Report McAfee 2007 - Città di Torino
REPORT McAFEE SULLA
CRIMINOLOGIA VIRTUALE
IL CRIMINE ORGANIZZATO E INTERNET
Dicembre 2006
© McAfee 2006
CONTENUTI
INTRODUZIONE
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA
INTERNET
PARTE TERZA
GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE
PARTE QUARTA
LE SFIDE FUTURE
REFERENZE
01
INTRODUZIONE
Nel 2005, il report McAfee sulla criminologia virtuale
rivelò come il crimine informatico europeo si fosse
evoluto, passando semplici ragazzini appassionati di
informatica a bande organizzate di criminali informatici.
Lo studio McAfee, il primo a esaminare il crimine
organizzato e Internet, evidenziava come le bande
criminali vecchio stile fossero diventate “tecnologiche”
sostituendo le vecchie mazze da baseball con le botnet
per perpetrare crimini informatici in modo sistematico
e professionale.
E’ passato un anno, e il cybercrime rappresenta la
categoria di crimine in più rapida crescita a livello
globale.
Il crimine informatico non è più allo stadio iniziale, oggi
rappresenta un grosso business. Il crimine organizzato
trae profitto da ogni opportunità di sfruttare le nuove
tecnologie per perpetrare crimini tradizionali come frodi
e estorsioni e guadagnare denaro illegalmente. E colpisce
tanto le aziende quanto i privati.
Le bande di criminali organizzate possono anche avere
meno esperienza e accesso di quanto necessario per
commettere crimini informatici ma dispongono
dell’influenza finanziaria per acquistare le giuste
risorse e operare a un livello estremamente professionale.
UNA NUOVA GENERAZIONE MODELLATA
PER IL CYBERCRIME
La nuova ricerca evidenzia come il crimine organizzato
stia modellando una nuova generazione di criminali
informatici ambiziosi che utilizzano tattiche che
rammentano quelle utilizzate dal KGB per reclutare
agenti operativi al culmine della guerra fredda.
ADOLESCENTI DI 14 ANNI ATTRATTI DAL CULTO
DEL CYBERCRIME
Lo studio rivela inoltre come adolescenti di 14-15 anni
esperti di Internet siano attirati dal crimine informatico
per la celebrità dei criminali tecnologici e la promessa di
facili guadagni senza i rischi associati al crimine
tradizionale.
DAI SOLITARI DOMESTICI AI BAR PUBBLICI
Il rapporto esamina come i criminali informatici si stanno
spostando dalle loro stanze da letto a posti pubblici come
gli Internet café e i coffe-shop che forniscono connessione
wi-fi.
Esperti di tutto il mondo concordano sulla crescita del
cybercrime. Dave Thomas, Section Chief, Cyber Division
dell’FBI afferma “Se qualcuno legge sui giornali di altre
persone che guadagnano un sacco di soldi attraverso il
crimine informatico – e se hanno un intento criminale
– allora sicuramente prenderanno la stessa strada.”
La minaccia del crimine informatico per le aziende
e i singoli individui continua a crescere a una velocità
impressionante. Nel luglio 2006, i ricercatori di McAfee
hanno segnalato che erano state rilevate oltre 200.000
minacce online. Ci sono voluti 18 anni per raggiungere
la minaccia numero 100.000 (2004) e solo 22 mesi per
raddoppiare tale cifra. I ricercatori di McAfee prevedono
che tale cifra raddoppierà ancora in un periodo di tempo
similare; infatti, con l’evolversi del mondo online il
crimine organizzato si è reso conto della possibilità
di fare denaro tramite Internet.
Commissionato da McAfee e con la collaborazione di
Robert Schifreen, esperto autore del best seller Defeating
the Hacker, forze di ordine pubblico e esperti di
cybercrime di tutto il mondo, il secondo Report McAfee
sulla criminologia virtuale illustra come il crimine hi-tech
si sta sviluppando e analizza le minacce future che tale
attività comporta per i computer domestici, per le
infrastrutture governative e le aziende.
GREG DAY, SECURITY ANALYST, MCAFEE
E’ stato denominato Web 2.0 o la seconda ondata di
Internet. Milioni di persone stanno oggi sfruttando
internet per fare conoscenza, creare e condividere
contenuti e, sempre più, acquistare prodotti e servizi. E
così sta facendo il crimine organizzato.
Il crimine organizzato sta sfruttando il potenziale offerto
dallo spazio digitale in cui viviamo oggi per trarne un
guadagno economico. La crescente diffusione della banda
larga e delle nuove tecnologie come I servizi voice over
internet (VoIP) rappresentano nuove opportunità per i
criminali hi-tech.
E i criminali informatici non sono rimasti con le mani in
mano. Stanno sviluppanDo metodi più rapidi, furtivi e
resistenti come il cosiddetto ransomware per colpire
nuove vittime inconsapevoli come gli utenti di computer
domestici e le piccole aziende.
Nemmeno il settore della sicurezza è rimasto immobile.
I virus globali odierni come Mydoom e Sober non sono
più mezzi efficaci per causare infezioni di massa. Perciò
i criminali informatici utilizzano metodi più sofisticati e
perspicaci, ancor più difficili da individuare. Perciò,
disporre di una protezione proattiva sta diventando un
imperativo – è l’unico modo per offrire agli utenti una
fiducia assoluta.
McAfee è la principale azienda al mondo dedicata alla
sicurezza, e per questo è all’avanguardia nell’aiutare
utenti privati e aziende a comprendere meglio i rischi
che devono affrontare online – mostrando loro i modi
migliori per adottare un approccio proattivo nel
proteggere ciò che più conta per loro, inclusa la loro
identità e i beni personali quali fotografie e musica
archiviata digitalmente.
McAfee ha collaborato con esperti e enti leader in
Europa e Stati Uniti negli ultimi cinque mesi per rendere
disponibile il suo secondo studio sul crimine organizzato
e Internet. Lo studio sottolinea quanto dobbiamo essere
vigili tutti quanti dal momento che le nuove tecnologie
stimolano il nostro utilizzo di Internet offrendo però
anche nuove opportunità ai criminali informatici.
02
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
Durante lo scorso anno, governi, aziende e forze di
ordine pubblico hanno intensificato i propri sforzi per
assicurare hacker e altri autori di malware alla giustizia.
La pubblicità intorno a processi famosi e all’attività del
cybercrime ha messo il crimine informatico sotto i
riflettori dei media elevandone anche il livello di
conoscenza pubblica.
Allo stesso tempo non è mai stato così facile commettere
crimini online. Ci sono opportunità ovunque e di
conseguenza la minaccia del cybercrime è oggi
onnipresente.
I criminali vecchio-stampo sono principalmente spinti
dal desiderio di causare danni o guadagnare soldi.
Raramente un criminale rapinerà una banca, deruberà
uno straniero o rapirà una persona per sentirsi
importante o semplicemente vedere quanto è facile
farlo. Per contro, Internet ha stimolato tutte le tipologie
di comportamento criminale – alcuni per interesse
intellettuale e curiosità ma la maggior parte perché
esiste una possibilità di guadagno.
“Lo stimolo principale è l’occasione. Qualunque sia la
motivazione alla base, finanziaria o quant’altro, se ne
hanno la possibilità commetteranno il crimine. Eliminiamo
l’occasione e la motivazione diverrà meno importante. La
gente non passa tempo sufficiente a analizzare in primo
luogo perché criminali potenziali hanno l’occasione di
commettere crimini.”
Professor Martin Gill - Director of Perpetuity Research and
Consultancy International e Professore di Criminologia presso
l’Università di Leicester
03
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
IL “CULTO” DEL CYBERCRIME
“Se qualcuno legge sui giornali di altre persone che
guadagnano un sacco di soldi attraverso il crimine
informatico – e se hanno un intento criminale – allora
sicuramente prenderanno la stessa strada.”
Dave Thomas, Section Chief, Cyber Division dell’FBI
Di conseguenza il cybercrime ha creato una sorta di
seguaci del “culto”, con i delinquenti online che
diventano celebrità tra le comunità di hacker.
Autori di virus, hacker e altri autori di malware
dispongono di conferenze e seminari ben pubblicizzati
dove possono dimostrare i loro metodi per evidenziare
problemi di sicurezza potenziali. Ma oltre a rivelare
potenziali problemi di sicurezza, rendono pubbliche le
vulnerabilità e forniscono l’occasione per commettere
crimini e attività malevole.
CASE STUDY: IL “CULTO” DEI CRIMINALI
INFORMATICI - GARY MCKINNON
Gary McKinnon è stato incriminato dal tribunale
statunitense nel Novembre 2002, accusato di essere
penetrato illegalmente in oltre 90 computer dell’Esercito
Statunitense dal Regno Unito. Gary deve affrontare 70
anni di prigione ma ha un enorme seguito online di
persone che cercano di farlo uscire dal carcere e/o
reclamano la sua estradizione per sottoporlo a giudizio
e condannarlo negli Stati Uniti. Molte persone ritengono
debba essere processato in Inghilterra e restare nel
Regno Unito.
http://freegary.org.uk/
Gary afferma che l’ispirazione per diventare un hacker gli
è venuta guardando il film WarGames quando aveva 17
anni. Pensò “E’ veramente possibile farlo? E’ veramente
possibile ottenere accesso non autorizzato a posti
estremamente interessanti? Sicuramente non può essere
così semplice.” Così ci ha provato.
CYBERCRIME ALLA RIBALTA
• Defcon, il raduno annuale di hacker a Las Vegas: i
partecipanti vennero incoraggiati a forzare i propri
badge d’ingresso.
• Blackhat Security Conference: Microsoft incoraggiò gli
hacker a fare del loro meglio per colpire il suo nuovo
sistema operativo, Windows Vista.
• Hack in the Box – definita ‘la più intima delle
conferenze di hacker’
04
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
DALLA CURIOSITA’ ALLA PRIGIONE: COME GLI
ADOLESCENTI CADONO NELLA RETE
DEL CYBERCRIME
Molti giovani vengono attirati la prima volta verso il
crimine informatico dalla curiosità, dalla sfida e dalla
promessa di ottenere qualcosa per nulla. Alcuni sono
consci dell’illegalità delle proprie azioni fin dall’inizio;
altri procedono lentamente verso l’oscuro mondo della
malavita partendo da inizi apparentemente innocenti.
“I giovani hacker e i cosiddetti script kiddies vengono
coinvolti pian piano per poi essere travolti. Partono con
compiti molto semplici per poi passare velocemente ad
accedere a carte di credito e altre macchinazioni per
estorcere denaro. L’FBI si concentra molto sugli attacchi e
le reti criminali che hanno origine nell’Europa dell’Est.
Molti di questi criminali informatici vedono Internet come
un’opportunità di lavoro. Dato lo scarso livello di
occupazione, possono utilizzare le loro competenze
tecniche per sfamare le loro famiglie. Il cybercrime
diventa così un lavoro.”
Dave Thomas, Section Chief, Cyber Division dell’FBI
Newsgroup, forum e Internet café sono pieni di persone
alla ricerca di informazioni e password. Il loro scopo è
piuttosto inoffensivo e molti non aspirano a diventare dei
veri criminali informatici – desiderano solo appropriarsi
delle password perché vogliono introdursi nel programma
di un computer per vedere se ne sono in grado, come
funziona o accedere a un gioco protetto.
In ogni caso, altri hacker e autori di malware si scambiano
consigli gratuiti all’interno di forum online e forniscono ai
principianti i trucchi del mestiere. L’età media degli
hacker va dai 14 ai 19 anni. 1
Per molti, l’eccitazione della sfida e la comunità sono uno
scenario troppo allettante per potervi resistere. Proprio
come i drogati apprezzano l’euforia della prima volta e
vanno sempre più alla ricerca del “viaggio” successivo,
uguale è il richiamo per la prossima prova di truffa
informatica per chi ne è dipendente – e tutto in modo fin
troppo semplice se si sa a chi rivolgersi per chiedere
consiglio. La dipendenza cresce man mano che la posta in
gioco cresce e i criminali organizzati pagano i ragazzi per
eseguire truffe a fin d’estorsione. Come risultato, il
cybercrime tra i teenager è in aumento.
“Quando un hacker amatoriale diventa più esperto nel
compromettere i sistemi, è facile che si rendano conto di
poterci anche guadagnare (per esempio, affittando bot o
slot per inviare spam). Allo stesso tempo, i criminali
reclutano proattivamente nuove persone per le attività
tecniche. Tali persone potrebbero non sapere in che cosa
sono realmente coinvolti.”
Erik de Jong, Project Manager, Govcert
CASE STUDY: DALLA CURIOSITA’ ALLA PRIGIONE
A 20 anni, Shiva Brent Sharma ha accumulato oltre
150.000 dollari di denaro contante e merce racimolati
tramite il crimine informatico. Quando venne arrestato
per la terza volta per furto d’identità, dichiarò di poter
guadagnare circa 20.000 dollari in un giorno e mezzo.
Con questa dipendenza dalla sfida e dalla relativa
ricompensa, ha paura che quando finirà di scontare i suoi
2-4 anni di prigione, ci ricadrà e inizierà a cercare di
estorcere denaro per l’ennesima volta.
Il più giovane di tre bambini di una famiglia di classe
media, Sharma si è sempre battuto per accedere a
internet. Le sue attività criminali cominciarono quando
iniziò a visitare con regolarità siti dove gli utenti di tutto
il mondo si incontravano per scambiarsi consigli sui furti
d’identità e su come comprare e rivedere informazioni
personali. I trucchi e le tecniche che ha appreso gli hanno
consentito di portare avanti la sua forma di truffa
personale.
Iniziò con il phishing per poi passare al software pirata
prima di acquistare numeri di carte di credito rubate
online, modificare le informazioni e inviare denaro a se
stesso.
Sharma non è mai riuscito a fornire una chiara
motivazione per i suoi crimini. A volte affermava che si
trattava semplicemente di un gioco per far passare il
tempo, altre volte insinuava che era un attacco più
focalizzato contro il mondo bancario.
“Beh, sapete – voglio dire non c’è alcuna giustificazione.
Sapete che è sbagliato e io l’ho fatto – era sbagliato.” 2
05
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
WWW.HOWTOHACK.COM
“La disponibilità di tool online ha contribuito alla crescita
del cybercrime. Inoltre è aumentata la complessità di tali
tool. Per esempio: creare la propria bot personale e
impostare una botnet è relativamente semplice. Non è
necessario disporre di competenze specialistiche, ma è
sufficiente scaricare i tool disponibili o addirittura il
codice sorgente. In generale, tool che una volta erano
accessibili solo a un gruppo privilegiato di “specialisti” nel
tempo sono diventati disponibili al pubblico.”
Erik de Jong, Project Manager, Govcert
Non è mai stato così semplice commettere crimini
informatici. Ci sono molte occasioni e più informazioni su
come iniziare con un semplice clic del mouse.
Con pochi secondi di ricerca online, qualsiasi persona di
qualsiasi età può accedere a vari siti e informazioni su
come introdursi illegalmente in altri computer e su altri
generi di truffe online.
Mentre la maggior parte dei contenuti online ha
alimentato uno spirito imprenditoriale e di condivisione
di informazioni e conoscenza a fin di bene, è diventato
semplice per adolescenti influenzabili, e per coloro
focalizzati a guadagnare soldi, trovare gli strumenti per
avviarsi al crimine informatico.
I tool necessari per attività di spamming e phishing sono
pubblicamente disponibili su Internet e vi si può accedere
facilmente. Le aziende vendono elenchi di indirizzi email
a 39.95 dollari per milione per diversi utilizzi.3 Se lo si
confronta con il tasso corrente di 20 pence per nome per
mailing list tradizionali offerte da aziende fidate per un
unico invio è facile intravedere l’occasione per i criminali.
Una volta che dispongono degli indirizzi tutto ciò che
devono fare è inviare la mail “caricata” e creare il
messaggio di benvenuto che spingerà i consumatori ad
aprirlo.
“I tool on-line sono disponibili da alcuni anni ormai. I
criminali li adotteranno e li utilizzeranno in modo illecito.
Nonostante ciò continueremo a arrestare e perseguire
coloro che sono coinvolti nel crimine organizzato.
Robert Burls MSc, Detective Capo, Metropolitan Police
Computer Crime Unit
06
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
COME IL CRIMINE ORGANIZZATO STA
MODELLANDO LA PROSSIMA GENERAZIONE DI
CRIMINALI INFORMATICI
“I criminali informatici non hanno bisogno solo di
specialisti IT – hanno bisogno di persone che possono
riciclare denaro, che possono specializzarsi in furti
d’identità, qualcuno che rubi i numeri delle carte di
credito e che poi li passi a qualcun altro che produce carte
di credito false. Non si tratta certo del crimine
organizzato tradizionale dove i delinquenti si
incontravano in fumose stanze sul retro. Molti di questi
criminali informatici non si sono mai incontrati faccia a
faccia, ma solo online. Le persone vengono apertamente
reclutate su bacheche elettroniche e forum online dove il
velo dell’anonimato li rende più intrepidi nel pubblicare
informazioni.”
Dave Thomas, Section Chief, FBI Cyber Division
Sebbene i criminali organizzati abbiano meno
dell’esperienza e dell’accesso necessari per commettere
crimini informatici, dispongono del denaro per comprare
le persone per farlo al posto loro.
Ricordando le tattiche che il KGB utilizzava durante la
guerra fredda per reclutare agenti operativi, le bande
organizzate di criminali stanno utilizzando sempre più
tattiche simili per identificare e arruolare giovani studenti
esperti di internet.
Le bande organizzate di criminali stanno iniziando a
reclutare attivamente adolescenti dotati. Stanno
adottando tecniche sullo stile del KGB per arruolare
studenti e diplomati in informatica ambiziosi e stanno
mirando a membri di associazioni informatiche, studenti
di scuole specializzate in informatica e diplomati in corsi
di tecnologia IT.
Al culmine della guerra fredda, spesso i potenziali agenti
operativi del KGB venivano identificati analizzando i
giornali specializzati alla ricerca di nomi di esperti,
controllando i partecipanti a conferenze specializzate,
oppure venivano approcciati inaspettatamente nei
campus universitari.
Nelle parole dell’ex Generale Maggiore Oleg Kalugin: “Se
individuate un giovane, magari uno studente, prima che
le sue opinioni personali siano maturate completamente,
allora convincetelo a credere appieno alla vostra causa, vi
servirà fedelmente per molti anni.” 4
In alcuni casi, le bande criminali organizzate stanno
andando anche oltre per sponsorizzare desiderosi
aspiranti hacker e autori di malware a partecipare a corsi
universitari in informatica per aumentare la loro
competenza. I criminali stanno inoltre identificando
studenti universitari di altre discipline e li supportano
finanziariamente nel loro corso di studi con la prospettiva
di ingaggiarli, per poi accedere a aziende e
organizzazioni.
POTENZIALI OBIETTIVI DELLE BANDE DI
CRIMINALI INFORMATICI
Nel giugno 2006, dei ricercatori hanno intervistato 77
studenti di informatica della Purdue University, USA,
utilizzando un questionario online anonimo. Agli
studenti venne chiesto se si erano abbandonati a una
delle varie attività informatiche “deviate”, alcune delle
quali potrebbero essere considerate illegali.
Tali attività supponevano l’utilizzo della password di
un’altra persona, la lettura o la modifica dei file di altre
persone, la creazione o l’utilizzo di un virus informatico,
l’appropriazione di numeri di carte di credito e “l’utilizzo
di un dispositivo per telefonare gratuitamente”.
Il numero di studenti IT che hanno ammesso un tale
comportamento è stato alto. Su 77 studenti, 68 hanno
ammesso di essere coinvolti in un’attività che potrebbe
essere classificata come deviante. 4
07
DAI PURISTI AGLI SPECULATORI: LA CATENA
ALIMENTARE DEL CYBERCRIME
I criminali informatici oggi vanno da dilettanti con
competenze limitate di programmazione che si affidano a
script pre-confezionati per eseguire i loro attacchi, fino a
criminali professionisti ben formati che dispongono delle
risorse più recenti.
I DILETTANTI ALLA RICERCA DI NOTORIETÀ
Chi? Principianti con limitate capacità informatiche e
competenze di programmazione
Perché? Affamati principalmente di attenzione da parte
della stampa.
Come? Utilizzando tool e trucchi perconfezionati
LIVELLO DI PERICOLOSITÀ: MODERATO
La minaccia sta nel dare via libera agli attacchi senza
realmente comprendere come funzionano.
GLI INNOVATORI
Chi? Individui focalizzati che dedicano il loro tempo a cercare falle di sicurezza nei sistemi o a
esplorare nuovi ambienti per vedere se sono adatti per inserirvi codice malevolo
Perché? La sfida
Come? Accettando la sfida di superare le misure di protezione esistenti e cercare di introdursi
clandestinamente
LIVELLO DI PERICOLOSITÀ: BASSO
Tali puristi, l'"elite degli autori di minacce", rappresentano solo il 2% della popolazione di
hacker e autori di malware.
GLI INSIDER
Chi? Impiegati scontenti o ex-dipendenti, collaboratori e consulenti.
Perché? Vendetta o furti minori
Come? Sfruttano una sicurezza inadeguata, aiutati dal privilegio derivante dalla loro
posizione in ambito lavorativo.
LIVELLO DI PERICOLOSITÀ: ELEVATO.
Questo gruppo rappresenta un problema di sicurezza serio e in crescita.
I CRIMINALI INFORMATICI ORGANIZZATI
Chi? Delinquenti reali estremamente motivati e organizzati. Numericamente limitati ma con
una potenzialità senza limiti.
Perché? Penetrare all'interno di computer vulnerabili per raccogliere la ricompensa.
Come? Come nella maggior parte delle comunità di criminali di successo, al centro vi è un
gruppo ristretto di "cervelli" concentrati sul guadagno sfruttando qualsiasi mezzo possibile -
ma che si circondano delle risorse umane e informatiche affinché ciò accada.
LIVELLO DI PERICOLOSITÀ: ELEVATO
GLI IMITATORI
Chi? Aspiranti hacker e autori di malware
Perché? La 'celebrità' della comunità del cybercrime ha
favorito un'impennata di questi disperati che vogliono
replicare la loro formula per la gloria.
Come? Meno focalizzati sullo sviluppo di qualcosa di nuovo
e più interessati a riprodurre attacchi semplici.
LIVELLO DI PERICOLOSITÀ: MODERATO
08
PARTE PRIMA
CYBERCRIME: UNA NUOVA GENERAZIONE DI CRIMINALI
CONFRONTO TRA I GIOVANI AGGRESSORI DEL
MONDO REALE E I CRIMINALI INFORMATICI
I criminali stanno sfruttando il fatto che il cyber-spazio
rappresenta un vasto dominio di opportunità globali,
virtualmente senza barriere e un minimo rischio di essere
individuati e puniti. Un consulente del Tesoro statunitense
ha affermato che il crimine informatico muove un giro
d’affari maggiore di quello dell’industria della droga,
tradizionalmente molto redditizio. 5
Mentre le forze di ordine pubblico stanno lavorando
duramente per combattere la minaccia del cybercrime,
per quanto riguarda il rapporto opportunità – rischio -
ricompensa, il crimine online si sta attualmente
dimostrando più interessante per i veri delinquenti del
tradizionale crimine organizzato.
PROFILO DI UN CORRIERE DELLA DROGA:
NOME: ETA:
Scott Rush 19
MOTIVAZIONE: METODI:
Denaro Traffico di droga. Catturato
mentre trasportava droga
dall'Australia a Bali
RICOMPENSA:
1,3 kg di eroina con
una valore
commerciale di 1
milione di dollari
RISCHI E PENA:
Accusato anche di
frode, furto e guida
in stato di ebbrezza,
Scott è stato
condannato
all'ergastolo. In
appello la condanna è
stata trasformata in
pena di morte
PROFILO DI UN AUTORE DI BOTNET:
NOME: ETA:
Jeanson James 20
Ancheta
MOTIVAZIONE: METODI:
Denaro Uso di trojan horse per
infettare e controllare i
computer prima di venderli a
aziende di adware, spyware
e spam.
RICOMPENSA:
0,15 dollari per
installazione
3.000 dollari per
botnet
60.000 dollari in 6
mesi e oltre 170.000
dollari in totale
RISCHI E PENA:
James è stato il primo autore
di botnet ad essere mai
punito,nel maggio 2006. Gli
sono stati comminati quattro
anni e nove mesi di
detenzione
09
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE
VANTAGGIO DA INTERNET
Il crimine online è cambiato in modo drastico negli ultimi
anni. I tradizionali ‘attacchi di virus’ una volta comuni a
livello globale oggi appartengono al passato. Nella prima
metà del 2004, 31 epidemie virus vennero classificate di
livello medio e superiore. Nella seconda metà del 2004 se
ne sono verificate altre 17. Il numero è sceso a 12 per
tutto il 2005 e nel 2006 non ci sono state epidemie di
simile pericolosità.
Il focus si è spostato su mezzi di attacco più mirati e
furtivi.
I criminali informatici stanno mettendo a punto i loro
mezzi di frode e le vittime cui mirano. Modificando le
loro tecniche e i loro obiettivi riescono ad evitare di
essere individuati.
I PRINCIPALI TREND DELL’ANNO
PASSATO INCLUDONO:
• Spostamento dalla camera da letto a posti pubblici per
evitare di essere individuati
• Sfruttamento dell’esplosione del nuovo fenomeno del
social networking online
• Attacco delle identità utilizzando nuove tecniche come
il phishing
• Attacchi contro le nuove tecnologie – telefoni cellulari
e dispositivi mobile
• Attacchi contro i singoli e le piccole aziende
• Collaborazione tra i criminali e creazione di famiglie
mafiose di malware
DAI SOLITARI AI CRIMINALI DEGLI
INTERNET CAFÉ
La visione stereotipata di criminali informatici ‘solitari’
che lavorano dalla loro stanza da letto non è più valida.
Oggi, vanno ricercati proprio in pubblico. Ma invece di
aprirsi si nascondono sotto un mantello invisibile.
Hacker e autori di malware hanno sempre lavorato
nascosti nelle loro abitazioni poiché avevano bisogno di
una linea telefonica per le comunicazioni via modem. Ma
Internet, la sua popolarità e la sua penetrazione, hanno
cambiato tale situazione. Possono accedere a Internet da
un internet café, dall’università, dalla biblioteca, da una
cabina telefonica, da un PDA o da un telefono cellulare –
o anche rubando larghezza di banda da qualsiasi rete wifi
non protetta che trovano nei paraggi di dove si trovano.
Utilizzando Internet da un posto pubblico, i criminali
informatici mantengono l’anonimato e evitano di essere
individuati. Molti Internet café ripuliscono i loro
computer effettuando il reboot automatico delle
macchine e cancellando tutti i file non-standard tra un
cliente e l’altro. L’anonimato è fondamentale e da un
luogo pubblico è possibile coprire le tracce in modo più
semplice.
COMUNICAZIONI FURTIVE IN SPAZI PUBBLICI
A seguito delle esplosioni a Londra il 7 luglio 2005, il
National Hi-Tech Crime Unit (NHTCU) ha contattato
JANET, il Joint Academic Network, che collega le
università, i college e le scuole dell’Inghilterra.
L’NHTCU sospettava che i terroristi avessero usato un
sistema di telecomunicazioni nel pianificare e eseguire il
loro attacco, e JANET poteva disporre di informazioni
sulla sua rete che poteva essere d’aiuto alle attività
investigative. L’NHTCU richiese che tutti i dati venissero
salvaguardati.
10
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
SOCIAL NETWORKING: COME I CRIMINALI
MIRANO ALL’ESPLOSIONE DEL FENOMENO DEL
SOCIAL NETWORKING SUL WEB
Fin dall’inizio, il web è stato spesso utilizzato come uno
strumento per incontrare nuove persone, ma nel corso
dell’ultimo anno l’interazione tra gli utenti di Internet è
aumentata enormemente.
Il Web 2.0, ovvero il modello di Internet dove i contenuti
vengono creati e condivisi, ha dato vita a alcuni dei siti
web più popolari che si siano mai visti su Internet.
Siti come MySpace, Bebo, Friendster, Facebook e LinkedIn
(un sito utilizzato per le relazioni di business) hanno
alimentato il trend del social networking.
Si tratta di un media estremamente potente e le persone
stanno iniziando a comprendere quanto possa essere
efficace per relazionarsi con gli amici o con soci d’affari
potenziali.
Per loro stessa natura, tali siti sono soggetti a
malversazioni. Esiste una fallace economia di fiducia. La
gente non offre i propri dati personali a sconosciuti per la
strada, ma la creazione di profili online significa che i
criminali di Internet possono accedere istantaneamente a
una miniera di dettagli – nomi e interessi, animali
domestici e storie di vita personale. Tutto ciò li aiuta a
assumere direttamente tali identità per defraudare o
comprendere meglio le personalità per creare phishing o
truffe hardware più mirate ed efficaci.
La possibilità di inserire musica su MySpace è stato uno
dei motivi principali del successo del sito. Bande
sconosciute hanno dimostrato che i siti di social
networking possono essere un modo efficace per
promuovere loro stessi. Artisti come Lilly Allen e Arctic
Monkeys hanno utilizzato MySpace come trampolino di
lancio.
Ma ciò rappresenta l’occasione perfetta per i criminali di
inserire spyware e adware all’interno dei download, che
possono compromettere i PC, tracciare il comportamento
online o indirizzare gli utenti verso contenuti
inappropriati. Possono addirittura essere sviluppati profili
completi per scopi illeciti.
CASE STUDY: SOCIAL ENGINEERING IN SITI PUBBLICI DI
COMUNITA’
Proprio come con i siti di relazioni sociali come MySpace,
la reale apertura di Wikipedia, che permette agli utenti di
aggiungere liberamente o modificare i contenuti
disponibili, lo hanno reso un obiettivo allettante per gli
autori di virus al fine di impiantare codice malevolo nelle
singole voci.
Nell’ottobre 2006, una parte dell’edizione tedesca di
Wikipedia venne riscritta per contenere informazioni su
una supposta nuova versione del malfamato worm
Blaster, insieme a un link a un presunto ‘fix’. In realtà, il
link puntava al malware creato per infettare i PC
Windows.
Venne inoltre inviata un’email di massa agli utenti
tedeschi di computer chiedendo loro di scaricare il fix di
sicurezza. L’email venne creata per apparire come se
provenisse realmente da Wikipedia, completa di logo
ufficiale di Wikipedia.
CASE STUDY: SOCIALMENTE INACCETTABILE
– LE TRUFFE SU MYSPACE
Nell’ottobre 2005, il worm Samy venne scoperto sul sito
della popolare community MySpace.com. Sfruttando le
vulnerabilità del sito MySpace.com, il worm aggiunse un
milioni di utenti all’elenco degli “amici” dell’autore.
Inoltre, il codice malevolo venne copiato nel profilo della
vittima, in modo che quando il profilo di quella persona
veniva consultato, l’infezione si diffondeva.
Nell’estate del 2006, un banner pubblicitario su MySpace
compromise quasi 1,1 milioni di computer. Quando gli
utenti aprivano l’immagine, all’hacker veniva permesso di
accedere al PC infetto. Il programma di installazione dello
spyware contattava un server web di lingua russa in
Turchia che tracciava i Pc su cui il programma era stato
installato. La pubblicità inoltre tentava di infettare gli
utenti di Webshots.com, un sito di condivisione di
immagini.
MySpace fu anche oggetto di una truffa di phishing nel
2006. L’attacco ebbe inizio quando gli utenti ricevettero
un link tramite un programma di instant messaging. Il
link proveniva da qualcuno presente nella loro lista di
contatti e chiedeva loro di cliccare il link su MySpace per
visualizzare delle foto. Il link portava a una pagina di
login fraudolenta di MySpace. Una volta che la vittima
aveva inserito le sue informazioni, veniva collegata in
modo trasparente alle pagine reali di MySpace. Ma nel
frattempo, tutte le loro informazioni di login diventavano
di proprietà del phisher.
11
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
TRUFFE MODERNE: COME I CRIMINALI
INGANNANO LE PERSONE TRAMITE EVENTI
D’ATTUALITA’ CHE ATTIRANO LE FOLLE
Eventi sportivi e d’informazione popolari nazionali e
internazionali attirano le folle – ma ora attraggono anche
i criminali informatici. Che si tratti di viral marketing, o di
un semplice virus, un titolo d’attualità, il link a un sito o
un download sono in grado di mietere ricompense.
La Coppa del Mondo del 2006 ha rappresentato
esattamente questo tipo d’occasione per i criminali.
Popolare, con milioni di fan affamati di informazioni in
tutto il mondo e insaziabili. Sono circolati tantissimi virus
che sfruttavano messaggi correlati all’evento; e in migliaia
hanno scaricato freneticamente fogli di calcolo
segnapunti e screensaver rivelando così ai criminali, in
modo pressoché istantaneo e insospettato, la presenza di
centinaia di migliaia di computer.
LE SVENTURE DELLA COPPA DEL MONDO –
CRIMINALI 3: CONSUMATORI: 0
Gli autori di virus si sono lanciati in attacchi sfruttando la
frenesia intorno al calcio cercando di guadagnare dai
tifosi sportivi. Nel maggio 2006, un trojan horse
cammuffato da tabellone della Coppa del Mondo venne
diffuso tramite un’email spam. Era mirata a colpire
specificamente i madrelingua tedeschi.
Un altro attacco virus infettò i file Microsoft Excel
presentandosi come uno spreadsheet con le classifiche
delle nazionali partecipanti alla Coppa del Mondo.
Un’analisi delle pagine salvaschermo associate alla Coppa
del Mondo ha evidenziato che su un’alta percentuale di
siti erano stati caricati adware, spyware e download
malevoli. Tra le squadre, Angola (24%), Brasile (17.2%) e
Portogallo (16.2%) hanno percentuali particolarmente
elevate, mentre tra i giocatori le superstar Cristiano
Ronaldo del Portogallo, David Beckham dell’Inghilterra e
Ronaldinho del Brasile hanno rappresentato un pericolo
significativo per i fan.
FURTO D’IDENTITA’: RUBARE INFORMAZIONI
PERSONALI PER FRODARE
C’è stato un drammatico aumento nei metodi di raccolta
utilizzati dai criminali per rubare informazioni
identificative personali.
“Le vittime di furti d’identità legati al malware perdono
COMPLETAMENTE la loro privacy e c’è un’elevata
probabilità che perdano anche cifre cospicue di denaro.
Potrebbero anche venire involontariamente coinvolti in
atti criminosi a causa dell’uso improprio della loro
identità.”
Christoph Fischer, General Manager di BFK edv-consulting
GmbH
12
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
KEYLOGGING
Gli hacker utilizzano programmi keylogger per
raccogliere di nascosto le digitazioni sulla tastiera di
vittime inconsapevoli che utilizzano chat room online e
programmi di instant messaging che li rendono
vulnerabili. All’attivazione, l’hacker può raccogliere tutte
le informazioni che l’utente ha inserito online, inclusi i
dati personali utilizzati nelle transazioni online. Un’ampia
parte di questi dati vengono trasmessi in tutto il mondo
in nazioni dove è più difficile per la legge intervenire.
L’esecutore quindi utilizza tali informazioni per assumere
un’identità e ottenere accesso alle carte di credito.
Secondo l’FBI: “Il furto d’identità costa alle aziende e ai
consumatori americani 50 miliardi di dollari all’anno,
causa incalcolabili preoccupazioni a circa 10 milioni di
vittime statunitensi ogni anno e rende più semplice per
terroristi e spie lanciare attacchi contro la nostra
nazione.” 1
Di conseguenza, nel giugno 2006, l’FBI si è unito a
aziende, mondo accademico e leader del governo
nell’annunciare il nuovo Center for Identity Management
and Information Protection (CIMIP) per combattere la
crescente minaccia che le frodi e i furti legati all’identità
personale pongono per la sicurezza personale e
nazionale.
GUADAGNARE DAI RIFIUTI
I criminali informatici guadagnano utilizzando semplici
stratagemmi. Spesso le persone non si rendono molto
conto del valore delle informazioni che gettano via. I
delinquenti scovavano informazioni riservate rovistando
nella spazzatura; oggi i criminali informatici hanno
capito che quando i computer vengono gettati via, molto
spesso, contengono ancora un patrimonio di file e dati
che possono essere utilizzati per conseguire un guadagno
economico o perpetrare truffe.
CASE STUDY: GETTARE VIA
INFORMAZIONI RISERVATE
Nell’aprile 2005, un hard disk della polizia di
Brandenburg, in Germania, fece la sua apparizione su
ebay. Fu così possibile accedere appieno a documenti
riservati della polizia come piani di allerta interni per
situazioni estreme come dirottamenti e rapimento di
ostaggi. C’erano anche elenchi di nominativi sull’hard
disk che mostravano l’equipaggiamento dei gruppi di
crisis management, configurazioni, ordini e analitica:
informazioni che potrebbero essere molto utili a
criminali di vario livello, non ultimi i terroristi.
13
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
GIOCHI PSICOLOGICI: COME I CRIMINALI
UTILIZZANO MEZZI SEMPRE PIU’ AMBIGUI PER
INGANNARE LE PERSONE E SPINGERLE A
CONSEGNARE DENARO E INFORMAZIONI
Mentre i criminali informatici continuano a sferrare
attacchi continui contro le principali istituzioni , la
maggior parte ha adottato metodi più acuti e efficaci che
introducono giochi psicologici e tecniche di social
engineering che svelano non solo grandi quantità di dati
ma identità complete.
I NUMERI DEL PHISHING
• 17.000 segnalazioni di phishing al mese nel 2006 2
• 40% in lingua non inglese 3
• il 90% delle persone ancora non riconosce pezzi di
pishing ben creati 4
Il Phishing – ovvero l’atto di inviare e-mail a un utente
facendo finta di essere un’azienda legittima nel tentativo
di truffare l’utente e costringerlo a fornire informazioni
private che verranno poi utilizzate per furti d’identità – è
in aumento. Ma la natura degli attacchi di phishing è in
costante cambiamento.
Lo scorso anno, McAfee ha rilevato un aumento delle
email di phishing di circa il 25%. Gli impostori continuano
a colpire banche di alto profilo, istituzioni finanziarie e
siti di e-commerce come hanno sempre fatto ma stanno
modificando il contenuto delle email di phishing
passando da truffe del tipo ‘aggiorna i tuoi dettagli
immediatamente’ a messaggi più differenziati e diretti.
Oltre ad attaccare queste aziende molto note, tali
impostori colpiscono sempre più le piccole istituzioni
finanziarie europee e americane, e gli obiettivi cambiano
praticamente ogni giorno.
“Mentre i virus e i worm contagiosi sono diminuiti –
principalmente come conseguenza della disponibilità di
tool migliori per il rilevamento e la rimozione – phishing
e pharming sono diventati i mezzi principali di attacco,
specialmente quelli che mirano a colpire le banche.”
Professor Klaus Brunnstein, Università di Amburgo
Anche i phishing di e-commerce sono diventati più diretti.
La maggior parte del phishing mirato a siti di aste online
popolari appare come se fosse stato spedito da un altro
utente piuttosto che da un sito di aste. Per esempio, molti
dei phising dei nostri giorni sono messaggi fasulli che
affermano che avete acquistato un articolo e non avete
pagato, o che l’altro utente ha presentato un reclamo
contro di voi o sta richiedendo informazioni su un articolo
in vendita.
Nel febbraio 2006, i diversi phishing del tipo “aggiorna i
dati del tuo account” hanno rappresentato il 90% del
phishing su ebay - mentre il 10% era di altro tipo - ora è
meno del 50%.
Un attacco meno pericoloso arriva con il crescente
numero di messaggi di spear-phishing. Tali messaggi
sembrano arrivare dai datori di lavoro o dai colleghi che
verosimilmente potrebbero inviare comunicazioni IT e
richiedere nomi utente o password. Ma la verità è che le
informazioni del mittente dell’email sono state
cammuffate per ottenere l’accesso all’intero sistema
informatico dell’azienda.
14
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
LE MINACCE MOBILE: COME I CRIMINALI
SFRUTTANO LA NUOVA TECNOLOGIA
Lo “SMiShing” (phishing tramite SMS), è un fenomeno
recente che prende i concetti e le tecniche del phishing
via email e li traduce in messaggi di testo.
Ad oggi si sono verificati pochi episodi di tale attività ma
la natura degli attacchi attuali suggerisce che la maggior
parte sia stata scritta da script kiddies che cercano di far sì
che il nuovo codice venga eseguito in modo standard. Ora
lo SmiShing è diventato parte del toolkit del crimine
informatico, e ci sarà un aumento significativo di tentativi
nei prossimi mesi.
Poiché dipendiamo sempre più dai nostri dispositivi
mobile personali a casa e in ufficio, lo SmiShing
rappresenta un chiaro indicatore del fatto che i telefoni
cellulari e i dispositivi mobile verranno sempre più
utilizzati da autori di malware, virus e truffe.
CASE STUDY: SMISHING
L’agosto 2006 ha visto il primo esempio di minaccia che si
sposta dall’ambiente PC all’universo mobile con un
attacco che è partito come semplice worm mass mailing
ma che si è poi trasformato in un attacco di SMiShing.
La minaccia era indirizzata contro due dei principali
operatori telefonici mobile in Spagna, tramite l’invio di
messaggi SMiSh gratuiti tramite numerosi telefonici
generati casualmente attraverso il gateway del servizio
Email-to-SMS degli operatori e volti a colpire in modo
specifico i dispositivi Nokia Series 60.
Tale attacco cercava di spingere la vittima a scaricare
software anti-virus gratuito dall’operatore. Gli utenti che
scaricavano e installavano il software dal link venivano
infettati dal malware.
La maggior parte del codice era in spagnolo con alcuni
commenti in tedesco, a dimostrazione del fatto che il
cybercrime non conosce frontiere.
VECCHI ESPEDIENTI SI AGGIORNANO – LO SPAM
SFRUTTA LE IMMAGINI
Lo spam continua a rimanere una delle principali sfide
odierne per gli utenti di Internet, le aziende e i service
provider – con il costo dello spam che va a influenzare la
larghezza di banda, la produttività dei dipendenti e i
tempi di consegna delle email. Gli spammer continuano a
utilizzare nuovi stratagemmi per evitare di essere rilevati
e aprono nuovi flussi di fatturato.
Lo spam di immagini è cresciuto considerevolmente e
diverse tipologie di spam – tipicamente speculazioni
azionarie, spam di medicinali e lauree - vengono oggi
inviate come immagini invece che sottoforma di testo.
Nell’ottobre 2006, lo spam di immagini ha rappresentato
oltre il 40% dello spam totale ricevuto, rispetto a meno
del’10% di un anno fa. Lo spam basato su immagini ha
una dimensione tipica che è tre volte maggiore a quella
di spam basato su testo, perciò si tratta di un aumento
significativo nella larghezza di banda utilizzata dai
messaggi di spam classici.
Tradizionalmente, gli spammer hanno utilizzato domini di
primo livello (top level domain, TLD) molto conosciuti
come .com, .biz o .info. Ma ora, utilizzando domini di
primo livello di isolette microscopiche, come .im dell’Isola
di Man in Inghilterra, gli spammer cercano di evitare il
rilevamento utilizzando domini sconosciuti ai filtri spam.
Questo trend è stato soprannominato ‘spam islandhopping’.
15
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
COME GLI UTENTI DOMESTICI SONO DIVENTATI
L’OBIETTIVO PREFERITO DEI CRIMINALI
Nel Report McAfee sulla criminologia virtuale del 2005
veniva spiegato come si fosse verificato un enorme
incremento delle estorsioni indirizzate principalmente
contro aziende che dipendono da Internet per la loro
attività.
Il report evidenziava come, utilizzando migliaia di
computer infettati da codice malevolo in tutto il mondo, i
criminali fossero in grado di schierare ‘eserciti di bot-net’
per bombardare i siti web aziendali bloccando tutte le
transazioni reali e le comunità – attacco noto anche
come distributed denial-of-service (DDoS).
Il report evidenziava inoltre come i criminali colpivano i
siti di scommesse online visto l’elevato volume di
transazioni esclusivamente online.
Nel 2005, l’OCLCTIC (Office Central de Lutte contre la
Criminalité liée aux Technologies de l’Information et de la
Communication) ha indagato sul 48% di crimini aziendali
in più rispetto all’anno precedente. Il numero di persone
accusate e perseguite è cresciuto del 30%.
L’aumento delle indagini criminali può essere spiegato in
parte dalla crescita del numero di attività criminali quali
ricatti, razzismo e estorsioni. 5
Oggi tale tipologia di estorsioni e attacchi distributed
denial-of-service (DDoS) che utilizzano le botnet vengono
impiegati dai criminali per colpire gli utenti di PC
domestici. I ricattatori stanno cercando sempre più di
attirare utenti domestici non molto esperti. I consumatori
memorizzano sempre più documenti finanziari e riservati
– dettagli bancari, file di lavoro – e con un valore
sentimentale – foto e musica – e i delinquenti hanno
capito che sono disposti a pagare pur di recuperarli in
caso di furto.
CASE STUDY: SOTTO RICATTO
Nel maggio 2006, Helen Barrow, un’infermiera di 40 anni
di Rochdale in Inghilterra, scoprì che i file presenti sul suo
computer erano spariti ed erano stati sostituiti da una
cartella protetta con una password di 30 caratteri.
Trovò inoltre un nuovo file denominato “istruzioni su
come riavere i tuoi file “. Aprendolo, la signora Barrow
trovò la password per sbloccare la cartella cifrata che
conteneva i suoi file che le sarebbero stati restituiti dopo
aver pagato per l’acquisto di medicinali da una farmacia
online. La signora Barrow contattò la polizia e un esperto
IT che riuscì a recuperare alcuni dei suoi file, tra cui il
programma e le attività del corso per il suo diploma di
infermiera.
“Quando ho realizzato cosa era successo, mi sono sentita
colpita nel profondo,” ha affermato Helen. ”…Sul
computer avevo moltissime fotografie di famiglia e
lettere personali e pensare che altre persone avrebbero
potuto vederle è stato terribile.”
Fortunatamente, la password di questo attacco
particolare era stata resa pubblicamente disponibile dagli
operatori della sicurezza, ma il trend implicito è
preoccupante.
ESERCITI GLOBALI DI BOTNET
Botnet è il termine gergale per una raccolta di robot
software, o bot, che opera in modo autonomo.
ALCUNI DATI SULLE BOTNET
• I BOT IRC sono cresciuti dal 3% al 22% di tutto il
malware (2004 - 2006)
• I costi di protezione possono essere superiori a quelli di
riscatto
“Di gran lunga la principale minaccia emergente è
rappresentata dalle Botnet e stiamo inoltre assistendo a
una maggiore complessità della natura del codice
malevolo. Per esempio, certi malware hanno la capacità di
implementare keystroke-logger, che raccolgono le
password memorizzate e effettuano degli screenshot dei
sistemi infettati. Tali tecniche consentono ai criminali di
ottenere profili completi dell’identità delle vittime oltre a
accedere ai loro dati finanziari e personali.”
Robert Burls MSc, Detective Capo, Metropolitan Police
Computer Crime Unit
Nel report McAfee del 2005 sulla criminologia virtuale si
evidenziava come le botnet (reti di robot) stessero
diventando il metodo preferito dei criminali. Le bande del
crimine organizzato reclutavano script kiddies per
implementare un numero elevato di minacce
asimmetriche simultaneamente sul sito web di
un’azienda.
Come previsto l’anno scorso, si è verificato un aumento
significativo delle botnet e oggi rappresentano l’arma
preferita dei criminali informatici, utilizzata per progetti
di phishing, spam illegale, furto di password e identità e
diffusione di materiale pornografico.
Almeno 12 milioni di computer in tutto il mondo sono
oggi compromessi.
16
PARTE SECONDA
IL CRIMINE HI-TECH: COME IL CRIMINE ORGANIZZATO TRAE VANTAGGIO DA INTERNET
COLLABORAZIONI CRIMINALI & FAMIGLIE
MAFIOSE DI MALWARE
LE TECNICHE OPEN SOURCE
La crescita delle bot è dovuta a due fattori —
motivazione finanziaria e disponibilità di codice sorgente.
Senza incentivi finanziari, ci sarebbero molte meno
varianti. Per esempio, la famiglia Mydoom,
economicamente neutra, ha molte meno varianti di
qualsiasi altra famiglia di bot. E senza la condivisione di
codice sorgente su larga scala, non vedremmo l’enorme
quantità di famiglie esistenti oggi.
Gli autori di bot utilizzano sempre più tecniche di
sviluppo open source, quali autori multipli, release a
seguito di bug fix, modifiche delle caratteristiche a
pagamento e riutilizzo dei moduli. Un virus o un trojan
solitamente vengono scritti da un unico autore che ha il
completo controllo delle funzioni e delle tempistiche
degli aggiornamenti della release. I bot, comunque, sono
diversi; la maggior parte dei bot sono scritti da più autori
diversi.
L’impiego di una tecnologia di sviluppo professionale
rappresenta un cambio importante per l’evoluzione del
malware. Tale forma di collaborazione renderà le botnet
più solide e affidabili – e l’essere in grado di offrire ai
clienti un ROI garantito porterà a una crescita esplosiva
del mercato dei bot e del malware in generale nei
prossimi anni.
I bot continueranno a spingere al limite la progettazione
del malware.
AFFILIAZIONI E FAMIGLIE DI ADWAREI DATI
RELATIVI ALL’ADWARE
• Tutti i principali motori di ricerca forniscono come
risultato siti pericolosi quando si utilizzano parole
chiave di ricerca popolari
• Tra il 2000 e il 2002, esistevano solo 10 famiglie di
adware. Nel maggio 2006, erano presenti 700 famiglie
di adware con oltre 6.000 varianti
• I distributori più prolifici di adware sono al momento
attuale i siti di divi/celebrità, e non, come è opinione
comune, i siti web pornografici o per soli adulti.
Spyware e adware sono solitamente creati e
commercializzati da entità aziendali legali per fini
specifici pubblicitari e di ricerche di mercato. Inizialmente
si installano sulla macchina di un utente, spesso come
compenso per un software “gratuito”, raccogliendo dati
di marketing e distribuendo pubblicità mirata.
La nascita di modelli di marketing di affiliazione online
redditizi, dove gli inserzionisti condividono i profitti con
altri siti web che presentano pubblicità e contenuti creati
per indirizzare il traffico sul sito dell’inserzionista, ha
aperto nuove opportunità. Gi hacker abusano del sistema
impossessandosi di denaro in modo fraudolento in qualità
di affiliato, poi si introducono nei computer senza il
permesso del proprietario. Modificando i tempi di
download e la velocità delle installazioni di adware, oltre
al reindirizzamento dei computer compromessi tra vari
server, gli hacker possono evitare l’individuazione delle
aziende di pubblicità affiliate che li pagano per ogni
installazione.
CASE STUDY: LA BATTAGLIA INTERNAZIONALE
CONTRO LE BOTNET
Un uomo di 63 anni nel Suffolk, un ventottenne in Scozia
e un diciannovenne in Finlandia sono stati arrestati il 27
giugno 2006 in relazione a una cospirazione
internazionale volta a infettare i computer utilizzando le
botnet. La Metropolitan Computer Crime Unit, il Finnish
National Bureau of Investigation (NBI Finland) e il Finnish
Pori Police Department hanno collaborato per arrestare
costoro, tutti indiziati di essere membri della banda
criminale M00P.
Si ritiene che la gang di criminali M00P abbia derivato il
proprio nome da un episodio del cartone animato South
Park in cui i protagonisti fondavano una banda che si
chiamava ‘
CASE STUDY: IL MARKETING DEGLI HACKER
Majy, un hacker, è stato pagato 0.20 dollari per
installazione sui computer negli Stati Uniti e 0.05 dollari
per installazione sui computer in 16 altre nazioni tra cui
Francia, Germania e il Regno Unito.
Ha ricevuto denaro da una moltitudine di aziende di
marketing per affiliazione tra cui TopConverting,
GammaCash e LOUDcash.
La distribuzione di adware è anche un chiaro esempio
proprio di come sono interconnessi oggi i criminali
informatici. Si ritiene che la maggior parte di adware e
spyware sia il risultato di un’unica grande organizzazione
distribuita ma interconnessa.
Le attività criminali clandestine hanno in molti casi visto
coinvolte molte aziende di distribuzione di adware spesso
collegate reciprocamente da accordi con vari livelli di
segretezza e alcuni siti che cambiano regolarmente nome:
ciò significa che il guadagno è elevato mentre il
rilevamento è praticamente impossibile.
17
PARTE TERZA
GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE
I criminali non possono colpire se non c’è l’occasione. La
rapida evoluzione della tecnologia e gli sforzi di
consumatori e aziende per tenere il passo significa che le
loro prospettive di guadagno crescono velocemente.
In termini di preoccupazioni per la sicurezza informatica
aziendale, in cima all’elenco oggi c’è lo spyware e il furto
di dati tramite dispositivi come gli stick USB. Virus,
firewall e spam vengono, in buona parte, compresi e
tenuti sotto controllo. Ma la rilevazione dello spyware in
modo centralizzato e il controllo dell’utilizzo di chiavette
USB è una reale preoccupazione per le aziende, grandi o
piccole che siano, dal punto di vista di furti e
riservatezza.
“Una delle principali sfide per il mondo odierno, così
ricco di contenuti, è quella di trarre il massimo dalla
tecnologia. La tecnologia rappresenta un’occasione per
gli aggressori ma anche un’opportunità per prevenire
atti criminali. Ho un’estrema fiducia nella tecnologia ma
non altrettanta nel fatto che gli esseri umani la utilizzino
nella giusta maniera.”
Professor Martin Gill - Director of Perpetuity Research and
Consultancy International e Professore di Criminologia presso
l’Università di Leicester
LE MINACCE INTERNE
La maggior parte delle aziende considera le minacce alla
sicurezza da una prospettiva esterno-interno. Ci sono,
invece, varie minacce emergenti significative che non
vengono introdotte da fonti esterne sconosciute, ma dagli
stessi dipendenti.
L’ignoranza e la negligenza dei dipendenti sul posto di
lavoro sta aprendo falle che i criminali informatici sono
pronti a sfruttare. La mancanza di attenzione e
consapevolezza in termini di sicurezza da parte dei
dipendenti porta un elevato livello di rischio che
malware, virus, worm e Trojan si diffondano sulla rete
aziendale. Ci vogliono solo pochi secondi perché un
dipendente colleghi un laptop o un PDA non protetto alla
rete dell’ufficio esponendo così l’intero ambiente a una
possibile infezione. Pochi comprendono che il loro laptop
aziendale potrebbe non disporre dei più recenti
aggiornamenti di sicurezza. Inoltre, gli impiegati spesso
scavalcano le procedure di sicurezza della loro azienda
collegando i propri dispositivi, quali iPod, chiavette USB e
macchine fotografiche digitali.
QUALCHE DATO SUGLI INSIDER
• Circa un quarto dei lavoratori professionisti europei
collegano i loro dispositivi personali o gadget alla rete
aziendali tutti i giorni
• Circa un quarto dei lavoratori europei utilizza il laptop
aziendale per collegarsi a internet da casa
• Uno sbalorditivo 42% di impiegati italiani permette ad
amici e familiari di utilizzare il laptop e i pc aziendali
per collegarsi a internet
• Un impiegato spagnolo su cinque scarica contenuti
inappropriati sul posto di lavoro
18
PARTE TERZA
GLI INSIDER: LA NUOVA MINACCIA PER LE AZIENDE
FUORIUSCITA DI DATI
Una delle principali minacce per le aziende è la facilità
con cui i dati e le informazioni essere possono sottratte
all’azienda. I criminali sono consapevoli del fatto che
dispositivi rimovibili non protetti come le chiavette USB
sono un semplice mezzo per trasportare fuori dal luogo di
lavoro informazioni riservate e preziose da un punto di
vista finanziario.
I criminali mirano attivamente ai dipendenti o
sponsorizzano studenti universitari. Un ‘insider’ mette
nelle loro mani una gran quantità di informazioni, che
vengono trasferite in modo semplice e non individuabile.
Quindi si tengono i dati per richiedere un riscatto o per
venderli al miglior offerente.
Tale minaccia peggiorerà con la nascita di stick U3 - se
non vengono protetti. Questi dispositivi di nuova
generazione possono essere avviati più facilmente e
possono contenere applicazioni installate che possono
essere utilizzate direttamente dalla chiavetta stessa, il che
significa che è possibile avere il Pc nella propria mano – o
in quella di qualcun altro!
SPIONAGGIO AZIENDALE
Lo spionaggio industriale è un grosso affare. I dati spesso
hanno un valore inestimabile e possono rappresentare la
vita o la morte di un’azienda. Rubare segreti commerciali
– informazioni o contatti – è una miniera d’oro redditizia
per i criminali informatici. Oltre a sfruttare la fuoriuscita
di dati tramite nuove tecnologie e dispositivi, i criminali
stanno individuando nuovi modi per utilizzare programmi
keylogger per ottenere password, leggere e-mail e tenere
traccia dell’attività dell’utente. Gli autori di spyware
utilizzano anche i trojan per accedere ai computer da
remoto e eseguire codice per avere accesso in modo
immediato alle informazioni.
“Crediamo che gli attacchi mirati continueranno a
crescere numericamente, sia per quanto riguarda le
aziende che le pubbliche amministrazioni (spionaggio
industriale e politico). Stiamo rilevando l’utilizzo di
applicazioni office combinate con tecniche di social
engineering come vettori.”
Erik de Jong, Govcert
CASE STUDY: TRASFERIMENTO DI INFORMAZIONI
RISERVATE E COMPATTE
Nel 2006, un drive flash da 1GB pieno di informazioni
segrete dell’esercito statunitense venne apparentemente
smarrito e in seguito venduto in un bazaar afgano fuori
da una base aerea statunitense.
Il drive di memoria flash, che un adolescente ha venduto
per 40 dollari, conteneva valutazioni di documenti militari
classificati come “segreti”, che descrivevano metodi di
raccolta di intelligence e informazioni – tra cui vie di fuga
in Pakistan, la sede di una casa sicura sospetta e il
pagamento di 50 dollari di taglia per ogni Talebano o
guerrigliero di Al Qaeda catturato sulla base
dell’intelligence d’origine.
19
PARTE QUARTA
LE SFIDE FUTURE
“Finché i sistemi client/server e i metodi di accesso a
Internet di base rimarranno intrinsecamente insicuri, non
c’è alcuna speranza che l’attività criminale possa
diminuire.”
Professor Klaus Brunnstein, Università di Amburgo
La crescente ingegnosità dei criminali informatici
rappresenta una sfida seria per consumatori, aziende e
forze dell’ordine. Come gli hacker, i criminali organizzati
sono alla ricerca della prossima opportunità da sfruttare.
Sono stati fatti molti sforzi per educare gli utenti,
focalizzandosi sull’aumento della consapevolezza e
incoraggiandoli a non farsi abbindolare e rivelare
informazioni personali come le password.
L’uso della banda larga diventa sempre più diffuso, e
l’essere sempre connessi significa anche che gli utenti
sono potenzialmente sempre in pericolo. Man mano che
chip e relativi pin diventeranno uno standard per le carte
di credito, i criminali cercheranno dei modi per fare soldi
in modo fraudolento tramite le transazioni online.
Internet è oggi il luogo d’incontro comune per le gang
del crimine organizzato.
McAfee ritiene che i seguenti siano i principali trend nel
settore della sicurezza informatica che aziende e
consumatori dovranno tenere sotto controllo nei prossimi
12 mesi:
DISPONIBILITÀ DI PC A BASSO COSTO
Computer non protetti o poco protetti sono la nuova
valuta del crimine organizzato. La maggior parte delle
aziende o dei consumatori che comprendono il valore
della sempre maggior quantità di contenuti sui loro
computer adotteranno misure preventive per essere certi
di essere al sicuro da occhi indiscreti, perdita o furto. Ma
con lo sviluppo della tecnologia e i progressi in termini di
ricerca per creare computer e laptop a costo bassissimo,
gli incentivi per mettere in atto tali misure saranno
sempre più trascurati, fornendo così dei facili bersagli ai
criminali che approfitteranno delle identità e delle
informazioni memorizzate.
LA CRESCITA DELLE MINACCE PER I
DISPOSITIVI MOBILE
I dispositivi mobile rappresentano una serie sfida per la
sicurezza dei dati, con connessioni sempre più potenti, il
crescente volume di dati memorizzati e l’enorme
potenziale di infettare sia reti personali che aziendali.
La crescita del malware volto a colpire la telefonia mobile
è preoccupante. Le cifre sono ancora contenute, intorno
ai 300, e i tassi di crescita sono spesso esagerati, ma
nessuno può negare che tali cifre aumenteranno. Sono
già stati registrati esempi di malware mobile a fini
economici, e quando il telefono si affermerà come mezzo
standard per trasferire denaro, il ritmo degli attacchi
esploderà.
Inoltre, i telefoni cellulari moderni (“smartphone”) sono
in buona sostanza dei computer portatili in miniatura,
che portano con sé tutti gli stessi rischi associati
all’evoluzione della tecnologia: virus, spam, phishing (o
SMiShing), e persone che si appropriano di dati da
dispositivi smarriti, rubati, riciclati o rivenduti.
Precedentemente in questo report abbiamo evidenziato i
rischi di fuoriscita delle informazioni e i furti di identità
perché non si sono eliminati in modo accurato i file prima
di sbarazzarsi di un computer, ma lo stesso vale per i
dispositivi mobile che contengono contatti, fotografie,
email, file o informazioni riservate. Infatti è già stata
segnalata la fuoriuscita o il furto di dati anche su
dispositivi online.
20
PARTE QUARTA
LE SFIDE FUTURE
Le vendite di smartphone sono aumentate del 75,5% lo
scorso anno, raggiungendo i 37,4 milioni di unità, e
aumenteranno di un ulteriore 66% nel corso del 2006. 1
La sempre maggior diffusione di dispositivi mobile
multifunzione che utilizziamo come un naturale
accessorio di vita quotidiano per collegarci in modo
efficace, li rende un obiettivo estremamente reale per
i cyber-ladri di dati e identità.
LO SFRUTTAMENTO DI CHIAMATE
TELEFONICHE INTERNET
Si prevede un aumento degli abbonati complessivi al
servizio VoIP dai 16 milioni del 2005 a oltre 55 milioni del
2009 a livello mondiale. 2
L’introduzione del VoIP sulle reti
aziendali introdurrà un altro punto di ingresso da
sfruttare da parte degli aggressori – ovvero la prossima
generazione di attacco tramite telefono.
LA CRESCITA DEI DISPOSITIVI MULTIMEDIALI
L’integrazione tecnologica porta con sé anche dei rischi.
Tale rischio è aumentato dal fatto che la maggior parte
degli utenti non riesce a comprendere a fondo le
funzionalità e possibilità complete delle tecnologie, e non
le apprezza o protegge contro le minacce di sicurezza.
INFEZIONI IMPERCETTIBILI TRAMITE FENOMENI
DI SOCIAL NETWORKING COME IL BLOGGING
Aziende e singoli hanno creato e letto sempre più blog
negli ultimi 12 mesi e anche questo fattore presenta dei
rischi. Milioni di giovani pubblicano diari online che sono
aperti a chiunque navighi sul web; ciò significa che le
informazioni personali sono pubbliche e disponibili per
quei ladri d’identità che cercano di costruire i loro profili
fasulli.
Inoltre, i consumatori che utilizzano servizi web come
logline o browser web come Firefox per visualizzare news
feed e blog sono esposti al rischio di codice malevolo
embedded che può installare spyware, parole chiave di
log e password e analizzare le reti e i PC alla ricerca di
porte aperte.
21
GLI ESPERTI IN CYBERCRIME E LE
AGENZIE DI ORDINE PUBBLICO:
STATI UNITI:
CYBER DIVISION DELL’FBI
La missione della divisione informatica dell’FBI è
quadruplice: la prima e più importante, bloccare coloro
che stanno dietro le più gravi intrusioni informatiche e la
diffusione di codice malevolo; la seconda, identificare e
combattere i predatori sessuali online che utilizzano
Internet per incontrare e sfruttare bambini e produrre,
condividere o possedere pornografia infantile; la terza,
contrapporsi alle operazioni volte a colpire la proprietà
intellettuale degli Stati Uniti che mettono in pericolo la
sicurezza e la competitività nazionale; e la quarta,
smantellare associazioni criminali organizzate nazionali e
transnazionali coinvolte in frodi Internet.
INGHILTERRA:
METROPOLITAN POLICE COMPUTER CRIME UNIT
L’Unità Crimini Informatici è un centro di eccellenza
relativamente a crimini informatici perpetrati in base al
Computer Misuse Act 1990, ovvero hacking, virus creati e
diffusi a fini dolosi e software contraffatto. L’unità offre
un ufficiale di servizio dedicato alla computer forensic e
fornisce consulenza sul recupero di prove dai computer
agli ufficiali.
PROFESSOR MARTIN GILL
Director of Perpetuity Research and Consultancy
International e Professore di Criminologia presso
l’Università di Leicester
Il professor Martin Gill ha pubblicato oltre 100 articoli su
giornali e riviste e 11 libri tra cui Commercial Robbery,
CCTV e Managing Security. E’ co-direttore del Security
Journal e direttore fondatore di Risk Management: an
International Journal. Martin Gill è un Membro del The
Security Institute, membro del Risk and Security
Management Forum, Security Guild (e perciò un cittadino
onorario della Città di Londra), ASIS International
Foundation Board, rappresentante d’oltreoceano dell’ASIS
International Academic Programs Committee e dell’ASIS
International Security Body of Knowledge Task Force. Con
i colleghi del PRCI è attualmente coinvolto in una serie di
progetti collegati a diversi aspetti del crimine nell’ambito
della sicurezza di aziende e privati, tra cui furti in negozi,
frodi, slealtà dello staff, riduzione dei furti con scasso,
rapine, l’efficacia delle misure di sicurezza, riciclaggio di
denaro, sorveglianza, violenza sul posto di lavoro, solo
per nominarne alcuni.
GERMANIA:
PROFESSOR KLAUS BRUNNSTEIN
Professore di Information Technology presso
l’Università di Amburgo
Il professor Brunnstein è Presidente del consiglio del
“Notfall-Rechenzentrums für Großrechner in Banken,
Versicherungen und Industrie” di Amburgo, un ruolo che
ricopre dal 1983. Le sue aree di specializzazione sono la
protezione dei dati, la sicurezza IT e i virus informatici.
Precedentemente, il professor Brunnstein è stato membro
della presidenza di GI (Gesellschaft für Informatik) dal
1996 al 2001 e attualmente ricopre ancora il ruolo di
Presidente dell’International Federation for Information
Processing (IFIP).
CHRISTOPH FISCHER
General Manager di BFK edv-consulting GmbH
Christoph Fischer è il general manager di BFK edvconsulting
GmbH. Vanta oltre 20 anni di esperienza
nell’area della sicurezza informatica, ed è specializzato
nella creazione e test dei concetti di sicurezza. E’ membro
delle seguenti organizzazioni: EICAR, FIRST, Cybercop
Forum e EECTF. Christoph Fischer ha studiato all’Università
di Karlsruhe (TH).
OLANDA:
GOVCERT.NL
Il GOVCERT.NL è il Computer Emergency Response Team
del Governo olandese. Istituito dal Ministero dell’Interno
e Relazioni con il Governo e operativo ufficialmente dal 5
giugno 2002, supporta il governo nel prevenire e gestire
gli eventi di sicurezza informatica
Il GOVCERT.NL opera in modo indipendente dai fornitori
come organizzazione governativa, e fa parte dell’ICTU,
l’ente olandese per l’information & communication
technology nel settore pubblico.
22
REFERENZE
PARTE PRIMA
1 Fonte: Robert Schifreen, autore di Defeating the Hacker, derivante dalla ricerca condotta online nel periodo Giugno-Settembre 2006
2 Da un’intervista con Tom Zeller Jr. del New York
Times:http://www.nytimes.com/2006/07/04/us/04identity.html?pagewanted=3&ei=5088&en=18bc230a1ae1ba06&ex=1309665600&adxnnl=0&partner=rssnyt&em
c=rss&adxnnlx=1162985316-o1mmMf67Bb0R8vQ8wCG6QQ
3 Fonte: Robert Schifreen, autore di Defeating the Hacker, derivante dalla ricerca condotta online nel periodo Giugno-Settembre 2006
4 Fonte: articolo sull’Arruolamento della Stasi di Jamie Dettmer: http://findarticles.com/p/articles/mi_m1571/is_38_15/ai_56904965 (consultato il 17 luglio 2006)
5 Da un’intervista con l’informatico Marcus Rogers del John Jay College, New York: http://www.newscientisttech.com/article.ns?id=dn9619&feedId=onlinenews_rss20.
(consultato il 28 luglio 2006)
Da un’intervista con Valerie McNiven, consulente del Governo statunitense sul cybercrime: http://www.theregister.co.uk/2005/11/29/cybercrime/ (consultato il
4 giugno 2006)
PARTE SECONDA
1 Dati tratti dal sito web dell’FBI: http://www.fbi.gov/page2/june06/cimip062806.htm (consultato il 4 luglio 2006)
2 Dati tratti da Secure Computing Research citati in: http://www.itchannel.net/info/ciphertrust_messaging_security.phtml (consultato nell octtobre 2006)
3 Dati tratti da un report di RSA Security citato in: http://www.rsasecurity.com/press_release.asp?doc_id=6877&id=2682 (consultato nel giugno 2006)
4 Dati tratti da uno studio della Harvard University e della University of California: http://www.computerworld.com.au/index.php/index.php?id=217996450
(consultato nel settembre 2006)
5 Estratto di un articolo dal titolo “Les chiffres de la cybercriminalité en France” di Francois Paget, Senior Virus Research Engineer, McAfee Avert Labs.
Settembre 2006.
PARTE QUARTA
1 Tratto dalle statistiche di Gartner riportate dalla stampa nell’ottobre 2006: http://news.com.com/Smart-phone+sales+are+soaring/2100-1041_3-6124049.html
2 Dati di previsione In Stat: http://www.instat.com/newmk.asp?ID=1566
23
Change language