>> focus
Gli strumenti delle guerre informatiche di Cosimo Marasciulo
Gli strumenti e le tecniche adottate dagli hacker spesso coincidono con quelle che vengono utilizzate dai criminali informatici e sono le stesse che vengono sfruttate dai governi come vere e proprie armi per neutralizzare le difese degli stati nemici
C
i riferiamo ad attacchi Dos (denial of service, letteralmente negazione del servizio), di reti botnet (ovvero reti di migliaia di computer zombie che svolgono un’ampia varietà di attività automatiche attraverso un controllo remoto), di diffusione di worm e virus, di azioni di phishing (indurre con l’inganno informativo gli utenti a divulgare informazioni riservate, quali numeri del conto corrente bancario, della carta di credito, di previdenza sociale, il codice di sicurezza CVV2 della carta di credito, ecc. Se vuoi approfondire clicca qui) e trashing (risalire a informazioni riservate frugando tra i rifiuti della vittima, come resoconti, bollette, corrispondenza, ecc.). Questa connessione risulta evidente se si analizzano i casi più importanti tra i conflitti informatici avvenuti negli ultimi anni. Virus come armi Nel Giugno 2010 la tensione tra Israele e Iran era molto alta a causa dello sviluppo nucleare iraniano. Il sistema informatico della Centrale di Natanz, dove era in corso il processo di arricchimento
6 verità e giustizia - 18 ottobre 2012
dell’uranio attraverso centrifughe a gas, venne infettato e bloccato da Stuxnet. Il virus entra nel sistema informatico, attraverso l’utilizzo di una chiave USB (quindi materialmente qualcuno ha fatto questa operazione in modo conscio o inconscio in loco), si infiltra tramite il sistema operativo Microsoft Windows (dove individua delle vulnerabilita’) e colpisce il software e gli apparati e macchinari della Siemens (prodotti industriali fortemente utilizzati, nei processi di arricchimento da parte iraniana). Quando il virus entra nel computer tenta di entrare in tutti i programmi e va subito a cercare quelli che utilizzano software Siemens. Se non ve ne sono, rimane inerte ma marca tutti gli apparati. Quindi ha un meccanismo di “controllo logico programmato” come viene chiamato tecnicamente. Se invece individua le componenti che cerca, prima ne accerta le condizioni di funzionamento e poi inserisce il suo codice di distruzione nel sistema di controllo modificando il funzionamento del macchinario o apparato. Questa operazione viene condotta eludendo il sistema di controllo di sicurezza del macchinario a cui da’ informazioni di normale funzionamento. [Invisible Dog – Periodico online – 5 maggio 2012] Il danno prodotto da Stuxnet ha bloccato circa 1000 delle 5000 centrifughe di Natanz creando – secondo stime americane – un ritardo di 18-24 mesi al programma di arricchimento dell’uranio. Il virus, secondo alcuni esperti, risulterebbe concepito da uno lavoro congiunto americano-israeliano. Nel 2011 è stato rilevato dalla casa di software antivirus Symantec sui server di una decina di aziende europee il virus Duqu, programmato con buona parte del codice che è stato utilizzato dai creatori di Stuxnet. Duqu – chiamato così perché genera
file con suffisso ~dq – si maschera come allegato jpg, una volta scaricato su un computer si auto-esegue avviandosi insieme al sistema operativo e si nasconde. Le azioni che svolge a questo punto sono estremamente semplici, apre una falla nel sistema (come un trojan horse) e raccoglie i dati grazie a un keystroke logger, un’applicazione in grado di registrare tutto ciò che viene digitato sulla tastiera. Il virus è programmato per autorimuoversi dai sistemi infetti dopo 36 giorni. Lo scopo del programma è quello di sottrarre dati da centinaia di reti informatiche con lo scopo di lanciare un attacco letale in grado di mettere in ginocchio interi sistemi industriali in un futuro. (Leggi anche questo) Nel maggio 2012 la Kaspersky Lab Senior Security ha scoperto su numerosissimi computer in Iran, Palestina, Sudan e Siria un nuovo virus, 20 volte più complicato di Stuxnet, Flame. Progettato per rubare informazioni, quando si installa ha le dimensioni di 6 Megabyte ma inizia già a fornire informazioni sul computer ospite. Sempre in questa prima fase è già in grado di realizzare degli screenshot ogni 12 secondi, nel caso cui venga utilizzata un’applicazione particolarmente interessante, ad esempio Outlook. Una volta completata l’istallazione persa 20 Megabyte ed è in grado di registrare le conversazioni effettuate via Skype o nelle immediate vicinanze del dispositivo, rubare attraverso i pc dotati di Bluetooth contatti e cartelle degli altri computer dotati di Bluetooth e presenti in zona. Posta elettronica, messaggi in chat e tutto il traffico della rete locale (comprese username e password) vengono registrati e inviati agli autori dell’attacco. Il caso Estonia Non tutti sanno che l’Estonia è uno dei paesi più informatizzati del mondo, e