BLOOM! frammenti di organizzazione
Pubblicato in data: 25/05/2005

HACKERS & CRACKERS (1)

di Maurizio Carrer

Credenze diffuse

Nell’opinione comune si confonde la figura dell’hacker con quella del cracker, attribuendo ad entrambi il significato di ‘pirata informatico’, un delinquente tecnologicamente evoluto che si arricchisce rubando numeri di carta di credito, eludendo o forzando i sistemi di sicurezza.

La differenza tra questa immagine negativa e la realtà è rilevante: un hacker non è una figura negativa, è una persona con spiccate capacità tecnico-informatiche, molto intelligente, curiosa, che ama esplorare in profondità, andare oltre le apparenze. Una persona che di solito ama mettere a disposizione di tutti le sue scoperte. Un hacker non si accontenta dell’utilizzo di un software, ma vuole capirne le logiche di fondo, lo disassembla, evidenzia lacune e difetti, immagina una soluzione migliore e più efficiente. E’ alla ricerca del software perfetto.

Per questo predilige la filosofia open source rispetto al mondo delle multinazionali del software, che creano programmi blindati e chiusi con le logiche della licenza d’uso e destinati perlopiù ad un pubblico di utilizzatori passivi. Spesso l’hacker per mettere alla prova le sue capacità e per testare il sistema che ha di fronte ne forza divieti e password, ma non lo fa con lo scopo di delinquere, anzi spesso segnala le lacune proprio al creatore del software, offrendo aiuto nella sistemazione del problema.

Recentemente mi sono trovato a subire il “defacciamento” di un mio sito web. L’hacker in questione, cioè, si è introdotto illecitamente nel server web sostituendo alcune pagine (di solito gli attacchi si limitano alla homepage) con altre a suo piacimento. Certo la cosa oltre ad essere fastidiosa mi ha anche arrecato dei danni. Sbollita l’arrabbiatura però mi sono anche reso conto di aver ricevuto preziosi consigli proprio dagli autori dell’attentato alla sicurezza del mio sistema, e ora ne so qualcosa in più. Persino Bill Gates, acerrimo nemico degli hackers, ne ha riconosciuto l’utilità. I loro ripetuti attacchi hanno contribuito a rendere più sicuri i sistemi Windows (2).

Molto diversa è la figura del cracker, che invece cerca di eludere i sistemi di protezione a scopo di lucro: rubare segreti aziendali, carte di credito e quant’altro gli capiti a tiro. A volte gli hackers, sedotti dal proprio talento informatico e dalla conseguente possibilità di fare soldi facilmente, si cimentano in attività di cracking, ma scoprono subito a loro spese che servono abilità diverse.

Sembra paradossale, ma quasi sempre gli hackers sono dotati di competenze informatiche superiori ai crackers, che a prima vista pare ne avrebbero più bisogno, non credete? Il motivo è semplice: i crackers portano a termine le loro azioni criminose utilizzando una tecnica ben più efficace, chiamata ‘ingegneria sociale’.

Qui intendo smontare la seconda credenza diffusa, che sovente descrive una sofisticatissima guerra tecnologica, con supertecnici aziendali dotati di costose apparecchiature da una parte e crackers (abbiamo imparato che non sono hackers) dall’altra, che operano dalle cantine di palazzi di periferia, con computer assemblati e altri strumenti fatti in casa. Se lo scenario fosse questo, vi dico già come va a finire. Le aziende sono enormemente più forti: vi lavorano infatti i migliori cervelli informatici del mondo, spesso ingaggiati proprio tra gli ex-hackers ingolositi da contratti milionari.

Terza credenza diffusa: i sistemi di sicurezza informatica fanno acqua da tutte le parti. I mass‑media ci raccontano spesso di ragazzini terribili che mettono in ginocchio le multinazionali del software. Ma la cosa è vera solo in parte. Le aziende investono sostanziosi budget nella sicurezza informatica e hanno sempre a disposizione, come già detto, le migliori risorse umane e le tecnologie più sicure e raffinate. La guerra insomma, pare già vinta in partenza. E allora?

Molto meglio lavorare e sfruttare le debolezze del “fattore umano”: gli esseri umani che controllano le macchine sono sicuramente molto più vulnerabili.

Ingegneri sociali

L’‘ingegneria sociale’ è la disciplina che studia un sistema sociale nel suo complesso –macchine e uomini– per capirne a fondo le dinamiche. Il social engineer prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire. Questa fase, chiamata tecnicamente footprinting, può durare parecchi mesi. Durante questo periodo il cracker studia. Impara a conoscere i sistemi di comunicazione aziendali, come funziona la posta interna, l’organigramma aziendale, giorni e orari di pulizia. Frequenta gli uffici, magari consegna buste, caffè, acqua. Conosce gli addetti alla sicurezza, segretarie, webmaster, sistemisti, chiacchiera con loro. Manda e-mail, telefona, si informa, magari finge di essere un utente inesperto che ha smarrito una password, o manda un’offerta di un nuovo firewall per incrementare il sistema di sicurezza, informandosi così nel frattempo sul funzionamento dell’attuale.

L’ingegneria sociale ci insegna vari sistemi per ottenere una password di sistema. Spesso la soluzione è veramente più semplice di quanto possiamo immaginare: di solito basta chiederla nei modi e nelle procedure aziendali corrette alla persona giusta, altre volte basta sapere dov’è tenuta nascosta, altre volte ancora si può provare a cercarla con tentativi mirati.

Il primo problema, per un possessore di password, è ricordarsela. Per cui nella stragrande maggioranza dei casi le password create sono legate alla vita personale: date di nascita, nome dei figli o del partner, il numero telefonico di casa, la squadra del cuore, il film preferito ecc. Tutte informazioni accessibili al social engineer.

Cinema d’anticipazione e ingegneria sociale

Nel 1983 –quindi con qualche anno d’anticipo rispetto ai moderni problemi di sicurezza informatica– è uscito un film interessante. Lo consiglio a chi non l’ha già visto. Il film in questione è Wargames di John Badham.

Il protagonista è David Lightman, un adolescente particolarmente sveglio (interpretato da un giovane Matthew Broderick), appassionato di computer e videogiochi. Con un rudimentale modem si collega da casa alla ricerca di videogiochi da scaricare – lo chiamerei hacker in base a quanto detto, visto che non opera a scopo di lucro.

Un giorno David si imbatte in uno strano videogioco online chiamato guerra termonucleare globale. Dopo aver cominciato a giocare si accorge che il software, incapace di distinguere reale da virtuale,ha innescato la vera procedura di lancio dei missili nucleari verso l’Unione Sovietica. Solo grazie alla sua abilità l’umanità evita di finire vittima di una terza guerra mondiale, innescata da un software.

Ci sono in particolare due scene del film su cui vorrei farvi riflettere.

La prima descrive una redditizia attività online del protagonista. David ha infatti l’abitudine di entrare nel server della sua scuola e cambiare i suoi giudizi, ovviamente in meglio – diventando cracker in questo caso. Il sistema di protezione del server scolastico prevede il cambio della password una volta la settimana, ma David sa come fare. Essendo un ragazzo particolarmente brillante e un attento osservatore, conosce molto bene gli orari e gli spostamenti della segretaria della scuola, che tiene la cronologia delle password in un quaderno e chiuso in un cassetto della scrivania. Si fa espellere dalla classe e mandare dal preside, così ha modo di stazionare in segreteria il tempo necessario per aprire il cassetto e leggere la nuova password. Ecco un perfetto esempio di ingegneria sociale. A David non importa di quanto sicuro sia il software, lui è un utente abilitato, conosce la password, non ha bisogno di forzare il sistema.

La seconda scena mostra invece David bloccato di fronte ad una richiesta di password per entrare in quello che lui crede una software house di videogiochi, mentre in realtà è un sistema militare di massima sicurezza. Non conoscendo personalmente la persona autorizzata, anche in questo caso agisce da buon conoscitore di ingegneria sociale. Va in biblioteca (Internet non esiste ancora), scopre che l’autore del sistema è un certo Stephen Falken, e documentandosi sulla sua vita personale trova la password: joshua, il nome del figlio di Stephen.

Una evidente leggerezza del programmatore, una falla del sistema servita su un piatto d’argento a David – hacker, all’occorrenza cracker ed esperto di ingegneria sociale.

Kevin Mitnick, hacker, cracker e social engineer

Nella finzione cinematografica David è un abile hacker ma anche un formidabile cracker, caratteristica piuttosto rara, riscontrabile sono in alcuni eccezionali individui. Il personaggio cinematografico è stato molto probabilmente ispirato dalle gesta di Kevin Mitnick. Conosciuto in rete come il condor, nasce in California nel 1963 e comincia la sua attività come hacker nei primi anni 80.

Diventa famoso grazie a delle imprese leggendarie: riesce facilmente ad introdursi illegalmente nei sistemi informatici delle grandi compagnie: Arpanet, Bell’s, Digital, Sun, Apple, Motorola sono solo alcune delle sue vittime più note. Ruba codice software e manuali d’informatica per accrescere la sua cultura e per testare la propria competenza.

Siamo agli albori dell’informatica moderna, Internet così come la conosciamo oggi non esiste ancora, la telefonia mobile muove i suoi primi passi. Kevin diventa un esperto di sistemi di telecomunicazione, conosce già le falle che gli consentono di telefonare gratis in tutto il mondo (phreaking) riuscendo a mascherare l’origine della chiamata. E’ un precursore dell’ip-spoofing, fondamentale tecnica oggi molto utilizzata dagli hackers su Internet, che rende invisibile l’autore.

Mitnick è una persona particolarmente sveglia e brillante, affascinato da tutte le tecnologie informatiche, è un hacker a tutti gli effetti, almeno fino a quando non rimane conquistato dai poteri dell’ingegneria sociale. Al termine del liceo continuò gli studi informatici presso il Computer Learning Center di Los Angeles. Dopo pochi mesi riuscì a penetrare in tutte le procedure del sistema informatico IBM dell’Istituto e informò il corpo docente della fragilità del sistema.

Fu chiamato dal preside il quale gli fece una proposta: o rendere il sistema sicuro, o essere espulso dalla scuola per averlo forzato. Un inconsapevole intervento in anticipo sulla futura politica di assunzione degli hackers che fecero le aziende qualche anno dopo. Naturalmente Kevin scelse la prima ipotesi e si diplomò a pieni voti. Negli anni successivi –fine anni 80 e inizio anni 90– approfondisce i suoi studi di ingegneria sociale, che lui definisce come “l’arte di convincere la gente a fare qualcosa che di norma non farebbe per un estraneo”. Pare che l’attività di Kevin Mitnick come social engineer abbia causato danni alle aziende per 80 milioni di dollari. Nel 1995 finì in carcere e ne uscì 5 anni dopo.

copertina

Scrisse nel 2002 un interessante libro, The art of deception, uscito in Italia con il titolo L’arte dell’inganno, dove descrive le varie tecniche di persuasione da lui utilizzate e sperimentate con successo.

Una delle tecniche più efficaci operate dal social engineer consiste ad esempio nel rovistare nei cestini della carta degli uffici, alla ricerca di appunti, numeri di telefono, password appuntate ecc. In ogni caso Kevin Mitnick ha sempre respinto le accuse difendendo la sua natura di hacker.

Chiamato a testimoniare al Congresso, davanti ai senatori Lieberman e Thompson dichiara:

"Ho ottenuto accesso non autorizzato ai sistemi informatici di alcune delle più grandi aziende del pianeta, e mi sono infiltrato con successo nei sistemi più inaccessibili mai sviluppati. Ho utilizzato metodi tecnologici e non per ottenere il codice sorgente di svariati sistemi operativi e strumenti delle telecomunicazioni, per studiarne la loro vulnerabilità e il funzionamento interno. Tutte queste attività servivano soltanto a soddisfare la mia curiosità innata, per vedere cosa ero in grado di fare e scoprire informazioni segrete su sistemi operativi, cellulari e tutto quanto mi stimolasse."

 Per concludere

Dobbiamo cominciare a cambiare il nostro immaginario collettivo rispetto alla figura del pirata informatico. Saremmo portati a pensare a un ragazzo schivo e senza amici, secchione, solo davanti al computer per notti intere. Invece è più vicina alla realtà l’immagine di una persona brillante, con ottime relazioni sociali, esperta di comunicazione interpersonale. E magari è dipendente part-time in un’impresa di pulizie.


1- Già apparso su Persone & Conoscenze, 7,gennaio-febbraio 2005.

2 Durante un recente congresso sulla sicurezza dei sistemi operativi Windows tenutosi a Londra, Bill Gates è intervenuto affermando che "il sistema operativo più attaccato è anche quello più sicuro". Il Chairman di Microsoft ha affermato inoltre che grazie agli hackers di tutto il mondo Windows è, o sta per diventare, il sistema operativo più sicuro al mondo.

Pagina precedente

Indice dei contributi