You are currently browsing the tag archive for the ‘hacker’ tag.
Se vogliamo verificare il nostro livello di sicurezza digitale, niente di meglio che chiedere a un hacker di sceglierci come vittima e vedere cosa riesce a ottenere. È quello che ha recentemente fatto Kevin Roose di Fusion. Il risultato? Inquietante: meglio non provare a ripetere l’esperimento a casa.
Per prima cosa l’hacker ha raccolto informazioni sulla vittima, sfruttando tutto ciò che è disponibile su internet (social network, siti aziendali, blog…) e i dati così ottenuti potevano già essere sufficienti per creare danni, come interrompere la fornitura di energia elettrica a casa di Kevin Roose. Poi l’hacker ha chiamato l’operatore telefonico della vittima, simulando una chiamata dal suo vero numero, e con pochi minuti di social engineering è riuscito a farsi dare i dati d’accesso alla sua casella di posta. Abbastanza per avere il controllo su una buona parte della sua vita.
Il secondo tentativo di attacco era invece basato su software malevoli: è bastato inviare alcuni falsi messaggi (mail o messaggi di sistema) perché la vittima cliccasse e concedesse così il completo accesso al suo computer all’hacker: controllo della webcam, controllo di ogni parola scritta sulla tastiera (comprese tutte le password). In pochi clic, insomma, l’hacker ha avuto accesso a conti bancari e finanziari, carte di credito, profilo su siti di e-commerce e altri. Se si fosse trattato di un vero attacco e non di un test, la vittima avrebbe potuto ritrovarsi senza un soldo e forse anche senza casa.
Questi due tentativi di hacking ci dimostrano quanto le nostre vite digitali siano vulnerabili ma ci indicano anche quali sono i possibili punti deboli e cosa possiamo fare per difenderci. Il terzo hacker, che si è occupato di ripulire tutto e cancellare le tracce sul computer della vittima, ha sottolineato che anche se siamo tutti potenziali vittime di un hacker con le capacità sufficienti per rovinarci la vita, la maggior parte delle persone non ha un profilo che valga la pena attaccare.
Questo non vuol dire che dobbiamo abbassare la guardia. Piccoli accorgimenti possono salvarci da brutte sorprese:
- non apriamo mai gli allegati alle mail che provengono da mittenti che non conosciamo
- non clicchiamo sui link presenti nella mail se non siamo sicuri al 100% che siano affidabili (il phishing è sempre dietro l’angolo!)
- facciamo attenzione alle informazioni che pubblichiamo su internet: potrebbero essere usate per trasformarci in vittime (di truffe o furti di identità)
- usiamo password sufficientemente sicure e diverse per ogni servizio
Per tenere sotto controllo la circolazione dei nostri dati sul web, possiamo rivolgerci a Sicurnet, il servizio di Mister Credit che ci avvisa se i nostri dati personali e finanziari vengono intercettati sul web.
Il modo migliore per capire quali rischi possiamo correre utilizzando reti wifi o sistemi non sicuri è vedere di persona quello che un hacker può fare, spesso in poche (e relativamente semplici) mosse. La trasmissione Patti chiari, della Radiotelevisione svizzera, ha trovato quattro volontari disposti a essere utilizzati come cavie e un hacker esperto di sicurezza e intrusioni informatiche. Il risultato? Più preoccupante di quanto si potrebbe immaginare.
I quattro cittadini svizzeri che hanno partecipato all’esperimento, diversi per abitudini e conoscenze informatiche, erano comunque tutti accomunati dalla convinzione di essere relativamente al sicuro. Dopo essere stati spiati per circa tre settimane, hanno dovuto cambiare idea.
La prima “vittima” è stata incastrata tramite le informazioni che aveva messo sulla sua pagina Facebook, aperta a tutti. All’hacker è bastato confezionare una email fasulla di una associazione in difesa degli animali per convincere la donna a cliccare e installare, a sua insaputa, un trojan sul proprio pc: l’hacker è stato in grado di tracciare la sua navigazione, recuperare le sue password e i suoi messaggi di posta elettronica e, addirittura, attivare la webcam e spiare in casa.
Facebook è “una miniera d’oro”, ha detto l’hacker, soprattutto se la pagina è pubblica, perché permette di preparare un’esca su misura per la vittima prescelta. Il consiglio dell’esperto informatico, in questo caso, è semplice: mettete online poche informazioni su di voi, controllate sempre l’indirizzo da cui arrivano le email, non aprite allegati di cui non siete certi e non visitate pagine su cui avete dei dubbi, anche perché basta un browser in una versione non recente per essere colpiti da virus o trojan. L’antivirus deve essere sempre aggiornato.
L’hacker ha poi monitorato le reti wireless disponibili in centro a Lugano, spostandosi in auto: entrare in quelle con la sola protezione WEP è stato piuttosto semplice, grazie a un software in grado di provare parecchie combinazioni di password in pochissimo tempo. Per proteggere il wifi, meglio la WPA 2, come quella della seconda vittima: la violazione di privacy è riuscita comunque, ma è stata necessaria una procedura più complessa. L’hacker ha ottenuto il numero di telefono della vittima tramite ricerche in rete, ha poi individuato la sua data di nascita utilizzando un software che ha provato moltissime combinazioni sulla pagina dell’operatore telefonico Swisscom, infine ha chiamato l’operatore, mascherando il numero e simulando una chiamata dalla casa della vittima, e ha fornito nome, numero di telefono e data di nascita, riuscendo così a ottenere la password per collegarsi al wifi. Si tratta di una procedura simile a quella utilizzata da alcuni hacker per violare un account iCloud. Una volta ottenuta la password del wifi, sottrarre altre informazioni sensibili (come le password dell’e-banking) è semplicissimo.
In un altro caso le domande di controllo di Swisscom sono sembrate più serie, ma è bastato rispondere in modo un po’ vago per ottenere la password tramite una semplice telefonata. Swisscom ha però dichiarato che le sue procedure di sicurezza non sono state rispettate. Della quarta vittima, invece, l’hacker è riuscito a recuperare un vecchio indirizzo email: una volta trovata la password, è bastato inoltrare su questo indirizzo i messaggi in arrivo su quello attualmente in uso della vittima, ottenendo così fatture telefoniche e dati personali.
“Non c’è niente di sicuro al 100%”, ha sottolineato l’hacker, ma ci sono alcuni accorgimenti che possono aumentare il livello della nostra sicurezza, come non utilizzare la rete wifi quando si fanno operazioni di e-banking o acquisti online: meglio collegare il computer alla rete con il cavo. La trasmissione è disponibile online, per chi volesse vederla integralmente (si parla del tema a partire dal minuto 20:40).
Fabio è in uno di quegli internet café, diffusi soprattutto nelle periferie e nei sobborghi, pieni di vecchi computer. Sta imparando le basi per fare dei furti d’identità via web. Fabio, non è il suo vero nome, sta prendendo lezioni online da un hacker esperto. Il candore con cui ci parla della sua nuova carriera è disarmante: “Compro piccoli oggetti. Cellulari, fotocamere… Così le persone non si rendono conto che io sto utilizzando le loro carte di credito.”
Un’altra storia, vera, riportata dalla BBC, parla di un ragazzo di San Paolo, povero e con una famiglia da sostenere. Sono molti i cyber criminali che attaccano gli Stati Uniti, dove tutto è più sviluppato, compreso il crimine informatico. L’esempio di Fabio testimonia che lo stesso fenomeno si sta verificando in Italia, come anche in Africa o nell’Est Europa. Ma chi sono questi ladri online? Riprendendo un argomento già trattato in passato dal nostro blog, vi proponiamo una classificazione dei profili tipici:
Bambini e adolescenti. A quest’età solitamente il cyber crimine prende le forme del bullismo, nello specifico cyber bullismo, come un caso segnalato tempo fa da La Stampa. In questi casi si tenta di appropriarsi di informazioni riservate, magari conservate in un computer e non i rete, per renderle pubbliche, oppure si riproduce un profilo online.
Hacker organizzati. L’obiettivo di questi gruppi è di unire le forze e le competenze per raggiungere precisi obiettivi. Negli ultimi mesi si è parlato molto degli attacchi del gruppo Anonymous, i cui obiettivi sono principalmente ideologici e/o politici. Alcuni dei siti che negli ultimi anni hanno subito i maggiori attacchi sono quelli della NASA e di Microsoft, insieme ad altre numerose aziende e siti governativi che hanno subito intrusioni e furti di dati.
Cracker di professione. Lo fanno solo per rubare soldi. I cracker sono gli hacker al servizio del crimine. Possono essere assoldati da altri per rubare informazioni riservate (come nei migliori film d’azione). Tutto questo finché non vengono pagati dalle stesse organizzazioni contro cui combattevano per mettere alla prova i propri sistemi di sicurezza (sì, avviene anche questo nella realtà).
Altri. Sono tanti i motivi che possono spingere delle persone a forzare dei sistemi di sicurezza informatica, ad esempio degli ex dipendenti per rifarsi delle ingiustizie che hanno (o pensano di aver) subito, com’è accaduto a Gucci. Si tratta di crimini contro la legge, contro l’ordine costituito e in quanto tali possono avere anche motivazioni poco razionali.
Noi di Mister Credit abbiamo sempre ritenuto che il modo migliore per renderci utili sia tenervi informati su cosa accade in un mondo sempre più interconnesso e complesso da decifrare, insegnando il valore della privacy anche alle nuove generazioni e facendovi provare in prima persona i nostri servizi. Fino a qualche anno fa, molti non pensavano che ci fosse bisogno di proteggere la nostra reputazione personale, un “problema”, in genere, che apparteneva a personaggi famosi o a grandi imprese. Poi sono arrivati i social media con le loro rivoluzioni, la maggior parte delle quali positive, ma pur sempre con dei lati oscuri.
Oggi, leggendo le notizie sui furti di identità ci si rende conto che sia la frequenza che l’entità dei danni subiti dalle persone da parte dei cracker (gli hacker che compiono azioni criminali) aumenta progressivamente.
La nostra impressione è che il 2011 sia stato un anno importante dal punto di vista della sicurezza informatica, in cui sono accaduti molti eventi degni di nota, alcuni anche gravi. Seppur con ritardo, sta crescendo la consapevolezza delle persone verso le tematiche della sicurezza e anche noi, che dedichiamo buona parte del nostro tempo alla ricerca e allo sviluppo di servizi sempre più evoluti, stiamo imparando ogni giorno di più.
A questo punto, la domanda è: quali sono i prossimi rischi all’orizzonte? Su quali settori dobbiamo concentrarci, tutti noi, per affrontare il 2012?
Il settore mobile
Ogni azienda tecnologica, nel settore della comunicazione, sta puntando tutto sul mobile: HP ha addirittura dichiarato che avrebbe cessato la produzione di computer laptop in favore degli smartphone. In seguito c’è stata una smentita, ma è pur sempre una dichiarazione forte. A breve tutti avranno uno smartphone e moltissimi un tablet: vi abbiamo dato i suggerimenti per proteggere questi dispositivi.
Il cloud e i servizi basati sul web
Mentre attendiamo che le chiavi biometriche ci liberino dall’incombenza di gestire una quantità di password, ci è sembrato opportuno fare il punto sulla questione: leggete il nostro pratico vademecum su come creare la password perfetta, da seguire con il massimo scrupolo.
Cyber Terrorisimo
Nel focalizzarci sulla nostra vita privata, su come gestire i nostri interessi e proteggerli dai rischi informatici, non abbiamo tralasciato i pericoli che ci interessano come collettività. Ecco perché quest’anno abbiamo analizzato anche un altro tipo di criminalità, quella legata al cyber terrorismo e alle ali più estreme della dissidenza. Qualcuno potrà pensare che certe questioni politiche siano al di fuori delle nostre vite. Ebbene, gli eventi del 2011 hanno dimostrato che anche grandi attacchi possono avere dirette conseguenze sulle nostre vite come l’attacco informatico al Playstation Network e, in seguito, ai maggiori atenei italiani avvenuti in primavera. In quell’occasione abbiamo deciso di prestare un aiuto concreto: il controllo gratuito delle email rubate è ancora disponibile.
Alla fine di questo anno, non ci resta che augurarvi un felice e “sicuro” Natale e un buon inizio di 2012!
Photo: fanpop
La CIA ha affermato che attualmente il secondo rischio più grande per gli Stati Uniti dopo un attacco atomico è costituito dal cyber terrorismo.
L’annuncio, anche se di una certa portata, non è nuovissimo visto che ancor prima il Presidente Obama aveva dichiarato che i sabotaggi ai sistemi informatici governativi e militari sarebbero stati, da lì in avanti, considerati come veri e propri atti di guerra. Internet è nato negli Stati Uniti, dove le aziende hanno grande libertà e possibilità di sfruttarne i vantaggi a livello globale, nonostante il forte controllo delle autorità governative. Ma è proprio il potere che le multinazionali stanno accumulando oltre i confini nazionali a mettere a rischio gli stessi governi fino a renderli più “vulnerabili allo spionaggio”. In più, è il caso di Google, certe aziende arrivano anche a rendere difficili le relazioni diplomatiche, come sta accadendo in questi anni tra USA e Cina.
Ma qual è la storia degli atti ostili contro gli Stati nazionali? Ripercorriamo i più grandi cyber attacchi governativi ad oggi entrati nei libri (ormai dovremmo dire siti web) di storia: Leggi il seguito di questo post »
Le storie raccontate dalla fantascienza a volte si avverano. È il caso del crimine informatico in costante crescita e sviluppo. A volte, l’obiettivo non è strettamente economico.
Il primo virus che sia mai stato individuato (e che abbia infettato un pc) risale al 1986, ben 25 anni fa e fu creato da due fratelli pachistani. La storia tecnologica corre molto rapidamente e nel 2010 è uscito Cyber War, un testo piuttosto catastrofista molto popolare, scritto da Richard Clarke, esperto di controterrorismo e consulente per numerosi anni del governo USA.
In che modo un attacco informatico di cyber terroristi potrebbe influire su di noi?
Secondo il libro di Clarke, che parla del caso americano, l’attacco potrebbe avvenire ai danni del cervellone del Pentagono collegato agli altri provider di Internet, andando a influire sul funzionamento degli impianti pubblici come quelli chimici che regolano le quantità di cloro nell’acqua potabile e di altre sostanze nocive se usate in forti quantità. Per non parlare poi dei sistemi che regolano le metropolitane (che evitano gli scontri tra i vagoni) e del traffico aereo, sempre controllato da software connessi tramite la rete Internet. E tutto questo potrebbe avvenire nel giro di 15 minuti. Preoccupante il fatto che anche Mike McConnell, l’ex capo della National Security Agency ha detto durante un Congresso: “Se dovessimo entrare oggi in un conflitto cibernetico, perderemmo”. A questi si è aggiunto Leon Panetta, Segretario alla Difesa USA: “Un attacco Cibernetico potrebbe trasformarsi nella prossima Pearl Harbor”. Leggi il seguito di questo post »
Se fino a due anni fa Internet senza fili era una comodità in più, oggi le reti Wi-Fi sono praticamente indispensabili per connettere i nostri dispositivi mobili. Ma prima di connettersi, è importante prendere i giusti accorgimenti contro le intrusioni degli hacker.
Ne avevamo già parlato nel caso di reti Wi-Fi di luoghi pubblici “tipici”, come gli aeroporti o le piazze connesse, senza dimenticare che ci sono anche i bar, le biblioteche e ogni luogo in cui rileviamo una qualsiasi Rete Pubblica. Fino a poco tempo fa, in Italia era obbligatorio per legge identificare qualsiasi accesso internet. Con la legge Pisanu ogni gestore era tenuto a identificare, con copia del documento di identità, le persone che ottenevano l’accesso alla rete. Dal 2011, la legge è stata abrogata e ne è derivata una maggiore libertà, ma anche più rischi… Leggi il seguito di questo post »
Tempo fa Facebook ha di nuovo modificato la gestione della privacy per i profili personali, forse per rispondere alla mosse di Google+, o forse era tutto già in programma. Comunque sia, eccoci qui ad aggiornarvi sulle novità del caso.
Scegli con chi condividere il tuo status
L’idea base è quella di poter condividere ciascun aggiornamento di status solo con chi si desidera. Possiamo taggare i nostri amici e segnalare il luogo in cui ci troviamo, collegandolo a ogni aggiornamento di status. Da un menù a tendina, decidiamo se condividere il nostro status con tutti, solo con i nostri amici o restringere il campo ad amici specifici escludendone altri. Questo tipo di “selezione dei contatti”, non molto dissimile dalle “cerchie” di Google, può essere fatto anche a posteriori, ovvero dopo la pubblicazione del messaggio. Inoltre, alcuni rumors parlano del fatto che Facebook a breve sarà in grado di creare per noi delle liste tipo: “amici”, “lavoro”, “conoscenti”… Leggi il seguito di questo post »
Ogni volta che dobbiamo inventarne una nuova è una seccatura: lunga, difficile da scoprire (e da ricordare). Qui vi spieghiamo come ideare delle password a prova di hacker. E come fare per non dimenticarle.
NB: i consigli che seguono potrebbero diventare inutili in caso di attacco tramite keylogger o intrusione nel nostro computer via malware. Leggi il seguito di questo post »
Parlare di cyber truffe solo per l’Italia non ha senso, diranno in molti. Ormai il web ha davvero abbattuto i confini nazionali, soprattutto in fatto di criminalità. Tuttavia possiamo trovare delle peculiarità per ciò che riguarda la realtà del nostro paese. Leggi il seguito di questo post »
