“Nessun sistema è infallibile”
E-mail, conversazioni private via chat o sms, fotografie, account, siti personali e istituzionali, questo il “malloppo” di dati (87 gigabyte) trafugato dall’ingegnere nucleare Giulio Occhionero (iscritto alla massoneria) e da sua sorella, Francesca Maria, i due hacker arrestati il 10 gennaio scorso a Roma con l’accusa di “procacciamento di notizie concernenti la sicurezza dello Stato; accesso abusivo a sistema informatico; intercettazione illecita di comunicazioni informatiche e telematiche”. Decine le personalità politiche, manager dell’alta finanza ma non solo, vittime di questa intensa attività di cyberspionaggio, dall’ex premier Matteo Renzi al senatore a vita Mario Monti al presidente della Bce Mario Draghi a monsignor Gianfranco Ravasi all’ex comandante della guardia di finanza, Saverio Capolupo. Coinvolti anche diversi altri politici fra cui Piero Fassino, Fabrizio Cicchitto, Maria Vittoria Brambilla, Ignazio La Russa, Fabrizio Saccomanni.
Il metodo utilizzato era quello del malware, un virus denominato Eyepyramid (da qui il nome dell’inchiesta condotta dalla polizia postale) che avrebbe consentito ai due fratelli arrestati di acquisire nel tempo notizie riservate e dati sensibili. Gli Occhionero, peraltro, avrebbero amministrato società collegate a Salvatore Buzzi, uno dei principali imputati del processo a Mafia Capitale, come rivela L’Espresso. Nelle ultime ore il capo della polizia Franco Gabrielli ha intanto rimosso dal suo incarico il direttore della postale Roberto Di Legami; uno dei motivi che spiegano questa decisione è il fatto di non aver informato per tempo i vertici del Dipartimento di pubblica sicurezza della portata dell’indagine. Quali segreti siano riusciti ad acquisire i due fratelli si scoprirà attraverso i prossimi accertamenti, anche con rogatorie negli Usa dove hanno sede i server nei quali sarebbero stati nascosti i dati “esfiltrati” con il malware. Ad illustrare i contorni del cyberspionaggio con uno sguardo alla situazione altoatesina è il bolzanino Christoph Moar, esperto nel settore informatico.
Moar, di che tipo di attacco si è trattato quello messo in pratica dai fratelli Occhionero?
Mi sembra chiaro che il problema stava “nell’utente”, si tratta quindi del classico invio di una mail “preparata” con un software malware/trojan in attesa che l'utente ci clicchi sopra per poi poter compromettere il computer e dunque intercettare comunicazioni, password e quant’altro.
Ma è possibile che sia davvero così facile entrare negli account dei “potenti”?’
Esistono vari vettori di attacco per accedere ai dati privati di qualcuno. Il punto debole può essere, come detto, l’utente stesso, ma si può ad esempio anche attaccare un server che non è gestito in modo sicuro. Oppure i malintenzionati possono arrivare a trovare dati utili a compromettere il conto bancario di una persona guardando nel cestino sotto la scrivania. Attraverso il cosiddetto fenomeno del social engineering si può entrare in possesso di alcune informazioni o di alcuni frammenti di parole e risalire così a una password, senza contare, e questo è un altro dei problemi, che una stessa password viene usata da molti utenti per molti sistemi, anche per quelli più importanti. Pensiamo ad esempio a Yahoo!, uno dei colossi di internet, che qualche settimana fa ha dichiarato apertamente che circa un miliardo di login e password criptati sono stati compromessi diversi anni fa. Chi ha interesse a farlo, del resto, non ci mette molto a decrittare una password. Ce ne sono molti di esempi che si potrebbero elencare, eccone un altro: basta una persona con le adeguate conoscenze tecniche e un portatile acceso per riuscire a intercettare il traffico di qualcun altro che in quel momento sta usando il proprio cellulare connettendosi a una rete wireless aperta. Arriva, per dire, Matteo Renzi che si collega al suo server di posta e così gli vengono facilmente catturate delle informazioni private.
Oltre alle conoscenze tecniche bisogna disporre di una certa quantità di denaro per violare questi sistemi?
Rispetto ai vettori di attacco citati no, è sufficiente un computer e un collegamento internet. C’è bisogno però di dispositivi speciali per intercettare il collegamento GSM dei cellulari, per esempio, e quelli hanno un costo. Nella maggior parte dei casi però parliamo di attacchi effettuati tramite tecnologie internet, spesso chi sviluppa il software che poi servirà per tale attacco e chi lo mette in atto sono due persone diverse. Accade che in paesi come la Russia o la Cina un gruppo di esperti realizzi programmi di hackeraggio per poi venderli al miglior offerente o a mille persone diverse e finisce che un ragazzo può comprarsi con 50 dollari un piccolo trojan e usarlo, mettiamo il caso, per infilrtarsi nel pc della segretaria della scuola.
"Ci sono hacker che stanno dimostrando di cosa sono capaci attaccando realtà trascurabili al fine di poter ricattare aziende più grandi ed estorcere loro denaro."
A proposito di Russia si è diffusa l’ipotesi che degli hacker, russi per l'appunto, abbiano interferito con le ultime elezioni americane, c'è un pericolo concreto per la sicurezza nazionale?
Da quello che si legge sui giornali negli ultimi anni ci sono effettivamente stati diversi attacchi fatti contro alcuni paesi. Ci sono hacker che stanno dimostrando di cosa sono capaci attaccando realtà trascurabili al fine di poter ricattare aziende più grandi ed estorcere loro denaro. Nel caso degli Stati Uniti bisogna poi vedere se si tratta davvero dei russi, non basta che l’FBI dica che sono stati loro perché sia necessariamente vero. La sicurezza informatica è diventata nell’ultima decade sempre più importante, non tutti però sono nativi digitali, perciò servirebbe più informazione e sensibilizzazione.
E più consapevolezza da parte delle aziende?
Sicuramente. Ma soprattutto devono averla gli utenti finali, perché se fanno una sciocchezza anche il reparto IT di un’azienda, che può aver protetto il sistema fino a un’altissima percentuale di rischio, poi si trova in difficoltà. Per questo motivo le imprese altoatesine perlopiù puntano sulla sensibilizzazione dei loro dipendenti, formare le persone, va detto, non è semplice.
Perché?
Spesso si tratta di una combinaione fra la curiosità di sapere cosa è contenuto in quella determinata mail; la buona fede, che induce a pensare che non possa capitare nulla di male nell’aprire il messaggio; e la pigrizia nello scegliere una password complicata.
"So di aziende qui in Alto Adige che hanno ceduto e pagato piuttosto che perdere i dati. A volte basta un attimo di disattenzione per cadere in queste trappole."
Secondo la sua esperienza le aziende in Alto Adige possono essere un target e rischiare infiltrazioni da parte degli hacker?
Se guardo il mail server della mia azienda o la mia personale casella di posta che è protetta da vari filtri antivirus, spuntano sistematicamente tentativi di inviare trojan e questo mi viene detto anche da colleghi che lavorano per gli internet o i mail server provider. Sono messaggi che arrivano a onde, per qualche settimana tutto tace e poi magari per 3-4 giorni ti inviano ripetutamente qualcosa. Ho sentito diverse volte di hacker che bloccano il computer, criptando tutte le informazioni, e che chiedono poi somme di 500-1000 dollari per liberare i pc e anche se la polizia e i media raccomandano di non pagare io so di aziende qui in Alto Adige che hanno ceduto piuttosto che perdere i dati. A volte basta un attimo di disattenzione per cadere in queste trappole.
Come ci si difende allora da questi attacchi? È sufficiente affidarsi a un antivirus per proteggersi?
Credo che un unico sistema di protezione non sia sufficiente. Bisogna pianificare quali sono i possibili vettori di attacco e cercare di intervenire su ognuno di questi. Un antivirus toglie una serie di problemi, un firewall altri, un utente formato altri ancora. Per un’impresa è fondamentale investire sia nelle persone che nella tecnologia, attraverso sistemi di difesa e ancor di più in sistemi di allarme/monitoraggio.
Esistono dei sistemi operativi inattaccabili?
No. Anche se lo affermassi arriverebbe qualcun altro a dimostrare il contrario, ma spesso sono più i programmi che i sistemi operativi ad essere attaccati. Ci sono inevitabilmente delle falle in questi sistemi ed esistono alcune persone che non fanno altro che cercare questi errori. C’è chi lo fa con lo scopo di avvertire del problema il fornitore o il produttore del software in modo da porvi rimedio e chi invece lo fa per hackerare il sistema o per vendere a terzi le informazioni ricavate. Tempo fa c’è stata una discussione sul cosiddetto “trojan di Stato” in Germania che in certe situazioni permetterebbe di entrare nel sistema di una persona sospetta, chiaramente con tutte le indicazioni del giudice, al fine di depennare, per fare un esempio, un potenziale attacco terroristico. Lo Stato, in quel caso, ha bisogno di programmi che riescano ad aggirare antivirus e firewall. La verità è che è impossibile pensare che un sistema sia infallibile.
Concordo. E questo caso è
Concordo. E questo caso è fosco o più probabilmente grave proprio perché i due presunti hacker (io li chiamerei lamer mediatici) non hanno utilizzato nessuna tecnica particolarmente avanzata. La stessa definizione di 'Eyepyramid' circa il vettore di attacco, probabilmente si tratta solo del nome dell'operazione di polizia, è fuorviante. Semplicemente perché non esiste: si tratta di un adattamento di ambienti di sviluppo botnet online da diversi anni con due server c&c messi in Cloud negli usa, alla portata di chiunque abbia un minimo di dimestichezza con questo mondo.