[L’intervista] “Vi spiego chi sono gli hacker e come funziona il loro mercato nero"

Tiscali News ha sentito Riccardo Meggiato, uno dei massimi esperti italiani in cyber security

[L’intervista] “Vi spiego chi sono gli hacker e come funziona il loro mercato nero'

Il pericolo hacker diventa ogni giorno che passa più preoccupante. A finire sotto attacco non sono solamente cittadini comuni o aziende ma anche singoli governi. Lo scorso dicembre i sistemi informativi di diverse agenzie federali del governo americano sono stati violati da pirati informatici stranieri. Secondo il New York Times si è trattato della cyber offensiva più grave degli ultimi cinque anni a conferma che oggi la minaccia è più forte che mai. Per fare chiarezza su un mondo misterioso, inquietante e ancora poco noto Tiscali News ha sentito Riccardo Meggiato, esperto di cyber security, autore di diversi libri sul tema come Il lato oscuro della rete e Cyberwar (solo per citare alcuni titoli).

Chi sono gli hacker? E’ possibile tracciare un profilo di queste figure sempre più presenti nella cronaca quotidiana?
“Si tratta di un mondo eterogeneo ma fondamentalmente ci sono tre tipologie di hacker. La prima è quella degli idealisti, legati ai tempi andati. Sono individui che fanno ricerca per conto loro, di solito nel tempo libero. Mirano semplicemente a migliorare la vita delle persone". 

Si tratta degli hacker buoni, i cosiddetti white hat?
“Esatto. A questa categoria appartiene però anche la seconda tipologia: quelli che svolgono questa attività non nel tempo libero ma in modo professionale con l'obiettivo di vendere le soluzioni tecnologiche che trovano e guadagnare soldi”.

Cosa si intende per soluzioni tecnologiche?
“Vulnerabilità nei sistemi informativi. Questi hacker di loro iniziativa studiano le difese informatiche delle organizzazioni, per esempio le aziende, e quando trovano dei punti deboli bussano alla porta dei proprietari o dei manager dicendo loro: ho scoperto che c’è una falla nei tuoi sistemi, se vuoi che ti dica quale è mi paghi”.

E’ una attività legale?
“Assolutamente sì perché non c’è nessun ricatto. In questo caso l’hacker vende una consulenza che l’azienda è libera di acquistare oppure no. Quando invece la conoscenza della vulnerabilità viene sfruttata per guadagnare soldi in maniera illegale si arriva alla terza tipologia di hacker, quella dei black hat ovvero dei criminali informatici veri e propri”.

In che modo avviene il guadagno illegale?
“Sferrando un attacco oppure vendendo ad altri l’informazione. Molto spesso chi scopre i punti deboli di un azienda li vende ad altri attori di secondo livello che effettuano l’attacco vero e proprio. In questo modo i secondi si evitano l’attività di ricerca che può richiedere anche mesi di tempo”.

Quali sono i prezzi di mercato delle vulnerabilità?
“Si parte da un minimo di 50 mila euro fino a oltre il milione di euro. Chiaramente il prezzo è rapportato alla dimensione dell’organizzazione. Chi vende una vulnerabilità di una azienda è perfettamente a conoscenza del suo giro di affari e quindi del vantaggio economico che può portare la conoscenza dell’informazione".

Esiste dunque un mercato nero?
“Certo. Ed è un mercato al quale partecipano anche coloro che si occupano di sicurezza per conto delle aziende. Acquistando la conoscenza della vulnerabilità l’organizzazione si mette al riparo da eventuali attacchi”.

In che modo avviene la vendita?
“Le modalità sono diverse. Si va dalla vera e propria asta che porta ad informazioni vendute in esclusiva e a prezzi alti ad un solo acquirente, a vendite a prezzi più bassi senza esclusiva. In questo secondo caso più soggetti comprano dunque la vulnerabilità”.

E’ noto che l’obiettivo degli attacchi informatici è il furto di denaro o di informazioni rilevanti. Recentemente si sente però parlare con sempre maggiore frequenza di un fenomeno chiamato ransomware. Di cosa si tratta?
"Ransom in inglese significa riscatto. In questo caso gli  hacker riescono ad infettare i sistemi informativi dell’organizzazione e a crittografare , ovvero chiudere con un lucchetto, le informazioni conservate. L’azienda non può più accedere a propri dati senza inserire un codice di sblocco che si ottiene pagando un riscatto ai criminali informatici”.

I committenti degli attacchi alle aziende possono essere altre aziende?
“Assolutamente sì e non sempre l’obiettivo è lo spionaggio industriale, ovvero il furto di informazioni. In tanti casi l’obiettivo è semplicemente quello di sabotare i concorrenti bloccando i loro sistemi informativi”.

Non mancano anche gli attacchi ai governi come quello accaduto lo scorso dicembre agli Stati Uniti. Le motivazioni in questo caso sono economiche o politiche?
"Anche se dietro queste operazioni come mandanti possono esserci altri Stati, l’attacco fisicamente viene sferrato da hacker mercenari che lavorano per denaro”.

Abbiamo parlato di aziende e governi ma non ancora di comuni cittadini. Quali sono in questo caso le modalità attraverso cui agiscono gli hacker?
“La tecnica più utilizzata è il phishing, campagne email inviate ad un numero molto elevato di persone, per esempio mezzo milione di destinatari. Pesci piccoli ma che abboccano in massa. In caso di ranswome, per esempio, potrebbe essere chiesto un riscatto di 200/300 euro per sbloccare i dati del proprio computer, ma  moltiplicando questa cifra per 2000 o 3000 il conto lievita”.

La preoccupazione principale delle persone comuni riguarda però il furto dei codici bancari e quindi il furto di denaro. E’ un pericolo reale?
"Purtroppo sì. Con tecniche molto ingegnose gli hacker non solo possono rubare i codici bancari ma anche intercettare i pagamenti in uscita dal proprio conto, ovvero i bonifici, e deviare il flusso elettronico del pagamento verso un loro conto. E tutto questo senza cambiare l’iban inserito nel bonifico”.

Un cittadino comune può essere vittima di un attacco mirato?
“Può succedere se è una balena, come si dice in gergo, ovvero una persona che ha un ruolo sociale rilevante. Per esempio se un hacker ha nel mirino una grossa azienda può decidere di attaccare un suo manager per recuperare informazioni private scottanti da usare a fini ricattatori. Il manager a quel punto diventa la porta attraverso cui accedere al sistema informativo aziendale”.

Per l’accesso ai servizi web sono sempre più utilizzati i sistemi di autentificazione a due fattori ovvero password da inserire nell'accesso da pc più conferma dell'operazione tramite app dello smartphone. Sono efficaci?
"Sì sono efficaci ma è necessario fare una precisazione. Se un hacker decide di sferrare un attacco riesce quasi sempre a portarlo a termine. C'è però una variabile molto importante per lui: il tempo. I criminali informatici sono molto attenti al rapporto tra tempo impiegato e denaro guadagnato. L’obiettivo principale dei sistemi di sicurezza è allungare i tempi necessari per portare a compimento un attacco. Se la posta in gioco non è elevata il criminale dopo aver fatto una serie di tentativi infruttuosi cambia obiettivo. Bisogna quindi rendergli la vita difficile affinché lui vada da un’altra parte”. 

Quindi l’autenticazione a due fattori ha la funzione di allungare la tempistica?
“Assolutamente sì”.

Pur essendo la pirateria informatica un fenomeno sempre più diffuso raramente nelle notizie di cronaca si sente parlare di arresti di hacker. Come mai?
"Perché raramente gli hacker sono italiani. Principalmente sono russi, ucraini, rumeni, cinesi, thailandesi. Ora c’è anche una nuova ondata di brasiliani. Sferrano gli attacchi direttamente dai loro paesi e siccome non c’è cooperazione internazionale per i reati informatici è molto difficile che dall’Italia si riesca a catturare un hacker che opera dall’estero”.

Non hai citato hacker provenienti dagli Stati Uniti.
“L’America  ha sicuramente grandi esperti in sicurezza ma dal punto di vista della criminalità è più spesso vittima che attaccante. Anche perché avendo degli ottimi dipartimenti di polizia informatica per un hacker è molto rischioso operare negli Stati Uniti. Se un americano vuole fare il criminale informatico molto probabilmente va a vivere all’estero, in paesi che hanno una legislazione meno severa”.

Prima ci hai raccontato della vendita nel mercato nero delle vulnerabilità nei sistemi informativi aziendali. Queste transazioni avvengono nel cosiddetto dark web?
“Sì”

Nell’immaginario collettivo il dark web è un luogo dove si vendono anche armi, droga, materiale pedo pornografico. Una specie di inferno che sfugge al controllo delle autorità. E’ davvero così?
“Si, ma è importante precisare una cosa: il dark web è molto diverso da come solitamente viene descritto nei giornali e nei film. Non è un posto unico a cui si accede tramite Tor che ormai può essere considerato una specie di parco giochi. Il dark web al contrario è fatto di tanti isolotti non connessi tra di loro”.

Come si accede a questi isolotti?
“Attraverso programmi particolari e codici appositi che sono a conoscenza solo dei criminali informatici o di chi lavora nel settore ma dalla parte dei buoni”.

Riccardo Meggiato