Cyberspazio, Cyber Defense, Cyber Security

le autostrade digitali sono infinite e ricche di insidie. Ecco di cosa si tratta e come difendersi.

“Se l’ascesa inarrestabile dell’automobile che caratterizza il Ventesimo secolo corrisponde più che altro a un desiderio di potenza individuale, la crescita del cyberspazio, invece, corrisponde piuttosto a un desiderio di comunicazione reciproca e d’intelligenza collettiva. A questo riguardo, l’errore comune è confondere le autostrade informatiche e il cyberspazio. Il cyberspazio non è una particolare infrastruttura tecnica di telecomunicazione, ma una certa maniera di servirsi delle infrastrutture esistenti, per quanto imperfette o disparate siano. L’autostrada informatica rinvia a un insieme di  software, di cavi di rame o fibre ottiche, di collegamenti satellitari ecc. Il cyberspazio, invece, mira, attraverso collegamenti fisici di qualsiasi genere, a un tipo particolare di rapporto tra le persone” (Pierre Lévy, 1999).

Non v’è alcun dubbio che, per come è stato concepito, il c.d. “cyberspazio” agevola la commissione di una lunga lista di nuove tipologie di crimini.

I reati informatici presentano alcuni peculiari caratteristiche tra cui quelle della:

  • de-localizzazione delle risorse,
  • de-temporalizzazione delle attività,
  • de-territorializzazione.

Dette peculiarità fanno si che si dibatta di reati la cui commissione può avvenire con estrema facilità in ogni parte del mondo, in ogni momento della giornata e soprattutto senza che occorra un contatto fisico fra il criminale e il web. Le novità non sono di poco conto se si ripensa alle tipizzazioni dei più classici reati contro il patrimonio (furto, rapina, estorsione, ecc.) destinati inevitabilmente a lasciare il passo ai più inafferrabili e immateriali crimini informatici.

Un po’ come avvenne con il sorpasso delle automobili in danno delle carrozze trainate da cavalli ad inizio del XX secolo.

I reati informatici

Appare pure chiaro che le fattispecie di cybercrimes siano ancora in via di espansione e di etichettatura.

Anzi, è una di quelle categorie i cui contenuti muteranno costantemente alla stessa velocità con cui si aggiorneranno le innovazioni digitali. Ma sin d’ora è già possibile individuare alcune fattispecie specifiche basilari:

  • Violazione dei sistemi informatici;
  • Attacchi al patrimonio;
  • Diffusione di contenuti illeciti online;
  • Attentato a beni personali;
  • Violazione dei diritti di proprietà intellettuale;
  • Cyber terrorismo e cyber warfare (guerra cibernetica intesa come quell’insieme di attività volte alla alterazione e alla distruzione dei dati informatici e, più in generale, dei sistemi di comunicazione);
  • Online grooming (fenomeni di adescamento, specie a danno dei minori);
  • sexting (invio di testi o immagini sessualmente esplicite tramite Internet o telefono cellulare) revenge porn (la condivisione pubblica di immagini o video intimi tramite Internet senza il consenso dei protagonisti degli stessi ).

Secondo la più accreditata dottrina, invece, non andrebbe data rilevanza penale al fenomeno del c.d. “hacktivism”, che ricomprende tutti quegli  attacchi che determinano il blocco o l’interruzione di un servizio come conseguenza diretta di un’attività spontanea di migliaia di utenti concordi nel mettere in crisi un server connettendosi contemporaneamente per ostacolarne il funzionamento.

I costi dei reati informatici

Nel 2018 il Rapporto Clusit – Associazione Italiana per la Sicurezza Informatica ha quantificato in 500 miliardi di euro il costo causato dai vari attacchi informatici avvenuti, a livello globale, nel corso del 2017. Nel computo totale, truffe, estorsioni, furti di denaro e di dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari.

Nello stesso studio è stimato che l’Italia, nel solo 2016, abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro.

Siamo il primo Paese in Europa e il decimo nel mondo più colpito dai ransomware, ossia gli attacchi che si configurano come estorsioni informatiche, che bloccano l’attività di un computer o di un qualsiasi oggetto connesso a fronte della richiesta di un riscatto economico per la sua “liberazione”.

La criminalità informatica in Italia

Detto ciò, nel nostro Paese non esiste una legislazione organica che normi i crimini informatici. E probabilmente mai arriverà per un’atavica diffidenza nei confronti dell’innovazione tecnologica che sembra colpire il popolo italico.

Possiamo invece ritrovare una serie di interventi normativi, non sempre armonici – perchè attuati quasi esclusivamente in ottemperanza a direttive comunitarie – che hanno tentato di definire ed arginare le nuove fenomenologie criminose nate e sviluppatesi con il web.

La legge 547/1993, ad esempio, ha introdotto nuove disposizioni nel codice penale sulla criminalità informatica accogliendo una raccomandazione del Consiglio d’Europa del 1989 sulla criminalità informatica.

Sono così stati introdotti, ad esempio,

  • l’art. 491-bis c.p. relativo al falso documentale informatico;
  • gli artt. 615-ter, 615-quater e 615-quinquies c.p. in materia di accesso abusivo a sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici e diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;
  • gli artt. 617-quater, 617-quinquies e 617-sexies c.p. relativi all’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche e falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
  • l’art. 635-bis c.p. relativo al danneggiamento di informazioni, dati e programmi informatici
  • l’art. 640-ter c.p. con riferimento alla frode informatica.

Nel 2000 (anno di emissione della direttiva del Consiglio d’Europa sulla criminalità informatica) e nel 2001 (Convenzione di Budapest sul cybercrime) furono introdotte nel nostro Paese nuove tipologie di reati informatici. La legge n. 48/2008 recepì i nuovi orientamenti tipizzando nuove fattispecie criminose come l’art. 495-bis c.p. (falsa attestazione o dichiarazione al certificatore di firma elettronica), ovvero altre sofisticate fattispecie in materia di danneggiamento informatico e frode informatica.

Solo nel 2013 il legislatore italiano ha introdotto una normativa in materia di furto o indebito utilizzo dell’identità digitale, nonché gli artt. 43, 44, 45 e 46 del d.lgs. 51/2018 sul trattamento dei dati personali da parte delle autorità competenti al fine di prevenzione, accertamento e perseguimento di reati o esecuzione di sanzioni penali in attuazione della direttiva UE 2016/680 e lo schema di decreto legislativo relativo alla prevenzione dei reati gravi e di terrorismo a tutela del codice di prenotazione (PNR) in attuazione della successiva direttiva UE 2016/681.

Privacy e GDPR

E non dimentichiamo soprattutto il decreto di raccordo tra normativa italiana previgente in materia di privacy (d.lgs. 196/2003, c.d. codice privacy) e il GDPR (Regolamento dell’Unione Europea 2016/679), entrato in vigore il 19 settembre 2018.

In questo caso il legislatore ha riscritto l’articolo 167 c.p. (reato di trattamento illecito di dati personali), e inserito due articoli, il 167-bis e il 167-ter (comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala).

Il Regolamento generale relativo alla protezione delle persone fisiche con riguardo ai dati personali n. 2016/679, noto come GDPR e la Direttiva relativa ai servizi di pagamento nel mercato interno n. 2015/2366, nota come la PSD2, sono certamente la prova che il legislatore ha provato ad insinuarsi tra l’utilizzo esteso della tecnologia da parte degli intermediari e il bisogno di accedere, sempre più velocemente e sempre più facilmente, ai servizi digitali da parte dei consumatori per trarne benefici.

In questo binomio di servizi e necessità, tra l’intermediario e il consumatore si colloca inoltre la vigilanza prudenziale di Banca d’Italia con l’ormai conosciuta Circolare n. 285/2013, che esalta il sistema informativo bancario (inclusivo delle risorse tecnologiche – hardware, software, dati, documenti elettronici, reti telematiche – e delle risorse umane dedicate alla loro amministrazione) come uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso.

In buona sostanza, negli ultimi anni, il legislatore ha cercato di rendere l’ambiente informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione, vuoi del crescente impiego dello strumento di pagamento elettronico da parte del pubblico degli utilizzatori, vuoi del parallelo espandersi degli attacchi sferrati dalla nuova criminalità nello stesso ambiente.

Fatte queste brevi e parziali premesse giuridiche, proviamo a scendere anche su un piano più squisitamente pratico.

Gli attacchi informatici

Per attaccare un sito con la tecnica c.d. Ddos (ha lo scopo di rendere un server, un servizio o un’infrastruttura indisponibile. Esistono diverse tipologie di attacco, ad esempio un sovraccarico della banda passante del server per renderlo irraggiungibile o un utilizzo delle risorse della macchina fino all’esaurimento, per impedirle di rispondere al traffico legittimo) un hacker professionista richiede un prezzo è di 5 dollari l’ora, mentre per 90 dollari si può ottenere il furto di 300.000 punti bonus di una compagnia aerea, mentre per 450 dollari ne avrete 1.500.000.

Il cyberspazio ed il sistema bancario

Nemmeno i conti bancari sono al sicuro. Per rubare le credenziali bancarie di un correntista gli hacker chiedono dal 1% al 5% del saldo che c’è sul conto da violare.

Per avere invece un conto bancario con 15.000 dollari ne bastano 500. Per ottenere un passaporto digitale falso occorrono tra i 2.000 e i 3.000 dollari per uno europeo, e tra i 3 e i 10.000 dollari per uno americano.

La maggior parte degli sportelli automatici presenti oggi nelle nostre città sono hackerabili in soli 20 minuti. L’85% dei bancomat delle banche, infatti, può essere soggetto a uno o più malware mentre tutti sono sabotabili con skimmer e altre tecniche manuali che i malfattori riescono ad applicare a un ATM. Con la prima tecnica gli hacker possono manomettere lo sportello in sé e quindi rubare i soldi che un utente va a prelevare, mentre con gli skimmer i cyber criminali possono clonare le nostre carte di credito.

Come viene manomesso un bancomat dagli hacker?

La tecnica più rapida (dai 10 ai 20 minuti) per sabotare un bancomat è quella definita Black Box. In un attacco del genere infatti un hacker apre la cassa dello sportello automatico e vi fa un buco per raggiungere il cavo che collega il computer dello sportello automatico alla cassaforte del bancomat. I cyber criminali quindi vi collegano uno strumento creato su misura, chiamato appunto Black Box, che inganna lo sportello automatico per erogare denaro contante su richiesta. In pratica, senza inserire una carta valida, lo sportello eroga denaro.

Anche i POS sono presi d’assalto. I cyber criminali, infatti, infettano i POS di grandi centri commerciali, riuscendo così a entrare in possesso di un gran numero di carte di credito nel giro di poco tempo. Sfruttando, poi, la connessione a Internet di cui sono dotati i terminali di pagamento sono in grado di trasferire i dati verso server sicuri e utilizzarli per duplicare carte di credito da utilizzare per acquisti online e non solo.

Smartphone e pc vulnerabili sotto attacco

Veniamo adesso agli attacchi hacker commessi attraverso l’uso di uno smartphone o  di un pc.

Uno dei pericoli più grandi è rappresentato dall’attacco definito “man-in-the-browser”. In pratica il virus infetta il computer o lo smartphone, creando delle estensioni sul browser. In questo modo quando usiamo dei siti di pagamenti online o il portale del nostro account bancario, verremo reindirizzati su siti simili ma fasulli, il cui unisco scopo è di impossessarsi dei nostri dati (le credenziali del conto corrente online o il codice CVC della carta di credito). In questo modo invece che pagare la bolletta della luce staremo facendo un bonifico a un cyber criminale.

Cos’è il clickjacking?

Un altro grande rischio per i nostri conti in rete è rappresentato dal cosiddetto “clickjacking”. Questo è usato soprattutto sui siti di e-commerce, di pagamenti in generale e anche su siti di beneficenza. In pratica quando il sito è infettato presenterà un’enorme bottone invisibile, in modo tale che quando noi cliccheremo su “Paga ora” oppure “Dona ora”, manderemo in automatico i soldi ai cyber criminali.

Cosa sono i trojan?

Passiamo adesso alla categoria dei trojan, che sono malware che vengono nascosti all’interno di un altro programma apparantemente innocuo o utile. L’utente, eseguendo o installando quest’ultimo programma, in effetti attiva anche il codice del trojan nascosto.

Un primo esempio specifico di trojan banker che utilizza la tecnica di phishing è Android.ZBot, la cui installazione viene veicolata tramite un’altra app apparentemente innocua che funge da dropper.

Android.ZBot assume l’aspetto dell’applicazione Google Play e chiede all’utente la conferma dei privilegi di amministratore del dispositivo, tramite i quali è poi in grado di utilizzare gli SMS per intercettare le autentificazioni a doppio fattore nonché monitorare le app utilizzate sul dispositivo.

Se non confermiamo tali privilegi comunque il malware non si arrende, perché genera una falsa schermata di Google Wallet, il metodo di pagamento utilizzato per acquistare nel mondo Google, allo scopo di farci inserire i dati della carta di credito e inviarli all’esterno. Infatti trattandosi di Android è praticamente certo l’utilizzo di Google Play e quindi una richiesta di questo tipo dall’utente può essere considerata lecita.

Questa però non è l’unica possibilità di phishing attuabile da Android.ZBot.

Avendo i privilegi di amministratore si può monitorare il dispositivo e generare una falsa schermata dell’applicazione bancaria utilizzata dall’utente; e al momento le varianti possibili sono circa 40.

Cos’è ZitMo?

Un altro esempio di malware (anzi di spyware) è ZitMo, un trojan banker per Android che lavora in abbinata con Zeus, che invece risiede sul PC. In questo caso, infatti,  l’infezione dello stesso smartphone è provocata dall’operato di Zeus.

L’attacco è di tipo diverso perché si riferisce a quei casi in cui l’operazione di home banking viene eseguita dal PC, con l’ausilio dello smartphone per l’autentificazione a due fattori basata su SMS.

ZitMo si spaccia per un’app di sicurezza corredata di certificati. I nomi che può assumere sono i seguenti:

  • Trusteer Rapport
  • Android Security Suite Premium
  • Zertifikat

In tal caso, i permessi richiesti per l’installazione sono:

  • RECEIVE_SMS
  • SEND_SMS

Il programma è capace di inoltrare agli hacker gli SMS tra i quali si trova anche quello contenente il codice necessario per concludere l’operazione, che per ragioni di sicurezza viene inviato proprio via SMS.

Dato che in questo contesto l’operazione bancaria viene eseguita dal PC, l’abbinata Zeus-Zitmo permette di reperire tutte le credenziali necessarie per violare l’home banking della vittima.

Di seguito altre tecniche utilizzate dai trojan banker.

Cos’è il repacking?

Il “repacking” consiste nello scaricare l’app (APK) di una certa banca, decompilarla per modificare il codice, ricompilarla, firmarla con la chiave privata e caricarla sullo store.

Il risultato sarà che l’utente farà un bonifico su un altro conto corrente.

Cos’è il keylogger?

Un altro modo per ottenere l’accesso è un “keylogger”, che si occupa di leggere tutti gli input da tastiera che l’utente digita per inviarli all’esterno. E’ una tecnica utilizzata anche sui PC ma su device come smartphone e tablet, che non hanno una tastiera fisica, assume una connotazione particolare. In questo caso infatti viene inviato il modello del device e le coordinate XY premute sullo schermo dall’utente. Con queste due informazioni è in grado ricostruire i caratteri corrispondenti nella sequenza digitata.

Cos’è il form grabbing?

Il “form grabbing” invece è usato per intercettare i dati inseriti tramite tastiera virtuale o con il “copia e incolla”. Si tratta sempre di un malware che nel momento in cui clicchiamo sul tasto “submit” per confermare i dati inseriti nella form, li comunica all’esterno prima che vengano inviati dal browser.

Nel corso del tempo le banche, per prevenire questo tipo di frodi finanziare, hanno introdotto le tecniche di autenticazione a due fattori (un esempio l’invio di un sms con il codice).

La risposta è stata immediata. Sono nati i “Remote Access Trojan” (RAT).

I RAT sono a tutti gli effetti dei Trojan che permettono all’attaccante di accedere alle funzionalità del dispositivo. Tra queste funzionalità abbiamo non solo la possibilità di registrare e intercettare le telefonate, utilizzare le telecamere o installare software, ma anche quello di intercettare e inviare gli SMS.

I RAT di fatto annullano le tecniche di autenticazione a due fattori che gli istituti finanziari hanno implementato.

I RAT più diffusi sono:

  • Dendroid
  • OmniRAT
  • SpyNote.

Ai RAT dobbiamo aggiungere una nuova famiglia, gli “Infostealer”, che offrono meno servizi e funzionalità rispetto ai RAT ma hanno una caratteristica particolare, quella di intercettare e inviare al Criminal Hacker i messaggi SMS contenenti le password monouso che vengono usate per l’autenticazione a due fattori.

Di seguito sono indicate le tecniche più utilizzate per il furto delle credenziali:

Overlays: è la tecnica più utilizzata. Quando l’utente apre un determinato sito, il trojan banker sovrappone una pagina che viene progettata per acquisire le credenziali di accesso.

Redirection: in questo caso il trojan banker opera a livello di processo. Quando l’utente apre un determinato sito, viene automaticamente reindirizzato su un sito clone costruito appositamente dal Criminal Hacker.

Injects: è una tecnica evoluta. L’injection permette di inserire stringhe di codice eseguibile malevolo all’interno di campi di input. Questa tecnica è fattibile solo in presenza di vulnerabilità del sistema.

Hook: è la tecnica più evoluta, complessa e innovativa. È attualmente utilizzata dal Trojan Banker BackSwap. Non interagisce con il browser a livello di processo. Opera a livello di “hook” per eventi di Windows. In questo modo il Banking Trojan rileva quando l’utente si connette a specifiche applicazioni o siti di home banking e completa l’operazione inserendo un codice eseguibile JavaScript malevolo direttamente nella barra degli indirizzi. Altro aspetto importante è che il trojan Banker ha precompilato differenti codici malevoli corrispondenti per diverse applicazioni bancarie.

A questo punto, quando il criminal hacker accede al conto corrente online, l’istituto finanziario invia un SMS con la password monouso all’utente proprietario.

Qui entrano in gioco i fedelissimi RAT e/o Infostealer che provvederanno ad intercettare ed inviare al Criminal Hacker le informazioni per completare l’accesso all’Home Banking.

Ovviamente l’SMS sarà cancellato prima che l’utente abbia la possibilità di vederlo.

Argomenti e problematiche ancora diverse sono quelli introdotti dal cyber terrorismo e dalla cyber warfare.

Lo spionaggio militare

Spesso autori di questi attacchi non sono singoli individui o piccole comunità di hacker ma anche vere e proprie organizzazioni statali: ad oggi si stimano in più di 100 le nazioni con capacità di compromettere e danneggiare infrastrutture critiche e servizi essenziali attraverso attacchi cibernetici di alto impatto, come i recenti WannaCry e NotPetya, in grado di causare miliardi di dollari di danni.

Il 2017 ha fatto registrare, secondo il Clusit, un forte aumento degli attacchi compiuti con finalità di Information Warfare, gestione e uso delle informazioni per scopi militari, con un preoccupante +24% rispetto al 2016; ed ancora il Cyber Espionage (lo spionaggio con finalità geopolitiche o di tipo industriale, tra cui il furto di proprietà intellettuale) cresce del 46% rispetto al precedente anno di rilevazione (2016) e nei soli Stati Uniti ha causato danni dell’ordine di 600 miliardi di dollari.

Nel 2017 uno degli sviluppi più importanti nel panorama degli attacchi informatici è stata proprio l’evoluzione del ransomware, con l’avvento di “worm ransomware” basati sulle reti che rendono superflua la presenza dell’elemento umano per lanciare le campagne di attacco. Inoltre, alcuni criminali informatici che utilizzano questa tipologia di attacco non ambiscono più al solo riscatto ma, purtroppo, puntano alla distruzione di dati, sistemi e strutture informatiche. Questa attività è ad oggi registrata in forte aumento (fonte: Report annuale di Cisco sulla Cybersecurity 2018).

In ogni caso il numero di attacchi mirati contro i “settori critici” si è quasi quintuplicato nel corso degli ultimi cinque anni, un trend che sta mettendo seriamente a rischio la sicurezza a livello nazionale e globale.

Cyber Defense e Cyber Security: come difendersi?

Ogni futura attività in materia di cyber defense, di strategie nazionali, di certificazioni ed etichettature di processi e prodotti, di definizione di standard e soluzioni per l’interoperabilità, deve essere coerente con l’attuale ecosistema internazionale e fondarsi sulla reciproca collaborazione tra Paesi e istituzioni interessate. In tale quadro, appare necessario promuovere la crescita di un’industria internazionale della cyber security partendo dagli asset già disponibili, valorizzandoli e mettendoli a sistema, modellando il complesso delle regole per favorire uno sviluppo coordinato dell’intera filiera.

I livelli su cui lavorare sono molteplici ma tra loro fortemente interdipendenti: da una parte il quadro normativo, gli standard di interoperabilità, il processo di conformità e di labeling per le soluzioni HW e SW; dall’altra la conoscenza, lo sviluppo delle competenze e la formazione. In particolare, la domanda di nuove professionalità in ambito digitale sta crescendo a fronte di un mercato del lavoro non ancora in grado di proporre adeguate competenze ad elevata qualifica professionale, dotate di flessibilità e capacità di adattamento a mansioni non routinarie.

La protezione dei sistemi, delle infrastrutture “digital based” e dei dati trattati, scambiati e conservati è una sfida prioritaria da affrontare per assicurare al Paese sicurezza e crescita.

In estrema sintesi, i dati sopra riportati indicano che la sicurezza informatica è chiamata  ad un deciso cambio di paradigma per affrontare una sfida che si configura a livello globale: bisogna superare la logica dei sistemi “stand alone” da mettere in sicurezza, è l’intero ecosistema che dev’essere reso sicuro: tecnologie, macchine e persone.

All the best

dott. Massimo Moschella
dott. Gian Michele Moschella