA SICUREZZA INFORMATICA
STATO DELL’ARTE - 61
EMAZE NETWORKS
Il logo dell’azienda Emaze Networks, ridisegnato nel 2009.
Un aspetto interessante della sicurezza informatica è la salvaguardia di sistemi vasti e complessi. Nelle grandi aziende i parametri di sicurezza devono tener conto sia degli attacchi informatici che della minaccia rappresentata dal comportamento delle persone. Per capire come viene gestita la protezione dei sistemi aziendali, mi sono rivolta ad Emaze Networks, una nota azienda italiana di sicurezza informatica. La Direzione Generale di Emaze Networks ha sede a Milano, mentre il Centro di ricerca e sviluppo si trova nell’Area Science Park di Basovizza, in provincia di Trieste. Oltre a fornire consulenza e servizi di sicurezza informatica, Emaze Networks sviluppa programmi(15) che vengono utilizzati dalle aziende per prevenire attacchi informatici, o per gestire il proprio sistema di sicurezza. Emaze Networks lavora per grandi aziende italiane, tra le quali: operatori di telecomunicazioni, istituti bancari e assicurativi e grandi complessi industriali, soprattutto internazionali, come Fiat, Pirelli ed ENI.
mento dei contenuti sistemici. Alla fine verifica che il sistema funzioni correttamente e che le debolezze siano state accuratamente eliminate. Nonostante questo procedimento venga effettuato ciclicamente, esistono attacchi concepiti appositamente per scavalcare la rete di sicurezza informatica, ad esempio il social engineering. Tali attacchi non sono rilevabili con strumenti automatici, quindi è necessario un intervento manuale che permetta la gestione di queste problematiche. Per salvaguardare il sistema aziendale è molto importante compiere delle analisi che stabiliscano il livello di sicurezza della rete locale e dei servizi online. Emaze Networks compie delle attività quali i vulnerability assessment, che consistono nell’attaccare il sistema come un cracker per cercare eventuali punti deboli, e i penetration test, dei collaudi mirati a testare specifiche parti dell’architettura di sicurezza. In seguito a queste analisi, al cliente viene fornita la sintesi del lavoro e le relative indicazioni per correggere le falle del sistema. L’azienda di sicurezza informatica si occupa anche della verifica della gestione dell’autenticazione e dell’autorizzazione dell’utente aziendale, volte a identificare chi utilizza il sistema e quali operazioni può compiere. Ogni utente avrà un profilo nel quale potrà entrare, tramite specifiche credenziali di accesso. Queste ultime dovranno seguire la normativa dettata dal Decreto Legislativo 196, conosciuto come “Codice della privacy”(16). Spesso persone, come consulenti o fornitori, hanno la possibilità di connettersi alla LAN aziendale per usufruire del materiale messo a disposizione e degli eventuali servizi utilizzabili. Il controllo dell’accesso alla rete locale e la protezione delle risorse informatiche e informative è essenziale. Il compito di Emaze Networks in questo caso è quello di studiare e verificare il sistema di protezione della LAN aziendale. Lo standard ISO 27002, stabilisce che la gestione della sicurezza sia un processo che avviene in modo ciclico e costante, secondo quattro passaggi: plan, do, check, act(17). Per far questo, ogni azienda deve stabilire un’architettura della sicurezza, in accordo con la strategia di business dell’azienda. Le procedure di sicurezza devono essere dettagliate e conformi ai parametri prestabiliti. La loro efficienza deve essere verificata e relazionata alle politiche di sicurezza, termini di paragone per stabilire il livello di sicurezza raggiunto. Emaze Networks verifica la funzionalità e l’efficacia del sistema di sicurezza rispetto alle normative previste.
Emaze Networks lavora secondo uno schema preciso. Inizialmente cerca ed elimina la maggior parte dei bug presenti nel sistema informatico dell’azienda. Dopodiché compie una serie di operazioni atte ad implementare il ciclo di migliora62 - COMUNICARE LA SICUREZZA INFORMATICA
EMAZE NETWORKS - 63
che di sicurezza di tecnologie che saranno appena adottate. Lo sviluppo secondo noi è lo sviluppo dei software. La ricerca consiste nello studio delle nuove tecnologie per farci qualcosa di originale, che poi potremo vendere come consulenza, o utilizzare per dare origine ad un prodotto.
DINAMICHE AZIENDALI
Intervista a Davide Varesano, responsabile amministrativo di Emaze Networks. [20 novembre 2009]
“Crediamo nella ricerca perché ci permette di avere dimestichezza con tecnologie che potrebbero avere diffusione nel mercato”
Come nasce Emaze Networks? Nel 1999 la cassa di risparmio di Trieste spostò tutta la sua struttura informatica al SIT(18) di Verona. Per esigenze legali mantenne alcune competenze sulla sicurezza informatica. Nel 2000 questa azienda, che faceva da provider, si scontrò sul nuovo mercato Telecom che introduceva i primi dispositivi Alice 14 KB con il modem a casa. Si decise di chiudere l’azienda, per aprirne una di sicurezza informatica. Allora non c’era mercato in Italia, anche se gli attacchi informatici esistevano. Bisognava andare dai singoli soggetti per spiegare chi eravamo e che cosa facevamo. Fuori dall’Italia c’erano tematiche più sviluppate. All’inizio bisognava crearsi referenze e pagare gli stipendi. La realtà era abbastanza sconosciuta (la persona più vecchia dell’azienda era del 1970). Abbiamo provato anche in Slovenia ma il mercato là era ancora più indietro. Paradossalmente, lì abbiamo stretto un contratto con un’importante realtà governativa. Il vizio di forma di Emaze è che, dopo aver fondato l’azienda,
64 - COMUNICARE LA SICUREZZA INFORMATICA
l’idea era quella di procurarsi i soldi per fare un prodotto che testasse la sicurezza dei sistemi informatici, l’ipLegion(19). E’ mancato lo studio del possibile mercato per questo prodotto, per definire quali fossero: il target, le modalità di commercializzazione, la politica di pricing. Così non c’era nessuno interessato a questo tipo di prodotto. Solo nell’ultimo anno abbiamo definito nettamente queste caratteristiche. Quali sono le caratteristiche che distinguono l’azienda? Emaze offre dei servizi del tutto originali, a seconda delle esigenze del cliente. Il centro di ricerca e sviluppo, interno alla nostra azienda, lavora per fornire prodotti originali e specifici. Utilizzando la metafora di una cucina, Emaze fornisce dei pezzi componibili di base e poi realizza i componenti extra, specifici per il cliente. Inoltre Emaze si occupa dello studio delle nuove tecnologie e della loro sperimentazione. Valutiamo già adesso quelle che potranno essere le caratteristi-
Com’è strutturata l’azienda? La sede centrale è a Milano, mentre il centro di ricerca e sviluppo è a Trieste. I consulenti sono a Milano perché è la città più baricentrica rispetto al mondo del business in Italia. Anche a Roma abbiamo una presenza importante perché le telecom(20) hanno base lì. Quali servizi offrite? Offriamo prodotti customizzati sulle specifiche del cliente e consulenza di sicurezza informatica, progettazione, realizzazione ed esercizio. Secondo quali esigenze e con che criteri sviluppate i vostri prodotti? Noi lavoriamo a progetto. I nostri progetti sono sempre di sicurezza informatica. Il contesto nel quale ci muoviamo dipende da ciò che ci viene chiesto. Chi sono i vostri clienti principali? In nostri clienti principali sono le telecom, i grandi agglomerati finanziari e le grandi multinazionali industriali.
Nel vostro settore la ricerca è fondamentale. Che percentuale occupa nel vostro lavoro aziendale? Nel nostro settore lo sviluppo della conoscenza è fondamentale, la ricerca potrebbe non esserlo perché potrebbe farla qualcun altro. Nello specifico di Emaze, invece, crediamo nella ricerca perché ci permette di avere dimestichezza con tecnologie che potrebbero avere diffusione nel mercato. Tecnicamente la ricerca potrebbe essere sostituita da corsi di aggiornamento. Noi li facciamo, ma comunque non trascuriamo la ricerca, che per la nostra azienda è fondamentale. E’ così che sviluppiamo le nostre conoscenze. Vi occupate solamente di clienti italiani o anche stranieri? Per il momento solo di clienti italiani. Rispetto alla realtà internazionale, qual’è il livello di competenza e importanza dell’Italia nel campo della information security? E’ difficile dare una risposta. Secondo me le conoscenze di sicurezza informatica ricalcano quello che il mercato a cui ci si riferisce può richiedere. L’America resta la realtà più sviluppata, con operatori di un certo peso, è quindi quella che fa da capofila per qualsiasi tecnologia. Le idee brillanti possono nascere anche altrove, ma per essere conosciute dal mercato di massa devono essere poste in un contesto abbastanza maturo, altrimenti rimangono sconosciute. Le conoscenze vanno
verso i mercati disponibili ad acquisire quel tipo di conoscenza. Emaze quindi potrebbe fare un cambiamento, in questo senso, quando si immetterà nel mercato internazionale. Parlando nello specifiche di attacco, certe problematiche non riguardano la realtà italiana. Un esempio è l’attacco DoS, che in Italia non si manifesta ancora. Quali sono i maggiori pericoli per i dati dell’utente comune? E quelli per le aziende? Determinato il valore del dato, si riesce a definire il profilo dell’attaccante, in base ai tempi e i soldi che ci deve mettere per riuscire ad entrare in un sistema. Il 99% degli attacchi all’utente domestico sono rappresentati da sistemi automatici: worm e virus, i quali attaccano non il singolo ma il mucchio. Per quanto riguarda le aziende, ci sono diversi profili di rischio. Ci sono driver di tipo legale; la legge sulla privacy impone che certi dati debbano esser custoditi in una certa maniera. C’è un driver legislativo di tipo internazionale, come per i dati in borsa che devono essere protetti in maniera più stringente. Ci sono driver di business, per non perdere soldi a causa di problemi informatici. C’è chi lavora con l’obiettivo del sabotaggio d’immagine; soprattutto la malavita organizzata lavora con queste logiche: è più semplice far danni che entrare in un sistema, così come è più semplice prendere una mazza e distruggere un semaforo, piuttosto che trovare il modo per fare accendere contemporaneamente il rosso e il verde. Bisogna capire la dimensione e gli asset dell’azienda, qual’è il DINAMICHE AZIENDALI - 65
profilo dell’attaccante e definire se, oltre ai sistemi informatici che colpiscono il mucchio, possono esserci anche altre minacce pericolose. Le grandi aziende saranno esposte ad attacchi professionali, quelle più piccole agli attacchi che colpiscono anche l’utente domestico. Ci sono altre realtà, come le università o i centri di ricerca, che hanno utenti interni che potrebbero utilizzare i computer per attività illecite. Perché gli utenti domestici vengono attaccati? Gli utenti domestici vengono attaccati perché i sistemi automatici d’attacco si prefiggono di creare e installare le pop net, quelle reti di computer che possono essere attivate da un soggetto esterno per fare attività illegali, scorrette. Ad esempio, per fare spam o Denial of Service. Quali sono i maggiori problemi che dovete affrontare sul piano comunicativo con il cliente? Posto che Emaze non ha un mass market ma un mercato composto da 50 aziende, devo pensare che la mia controparte è composta da 50 persone. Quindi ho la possibilità di parlare personalmente a ciascuno di loro, facendo incontri con al massimo quattro persone.
Che livello di conoscenza informatica hanno i vostri clienti? I clienti si dividono in due gruppi. Nelle grandissime realtà aziendali la sicurezza informatica è ricondotta alla sicurezza in generale. Il nostro interlocutore è un informatico esperto, ma i suoi collaboratori non lo sono, perché si occupano di altro. Nelle aziende più piccole invece non ci sono divisioni nelle quali la sicurezza informatica dipende dal settore informatico. La conoscenza informatica del nostro interlocutore è buona ma mai ottima. Egli ha conoscenze generali ma non i dettagli tecnici o le conoscenze più aggiornate, che invece sono conosciute dagli operatori. Per spiegare problemi e soluzioni, che tipo di linguaggio utilizzate con il vostro cliente? Con i nostri interlocutori si parla in maniera tecnica. Secondo te, quali sarebbero i canali di comunicazione più adatti per diffondere un video di sensibilizzazione sulla sicurezza informatica? Bisogna scoprire qual’è il driver attraverso il quale l’utonto si avvicinerà al video. Il problema non è dove mettere il video, ma come motivare la gente a guardarlo.
Quanto conta la grafica ai fini Da 0 a 10, quanto il vostro della veicolazione di un mescliente è consapevole dell’im- saggio? portanza di salvaguardare i Tanto. Ma conta anche la strutpropri dati? tura del messaggio. Ad esempio, 11 un depliant ha una sola possibilità di interazione: lo apri. Anche un video non ha una grande capacità; lo puoi guardare, al limite 66 - COMUNICARE LA SICUREZZA INFORMATICA
fermare e riprendere. Invece un sito web è un’esperienza piuttosto completa. Puoi interagire in maniera diversa, tramite i clic, i filmati, il sonoro, tramite una sensazione che vuoi trasmettere, la cura dei testi che vuoi inserire, ... e non è detto che in un sito ci siano tutte queste cose. Gli altri supporti classici sono meno efficaci.
COMUNICARE CON I CLIENTI
Emaze Networks non si occupa di tutto il mercato della sicurezza, ma si rivolge esclusivamente alle grandi aziende. Come abbiamo visto, in questi ambiti c’è la consapevolezza dell’importanza di proteggere le informazioni e di salvaguardare il sistema aziendale, anche se il mercato italiano non è ancora abbastanza maturo per introdurre sistematicamente figure professionali come quella del secuirity manager. In tutti i casi, il cliente di Emaze Networks è rappresentato da un esperto di informatica. Di conseguenza si crea un dialogo professionale e costante, indispensabile per la pianificazione di un adeguato sistema di sicurezza. All’interno dell’azienda però, non tutti sono a conoscenza del pericolo rappresentato dal cracking. Mentre l’addetto alla sicurezza e le persone che lavorano strettamente con lui sono consapevoli della necessità di salvaguardare le informazioni aziendali, molti dipendenti sono ignari dell’alta probabilità di attacco da parte di cracker. Quindi, per quanto un sistema aziendale possa essere protetto e monitorato, permane il rischio che un impiegato venga ingannato o corrotto da un cracker. Le contromisure imposte dall’azienda, come l’utilizzo di password per accedere alla rete, sono necessarie ma insufficienti per contrastare le strategie di attacco. Basta la presenza di un “utonto” e la rete di sicurezza costruita con tanta attenzione viene annullata. Da qui nasce la necessità di informare e sensibilizzare l’utente aziendale sulla minaccia degli attacchi informatici. Il compito non è affatto semplice, perché la maggior parte delle persone non ha confidenza con il mondo dell’informaCOMUNICARE CON I CLIENTI - 67
tica, quindi il rischio che il messaggio non venga compreso è impellente. D’altro canto, una eccessiva semplificazione della comunicazione potrebbe portare a banalizzare il problema.
I video si possono guardare su YouTube cercando il titolo indicato. (1)
(2) “Disable your wireless to stop automatic connecting”, tradotto in italiano: “Disattiva il tuo wireless per fermare le connessioni automatiche”. (3) “Be aware that the person sitting opposite could be attempting to access your information”, tradotto in italiano: “Stai attento perché la persona che siede dall’altra parte potrebbe tentare di accedere alle tue informazioni”.
che ha l’obiettivo di rendere più sicuri i dispositivi informatici con l’utilizzo di componenti hardware e software. (11) La sede principale di Symantec si trova a Montain View, in California, mentre lo stabilimento produttivo principale è situato a Dublino, in Irlanda. Per ulteriori informazioni si veda: http://www. symantec.com/index.jsp (12) Per ulteriori informazioni: http:// masterplanthemovie.com/
“What do you think? Does Google really worry about our privacy?”, tradotto in italiano: “Cosa pensi? Google si preoccupa davvero per la nostra sfera privata?” (13)
“Don’t use the same password across every site. Someone with your password could access what they like.”, tradotto in italiano: “Non utilizzare la stessa password in ogni sito. Qualcuno con la tua password potrebbe accedere dove vuole”. (4)
CNR è l’acronimo di Consiglio Nazionale delle Ricerche, Ente pubblico nazionale che ha il ruolo di svolgere, promuovere, diffondere l’attività di ricerca nei settori di sviluppo delle conoscenza e delle loro applicazioni per lo sviluppo scientifico, tecnologico, economico e sociale del Paese. (5)
(6) Per ulteriori informazioni si veda in internet: http://eden. saferinternet.it/
La Settimana della Sicurezza in Rete è una campagna di sensibilizzazione nazionale per la protezione e la sicurezza online. Per ulteriori informazioni si visiti il sito internet: http://www. sicurezzainrete7x24.org/ (7)
(14) Per ulteriori informazioni: http:// www.netiq.com/ (15) Per ulteriori informazioni si visiti il sito internet: http://www.emaze. net/prodotti (16) Il D. Lgs. 196 determina la gestione delle credenziali di accesso e prevede la stesura di istruzioni sulle “modalità con cui il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema”. (17) Plan, do, check, act; in italiano: pianifica, fai, controlla, agisci (18) SIT è l’acronimo di Sistema Informativo Territoriale.
“Be careful in giving away personal info on the internet”, tradotto in italiano: “Stai attento a dare informazioni personali in Internet”.
(19) Per ulteriori informazioni si veda: http://www.emaze.net/prodotti/ iplegion
(9) Per ulteriori informazioni: http:// www.pixelamusement.com/p.php
(20) Le telecom sono le aziende di telecomunicazioni.
(8)
Trusted computing è il termine che indica la tecnologia nascente, (10)
68 - COMUNICARE LA SICUREZZA INFORMATICA
69
CRACKER ALARM
IL VIDEO
La comunicazione e la sensibilizzazione sul problema del cracking sono state il fulcro della realizzazione del video Cracker Alarm. L’obiettivo del lavoro è stato comunicare in modo chiaro e divertente tre episodi esemplari ma tipici di attacco informatico nell’ambito aziendale. Ogni narrazione è stata costruita sulla base di ciò che avviene realmente. In questo modo l’utente aziendale avrà un esempio concreto per poter riconoscere il pericolo nel momento in cui si verificherà l’attacco. Sono stati quindi mostrati gli strumenti fisici che il cracker utilizza per violare il sistema, o raggirare l’utente ignaro, come l’adattatore utilizzato nel keylogging. Per far comprendere appieno il pericolo del cracking, i procedimenti degli attacchi sono stati rappresentati in modo da far capire che cosa accade a livello informatico. Il video è uno degli strumenti di comunicazione migliori per spiegare eventi complicati e appartenenti ad ambiti specifici. Le immagini in movimento rappresentano gli eventi astratti e complessi che avvengono sul piano informatico. Attraverso la metafora è stato possibile descrivere in modo dettagliato quello che accade durante gli attacchi informatici, evidenziando gli errori compiuti dall’utente e le loro conseguenze. Il messaggio è stato completato dall’introduzione del linguaggio specifico, reso pienamente comprensibile nell’aderenza alle immagini. Ne è esempio la sequenza: “Betty e la chiavetta usb”, nella quale si mostra come viene eseguito un attacco informatico tramite backdoor. Una porta rossa rappresenta la modalità e il mezzo di attacco, il teschio identifica le azioni compiute remotamente dal cracker, infine il testo spiega in modo specifico che cosa sta accadendo: la backdoor è stata installata nel computer dell’azienda di Moda. 72 - CRACKER ALARM
IL VIDEO - 73
La metafora del videogioco fa da filo conduttore per tutta la durata del video. Oltre ad essere un tema caro al mondo dell’hacking, il videogioco rappresenta in modo efficace la battaglia hacker vs cracker. Nei tre episodi i cracker sono protagonisti malvagi che come obiettivo hanno la realizzazione dell’attacco informatico. I nemici sono gli utenti aziendali che, se manipolati nel modo giusto, da ostacoli possono diventare pedine attive nelle mani dei cracker. Lo scontro finale vede come protagonisti: l’Hacker e i tre cracker, il bene e il male. L’Hacker rappresenta anche l’azienda Emaze Networks, sponsor del video.
PROTAGONISTI E SCENARI
SKULL 1 Categoria cracker: Script Kiddie Pericolosità: bassa e casuale Skull 1 è un ragazzino di 16 anni che vive con i genitori. Indossa una felpa e dei jeans da skater. Ha una maschera da teschio. Passa le giornate giocando con i videogame e navigando in Internet. Detesta andare a scuola, se non per il fatto di potersi vantare con i compagni delle sue eccezionali capacità informatiche. L’ultima pagella scolastica non rispecchia di certo la sua indubbia intelligenza. La scrivania di Skull 1 è costellata da console portatili per videogame, fumetti, e un computer fisso, tappezzato di adesivi di vario genere. Sulla parete sono appesi poster di gruppi metal e diverse foto di Skull 1 con i suoi amici. Vicino alla scrivania c’è la chitarra elettrica.
SKULL 2 Categoria cracker: Cracker Pericolosità: media Skull 2 vive in un appartamento al terzo piano di un condominio. Indossa una tuta e scarpe da ginnastica. Ha una maschera da teschio. La sua postazione informatica si trova in salotto, vicino alla porta della cucina. Quando ha fame si alza, apre il freezer e 74 - CRACKER ALARM
PROTAGONISTI E SCENARI - 75
butta la pizza America nel forno. Oltre a questo, non sa cucinare, sa solo preparare il caffè e spesso si nutre di merendine. La scrivania di Skull 2 è caotica. Ci sono un MacBook Pro e un Dell fisso con Linux installato, una tastiera con i tasti consumati, tre Hard disk, alcune schede madre e una scatola di chiavette usb nuove. Nella stanza ci sono libri di informatica, campane di DVD piratati, cacciaviti e pennarelli neri.
SKULL 3 Categoria cracker: Industrial Spy Pericolosità: alta Skull 3 vive vicino al mare in una costosa villetta. Indossa dei pantaloni dal taglio militare e un giubbotto di pelle. Ha una maschera da teschio. Lavora per soldi, quindi è disposto a tutto pur di ottenere il materiale richiesto. Si avvale di tecniche non solo informatiche. Infatti la sua specialità è il social engineering, che consiste nel fingere di essere un sistemista o un dipendente di un’azienda telefonica al fine di farsi dire password o informazioni segrete. La scrivania di Skull 3 è molto ordinata: due monitor costantemente accesi e collegati a due computer, un PC portatile, due cellulari, diverse SIM intestate ad altrettanti utenti fasulli.
spondere alle ovvie domande sull’informatica che l’amico gli pone. Si finge seccato quando viene chiamato durante le ore di lavoro.
BETTY Professione: segretaria di un’azienda di moda Ingenuità: alta Betty è una bella segretaria sulla trentina. Ha i capelli biondi e ogni mattina si trucca con cura. Porta un paio di occhiali da lettura dalla montatura bizzarra. Ha le passioni della french manicure e di Hello Miao. Il suo fidanzato è l’Utonto e lei spesso fantastica con le amiche sul suo futuro matrimonio. Oltre a gestire gli appuntamenti del titolare dell’Azienda di Moda per cui lavora, si occupa dell’archiviazione dei dati aziendali e della gestione di informazioni molto importanti. Nell’ufficio di Betty c’è un’elegante scrivania in mogano, sulla quale spicca il fantastico telefono a forma di bocca. La ragazza prende appunti in un blocco notes con la sua penna rosa, sormontata da un batuffolo di piume. Sullo schermo del computer sono attaccati svariati post-it e una simpatica coccinella che la difende dalle radiazioni dello schermo.
L'UTONTO
IL NERD Professione: professore di scienze Ingenuità: moderata Il Nerd è un asociale docente, laureato in biotecnologie e appassionato di informatica. Lavora nella Scuola della City e il suo hobby è smontare e rimontare radio e telecomandi. Tutti i dati relativi alle carriere scolastiche dei suoi alunni sono gelosamente custoditi nel server della scuola. Il Nerd è un uomo mingherlino. Porta un paio di occhiali con la montatura nera e spessa come quelli di Arisa, la sua cantante preferita. É sposato con la sua compagna di banco delle superiori. Il suo miglior amico è l’Utonto, il quale pende dalle sue labbra quando parla di microchip e circuiti elettrici. Il Nerd adora essere chiamato dall’Utonto in qualsiasi momento per ri76 - CRACKER ALARM
Professione: responsabile dell’archivio progetti di una casa automobilistica Ingenuità: altissima L’Utonto è un impiegato della Casa Automobilistica. Il suo incarico è molto importante e consiste nel custodire i progetti inediti. Ha una trentina di anni e gira sulla sua Spider rosso fuoco. É un ragazzone moro, muscoloso, vestito all’ultima moda. Spesso lo si può incontrare in centro con Betty, la sua fidanzata di turno. L’Utonto è un geek. Ovviamente in macchina ha il Garmin e porta sempre con sé l’iPhone: quel misterioso e costosissimo oggetto che funziona per magia al tocco del dito, è proprio cool. La scrivania dell’Utonto è ordinata: la penna stilografica e due plichi di documenti, un telefono, il computer, un hard disk esterno e la chiavetta usb a forma di pupazzo di neve, che Betty gli ha regalato a Natale. PROTAGONISTI E SCENARI - 77
IL BARISTA Professione: barista del Bar Moda Ingenuità: alta Il Barista è un giovane alto e sorridente. Sfoggia un gilet dal taglio moderno e una pettinatura “all’ultimo grido”. Nell’ultimo anno si è fatto diversi piercing per seguire la nuova moda underground. Tra un cappuccino e una brioche il Barista intrattiene i clienti raccontando gli ultimi gossip scottanti, provenienti dall’Azienda di Moda. La sua migliore amica è Betty, con la quale adora parlare di shopping e cinema. Il Barista ama collezionare oggetti kitsch, dalle action figure dei personaggi dello spettacolo alle chiavette usb dalle forme antropomorfe.
L'HACKER Professione: hacker, lavora per Emaze Networks Furbizia: altissima L’Hacker è un giovane dalla mente brillante che lavora nell’azienda Emaze Networks. Veste casual, ha i capelli arruffati e un po’ di occhiaie dovute alla nottata trascorsa in Internet. Divide l’ufficio con altri tre esperti di sicurezza informatica, anche loro molto giovani, dato che il più anziano ha 32 anni. Indossa la maschera di Emaze Networks. La scrivania dell’Hacker è abbastanza ordinata. C’è un grande computer, diversi hard disk, molti cavi di rete tra cui uno rosa. Fogli, matite, manuali e post-it, sono sparsi qua e là.
Ambientazione realistica. Betty nel suo ufficio, presso l’Azienda di Moda.
I LOVE SHOPPING - THE MARVELLOUS TRAILER -
Mercoledì ritira giacche Archivio in sartoria nome: Betty password hellomiao
h 15:00 selezione modelle (fascicoli)
Lo schermo del computer di Betty mostra il trailer del film “I love shopping“.
Ambientazione virtuale. Il computer di Betty è colpito dall’attacco di Skull 2. La backdoor viene installata con successo. 78 - CRACKER ALARM
PROTAGONISTI E SCENARI - 79
CITY REALE VS CITY INFORMATICA Nel video si alternano due dimensioni differenti: quella della realtà e quella informatica. Queste dimensioni sono rappresentate da differenti rappresentazioni della City, la città in cui si svolgono gli eventi raccontati nel video. La City reale è caratterizzata da una grafica naif, che ricorda i videogiochi degli anni Novanta. I colori rimandano ad una dimensione da favola. La City reale fa da sfondo agli spostamenti compiuti da un luogo all’altro dai protagonisti, i quali sono rappresentati da icone. La City informatica, invece, è caratterizzata da elementi che rimandano ai circuiti elettronici e più in generale al mondo dell’informatica. I colori sono forti e cupi. Nella City informatica si muovono le icone che rappresentano le connessioni, causate dagli attacchi informatici, tra i cracker e le rispettive vittime.
CASA AUTOMOBILISTICA La sede della Casa Automobilistica in cui lavora l’Utonto si trova sulla collina tra la City e il mare. Gli uffici della Casa Automobilistica sono grigi e ordinati. Le sedie sono in pelle e le scrivanie hanno uno spesso piano di cristallo. Gli ambienti sono vivacizzati da piante e lampade austere. Nell’ufficio dell’Utonto sono appesi grandi quadri che raffigurano delle auto e c’è il grande archivio di tutti i progetti della Casa Automobilistica. Questi ultimi sono segretamente custoditi. L’ufficio dell’Utonto, come tutti i locali della Casa Automobilistica, è protetto da un sofisticato sistema di allarme.
SCUOLA
AZIENDA DI MODA
BAR MODA
L’Azienda di Moda si trova nel centro della City. L’edificio è moderno, circondato da un lato dal parcheggio per i dipendenti, dall’altro da un grazioso giardino che porta al Bar Moda. Vicino a quella di Moda si trovano altre Aziende i cui dipendenti frequentano il Bar Moda, per i favolosi cornetti alla crema. L’interno dell’Azienda di Moda è curato in ogni minimo dettaglio. Le pareti sono ricoperte di quadri che mostrano famose top model che indossano abiti dello Stilista. Il pavimento è in legno e i mobili sono bianchi. Sui tavolini di vetro sono disposti grandi vasi di fiori freschi, pesanti tende di tessuto elegante coprono le finestre, luci al neon illuminano l’ambiente.
Il Bar Moda si trova affianco all’Azienda di Moda. É un luogo moderno, arredato recentemente dal Designer, amico dello Stilista. Il Barista è un giovane alto e sorridente, adora parlare di shopping e cinema con la sua amica Betty. Il bancone del Bar è nero. Il Barista lo tiene lucidato a specchio e usa sempre i sottobicchieri per non graffiarlo. I portasalviette sono dorati e le rifiniture dell’arredo sono bianche.
La Scuola si trova vicino al centro della City. Il complesso è caratterizzato dal grande tetto a forma di libro, simbolo di saggezza e rettitudine. Nella scuola si insegnano prevalentemente materie scientifiche come: matematica, in-formatica e fisica. I professori sono molto attenti all’innovazione dell’insegnamento, quindi durante le spiegazioni si avvalgono di supporti come: proiettori collegati ai computer portatili e lavagne luminose. Nell’Aula Informatica ci sono trenta computer a disposizione degli studenti. In Sala Professori sono presenti diverse prese Ethernet che i docenti possono utilizzare per collegarsi in Internet con i loro computer.
82 - CRACKER ALARM
Scrivania di Skull 1
Scrivania di Skull 3
Scrivania di Skull 2
Aula professori, Scuola
PROTAGONISTI E SCENARI - 83
Ufficio di Betty, Azienda di Moda
Ufficio Utonto, Casa Automobilistica
Bar Moda
84 - CRACKER ALARM
PROTAGONISTI E SCENARI - 85
TRAMA DEGLI EPISODI
Uscito di casa, Skull 1 si reca a Scuola. Entra con aria furtiva in aula professori, che è libera, e si avvicina al computer su cui il Nerd registra i voti degli alunni. Estrae dalla tasca della felpa il keylogger hardware, che ha la forma di un adattatore, e lo applica tra la tastiera ed il computer. Dopodiché torna a casa. Il Nerd digita la sua lunga password sul computer professori e inizia a riportare i voti degli ultimi compiti di Astronomia. Il keylogger registra la sequenza dei tasti digitati dal Nerd durante la compilazione della password e invia i dati al computer di Skull 1, via wireless.
Il racconto è suddiviso in tre episodi che mostrano altrettante tipologie di attacco informatico. In quello finale si assiste allo scontro tra i cracker ed Emaze Networks.
Skull 1 riceve la password del Nerd, entra nella sezione professori del sito della Scuola. Grazie alla password del Nerd accede alla sezione Registro dei Voti e cambia i 2 in 8. Vittorioso scrive un nuovo post nel blog: “Fors3 il prof. N3rd d3v3 cambiar3 qu3i ridicoli occhiali...SKULL 1 COLPISCE ANCORA!!”(2).
1. La pagella di Skull 1 Personaggi: Skull 1, il Nerd Luoghi: la Scuola, la casa di Skull 1 Il Nerd è di fronte al computer in aula professori. Sta entrando nell’archivio dati che lui stesso ha programmato, con l’aiuto di un collega laureato in Informatica. Al servizio si può accedere anche da casa tramite il sito web della Scuola. Dopo aver inserito il suo nome nello spazio riservato all’id, il Nerd digita la lunga e complicata password, che talvolta lui stesso stenta a ricordare. Entrato nella sezione Registro dei Voti, il Nerd inizia a riportare con cura i voti dei test di Scienze della Terra. Tanto per cambiare Skull 1 ha preso un 2. Skull 1 posta nel blog l’ultimo messaggio vittorioso: in soli 10 minuti è riuscito a bucare la casella di posta elettronica di Sara e leggere così l’e-mail d’amore che Marco le ha scritto. Poi il suo sguardo cade sui pessimi voti riportati nella pagella posata sulla scrivania. La precaria media del 5 è stata rovinata dal prof. Nerd e dai suoi compiti impossibili. Skull 1 deve rimediare al danno, altrimenti per punizione i genitori gli sequestreranno la PSP(1) o, peggio ancora, la connessione a Internet. 86 - CRACKER ALARM
2. Betty e la chiavetta usb Personaggi: Skull 2, Betty, il Barista Luoghi: Bar Moda, Azienda di Moda, la casa di Skull 2 Skull 2 si reca di prima mattina al Bar Moda. Porta con sé 20 chiavette usb acquistate su eBay, delle quali 10 con l’immagine di Hello Miao(3) e 10 dalla forma accattivante di Snow Man(4). Si avvicina al Barista, impegnato in una frivola conversazione con una cliente, e lo interrompe in modo scortese per chiedergli se può lasciare delle chiavette usb promozionali, contenenti il trailer di un nuovo film. Non appena il Barista vede che alcune chiavette hanno la forma di un pupazzo di neve, il suo amore per il kitsch emerge con forza. Il Barista accetta le chiavette senza porsi domande, e quando si accorge che alcune chiavette hanno la grafica di Hello Miao pensa subito a Betty, grande fan del logo giapponese. Mette da parte la chiavetta per l’amica e una di Snow Man per sé stesso. Skull 2 esce dal Bar Moda distribuendo le chiavette usb. Arrivato a casa, prende posto davanti al computer e attende con pazienza. TRAMA DEGLI EPISODI - 87
Come ogni mattina, Betty si reca al Bar Moda. Con grande gioia della ragazza, l’amico Barista le regala una fantastica chiavetta usb di Hello Miao nuova di zecca. Sull’etichetta della busta che avvolge l’oggetto c’è scritto che nella chiavetta è contenuto il trailer del film: “I love shopping”(5). Incuriosita, la segretaria infila la chiavetta nella porta usb del suo computer aziendale, ed effettivamente trova un trailer inedito del film che sta per uscire. Skull 2 dalla sua scrivania nota con piacere che la backdoor, nascosta nelle chiavette usb distribuite poche ore prima, è stata installata con successo in un computer dell’Azienda di Moda. Grazie alla backdoor si è creata una sorta di tunnel tra il computer di Skull 2 e la workstation del dipendente. Da lì Skull 2 ora può raggiungere le altre macchine dell’Azienda di Moda, come ad esempio il server interno, ma anche trovare documenti riservati nel pc del dipendente che ha utilizzato la chiavetta usb contenente la backdoor.
3. L’Utonto ingannato Personaggi: Skull 3, l’Utonto Luoghi: la Casa Automobilistica, la casa di Skull 3 Da alcune settimane Skull 3 raccoglie informazioni sulla sua vittima, l’Utonto. Intercetta le telefonate che fa ad un certo Nerd, legge la sua posta elettronica - sommersa soprattutto da sdolcinate e-mail di Betty, legge tutte le pagine web rilevate da Google tramite la ricerca della parola “Utonto”. Parallelamente rinfresca le sue capacità di attore impersonando un tecnico della Compagnia Telefonica. Dopo aver lanciato un attacco DoS verso il sito web della Casa Automobilistica, Skull 3 digita il numero di telefono dell’ufficio dell’Utonto. L’Utonto è seduto nel suo ufficio e contempla soddisfatto la targhetta che riporta il suo importantissimo incarico. Il telefono inizia a squillare e l’Utonto risponde con aria molto seria.
L’Utonto guarda lo schermo del computer su cui è aperta la pagina del sito. Effettivamente c’è uno sfarfallio sinistro. Utonto “Certo, l’avevo notata...” Skull 3 “Dipende da un piccolo problema tecnico locale, che si risolve in poco tempo. Le dispiace ricordarmi la password amministativa del suo computer?“ Come Skull 3 ben sa, grazie alle sue ricerche, l’Utonto non ci capisce proprio niente di informatica. Di conseguenza non può capire che il problema al sito non può certo essere risolto conoscendo la password amministrativa del suo computer. Utonto “Certo, è Utonto” Skull 3 sorride soddisfatto. Skull 3 “Ah giusto, grazie, tra un paio di ore il problema sarà risolto! Buona giornata” Utonto “Grazie e arrivederci” Skull 3 ora ha la password che voleva. Si collega alla rete della Casa Automobilistica, inserisce la password dell’Utonto e così accede al protettissimo Archivio Progetti della Casa Automobilistica. Skull 3 al posto degli occhi ora ha due grandi e costosi diamanti.
4. Hacker vs cracker: Emaze Networks Personaggi: Skull1, Skull 2, Skull 3, l’Hacker Luogo: la City informatica I tre Skull stanno girando liberamente per la City informatica. Una scossa di terremoto li fa bloccare, e dal centro della City appare l’alto edificio virtuale di Emaze Networks. Da qui esce l’Hacker, rappresentato dal logo dell’azienda. Gli Skull iniziano a correre all’impazzata, ma L’Hacker, entrato in modalità pacman, li mangia uno ad uno. Le case degli Skull sprofondano: ora la City informatica è salva.
Utonto “Parla l’Utonto, responsabile dell’archivio progetti della Casa Automobilistica” Skull 3 “Buongiorno, sono Gianni, il tecnico della Compagnia Telefonica. Ha notato l’anomalia che sta disturbando il vostro sito web?”
88 - CRACKER ALARM
TRAMA DEGLI EPISODI - 89
90 - CRACKER ALARM
STORYBOARD - 91
92 - CRACKER ALARM
STORYBOARD - 93
PSP è l’acronimo di Play Sation Portable, una nota console portatile per videogiochi. (1)
(2) La scrittura utilizzata da Skull 1 riprende alcune caratteristiche derivanti dal Jargon File: l’utilizzo del numero 3 al posto delle “e” e le parole scritte con tutte le lettere in maiuscolo, per indicare che sono “urlate”. (3) Hello Miao è un personaggio inventato da me, analogo a quello reale di Hello Kitty. Quest’ultimo è un noto logo dell’azienda giapponese Sanrio, che produce svariati articoli di merchandising, moda ed altro. La fama di questo personaggio è dilagata in tutto il mondo. Inizialmente i prodotti Hello Kitty erano rivolti alle ragazzine, oggi il target si è allargato agli adulti, per cui vengono prodotti: biancheria intima, accessori, persino abiti da sposa e beni firmati, come chitarre Stratocaster, computer ed aeroplani. (4) Snow Man, o pupazzo di neve, è un personaggio inventato. Come nella moda geek, questa chiavetta usb presenta una forma antropomorfa. (5) “I love shopping” è il titolo di un film inventato, del genere: commedia romantica. Racconta la storia di una ragazza che vive in una grande città e ama spendere tutti i suoi soldi nei negozi più rinomati.
94 - CRACKER ALARM
95
CONCLUSIONI
L’evoluzione tecnologica ha determinato un cambiamento sempre più evidente del panorama sociale, segnando una svolta epocale sia nell’ambito dei rapporti interpersonali, che nel modo di vivere la propria vita. Nei paesi sviluppati, le nuove generazioni stanno crescendo strettamente a contatto con gli strumenti tecnologici. Il problema sta nella mancanza di un’educazione che insegni ai giovani ad utilizzare in modo consapevole e giusto le risorse informatiche. Bisogna far conoscere sin dal principio sia i vantaggi portati dalla tecnologia che i possibili rischi che essa comporta. Tutti gli utenti devono essere informati e sensibilizzati per poter proteggere la propria privacy. Il mondo della sicurezza informatica, in particolar modo in Italia, è ancora poco conosciuto, ma è destinato a diventare un punto di riferimento per tutti coloro che utilizzano le risorse informatiche. Negli anni a venire l’avanzamento tecnologico dovrà essere accompagnato da una maggiore informazione e responsabilizzazione delle persone. La politica ha il dovere di iniziare ad interessarsi nel creare una legislazione che salvaguardi persone comuni ed aziende sul piano informatico. Dal suo canto, il mondo della comunicazione deve partecipare attivamente all’informazione e responsabilizzazione delle persone sull’importanza della sicurezza informatica. Di fatto possiede i mezzi e gli strumenti per divulgare in modo chiaro, incisivo e costante le problematiche legate al caso. Questa tesi vuole essere un esempio di questo nuovo atteggiamento, aprendo un dibattito che porti ad un effettivo interessamento al problema. 96 - UTONTO VS UTENTE
CONCLUSIONI - 97
GLOSSARIO
Assembly Il linguaggio assemblatore, in inglese assembly, è un linguaggio di programmazione molto simile a quello utilizzato dalla macchina. L’assembly traduce il codice binario del linguaggio macchina in una sequenza di caratteri che li rappresentano in forma mnemonica. Ad esempio il codice operativo per la somma viene trascritto come “ADD”. BIOS BIOS è acronimo di Basic Input/ Output System. Consta di un insieme di routine software che forniscono delle funzioni essenziali per l’accesso all’hardware e alle periferiche integrate nella scheda madre, da parte del sistema operativo e dei programmi. Blog Il termine “blog” è la contrazione di “web-log”, che significa “diario in rete”. Il blog è un sito internet gestito da una o più persone, che periodicamente pubblicano le proprie riflessioni, immagini, video, ... .
98 - UTONTO VS UTENTE
Botnet La botnet è una rete di computer collegati ad Internet. A causa di falle nella sicurezza o di distrazione da parte dell’utente o del gestore di sistema, i computer della rete vengono infettati da virus o trojan che consentono al loro creatore, o botmaster, di controllare il sistema remotamente. I computer della botnet, chiamati anche zombies, sono utilizzati principalmente per lanciare attacchi DoS.
volta che il client accede allo stesso server. I cookie servono per eseguire autenticazioni e traking di sessioni e memorizzare informazioni sugli utenti che accedono al server. Firewall Per la definizione di firewall si veda il capitolo “Cracking”, paragrafo “Prevenire gli attacchi informatici”.
Client Il client è una componente che accede ai servizi o alle risorse del server. In questo caso il client identifica la componente hardware o software. Un esempio di client hardware è il computer collegato ad un server tramite una rete informatica, alla quale richiede dei servizi, utilizzando i protocolli di rete. Un caso di client software è il programma di posta elettronica.
Geek Il termine geek, di origine anglosassone, indica una persona affascinata dalla tecnologia, soprattutto dall’informatica e dai nuovi media. Nel mondo degli hacker viene utilizzato con accezione negativa per indicare una persona asociale, maleodorante, spregevole. In particolare il termine computer geek indica un individuo incapace o un proto-hacker allo stato larvale.
Cookie I cookie HTTP, detti anche Web cookies o semplicemente cookie, sono frammenti di testo inviati dal server al Web client, che li rimanda al mittente ogni
Hackeraggio Il termine hackeraggio è formato da hacker con l’aggiunta del suffisso -aggio. Viene impiegato nella nostra lingua per indicare l’attività degli hacker (nella con-
notazione negativa di pirateria informatica). LAN LAN è l’acronimo di Local Area Network, rete in area locale. La LAN è una rete informatica con estensione territoriale non superiore a qualche chilometro. Alcune delle caratteristiche della LAN sono la velocità di trasmissione dei dati, ritardi minimi e rari casi di errore. Con la LAN è possibile condividere i programmi e le risorse hardware come stampanti e fax, connettere ad Internet più computer con un unico collegamento, standardizzare le applicazioni. MAC Adress Il MAC address, o indirizzo MAC, è un codice a 48 bit che viene assegnato in modo univoco a ciascuna scheda di rete ethernet. MAC è l’acronimo di Media Access Control. Malware Il malware è un software programmato con lo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalle parole “malicious” e “software”, da cui
deriva il significato di programma malvagio. In italiano malware viene tradotto con “codice maligno”. Nerd Il termine nerd proviene dal vocabolario inglese e indica una persona predisposta alla ricerca intellettuale e allo stesso tempo asociale. Nella lingua inglese il termine viene utilizzato con accezione negativa. In italiano è traducibile con i termini secchione o sfigato. Peer-to-peer (P2P) Le peer-to-peer sono delle reti informatiche organizzate in un numero di nodi equivalenti (in inglese peer) che fungono sia da cliente che sa server verso altri nodi della rete. PIN PIN è l’acronimo di Personal Identification Number, numero di identificazione personale. RAM RAM è l’acronimo di Random Access Memory, memoria ad accesso casuale. In essa vengono caricati i dati utilizzati dal
calcolatore in fase di elaborazione. Può essere volatile, cioè viene cancellata automaticamente dopo l’utilizzo, statica o tamponata, ovvero mantiene l’alimentazione a macchina spenta. Relè Il relè è una sorta di interruttore che viene azionato da un elettromagnete per influenzare le condizioni di un altro circuito. Script Il termine script indica un programma scritto con un linguaggio di scripting. Solitamente gli script non sono complessi, utilizzano un linguaggio interpretato, svolgono mansioni accessorie, sono lineari, non presentano un’interfaccia grafica e richiamano altri programmi per svolgere operazioni più complesse. Un esempio di questi programmi è il JavaScript, comunemente utilizzato nei siti web. SIM SIM è l’acronimo di Subscriber Id-entity Module, in italiano modulo d’identità dell’abbonato. La SIM, eseguita su una smart card, ha il compito di conservare il codice identificativo unico GLOSSARIO - 99
dell’abbonato, per permettere all’operatore telefonico di associare il dispositivo mobile in cui è inserita la SIM al profilo del corrispettivo utente.
mazione per database è utilizzato per leggere, modificare e gestire i dati memorizzati nel sistema, creare e modificare schemi di database, creare e gestire strumenti di controllo ed accesso ai dati. Le query SQL sono costrutti di programmazione che permettono al linguaggio SQL di interrogare e gestire i database.
Spam Il termine spam indica la grande quantità di messaggi indesiderati, solitamente commerciali, che viene inviata soprattutto attraverso Internet. Il termine deriva da uno sketch del Monty Time-sharing Python’s Flying Circus, ambien- Il time-sharing è un approccio tato in un locale in cui si servi- all’uso interattivo del processovano con insistenza pietanze a re, in cui la CPU è suddivisa in base di Spam, un tipo di carne quanti temporali. Non implica in scatola prodotta dalla Hormel che il sistema sia multiutente, Foods Corporation. ma può esserlo e in tal caso ogni utente può collegarsi al sistema Spyware centralizzato con un terminale Lo spyware è un software che diverso. La CPU del computer raccoglie informazioni sull’atti- centrale risponde alle richieste vità online della vittima per poi degli utenti passando da uno inviarle all’organizzazione che all’altro - context switch. vuole trarne profitto. In senso più ampio, il termine spyware Tool indica l’insieme di malware con Il tool, o strumento, è un’applifunzioni come l’invio di spam e cazione che svolge un determiil phishing. nato compito. Ad esempio, il correttore ortoSQL grafico è un tool che confronta SQL è l’acronimo di Structured le parole digitate con un dizioQuery Language. nario interno e avverte l’utente Questo linguaggio di program- sugli errori riscontrati. 100 - UTONTO VS UTENTE
Workstation La workstation, o stazione, è un computer specializzato in una singola attività software. Il termine, di origine inglese, indica un computer monoutente, non destinato a compiti specifici, caratterizzato dall’offrire alte prestazioni e destinato ad un utilizzo produttivo.
Il significato dei termini presenti nel glossario è stato ricostruito consultando i seguenti siti web: http://foldoc.org/ http://it.wikipedia.org/ http://www.pc-facile.com/ glossario/ La definizione del termine “Hackeraggio” è stata tratta da “Parole alla Crusca” di Marco Biffi, apparso nella rivista «Wired», n.10, 2009.
GLOSSARIO - 101
BIBLIOGRAFIA, SITOGRAFIA, FILMOGRAFIA E FONTI ICONOGRAFICHE
BIBLIOGRAFIA Raoul Chiesa e Silvio Ciappi, Profilo hacker - La scienza del Criminal Profiling applicata al mondo dell’hacking, Apogeo, Milano 2007 Jon Erickson, L’arte dell’hacking, Apogeo, Milano 2004 Andrea Ferraresso, Uccidere un hacker, 2006 Il fumetto è consultabile sul sito web http://www.olografix.org/ Steven Levy, Crypto - I ribelli del codice in difesa della privacy, ShaKe, Milano 2002
http://masterplanthemovie.com/ http://sicurezza.html.it/ http://stallman.org/ http://torvalds-family.blogspot.com/ http://web.mit.edu/ http://www.apple.com/it/ http://www.astrodragon.com http://www.blackhat.com/ http://www.catb.org/~esr/ http://www.catb.org/jargon/ http://www.cs.washington.edu/ http://www.emaze.net/ http://www.fiorucci.it/ http://www.geekissimo.com/ http://www.google.it/ http://www.guardian.co.uk http://www.mariobros.it/ http://www.mitnicksecurity.com/ http://www.netiq.com/ http://www.pixelamusement.com/p.php http://www.repubblica.it http://www.sicurezzainrete7x24.org/ http://www.symantec.com/index.jsp http://www.tk.informatik.tu-darmstadt.de/ http://www.towerlight2002.net/ http://www.wikipedia.org/ http://www.wired.com http://www.woz.org/
Steven Levy, Hackers - Gli eroi della rivoluzione informatica, ShaKe, Milano 1994 Charles e Shari Pfleeger, Sicurezza in informatica, Apogeo, Milano 2008 Eric S. Raymond, La Cattedrale e il Bazaar, 1998 Il libro è consultabile sul sito web http://www.apogeonline.com Ryan Russell, Hacker all’attacco! - La tua rete è a rischio, Hops, Milano 2003 Cliff Stoll, The Cuckoo’s Egg - Tracking a spy through the maze of computer espionage, Poket, 1990 Andrew S. Tanenbaum, Reti di calcolatori, Mondadori, Milano 2004
FILMOGRAFIA _ _ Ghost in the Shell (Ko kaku Kido tai,1995) di Mamoru Oshii Hackers (1995) di Iain Softley Hackers 2 - Operation takedown (Takedown, 2000) di Joe Chappelle Immortal (Immortel ad vitam, 2004) di Enki Bilal I pirati della Silicon Valley (Pirates of Silicon Valley, 1999) di Martyn Burke Revolution OS (2001) di J.T.S. Moore Strange Days (1995) di Kathryn Bigelow Videodrome (1983) di David Cronenberg Yattaman (Time Bokan Series: Yattaman, 1977-1979) di Hiroshi Sasagawa
Wang Wallas, Il manuale del giovane hacker, Hops, Milano 2004
SITOGRAFIA http://ai.stanford.edu/ http://www.computerhistory.org/ http://eden.saferinternet.it/ http://foldoc.org/ http://ken_ashford.typepad.com/ 102 - UTONTO VS UTENTE
FONTI ICONOGRAFICHE I loghi presenti a p.14, p.18 e p.21 sono stati trovati tramite Google. Le immagini del paragrafo “Stato dell’arte” sono print screen tratti dai video originali su YouTube. Le immagini dei cartelli stradali a p.15 sono state tratte dal sito http://ken_ashford.typepad.com/ L’immagine della Blue Box a p.15 e l’immagine del Tx-0 del MIT a p.18 sono state tratte dal sito http:// www.computerhistory.org/ Il logo di Emaze Networks a p.49 è stato fornito dall’azienda stessa. Tutte le illustrazioni sono state realizzate da Giulia Miglioranza. 103
RINGRAZIAMENTI Un particolare ringraziamento a Massimiliano Ciammaichella, per la straordinaria disponibilità e per l’energia e la passione che impiega nell’insegmaneto della comunicazione in tutte le sue forme. Grazie a Stefano Mazzanti e a Davide Rocchesso per i loro preziosi consigli. Grazie a Ivan Giacomelli per avermi guidata nei meandri del mondo dell’hacking. Grazie ai miei genitori, ad Andrea e a Gloria per il sostegno morale e l’infinita pazienza.
GIULIA MIGLIORANZA
UTONTO VS UTENTE CRACKING E SICUREZZA INFORMATICA ALL'INTERNO DELLE AZIENDE