Attacchi in­for­ma­ti­ci: come pro­teg­ger­si dai pericoli della rete

I criminali in­for­ma­ti­ci sfruttano internet con i loro attacchi in­for­ma­ti­ci per ar­ric­chir­si o per dan­neg­gia­re altri utenti. Nel farlo, vengono uti­liz­za­te diverse strategie di attacco, che a loro volta si adattano alle diverse mo­ti­va­zio­ni che stanno dietro ai singoli attacchi. Tuttavia, ci si può pro­teg­ge­re adottando la giusta dose di prudenza e strategie di sicurezza adeguate.

Cos’è un attacco in­for­ma­ti­co?

Un attacco in­for­ma­ti­co è un attacco mirato a sistemi o reti in­for­ma­ti­che con l’obiettivo di rubare dati, sabotare sistemi o causare danni in altro modo. Con gli attacchi in­for­ma­ti­ci, i criminali prendono di mira individui, aziende, or­ga­niz­za­zio­ni o autorità spe­ci­fi­che. Dietro a ogni attacco c’è quindi anche un motivo, ma questi possono essere di natura molto diversa tra loro:

• Furto: come per molti atti criminali, dietro al crimine in­for­ma­ti­co si cela spesso il desiderio di ar­ric­chir­si. A questo scopo, vengono rubati dei dati che sono poi rivenduti o uti­liz­za­ti per sac­cheg­gia­re i conti bancari.
• Ricatto: i criminali infettano il sistema dei singoli individui o delle aziende in modo tale che non possa più essere uti­liz­za­to, quan­to­me­no non da chi non è un esperto. Possono quindi estorcere somme con­si­de­re­vo­li con la promessa di re­sti­tui­re l’in­fra­strut­tu­ra IT intatta.
• Sa­bo­tag­gio: non si tratta sempre di estorcere soldi alle vittime, spesso dietro agli attacchi ci sono dei com­mit­ten­ti, i quali, ad esempio, po­treb­be­ro voler dan­neg­gia­re la con­cor­ren­za per avere più successo con la propria azienda.
• Attivismo: l’hackt­vi­smo (dall’unione delle parole inglesi “hacking”, ossia attacco in­for­ma­ti­co, e “activism”, ossia attivismo politico) è sempre più popolare. In questi casi, i criminali in­for­ma­ti­ci mossi da intenti politici uti­liz­za­no le loro abilità per dan­neg­gia­re per­so­na­li­tà sgra­de­vo­li o per generare at­ten­zio­ne su questioni politiche.
• Spio­nag­gio: anche lo spio­nag­gio in­for­ma­ti­co dei governi e delle aziende ai danni di altri Stati avviene sempre più spesso tramite internet. Qui l’obiettivo è l’ac­qui­si­zio­ne di un vantaggio grazie al possesso di in­for­ma­zio­ni.

Quali tipi di attacchi in­for­ma­ti­ci esistono?

Così come è diversa la mo­ti­va­zio­ne, al­tret­tan­to diversi sono i mezzi con cui vengono per­pe­tra­ti gli attacchi in­for­ma­ti­ci. Spesso i tipi di attacco vengono anche combinati tra loro per in­flig­ge­re danni nel modo più efficace e ampio possibile.

Phishing

Nelle e-mail di phishing le persone vengono indotte a ignorare le pre­cau­zio­ni di sicurezza e scaricare malware in­con­sa­pe­vol­men­te o a fornire in­for­ma­zio­ni sensibili grazie a tecniche di in­ge­gne­ria sociale. Tra le sot­to­ca­te­go­rie di questo metodo rientrano le tecniche di smishing (tramite SMS) o vishing (per telefono).

Man in the middle (MITM)

Nel caso di un attacco man in the middle, l’ag­gres­so­re si muove tra due utenti di internet, ad esempio tra un client e un server. L’intento dei criminali in questi casi è quello di riuscire a ottenere dati sensibili come le password. Questi attacchi possono essere resi possibili da malware o da con­nes­sio­ni Wi-Fi non sicure. In par­ti­co­la­re, vengono uti­liz­za­ti cer­ti­fi­ca­ti falsi e varie tecniche di spoofing.

Denial of Service

Se l’obiettivo di un attacco è quello di far chiudere un servizio web, allora è probabile che venga uti­liz­za­to l’attacco Denial of Service (DoS), il quale comporta il so­vrac­ca­ri­co di un server con così tante richieste da renderlo non fun­zio­na­le. Gli attacchi più grandi vengono eseguiti tramite attacchi Di­stri­bu­ted Denial of Service (DDoS). Per questo tipo di attacchi, i criminali sfruttano spesso le risorse di botnet, reti composte da centinaia di computer infettati da malware. I di­spo­si­ti­vi par­te­ci­pa­no quindi all’attacco in­for­ma­ti­co sul server all’insaputa dei pro­prie­ta­ri.

SQL Injection

Nel caso di una SQL Injection, gli ag­gres­so­ri uti­liz­za­no le in­te­ra­zio­ni SQL di un’ap­pli­ca­zio­ne web in cui l’input dell’utente non è suf­fi­cien­te­men­te filtrato nelle query (ad esempio, campi di input non sicuri). Uti­liz­zan­do maschere di ricerca o funzioni di commento, i criminali in­for­ma­ti­ci riescono a ma­ni­po­la­re il database SQL in modo tale da poter attingere a dati sensibili, mo­di­fi­car­li o can­cel­lar­li.

Exploit zero day

Gli exploit zero day sono vul­ne­ra­bi­li­tà di sicurezza in software o hardware che vengono sfruttate dagli ag­gres­so­ri prima che il pro­dut­to­re o la comunità di svi­lup­pa­to­ri ne vengano a co­no­scen­za e possano fornire una patch. Il termine “zero day” si riferisce al fatto che non c’è alcun tempo di preavviso. La minaccia rap­pre­sen­ta­ta dagli exploit zero day è par­ti­co­lar­men­te elevata, poiché le misure di sicurezza con­ven­zio­na­li non sono in grado di rilevarli nella maggior parte dei casi. Gli attacchi possono essere ef­fet­tua­ti tramite allegati di posta elet­tro­ni­ca infetti, siti web com­pro­mes­si o di­ret­ta­men­te tramite vul­ne­ra­bi­li­tà nei sistemi operativi e nelle ap­pli­ca­zio­ni.

Attacchi in­for­ma­ti­ci noti

I grossi attacchi in­for­ma­ti­ci ad aziende e autorità sono diventati molto più frequenti negli ultimi anni. Ciò è dovuto in parte alla grande copertura mediatica che hanno avuto attacchi in­for­ma­ti­ci di gruppi come il col­let­ti­vo di hacker Anonymous. Esistono però anche se­gna­la­zio­ni di grossi furti di dati che non in­te­res­sa­no solo le aziende colpite, ma che coin­vol­go­no migliaia di utenti.

WannaCry

Un attacco in­for­ma­ti­co rinomato è avvenuto nel 2017 con il ran­som­ware WannaCry. Anche se gli attacchi in questo caso non erano mirati, sono stati or­che­stra­ti in modo tale da infettare centinaia di migliaia di computer in un lasso di tempo molto breve. I criminali in­for­ma­ti­ci per l’occasione avevano uti­liz­za­to una backdoor nei vecchi sistemi Windows che era stata ori­gi­na­ria­men­te scoperta dall’agenzia di in­tel­li­gen­ce sta­tu­ni­ten­se NSA, ma l’in­for­ma­zio­ne non era stata divulgata. Sono stati attaccati tutti quei computer che non avevano in­stal­la­to la patch di sicurezza ri­la­scia­ta poco prima.

Gli ag­gres­so­ri hanno ap­pro­fit­ta­to della backdoor per in­tro­dur­re di nascosto un malware che ha criptato tutti i dati. Gli utenti, non più in grado di uti­liz­za­re i loro computer, hanno ricevuto un messaggio che chiedeva loro di pagare 300 dollari USA in Bitcoin. No­no­stan­te diversi esperti di sicurezza abbiano scon­si­glia­to il pagamento del riscatto, gli ag­gres­so­ri sono comunque riusciti ad ac­cu­mu­la­re 130.000 dollari USA sotto forma di crip­to­va­lu­ta.

Project Chanology

Il gruppo in­di­pen­den­te di hacker che si iden­ti­fi­ca con “Anonymous” ha fatto ri­pe­tu­ta­men­te scalpore negli ultimi anni. Uno dei loro attacchi ha colpito Scien­to­lo­gy. L’or­ga­niz­za­zio­ne aveva cercato di far bandire da internet un’in­ter­vi­sta con il famoso membro Tom Cruise. Gli attivisti che hanno di­chia­ra­to il loro sostegno ad Anonymous videro nell’azione una forma di censura e an­nun­cia­ro­no scioperi di rap­pre­sa­glia tramite video messaggi.

Quindi gli hacker hanno co­min­cia­to a so­vrac­ca­ri­ca­re i server di Scien­to­lo­gy con attacchi DDoS, riuscendo a pa­ra­liz­za­re il sito web dell’or­ga­niz­za­zio­ne per un breve periodo. Hanno anche fatto scherzi te­le­fo­ni­ci e inviato in­nu­me­re­vo­li fax per in­ter­rom­pe­re l’attività di Scien­to­lo­gy. Dopo gli iniziali attacchi digitali illegali, l’attivismo si è spostato sempre più verso proteste legali davanti alle sedi dell’or­ga­niz­za­zio­ne.

Attacco So­lar­Winds

Nel 2020 è stato reso noto uno dei più gravi attacchi in­for­ma­ti­ci degli ultimi anni: il breach So­lar­Winds ha com­por­ta­to un attacco alla catena di ap­prov­vi­gio­na­men­to in cui è stata com­pro­mes­sa la catena di fornitura del software dell’azienda So­lar­Winds, un fornitore di software per la gestione delle reti uti­liz­za­to da numerose aziende e autorità in tutto il mondo. Gli hacker hanno avuto accesso al sistema interno di So­lar­Winds e hanno ma­ni­po­la­to un ag­gior­na­men­to del software “Orion”, che è stato poi in­stal­la­to da migliaia di clienti.

Questa backdoor ha permesso ai re­spon­sa­bi­li dell’attacco di accedere a reti sensibili di autorità sta­tu­ni­ten­si, aziende IT e grandi società. Tra i soggetti colpiti figurano il Di­par­ti­men­to del Tesoro degli Stati Uniti, il Di­par­ti­men­to del Commercio, Microsoft e FireEye. A destare par­ti­co­la­re scalpore è stato il fatto che l’attacco è passato inos­ser­va­to per mesi perché sono state coperte le tracce e ci si è mossi con par­ti­co­la­re cautela. È stato solo quando la società di sicurezza in­for­ma­ti­ca FireEye si è accorta di attività sospette nel proprio sistema che la portata dell’attacco è diventata evidente.

Attacco a Yahoo!

Negli anni 2013 e 2014, il gruppo Yahoo! ha dovuto far fronte a diversi attacchi rivolti ai suoi database. Gli ag­gres­so­ri sono stati in grado di ottenere diversi miliardi di dati, tra cui password mal criptate o risposte non cifrate alle domande di sicurezza, per poi metterli in vendita su mercati illegali del dark web. Gli ac­qui­ren­ti speravano che le password fossero state uti­liz­za­te anche su altre piat­ta­for­me o per l’online banking, di modo da poterne even­tual­men­te trarre profitto.

In risposta agli attacchi, Yahoo! ha invitato gli utenti a scegliere nuove password e a impostare nuove risposte alle domande di sicurezza, crip­tan­do­le meglio. L’azienda ha anche dovuto risarcire i danni agli utenti dan­neg­gia­ti per un totale di oltre 100 milioni di dollari USA.

Come ci si protegge da un attacco in­for­ma­ti­co?

I criminali in­for­ma­ti­ci stanno in­ven­tan­do metodi sempre più complessi per decifrare i sistemi e rubare dati. Anche gli esperti e le esperte di sicurezza sono ten­den­zial­men­te sempre un passo indietro, ma questo non significa che non esistano difese contro agli attacchi in­for­ma­ti­ci. Seguendo questi consigli sulla sicurezza in­for­ma­ti­ca, sarai ben preparato contro eventuali attacchi.

Che tipo di pre­cau­zio­ni prendere?

Gli ag­gres­so­ri spesso sfruttano falle di sicurezza dei sistemi obsoleti. Pertanto, dovresti as­si­cu­rar­ti che sia il tuo sistema operativo che il software che utilizzi siano sempre ag­gior­na­ti. Informati re­go­lar­men­te sui nuovi ag­gior­na­men­ti o patch di­spo­ni­bi­li e, se ne­ces­sa­rio, attiva la funzione di ag­gior­na­men­to au­to­ma­ti­co. Questo sug­ge­ri­men­to vale anche per i programmi antivirus.

I criminali non uti­liz­za­no sempre malware per i loro attacchi. Talvolta vengono attaccate di­ret­ta­men­te le aree protette da password. Con l’aiuto del metodo forza bruta (tentativi con diverse com­bi­na­zio­ni di password), di Rainbow Tables (tabelle con valori di hash) o attacchi a di­zio­na­rio (raccolta di password tipiche) si possono decifrare ra­pi­da­men­te le password insicure. Perciò una password sicura e l’au­ten­ti­ca­zio­ne a due fattori sono le misure pre­ven­ti­ve più efficaci contro gli attacchi in­for­ma­ti­ci.

Come si riconosce un attacco in­for­ma­ti­co?

Molti attacchi hanno successo perché non vengono ri­co­no­sciu­ti come tali. So­prat­tut­to nei casi di phishing, per esempio, è opportuno fare at­ten­zio­ne alle e-mail da mittenti sco­no­sciu­ti, nelle quali non dovresti mai aprire o scaricare allegati o cliccare sui link. Utilizza le stesse pre­cau­zio­ni quando navighi su internet: anche qui le minacce possono na­scon­der­si su siti web ap­pa­ren­te­men­te innocui. Non scaricare alcun software da siti web di cui non ti fidi. Una buona in­di­ca­zio­ne per ri­co­no­sce­re siti pe­ri­co­lo­si è la mancanza di cer­ti­fi­ca­ti SSL.

Gli am­mi­ni­stra­to­ri e le am­mi­ni­stra­tri­ci di sistema hanno ulteriori opzioni a di­spo­si­zio­ne per rilevare gli attacchi in­for­ma­ti­ci. I server uti­liz­za­no file di log per im­po­sta­zio­ne pre­de­fi­ni­ta, dove possono essere tracciate anche le attività mi­nac­cio­se. Un grosso numero di in­se­ri­men­ti di password senza successo, per esempio, può indicare un attacco con il metodo forza bruta.

È anche im­por­tan­te mo­ni­to­ra­re la propria in­fra­strut­tu­ra IT. I malware hanno spesso effetti col­la­te­ra­li: se il sistema o la con­nes­sio­ne di rete fun­zio­na­no più len­ta­men­te del solito, può essere un’in­di­ca­zio­ne di un attacco in­for­ma­ti­co.

Come ci si difende da un attacco?

Spe­cial­men­te nei casi di attacchi DDoS, esistono diverse opzioni che puoi mettere in atto per mantenere i tuoi siti web online no­no­stan­te l’attacco. Se utilizzi una CDN (Content Delivery Network), rendi pra­ti­ca­men­te im­pos­si­bi­le agli ag­gres­so­ri pa­ra­liz­za­re com­ple­ta­men­te i siti web. Anche se il server è so­vrac­ca­ri­co, il sito web può comunque rimanere di­spo­ni­bi­le at­tra­ver­so la rete di contenuti speculari.

In caso di dubbi, anche le autorità possono aiutarti a di­fen­der­ti. La Polizia Postale e i di­par­ti­men­ti nazionali di sicurezza in­for­ma­ti­ca in Italia hanno unità che si con­cen­tra­no sul crimine in­for­ma­ti­co e possono even­tual­men­te aiutarti a di­fen­der­ti da attacchi specifici. Trovi i dettagli di contatto e ulteriori in­for­ma­zio­ni sul sito ufficiale della Polizia Postale.

Come ci si protegge nel peggiore dei casi?

Non esiste una pro­te­zio­ne al 100% contro gli attacchi, per questo è ne­ces­sa­rio prendere prov­ve­di­men­ti in caso di emergenza. Tra queste, ad esempio, l’utilizzo di processi crit­to­gra­fi­ci efficaci. As­si­cu­ra­ti che i dati sensibili siano il più possibile inu­ti­liz­za­bi­li per le persone non au­to­riz­za­te, qualora riu­scis­se­ro a ottenere le in­for­ma­zio­ni.

Anche una strategia di backup è im­por­tan­te. Gli attacchi ran­som­ware, in par­ti­co­la­re, perdono il loro po­ten­zia­le di minaccia se i dati im­por­tan­ti vengono me­mo­riz­za­ti anche in un luogo esterno al computer. Con la regola del backup 3-2-1 ti assicuri che i tuoi dati siano sempre al sicuro.