it
it

La strategia globale dell’Hacking informatico

Chiunque sia operativo sul web e possiede dati anche interessanti, oppure solo di qualche rilievo, prima o poi viene sempre hackerato da qualcuno o da qualche organizzazione.
Normalmente, gli hackers “economici” prendono il dato di interesse dalla rete della vittima e lo rivendono nel dark web, ovvero nel sistema di siti che non è raggiungibile con i normali motori di ricerca.
Nella attuale situazione, dopo l’operazione Bayonet del luglio 2017, in cui sono stati penetrate molte aree del dark web, si assiste però a una specializzazione del web oscuro e a una evoluzione delle tecniche di spionaggio, nella Rete, contro le aziende e gli Stati.
Si tratta di operazioni che, se prima venivano compiute da artigiani della Rete, da ragazzini nella loro cameretta, oggi sono messe in atto da reti strutturate e collegate di hackers professionali, che elaborano progetti di lungo periodo e, spesso, si vendono a certi Stati o, talvolta, a alcune organizzazioni criminali internazionali.
Il dark web nasce, come spesso accade in questi casi, da una ricerca in ambito militare: infatti negli anni ’90, il Dipartimento della Difesa aveva sviluppato una rete coperta e crittografata che proteggesse stabilmente le comunicazioni degli “operativi” dello spionaggio statunitense che lavoravano all’estero.
Poi, la rete segreta è diventata una no profit utilizzabile per i consueti “diritti umani” e per la difesa della privacy, ultima religione della nostra decadenza.
Questa vecchia rete del Dipartimento di Stato si interseca, poi, con la nuova Rete TOR, che è la sigla di The Onion Router, la “cipolla” informatica che copre la comunicazione con diversi e spesso separabili sistemi di criptatura.
TOR vive ai margini di Internet; e funge da tecnologia di base per la sua rete oscura.
Come il “Commendatore” rispetto a Don Giovanni.
TOR è comunque un browser gratuito che si estrae facilmente dalla Rete.
Ovviamente, più l’anonimato di chi usa TOR e va sul dark web è coperto dai sistemi efficaci di criptatura, più si lasciano segnali involontari nel navigare nella Rete nascosta.
Più, inoltre, si deve andar lontano, più i sassolini di Pollicino che devono essere numerosi, per permettere il ritorno.
Nato, TOR e il Dark Web, per permettere le comunicazioni degli agenti segreti statunitensi, ma poi degradato a sistema di comunicazione “libera” per difendere i navigatori del Web dai “governi autoritari”; il dark web oggi ospita un vastissimo mercato sotterraneo in cui si scambiano droghe, identità rubate, pornografia infantile, terrorismo jihadista e ogni forma di affare illecito.
Se poi paghiamo questi servigi della Rete Oscura con incontrollabili cripto-valute, allora è difficilissimo tracciare ogni tipo di operazione nel dark web.
Oggi, nella Rete Oscura operano circa 65.000 URL, che vuol dire siti internet e Universal Resource Locator, che operano soprattutto via TOR.
In una recente ricerca di una società che si occupa di sicurezza informatica, si è verificato che circa il 15% di tutte le URL del dark web facilitano la comunicazione peer to peer tra utenti e siti per mezzo solitamente di chat rooms, oppure di siti di raccolta immagini e foto, che spesso sono mezzi steganografici e trasmettono testi nascosti, ma anche per gli interscambi di beni reali via dei siti specializzati per la trattativa peer to peer, appunto. Cifrati anch’essi, come è facile immaginare.
Peraltro, in un ulteriore studio di una società di comunicazione Usa specializzata per operazioni via web, si è scoperto che almeno il 50% dei siti del dark web è, in effetti, legale.
Ovvero, tratta ufficialmente di cose, persone, dati e immagini che, apparentemente, valgono anche per siti “regolari”.
Ovvero sono stati costituiti, i siti del dark web, tramite una regolare richiesta alla sede nazionale di riferimento della ICANN, che concede i domini e registra i siti permessi, comunicandoli poi alla cooperativa di diritto californiano che possiede, anche se oggi non in modo monopolistico, i “codici sorgente” della Rete.
Oggi, le grandi organizzazioni del Web hanno tutte un “Commendatore” oscuro nell’area TOR, come per esempio Facebook, poi quasi tutti i grandi quotidiani Usa, alcuni periodici europei, ma anche qualche agenzia di sicurezza come la CIA.
Circa il 75% dei siti TOR catalogati dalle società di consulenza informatica che abbiamo indicato sono, comunque, URL specializzate per gli scambi.
Molti di questi siti operano solo con i Bitcoin, oppure con altri tipi di cripto-valute.
Si vendono, nel dark web, soprattutto farmaceutici illegali o droghe, oppure oggetti, e ancora armi. Spesso evolute e non disponibili nelle reti visibili.
Alcune URL vendono anche documenti contraffatti e chiavi di accesso per carte di credito, oppure ancora credenziali bancarie, vere ma per soggetti diversi da quelli per cui sono state emanate.
Nel dark web, nel 2018, sono state compiute operazioni con il Bitcoin per oltre 872 milioni di Usd; e si arriverà certamente oltre il miliardo di Usd alla fine del 2019.
Il totale del denaro sottoposto a “lavaggio”, nel mondo, è, lo ricordiamo, quasi il 5% del PIL mondiale, ovvero circa 4 trilioni di Usd.
E chi ha inventato il Bitcoin?
Nel 2011, la cripto-valuta viene utilizzata per la prima volta come termine di scambio solo per i trafficanti di droga che operano nel dark web, tramite soprattutto un sito chiamato Silk Road.
L’alias utilizzato per questi scambi si chiamava Satoshi Nakamoto. Che è stato anche filmato e intervistato, ma era, naturalmente, un altro.
Da non dimenticare nemmeno le frodi o i ricatti via web: per esempio InFraud, una organizzazione Usa che si è specializzata nella raccolta, distribuzione, vendita delle carte di credito rubate e di altri dati personali.
InFraud ha raccolto illegalmente, prima di essere scoperta, un guadagno netto di ben 530 milioni di Usd.
Un altro gruppo di operatori illeciti, Fin7, detto anche Carbanak, sempre basato negli Usa, ha raccolto nella rete oltre un miliardo di usd e ha messo in crisi, ricattandole, alcune organizzazioni commerciali, come Saks Fifth Avenue e Chipotle, una catena molto diffusa di burritos ed altri piatti tipici della cucina messicana.
Naturalmente, l’introduzione di nuove tecnologie di controllo e elaborazione dei dati, dal 5G ai sensori biometrici, o di monitoraggio personale, aumenta il potenziale criminale del dark web.
E quindi i criminali del dark web avranno una massa ancora più grande di dati dai quali trarre ciò che a loro serve.
Le tecniche saranno le solite, come il phishing, ovvero la possibilità di convincere il malcapitato a concedere i suoi dati personali, magari con un sito-truffa, oppure la cosiddetta “ingegneria sociale”, che è una truffa on line in cui un terzo si finge una società o un individuo di rilievo per acquisire, in modo apparentemente legale, i dati della possibile vittima, oppure ancora il ricatto tramite e-mail, infine la manipolazione delle credenziali.
I criminali della Rete, con una massa di dati in più sulla loro “clientela”, potranno perfezionare le loro operazioni rendendole più efficaci e rapide, oppure le nuove tecnologie della Rete potranno accelerare i tempi del ricatto o del compromesso; e quindi permettere un numero maggiore di truffe a più vittime.
La biometria espande certamente i tempi dell’utilizzo dei dati in mano ai cyber-criminali, la rilevazione facciale o i dati genetici e sanitari sono stabili; per non parlare della scarsa sicurezza dei dati detenuti dagli ospedali, oppure abbiamo a che fare con la grande diffusione delle ricerche genetiche, che potranno apportare ancora più dati sensibili nelle mani dei truffatori della Rete.
Secondo alcune recenti analisi compiute dai laboratori specializzati per la Rete, i dati maggiormente utilizzati dai criminali del web provengono, per il 56%, dai dati personali delle vittime, mentre il 44% dei dati utilizzati dai truffatori viene dalle notizie finanziarie.
Peraltro, nel dark web si possono acquistare specifici tipi di credit card, vendute per area geografica, tipologia commerciale, banca di emissione.
Per l’85% si tratta di carte di credito accreditate per un plafond bancario, con il 15% della “clientela” che chiede invece carte a debito.
Ma i truffatori della rete preferiscono sempre gli indirizzi e-mail perfino alle password.
Su 40.000 files del Dark Web, meno del 25% ha poi un unico titolo.
Nella Rete “dark” ci sono, poi, per l’acquisto, oltre 44.000 manuali per la frode telematica, venduti spesso a bassissimo prezzo.
E vengono colpite soprattutto le aziende grandi e, talvolta, famose: nel 2018 sono state oggetto di cyber-attacchi, negli Usa, la Dixus, una società di telefonia mobile, a cui sono stati asportati 10 milioni di file, poi la linea aerea Cathay Pacific, con 9,4 milioni di files asportati, ma anche la catena di alberghi Marriott’s (500 milioni di dati/files) e infine Quora, un sito di documenti scientifici e di dati generici sulla Rete. Qui, da Quora, sono arrivati a asportare oltre 45 milioni di file.
Come si fa a capire se si è oggetto di un attacco dal Dark Web? C’è certamente la presenza del ransomware, come il recente Phobos, che sfrutta le porte RDP, le Remote Desktop Protocol che permettono il controllo del computer da lontano.
Poi c’è il DDoS, Distributed Denial of Service, che è un blocco temporaneo della Rete, apparentemente casuale, e poi infine c’è il tradizionale malware, il software “malintenzionato” che è usato per disturbare le operazioni informatiche della vittima, e che raccoglie i dati presenti nel computer del bersaglio.
Rimane sempre, comunque, l’ambiguità della Rete Dark tra criminalità comune e difesa dei “diritti umani” e delle comunicazioni sicure nei paesi a “regime autoritario”.
Gli Usa, l’Iran, la Cina e altri Paesi hanno già costituito una “quarta armata”, composta solamente di hackers, che opera con attacchi cibernetici verso le reti di difesa e civili dell’avversario.
Il Comando Cyber Usa, per esempio, si stima sia composto da ben 100.000 tra uomini e donne, che operano 24 ore su 24 per colpire i server nemici (e anche alleati, quando essi contengano notizie utili).
Si pensi, qui, anche al gruppo privato Telecomix, che ha sostenuto le rivolte arabe del 2011 e, spesso, anche quelle successive.
Sia Telecomix che Anonymous stanno operando, anche in questi mesi, per rendere possibile l’utilizzo libero della rete informatica siriana.
Vi è spesso una interfaccia operativa tra questi gruppi e le Agenzie di intelligence, che spesso acquisiscono autonomamente dei dati dalle reti private che, comunque, si accorgono presto delle operazioni di Stato.
C’è anche il cyber-ribellismo, che cerca, spesso riuscendoci, di colpire le memorie di dati delle vittime, cancellandole.
Il DDoS, il tipo di attacco più frequente, utilizza spesso un programma denominato LOIC, Low Orbit Ion Cannot) che permette di stabilire un grande numero di connessioni contemporaneamente, che portano a una rapida saturazione del server avversario.
E i computer attaccanti possono essere utilizzati a distanza, e certi gruppi di hacker utilizzano migliaia di computer simultaneamente, detti “macchine zombie”, per colpire la banca dati che interessa, per cancellarla o asportarne i files.
Questo tipo di “quarta armata” può infliggere ad un Paese-bersaglio un danno molto maggiore di quello possibile con un attacco armato convenzionale, e tanto più è rapido l’attacco tanto meno l’origine dell’operazione è difficilmente identificabile.
Oggi, si calcola che i computer “zombie” siano, nel mondo oltre 250 milioni, una rete maggiore di qualsiasi altra presente oggi nel mondo militare, scientifico, finanziario.
Quindi, una minaccia militare pericolosissima, per le infrastrutture critiche, o per le risorse economiche di un qualsiasi Paese, non importa quanto “evoluto” tecnologicamente o in termini di Difesa militare.
Ci sono state notizie di hacker legati alle organizzazioni globali della droga, ai cartelli messicani soprattutto, e ai gruppi terroristici di tipo jihadista o, comunque, fondamentalista.
E rimane fondamentale lo hacking finanziario, che sostiene spesso tutte queste iniziative.
L’operativo Lim dei Servizi della Corea del Sud è stato trovato “suicidato” dopo aver acquistato un programma della milanese Hacking Team.
Spesso, un necessario strumento per queste operazioni è una valigetta che contiene dei circuiti che mimano le torri dei ripetitori di cellulari, e raccolgono nella memoria della valigetta stessa tutti i dati che vengono trasferiti via cetel o via Rete Internet.
Sono stati attaccati in questo modo la Banca Centrale di Cipro, il partito CDU, tedesco, molti accounts di LinkedIn, un oggetto particolarmente prediletto dagli hackers, alcuni siti della NATO e, in Italia, alcune società di consulenza aziendale e finanziarie.
E’ una nuova, completamente nuova logica della guerra, che deve essere analizzata sia sul piano tecnico e operativo, sia su quello teorico e strategico.

Giancarlo Elia Valori