Hackers e sicurezza

Il termine Hacker evoca immediatamente nell’immaginario collettivo – complici articoli di stampa e rappresentazioni cinematografiche, a partire da “Wargames” fino al più recente “Takedown” – la figura del pirata informatico, capace di introdursi in qualsiasi sistema di elaborazione dati, violando o semplicemente eludendo le misure di sicurezza adottate dai suoi amministratori, con metodi spesso più romanzeschi che tecnicamente apprezzabili.

Nella realtà e nel linguaggio informatico, il termine hacker individua, al contrario, un esperto di sicurezza informatica restìo, come tutti i possessori di cervelli “fuori misura”, ad adeguarsi alle logiche preconfezionate e ai dogmi consolidati, agli orari da timbratura del cartellino, capace di lavorare alla realizzazione di un progetto anche per 36 ore ininterrottamente e di sparire per qualche giorno per riflettere e ragionare, che preferisce l’approccio empirico allo studio nozionistico e che ha competenze e capacità, matematiche ed informatiche, decisamente superiori alla media.

Tutt’altro che il giovane “sfigato” e con evidenti problemi di relazione con l’altro sesso, che passa le giornate immergendosi nel ciberspazio per sfuggire alla vita di tutti i giorni.

L’ethical hacker opera secondo una sua logica ed un suo codice d’onore, che presuppone l’uso della tecnologia per il miglioramento delle condizioni di vita del pianeta, lo sfruttamento sostenibile delle risorse disponibili e la libertà delle informazioni. E’ il miglior collaboratore che un’azienda possa avere se riesce ad affascinarlo con incarichi complessi e nessun orario o vincolo tradizionale.

Tutt’altro anche rispetto al criminale informatico o malicious hacker, che spesso utilizza gli strumenti realizzati dagli hacker per portare a termine i suoi delitti, dalla finalità prettamente economica, oggi perseguiti e puniti – non solo in Italia ma in tutti i paesi tecnologicamente avanzati, – alla stregua di veri e propri atti terroristici, nel momento in cui sono diretti verso impianti di pubblica utilità o strutture nevralgiche come ferrovie, ospedali ed aeroporti, e duramente anche nell’ipotesi di violazione di sistemi ed informazioni di natura privata, stante il rilievo ormai assunto dall’informatica e dalla telematica per l’economia di ogni nazione. Non un artista, in sostanza, ma un freddo calcolatore.

Nell’eterno confronto tra chi attacca un sistema e chi deve difenderlo gli hacker entrano a pieno titolo, direttamente o indirettamente, per lo sviluppo dei sistemi di sicurezza o delle tecniche di intrusione, che poi saranno utilizzate nuovamente per mettere a punto le relative contromisure e, così via, ininterrottamente, in una spirale di crescita che miete certamente vittime, anche importanti, ma consente la rapida evoluzione del settore della sicurezza informatica.

Mentre per professionisti e lavoratori autonomi non vi è possibilità di scelta rispetto alle misure di sicurezza da adottare, dovendo necessariamente far affidamento su soggetti esterni o ricorrere a soluzioni pronte all’uso (con tutti i problemi legati alla lentezza degli aggiornamenti della sicurezza ma anche con il vantaggio di non avere, probabilmente, dati particolarmente appetibili per i criminali informatici), per le aziende, la scelta di creare un team di informatici interno, attraverso il quale sviluppare soluzioni proprietarie, o di affidarsi ad un’azienda esterna, può rivelarsi strategica non solo dal punto di vista economico.

Alcune realtà preferiscono un approccio misto, con il team interno che si dedica allo sviluppo della sicurezza e strutture esterne che periodicamente erogano il servizio di penetration test, simulando attacchi verso il sistema informativo aziendale dopo aver messo in sicurezza i dati.

Questa ultima soluzione è probabilmente quella da preferire, rispetto all’internalizzazione o all’esternalizzazione, poiché ciascuna struttura controlla e valuta l’operato dell’altra, impedendo che l’azienda sia “ostaggio” dei consulenti esterni o dei dipendenti interni, che devono essere intercambiabili proprio al fine di garantire una maggiore sicurezza e, soprattutto, per evitare che la violazione del sistema avvenga per l’infedeltà di un operatore.

E’ utile ed interessante, per comprendere come dovrà evolversi il settore della sicurezza informatica e quali sono i principali rischi ai quali va incontro un sistema di elaborazione dati che contiene informazioni da proteggere, consultare l’Internet Crime Report che viene prodotto annualmente dal National White Collar Crime Center (NW3C) presso il Federal Bureau of Investigation statunitense e reperibile al seguente indirizzo: http://www.ic3.gov/media/annualreport/2013_IC3Report.pdf

Non essendo ancora disponibile il rapporto relativo al 2014, i dati non sono aggiornatissimi ma rendono comunque l’idea di un progressivo aumento della sicurezza rispetto al passato.

Come lavora il National White Collar Crime Center

La missione dell’Ente è quella di fornire formazione, supporto investigativo e di ricerca per le realtà coinvolte nella prevenzione, nell’accertamento e nel perseguimento dei reati connessi all’economia e alle tecnologie informatiche

Il NW3C non ha potere d’indagine autonomo ma aiuta le forze dell’ordine e la magistratura a comprendere meglio gli eventi e ad utilizzare gli strumenti necessari per combattere il cyber crime.

Per questo le sue sezioni sono fortemente specializzate: Criminalità informatica, Criminalità Economica, Investigazione, Analisi Forense, ecc..

Ogni anno gli esperti di sicurezza analizzano le denunce pervenute dagli utenti e le raggruppano per tipologie, per fornire ulteriori elementi di analisi ed investigazione.

Sebbene dai dati degli ultimi cinque anni si possa dedurre una sostanziale riduzione dei crimini, ciò che desta preoccupazione sono le modalità con le quali i reati stanno cambiando e diventando più aggressivi.

Le principali situazioni denunciate dagli utenti riguardano oggi la violazione della riservatezza, attraverso l’analisi della navigazione su Internet o dei comportamenti adottati sui social network o nei circuiti di incontri per adulti. Il criminale, dopo aver rilevato o deliberatamente provocato un comportamento imbarazzante della vittima (l’esempio tipico è quello della ragazza che si spoglia davanti alla webcam ed invita l’interlocutore a fare altrettanto, registrando l’intera sessione) minaccia di divulgare i dati acquisiti e pretende un pagamento in denaro.

In ambito aziendale gli schemi più diffusi sono quelli della cifratura dei dati presenti sul sistema di elaborazione della vittima e della periodica segnalazione a video di utilizzo di software privo di licenza d’uso o di frequentazione di siti web con contenuti pedo-pornografici. In entrambi i casi l’effetto viene ottenuto attraverso l’azione di virus informatici che lo stesso utente scarica involontariamente dal web e che possono essere rimossi solo dopo aver ricevuto (a pagamento, ovviamente) i codici di sblocco da parte del criminale che li ha messi in circolazione. I versamenti vengono puntualmente indirizzati ad un conto presente in un paradiso fiscale e non tracciabile.

Altre tipologie di reato sono descritte nelle diverse pagine del rapporto annuale, che merita comunque un approfondimento per i numerosi spunti di analisi dei sistemi informatici e delle relative misure di sicurezza che è in grado di suggerire.

Uno specifico richiamo è invece opportuno in relazione al rispetto all’obbligo di formazione del personale sui rischi connessi all’uso di sistemi informatici e telematici, già previsto dalla disciplina italiana ed europea sul trattamento dei dati personali ma stranamente non contenuto in alcuna altra norma che riguardi i sistemi pubblici e privati.

Le circostanze in cui maturano frodi e sottrazioni di dati riservati ai danni delle aziende confermano  che l’anello debole della catena della sicurezza informatica è l’essere umano, da un lato per l’ingenuità di taluni comportamenti, dettata principalmente dall’inesperienza, dall’altro per l’infedeltà di cui può essere protagonista un qualsiasi dipendente o collaboratore ai danni del datore di lavoro.

Le denunce che riguardano la sottrazione di dati riservati o il danneggiamento di sistemi informatici sono sempre più spesso riferite a rapporti di lavoro o di collaborazione, anche professionale, durante i quali l’elemento fiduciario viene meno e l’azione criminale si sostanzia nella cessione dei dati ad un concorrente o nel danneggiamento motivato dal sentimento di rivalsa.

In entrambi i casi, se non completamente esclusa, l’azione delittuosa può essere tuttavia fortemente prevenuta e resa inefficace con l’adozione di adeguate misure di sicurezza. L’analisi dei dati in transito sulla rete, la disattivazione o il controllo remoto delle porte di comunicazione attraverso le quali possono essere trasferite le informazioni su supporti esterni, adeguate politiche di cifratura, salvataggio e disaster recovery, così come una puntuale e rapida gestione delle credenziali e degli accessi, possono fortemente ridurre i rischi connessi alla sottrazione dei dati o al danneggiamento da parte di un dipendente infedele o di un collaboratore escluso dal gruppo di consulenti aziendali.

La formazione del personale dipendente, anche a costo di risultare ripetitiva ed ossessiva, porta ad una corretta gestione dei sistemi informatici e delle credenziali di accesso, e riduce al minimo il rischio di sottrazione agevolata dal dipendente che lascia un visitatore solo nella stanza in cui è acceso un computer o addirittura annota nel classico post-it sul monitor User Id e Password.

Anche la formazione in tema di comunicazione aziendale ed interpersonale è utile per far comprendere al dipendente che la sicurezza informatica è soprattutto una forma mentis da acquisire, poiché le informazioni riservate o le credenziali di accesso ai sistemi possono essere cedute a terzi involontariamente, ritenendo di comunicare telefonicamente o tramite e-mail con altra persona o trasmettendo tramite fax un documento importante al numero sbagliato.

Un volume che, in tal senso, non dovrebbe mai mancare nella libreria di un Amministratore o di un Dirigente, è quello di Kevin Mitnick, celebre hacker statunitense autore di innumerevoli accessi abusivi a sistemi informatici, dal titolo “L’Arte dell’Inganno”, nel quale l’autore premette di non aver mai dovuto faticare troppo per ottenere delle informazioni, essendo stato spesso più semplice chiederle ai diretti interessati che acquisirle violando i sistemi informatici.

Una lezione da non dimenticare.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *