Il periodo d'oro per gli hacker?
Articoli Recenti

Il periodo d'oro per gli hacker?

Una telefonata all'uomo che si definisce l'hacker più famoso del mondo. Dal suo ufficio di Las Vegas cerca di rispondere a un paio di domande: "Salve signor Mitnick, riesce a sentirmi?". Il collegamento si interrompe.

Mitnick richiama: "Meglio adesso?". "La sento ancora poco. Cosa succede?". Non ci svela i dettagli, ma a quanto pare avrebbe preso delle precauzioni di sicurezza. Non si sa mai chi potrebbe spiare la conversazione. "Bisogna partire dal presupposto che ogni telefonata viene ascoltata. Abbiamo imparato che l'NSA non si ferma davanti a niente", spiega il pirata informatico la cui specialità un tempo erano proprio le intercettazioni telefoniche. Reputa folle telefonare, sia su rete fissa che mobile. "Parlare liberamente è possibile solo tramite una connessione Internet con crittografia end-to-end".

Se si parla della sicurezza delle comunicazioni, nessuno può accusare Kevin Mitnick di essere paranoico. Ricercato dall'FBI in tutta l'America per tre anni, è infine stato catturato e condannato nel 1999 a cinque anni di reclusione. Dopo i primi quattro anni in carcere, è stato mandato in isolamento per gli ultimi otto mesi.

"Il pubblico ministero è riuscito a convincere l'autorità giudiziaria che sarei riuscito a scatenare una guerra nucleare dal carcere solamente fischiettando al telefono", racconta Mitnick. "Ovviamente non c'era niente di vero. La mia punizione draconiana doveva lasciare un segno".

A 16 anni dal suo rilascio, Mitnick gestisce la fiorente azienda Mitnick Security, che offre consulenza in materia di sicurezza alle grandi imprese e alle autorità. A giudicare dalla sua agenda, viaggia senza sosta per il mondo per tenere conferenze e corsi di formazione; e a giudicare dalla sua pagina Facebook, apprezza molto i cocktail esotici che prova in viaggio. I suoi libri sono bestseller e sulla sua storia si sono basati un film hollywoodiano ("Takedown") e numerosi documentari.

Non pi solo criminali

Fino a pochi anni fa, praticamente ogni responsabile della sicurezza avrebbe storto il naso se qualcuno gli avesse consigliato di chiedere aiuto a un hacker con precedenti penali per proteggere i sistemi dagli attacchi informatici. Oggi gli hacker o, come preferiscono definirsi, "ricercatori di sicurezza", vivono un periodo d'oro.
Traggono vantaggio dal fatto che i produttori di software e hardware, di fronte ad attacchi sempre più frequenti e infidi, sono urgentemente alla ricerca di meccanismi di protezione. Merijn Terheggen, CEO di HackerOne, un'agenzia che fornisce i servizi degli hacker alle aziende, afferma: "Ogni due anni la potenza dei chip nei nostri apparecchi raddoppia. Ogni due mesi aumenta la complessità delle applicazioni dei dispositivi. Di conseguenza il numero dei problemi di sicurezza cresce in modo esponenziale. Nessuno riesce più a controllarli". E conclude così: "Fra 18–24 mesi, tutte le grandi aziende utilizzeranno dei programmi che per essere protetti avranno bisogno della genialità degli hacker".

Kevin Mitnick ha 52 anni, 35 anni in più dell'hacker medio che davanti al suo computer da qualche parte in Pakistan o in Bolivia sta frugando nella rete alla ricerca di sistemi informatici con problemi di sicurezza. Mitnick si gode questa nuova era: "La differenza più grande rispetto a quando ero giovane è che oggi l'hacker non è più visto necessariamente come un criminale. Se fosse stato così un tempo avrei potuto sfogare legalmente la mia curiosità e voglia di sperimentare".

La sua carriera iniziò a 13–14 anni, con degli scherzi piuttosto innocenti. Più tardi riuscì a entrare nei sistemi di tutte le maggiori aziende di telecomunicazione degli USA, intercettando le conversazioni e rubando i codici sorgente, ovvero il loro DNA digitale. Persino l'FBI è stata una sua vittima. Mitnick trovò il numero di cellulare degli incaricati delle indagini ed elaborò un sistema d'allarme che lo informava non appena un agente si trovava nei paraggi. Questa caccia al topo si è svolta per quasi tre anni per tutto il Nord America. Mitnick è stato aiutato anche da madre natura, che l'ha dotato di un viso decisamente ordinario. Occhiali, capelli, voce… l'aspetto del pirata informatico non ha nulla di cui ci si ricorderebbe due minuti dopo averlo visto.

Egli insiste nel sostenere che le autorità hanno ingigantito i suoi crimini. Il suo preferito: quando è riuscito ad hackerare l'interfono del Mc Drive locale. "Una macchina della polizia era davanti a me e gli agenti volevano ordinare. Io esclamai attraverso l'interfono ‹Via la cocaina! Via la cocaina!›. Tra i dipendenti scoppiò il panico e i poliziotti erano confusi". Ride ancora oggi quando racconta quest'aneddoto della sua gioventù.

Allora nessuno poteva immaginare un mondo in cui tutto è in rete, dai movimenti monetari, al commercio di armi, alla ricerca del partner. Di recente il film "Hackers" ha festeggiato il suo 20o anniversario, ma l'idea attuale dell'hacker ha poco in comune con l'immagine romantica del pirata informatico di allora. "Assistiamo sempre di più a piccoli gruppi di persone, se non singoli individui, che sviluppano abilità che un tempo erano accessibili solo dalle istituzioni statali", dice Michael V. Hayden, ex direttore della National Security Agency. "Il problema che ne è scaturito è evidente".

Guerra mondiale su Internet

A ottobre il "Washington Post" ha pubblicato un articolo su un gruppo di hacker di origine albanese chiamato Kosova Hackers Security (KHS). Il gruppo aveva rubato i dati personali di oltre 100'000 clienti di un commerciante online americano, tra i quali 1351 membri dell'esercito.
KHS ha venduto questi dati al miglior offerente: lo Stato Islamico. Junaid Hussain, seguace di origini britannico-pachistane dello Stato Islamico, ha pubblicato queste informazioni su Twitter, compresi indirizzi e numeri di telefono, con un avvertimento: "I nostri militanti vi spezzeranno l'osso del collo a casa vostra". L'FBI ha arrestato il capo dei KHS in Malesia, mentre Hussain è stato ucciso da un drone in Siria.

Su Internet si combatte una guerra mondiale in campi di battaglia invisibili. Tutti i sistemi sono sotto attacco, 24 ore su 24. Ogni rete è costantemente sottoposta a test, ma quasi sempre le vittime si accorgono troppo tardi dell'accaduto. Il gigante del commercio al dettaglio Target si è reso conto di un errore di programmazione del sistema di condizionamento solo una volta che gli hacker sono riusciti ad appropriarsi di quaranta milioni di dati dei clienti, proprio sfruttando questo errore del sistema.

Sony, il Ministero per la difesa statunitense, l'affiliata americana di Deutsche Telekom e Fiat Chrysler: tutti vittime di attacchi informatici spettacolari. Le imprese si ritrovano in uno stato difensivo permanente, tuttavia non possono prevedere da dove arriveranno gli attacchi e quanto saranno gravi.
Il colosso delle telecomunicazioni Verizon lo scorso anno ha analizzato 2122 attacchi e ha constatato che in quasi due terzi dei casi questi hanno causato danni in pochi minuti. Da dove provengono gli attacchi? Dalla Corea del Nord o dall'NSA? Dalla concorrenza o da qualche collaboratore? O da un adolescente sconosciuto in Sudafrica?

Evidentemente i progressi della tecnica aiutano gli hacker ad agire con grande anticipo. Le aziende che non vogliono rinunciare al collegamento Internet, hanno perso in partenza la corsa all'innovazione?

18 milioni di hacker attivi

Kevin Mitnick consiglia ai suoi clienti di collaborare con gli hacker già durante lo sviluppo dei software, fase in cui essi riescono a individuare i punti deboli. "Molte aziende, soprattutto nel settore della tecnologia, lo fanno già", afferma. Secondo lui i collaboratori avrebbero bisogno di più formazione in ambito di sicurezza digitale.

Mitnick non ha un'alta opinione dei cosiddetti programmi Bug Bounty, con i quali le aziende ricompensano gli hacker per ogni errore che riescono a trovare. "Nella maggior parte dei casi può funzionare, ma si corre il rischio che tra gli hacker ci sia un criminale informatico che vende la sua scoperta sul mercato nero". Secondo HackerOne, che fornisce i servizi degli hacker alle aziende, sono attivi 18 milioni di hacker in tutto il mondo. Come tenerli sotto controllo? Anche Mitnick sul suo sito Internet gestisce un mercato di "zero day exploits", ovvero punti deboli dei sistemi informatici che non sono ancora stati risolti. Nel suo caso si può partecipare solo su invito.

Scoprire errori nei sistemi di sicurezza e vendere quest'informazione non è illegale. È invece punibile chi la usa per provocare dei danni. La "vulnerability economy", come viene definito il commercio di queste informazioni, è in fase di crescita.

A operare sul fronte difensivo di questo mercato è chi compra gli errori dei sistemi per venderli alle aziende interessate. Ad esempio intermediari che recuperano determinate informazioni dal mercato su incarico delle aziende. I programmi Bug Bounty appartengono a questa categoria. Di norma la prestazione di un hacker vale tra i 500 e 20'000 dollari. In casi eccezionali Microsoft e Facebook hanno anche pagato oltre 100'000 dollari.

Sul versante offensivo invece a commerciare queste informazioni sono soprattutto gli Stati e la criminalità organizzata. Mitnick afferma che in questo caso i prezzi per un bug possono arrivare alle sette cifre. Si tratta di tenere il fronte difensivo del mercato per più tempo possibile all'oscuro dagli errori di sistema, al fine di poterli sfruttare più a lungo.

Sempre più spesso si sente parlare di attacchi informatici incredibili che colpiscono le autorità, i gruppi industriali, le scuole. Mitnick riesce a immaginare un sistema che garantisca sicurezza totale? "Certamente", afferma. "Bisogna nascondere i dati importanti con un air gap". In altre parole: chi vuole essere sicuro non può fare altro che staccarsi fisicamente da Internet.