Hacker Tra mito e realtà
03/06/2014 di John B
La romanzistica e la cinematografia da anni contribuiscono a diffondere nell’immaginario collettivo l’idea di veri e propri geni del computer che smanettando su una tastiera riescono a “forare” le reti protette e le banche dati più inaccessibili.
FILM – Un esempio è il film Swordfish uscito nel 2001, nel quale il cattivo di turno (interpretato da John Travolta) assoldava un bravissimo hacker (interpretato da Hugh Jackman) per forare il sistema informatico di gestione di un fondo segreto sul quale erano depositati centinaia di milioni di dollari. Nel corso di un test iniziale, l’hacker riusciva addirittura a penetrare la rete del Dipartimento della Difesa statunitense utilizzando un computer portatile con il quale, in soli sessanta secondi e mentre veniva distratto da un’avvenente fanciulla che lo “trastullava”, riusciva a forzare il codice di accesso protetto da una chiave a 256 bit. Ma al di là della fantasia cinematografica, anche le cronache riportano spesso episodi di clamorose violazioni di banche dati e sistemi informatici considerati impenetrabili, per cui è normale pensare che a un bravo hacker bastino un computer e un collegamento Internet per violare qualsiasi banca dati e avere accesso a ogni genere di informazioni.
DA CAPIRE – Quanto c’è di vero in tutto questo? Come al solito, logica e buon senso possono portarci a una prima considerazione importante. Se davvero un mago del computer fosse in grado di penetrare qualsiasi sistema informatico semplicemente utilizzando un portatile connesso a Internet, dato che i maghi del computer non mancano, nel giro di pochi anni tutte le banche sarebbero già fallite e i relativi fondi avrebbero arricchito qualche migliaio di hacker sparsi per il mondo. Ogni giorno avremmo migliaia di persone che viaggiano su aerei, navi e treni con biglietti elettronici fasulli e tutti i dispositivi Bancomat sarebbero prosciugati da tempo. Se questo non succede, vuol dire che le cose non sono così facili come appaiono nei film. Partiamo proprio dalla cifratura. Nel meccanismo della cifratura abbiamo un documento in chiaro (che può essere qualsiasi file o banca dati), un sistema di cifratura / decifratura, una chiave (la password) e il documento finale cifrato e quindi accessibile solo a chi possieda la chiave corretta e utilizzi il sistema di cifratura / decifratura corretto. In passato molti sistemi di cifratura, apparentemente perfetti, avevano una grossa vulnerabilità. L’hacker, disponendo del testo non cifrato e di quello cifrato, era in grado di ricavare il sistema di cifratura utilizzato e quindi la password. I moderni sistemi di cifratura, invece, resistono all’attacco anche quando l’hacker disponga del testo originale, del testo cifrato e dell’algoritmo di cifratura. Persino conoscendo la password, l’hacker non deve essere in grado di decifrare altri documenti protetti con lo stesso algoritmo ma con una password differente.
COME FUNZIONA – Il sistema di cifratura che si è andato affermando negli ultimi anni è quello denominato AES Advanced Encription Standard, protetto con chiave a 128 bit o superiore. 128 bit rappresentano la lunghezza della chiave. Più la chiave è lunga, ossia composta da un numero più elevato di caratteri e simboli, più aumentano tutte le combinazioni possibili. Il metodo più semplice per scoprire una chiave di cifratura è quello di provare tutte le combinazioni. Questo metodo è chiamato “forza bruta”. Per forzare i vecchi sistemi di cifratura, il più diffuso dei quali era lo standard DES a 56 bit, un computer molto potente (o più computer collegati tra loro) impiega poco più di 5 minuti. Quando fu implementato, il sistema DES era considerato molto sicuro ma l’aumento della capacità di calcolo dei computer e la possibilità di far lavorare assieme decine di migliaia di computer collegati in rete (anche via Web) come fossero un unico supercomputer, lo hanno reso del tutto inaffidabile. Molti miti relativi alla possibilità di scoprire la chiave di accesso di un sistema informatico sono nati propri nel periodo in cui il DES cominciò a essere “forato” dagli hacker che utilizzavano computer o reti di computer. Con l’introduzione dello standard AES le cose sono cambiate parecchio. Di fatto, nessuno è mai riuscito a forzare una chiave AES a 128 bit (o quanto meno, non è noto che qualcuno ci sia mai riuscito) utilizzando la “forza bruta”.
I CALCOLI – E’ stato calcolato che per forare una chiave AES a 128 bit con la “forza bruta”, anche utilizzando migliaia e migliaia di computer connessi tra loro, occorrerebbe un miliardo di miliardi di anni. Figurarsi una chiave a 256 bit. Perché, allora, gli hacker riescono comunque a forzare i sistemi? Innanzitutto, le chiavi a 128 bit sono utilizzate dai sistemi informatici per proteggere le informazioni e le password, ma non sono pratiche per essere utilizzate come password utente. Chi si ricorderebbe una password del genere: “770A8A65DA156D24EE2A093277530142” ? Nella pratica, le password utilizzate sono molto più semplici e composte da un numero molto più limitato di caratteri. Spesso solo 8 caratteri. Ecco che scoprire una password utente con la forza bruta è molto più facile che scoprire una chiave a 128 bit: bastano pochi secondi. Per evitare questo rischio, però, generalmente i sistemi informatici bloccano l’accesso dopo un certo numero di tentativi falliti. Con il metodo della “forza bruta”, quindi, si può forzare la password di una rete WiFi casalinga ma è praticamente impossibile forzare l’accesso a un sistema informatico ben protetto. Nella pratica gli hacker utilizzano tre metodi principali per forzare un database o una rete. Il primo è quello di sfruttare le vulnerabilità del software che gestisce i server su cui sono custoditi i dati o la rete che provvede a scambiarli. Quasi tutti i software hanno dei “bug”, ossia errori, difetti e lacune di programmazione. Conoscendo i bug (e gli hacker li conoscono) è possibile sfruttarli per accedere al sistema informatico. Gran parte degli aggiornamenti rilasciati dalle case che producono software servono proprio a eliminare i bug man mano che vengono scoperti dagli utenti (e dagli hacker) ed è per questa ragione che gli aggiornamenti sono importantissimi. Il secondo metodo è quello di “inoculare” un programma (malware) che consenta all’hacker di accedere al sistema. Un malware può arrivare in tanti modi: ad esempio come allegato a una mail, oppure visitando una pagina Web infetta, o ancora installando un programma non originale. Gran parte degli utenti di un sistema informatico non ha la competenza tecnica adeguata a difendersi dai malware. Anche per questa ragione esistono i programmi antivirus che, operando in modo del tutto automatico, difendono l’utente dai malware e si autoaggiornano per riconoscere le nuove minacce. Il terzo metodo è quello più banale e nello stesso tempo più efficace: carpire la password di accesso. La stragrande maggioranza degli utenti adopera password abbastanza semplici (nomi propri, date di nascita) o annota la password in posti poco sicuri, come biglietti di carta (c’è chi mette il post-it sul monitor…), agende e block-note. Molti hacker ottengono informazioni preziose semplicemente rovistando nella spazzatura delle loro vittime o di enti pubblici e privati.
SICUREZZA – Talvolta gli utenti curano la sicurezza della password usata in ufficio ma trascurano quella della propria mail privata. Accedendo alla mail privata di un utente, un hacker può trovarvi le mail di conferma delle registrazioni a servizi e portali, o può utilizzarla per recuperare la password attraverso le procedure previste per chi non ricorda i propri dati di accesso. Jonathan James, nome in codice “c0mrade”, alla fine degli anni novanta diventò famoso per essere stato il primo minorenne (aveva meno di sedici anni) ad essere condannato per essersi introdotto abusivamente in un sistema informatico. James riuscì a installare un programma “sniffer” (ossia un programma che memorizza i dati di accesso digitati sulla tastiera) sui server della NASA e del Dipartimento della Difesa statunitense, carpendo le password di accesso ai database. Uno dei più grossi attacchi informatici degli ultimi anni, quello che colpì oltre 2500 imprese in quasi 200 nazioni nel 2010, avvenne grazie alla tecnica del “phishing”. In questa tecnica, l’hacker invia una mail apparentemente proveniente da una fonte di cui la vittima si fida e costruisce un sito Web identico a quello dell’ente che si vuole penetrare. La vittima riceve la mail, va sul sito fittizio e inserisce la propria user id e password senza rendersi conto che in realtà sta comunicando quei dati a un hacker.
ATTACCHI – Nel 2012 i server della WHMCS, affermata società che offre servizi per il pagamento online, furono forzati con tecniche di “ingegneria sociale”. In questa tecnica l’hacker ottiene i codici di accesso contattando (anche con una semplice telefonata) la vittima (nel caso specifico la WHMCS) e fingendosi un utente o un dipendente che non ricorda più o ha smarrito le credenziali di accesso. Per quanto la tecnica possa apparire banale, essa è molto efficace perché molto spesso gli operatori telefonici dell’ente bersaglio utilizzano un sistema di verifica basato su dati (la data di nascita dell’utente, il codice del contratto, la fotocopia di un documento di identità) che l’hacker può procurarsi facilmente (non ci vuole molto a falsificare la fotocopia di una carta di identità con un programma di manipolazione delle immagini). Un hacker può anche utilizzare una telecamera nascosta per registrare i movimenti delle dita di un operatore sulla tastiera di un computer e ricavare così le credenziali che ha utilizzato per accedere a un sistema. Nel 2012 alcuni hacker che si riconoscevano nel gruppo “Anonymous” violarono i server della Polizia di Stato approfittando di una vulnerabilità del sistema di gestione delle mail dei dipendenti. In conclusione, dietro gli attacchi hacker non ci sono geni con straordinarie capacità informatiche capaci di decifrare i codici segreti ma persone che conoscono a fondo la materia e che utilizzano una combinazione di tecniche per sfruttare le vulnerabilità dei software (e quindi aggirare il sistema di credenziali di accesso) o per ottenere le credenziali di accesso direttamente da chi le possiede legittimamente. La protezione contro queste intrusioni non è semplice e richiede una buona conoscenza tecnica (non solo informatica). L’utente medio può però diminuire considerevolmente le probabilità di essere colpito, adottando quelle precauzioni che dovrebbero essere ormai standard: utilizzare un buon antivirus, aggiornare il software, cestinare le mail che richiedono credenziali di accesso, cambiare frequentemente le password e non utilizzare password “facili”. In bocca al lupo. Anzi, all’hacker.