Attacchi hacker: strumenti e tecniche dei nuovi cyber criminali
Tempo di lettura: 6 minuti
Gli attacchi hacker sono ormai una persistente minaccia del mondo virtuale rappresentato dalla Rete. Attacchi che non vengono condotti in maniera univoca, ma utilizzando di volta in volta strumenti e tecniche sempre più insidiosi. Analizziamoli nel dettaglio:Il mondo virtuale, meglio noto come web, al pari del mondo reale è soggetto a diverse minacce, il più delle quali origina dall’azione dei cosiddetti hacker che conduce ai cosiddetti attacchi hacker.
Il termine “hacker” è, oggi, genericamente usato sia per indicare soggetti che utilizzano le loro competenze informatiche a servizio di aziende e istituzioni, a scopo “benevolo” (si parla di ethical hacker o white hat) sia per i cosiddetti criminali informatici, ossia coloro che utilizzano le competenze informatiche acquisite per commettere reati informatici (in questo caso si parla di crackers o black hat).
Gli attacchi hacker sono, quindi, una realtà con cui utenti e forze dell’ordine si ritrovano a dover fare i conti nel quotidiano.
L’hacker sviluppa i suoi attacchi non in maniera univoca, ma utilizzando, a seconda dei casi e degli scopi, strumenti e tecniche sempre più insidiosi.
Nel corso della storia tanto gli strumenti quanto le tecniche di hacking si sono notevolmente evoluti, sì da rendere molto complesso il loro contrasto da parte delle autorità e degli esperti.
Cosa fondamentale è capire in cosa si sostanzia un attacco hacker e quali sono le forme più utilizzate dai cyber criminali.
Il primo attacco cibernetico di epoca moderna è stato il Morris worm, un tipo di software maligno (malware) che si replica e si diffonde su altri PC.
Il virus attaccò ARPANET, mandando in shutdown tutti i dispositivi informatici collegati ad esso e infettando tra le 4.000 e le 6.000 macchine.
Dopo la diffusione del protocollo e degli standard TCP/IP, qualunque dispositivo allacciato a Internet potrebbe configurarsi quale bersaglio di attacchi informatici; a farne le spese, ovviamente, tutte le tipologie di dati contenute all’interno dei sistemi vittime di attacchi (data breach).
Uno dei pericoli maggiori per la sicurezza dei dati e delle informazioni è costituito dalle “backdoor”: queste possono essere create o dagli stessi sviluppatori dei programmi, in modo da poter accedere al dispositivo e risolvere problemi da remoto oppure possono essere architettate dall’attaccante stesso per garantirsi la permanenza sul sistema in cui si è introdotto.
Se si parla di pericoli, non si possono tralasciare i principali artefici del crollo di sistemi informatici, i malware.
Sono software malevoli creati per impedire o disturbare il corretto funzionamento di un programma o per interferire, rubare o addirittura distruggere informazioni.
La capacità dei malware di infettare il sistema informatico con una certa velocità, li rende ad oggi, tra i più temibili attacchi lanciati dagli hacker. All’interno di tale categoria rientrano trojan, spyware e ransomware.
Ognuno di questi tipi di malware è dotato di particolari caratteristiche e di una notevole insidiosità:
- Il worm si replica con una certa facilità, copiando il proprio codice e diffondendolo attraverso la posta elettronica oppure i social network collegati. Di solito si manifestano sotto forma di allegato, con un invito all’utente ad aprirlo.
- Il livello di pericolosità aumenta con i trojan, che si sostanziano in codici malevoli nascosti all’interno di un software solo in apparenza benigno (ad esempio un qualsiasi programma scaricato da Internet). Grazie a questo escamotage i virus di tipo trojan si infiltrano nei sistemi informatici e iniziano a raccogliere informazioni che verranno poi utilizzate non sicuramente per finalità legittime. Il trojan è capace di monopolizzare l’utilizzo di un computer, assumendone il controllo e dirigendone le funzioni per scopi e finalità illeciti. Se i trojan fanno paura perché destabilizzano l’utilizzo di un dispositivo, fino a possederlo del tutto, al di fuori del controllo dell’utente che ne è proprietario, gli spyware rappresentano una minaccia diversa, i cui effetti si scoprono, nella maggior parte dei casi, sul lungo periodo.
- Uno spyware è un programma che si installa su di un dispositivo e tiene traccia di quanto vi avviene. A livello pratico non ci sono danno fisici sul dispositivo, ad essere compromessa è, tuttavia, la privacy dell’utente che è tracciato in qualunque attività svolga per il suo tramite. Lo spyware può installarsi tanto su dispositivi fissi, quanto su quelli mobili, nonché sui cellulari di ultima generazione.
- L’evoluzione massima in tema di malware si è, però, realizzata per il tramite dei c.d. ransomware, che rappresentano ad oggi i programmi che hanno causato maggiori danni a livello economico alle vittime degli attacchi. Il ransomware blocca le attività del desktop; pochi secondi dopo appare un messaggio dove viene richiesto il pagamento di una certa somma (ransom infatti si riferisce al riscatto), affinché l’utente possa tornare ad utilizzare nuovamente il suo dispositivo. Alcuni ransomware sono in grado di criptare i file sul disco rigido, rendendoli incomprensibili o compromessi, a volte, anche dopo che la “vittima” ha pagato il riscatto. Un esempio di attacco mediante ransomware, noto sotto il nome di Locky, ha riguardato nel 2016 l’ospedale di Los Angeles. Il virus era stato veicolato sui sistemi informatici per il tramite di una mail, comprensiva di allegato. Il prezzo da pagare per l’ospedale è stato altissimo: 17.000 dollari in Bitcoin.
Attacco hacker con la tecnica malevola del Man in the Middle
Quelle appena illustrate rappresentano le armi che gli hacker utilizzano per colpire i loro bersagli; queste vengono, quindi, veicolate dai criminali cibernetici attraverso diverse tecniche, altamente insidiose. Un attacco informatico può essere caratterizzato dalla presenza di più tecniche combinate tra loro.
Una delle modalità di hacking più diffusa ad oggi, è sicuramente la tecnica del “Man in the middle”.
Per capire come funziona questo attacco si immaginino, a titolo esemplificativo un utente che si collega alla rete e chiede a, sua volta, di essere collegato all’indirizzo IP di un determinato sito internet.
Nella comunicazione tra queste due parti si inserisce, a loro insaputa, un terzo interlocutore, il c.d. uomo nel mezzo.
La prima operazione che un hacker compie in questo attacco è intercettare il traffico in Internet prima che raggiunga la destinazione.
Uno dei metodi più diffusi è costituito dallo “spoofing” degli indirizzi IP.
Mediante lo spoofing gli hacker falsificano la vera origine dei dati che inviano al computer, dandogli una parvenza legittima e originale.
I dati vengono trasmessi online in pacchetti di piccole dimensioni, ciascuno con un tag che lo identifica.
Gli hacker che usano questa tecnica sostituiscono il tag con uno riconosciuto dal computer dell’utente bersaglio (lo stesso attacco può, comunque, essere lanciato contro uno smartphone o un altro dispositivo simile), ottenendo come risultato che il dispositivo finisce per comunicare con un impostore che però ha le medesime sembianze della fonte originaria dei dati.
Un attacco MITM può essere configurato secondo diverse modalità
Una delle più comuni consiste nella contraffazione di reti Wi-Fi; con tale modalità, una rete pubblica viene configurata dagli hacker con nomi che invitano l’utente a collegarsi.
Attacco hacker con il gemello malvagio
Un’ulteriore tecnica che sfrutta la rete Wi-Fi è costituita dall’attacco c.d. “Del gemello malvagio” (Evil Twin).
La rete pubblica viene configurata dagli hacker in modo da simulare in tutto e per tutto una normale rete, già in precedenza utilizzata dal soggetto “bersaglio”.
In presenza di una rete di questo tipo, i dispositivi possono essere indotti a connettersi automaticamente, poiché spesso sono progettati in maniera da semplificare la connessione dell’utente (evitandogli di inserire ad ogni accesso la sua password).
Una volta che l’utente si collega alla rete Wi-Fi, l’hacker ha piena visibilità delle sue attività.
Il MITM può essere realizzato anche sul browser, per il tramite di un virus trojan
Questo infetta il dispositivo, permettendo all’hacker di “frapporsi” fra il bersaglio e le transazioni che questi esegue.
Il risultato è che l’hacker, una volta insinuatosi, è in grado di manomettere le transazioni, in modo silenzioso, sicché la vittima non si accorgerà di nulla.
Sullo schermo, infatti, l’utente, continuerà a visualizzare la consueta schermata che utilizza per le transazioni.
Attacco hacker con la tecnica del phishing
L’hacker, generalmente, si introduce nel dispositivo attraverso una modalità definita di “phishing”.
Il phishing è una truffa che avviene online. Il soggetto “attaccante” induce il bersaglio a fornirgli informazioni, dati importanti, password e via dicendo, mediante un inganno; ad esempio, fingendosi un ente affidabile.
La tecnica su cui si basa il phishing è quella dell’ingegneria sociale: i messaggi (e-mail, SMS ecc.), infatti, hanno esattamente l’aspetto di quelli inoltrati dal fornitore “simulato”: per esempio, il sito di una banca che invita il cliente ad inserire le proprie credenziali al fine di effettuare determinate operazioni o transazioni.
Attacco hacker con le armate di zombie
Un’altra tipologia di attacchi hacker è costituita dalle c.d. botnet (chiamate anche armate di zombie).
Una botnet altro non è se non una rete di computer infettati da un software malevolo.
Il virus permette il controllo da remoto dei dispositivi sui quali è stato installato.
I computer vengono “comandati” a distanza, ma non dal legittimo utilizzatore, bensì dagli hacker, che li forzano a inviare spam, diffondere virus o lanciare altre tipologie di attacchi; tutto questo a completa insaputa dei proprietari dei dispositivi.
Attacchi hacker con le tecniche DoS e DDoS
Ben noti al mondo degli attacchi virtuali sono altre due modalità di hacking: il Denial of Service (DoS) e il Distributed Denial of Service (DDoS).
Il primo, DoS, è un attacco che mira a negare un determinato servizio, cioè a bloccare un computer o una rete, per impedirne l’accesso da parte degli utenti autorizzati.
Una tecnica utilizzata è quella del “Mail bombing”: attraverso appositi programmi, viene inviata una consistente mole di e-mail alla casella di posta elettronica del soggetto bersaglio, causando così il blocco del programma di posta elettronica.
Il DDoS consiste nell’utilizzo di un consistente numero di computer soggetti a virus (quasi sempre una botnet) per sovraccaricare i sistemi informatici, creando una sorta di finto traffico dati. Il risultato è che diventa tendenzialmente impossibile per i bersagli fornire risorse informatiche.
Conclusioni: l’incremento degli attacchi hacker
Gli attacchi hacker, in qualunque forma e con qualunque mezzo rappresentano una realtà in forte aumento e, per questo, destano, ad oggi, molta preoccupazione.
Le sempre maggiori abilità maturate dai black hat, nonché, a volte, l’ingenuità dei “bersagli”, incantati e raggirati soprattutto dalle tecniche di “ingegneria sociale”, stanno potenziando il sistema degli attacchi, già reso insidioso dalla velocità con cui avvengono le interrelazioni nel mondo virtuale.
Gli strumenti di contrasto che gli Stati stanno adottando contro queste nuove forme di crimine, se da un lato riescono a contenere il fenomeno, dall’altro sono in continua evoluzione per riuscire a stare al passo con i tempi, purtroppo, ancora oggi dettati dalle abilità degli hacker.
Una maggiore consapevolezza e responsabilità da parte degli utenti, quindi, al fine di offrire un contributo, seppur minimo alla soluzione del problema, potrebbe, aiutare esperti e forze dell’Ordine a neutralizzare queste minacce.
Minacce informatiche che proprio per la loro quasi totale invisibilità risultano dannose e pericolose, capaci di portare al collasso interi sistemi, anche alla luce del possibile utilizzo che particolari categorie di criminali, quali terroristi o membri di associazioni a delinquere, sviluppatesi su larga scala, potrebbero farne.
