REPORT McAFEE SULLA

CRIMINOLOGIA VIRTUALE

IL CRIMINE ORGANIZZATO E INTERNET

Dicembre 2006

© McAfee 2006

---

CONTENUTI

INTRODUZIONE

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA

INTERNET

PARTE TERZA

GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE

PARTE QUARTA

LE SFIDE FUTURE

REFERENZE

01

---

INTRODUZIONE

Nel 2005, il report McAfee sulla criminologia virtuale

rivelò come il crimine informatico europeo si fosse

evoluto, passando semplici ragazzini appassionati di

informatica a bande organizzate di criminali informatici.

Lo studio McAfee, il primo a esaminare il crimine

organizzato e Internet, evidenziava come le bande

criminali vecchio stile fossero diventate “tecnologiche”

sostituendo le vecchie mazze da baseball con le botnet

per perpetrare crimini informatici in modo sistematico

e professionale.

E’ passato un anno, e il cybercrime rappresenta la

categoria di crimine in più rapida crescita a livello

globale.

Il crimine informatico non è più allo stadio iniziale, oggi

rappresenta un grosso business. Il crimine organizzato

trae profitto da ogni opportunità di sfruttare le nuove

tecnologie per perpetrare crimini tradizionali come frodi

e estorsioni e guadagnare denaro illegalmente. E colpisce

tanto le aziende quanto i privati.

Le bande di criminali organizzate possono anche avere

meno esperienza e accesso di quanto necessario per

commettere crimini informatici ma dispongono

dell’influenza finanziaria per acquistare le giuste

risorse e operare a un livello estremamente professionale.

UNA NUOVA GENERAZIONE MODELLATA

PER IL CYBERCRIME

La nuova ricerca evidenzia come il crimine organizzato

stia modellando una nuova generazione di criminali

informatici ambiziosi che utilizzano tattiche che

rammentano quelle utilizzate dal KGB per reclutare

agenti operativi al culmine della guerra fredda.

ADOLESCENTI DI 14 ANNI ATTRATTI DAL CULTO

DEL CYBERCRIME

Lo studio rivela inoltre come adolescenti di 14-15 anni

esperti di Internet siano attirati dal crimine informatico

per la celebrità dei criminali tecnologici e la promessa di

facili guadagni senza i rischi associati al crimine

tradizionale.

DAI SOLITARI DOMESTICI AI BAR PUBBLICI

Il rapporto esamina come i criminali informatici si stanno

spostando dalle loro stanze da letto a posti pubblici come

gli Internet café e i coffe-shop che forniscono connessione

wi-fi.

Esperti di tutto il mondo concordano sulla crescita del

cybercrime. Dave Thomas, Section Chief, Cyber Division

dell’FBI afferma “Se qualcuno legge sui giornali di altre

persone che guadagnano un sacco di soldi attraverso il

crimine informatico – e se hanno un intento criminale

– allora sicuramente prenderanno la stessa strada.”

La minaccia del crimine informatico per le aziende

e i singoli individui continua a crescere a una velocità

impressionante. Nel luglio 2006, i ricercatori di McAfee

hanno segnalato che erano state rilevate oltre 200.000

minacce online. Ci sono voluti 18 anni per raggiungere

la minaccia numero 100.000 (2004) e solo 22 mesi per

raddoppiare tale cifra. I ricercatori di McAfee prevedono

che tale cifra raddoppierà ancora in un periodo di tempo

similare; infatti, con l’evolversi del mondo online il

crimine organizzato si è reso conto della possibilità

di fare denaro tramite Internet.

Commissionato da McAfee e con la collaborazione di

Robert Schifreen, esperto autore del best seller Defeating

the Hacker, forze di ordine pubblico e esperti di

cybercrime di tutto il mondo, il secondo Report McAfee

sulla criminologia virtuale illustra come il crimine hi-tech

si sta sviluppando e analizza le minacce future che tale

attività comporta per i computer domestici, per le

infrastrutture governative e le aziende.

GREG DAY, SECURITY ANALYST, MCAFEE

E’ stato denominato Web 2.0 o la seconda ondata di

Internet. Milioni di persone stanno oggi sfruttando

internet per fare conoscenza, creare e condividere

contenuti e, sempre più, acquistare prodotti e servizi. E

così sta facendo il crimine organizzato.

Il crimine organizzato sta sfruttando il potenziale offerto

dallo spazio digitale in cui viviamo oggi per trarne un

guadagno economico. La crescente diffusione della banda

larga e delle nuove tecnologie come I servizi voice over

internet (VoIP) rappresentano nuove opportunità per i

criminali hi-tech.

E i criminali informatici non sono rimasti con le mani in

mano. Stanno sviluppanDo metodi più rapidi, furtivi e

resistenti come il cosiddetto ransomware per colpire

nuove vittime inconsapevoli come gli utenti di computer

domestici e le piccole aziende.

Nemmeno il settore della sicurezza è rimasto immobile.

I virus globali odierni come Mydoom e Sober non sono

più mezzi efficaci per causare infezioni di massa. Perciò

i criminali informatici utilizzano metodi più sofisticati e

perspicaci, ancor più difficili da individuare. Perciò,

disporre di una protezione proattiva sta diventando un

imperativo – è l’unico modo per offrire agli utenti una

fiducia assoluta.

McAfee è la principale azienda al mondo dedicata alla

sicurezza, e per questo è all’avanguardia nell’aiutare

utenti privati e aziende a comprendere meglio i rischi

che devono affrontare online – mostrando loro i modi

migliori per adottare un approccio proattivo nel

proteggere ciò che più conta per loro, inclusa la loro

identità e i beni personali quali fotografie e musica

archiviata digitalmente.

McAfee ha collaborato con esperti e enti leader in

Europa e Stati Uniti negli ultimi cinque mesi per rendere

disponibile il suo secondo studio sul crimine organizzato

e Internet. Lo studio sottolinea quanto dobbiamo essere

vigili tutti quanti dal momento che le nuove tecnologie

stimolano il nostro utilizzo di Internet offrendo però

anche nuove opportunità ai criminali informatici.

02

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

Durante lo scorso anno, governi, aziende e forze di

ordine pubblico hanno intensificato i propri sforzi per

assicurare hacker e altri autori di malware alla giustizia.

La pubblicità intorno a processi famosi e all’attività del

cybercrime ha messo il crimine informatico sotto i

riflettori dei media elevandone anche il livello di

conoscenza pubblica.

Allo stesso tempo non è mai stato così facile commettere

crimini online. Ci sono opportunità ovunque e di

conseguenza la minaccia del cybercrime è oggi

onnipresente.

I criminali vecchio-stampo sono principalmente spinti

dal desiderio di causare danni o guadagnare soldi.

Raramente un criminale rapinerà una banca, deruberà

uno straniero o rapirà una persona per sentirsi

importante o semplicemente vedere quanto è facile

farlo. Per contro, Internet ha stimolato tutte le tipologie

di comportamento criminale – alcuni per interesse

intellettuale e curiosità ma la maggior parte perché

esiste una possibilità di guadagno.

“Lo stimolo principale è l’occasione. Qualunque sia la

motivazione alla base, finanziaria o quant’altro, se ne

hanno la possibilità commetteranno il crimine. Eliminiamo

l’occasione e la motivazione diverrà meno importante. La

gente non passa tempo sufficiente a analizzare in primo

luogo perché criminali potenziali hanno l’occasione di

commettere crimini.”

Professor Martin Gill - Director of Perpetuity Research and

Consultancy International e Professore di Criminologia presso

l’Università di Leicester

03

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

IL “CULTO” DEL CYBERCRIME

“Se qualcuno legge sui giornali di altre persone che

guadagnano un sacco di soldi attraverso il crimine

informatico – e se hanno un intento criminale – allora

sicuramente prenderanno la stessa strada.”

Dave Thomas, Section Chief, Cyber Division dell’FBI

Di conseguenza il cybercrime ha creato una sorta di

seguaci del “culto”, con i delinquenti online che

diventano celebrità tra le comunità di hacker.

Autori di virus, hacker e altri autori di malware

dispongono di conferenze e seminari ben pubblicizzati

dove possono dimostrare i loro metodi per evidenziare

problemi di sicurezza potenziali. Ma oltre a rivelare

potenziali problemi di sicurezza, rendono pubbliche le

vulnerabilità e forniscono l’occasione per commettere

crimini e attività malevole.

CASE STUDY: IL “CULTO” DEI CRIMINALI

INFORMATICI - GARY MCKINNON

Gary McKinnon è stato incriminato dal tribunale

statunitense nel Novembre 2002, accusato di essere

penetrato illegalmente in oltre 90 computer dell’Esercito

Statunitense dal Regno Unito. Gary deve affrontare 70

anni di prigione ma ha un enorme seguito online di

persone che cercano di farlo uscire dal carcere e/o

reclamano la sua estradizione per sottoporlo a giudizio

e condannarlo negli Stati Uniti. Molte persone ritengono

debba essere processato in Inghilterra e restare nel

Regno Unito.

http://freegary.org.uk/

Gary afferma che l’ispirazione per diventare un hacker gli

è venuta guardando il film WarGames quando aveva 17

anni. Pensò “E’ veramente possibile farlo? E’ veramente

possibile ottenere accesso non autorizzato a posti

estremamente interessanti? Sicuramente non può essere

così semplice.” Così ci ha provato.

CYBERCRIME ALLA RIBALTA

• Defcon, il raduno annuale di hacker a Las Vegas: i

partecipanti vennero incoraggiati a forzare i propri

badge d’ingresso.

• Blackhat Security Conference: Microsoft incoraggiò gli

hacker a fare del loro meglio per colpire il suo nuovo

sistema operativo, Windows Vista.

• Hack in the Box – definita ‘la più intima delle

conferenze di hacker’

04

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

DALLA CURIOSITA’ ALLA PRIGIONE: COME GLI

ADOLESCENTI CADONO NELLA RETE

DEL CYBERCRIME

Molti giovani vengono attirati la prima volta verso il

crimine informatico dalla curiosità, dalla sfida e dalla

promessa di ottenere qualcosa per nulla. Alcuni sono

consci dell’illegalità delle proprie azioni fin dall’inizio;

altri procedono lentamente verso l’oscuro mondo della

malavita partendo da inizi apparentemente innocenti.

“I giovani hacker e i cosiddetti script kiddies vengono

coinvolti pian piano per poi essere travolti. Partono con

compiti molto semplici per poi passare velocemente ad

accedere a carte di credito e altre macchinazioni per

estorcere denaro. L’FBI si concentra molto sugli attacchi e

le reti criminali che hanno origine nell’Europa dell’Est.

Molti di questi criminali informatici vedono Internet come

un’opportunità di lavoro. Dato lo scarso livello di

occupazione, possono utilizzare le loro competenze

tecniche per sfamare le loro famiglie. Il cybercrime

diventa così un lavoro.”

Dave Thomas, Section Chief, Cyber Division dell’FBI

Newsgroup, forum e Internet café sono pieni di persone

alla ricerca di informazioni e password. Il loro scopo è

piuttosto inoffensivo e molti non aspirano a diventare dei

veri criminali informatici – desiderano solo appropriarsi

delle password perché vogliono introdursi nel programma

di un computer per vedere se ne sono in grado, come

funziona o accedere a un gioco protetto.

In ogni caso, altri hacker e autori di malware si scambiano

consigli gratuiti all’interno di forum online e forniscono ai

principianti i trucchi del mestiere. L’età media degli

hacker va dai 14 ai 19 anni. 1

Per molti, l’eccitazione della sfida e la comunità sono uno

scenario troppo allettante per potervi resistere. Proprio

come i drogati apprezzano l’euforia della prima volta e

vanno sempre più alla ricerca del “viaggio” successivo,

uguale è il richiamo per la prossima prova di truffa

informatica per chi ne è dipendente – e tutto in modo fin

troppo semplice se si sa a chi rivolgersi per chiedere

consiglio. La dipendenza cresce man mano che la posta in

gioco cresce e i criminali organizzati pagano i ragazzi per

eseguire truffe a fin d’estorsione. Come risultato, il

cybercrime tra i teenager è in aumento.

“Quando un hacker amatoriale diventa più esperto nel

compromettere i sistemi, è facile che si rendano conto di

poterci anche guadagnare (per esempio, affittando bot o

slot per inviare spam). Allo stesso tempo, i criminali

reclutano proattivamente nuove persone per le attività

tecniche. Tali persone potrebbero non sapere in che cosa

sono realmente coinvolti.”

Erik de Jong, Project Manager, Govcert

CASE STUDY: DALLA CURIOSITA’ ALLA PRIGIONE

A 20 anni, Shiva Brent Sharma ha accumulato oltre

150.000 dollari di denaro contante e merce racimolati

tramite il crimine informatico. Quando venne arrestato

per la terza volta per furto d’identità, dichiarò di poter

guadagnare circa 20.000 dollari in un giorno e mezzo.

Con questa dipendenza dalla sfida e dalla relativa

ricompensa, ha paura che quando finirà di scontare i suoi

2-4 anni di prigione, ci ricadrà e inizierà a cercare di

estorcere denaro per l’ennesima volta.

Il più giovane di tre bambini di una famiglia di classe

media, Sharma si è sempre battuto per accedere a

internet. Le sue attività criminali cominciarono quando

iniziò a visitare con regolarità siti dove gli utenti di tutto

il mondo si incontravano per scambiarsi consigli sui furti

d’identità e su come comprare e rivedere informazioni

personali. I trucchi e le tecniche che ha appreso gli hanno

consentito di portare avanti la sua forma di truffa

personale.

Iniziò con il phishing per poi passare al software pirata

prima di acquistare numeri di carte di credito rubate

online, modificare le informazioni e inviare denaro a se

stesso.

Sharma non è mai riuscito a fornire una chiara

motivazione per i suoi crimini. A volte affermava che si

trattava semplicemente di un gioco per far passare il

tempo, altre volte insinuava che era un attacco più

focalizzato contro il mondo bancario.

“Beh, sapete – voglio dire non c’è alcuna giustificazione.

Sapete che è sbagliato e io l’ho fatto – era sbagliato.” 2

05

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

WWW.HOWTOHACK.COM

“La disponibilità di tool online ha contribuito alla crescita

del cybercrime. Inoltre è aumentata la complessità di tali

tool. Per esempio: creare la propria bot personale e

impostare una botnet è relativamente semplice. Non è

necessario disporre di competenze specialistiche, ma è

sufficiente scaricare i tool disponibili o addirittura il

codice sorgente. In generale, tool che una volta erano

accessibili solo a un gruppo privilegiato di “specialisti” nel

tempo sono diventati disponibili al pubblico.”

Erik de Jong, Project Manager, Govcert

Non è mai stato così semplice commettere crimini

informatici. Ci sono molte occasioni e più informazioni su

come iniziare con un semplice clic del mouse.

Con pochi secondi di ricerca online, qualsiasi persona di

qualsiasi età può accedere a vari siti e informazioni su

come introdursi illegalmente in altri computer e su altri

generi di truffe online.

Mentre la maggior parte dei contenuti online ha

alimentato uno spirito imprenditoriale e di condivisione

di informazioni e conoscenza a fin di bene, è diventato

semplice per adolescenti influenzabili, e per coloro

focalizzati a guadagnare soldi, trovare gli strumenti per

avviarsi al crimine informatico.

I tool necessari per attività di spamming e phishing sono

pubblicamente disponibili su Internet e vi si può accedere

facilmente. Le aziende vendono elenchi di indirizzi email

a 39.95 dollari per milione per diversi utilizzi.3 Se lo si

confronta con il tasso corrente di 20 pence per nome per

mailing list tradizionali offerte da aziende fidate per un

unico invio è facile intravedere l’occasione per i criminali.

Una volta che dispongono degli indirizzi tutto ciò che

devono fare è inviare la mail “caricata” e creare il

messaggio di benvenuto che spingerà i consumatori ad

aprirlo.

“I tool on-line sono disponibili da alcuni anni ormai. I

criminali li adotteranno e li utilizzeranno in modo illecito.

Nonostante ciò continueremo a arrestare e perseguire

coloro che sono coinvolti nel crimine organizzato.

Robert Burls MSc, Detective Capo, Metropolitan Police

Computer Crime Unit

06

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

COME IL CRIMINE ORGANIZZATO STA

MODELLANDO LA PROSSIMA GENERAZIONE DI

CRIMINALI INFORMATICI

“I criminali informatici non hanno bisogno solo di

specialisti IT – hanno bisogno di persone che possono

riciclare denaro, che possono specializzarsi in furti

d’identità, qualcuno che rubi i numeri delle carte di

credito e che poi li passi a qualcun altro che produce carte

di credito false. Non si tratta certo del crimine

organizzato tradizionale dove i delinquenti si

incontravano in fumose stanze sul retro. Molti di questi

criminali informatici non si sono mai incontrati faccia a

faccia, ma solo online. Le persone vengono apertamente

reclutate su bacheche elettroniche e forum online dove il

velo dell’anonimato li rende più intrepidi nel pubblicare

informazioni.”

Dave Thomas, Section Chief, FBI Cyber Division

Sebbene i criminali organizzati abbiano meno

dell’esperienza e dell’accesso necessari per commettere

crimini informatici, dispongono del denaro per comprare

le persone per farlo al posto loro.

Ricordando le tattiche che il KGB utilizzava durante la

guerra fredda per reclutare agenti operativi, le bande

organizzate di criminali stanno utilizzando sempre più

tattiche simili per identificare e arruolare giovani studenti

esperti di internet.

Le bande organizzate di criminali stanno iniziando a

reclutare attivamente adolescenti dotati. Stanno

adottando tecniche sullo stile del KGB per arruolare

studenti e diplomati in informatica ambiziosi e stanno

mirando a membri di associazioni informatiche, studenti

di scuole specializzate in informatica e diplomati in corsi

di tecnologia IT.

Al culmine della guerra fredda, spesso i potenziali agenti

operativi del KGB venivano identificati analizzando i

giornali specializzati alla ricerca di nomi di esperti,

controllando i partecipanti a conferenze specializzate,

oppure venivano approcciati inaspettatamente nei

campus universitari.

Nelle parole dell’ex Generale Maggiore Oleg Kalugin: “Se

individuate un giovane, magari uno studente, prima che

le sue opinioni personali siano maturate completamente,

allora convincetelo a credere appieno alla vostra causa, vi

servirà fedelmente per molti anni.” 4

In alcuni casi, le bande criminali organizzate stanno

andando anche oltre per sponsorizzare desiderosi

aspiranti hacker e autori di malware a partecipare a corsi

universitari in informatica per aumentare la loro

competenza. I criminali stanno inoltre identificando

studenti universitari di altre discipline e li supportano

finanziariamente nel loro corso di studi con la prospettiva

di ingaggiarli, per poi accedere a aziende e

organizzazioni.

POTENZIALI OBIETTIVI DELLE BANDE DI

CRIMINALI INFORMATICI

Nel giugno 2006, dei ricercatori hanno intervistato 77

studenti di informatica della Purdue University, USA,

utilizzando un questionario online anonimo. Agli

studenti venne chiesto se si erano abbandonati a una

delle varie attività informatiche “deviate”, alcune delle

quali potrebbero essere considerate illegali.

Tali attività supponevano l’utilizzo della password di

un’altra persona, la lettura o la modifica dei file di altre

persone, la creazione o l’utilizzo di un virus informatico,

l’appropriazione di numeri di carte di credito e “l’utilizzo

di un dispositivo per telefonare gratuitamente”.

Il numero di studenti IT che hanno ammesso un tale

comportamento è stato alto. Su 77 studenti, 68 hanno

ammesso di essere coinvolti in un’attività che potrebbe

essere classificata come deviante. 4

07

---

DAI PURISTI AGLI SPECULATORI: LA CATENA

ALIMENTARE DEL CYBERCRIME

I criminali informatici oggi vanno da dilettanti con

competenze limitate di programmazione che si affidano a

script pre-confezionati per eseguire i loro attacchi, fino a

criminali professionisti ben formati che dispongono delle

risorse più recenti.

I DILETTANTI ALLA RICERCA DI NOTORIETÀ

Chi? Principianti con limitate capacità informatiche e

competenze di programmazione

Perché? Affamati principalmente di attenzione da parte

della stampa.

Come? Utilizzando tool e trucchi perconfezionati

LIVELLO DI PERICOLOSITÀ: MODERATO

La minaccia sta nel dare via libera agli attacchi senza

realmente comprendere come funzionano.

GLI INNOVATORI

Chi? Individui focalizzati che dedicano il loro tempo a cercare falle di sicurezza nei sistemi o a

esplorare nuovi ambienti per vedere se sono adatti per inserirvi codice malevolo

Perché? La sfida

Come? Accettando la sfida di superare le misure di protezione esistenti e cercare di introdursi

clandestinamente

LIVELLO DI PERICOLOSITÀ: BASSO

Tali puristi, l'"elite degli autori di minacce", rappresentano solo il 2% della popolazione di

hacker e autori di malware.

GLI INSIDER

Chi? Impiegati scontenti o ex-dipendenti, collaboratori e consulenti.

Perché? Vendetta o furti minori

Come? Sfruttano una sicurezza inadeguata, aiutati dal privilegio derivante dalla loro

posizione in ambito lavorativo.

LIVELLO DI PERICOLOSITÀ: ELEVATO.

Questo gruppo rappresenta un problema di sicurezza serio e in crescita.

I CRIMINALI INFORMATICI ORGANIZZATI

Chi? Delinquenti reali estremamente motivati e organizzati. Numericamente limitati ma con

una potenzialità senza limiti.

Perché? Penetrare all'interno di computer vulnerabili per raccogliere la ricompensa.

Come? Come nella maggior parte delle comunità di criminali di successo, al centro vi è un

gruppo ristretto di "cervelli" concentrati sul guadagno sfruttando qualsiasi mezzo possibile -

ma che si circondano delle risorse umane e informatiche affinché ciò accada.

LIVELLO DI PERICOLOSITÀ: ELEVATO

GLI IMITATORI

Chi? Aspiranti hacker e autori di malware

Perché? La 'celebrità' della comunità del cybercrime ha

favorito un'impennata di questi disperati che vogliono

replicare la loro formula per la gloria.

Come? Meno focalizzati sullo sviluppo di qualcosa di nuovo

e più interessati a riprodurre attacchi semplici.

LIVELLO DI PERICOLOSITÀ: MODERATO

08

---

PARTE PRIMA

CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI

CONFRONTO TRA I GIOVANI AGGRESSORI DEL

MONDO REALE E I CRIMINALI INFORMATICI

I criminali stanno sfruttando il fatto che il cyber-spazio

rappresenta un vasto dominio di opportunità globali,

virtualmente senza barriere e un minimo rischio di essere

individuati e puniti. Un consulente del Tesoro statunitense

ha affermato che il crimine informatico muove un giro

d’affari maggiore di quello dell’industria della droga,

tradizionalmente molto redditizio. 5

Mentre le forze di ordine pubblico stanno lavorando

duramente per combattere la minaccia del cybercrime,

per quanto riguarda il rapporto opportunità – rischio -

ricompensa, il crimine online si sta attualmente

dimostrando più interessante per i veri delinquenti del

tradizionale crimine organizzato.

PROFILO DI UN CORRIERE DELLA DROGA:

NOME: ETA:

Scott Rush 19

MOTIVAZIONE: METODI:

Denaro Traffico di droga. Catturato

mentre trasportava droga

dall'Australia a Bali

RICOMPENSA:

1,3 kg di eroina con

una valore

commerciale di 1

milione di dollari

RISCHI E PENA:

Accusato anche di

frode, furto e guida

in stato di ebbrezza,

Scott è stato

condannato

all'ergastolo. In

appello la condanna è

stata trasformata in

pena di morte

PROFILO DI UN AUTORE DI BOTNET:

NOME: ETA:

Jeanson James 20

Ancheta

MOTIVAZIONE: METODI:

Denaro Uso di trojan horse per

infettare e controllare i

computer prima di venderli a

aziende di adware, spyware

e spam.

RICOMPENSA:

0,15 dollari per

installazione

3.000 dollari per

botnet

60.000 dollari in 6

mesi e oltre 170.000

dollari in totale

RISCHI E PENA:

James è stato il primo autore

di botnet ad essere mai

punito,nel maggio 2006. Gli

sono stati comminati quattro

anni e nove mesi di

detenzione

09

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE

VANTAGGIO DA INTERNET

Il crimine online è cambiato in modo drastico negli ultimi

anni. I tradizionali ‘attacchi di virus’ una volta comuni a

livello globale oggi appartengono al passato. Nella prima

metà del 2004, 31 epidemie virus vennero classificate di

livello medio e superiore. Nella seconda metà del 2004 se

ne sono verificate altre 17. Il numero è sceso a 12 per

tutto il 2005 e nel 2006 non ci sono state epidemie di

simile pericolosità.

Il focus si è spostato su mezzi di attacco più mirati e

furtivi.

I criminali informatici stanno mettendo a punto i loro

mezzi di frode e le vittime cui mirano. Modificando le

loro tecniche e i loro obiettivi riescono ad evitare di

essere individuati.

I PRINCIPALI TREND DELL’ANNO

PASSATO INCLUDONO:

• Spostamento dalla camera da letto a posti pubblici per

evitare di essere individuati

• Sfruttamento dell’esplosione del nuovo fenomeno del

social networking online

• Attacco delle identità utilizzando nuove tecniche come

il phishing

• Attacchi contro le nuove tecnologie – telefoni cellulari

e dispositivi mobile

• Attacchi contro i singoli e le piccole aziende

• Collaborazione tra i criminali e creazione di famiglie

mafiose di malware

DAI SOLITARI AI CRIMINALI DEGLI

INTERNET CAFÉ

La visione stereotipata di criminali informatici ‘solitari’

che lavorano dalla loro stanza da letto non è più valida.

Oggi, vanno ricercati proprio in pubblico. Ma invece di

aprirsi si nascondono sotto un mantello invisibile.

Hacker e autori di malware hanno sempre lavorato

nascosti nelle loro abitazioni poiché avevano bisogno di

una linea telefonica per le comunicazioni via modem. Ma

Internet, la sua popolarità e la sua penetrazione, hanno

cambiato tale situazione. Possono accedere a Internet da

un internet café, dall’università, dalla biblioteca, da una

cabina telefonica, da un PDA o da un telefono cellulare –

o anche rubando larghezza di banda da qualsiasi rete wifi

non protetta che trovano nei paraggi di dove si trovano.

Utilizzando Internet da un posto pubblico, i criminali

informatici mantengono l’anonimato e evitano di essere

individuati. Molti Internet café ripuliscono i loro

computer effettuando il reboot automatico delle

macchine e cancellando tutti i file non-standard tra un

cliente e l’altro. L’anonimato è fondamentale e da un

luogo pubblico è possibile coprire le tracce in modo più

semplice.

COMUNICAZIONI FURTIVE IN SPAZI PUBBLICI

A seguito delle esplosioni a Londra il 7 luglio 2005, il

National Hi-Tech Crime Unit (NHTCU) ha contattato

JANET, il Joint Academic Network, che collega le

università, i college e le scuole dell’Inghilterra.

L’NHTCU sospettava che i terroristi avessero usato un

sistema di telecomunicazioni nel pianificare e eseguire il

loro attacco, e JANET poteva disporre di informazioni

sulla sua rete che poteva essere d’aiuto alle attività

investigative. L’NHTCU richiese che tutti i dati venissero

salvaguardati.

10

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

SOCIAL NETWORKING: COME I CRIMINALI

MIRANO ALL’ESPLOSIONE DEL FENOMENO DEL

SOCIAL NETWORKING SUL WEB

Fin dall’inizio, il web è stato spesso utilizzato come uno

strumento per incontrare nuove persone, ma nel corso

dell’ultimo anno l’interazione tra gli utenti di Internet è

aumentata enormemente.

Il Web 2.0, ovvero il modello di Internet dove i contenuti

vengono creati e condivisi, ha dato vita a alcuni dei siti

web più popolari che si siano mai visti su Internet.

Siti come MySpace, Bebo, Friendster, Facebook e LinkedIn

(un sito utilizzato per le relazioni di business) hanno

alimentato il trend del social networking.

Si tratta di un media estremamente potente e le persone

stanno iniziando a comprendere quanto possa essere

efficace per relazionarsi con gli amici o con soci d’affari

potenziali.

Per loro stessa natura, tali siti sono soggetti a

malversazioni. Esiste una fallace economia di fiducia. La

gente non offre i propri dati personali a sconosciuti per la

strada, ma la creazione di profili online significa che i

criminali di Internet possono accedere istantaneamente a

una miniera di dettagli – nomi e interessi, animali

domestici e storie di vita personale. Tutto ciò li aiuta a

assumere direttamente tali identità per defraudare o

comprendere meglio le personalità per creare phishing o

truffe hardware più mirate ed efficaci.

La possibilità di inserire musica su MySpace è stato uno

dei motivi principali del successo del sito. Bande

sconosciute hanno dimostrato che i siti di social

networking possono essere un modo efficace per

promuovere loro stessi. Artisti come Lilly Allen e Arctic

Monkeys hanno utilizzato MySpace come trampolino di

lancio.

Ma ciò rappresenta l’occasione perfetta per i criminali di

inserire spyware e adware all’interno dei download, che

possono compromettere i PC, tracciare il comportamento

online o indirizzare gli utenti verso contenuti

inappropriati. Possono addirittura essere sviluppati profili

completi per scopi illeciti.

CASE STUDY: SOCIAL ENGINEERING IN SITI PUBBLICI DI

COMUNITA’

Proprio come con i siti di relazioni sociali come MySpace,

la reale apertura di Wikipedia, che permette agli utenti di

aggiungere liberamente o modificare i contenuti

disponibili, lo hanno reso un obiettivo allettante per gli

autori di virus al fine di impiantare codice malevolo nelle

singole voci.

Nell’ottobre 2006, una parte dell’edizione tedesca di

Wikipedia venne riscritta per contenere informazioni su

una supposta nuova versione del malfamato worm

Blaster, insieme a un link a un presunto ‘fix’. In realtà, il

link puntava al malware creato per infettare i PC

Windows.

Venne inoltre inviata un’email di massa agli utenti

tedeschi di computer chiedendo loro di scaricare il fix di

sicurezza. L’email venne creata per apparire come se

provenisse realmente da Wikipedia, completa di logo

ufficiale di Wikipedia.

CASE STUDY: SOCIALMENTE INACCETTABILE

– LE TRUFFE SU MYSPACE

Nell’ottobre 2005, il worm Samy venne scoperto sul sito

della popolare community MySpace.com. Sfruttando le

vulnerabilità del sito MySpace.com, il worm aggiunse un

milioni di utenti all’elenco degli “amici” dell’autore.

Inoltre, il codice malevolo venne copiato nel profilo della

vittima, in modo che quando il profilo di quella persona

veniva consultato, l’infezione si diffondeva.

Nell’estate del 2006, un banner pubblicitario su MySpace

compromise quasi 1,1 milioni di computer. Quando gli

utenti aprivano l’immagine, all’hacker veniva permesso di

accedere al PC infetto. Il programma di installazione dello

spyware contattava un server web di lingua russa in

Turchia che tracciava i Pc su cui il programma era stato

installato. La pubblicità inoltre tentava di infettare gli

utenti di Webshots.com, un sito di condivisione di

immagini.

MySpace fu anche oggetto di una truffa di phishing nel

2006. L’attacco ebbe inizio quando gli utenti ricevettero

un link tramite un programma di instant messaging. Il

link proveniva da qualcuno presente nella loro lista di

contatti e chiedeva loro di cliccare il link su MySpace per

visualizzare delle foto. Il link portava a una pagina di

login fraudolenta di MySpace. Una volta che la vittima

aveva inserito le sue informazioni, veniva collegata in

modo trasparente alle pagine reali di MySpace. Ma nel

frattempo, tutte le loro informazioni di login diventavano

di proprietà del phisher.

11

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

TRUFFE MODERNE: COME I CRIMINALI

INGANNANO LE PERSONE TRAMITE EVENTI

D’ATTUALITA’ CHE ATTIRANO LE FOLLE

Eventi sportivi e d’informazione popolari nazionali e

internazionali attirano le folle – ma ora attraggono anche

i criminali informatici. Che si tratti di viral marketing, o di

un semplice virus, un titolo d’attualità, il link a un sito o

un download sono in grado di mietere ricompense.

La Coppa del Mondo del 2006 ha rappresentato

esattamente questo tipo d’occasione per i criminali.

Popolare, con milioni di fan affamati di informazioni in

tutto il mondo e insaziabili. Sono circolati tantissimi virus

che sfruttavano messaggi correlati all’evento; e in migliaia

hanno scaricato freneticamente fogli di calcolo

segnapunti e screensaver rivelando così ai criminali, in

modo pressoché istantaneo e insospettato, la presenza di

centinaia di migliaia di computer.

LE SVENTURE DELLA COPPA DEL MONDO –

CRIMINALI 3: CONSUMATORI: 0

Gli autori di virus si sono lanciati in attacchi sfruttando la

frenesia intorno al calcio cercando di guadagnare dai

tifosi sportivi. Nel maggio 2006, un trojan horse

cammuffato da tabellone della Coppa del Mondo venne

diffuso tramite un’email spam. Era mirata a colpire

specificamente i madrelingua tedeschi.

Un altro attacco virus infettò i file Microsoft Excel

presentandosi come uno spreadsheet con le classifiche

delle nazionali partecipanti alla Coppa del Mondo.

Un’analisi delle pagine salvaschermo associate alla Coppa

del Mondo ha evidenziato che su un’alta percentuale di

siti erano stati caricati adware, spyware e download

malevoli. Tra le squadre, Angola (24%), Brasile (17.2%) e

Portogallo (16.2%) hanno percentuali particolarmente

elevate, mentre tra i giocatori le superstar Cristiano

Ronaldo del Portogallo, David Beckham dell’Inghilterra e

Ronaldinho del Brasile hanno rappresentato un pericolo

significativo per i fan.

FURTO D’IDENTITA’: RUBARE INFORMAZIONI

PERSONALI PER FRODARE

C’è stato un drammatico aumento nei metodi di raccolta

utilizzati dai criminali per rubare informazioni

identificative personali.

“Le vittime di furti d’identità legati al malware perdono

COMPLETAMENTE la loro privacy e c’è un’elevata

probabilità che perdano anche cifre cospicue di denaro.

Potrebbero anche venire involontariamente coinvolti in

atti criminosi a causa dell’uso improprio della loro

identità.”

Christoph Fischer, General Manager di BFK edv-consulting

GmbH

12

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

KEYLOGGING

Gli hacker utilizzano programmi keylogger per

raccogliere di nascosto le digitazioni sulla tastiera di

vittime inconsapevoli che utilizzano chat room online e

programmi di instant messaging che li rendono

vulnerabili. All’attivazione, l’hacker può raccogliere tutte

le informazioni che l’utente ha inserito online, inclusi i

dati personali utilizzati nelle transazioni online. Un’ampia

parte di questi dati vengono trasmessi in tutto il mondo

in nazioni dove è più difficile per la legge intervenire.

L’esecutore quindi utilizza tali informazioni per assumere

un’identità e ottenere accesso alle carte di credito.

Secondo l’FBI: “Il furto d’identità costa alle aziende e ai

consumatori americani 50 miliardi di dollari all’anno,

causa incalcolabili preoccupazioni a circa 10 milioni di

vittime statunitensi ogni anno e rende più semplice per

terroristi e spie lanciare attacchi contro la nostra

nazione.” 1

Di conseguenza, nel giugno 2006, l’FBI si è unito a

aziende, mondo accademico e leader del governo

nell’annunciare il nuovo Center for Identity Management

and Information Protection (CIMIP) per combattere la

crescente minaccia che le frodi e i furti legati all’identità

personale pongono per la sicurezza personale e

nazionale.

GUADAGNARE DAI RIFIUTI

I criminali informatici guadagnano utilizzando semplici

stratagemmi. Spesso le persone non si rendono molto

conto del valore delle informazioni che gettano via. I

delinquenti scovavano informazioni riservate rovistando

nella spazzatura; oggi i criminali informatici hanno

capito che quando i computer vengono gettati via, molto

spesso, contengono ancora un patrimonio di file e dati

che possono essere utilizzati per conseguire un guadagno

economico o perpetrare truffe.

CASE STUDY: GETTARE VIA

INFORMAZIONI RISERVATE

Nell’aprile 2005, un hard disk della polizia di

Brandenburg, in Germania, fece la sua apparizione su

ebay. Fu così possibile accedere appieno a documenti

riservati della polizia come piani di allerta interni per

situazioni estreme come dirottamenti e rapimento di

ostaggi. C’erano anche elenchi di nominativi sull’hard

disk che mostravano l’equipaggiamento dei gruppi di

crisis management, configurazioni, ordini e analitica:

informazioni che potrebbero essere molto utili a

criminali di vario livello, non ultimi i terroristi.

13

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

GIOCHI PSICOLOGICI: COME I CRIMINALI

UTILIZZANO MEZZI SEMPRE PIU’ AMBIGUI PER

INGANNARE LE PERSONE E SPINGERLE A

CONSEGNARE DENARO E INFORMAZIONI

Mentre i criminali informatici continuano a sferrare

attacchi continui contro le principali istituzioni , la

maggior parte ha adottato metodi più acuti e efficaci che

introducono giochi psicologici e tecniche di social

engineering che svelano non solo grandi quantità di dati

ma identità complete.

I NUMERI DEL PHISHING

• 17.000 segnalazioni di phishing al mese nel 2006 2

• 40% in lingua non inglese 3

• il 90% delle persone ancora non riconosce pezzi di

pishing ben creati 4

Il Phishing – ovvero l’atto di inviare e-mail a un utente

facendo finta di essere un’azienda legittima nel tentativo

di truffare l’utente e costringerlo a fornire informazioni

private che verranno poi utilizzate per furti d’identità – è

in aumento. Ma la natura degli attacchi di phishing è in

costante cambiamento.

Lo scorso anno, McAfee ha rilevato un aumento delle

email di phishing di circa il 25%. Gli impostori continuano

a colpire banche di alto profilo, istituzioni finanziarie e

siti di e-commerce come hanno sempre fatto ma stanno

modificando il contenuto delle email di phishing

passando da truffe del tipo ‘aggiorna i tuoi dettagli

immediatamente’ a messaggi più differenziati e diretti.

Oltre ad attaccare queste aziende molto note, tali

impostori colpiscono sempre più le piccole istituzioni

finanziarie europee e americane, e gli obiettivi cambiano

praticamente ogni giorno.

“Mentre i virus e i worm contagiosi sono diminuiti –

principalmente come conseguenza della disponibilità di

tool migliori per il rilevamento e la rimozione – phishing

e pharming sono diventati i mezzi principali di attacco,

specialmente quelli che mirano a colpire le banche.”

Professor Klaus Brunnstein, Università di Amburgo

Anche i phishing di e-commerce sono diventati più diretti.

La maggior parte del phishing mirato a siti di aste online

popolari appare come se fosse stato spedito da un altro

utente piuttosto che da un sito di aste. Per esempio, molti

dei phising dei nostri giorni sono messaggi fasulli che

affermano che avete acquistato un articolo e non avete

pagato, o che l’altro utente ha presentato un reclamo

contro di voi o sta richiedendo informazioni su un articolo

in vendita.

Nel febbraio 2006, i diversi phishing del tipo “aggiorna i

dati del tuo account” hanno rappresentato il 90% del

phishing su ebay - mentre il 10% era di altro tipo - ora è

meno del 50%.

Un attacco meno pericoloso arriva con il crescente

numero di messaggi di spear-phishing. Tali messaggi

sembrano arrivare dai datori di lavoro o dai colleghi che

verosimilmente potrebbero inviare comunicazioni IT e

richiedere nomi utente o password. Ma la verità è che le

informazioni del mittente dell’email sono state

cammuffate per ottenere l’accesso all’intero sistema

informatico dell’azienda.

14

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

LE MINACCE MOBILE: COME I CRIMINALI

SFRUTTANO LA NUOVA TECNOLOGIA

Lo “SMiShing” (phishing tramite SMS), è un fenomeno

recente che prende i concetti e le tecniche del phishing

via email e li traduce in messaggi di testo.

Ad oggi si sono verificati pochi episodi di tale attività ma

la natura degli attacchi attuali suggerisce che la maggior

parte sia stata scritta da script kiddies che cercano di far sì

che il nuovo codice venga eseguito in modo standard. Ora

lo SmiShing è diventato parte del toolkit del crimine

informatico, e ci sarà un aumento significativo di tentativi

nei prossimi mesi.

Poiché dipendiamo sempre più dai nostri dispositivi

mobile personali a casa e in ufficio, lo SmiShing

rappresenta un chiaro indicatore del fatto che i telefoni

cellulari e i dispositivi mobile verranno sempre più

utilizzati da autori di malware, virus e truffe.

CASE STUDY: SMISHING

L’agosto 2006 ha visto il primo esempio di minaccia che si

sposta dall’ambiente PC all’universo mobile con un

attacco che è partito come semplice worm mass mailing

ma che si è poi trasformato in un attacco di SMiShing.

La minaccia era indirizzata contro due dei principali

operatori telefonici mobile in Spagna, tramite l’invio di

messaggi SMiSh gratuiti tramite numerosi telefonici

generati casualmente attraverso il gateway del servizio

Email-to-SMS degli operatori e volti a colpire in modo

specifico i dispositivi Nokia Series 60.

Tale attacco cercava di spingere la vittima a scaricare

software anti-virus gratuito dall’operatore. Gli utenti che

scaricavano e installavano il software dal link venivano

infettati dal malware.

La maggior parte del codice era in spagnolo con alcuni

commenti in tedesco, a dimostrazione del fatto che il

cybercrime non conosce frontiere.

VECCHI ESPEDIENTI SI AGGIORNANO – LO SPAM

SFRUTTA LE IMMAGINI

Lo spam continua a rimanere una delle principali sfide

odierne per gli utenti di Internet, le aziende e i service

provider – con il costo dello spam che va a influenzare la

larghezza di banda, la produttività dei dipendenti e i

tempi di consegna delle email. Gli spammer continuano a

utilizzare nuovi stratagemmi per evitare di essere rilevati

e aprono nuovi flussi di fatturato.

Lo spam di immagini è cresciuto considerevolmente e

diverse tipologie di spam – tipicamente speculazioni

azionarie, spam di medicinali e lauree - vengono oggi

inviate come immagini invece che sottoforma di testo.

Nell’ottobre 2006, lo spam di immagini ha rappresentato

oltre il 40% dello spam totale ricevuto, rispetto a meno

del’10% di un anno fa. Lo spam basato su immagini ha

una dimensione tipica che è tre volte maggiore a quella

di spam basato su testo, perciò si tratta di un aumento

significativo nella larghezza di banda utilizzata dai

messaggi di spam classici.

Tradizionalmente, gli spammer hanno utilizzato domini di

primo livello (top level domain, TLD) molto conosciuti

come .com, .biz o .info. Ma ora, utilizzando domini di

primo livello di isolette microscopiche, come .im dell’Isola

di Man in Inghilterra, gli spammer cercano di evitare il

rilevamento utilizzando domini sconosciuti ai filtri spam.

Questo trend è stato soprannominato ‘spam islandhopping’.

15

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

COME GLI UTENTI DOMESTICI SONO DIVENTATI

L’OBIETTIVO PREFERITO DEI CRIMINALI

Nel Report McAfee sulla criminologia virtuale del 2005

veniva spiegato come si fosse verificato un enorme

incremento delle estorsioni indirizzate principalmente

contro aziende che dipendono da Internet per la loro

attività.

Il report evidenziava come, utilizzando migliaia di

computer infettati da codice malevolo in tutto il mondo, i

criminali fossero in grado di schierare ‘eserciti di bot-net’

per bombardare i siti web aziendali bloccando tutte le

transazioni reali e le comunità – attacco noto anche

come distributed denial-of-service (DDoS).

Il report evidenziava inoltre come i criminali colpivano i

siti di scommesse online visto l’elevato volume di

transazioni esclusivamente online.

Nel 2005, l’OCLCTIC (Office Central de Lutte contre la

Criminalité liée aux Technologies de l’Information et de la

Communication) ha indagato sul 48% di crimini aziendali

in più rispetto all’anno precedente. Il numero di persone

accusate e perseguite è cresciuto del 30%.

L’aumento delle indagini criminali può essere spiegato in

parte dalla crescita del numero di attività criminali quali

ricatti, razzismo e estorsioni. 5

Oggi tale tipologia di estorsioni e attacchi distributed

denial-of-service (DDoS) che utilizzano le botnet vengono

impiegati dai criminali per colpire gli utenti di PC

domestici. I ricattatori stanno cercando sempre più di

attirare utenti domestici non molto esperti. I consumatori

memorizzano sempre più documenti finanziari e riservati

– dettagli bancari, file di lavoro – e con un valore

sentimentale – foto e musica – e i delinquenti hanno

capito che sono disposti a pagare pur di recuperarli in

caso di furto.

CASE STUDY: SOTTO RICATTO

Nel maggio 2006, Helen Barrow, un’infermiera di 40 anni

di Rochdale in Inghilterra, scoprì che i file presenti sul suo

computer erano spariti ed erano stati sostituiti da una

cartella protetta con una password di 30 caratteri.

Trovò inoltre un nuovo file denominato “istruzioni su

come riavere i tuoi file “. Aprendolo, la signora Barrow

trovò la password per sbloccare la cartella cifrata che

conteneva i suoi file che le sarebbero stati restituiti dopo

aver pagato per l’acquisto di medicinali da una farmacia

online. La signora Barrow contattò la polizia e un esperto

IT che riuscì a recuperare alcuni dei suoi file, tra cui il

programma e le attività del corso per il suo diploma di

infermiera.

“Quando ho realizzato cosa era successo, mi sono sentita

colpita nel profondo,” ha affermato Helen. ”…Sul

computer avevo moltissime fotografie di famiglia e

lettere personali e pensare che altre persone avrebbero

potuto vederle è stato terribile.”

Fortunatamente, la password di questo attacco

particolare era stata resa pubblicamente disponibile dagli

operatori della sicurezza, ma il trend implicito è

preoccupante.

ESERCITI GLOBALI DI BOTNET

Botnet è il termine gergale per una raccolta di robot

software, o bot, che opera in modo autonomo.

ALCUNI DATI SULLE BOTNET

• I BOT IRC sono cresciuti dal 3% al 22% di tutto il

malware (2004 - 2006)

• I costi di protezione possono essere superiori a quelli di

riscatto

“Di gran lunga la principale minaccia emergente è

rappresentata dalle Botnet e stiamo inoltre assistendo a

una maggiore complessità della natura del codice

malevolo. Per esempio, certi malware hanno la capacità di

implementare keystroke-logger, che raccolgono le

password memorizzate e effettuano degli screenshot dei

sistemi infettati. Tali tecniche consentono ai criminali di

ottenere profili completi dell’identità delle vittime oltre a

accedere ai loro dati finanziari e personali.”

Robert Burls MSc, Detective Capo, Metropolitan Police

Computer Crime Unit

Nel report McAfee del 2005 sulla criminologia virtuale si

evidenziava come le botnet (reti di robot) stessero

diventando il metodo preferito dei criminali. Le bande del

crimine organizzato reclutavano script kiddies per

implementare un numero elevato di minacce

asimmetriche simultaneamente sul sito web di

un’azienda.

Come previsto l’anno scorso, si è verificato un aumento

significativo delle botnet e oggi rappresentano l’arma

preferita dei criminali informatici, utilizzata per progetti

di phishing, spam illegale, furto di password e identità e

diffusione di materiale pornografico.

Almeno 12 milioni di computer in tutto il mondo sono

oggi compromessi.

16

---

PARTE SECONDA

IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET

COLLABORAZIONI CRIMINALI & FAMIGLIE

MAFIOSE DI MALWARE

LE TECNICHE OPEN SOURCE

La crescita delle bot è dovuta a due fattori —

motivazione finanziaria e disponibilità di codice sorgente.

Senza incentivi finanziari, ci sarebbero molte meno

varianti. Per esempio, la famiglia Mydoom,

economicamente neutra, ha molte meno varianti di

qualsiasi altra famiglia di bot. E senza la condivisione di

codice sorgente su larga scala, non vedremmo l’enorme

quantità di famiglie esistenti oggi.

Gli autori di bot utilizzano sempre più tecniche di

sviluppo open source, quali autori multipli, release a

seguito di bug fix, modifiche delle caratteristiche a

pagamento e riutilizzo dei moduli. Un virus o un trojan

solitamente vengono scritti da un unico autore che ha il

completo controllo delle funzioni e delle tempistiche

degli aggiornamenti della release. I bot, comunque, sono

diversi; la maggior parte dei bot sono scritti da più autori

diversi.

L’impiego di una tecnologia di sviluppo professionale

rappresenta un cambio importante per l’evoluzione del

malware. Tale forma di collaborazione renderà le botnet

più solide e affidabili – e l’essere in grado di offrire ai

clienti un ROI garantito porterà a una crescita esplosiva

del mercato dei bot e del malware in generale nei

prossimi anni.

I bot continueranno a spingere al limite la progettazione

del malware.

AFFILIAZIONI E FAMIGLIE DI ADWAREI DATI

RELATIVI ALL’ADWARE

• Tutti i principali motori di ricerca forniscono come

risultato siti pericolosi quando si utilizzano parole

chiave di ricerca popolari

• Tra il 2000 e il 2002, esistevano solo 10 famiglie di

adware. Nel maggio 2006, erano presenti 700 famiglie

di adware con oltre 6.000 varianti

• I distributori più prolifici di adware sono al momento

attuale i siti di divi/celebrità, e non, come è opinione

comune, i siti web pornografici o per soli adulti.

Spyware e adware sono solitamente creati e

commercializzati da entità aziendali legali per fini

specifici pubblicitari e di ricerche di mercato. Inizialmente

si installano sulla macchina di un utente, spesso come

compenso per un software “gratuito”, raccogliendo dati

di marketing e distribuendo pubblicità mirata.

La nascita di modelli di marketing di affiliazione online

redditizi, dove gli inserzionisti condividono i profitti con

altri siti web che presentano pubblicità e contenuti creati

per indirizzare il traffico sul sito dell’inserzionista, ha

aperto nuove opportunità. Gi hacker abusano del sistema

impossessandosi di denaro in modo fraudolento in qualità

di affiliato, poi si introducono nei computer senza il

permesso del proprietario. Modificando i tempi di

download e la velocità delle installazioni di adware, oltre

al reindirizzamento dei computer compromessi tra vari

server, gli hacker possono evitare l’individuazione delle

aziende di pubblicità affiliate che li pagano per ogni

installazione.

CASE STUDY: LA BATTAGLIA INTERNAZIONALE

CONTRO LE BOTNET

Un uomo di 63 anni nel Suffolk, un ventottenne in Scozia

e un diciannovenne in Finlandia sono stati arrestati il 27

giugno 2006 in relazione a una cospirazione

internazionale volta a infettare i computer utilizzando le

botnet. La Metropolitan Computer Crime Unit, il Finnish

National Bureau of Investigation (NBI Finland) e il Finnish

Pori Police Department hanno collaborato per arrestare

costoro, tutti indiziati di essere membri della banda

criminale M00P.

Si ritiene che la gang di criminali M00P abbia derivato il

proprio nome da un episodio del cartone animato South

Park in cui i protagonisti fondavano una banda che si

chiamava ‘

CASE STUDY: IL MARKETING DEGLI HACKER

Majy, un hacker, è stato pagato 0.20 dollari per

installazione sui computer negli Stati Uniti e 0.05 dollari

per installazione sui computer in 16 altre nazioni tra cui

Francia, Germania e il Regno Unito.

Ha ricevuto denaro da una moltitudine di aziende di

marketing per affiliazione tra cui TopConverting,

GammaCash e LOUDcash.

La distribuzione di adware è anche un chiaro esempio

proprio di come sono interconnessi oggi i criminali

informatici. Si ritiene che la maggior parte di adware e

spyware sia il risultato di un’unica grande organizzazione

distribuita ma interconnessa.

Le attività criminali clandestine hanno in molti casi visto

coinvolte molte aziende di distribuzione di adware spesso

collegate reciprocamente da accordi con vari livelli di

segretezza e alcuni siti che cambiano regolarmente nome:

ciò significa che il guadagno è elevato mentre il

rilevamento è praticamente impossibile.

17

---

PARTE TERZA

GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE

I criminali non possono colpire se non c’è l’occasione. La

rapida evoluzione della tecnologia e gli sforzi di

consumatori e aziende per tenere il passo significa che le

loro prospettive di guadagno crescono velocemente.

In termini di preoccupazioni per la sicurezza informatica

aziendale, in cima all’elenco oggi c’è lo spyware e il furto

di dati tramite dispositivi come gli stick USB. Virus,

firewall e spam vengono, in buona parte, compresi e

tenuti sotto controllo. Ma la rilevazione dello spyware in

modo centralizzato e il controllo dell’utilizzo di chiavette

USB è una reale preoccupazione per le aziende, grandi o

piccole che siano, dal punto di vista di furti e

riservatezza.

“Una delle principali sfide per il mondo odierno, così

ricco di contenuti, è quella di trarre il massimo dalla

tecnologia. La tecnologia rappresenta un’occasione per

gli aggressori ma anche un’opportunità per prevenire

atti criminali. Ho un’estrema fiducia nella tecnologia ma

non altrettanta nel fatto che gli esseri umani la utilizzino

nella giusta maniera.”

Professor Martin Gill - Director of Perpetuity Research and

Consultancy International e Professore di Criminologia presso

l’Università di Leicester

LE MINACCE INTERNE

La maggior parte delle aziende considera le minacce alla

sicurezza da una prospettiva esterno-interno. Ci sono,

invece, varie minacce emergenti significative che non

vengono introdotte da fonti esterne sconosciute, ma dagli

stessi dipendenti.

L’ignoranza e la negligenza dei dipendenti sul posto di

lavoro sta aprendo falle che i criminali informatici sono

pronti a sfruttare. La mancanza di attenzione e

consapevolezza in termini di sicurezza da parte dei

dipendenti porta un elevato livello di rischio che

malware, virus, worm e Trojan si diffondano sulla rete

aziendale. Ci vogliono solo pochi secondi perché un

dipendente colleghi un laptop o un PDA non protetto alla

rete dell’ufficio esponendo così l’intero ambiente a una

possibile infezione. Pochi comprendono che il loro laptop

aziendale potrebbe non disporre dei più recenti

aggiornamenti di sicurezza. Inoltre, gli impiegati spesso

scavalcano le procedure di sicurezza della loro azienda

collegando i propri dispositivi, quali iPod, chiavette USB e

macchine fotografiche digitali.

QUALCHE DATO SUGLI INSIDER

• Circa un quarto dei lavoratori professionisti europei

collegano i loro dispositivi personali o gadget alla rete

aziendali tutti i giorni

• Circa un quarto dei lavoratori europei utilizza il laptop

aziendale per collegarsi a internet da casa

• Uno sbalorditivo 42% di impiegati italiani permette ad

amici e familiari di utilizzare il laptop e i pc aziendali

per collegarsi a internet

• Un impiegato spagnolo su cinque scarica contenuti

inappropriati sul posto di lavoro

18

---

PARTE TERZA

GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE

FUORIUSCITA DI DATI

Una delle principali minacce per le aziende è la facilità

con cui i dati e le informazioni essere possono sottratte

all’azienda. I criminali sono consapevoli del fatto che

dispositivi rimovibili non protetti come le chiavette USB

sono un semplice mezzo per trasportare fuori dal luogo di

lavoro informazioni riservate e preziose da un punto di

vista finanziario.

I criminali mirano attivamente ai dipendenti o

sponsorizzano studenti universitari. Un ‘insider’ mette

nelle loro mani una gran quantità di informazioni, che

vengono trasferite in modo semplice e non individuabile.

Quindi si tengono i dati per richiedere un riscatto o per

venderli al miglior offerente.

Tale minaccia peggiorerà con la nascita di stick U3 - se

non vengono protetti. Questi dispositivi di nuova

generazione possono essere avviati più facilmente e

possono contenere applicazioni installate che possono

essere utilizzate direttamente dalla chiavetta stessa, il che

significa che è possibile avere il Pc nella propria mano – o

in quella di qualcun altro!

SPIONAGGIO AZIENDALE

Lo spionaggio industriale è un grosso affare. I dati spesso

hanno un valore inestimabile e possono rappresentare la

vita o la morte di un’azienda. Rubare segreti commerciali

– informazioni o contatti – è una miniera d’oro redditizia

per i criminali informatici. Oltre a sfruttare la fuoriuscita

di dati tramite nuove tecnologie e dispositivi, i criminali

stanno individuando nuovi modi per utilizzare programmi

keylogger per ottenere password, leggere e-mail e tenere

traccia dell’attività dell’utente. Gli autori di spyware

utilizzano anche i trojan per accedere ai computer da

remoto e eseguire codice per avere accesso in modo

immediato alle informazioni.

“Crediamo che gli attacchi mirati continueranno a

crescere numericamente, sia per quanto riguarda le

aziende che le pubbliche amministrazioni (spionaggio

industriale e politico). Stiamo rilevando l’utilizzo di

applicazioni office combinate con tecniche di social

engineering come vettori.”

Erik de Jong, Govcert

CASE STUDY: TRASFERIMENTO DI INFORMAZIONI

RISERVATE E COMPATTE

Nel 2006, un drive flash da 1GB pieno di informazioni

segrete dell’esercito statunitense venne apparentemente

smarrito e in seguito venduto in un bazaar afgano fuori

da una base aerea statunitense.

Il drive di memoria flash, che un adolescente ha venduto

per 40 dollari, conteneva valutazioni di documenti militari

classificati come “segreti”, che descrivevano metodi di

raccolta di intelligence e informazioni – tra cui vie di fuga

in Pakistan, la sede di una casa sicura sospetta e il

pagamento di 50 dollari di taglia per ogni Talebano o

guerrigliero di Al Qaeda catturato sulla base

dell’intelligence d’origine.

19

---

PARTE QUARTA

LE SFIDE FUTURE

“Finché i sistemi client/server e i metodi di accesso a

Internet di base rimarranno intrinsecamente insicuri, non

c’è alcuna speranza che l’attività criminale possa

diminuire.”

Professor Klaus Brunnstein, Università di Amburgo

La crescente ingegnosità dei criminali informatici

rappresenta una sfida seria per consumatori, aziende e

forze dell’ordine. Come gli hacker, i criminali organizzati

sono alla ricerca della prossima opportunità da sfruttare.

Sono stati fatti molti sforzi per educare gli utenti,

focalizzandosi sull’aumento della consapevolezza e

incoraggiandoli a non farsi abbindolare e rivelare

informazioni personali come le password.

L’uso della banda larga diventa sempre più diffuso, e

l’essere sempre connessi significa anche che gli utenti

sono potenzialmente sempre in pericolo. Man mano che

chip e relativi pin diventeranno uno standard per le carte

di credito, i criminali cercheranno dei modi per fare soldi

in modo fraudolento tramite le transazioni online.

Internet è oggi il luogo d’incontro comune per le gang

del crimine organizzato.

McAfee ritiene che i seguenti siano i principali trend nel

settore della sicurezza informatica che aziende e

consumatori dovranno tenere sotto controllo nei prossimi

12 mesi:

DISPONIBILITÀ DI PC A BASSO COSTO

Computer non protetti o poco protetti sono la nuova

valuta del crimine organizzato. La maggior parte delle

aziende o dei consumatori che comprendono il valore

della sempre maggior quantità di contenuti sui loro

computer adotteranno misure preventive per essere certi

di essere al sicuro da occhi indiscreti, perdita o furto. Ma

con lo sviluppo della tecnologia e i progressi in termini di

ricerca per creare computer e laptop a costo bassissimo,

gli incentivi per mettere in atto tali misure saranno

sempre più trascurati, fornendo così dei facili bersagli ai

criminali che approfitteranno delle identità e delle

informazioni memorizzate.

LA CRESCITA DELLE MINACCE PER I

DISPOSITIVI MOBILE

I dispositivi mobile rappresentano una serie sfida per la

sicurezza dei dati, con connessioni sempre più potenti, il

crescente volume di dati memorizzati e l’enorme

potenziale di infettare sia reti personali che aziendali.

La crescita del malware volto a colpire la telefonia mobile

è preoccupante. Le cifre sono ancora contenute, intorno

ai 300, e i tassi di crescita sono spesso esagerati, ma

nessuno può negare che tali cifre aumenteranno. Sono

già stati registrati esempi di malware mobile a fini

economici, e quando il telefono si affermerà come mezzo

standard per trasferire denaro, il ritmo degli attacchi

esploderà.

Inoltre, i telefoni cellulari moderni (“smartphone”) sono

in buona sostanza dei computer portatili in miniatura,

che portano con sé tutti gli stessi rischi associati

all’evoluzione della tecnologia: virus, spam, phishing (o

SMiShing), e persone che si appropriano di dati da

dispositivi smarriti, rubati, riciclati o rivenduti.

Precedentemente in questo report abbiamo evidenziato i

rischi di fuoriscita delle informazioni e i furti di identità

perché non si sono eliminati in modo accurato i file prima

di sbarazzarsi di un computer, ma lo stesso vale per i

dispositivi mobile che contengono contatti, fotografie,

email, file o informazioni riservate. Infatti è già stata

segnalata la fuoriuscita o il furto di dati anche su

dispositivi online.

20

---

PARTE QUARTA

LE SFIDE FUTURE

Le vendite di smartphone sono aumentate del 75,5% lo

scorso anno, raggiungendo i 37,4 milioni di unità, e

aumenteranno di un ulteriore 66% nel corso del 2006. 1

La sempre maggior diffusione di dispositivi mobile

multifunzione che utilizziamo come un naturale

accessorio di vita quotidiano per collegarci in modo

efficace, li rende un obiettivo estremamente reale per

i cyber-ladri di dati e identità.

LO SFRUTTAMENTO DI CHIAMATE

TELEFONICHE INTERNET

Si prevede un aumento degli abbonati complessivi al

servizio VoIP dai 16 milioni del 2005 a oltre 55 milioni del

2009 a livello mondiale. 2

L’introduzione del VoIP sulle reti

aziendali introdurrà un altro punto di ingresso da

sfruttare da parte degli aggressori – ovvero la prossima

generazione di attacco tramite telefono.

LA CRESCITA DEI DISPOSITIVI MULTIMEDIALI

L’integrazione tecnologica porta con sé anche dei rischi.

Tale rischio è aumentato dal fatto che la maggior parte

degli utenti non riesce a comprendere a fondo le

funzionalità e possibilità complete delle tecnologie, e non

le apprezza o protegge contro le minacce di sicurezza.

INFEZIONI IMPERCETTIBILI TRAMITE FENOMENI

DI SOCIAL NETWORKING COME IL BLOGGING

Aziende e singoli hanno creato e letto sempre più blog

negli ultimi 12 mesi e anche questo fattore presenta dei

rischi. Milioni di giovani pubblicano diari online che sono

aperti a chiunque navighi sul web; ciò significa che le

informazioni personali sono pubbliche e disponibili per

quei ladri d’identità che cercano di costruire i loro profili

fasulli.

Inoltre, i consumatori che utilizzano servizi web come

logline o browser web come Firefox per visualizzare news

feed e blog sono esposti al rischio di codice malevolo

embedded che può installare spyware, parole chiave di

log e password e analizzare le reti e i PC alla ricerca di

porte aperte.

21

---

GLI ESPERTI IN CYBERCRIME E LE

AGENZIE DI ORDINE PUBBLICO:

STATI UNITI:

CYBER DIVISION DELL’FBI

La missione della divisione informatica dell’FBI è

quadruplice: la prima e più importante, bloccare coloro

che stanno dietro le più gravi intrusioni informatiche e la

diffusione di codice malevolo; la seconda, identificare e

combattere i predatori sessuali online che utilizzano

Internet per incontrare e sfruttare bambini e produrre,

condividere o possedere pornografia infantile; la terza,

contrapporsi alle operazioni volte a colpire la proprietà

intellettuale degli Stati Uniti che mettono in pericolo la

sicurezza e la competitività nazionale; e la quarta,

smantellare associazioni criminali organizzate nazionali e

transnazionali coinvolte in frodi Internet.

INGHILTERRA:

METROPOLITAN POLICE COMPUTER CRIME UNIT

L’Unità Crimini Informatici è un centro di eccellenza

relativamente a crimini informatici perpetrati in base al

Computer Misuse Act 1990, ovvero hacking, virus creati e

diffusi a fini dolosi e software contraffatto. L’unità offre

un ufficiale di servizio dedicato alla computer forensic e

fornisce consulenza sul recupero di prove dai computer

agli ufficiali.

PROFESSOR MARTIN GILL

Director of Perpetuity Research and Consultancy

International e Professore di Criminologia presso

l’Università di Leicester

Il professor Martin Gill ha pubblicato oltre 100 articoli su

giornali e riviste e 11 libri tra cui Commercial Robbery,

CCTV e Managing Security. E’ co-direttore del Security

Journal e direttore fondatore di Risk Management: an

International Journal. Martin Gill è un Membro del The

Security Institute, membro del Risk and Security

Management Forum, Security Guild (e perciò un cittadino

onorario della Città di Londra), ASIS International

Foundation Board, rappresentante d’oltreoceano dell’ASIS

International Academic Programs Committee e dell’ASIS

International Security Body of Knowledge Task Force. Con

i colleghi del PRCI è attualmente coinvolto in una serie di

progetti collegati a diversi aspetti del crimine nell’ambito

della sicurezza di aziende e privati, tra cui furti in negozi,

frodi, slealtà dello staff, riduzione dei furti con scasso,

rapine, l’efficacia delle misure di sicurezza, riciclaggio di

denaro, sorveglianza, violenza sul posto di lavoro, solo

per nominarne alcuni.

GERMANIA:

PROFESSOR KLAUS BRUNNSTEIN

Professore di Information Technology presso

l’Università di Amburgo

Il professor Brunnstein è Presidente del consiglio del

“Notfall-Rechenzentrums für Großrechner in Banken,

Versicherungen und Industrie” di Amburgo, un ruolo che

ricopre dal 1983. Le sue aree di specializzazione sono la

protezione dei dati, la sicurezza IT e i virus informatici.

Precedentemente, il professor Brunnstein è stato membro

della presidenza di GI (Gesellschaft für Informatik) dal

1996 al 2001 e attualmente ricopre ancora il ruolo di

Presidente dell’International Federation for Information

Processing (IFIP).

CHRISTOPH FISCHER

General Manager di BFK edv-consulting GmbH

Christoph Fischer è il general manager di BFK edvconsulting

GmbH. Vanta oltre 20 anni di esperienza

nell’area della sicurezza informatica, ed è specializzato

nella creazione e test dei concetti di sicurezza. E’ membro

delle seguenti organizzazioni: EICAR, FIRST, Cybercop

Forum e EECTF. Christoph Fischer ha studiato all’Università

di Karlsruhe (TH).

OLANDA:

GOVCERT.NL

Il GOVCERT.NL è il Computer Emergency Response Team

del Governo olandese. Istituito dal Ministero dell’Interno

e Relazioni con il Governo e operativo ufficialmente dal 5

giugno 2002, supporta il governo nel prevenire e gestire

gli eventi di sicurezza informatica

Il GOVCERT.NL opera in modo indipendente dai fornitori

come organizzazione governativa, e fa parte dell’ICTU,

l’ente olandese per l’information & communication

technology nel settore pubblico.

22

---

REFERENZE

PARTE PRIMA

1 Fonte: Robert Schifreen, autore di Defeating the Hacker, derivante dalla ricerca condotta online nel periodo Giugno-Settembre 2006

2 Da un’intervista con Tom Zeller Jr. del New York

Times:http://www.nytimes.com/2006/07/04/us/04identity.html?pagewanted=3&ei=5088&en=18bc230a1ae1ba06&ex=1309665600&adxnnl=0&partner=rssnyt&em

c=rss&adxnnlx=1162985316-o1mmMf67Bb0R8vQ8wCG6QQ

3 Fonte: Robert Schifreen, autore di Defeating the Hacker, derivante dalla ricerca condotta online nel periodo Giugno-Settembre 2006

4 Fonte: articolo sull’Arruolamento della Stasi di Jamie Dettmer: http://findarticles.com/p/articles/mi_m1571/is_38_15/ai_56904965 (consultato il 17 luglio 2006)

5 Da un’intervista con l’informatico Marcus Rogers del John Jay College, New York: http://www.newscientisttech.com/article.ns?id=dn9619&feedId=onlinenews_rss20.

(consultato il 28 luglio 2006)

Da un’intervista con Valerie McNiven, consulente del Governo statunitense sul cybercrime: http://www.theregister.co.uk/2005/11/29/cybercrime/ (consultato il

4 giugno 2006)

PARTE SECONDA

1 Dati tratti dal sito web dell’FBI: http://www.fbi.gov/page2/june06/cimip062806.htm (consultato il 4 luglio 2006)

2 Dati tratti da Secure Computing Research citati in: http://www.itchannel.net/info/ciphertrust_messaging_security.phtml (consultato nell octtobre 2006)

3 Dati tratti da un report di RSA Security citato in: http://www.rsasecurity.com/press_release.asp?doc_id=6877&id=2682 (consultato nel giugno 2006)

4 Dati tratti da uno studio della Harvard University e della University of California: http://www.computerworld.com.au/index.php/index.php?id=217996450

(consultato nel settembre 2006)

5 Estratto di un articolo dal titolo “Les chiffres de la cybercriminalité en France” di Francois Paget, Senior Virus Research Engineer, McAfee Avert Labs.

Settembre 2006.

PARTE QUARTA

1 Tratto dalle statistiche di Gartner riportate dalla stampa nell’ottobre 2006: http://news.com.com/Smart-phone+sales+are+soaring/2100-1041_3-6124049.html

2 Dati di previsione In Stat: http://www.instat.com/newmk.asp?ID=1566

23