Tutto quello che devi sapere su pirati, virus informatici e attività dolose.
Il tempo è prezioso. La vita è troppo breve per preoccuparsi dei computer. Siamo d’accordo. Ma per riconoscere le minacce esistenti e scoprire come affrontarle è necessario avere un minimo di conoscenze tecniche. Non è il caso di preoccuparsi, ci limiteremo allo stretto indispensabile.
Reti, inter-reti e Internet
Il computer in sé è qualcosa di straordinario, una meraviglia tecnologica. Ma il suo punto di forza sta nel consentire la comunicazione. Basta collegare tra di loro due o più computer mediante schede di rete e cavi (o attraverso una configurazione senza fili) per ottenere una rete locale, o LAN (Local Area Network). Tutti i computer connessi in rete possono condividere dati e sistemi di posta elettronica, nonché accedere a risorse condivise come stampanti, modem o connessioni a Internet a banda larga. Collegando tra di loro due o più LAN si ottiene una rete remota, o WAN (Wide Area Network). Per esempio, attraverso una linea dedicata è possibile collegare tra di loro due uffici ubicati in luoghi diversi.
Collegando tra di loro più reti si ottiene una inter-rete. Le informazioni contenute in un computer connesso a una rete qualsiasi possono essere trasmesse a qualsiasi altro computer connesso a qualsiasi altra rete tramite l’inter-rete, che funge da portante comune. Una inter-rete può essere descritta come una rete autostradale che collega i diversi sistemi viari locali.
Internet non è altro che una inter-rete a livello mondiale. Tutti i computer connessi a Internet comunicano tramite protocolli standard, cosicché le informazioni trasmesse da qualsiasi computer connesso possono essere ricevute da tutti gli altri. E qui iniziano i problemi: finché non ci si connette a una rete pubblica si è relativamente al sicuro da minacce esterne. Attivare un collegamento a Internet, d’altro canto, equivale a rendere pubblici il proprio nome, indirizzo e numero di telefono e a dichiarare di possedere uno o più computer.
Pacchetti
In genere, le informazioni viaggiano attraverso le reti sotto forma di pacchetti. Per pacchetto si intende un insieme di dati corredati da un indirizzo e da altre informazioni che consentono alle reti di inviarli dove richiesto. Tutto ciò che viaggia su Internet viene suddiviso in pacchetti: pagine Web, messaggi e-mail, file scaricabili, ecc… È un po’ come organizzare il trasporto di un circo: è impensabile cercare di trasportare l’intero circo in un unico veicolo. È necessario suddividerlo in veicoli separati, informare ciascuno di essi sulla rispettiva destinazione e, una volta arrivati, provvedere a ricomporre il circo. Così come i veicoli sulle strade, i pacchetti sono fisicamente connessi e si spostano a flussi. I dati più voluminosi sono suddivisi in una serie di pacchetti e ricomposti una volta arrivati a destinazione. Durante la trasmissione in Internet, i pacchetti sono effettivamente esposti a “orecchie indiscrete”.
Porte e indirizzi
A ciascun computer collegato in rete viene assegnato un numero univoco, denominato indirizzo IP. L’indirizzo IP definisce in modo univoco un computer in rete e fornisce ai pacchetti di dati tutte le informazioni necessarie perché giungano a destinazione. Gli indirizzi IP possono essere considerati alla stregua di indirizzi stradali. Una parte dell’indirizzo indica il segmento di rete del computer di destinazione, mentre l’altra identifica il computer vero e proprio.
Come abbiamo visto, l’indirizzo IP si riferisce al computer e al segmento di rete su cui esso si trova, ma non basta. È necessario che anche le applicazioni installate sul computer in questione possano essere identificate. Si pensi al numero di un appartamento compreso in un indirizzo stradale: l’indirizzo stradale indica l’edificio in cui si trova l’appartamento, mentre il numero indica l’appartamento vero e proprio. Allo stesso modo, l’indirizzo IP indica il computer, mentre il numero della porta indica il programma installato sul computer. A tutti i programmi installati su un computer che devono inviare e ricevere dati in rete viene assegnato un determinato numero di porta. Quando i pacchetti di informazioni vengono ricevuti in corrispondenza di un dato numero di porta, il computer è in grado di identificare l’applicazione che riceve il pacchetto. Ad esempio, la porta 80 è la porta dei server Web (ovvero i server che ospitano i siti Web che si consultano tramite il browser), mentre la porta 25 viene utilizzata per l’invio di messaggi e-mail. I pacchetti vengono dunque indirizzati a una porta specifica presso uno specifico indirizzo IP.
Firewall
I firewall vengono utilizzati per bloccare il traffico di rete attraverso le porte specificate.
In questo modo, il computer dotato di firewall può comunque accedere ai servizi presenti su altri computer, ma non viceversa. Alcuni firewall esaminano i pacchetti in entrata e talvolta quelli in uscita dalla rete per assicurarsi che siano autentici e bloccano quelli sospetti. Inoltre, i firewall nascondono le identità dei computer interni alla rete aziendale per evitare che i pirati informatici possano prendere di mira macchine singole.
Server
Un server non è altro che un computer collegato alla rete, ma che assolve funzioni specifiche, quali condividere una stampante, memorizzare file o rendere disponibili le pagine Web. Anche i notebook o i desktop connessi a Internet in un certo senso possono essere considerati dei server e, in mancanza di firewall, sono esposti alla ricezione di traffico indesiderato dal Web.
Virus, worm, Trojan Horse, spamming e falsi messaggi
Tramite la posta elettronica ogni anno vengono inviati miliardi di messaggi, molti dei quali, purtroppo in numero sempre maggiore, sono da considerare pericolosi. Nell’agosto 2003, un’azienda produttrice di sistemi di protezione e-mail analizzò 413 milioni di messaggi. Il 3% conteneva un virus, il 52% era posta indesiderata e in gran parte dei casi conteneva un’immagine pornografica. Le principali minacce diffuse attraverso la posta elettronica sono cinque:
Virus, ovvero programmi concepiti per replicarsi e, potenzialmente, arrecare danno. Spesso vengono nascosti all’interno di programmi innocui. All’interno dei messaggi e-mail, i virus spesso si camuffano da giochi o immagini e ricorrono a oggetti ingannevoli (ad esempio: “Foto della mia ragazza nuda”) per invogliare gli utenti ad aprirli ed eseguirli. I virus cercano di replicarsi infettando gli altri programmi installati sul computer.
Worm, simili ai virus ma, anziché infettare i programmi installati su un computer, sono in grado di inviare dei messaggi e-mail al fine di replicarsi.
Trojan Horse, ovvero programmi dannosi che si camuffano da applicazioni innocue. A differenza di virus e worm, non sono in grado di replicarsi ma sono comunque in grado di causare danno. Virus e worm vengono spesso occultati all’interno di un Trojan Horse.
Spamming o messaggi di posta elettronica indesiderati, che utilizzano grandi quantità di larghezza di banda e causano notevoli perdite di tempo. Il volume complessivo dello spamming è spesso impressionante e può costituire un veicolo per la diffusione di virus. Generalmente, si tratta di messaggi sessualmente espliciti, che possono creare un ambiente di lavoro oppressivo e causare potenziali responsabilità legali qualora le aziende non si attivino per arginare il fenomeno.
Falsi messaggi di posta elettronica, quali avvertimenti fasulli sui virus, catene o improbabili offerte gratuite sono solo una perdita di tempo per chi legge. Inoltre, i falsi messaggi di posta elettronica spesso contengono virus o Trojan Horse.
Motivi della vulnerabilità del software
Non è certo nelle intenzioni degli sviluppatori scrivere programmi software non sicuri. Un sistema operativo, ad esempio, è il prodotto di decine di migliaia di ore di lavoro ed è costituito da milioni di righe di codice. Una semplice svista o un bug possono fornire un punto di accesso inatteso ad un sistema altrimenti sicuro. Sviluppare software totalmente privo di bug è impossibile. Certo, ciò non significa che non si debba comunque continuare a tentare.
Ci sono poi i malintenzionati. Willie Sutton, svaligiatore di banche di professione, dichiarò: “Rapino le banche perché è lì che si trova il denaro”. Per i programmi software è esattamente lo stesso. Più un programma software è conosciuto e diffuso, più sarà oggetto di attacchi informatici.
Vi è una continua lotta tra hacker, che cercano di sfruttare qualunque punto debole esistente, e sviluppatori, che tentano di eliminarli. È esattamente quanto accade tra fabbricanti di serrature e scassinatori o tra produttori di sistemi di allarme e ladri d’auto. Ecco perché gli sviluppatori di software rilasciano aggiornamenti per l’eliminazione dei punti deboli conosciuti e perché è sempre consigliabile installare tali aggiornamenti.
Minacce comuni alla protezione delle reti
Le motivazioni degli hacker sono di varia natura (profitto, dolo, gloria), ma le loro modalità operative sono simili. Vi sono diversi tipi di minacce, ciascuna delle quali ha infinite varianti:
Spoofing. Lo spoofing si manifesta in modi diversi. Lo spoofing degli IP consiste nella creazione di pacchetti che sembrano provenire da un indirizzo IP diverso da quello effettivo. Si tratta di una tecnica utilizzata principalmente nel caso di attacchi unilaterali (per esempio gli attacchi DoS). Infatti, se i pacchetti sembrano provenire da un computer presente nella rete locale, possono tranquillamente attraversare la protezione del firewall, concepita per difendere la rete da attacchi esterni. Gli attacchi condotti attraverso lo spoofing degli indirizzi IP sono difficili da individuare e richiedono tutta l’abilità e i mezzi necessari per monitorare e analizzare i pacchetti di dati. Lo spoofing della posta elettronica, invece, consiste nel comporre un messaggio e-mail il cui campo Da non indica l’effettivo indirizzo del mittente. Ad esempio, verso la fine del 2003 circolava su Internet una serie di messaggi e-mail fasulli che sembravano contenere un annuncio ufficiale di aggiornamenti alla protezione da parte di Microsoft e che contenevano un falso indirizzo e-mail Microsoft.
Manomissione. La manomissione consiste nel modificare il contenuto dei pacchetti durante la loro trasmissione in Internet oppure nel modificare i dati memorizzati sui dischi rigidi dei computer dopo che la rete è stata violata. Per esempio, un hacker potrebbe posizionare una presa su una rete per intercettare i pacchetti in uscita e accedere alle informazioni o alterarle quando lasciano la rete aziendale.
Disconoscimento. Il disconoscimento indica la capacità di un utente di negare, mentendo, di avere commesso azioni che è impossibile provare altrimenti. Per esempio, un utente che abbia eliminato un file può facilmente negare di essere il responsabile in mancanza di meccanismi di controllo che possano provare il contrario.
Divulgazione di informazioni. La divulgazione di informazioni consiste nell’esporre informazioni a individui che normalmente non vi avrebbero accesso.
Attacchi DoS (Denial of Service). Gli attacchi DoS sono assalti informatici lanciati da un attacker allo scopo di sovraccaricare o interrompere un servizio di rete, ad esempio un server Web o un file server. Ad esempio, a seguito di un attacco DoS un server potrebbe essere così impegnato a rispondervi da ignorare le richieste di connessione legittime. Nel corso del 2003 sono stati organizzati imponenti attacchi DoS contro diverse grandi aziende su Internet, tra cui Yahoo e Microsoft, nel tentativo di intasare i server.
Elevazione dei privilegi. L’elevazione dei privilegi è un procedimento mediante il quale un utente induce un sistema a concedere diritti non autorizzati, generalmente allo scopo di danneggiare o distruggere il sistema. Ad esempio, un hacker potrebbe accedere a una rete attraverso un account guest, quindi individuare un punto debole del software che gli consenta di modificare i suoi privilegi da guest a amministratore.
Gli hacker generalmente sfruttano a loro vantaggio la capacità di elaborazione dei computer, utilizzando un virus per sferrare un attacco DoS a centinaia di migliaia di computer contemporaneamente (Lamer, in questo caso) oppure facendo uso di un programma per l’identificazione delle password per individuare quella corretta tra tutte le parole di senso compiuto.
Le prime password che verificano sono ovviamente “password”, “accesso” e le password che coincidono con il nome utente. Dispongono di programmi in grado di sondare a caso tutti gli indirizzi IP presenti su Internet per individuare sistemi non protetti. Quando ne trovano uno, grazie ai programmi di scansione delle porte cercano di individuarne una aperta cui sferrare l’attacco. Se ne trovano una, consultano la libreria dei punti deboli più conosciuti per trovare il modo di accedere al sistema. Nel caso di attacchi più mirati (ad esempio nei casi di spionaggio industriale) il metodo più efficace è costituito dal connubio tra tecnologia e ingegneria sociale. Esempi di questo metodo sono: indurre membri del personale a rivelare informazioni di natura confidenziale, esaminare i cestini della carta straccia alla ricerca di informazioni importanti o semplicemente controllare i bigliettini affissi ai monitor per scoprire le password.