Post in evidenza

Robot Apocalypse

Professor Stephen Hawking has pleaded with world leaders to keep technology under control before it destroys humanity.

martedì 27 gennaio 2009

CYBERWAR 3

Superato il miliardo di netizens.

Nel solo mese di dicembre 2008, in tutto il globo, i navigatori connessi al Web hanno superato la fatidica quota. Come prevedibile, il picco di utenti è stato registrato nella zona comprendente Asia e Pacifico, seguita a distanza dall'Europa e dal Nordamerica.

I dati raccolti da comScore mostrano come sia la Cina ad appropriarsi della leadership, con un numero di utenti connessi che sfiora i 180 milioni ed uno share del 17,8%. Seguono gli Stati Uniti con 163 milioni e il 16,2% degli utenti totali, con il Giappone che si aggiudica il terzo posto sfiorando i 60 milioni di utenti. A seguire, quasi appaiate, Germania e Regno unito, rispettivamente con 36,9 e 36,6 milioni di utenti. Dodicesima l'Italia, con un numero di utenti connessi prossimo ai 21 milioni ed uno share del 2,1%, preceduta da Corea del Sud, Brasile, Russia, India e Francia.

La zona asiatica e del Pacifico, da sola detiene un valore pari al 41,3% dello share complessivo. A seguire, l'Europa, con uno share del 28%, il Nordamerica con il 18,4% e il Sudamerica con il 7,4%. Ultimo posto in classifica per la zona relativa al Medioriente e all'Africa, con solo il 4,8% dell'utenza complessiva.

"Aver sorpassato il miliardo di utenti globali costituisce un significativo punto di riferimento nella storia di Internet. È un monumento alla crescente comunità globale unificata in cui tutti viviamo e serve anche a ricordarci quanto si vanno abbattendo le barriere tra i popoli", ha commentato Magid Abraham, CEO di comScore, "il secondo miliardo sarà online prima che ce ne rendiamo conto, così come il terzo arriverà molto prima di quanto si possa pensare - continua Abraham - fino a quando avremo un vero e proprio global network fatto di persone e idee interconnesse, che trascenderà i confini sia fisici che culturali".

Ai fini della ricerca, comScore ha preso in considerazione soltanto gli utenti dai 15 anni in su e solo ed esclusivamente tutti coloro in questo range di età che utilizzano una connessione fissa: come specificato in ogni tabella, non sono stati presi in considerazione né i dati relativi alla clientela degli internet café, né gli utenti che accedono alla rete tramite i canali offerti dalla telefonia mobile.

Altrettanto curioso è il riscontro relativo alle property del Web: nonostante lo strapotere cinese in termini di audience telematica, la top 15 relativa alle property globale è letteralmente dominata da aziende di origine statunitense. Al primo posto siede Google, in grado di catalizzare l'attenzione del 77% degli utenti connessi, seguita dai siti di proprietà di Microsoft (64,2%) e Yahoo! (55,8%). Nonostante ciò, gli unici due outsider sono comunque cinesi, ovvero Tencent e Baidu, piazzati rispettivamente al 13esimo e 14esimo posto.

“Un miliardo gli umani avviluppati nella rete”, PuntoInformatico, 26 gennaio 2009

WORM ATTACK

8,9 milioni di PC infettati in tutto il mondo dai virus, di tipo worm, conosciuto con i nomi “Conficker”, “Downadup” e “Fido”. Secondo BBC News, la diffusione è divenuta esponenziale.

L'allarme per questo tipo di worm, che usano una nota vulnerabilità di Windows, era stato lanciato già ad ottobre e la Microsoft si era affrettata a rilasciare una patch, conosciuta come “KB958644”, per tappare la falla. A quanto pare, però, gran parte dell'utenza ha ignorato l'aggiornamento.

Il worm, scoperto la prima volta lo scorso ottobre, si diffonde attraverso networks a bassa sicurezza, memorie portatili e PC vulnerabili perché non aggiornati. Si teme che possa giungere a prendere il controllo di tutti i 9.5 milioni di PC infettati.

Parlando alla BBC, uno dei responsabili della F-Secure, Mikko Hypponen, ha detto che il rischio per gli utenti è ancora alto. "Un conto totale delle infezioni è difficile da fare perché non sappiamo quante macchine sono state effettivamente pulite. È spaventoso pensare all’enorme controllo che gli hackers potrebbero avere su tutti i computer infettati se il worm venisse attivato”.

Graham Cluley, consulente tecnico della società di anti-virus Sophos, dice che l’epidemia ha raggiunto un livello mai visto in precedenza. “Microsoft ha fatto un buon lavoro per quanto riguarda l’aggiornamento dei PC, ma il virus continua a infettare tutti quelli che hanno ignorato la patch di update. Il periodo delle feste certamente non ha aiutato. Inoltre, dato che i virus si diffonde anche attraverso le memorie USB, anche chi ha effettuato l’aggiornamento non è al sicuro, ha bisogno di un anti-virus specifico".

Secondo Microsoft, il worm si insedia nel sistema cercando il file eseguibile "services.exe" e diventando parte del suo codice, con l’effetto di riprodursi nella cartella di sistema di tipo "dll". Quindi si rinomina dandosi un nome di 5-8 caratteri, come “piftoc.dll”, e modifica il Registro in modo da far girare il file dll infettato come servizio di sistema. Una volta che il worm comincia a girare crea un server HTTP, resetta un punto di System Restore della macchina (così che sia più difficile disinfettare il sistema) e infine scarica dei files dal sito web dell’hacker.

Per fare tutto ciò, il worm usa un complicato algoritmo che genera centinaia di diversi nomi di dominio, tipo “phtfrxs.net”, “imctaef.cc” e “hcweu.org”, ogni giorno. Ma solo uno di questi nomi corrisponde al sito usato per scaricare i files. Rintracciarlo è quasi impossibile.

L’analista della sicurezza di Kaspersky Lab, Eddy Willems, dice che una nuova versione del worm sta complicando ulteriormente la faccenda. “Una nuova variante sta causando i maggiori problemi, usa meccanismi multipli per diffondersi, tra cui le memorie USB, che possono infettare più networks. Inoltre, scarica parecchia roba e crea continuamente nuove varianti”.

Secondo Microsoft, il malware ha infettato già computers di molte parti del mondo, tra cui Cina, Brazile, Russia. Il numero più alto di vittime è stato registrato in India.

“Clock ticking on worm attack code”, BBC News, 20 gennaio 2009

Un "numero ridotto" di sistemi del Ministero della Difesa, tra cui alcune reti installate su navi da guerra della Royal Navy, sono stati disattivati per poter debellare un virus.

As essere colpiti sono stati i sistemi “NavyStar”, installati sulle navi pochi anni fa e che hanno il compito di permettere l'invio di email, conservare documenti e permettere attività di tipo amministrativo.

Si tratta di sistemi composti da un server e da PC (costruiti in maniera tale da non interferire, con le loro emissioni elettromagnetiche, con gli altri sistemi) a esso collegati via cavo; quando le navi si trovano in mare aperto, si connettono alle altre reti via satellite.

Da quando è iniziato l'attacco del virus ci sono stati disservizi tra cui la perdita della funzionalità email, mentre il Ministero della Difesa assicura che non sono stati violati i dati personali di alcuno e che la minaccia è ora stata completamente debellata.

Il Ministero ha preferito non rilasciare dettagli sul virus e sulle modalità di infezione, ci ha tenuto solo a precisare che non sono stati colpiti i sistemi di comando o quelli operativi.

“Il virus che colpisce le navi da guerra”, ZEUS News, 22-01-2009

“Regno Unito, l'assedio del cybercrime”, PuntoInformatico, 31 ottobre 2008

La società Heartland Payment Systems, specializzata nella gestione di transazioni finanziarie su carte di credito e a debito per oltre 250mila società americane, ha comunicato che potrebbero essere state compromesse carte di credito, account e informazioni sensibili appartenenti a un numero senza precedenti di utenti.

Il numero di transazioni gestito da HPS, e quindi l'ipotetica magnitudine della compromissione, ammonta a 100 milioni di carte al mese, carte che potrebbero essere divenute bottino per cyber-criminali senza scrupoli da un tempo potenzialmente piuttosto lungo.

"Abbiamo individuato prove di un'intrusione la scorsa settimana e abbiamo immediatamente notificato la cosa agli ufficiali di polizia federali così come alle società che avevano emesso le carte", sostiene il CEO di HPS Robert Baldwin, ma a parte le dichiarazioni di circostanza, la vicenda appare tutto fuorché netta nei contorni e nelle cifre.

La breccia è stata aperta attraverso l'installazione surrettizia di un ignoto malware ruba-informazioni, un trojan progettato specificamente per tale scopo e che è riuscito a penetrare nella catena di macchine incaricate di processare i dati dei pagamenti con le carte, ragion per cui a rischio ci sono soprattutto le informazioni registrate nelle bande magnetiche delle suddette carte di credito.


HPS sostiene che il malware, il cui tempo effettivo di "attività" pregressa non è stato ancora quantificato, non avrebbe comunque avuto la possibilità di mettere i suoi “sporchi” bit su dati come i PIN, i numeri della previdenza sociale USA, indirizzi, contatti telefonici e quant'altro. Anche così, a ogni modo, gli analisti già parlano di quella che è "probabilmente
la più grossa violazione che abbiamo mai registrato", come dice Avivah Litan di Gartner, evidenziando come questa volta i cyber-criminali siano arrivati fino ai sistemi di pagamento, cioè "quelli molto più vicini al centro nevralgico" dell'infrastruttura rispetto ai casi precedenti.

Il problema è grosso e comporterà conseguenze non indifferenti sulla sicurezza delle carte degli utenti, così come sui business serviti da HPS: già dall'anno scorso, la società aveva cominciato a ricevere rapporti su attività fraudolente a danni suoi e dei suoi clienti, e tutto lascia supporre che il malware scovato sui server e questi primi report siano in qualche modo collegati a un'unica matrice criminosa.

“Cyber-crime, colpaccio record da milioni di carte”, PuntoInformatico, 22 gennaio 2009

Il fenomeno malware inizia a diffondersi anche nel Web 2.0.

Tra gennaio 2008 e gennaio 2009, il numero di siti contaminati è aumentato del 46%. Lo afferma l'ultimo rapporto semestrale dei Websense Security Labs. L'azione dei cyber-criminali punta a compromettere siti autentici e ad alto traffico, e utilizza e-mail spam sempre più subdole e mirate. Siti popolari come "i social network o quelli per le ricerche ormai - secondo il rapporto - non sono più un luogo sicuro per gli utenti di Internet e nell'arco del 2009 ci si aspetta un consolidamento di questa tendenza".

Websense rileva inoltre che i 100 siti più popolari sono stati l’obiettivo preferito negli ultimi sei mesi dell'anno appena concluso. "Il 70% di questi siti - sottolinea il rapporto - ha ospitato contenuti maligni o re-indirizzato a siti infetti, con una crescita pari al 16% ". Inoltre, sono aumentati gli attacchi misti Web ed e-mail: "il 90,4% della posta indesiderata, circolata nella seconda metà del 2008, era spam che conteneva un link a siti maligni, con un aumento del 6% delle e-mail con link a siti compromessi".

Per quanto riguarda il 2009, il rapporto prevede che il Web 2.0 continuerà ad essere il terreno preferito dai criminali informatici e "l'80% di tutti i contenuti maligni sarà ospitato su siti con una buona reputazione. Servizi basati su soluzioni di cloud computing e applicazioni web-based saranno i nuovi vettori per sferrare attacchi, mentre tecniche di web spam e di altro tipo saranno usate in modo crescente su forum, blog e social networks per convogliare traffico verso siti infetti".

“Cyber criminali all'attacco del Web 2.0”, tomshw.it, 23 gennaio 2009

L’edizione 2008 del Cisco Annual Security Report ha identificato quali sono state le minacce più rilevanti dell’anno appena trascorso e fornisce alcuni consigli per proteggerci nel 2009 dagli attacchi che sfruttano vulnerabilità tecnologiche e debolezze umane.

Finte recensioni su Amazon, Belkin si scusaPompili, portavoce della Cei: "Attenzione all'individualismo di Facebook"

Gli attacchi basati su Internet stanno diventando sempre più sofisticati e specializzati poiché i criminali informatici, spinti dalla ricerca di guadagno, continuano ad affinare le loro strategie per appropriarsi dei dati di aziende, dipendenti e utenti finali.

“Ogni anno assistiamo all’evolversi delle minacce parallelamente alle scoperte da parte dei criminali di nuovi modi per attaccare persone, reti e Internet. I trend di quest’anno sottolineano l’importanza di prestare attenzione agli elementi base delle tecnologie e delle policy di sicurezza,” ha dichiarato Patrick Peterson, socio Cisco e chief security researcher, “le organizzazioni possono diminuire i rischi di perdita dei dati mettendo a punto rigorosi controlli degli accessi e aggiornando le patch per le vulnerabilità note al fine di eliminare la possibilità di sfruttare falle nelle infrastrutture. È importante mantenere le applicazioni, i terminali e gli apparati di rete costantemente aggiornati per contribuire a garantire che i sistemi aziendali funzionino senza intoppi e per minimizzare il rischio”.

Di seguito, le principali tendenze emerse secondo il report:

- il numero complessivo delle vulnerabilità scoperte è cresciuto dell’11,5% rispetto al 2007; le vulnerabilità tecnologiche sono quasi triplicate passando da 35 a 103; - gli attacchi stanno diventando sempre più articolati, multi-vettore e mirati; - è stata rilevata una crescita del 90% delle minacce originate da domini legittimi, quasi il doppio rispetto al 2007; - il volume di malware propagato con successo attraverso allegati alle e-mail è in calo. Negli ultimi due anni (2007-2008), il numero di attacchi inviati in allegato è sceso del 50% rispetto al biennio precedente (2005-2006).

Di seguito, le minacce più diffuse su Internet:

- Spam. Secondo Cisco, si contano circa 200 miliardi di messaggi di spam (posta indesiderata) ogni giorno, circa il 90% delle e-mail inviate a livello globale. Gli Stati Uniti ne sono la fonte maggiore, con il 17,2%. Tra le altre Nazioni che contribuiscono maggiormente allo spam vi sono Turchia (9,2 %), Russia (8 %), Canada (4,7 %), Brasile (4,1 %), India (3,5 %), Polonia (3,4 %), Corea del Sud (3,3 %), Germania e Regno Unito (2,9% ciascuna); - Phishing. Mentre gli attacchi mirati di “spear-phishing (pesca con la fiocina) - messaggi di posta elettronica o siti Web falsificati allo scopo di rubare l'identità di un utente - rappresentano circa l’1% di tutti gli attacchi di phishing, Cisco prevede che questo dato sia destinato ad aumentare dal momento che i criminali personalizzano lo spam e creano messaggi che appaiono sempre più credibili; - Botnet. Le botnet - reti di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto - sono diventate un insieme di attività criminali su Internet. Quest’anno, svariati siti Web legittimi sono stati infettati da “Iframes”, un codice dannoso iniettato da botnet che re-indirizzavano i visitatori verso siti da cui scaricare malfare; - Social engineering. L’utilizzo del social engineering - lo studio del comportamento individuale di una persona al fine di carpire informazioni - per indurre vittime ad aprire file o cliccare su link specifici continua a crescere. Cisco prevede che nel 2009, le tecniche di ingegneria sociale aumenteranno in termini di numero, vettori, e sofisticatezza; - Reputation hijacking. Un numero sempre maggiore di criminali informatici sta utilizzando veri account e-mail con grandi fornitori di servizi di posta elettronica legittimi per inviare spam. Questo “dirottamento della reputazione” offre una maggiore garanzia di ricezione dello spam perché lo rende più difficile da rilevare e bloccare. Secondo Cisco, nel 2008 tale spam è stato meno dell’1% di tutto lo spam a livello globale, ma ha costituito il 7,6% del traffico dei provider di e-mail.


I dati sulla cui base è stato redatto il report provengono in parte dal
Cisco Security Intelligence Operations, un’aggregazione di dati e servizi di sicurezza strettamente correlati condotti da varie divisioni e dispositivi Cisco che verifica costantemente le minacce che viaggiano su Internet mettendole in correlazione con le vulnerabilità. Tra le fonti dei dati provenienti dal Cisco Security Intelligence Operations vi sono i Threat Operations Centers, Cisco Security Remote Management Services, SenderBase Network, Cisco Security IntelliShield Alert Manager, Cisco Intrusion Prevention Systems, attivi a livello globale, e una gamma di altre funzionalità Cisco che comprendono Cisco Security Research and Operations, Cisco Security Incident Response, il Corporate Security Programs Office, e il Global Policy and Government Affairs.


Riguardo le valutazioni degli esperti sulle minacce attuali e future, nel 2009, i ricercatori di questi gruppi di lavoro Cisco focalizzati sulla security osserveranno attentamente i seguenti trend:


-
Minacce interne. Dipendenti negligenti o insoddisfatti possono mettere a repentaglio la sicurezza dell’azienda. La recessione economica globale può provocare un maggior numero di incidenti di sicurezza che coinvolgono i dipendenti, rendendo essenziale la collaborazione tra l’IT, le Risorse Umane, e altre linee di business per mitigare le minacce; - Perdita dei dati. Sia a causa della disattenzione che di violazioni ad opera di hacker, o figure interne all’azienda, la perdita dei dati è un problema che sta diventando sempre più serio e che può avere gravi conseguenze finanziarie. La tecnologia, l’educazione e le policy di sicurezza chiare e ben applicate possono agevolare la conformità alle normative e ridurre gli incidenti; - Mobility. I lavoratori da remoto e i nuovi strumenti quali fattori di rischio. La crescita del lavoro da remoto e il conseguente utilizzo di strumenti basati su Web, dispositivi portatili, virtualizzazione, “cloud computing” e tecnologie similari che aumentano la produttività, proseguiranno nel corso del 2009. Ciò rappresenterà una sfida per chi si occupa di sicurezza. Il perimetro della rete si sta estendendo rapidamente, e il crescente numero di dispositivi e applicazioni in uso possono rendere questa rete in espansione più vulnerabile a nuove minacce.

“About 90 percent of all email is spam: Cisco”, Spacemart, 15 dicembre 2008

Il Center for Cybersecurity Operations dovrà proteggere siti governativi, militari e di aziende elettroniche degli Stati Uniti dagli attacchi informatici provenienti da altre nazioni.

L’America intende affrontare più agguerrita che mai la cyberwar globale, al punto che il nuovo Presidente vuole creare in fretta un nuovo Center for Cybersecurity Operations e nominare uno speciale direttore alla Casa Bianca per supervisionarlo.

Il rapporto di 44 pagine "Securing Cyberspace in the 44th Presidency", redatto dalla Commission on Cybersecurity, un pannello bipartisan che include dirigenti, ufficiali militari e di intelligence di alto grado, specialisti nel campo della cyber-sicurezza e due membri del Congresso, è stato compilato dopo aver visionato decine di migliaia di pagine di documenti riservati, visitato laboratori di medicina legale e la National Security Agency, e aver consultato ufficiali del Pentagono della CIA, e del servizio di spionaggio britannico MI5.

Il rapporto conclude che gli Stati Uniti necessitano urgentemente di una nuova politica inerente alla cybersecurity che rimpiazzi l’ormai datata agenda riguardante i requisiti necessari alle agenzie governative in base al Federal Information Security Management Act attualmente in vigore.

Il rapporto invita dunque alla creazione di un Center for Cybersecurity Operations che dovrà agire come nuovo ente regolatore nel settore sia pubblico che privato. La politica attiva del governo e delle società dovrà includere nuove regole e un "red team" per testare le vulnerabilità dei sistemi di computers sempre più minacciati da nuove tecniche sofisticate, da furti di identità, frodi bancarie, cyber-crimini e spionaggio elettronico.

"Stiamo giocando una gigantesca partita di scacchi e stiamo perdendo”, ha detto il membro della commissione Tom Kellermann, ex ufficiale della sicurezza della Banca Mondiale, attualmente vice-presidente del Security Awareness presso Core Security.

Kellermann ha detto anche che per convincere il nuovo Presidente Barack Obama ad intraprendere una nuova azione, diversi membri della commissione gli hanno chiesto di “fermare l’emorragia dei segreti nazionali, delle informazioni proprietarie e i dati personali”.

Negli ultimi 11 mesi, BusinessWeek ha esaminato le maggiori minacce alla sicurezza hi-tech dei networks di computer del sistema di armamenti, del governo e dell’industria della difesa e ha prodotto tre principali inchieste basate su documenti riservati e interviste con più di 100 impiegati governativi, dirigenti dell’industria della difesa e gente collegata alle agenzie militari, spaziali e di intelligence.

Da quando corporazioni, i governi, le forze militarti e gli utenti di computers di tutto il mondo hanno cominciato a gravitare sul Web, hanno attirato competitori, avversari, criminali, spie, comprese le agenzie governative incaricate della sicurezza, secondo quanto afferma un rapporto del gruppo U.S.-China Economic & Security Review Commission, creato dal congresso, che lo scorso novembre ha lanciato unallarme relativo alla minaccia degli attacchi provenienti dalla Cina.

Secondo il rapporto, dietro certi attacchi o minacce da parte di crackers cinesi, ci sarebbe il Governo di Pechino, che sarebbe direttamente coinvolto in strategie descritte come "guerriglia informatica".

La Cina starebbe aumentando lo spionaggio contro gli USA per carpire sempre più informazioni segrete in modo da avvantaggiarsi sul rivale nell'eventualità di un futuro conflitto. Le cifre riportate sono impressionanti: solo nel 2007 sono stati registrati quasi 44mila incidenti causati da attacchi cinesi, che hanno interessato circa cinque milioni di computer. I metodi e le tecnologie di attacco sfrutterebbero spesso e volentieri le vulnerabilità delle infrastrutture statunitensi sfuggendo al "radar" dell'intelligence statunitense.

“USA: la Cina fa guerriglia informatica”, PuntoInformatico, 26 novembre 2008

"Il pericolo dei ciber-attacchi è reale”, dichiara il rapporto del gruppo, con riferimento alle intrusioni dello scorso anno nei dipartimenti della Difesa, dello Stato, della Homeland Security, del Commercio, alla NASA e alla National Defense University.

“L’e-mail non classificata del Segretario della Difesa è stata presa di mira e ufficiali del dipartimento ci hanno detto che i loro computers vengono scandagliati centinaia di migliaia di volte al giorno; un ufficiale dello Stato ci ha detto che il dipartimento ha perso terabytes di informazioni; l’Homeland Security ha sofferto intrusioni in molte sue divisioni, tra cui la Transportation Security Agency; il Commercio è stato obbligato a mettere offline il Bureau of Industry and Security per diversi mesi; la NASA ha dovuto stabilire delle restrizioni alle e-mail prima dei lanci dello shuttle e ha visto alcuni progetti per nuovi lanci compromessi. Recentemente, anche la Casa Bianca ha subito alcune intrusioni non identificate nei suoi networks",

Il rapporto menziona alcune delle minacce considerate più pericolose, come quelle che hanno dovuto affrontare alcuni fighters in Iraq e in Afghanistan (solo ipoteticamente): “gli Stati Uniti hanno un sistema di tracciamento basato su segnali blu per dire ai comandanti dove sono localizzate le forze amiche che potrebbero essere trasformati in segnali rossi, colore che indica le forze nemiche. Un intrusore potrebbe dunque provocare un incidente sul genere di fuoco amico inducendo i fighters americani ad aprire il fuoco su truppe USA”.

Almeno sei membri della commissione interpellati da BusinessWeek hanno preferito non rivelare i particolari delle più recenti intrusioni nei computers di compagnie, del Pentagono, del Comando Centrale statunitense e di importanti centri di operazione militare come la base di Bagram Air in Afghanistan. Anche gli ufficiali della Difesa e dell’intelligence hanno preferito non descrivere gli impatti di questa massiccia penetrazione nei networks corporativi e militari, confermando che l’attacco è culminato il 22 novembre scorso con il livello di minaccia allo U.S. Strategic Command conosciuto come “INFOCon”, che prevede il bando dei dispositivi plug-in come i thumb drives (le chiavette USB). Briefing di emergenza sono stati dati anche a Obama e a Bush.

Come riportato da un articolo dello scorso novembre del Los Angeles Times, le intrusioni e i relativi danni subiti dai networks militari statunitensi sono cominciate con piccolo pezzo di malware conosciuto come “agent.btz” che ha colpito negli ultimi mesi anche i networks di varie corporazioni. Le intrusioni sono poi cresciute divenendo sempre più sofisticate rendendo difficile rintracciare la loro origine.

Secondo BusinessWeek, il settore militare statunitense dispone di circa 7 milioni di dispositivi elettronici vulnerabili. Stabilire quanti di questi dispositivi siano stati effettivamente puliti dall’intrusione di agent.btz è impresa non facile, oltretutto anche molto costosa. Le indagini forensi e la riprogrammazione di ogni computer - che sta continuando al Pentagono, ai quartieri generali del Comando Centrale di Tampa e alle installazioni militari in Afghanistan – costa dai 5.000 ai 7,000 $ per macchina.

Kellermann e altri consulenti di cyber-security hanno detto che “la cyber-war è al momento del tutto fuori controllo e non è solo una minaccia alla sicurezza nazionale anche all’economia globale”.

“U.S. Is Losing Global Cyberwar, Commission Says”, businessweek, 7 dicembre 2008

"Cyber-Attack on Defense Department Computers Raises Concerns", Los Angeles Times, 28 novembre 2008

“China Stealing U.S. Computer Data, Says Commission”, businessweek, 21 novembre 2008

“agent.btz: il malware che terrorizza il Pentagono”, trackback, 01 dicembre 2008

A dispetto degli sforzi della industria della cyber-sicurezza e una mezza decade di sforzi da parte di Microsoft di proteggere il suo sistema operativo Windows, il malfare si diffonde sempre di più.

L’Organization for Security and Cooperation in Europe stima che il fiorente cyber-crimine, tra furti di identità, di carte di credito, frodi bancarie, truffe varie, frutti circa 100 miliardi di dollari all’anno. Una compagnia russa che vende software antivirus falsi paga ai suoi distributori illeciti più di 5 milioni di dollari all’anno.

Con le vaste risorse provenienti dal furto di carte di credito e altre informazioni finanziarie, i cyber-criminali stanno vincendo la cyber-war.

I cattivi stanno migliorando più velocemente dei buoni”, dice Patrick Lincoln, direttore del laboratorio di computer science alla SRI International, un gruppo di ricerca scientifico e tecnologico.

Il cyber-crimine è underground, è ben finanziato ed ha il vantaggio di lavorare in paesi in cui le autorità preposte al controllo delle connessioni Internet globali non si danno molto da fare per perseguire un’attività che porta fondi dall’estero in gran quantità.

Lo scorso ottobre, l’RSA FraudAction Research Lab, un gruppo di consulenza alla sicurezza con base Bedford, nel Mass, ha scoperto una cache di mezzo milione di numeri di carte di credito e acconti bancari che erano stati rubati da un network di computers cosiddetti “zombie” controllati da remoto da una gang online.

Sempre in ottobre, ricercatori del Georgia Tech Information Security Center hanno riportato che la percentuale dei computers infettati online da botnet è aumentata del 15%. Il ché suggerisce che almeno 10 milioni di computers vengono usati per distribuire spam e malware su Internet ogni giorno, secondo la ricerca compilata da PandaLabs.

Proprio i PandaLabs, recentemente hanno scoperto una botnet che diffondeva un malware che prendeva di mira il sito Web del Presidente Obama: un falso sito Web, identico all’originale, induceva i visitatori a ciccare sul link intitolato “Barack Obama rifiuta di fare il Presidente” che in realtà attivava il worm “W32\Iksmas” e il download di tutti i files necessari ad ospitare il falso sito sul computer delle vittime.

Gli addetti alla sicurezza rispondono che questo tipo di software, come i worms, che possono spostarsi di computer in computer, sono relativamente invisibili ai software anti-virus. Una ricerca di Stuart Staniford, di FireEye, una società nel campo della cyber-security di Silicon Valley, indica che il test di 36 prodotti commerciali di antivirus ha mostrato che erano in grado di riconoscere solo poco più della metà dei malware più recenti.

“I moderni worms sono scritti professionalmente e più difficili da stanare”, dice Bruce Schneier, responsabile della sicurezza tecnologica per la British Telecom, “le gang criminali sono ben organizzate e internazionali poiché il giro di affari è notevole”.

I programmi vengono scritti per prelevare specifici tipi di informazione conservate in un personal computer. Ad esempio, alcuni malfare usano il sistema operativo per andare a vedere i documenti più recenti creati dall’utente presupponendo che possano essere quelli più appetibili. Altri vanno a cercare le log-in e le password, specialmente quelle relative a informazioni finanziarie

I programmi stanno diventando così sofisticati che oltre ad infettare i computer e regolarmente usa re le capacità degli antivirus per disabilitarli, sono anche in grado di rimuovere altro malware eventualmente in competizione. Recentemente, ricercatori anti-malware Microsoft hanno disassemblato uno dei virus scoprendo con sorpresa che attivava Windows Update in modo che l’infezione fosse protetta da altri attacchi ciber-criminali. Inoltre, sempre la Microsoft, ha registrato un aumento di malware ii computer Windows del 43% nella seconda metà del 2008.

Il maggiore problema è che gli utenti non sanno di essere infetti perché il malware spesso si maschera come software antivirus.

Oltre i miliardi di dollari persi in furti di soldi o di dati, c’è l’impatto sulla fiducia nella sicurezza del commercio elettronico. “Si sta andando verso una sempre maggiore dipendenza da Internet, anche da parte delle istituzioni finanziarie”, dice Vinton G. Cerf, uno dei padri di Internet, “il ché crea anche una maggiore vulnerabilità”.

Il governo degli Stati Uniti ha cominciato a prendere coscienza di quanto sia grave il problema. Il presidente Bush, lo scorso gennaio, aveva stabilito con la National Security Presidential Directive 54 una iniziativa nazionale riguardo la cybersecurity, un piano da più di 30 miliardi di dollari in sette anni, diretto ad assicurare protezione ai sistemi di computers del governo federale, che fanno girare una infrastruttura critica, quella delle reti legate alle materie prime, come petrolio e gas, alle centrali energetiche elettriche e ai sistemi idrici.

Ma il vero tallone d’achille è costituito dagli affari e dai consumatori che gravitano sui centinaia di milioni di computers e cellulari connessi a Internet, che costituisce il principale obiettivo del cyber-crimine. “La sicurezza è a rischio perché è difficile misurare l’efficacia delle misure di protezione”, dice Eugene Spafford, scienziato informatico della Purdue University, “oggi stiamo messi molto peggio che non 20 anni fa perché sono stati spesi molti soldi per cercare di risolvere il problema invece di ridisegnare l’infrastruttura”.

I cyber-criminali appaiono avanzati tecnologicamente almeno quanto le migliori compagnie di software, ma più veloci e più flessibili. Dopo che Windows e Macintosh hanno rafforzato le difese dei loro sistemi operativi, si sono trasferiti sul Web prendendo di mira programmi come Adobe Flash e Apple QuickTime, inducendo gli utenti a cliccare su dei links contenuti nei messaggi di e-mail.

Alcuni ingegneri di Trend Micro hanno segnalato una tecnica usata da alcuni hacker che sfruttano false pagine di YouTube per ingannare le persone ed installare software maligno sui PC.

Secondo Trend Micro, numerosi social network come MySpace e Facebook sono stati colpiti: scegliendo di aprire la pagina, si consente l’installazione di software dannoso che può rubare dati o prendere in possesso il computer. Il consiglio degli esperti è di non aprire tutti i link che si trovano sulla rete e che riguardano video di YouTube: è sempre meglio non accettare collegamenti di questo tipo e, invece, provare a cercare lo stesso video sul sito originale.

Sta di fatto che il ciclo globale della distribuzione di patch di aggiornamento va a vantaggio dei criminali che possono costantemente andare a caccia di nuove backdoors e vulnerabilità dei sistemis. Le società di software per la sicurezza stanno passando dagli anti-virus aggiornati giornalmente sui personal computers degli utenti a servizi basati sul Web che consentono di effettuare gli aggiornamenti più velocemente.

Secondo il veterano del protocollo TCP/IP Vinton Cerf, le botnet potrebbero causare presto un tracollo di Internet.

Nel tentativo di combatterle, ricercatori dellla SRI International hanno creato “Bothunter”, un software di sicurezza in grado di riconoscere eventuali botnet al lavoro, hanno raccolto in tutto il mondo più di 10.000 campioni di malware unico ogni giorno. “Questi virus si diffondono nelle macchine prima che gli aggiornamenti possano rilevarli, è così che i cyber-criminali stanno vincendo a guerra”, Mr. Schneier, tra i creatori di Bothunter.

Al Georgia Tech Institute of Technology, dove si lavora per sviluppare strumenti innovativi, in grado teoricamente di porre un freno all'imperversare di spam, attacchi DDoS e quant'altro venga quotidianamente veicolato dalle reti di PC infetti, è nato il progetto “Botsniffer”, un software per l'individuazione delle botnet che "sniffa" il traffico che passa attraverso i protocolli IRC e HTTP utilizzando il cosiddetto metodo di "correlazione e similarità spazio-temporale".

Tale metodo si basa sul presupposto che tutte le botnet abbiano bisogno di comunicare e ricevere ordini da un nodo centrale, per mezzo del quale vengono immesse nella rete istruzioni e update al codice del malware che controlla i PC-bot. Tali ordini e aggiornamenti tendono a fluire attraverso i bot in maniera sincronizzata, trasformando i nodi della rete in una "folla in ascolto" che si muove all'unisono in risposta al nodo da cui gli ordini sono partiti. Se questo tipo di comportamento viene identificato come consistente e sincrono, allora con ogni probabilità si tratta di una vera e propria botnet.

Grazie a questo approccio, BotSniffer dovrebbe essere in grado di scovare le reti di malware indipendentemente dal volume di traffico da esse generato. Secondo gli autori del software, gli strumenti a disposizione di BotSniffer lo rendono una soluzione di gran lunga più efficiente rispetto a quelle impiegate attualmente, non basandosi su sistemi di controllo di hash e firme virali, meccanismi di identificazione delle intrusioni e altri noti sistemi di indagine impiegati da programmi come BotHunter.

Secondo i dati pubblicati da BigG, 1,3 % delle ricerche effettuate sul motore di ricerca più usato al mondo, restituisce un link infetto. Precisamente si conta che sul Web una pagina ogni 1000 contenga del codice dannoso.

Dopo aver scandagliato miliardi di pagine, il totale dei domini pericolosi si è assestato sui 3 milioni, centinaio più o centinaio meno: sarebbe a dire che ogni 1000 siti almeno 1 è pericoloso.

Oltre alla Cina, che è prima in questa speciale classifica, col 67% di tutti i siti spara malware figurano anche gli Stati Uniti, rei di ospitare tare il 15% dei siti infetti, seguiti da Russia, con il 4%, Malesia con il 2.2% e Corea (2%). Il nocciolo della questione sembrerebbe essere la carenza di controlli adeguati e la conseguente facilità con la quale è possibile acquistare domini in Cina.

Una faccenda che a Mountain View prendono molto sul serio, forse perché in passato anche il network Blogger e il motore di ricerca stesso erano finiti nella lista dei cattivi. E se non bastasse il supporto a StopBadware.org, se non bastassero le pagine di avviso quando si clicca nelle ricerche, ora è giunto il momento di evangelizzare e spiegare correttamente quali sono i rischi del navigare e dove si annidano.

Secondo Neils Provos, Senior Staff Software Engineer di Google, il tutto dipenderebbe anche dalla poca attenzione che i webmaster mettono per rendere sicuri i propri siti Web. Quindi, secondo l’esperto, tra le soluzioni al problema ci sarebbe, da una parte una maggiore attenzione dei webmaster, dall’altra, prevenzione, informazione e aggiornamenti automatici degli antivirus (anche se, come si è visto, pur essendo aggiornati, sono facilmente aggirabili dai virus in continua evoluzione, ndr).

A detta degli analisti, anche i terminali mobili sarebbero sempre più minacciati. I virus per Symbian OS sono noti per aver mietuto diverse migliaia di vittime: in Giappone, paese dove i telefonini sono onnipresenti, la minaccia sarebbe sempre più reale al crescere della diffusione degli smartphone.

Un ritornello già noto, che ricorda ai proprietari di cellulari tuttofare che, sebbene siano ancora poco diffusi, i virus per questi prodotti esistono già.

Il sito F-Secure ha effettuato un’interessante analisi relativa all’evoluzione della localizzazione dei criminali informatici nel corso degli anni. Come riportato dalle mappe, si è potuta registrare una massiccia diffusione di malintenzionati in tutto il mondo, in particolar modo in quelli che invece ora sono i territori più all’avanguardia nel campo informatico: USA, Europa, Giappone, India ed Australia, dove l’attività illecita era più vista come una specie di hobby che come un vero e proprio crimine effettuato da professionisti.

Negli anni dal 2003 ad oggi, si è invece verificato uno spostamento della concentrazione degli attacchi, più frequenti tra Cina, Brasile e paesi dell’ex Unione Sovietica, nelle quali si è iniziata a vedere una tipologia di attività più organizzata, mentre nelle nazioni che dagli anni ‘80 ospitavano i criminali informatici non si sono più apprezzate quantità di attacchi rilevanti.

Secondo il monitoraggio effettuato da “ThreatExpert, la Russia ha superato la Cina nel primato di maggiore fonte di sofware maligno. La Russia ha ottenuto il primato con il 27,34% del malware prodotto, seguito da Cina con il suo 27.09% e dagli Stati Uniti con il 10.11%.

Il ThreatExpert, nato dagli stessi sviluppatori di PC Tools, è un sistema molto avanzato e del tutto automatico per analizzare i comportamenti di virus, worm, trojan, adware, spyware e tutti gli altri software che potrebbero infierire nella sicurezza dei sistemi informatici.

Nella classifica rientrano anche Paesi europei anche se con percentuali molto basse: Regno Unito 5.34%, Francia 3.81%, Germania 2.14%, Svezia 1.6%, Spagna 1.37% e all’ultimo posto c’è l’Italia con lo 0.88%, anche se qui è ancora molto diffusa la presenza di dialer, un malware che stabilisce connessioni a numerazioni speciali a pagamento.

Il futuro vede le aree in crescita economica come provenienza della maggior parte dei malintenzionati, che in particolar modo secondo le previsioni prolifereranno sempre più in Cina, Africa e Centro America, grazie anche al livello di capillarità raggiunto dalle connessioni a banda larga, ormai presenti in maniera massiccia tutto il mondo. A favorire i criminali dell’informatica che verranno, la possibilità di sfruttare buchi legislativi nei loro paesi d’origine, troppo spesso lenti nel creare un’efficace sistema di leggi nei confronti dei reati legati all’IT.

“New BotSniffer better able to detect foul stench of botnets”, arstechnica, 18 febbraio 2008

“L'evoluzione della criminalità informatica”, downloadblog, 13 febbraio 2008

“Google è convinta che il malware arrivi dalla Cina”, trackback, 20 febbraio 2008

“La Cina superata dalla Russia nella produzione di malware”, tecnomagazine, 22 febbraio 2008

“Ora è YouTube a fare da tramite per la diffusione di malware”, delfinsblog, 13 ottobre 2008

“Malware Campaign Impersonates Barack Obama's Website”, PandaLabs, 17 gennaio 2009

“Thieves Winning Online War, Maybe Even in Your Computer”, NewYorkTimes, 5 dicembre 2008

“BotHunter aims to find bots for free”, SecurityFocus, 26 novembre 2008

“Cybercrime, numeri record per il rootkit da MBR”, PuntoInformatico, 03 novembre 2008

“Annual Report PandaLabs 2008”, PandaLabs, 31 dicembre 2008

Secondo un’analisi compiuta da Symantec, il cybercrime, ed in particolare l'appropriazione illecita e la diffusione/vendita di dati sensibili su internet, conta un business di circa 7 miliardi di dollari.

Il rapporto denominato "Report on the Underground Economy" evidenzia come su internet vi sia una fitta rete di traffici illeciti con conti bancari svuotati e carte di credito rubate. I luoghi di maggiore diffusione di dati sensibili sono tutti quei siti aperti agli utenti comuni, dai forum, alle chat ai portali di file sharing. La ricerca mette in luce un mercato di oltre 276 milioni di dollari, con la sola vendita e diffusione di informazioni sensibili e strettamente personali.

Secondo Symantec, le informazioni più costose e più vendute (circa il 31% dei guadagni) sono quelle relative alle carte di credito, anche perché più semplici da utilizzare su shop online. Seguono nella classifica con un 20% del totale, i dati del proprio conto bancario, svuotato dopo appena qualche minuto.

Ma chi sono i cybercriminali? Gente comune, individui singoli, spesso ben organizzati e con un'elevata esperienza informatica. Il 45% dei traffici si svolge in Nord America, mentre il 5% in America Latina.

Secondo lo studio, i primi 10 malfattori hanno guadagnato ciascuno 276 milioni di dollari per un giro d'affari complessivo che sfiora i 7 miliardi di dollari. Un mercato a tutti gli effetti, globalizzato ed efficiente, dove beni illegalmente sottratti e servizi collegati alle frodi vengono venduti e acquistati su base regolare e dove il valore stimato dei prodotti offerti dai singoli operatori viene misurato in milioni di dollari.

Il report raccoglie tutte le informazioni che l'organizzazione Security Technology and Response (STAR) di Symantec ha recuperato sui server dell'economia sommersa fra il 1' luglio 2007 e il 30 giugno 2008. I prezzi all'ingrosso per ottenere strumenti adatti ad un cyber-criminale sono competitivi: un sistema per intercettare i dati sensibili degli utenti (tipicamente numeri di carte di credito, conti correnti bancari, ecc.) costa 23 dollari. Avere un supporto sui server controllati per operazioni di phishing (furti d'identità) costa meno di dieci dollari. E poter disporre addirittura di una rete di computer infettati e quindi sotto il proprio controllo, costa appena 225 dollari. Un programma per controllare la vulnerabilità di un sito di home banking, invece, è messo in vendita su internet a 740 dollari.

Per quanto riguarda i volumi di scambio, il 30 % delle informazioni che vengono distribuite nei forum del cybercrime riguardano le carte di credito, mentre le credenziali di account bancari sono le più vendute, a prezzi che vanno dai 10 ai mille dollari.

La categoria di beni maggiormente pubblicizzata all'interno di questo scenario è quella delle informazioni relative alle carte di credito, che pesano per il 31% dei prodotti totali; se da un lato i numeri di carte di credito rubate valgono da un minimo di 0,10 a un massimo di 25 dollari a carta, il relativo limite medio di spesa osservato da Symantec superava i 4.000 dollari. Symantec ha inoltre calcolato che il valore potenziale di tutte le carte di credito pubblicizzate durante il periodo di riferimento sia stato pari a 5,3 miliardi di dollari.

La popolarità che caratterizza le informazioni delle carte di credito deriva verosimilmente dalle molteplici modalità con le quali tali dati possono essere recuperati e utilizzati per frode; le carte di credito sono di facile utilizzo per lo shopping online e spesso risulta difficile per commercianti e credit provider identificare e gestire transazioni illecite prima che i criminali completino tali attività e ricevano le merci acquistate in maniera truffaldina. Inoltre, i dati delle carte di credito vengono spesso venduti ai malintenzionati in grandi volumi, con la garanzia di sconti o di numeri gratuiti rilasciati a fronte di acquisti quantitativamente significativi.

Al secondo posto si posizionano i conti bancari per il 20% del totale. Nonostante i dati inerenti i conti bancari siano venduti a un valore compreso fra i 10 e i 1.000 dollari, il saldo medio di tali conti è di circa 40.000 dollari. Calcolando il saldo medio pubblicizzato di un conto bancario con il costo medio dei dati di un conto, il valore dei conti pubblicizzati durante il periodo esaminato ha raggiunto 1,7 miliardi di dollari. La popolarità di cui godono le informazioni relative ai conti bancari è da attribuirsi al potenziale che essi racchiudono in termini di elevati esborsi e della rapidità con cui questi avvengono. È infatti accaduto per esempio che conti bancari siano stati svuotati con trasferimenti online verso destinazioni non tracciabili nell'arco di soli 15 minuti.

Durante il periodo preso in esame dal report, Symantec ha rilevato 69.130 inserzionisti attivi e un totale di 44.321.095 di messaggi pubblicati sui forum sommersi. Il valore potenziale di tutti i beni proposti dai primi 10 inserzionisti maggiormente attivi era pari a 16,3 milioni di dollari per le carte di credito e 2 milioni di dollari per i conti bancari; inoltre, il valore potenziale dei beni messi a disposizione dal più attivo degli inserzionisti identificati da Symantec nel periodo in oggetto era pari a 6,4 milioni di dollari.

Dal report emerge che il Nordamerica ha ospitato il maggior numero di server dedicati alle attività sommerse, pari al 45% del totale; segue la regione Europa/Medio Oriente/Africa con il 38%, l'Asia/Pacifico con il 12% e infine l'America Latina con il 5%. Al fine di eludere controlli e localizzazioni, i server preposti a questo tipo di attività illegali cambiano continuamente.

Secondo il “Worldwide Infrastructure Security Report” di Arbor Networks, condotto sui 66 principali operatori Internet mondiali, il 57% degli operatori ha sperimentato un attacco di oltre 1 Gbps, nell'ultimo anno: immaginiamo una valanga di dati che sommerge un punto della rete, paralizzandolo, impedendo a qualsiasi utenti di connettersi. Se va ko un sito, nessuno può accedervi. Se collassa la rete di un operatore, è blackout per tutti i suoi utenti, un po' come capitato a Telecom Italia tempo fa.

Ebbene, quello era solo un assaggio: aspettiamoci di dover fare i conti sempre più spesso con questa spada di Damocle che pende su internet. È un fenomeno in rapida crescita, infatti. Fino al 2001, un attacco poteva arrivare al massimo a 400 Mbps: rispetto alle attuali capacità di fuoco è come una fionda contro un cannone. Il record dei 40 Gbps (cento volte in più rispetto ai valori del 2001 e quasi il doppio rispetto al massimo di un anno prima) è stato registrato nel 2007 durante una guerra di cyber-criminali.

Il rapporto di Arbor Networks rileva che le principali reti al mondo hanno una capacità massima di 10 Gbps. Un attacco da 40 Gbps può paralizzare quindi una grande porzione di internet, per tutta la sua durata. Al solito questi attacchi, che si chiamano in gergo “DDoS” (Distributed Denial of Service), sono fatti a scopo di ricatto, contro siti di e-commerce, che subirebbero grandi danni economici per un blackout. Oppure sono compiuti per motivi politici: è accaduto a siti governativi georgiani durante la guerra con la Russia.

Il business, nel caso del notorio “Storm Worm”, frutta quasi 4 milioni di dollari di ricavi netti all'anno, sostengono i ricercatori dell'Università della California di San Diego e della UC Berkeley.

Per ottenere le informazioni necessarie a quantificare il valore effettivo della botnet riconducibile allo Storm Worm, i team delle due università statunitensi hanno adoperato una classica strategia da infiltrato, prendendo il posto di un componente chiave per la ricezione e lo smistamento degli ordini impartiti ai bot dal centro di comando e controllo del network malevolo. Fatto questo, i ricercatori hanno avuto la possibilità di ridirigere una parte dello spam del worm verso server da essi controllati, in tutto e per tutto uguali a quelli dello verme "reale", camuffati da dispensatori di pillole blu, arancioni e a pois per truffe finanziarie e per la raccolta fraudolenta di informazioni su account bancari.

Il "subset" dirottato dai ricercatori dovrebbe equivalere all'1,5% della dimensione totale della botnet, ma nonostante questo i numeri registrati sono notevoli: su un periodo di 26 giorni, la tempesta di worm ha mandato in circolazione qualcosa come 350 milioni di spam contenente i link a siti fasulli controllati dagli esperti californiani. Di queste, la maggior parte delle e-mail è andata perduta nei filtri automatici anti-spazzatura, trasformandosi in potenziali "vendite" in 28 casi e portando a un ordine effettivo di "pillole della virilità".

Il valore di ogni singola vendita, e quindi la quantità di denaro sottratto agli utenti creduloni, è stato calcolato in 2.731 dollari complessivi, il che ha portato i ricercatori a stimare - considerando quell'1,5% di rete analizzata - un guadagno annuo complessivo per il business di Storm Worm di 3,5 milioni di dollari.

Tra gli altri interessanti dati evidenziati dall'indagine, vi sono la capacità di propagazione del malware, con un numero di nuovi bot giornalieri stimato tra i 3.500 e gli 8.500, e l'allarmante percentuale di utenti che, nonostante gli avvisi, le raccomandazioni e le campagne di "sensibilizzazione" alle problematiche concernenti la sicurezza informatica soprattutto in rete, continua a fare click sui link presenti nelle mail-spazzatura.

"Una persona su 10 che fa click per ricevere il malware è un dato serio", ha commentato il professore associato della USCD Stefan Savage, un dato che suggerisce "che per gli autori del worm il catturare un numero sempre maggiore di vittime sia poco più che una semplice questione di marketing".

Alla fine lo hanno individuato, rintracciandolo a Pelican Waters nel Queensland, zona nord ovest dell'Australia. Si tratta di Lance Atkinson, 26 anni, originario della Nuova Zelanda.

Stando alla Federal Trade Commission statunitense sarebbe il più pericoloso pirata informatico in circolazione, capace di inviare ben 10 miliardi di mail indesiderate al giorno. Il ché significa 115 mila e 741 messaggi al secondo. Tanti, anzi tantissimi.

Una società di ricerca che da anni analizza il fenomeno, la SpamHaus, sostiene che da Atkinson proveniva un terzo di tutte le mail spazzatura in circolazione su Internet. In pratica aveva messo in piedi il sistema di messaggi spazzatura più vasto mai apparso sul World Wide Web.

Secondo quanto riportato dal The Sydney Morning Herald, Atkinson sarebbe scappato senza lasciare tracce.

In realtà per la Federal Trade Commission è una vecchia conoscenza. Già nel 2005, quando aveva solo 23 anni, gli era stata appioppata una multa da due milioni e 200 mila dollari mai pagata per aver dato vita un altro sistema simile da dove partivano milioni e milioni di mail che pubblicizzavano prodotti di erboristeria. Alla multa della Federal Trade Commission vanno aggiunti i 176 mila dollari americani richiesti dal Dipartimento degli Affari Interni neozelandese per aver inondato le caselle di posta dei suoi compatrioti con due milioni di messaggi al giorno.

Questa volta però Atkinson ha superato se stesso. Il tutto grazie a una rete di computer zombie, controllati a distanza all'insaputa dei legittimi proprietari, che contava circa 35 mila unità sparse fra la Nuova Zelanda, l'India, la Cina e gli Stati Uniti.

Grazie a una rete così ramificata, infrangendo una discreta quantità di leggi iniziando dal “Can-Spam Act”approvato negli Stati Uniti nel 2003 proprio per contrastare il fenomeno dei messaggi spazzatura, Lance avrebbe incassato diversi milioni di dollari derivanti dalle commissioni sulla vendita della merce pubblicizzata dalle sue mail. I messaggi di posta infatti riportavano l'indirizzo Web di alcuni siti ospitati su server cinesi dove si potevano acquistare i prodotti di erboristeria. Che poi venivano spediti in realtà dall'India, mentre società cipriote e georgiane incassavano i soldi. O almeno è questa la ricostruzione fatta dalla Federal Trade Commission.

Atkinson avrebbe operato insieme a un'altra persona, il texano Jody Smith. Di lui si sa poco o nulla, se non che la polizia americana lo sta cercando. Nel frattempo i beni dell'HerbalKing Group, così è stato ribattezzato il formidabile duo dello spam, sono stati congelati.

“Il re delle mail spazzatura che manda miliardi di messaggi”, Repubblica, 20 ottobre 2008

“Symantec: attenti al cybercrime!”, notebookitalia, 24 novembre 2008

“Botnet infiltrati misurano l'economia dello Storm Worm”, Punto Informatico, 10 novembre 2008

“Researchers Hijack Storm Worm to Track Profits”, WashingtonPost, novembre 2008

“I cyber criminali ora sono più forti usano navigatori inconsapevoli”, Repubblica, 12 novembre

“Ricchi, tecno e senza scupoli Sono i boss del cyber crimine”, Repubblica, 24 novembre 2008

L’Iran ha messo al bando oltre cinque milioni di siti internet.

Lo ha annunciato un responsabile dell’authority giudiziaria della repubblica islamica, secondo l’agenzia Trend news. Il Consigliere per la Giustizia dell’ufficio del procuratore generale, Abdul Samad Khorramabadi, ha dichiarato - durante un forum regionale all’università islamica dedicato alla “scienza dei conflitti familiari” - che più di cinque milioni di portali sono stati proibiti nel Paese.

”Internet provoca danno sociale all’opinione pubblica - ha detto Khorramabadi - devono essere studiati programmi speciali per contenere il danno. I nemici utilizzano male internet e cercano di danneggiare i valori religiosi della comunità iraniana”.

Le agenzie non hanno comunicato i nomi dei siti oscurati. Insieme con la Cina, l’Iran è fra i Paesi in cui la censura su Internet è più severa. La lotta senza quartiere alla libera diffusione dei media in Iran prosegue da anni. Dal 2000, più di cento tra giornali e riviste riformiste e pro-democratiche sono state bandite dalle autorità, mentre la ricezione di televisioni satellitari che trasmettono dall'estero è vietata fin dagli anni '90, anche se tale divieto viene spesso aggirato (le antenne paraboliche rispuntano sui tetti delle grandi città malgrado le ripetute rimozioni forzata operate dalla polizia).

Tra le televisioni satellitari più attive e tra le più seguite in Iran, ci sono quelle gestite da iraniani che trasmettono in lingua farsi da Los Angeles, dove vivono centinaia di migliaia di esiliati, e che offrono una vasta gamma di programmi, in particolare di intrattenimento. Ma anche Voice of America, che trasmette da Washington e da spazio a dibattiti di natura politica, spesso con la presenza di dissidenti riparati negli USA.

“L'Iran oscura cinque milioni di siti”, Il Sole24Ore, 18 novembre 2008

Anche in Pakistan non scherzano. Il presidente Asif Ali Zardari ha firmato una legge che mira alla "prevenzione dei crimini elettronici" ed ha effetto su qualunque netizen che si scagli contro le autorità e mini la sicurezza nazionale o infastidisca un cittadino pakistano.

La lista dei crimini è ampia e nutrita, così come sono estremamente varie le sanzioni previste per chi si macchi di un reato commesso attraverso la rete: il semplice accesso non autorizzato a macchine altrui, con o senza la violazione di misure di sicurezza, è un reato per cui le autorità hanno stabilito multe che non eccedono i 3mila euro e una pena detentiva che può raggiungere i due anni; il danneggiamento dei dati che risiedono su sistemi altrui è punibile con tre anni di carcere; la frode condotta con i mezzi informatici merita invece 7 anni di prigionia.

Per dissuadere coloro che confezionano, offrono, rendono disponibile o distribuiscono malware che "possa causare un danno al sistema o che possa provocare la corruzione, la distruzione, la soppressione, il furto o la perdita di dati", le autorità pakistane prevedono 5 anni di carcere. Per gli spammer che infastidiscono i cittadini della rete pakistani, sono previsti tre mesi di carcere. 7 anni di carcere, 10 anni nel caso in cui la vittima sia un minore, attendono invece i “cyberstalker” colpevoli di angherie nei confronti dei netizen pakistani tipo la diffusione di contenuti lascivi, volgari o profani, "proposte di natura oscena", "atti illegali o immorali", immagini di una persona senza il suo consenso.

"Ogni persona o gruppo o organizzazione che, con intenti terroristici, utilizzi, compia l'accesso o faccia in modo di consentire l'accesso a un computer o a una rete di computer o ad un sistema o a un dispositivo elettronico e metta in atto o tenti di mettere in atto un atto terroristico commette il crimine di cyberterrorismo": può farlo per "allarmare, spaventare, sconvolgere, danneggiare o compiere un atto di violenza contro un segmento della popolazione, il governo o altre entità", può farlo rubando, copiando o modificando delle informazioni, certo è che "chiunque commetta un atto di cyberterrorismo e provochi la morte di una persona sarà punibile con una condanna a morte o il carcere a vita" e con una multa che sia di almeno 100mila euro. Perché le forze dell'ordine possano procedere alle indagini, i provider dovranno collaborare conservando i dati del traffico per almeno 90 giorni.

La legge, che fermenta in Pakistan da tempo, è sempre stata giustificata richiamando alla mente l'episodio della morte e del rapimento del giornalista Daniel Pearl: se le autorità pakistane puntano il dito contro lo scambio di email con cui i suoi rapitori si sono accordati per ucciderlo, Reporters Sans Frontières ricorda che i crimini da punire sarebbero il rapimento e l'omicidio, non lo scambio di email che li ha preceduti.

“Pakistan, morte per i cyberterroristi”, PuntoInformatico 10 novembre 2008

Il 10 e l'11 settembre scorso, un centinaio di persone, provenienti dal mondo delle Forze dell'Ordine, dell'intelligence, della sicurezza informatica e del mondo accademico, si sono incontrati a Tallinn, capitale dell'Estonia, per partecipare al quinto workshop ISOI (Internet Security Operations and Intelligence).

L’uditorio - proveniente da Stati Uniti, Gran Bretagna, Canada, Portogallo, Estonia, Lituania, Israele e Australia - era composto di direttori tecnici e capi-ricerca di realtà internazionali, spesso molto vicini al mondo dei servizi segreti. I relatori invece erano persone che operano in aziende e organizzazioni come Trend-Micro, ESET, AVG, Support Intelligence, NATO, Anti-Phishing Working Group, l'Università del New South West (Australia), AusCERT, CERT Estonia, COLT Telecom, Verizon, Yahoo!, oltre ad alcune agenzie di intelligence (FBI, CIA) e di lotta al terrorismo.

Filo conduttore del workshop sono stati proprio i legami, sempre più profondi, tra la sicurezza delle informazioni e la sicurezza nazionale. L'allarme principale è rappresentato dal connubio tra hacking, criminalità organizzata e un nuovo modo di «fare la guerra». La raccolta di informazioni (a scopo di profitto economico o per azioni di intelligence), la distruzione di file e archivi digitali, l'impossibilità di accedere a sistemi informativi di rilevante importanza, la possibilità sempre più concreta di seri attacchi verso le «Infrastrutture Critiche Nazionali» dei diversi Paesi costituiscono uno degli incubi peggiori per chi si occupa di sicurezza nazionale.

La cyberwar coinvolge Paesi come Cina, Corea del Nord, Israele, Russia e, naturalmente, Stati Uniti, Canada, Australia e Regno Unito. Una guerra digitale, combattuta a suon di vulnerabilità informatiche, attacchi elettronici, codice maligno, intercettazioni digitali, hacker e servizi segreti.

Non è un caso che la sede del meeting, quest'anno, sia stata l'Estonia. Ex Stato della Federazione Russa, nell'aprile del 2007 ha subito una impressionante serie di attacchi informatici, lanciati dalla Russia, proprio com’è successo quest’estate alla Georgia. Attacchi che sono riusciti a «spegnere» i due Paesi: bloccare - in un Paese giovane che ha deciso di snellire sin dal 2001 la burocrazia, grazie all'Information Technology - l'accesso ai servizi di rete ha significato, letteralmente, mettere in ginocchio un'intera nazione.

La responsabile della sicurezza informatica della seconda banca per ordine di importanza della Georgia ha descritto in dettaglio, giorno per giorno, l'escalation avvenuta tra il 18 luglio e 10 agosto dello scorso 'anno, con più di 10.000 attacchi, soprattutto ai principali database della nazione, 66 DDoS e centinaia di “Web Defacement” (modifica dell'home page).

In sala, lo shock maggiore è però arrivato quando i relatori hanno parlato di botnet e della transnazionalità dei reati. Gli attacchi contro la Georgia provenivano infatti da Paesi usati come testa di ponte: Macedonia, Guatemala, Usa, Francia, Spagna, Romania, Indonesia, Giappone. E, ovviamente, Russia.

Di Russia si è molto parlato anche nelle sessioni dedicate a RBN, sigla sconosciuta ai non addetti ai lavori che significa “Russian Business Network”. Si tratta di un'organizzazione criminale ormai storica, con sede a San Pietroburgo, il cui business è l'esecuzione di attacchi informatici, l'invio di spam e il furto di informazioni su richiesta. Il loro giro di affari supera i due miliardi di dollari all'anno.

Anche l’Italia, nel 2007, ha iniziato a conoscere l'organizzazione e la mafia russa che vi si cela dietro: siti Web sotto attacco DDoS, ai cui proprietari RBN ha detto, semplicemente, «Pagate e smetteremo. Non pagate, e rimarrete sconnessi da Internet sino a quando non ci stancheremo».

Infine, il phishing, il furto di identità e informazioni riservate. L'APWG (Anti-Phishing Working Group), un'organizzazione di volontari che studia il fenomeno a livello internazionale), ha analizzato 51.989 domini Internet utilizzati per il phishing, riuscendo a stilare una classifica delle nazioni dove sono presenti più phishing web sites: Hong Kong, Thailandia, Liechtenstein, Romania, Cile, Belize, Taiwan, Lituania, Estonia, Repubblica Ceca.

Nel maggio del 2007, Dmitri Galushkevich, 20enne cittadino estone di etnia russa, è stato condannato a pagare un'ammenda di 17.500 corone estoni (poco più di 1.100 euro) per aver organizzato una serie di attacchi informatici diretti contro alcuni siti del paese ex sovietico.

In particolare, Galushkevich avrebbe ammesso di essere il responsabile del DDoS ai danni del website del partito del premier in carica, Andrus Ansip. "Galushkevich è il primo cracker condannato per il massiccio cyberattacco contro le pagine estoni", ha dichiarato Gerrit Maesalu, portavoce del pubblico ministero.

Nonostante il giovane abbia confessato le proprie responsabilità, la sentenza piuttosto mite - ha spiegato Maesalu - è giunta dopo aver considerato la sua fedina penale fino ad oggi immacolata. Il ragazzo avrebbe confermato, stando all'accusa, di aver deciso di agire in segno di protesta per la rimozione di un monumento ai caduti dell'esercito russo dal centro di Tallinn, la capitale estone. Una decisione presa dal premier che non era stata gradita dai cittadini di origine russa e che aveva scatenato proteste intestine e provenienti dalla vicina Russia.

Per la massiccia ondata di attacchi, avvenuta tra il 25 aprile e il 4 maggio 2007, che aveva praticamente paralizzato il Web estone, le autorità estoni avevano accusato direttamente Mosca, sostenendo che l'attacco era stato diretto da funzionari governativi e coinvolgeva persino computer fisicamente presenti nelle strutture statali. Una affermazione smentita dai russi e da alcuni analisti indipendenti, e che non ha trovato altra conferma.

La rete del paese dell'ex Unione Sovietica ha poi dovuto fronteggiare una ripresa dell'offensiva DDoS. In particolare, il sito di informazione delfi.ee è stato oggetto di una massiccia scarica di accessi pirata che hanno causato la sostanziale irraggiungibilità del portale.

“Estonia, cyberwar in tribunale”, PuntoInformatico, 25 gennaio 2008

“Cyber-Mafia, Allarme Rosso: L’Urlo del V Workshop Isoi”, hwupgrade, 10 ottobre 2008

“Nuove potenze sul piede della cyberguerra”, La Stampa, 16 settembre 2008

L'8 ottobre scorso, durante un incontro a Vienna, in Austria, il progetto SECOQC (Secure Communication based on Quantum Cryptography), finanziato dall'UE, ha dimostrato per la prima volta come usare la crittografia quantistica in una rete di comunicazioni commerciale per assicurare la sicurezza delle informazioni

Nella crittografia tradizionale vengono usate delle funzioni matematiche per creare difficoltà per qualsiasi intruso, ma questi sistemi non garantiscono la sicurezza: la loro codifica è solida, ma non impossibile da forzare.

La crittografia quantistica, chiamata anche “Quantum Key Distribution” (QKD) - Distribuzione a Chiave Quantistica - permette a due parti di produrre una «chiave» condivisa che possono usare per codificare e decodificare messaggi. Una persona che “origlia” avrebbe bisogno di prendere in qualche modo le misure di questa chiave, e questo basterebbe a creare delle anomalie nel sistema di comunicazione. In altre parole, una parte terza può essere individuata dalle stesse leggi di natura che controllano il sistema.

Il progetto SECOQC si propone di creare una rete di comunicazioni a lungo raggio e ad alta sicurezza che combina la QKD con l'informatica classica. Nello scorso decennio sono stati fatti grandi progressi nel campo della crittografia quantistica, e già esistono prodotti QKD che connettono due utenti che si trovano a breve distanza l'uno dall'altro. Tuttavia, rimanevano importanti ostacoli che rendevano difficile l'uso pratico di questa tecnologia.

Il primo problema era rappresentato dal fatto che il sistema quantistico usa i fotoni, che sfrecciano un milione di volte al secondo lungo le fibre ottiche e vengono persi nelle distanze più lunghe, rendendo la generazione di chiavi molto lenta. Un'altra difficoltà era che la comunicazione tra due utenti poteva essere interrotta semplicemente tagliando la fibra o creando un'interferenza al segnale, interruzioni che possono essere disastrose per le industrie.

SECOQC ha installato la rete di dispositivi crittografici in un anello standard di comunicazioni a fibre ottiche (fornito dal partner di progetto Siemens) intorno a Vienna. I sei nodi e gli otto collegamenti sono stati posti a distanze comprese tra 6 e 82 chilometri. Durante la conferenza, i partner del progetto hanno verificato il funzionamento del sistema: sono state dimostrate la generazione e la distribuzione di chiavi su tutta la rete, la localizzazione di chi origlia e altre funzionalità della rete.

La rete SECOQC ha mostrato di essere sia resistente che sicura, rendendo possibile il superamento di distanze maggiori tra gli utenti e consentendo di scegliere in modo automatico percorsi alternativi tra gli utenti. Questo ha reso la generazione di chiavi più veloce, offrendo al contempo accorgimenti automatici nel caso di interruzioni nella linea di comunicazione.

Il progetto integrato ha riunito esperti in fisica quantistica e specialisti delle reti oltre a esperti in crittografia, elettronica, sicurezza informatica, sviluppo di software ed economia. Vi sono stati 41 partecipanti (comprese 3 PMI, 25 università, 5 centri nazionali di ricerca e 8 imprese private) provenienti da 12 paesi e il progetto è stato coordinato dall’Austrian Research Center (ARC) GmbH di Seibersdorf. Il progetto ha ricevuto 11,4 milioni di Euro dall'area tematica «Tecnologie per la Società dell'Informazione» del Sesto Programma Quadro (6°PQ).

Standard internazionali per questa nuova tecnologia verranno sviluppati da un gruppo industriale sotto la direzione dell'Istituto Europeo per gli Standard nelle Telecomunicazioni (ETSI) e rappresentanti delle aziende, oltre a futuri utenti. Secondo il coordinatore austriaco del progetto, Christian Monyk, il network sarà commercializzato entro tre anni.

"I potenziali utenti di questo network, agenzie governative, istituzioni finanziarie o compagnie con sussidiarie distribuite, potranno criptare le loro comunicazioni confidenziali con il massimo livello di sicurezza”, ha dichiarato un portavoce di SECOQC.

“EU scientists launch new, 'unbreakable' encryption system”, eubusiness, 08 ottobre 2008

“Effettuata dimostrazione di comunicazione sicura in rete”, diariodelweb, 10 ottobre 2008

In difesa degli utenti di PC, ma soprattutto del business e del buon nome della corporation di Redmond, Microsoft e il procuratore generale dello stato di Washington hanno avviato diverse cause legali mirate a colpire i produttori di “rogue software”, i falsi programmi di sicurezza tutti allarmi e infezioni inventate, che da tempo rappresentano una piaga in crescita nel mondo Windows.

In una nota inviata alla stampa, Washington si riferisce ai produttori incriminati come "aggressivi venditori di scareware, programmi per computer inutili che ingannano i consumatori usando pop-up pubblicitari e avvertendo del pericolo di falle inesistenti sebbene presentate come urgenti".

Nei tribunali, il rogue software viene portato come "scareware", ma la sostanza non cambia: come già evidenziato dagli esperti di sicurezza, la minaccia dei falsi antivirus, falsi antispiware e programmi di sicurezza fittizi anima una parte non trascurabile dell'attuale lotta contro il software malevolo che si combatte sui PC Wintel.

Un software in particolare, “Antivirus XP 2008”, è quello che circola con maggiore insistenza tra le mail di spam, sul Web e sulle applicazioni di messaggistica istantanea. Lo aveva già evidenziato Trend Micro e lo ribadisce anche Sunbelt Software per bocca del presidente Alex Eckelberry.

La software house texana Branch Software Inc. aveva il brutto vizio di allarmare l'utente con errori critici riguardo l'eventuale presenza di problemi nel registro di configurazione di Windows, anche se in realtà quegli errori non c'erano mai stati.

È "scareware", accusa Washington, che ha trascinato in tribunale la società grazie all'applicazione del “Computer Spyware Act” in vigore nello stato USA dal 2005. La pressione e il contrasto ai produttori di software con caratteristiche da "allarmifici", se non di vero e proprio adware/spyware, procede dunque sul solco già indicato dalla procura generale di Washington.

In questo caso non si tratterebbe di software malevolo, ma di "semplice" truffa indotta dalla presentazione di messaggi di tipo "CRITICAL ERROR" durante un test condotto via Web, il cui prevedibile esito era l'invito o, meglio, l'accorato appello ad acquistare il tool miracoloso sviluppato dalla società in grado di risolvere il problema. I test condotti da Washington hanno però convinto gli inquirenti del fatto che quel messaggio è una grossa bufala, distribuita indistintamente sia a utenti con problemi che a proprietari di un sistema perfettamente in forma.

Il software costa 40 dollari, una cifra che con tutta l'evidenza del caso Brach Software intasca senza avere alcun merito o utilità. Rob McKenna, procuratore generale di Washington, ha dichiarato che il caso “Washington v. McCreary” (dal nome del CEO della software house, James McCreary IV) è il settimo aperto da quando il Computer Spyware Act è entrato in vigore. Lo stato è alla ricerca di un'ingiunzione nei confronti di Branch Software e di non meglio specificate pene civili contro gli accusati.

“Spara rogue software, rischia la condanna”, PuntoInformatico, 27 marzo 2008

“Rogue software, l'invasione degli ultramalware”, PuntoInformatico, 18 settembre 2008

“Microsoft alla guerra contro lo scareware”, PuntoInformatico, 29 settembre 2008

“Scareware, Washington continua l'offensiva legale”, PuntoInformatico, 02 ottobre 2008

Il Belpaese ha ratificato la controversa “Convenzione di Budapest” sui crimini informatici, sottoscritta nel 2001, aggiungendosi alla ormai lunga lista di paesi che hanno adottato nel proprio ordinamento le nuove disposizioni.

La Convenzione è molto specifica in tema di frode informatica, accesso abusivo a sistema informatico, pedopornografia, illecite intercettazioni di dati telematici e via dicendo, tutti fronti caldi del cybercrime perlopiù già affrontati dalle normative italiane.

Rimangono però aperti dei nodi sui quali si discute da lungo tempo. Tra questi, l'estensione della responsabilità amministrativa delle persone giuridiche ai reati informatici: in sostanza, viene estesa la responsabilità delle imprese in caso di mancata predisposizione preventiva di misure idonee ad evitare che gli organi interni delle società commettano reati informatici, con sanzioni che determinano una responsabilità patrimoniale anche di rilevante entità. Un monito per le aziende che non abbiano posto in essere severissime policy e strumenti di sicurezza.

Sul fronte della data retention, con la Convenzione, si specifica che nei casi di urgenza le forze dell'ordine possano ottenere "senza ritardo" tutti i dati necessari dagli operatori. Operatori che dovranno mantenere il segreto relativamente all'ordine ricevuto. Se non lo facessero, i responsabili rischierebbero pene detentive fino a 3 anni di carcere.

Il nocciolo della Convenzione, oltre all'individuazione dei "nuovi crimini", sta nella predisposizione di misure e procedure di cooperazione e collaborazione tra le forze di polizia: l'idea è che potendo accedere più facilmente ai dati di interesse detenuti dai diversi paesi che hanno ratificato la Convenzione e potendo condividere metodologie operative su indagini specifiche, il lavoro delle forze dell'ordine possa uscirne di gran lunga agevolato.

La Intelligence Advanced Research Projects Activity (IARPA) ha condotto una ricerca sullo stato delle comunità online e lo sviluppo delle tecnologie in questo campo.

“Il mondo virtuale è la prossima frontiera del terrorismo, essendo ancora sotto certi aspetti un ambiente selvaggio e senza regole” ha detto l’organizzazione, “purtroppo, quello che era iniziato come un ambiente in cui la gente si riunisce per condividere le conoscenze o esplorare mondi di fantasia offre la possibilità per gli estremisti religiosi/politici di reclutare gente, trasferire denaro, quindi di impegnarsi in organizzazioni di guerra e terrorismo”.

La IARPA, quindi, propone di istituire una squadre speciale di operatori dell’intelligence che potrebbe agire nei mondi virtuali e tenere traccia delle potenziali minacce. La CIA ha già una sua presenza su Second Life, e anche la polizia di Vancouver ha una sua squadra online.

Tuttavia, la relazione IARPA è stata messa in discussione dai garanti della privacy. Jim Dempsey, direttore della politica presso il Center for Democracy and Technology, ha sottolineato che il governo aveva utilizzato la stessa strategia sui cellulari e internet. “Quando un governo è finito, ogni nuova tecnologia diventa un potente mezzo di sorveglianza, prima che la stessa tecnologia possa essere sfruttata appieno”.

Un attacco elettronico a Port Authority nel New Jersey, i maggiori networks di informazione e di bloggers che diffondono informazioni “credibili ma fuorvianti" senza rivelare le proprie fonti, mentre centinaia di persone sulle liste "no-fly" invadono gli aeroporti, la metro di Washington che resta completamente bloccata, le torri di controllo del traffico aereo di Philadelfia e Chicago messe fuori uso, liquidi misteriosi scoperti nella metropolitana di Londra.

Sono solo alcuni degli incidenti tra dozzine di altri protagonisti del war game del Pentagono chiamato "Cyber Storm" usato dall’Homeland Security Department, con l’aiuto dello State Department, del Justice Department, della CIA e della National Security Agency, per testare le difese nazionali contro eventuali attacchi hacker.

La lista di finte catastrofi è significativa perché suggerisce il tipo di problemi che potrebbero essere causati davvero da un’offensiva simultanea da parte di hackers, bloggers e stampa.

Il war game, dal costo di 3 milioni di dollari, ha simulato nel 2006, nel corso di 5 giorni, una situazione di attacco considerata plausibile contro l’industria tecnologica, le linee di trasporto e i servizi energetici da hackers no global. La prossima simulazione, “Cyber Storm 2”, è prevista per marzo.

"Contiamo che ci possa rivelare qualcosa a cui ancora non abbiamo pensato”, ha dichiarato Michael Chertoff del dipartimento di Homeland Security. “Si tratta senza dubbio di uno scenario impegnativo”, ha detto Scott C. Algeier, dell’ Information Technology Information Sharing and Analysis Center, che si occupa di sviluppare tecnologie per la ciber-difesa delle maggiori compagnie tecnologiche.

Per i partecipanti – tra cui ufficiali governativi di USA, Inghilterra, Canada, Australia e Nuova Zelanda — i disastri virtuali si sono presentati a raffica: attacco hacker ad una linea aerea; furto di software commerciale; problemi ai sistemi di navigazione satellitare; problemi alle stazioni radio di polizia del Montana; chiusura di scuole a Washington, Miami e New York; attacco ai computer dei checkpoints ai confini.

Gli incidenti sono stati divisi in categorie: attacchi informatici, attacchi fisici e operazioni psicologiche. “Volevamo stressare i giocatori”, ha detto Jeffrey Wright, ex direttore di Cyber Storm per l’Homeland Security Department, "e infatti nessuno è riuscito a prendere le giuste decisioni al 100%".

Le reazioni sono state varie. In qualche caso, le compagnie e i governi hanno lavorato con successo. Ma i giocatori chiave non hanno ben capito il ruolo del National Cyber Response Coordination Group nel coordinare la difesa ai ciber-attacchi.

Il poco conosciuto Cyber Response Group, guidato dai Departments of Justice and Homeland Security, è la principale organizzazione governativa nel campo della cyber-security, incaricata di organizzare la difesa e il ripristino in caso di ciber-attacchi di una certa rilevanza.

La simulazione non ha avuto alcun impatto su Internet, gli attacchi sono stati simulati usando solo computers isolati posti in uffici seminterrati ai quartieri generali dei servizi segreti a Washington. Tuttavia, proprio nel mezzo della simulazione, i computers usati per far girare il war game hanno subito un lieve attacco, Gli organizzatori, perplessi, hanno ricondotto l’incidente a giocatori fin troppo zelanti e hanno mandato ad ognuno una e-mail invitandoli a non coinvolgere i computers usati per il gioco.

"Ogni volta che metti insieme un gruppo di esperti informatici, c’è sempre qualcuno che sente il bisogno di dimostrare quanto è bravo”, ha detto George Foresman, ex ufficiale del dipartimento della Homeland Security che ha supervisionato lo svolgimento di Cyber Storm, “abbiamo dovuto frenare gli entusiasmi”.

“Convenzione sul cybercrime, ratifica più vicina”, PuntoInformatico, 22 febbraio 2008

“Su Second Life criminalità e terrorismo?”, ereiser, 11 febbraio 2008

“PROVE DI GRANDE FRATELLO”, comedonchisciotte, 12 gennaio 2008

IARPA: Intelligence Advanced Research Progects Activity

Center for Democracy and Technology

“Pentagon's "Cyber Storm" war game simulates blogger leaks, train disorder -- wait, blogger leaks?”, engadget, 31 gennaio 2008

Ma che fine ha fatto il “warez”? Se lo sono chiesti i redattori del celeberrimo “2600: The Hacker Quarterly”, secondo cui nella scena underground la passione è stata sostituita dal profitto, e i craccatori sono per la gran parte passati al "lato oscuro" del business a scrocco.

Il mondo del warez, temuto dall'industria del software come la peggiore minaccia alla vendita di prodotti originali e ben noto a quanti siano perennemente a caccia di "crack" e software sprotetti, sarebbe in realtà al tracollo a causa della perdita dello spirito originario, ovvero il cracking fatto per il puro piacere di farlo e per distribuire all'intera community il frutto del proprio operato.

"Il warez non è più quello di una volta", afferma The Hacker Quarterly, che accanto alla trattazione di argomenti quali le darknet, mette in luce l'attuale struttura dei siti di accesso al materiale warez e ai codici "liberati" da protezioni e restrizioni alla copia, composta principalmente da amministratori di sistema e webmaster la cui unica passione è il denaro, che non si fanno scrupolo di usare le donazioni degli utenti per il proprio tornaconto o per fare la bella vita. "C'è troppa quantità e troppa poca qualità warez in circolazione in questi giorni", riporta CrunchGear.

Nonostante sia esponente del movimento "Grey hat" che professa la neutralità dell'hacking rispetto a chi lo considera come una pratica di natura morale da usare per fare del bene (“White hat”) e a chi usa le proprie conoscenze "proibite" per motivazioni malevole, personali o di mero profitto (“Black hat”), si lamenta del fatto che in sostanza oggi gli hacker siano diventati tutti, chi più chi meno, Black hat dal portafogli gonfi e dalla carriera piratesca dai rischi minimi.

La denuncia del magazine non svela, a conti fatti, uno stato di cose poi così nuovo: l'uscita di scena del collettivo della celebre crew internazionale DrinkOrDie, falcidiata a colpi di processi e condanne da scontare in prigione, non ha fatto altro che accelerare il già avviato processo di trasformazione del settore.

Da territorio inesplorato da attraversare con attenzione e procedendo a tentoni, il warez è diventato una vera e propria industria, in cui chi è disposto a pagare un modico prezzo può ottenere il tanto agognato software pirata e magari anche altro. È lo stesso processo degenerativo evolutivo che tra l'altro colpisce la scena dei virus writer, in cui l'approccio amatoriale ha lasciato il posto al business dei trojan, worm e botnet che sferzano la moderna rete telematica con tempeste periodiche e oltremodo dannose per utenti e aziende.

Che gli autori di virus, trojan, worm e malware di un paio di generazioni fa si stiano estinguendo sotto il peso dell'azione dei nuovi criminali telematici - pronti a mettere le proprie esclusive competenze al soldo di chiunque sia disposto a pagarli - è un argomento non nuovo: di quando in quando spunta un nuovo agente patogeno creato "per la gloria" e non per il portafogli, ma l'attività delle crew che con le loro creazioni hanno animato il settore già da prima ancora dell'esplosione commerciale dei PC IBM e compatibili si è ridotta a una frazione meno che marginale dell'intero ecosistema dei software malevoli.

La "scena" dei gruppi che nel corso degli anni Novanta si sono combattuti a suon di hack, virus e codice Assembly altamente ottimizzato è oramai esangue, talmente anemica da non essere più in grado di produrre il materiale propagandistico generalmente distribuito per mezzo di una zine a tema. Lo sostiene il ricercatore di Symantec Peter Ferrie, che nelle sue "Note dall'Underground", sul weblog della società, emette una sentenza che non permette appelli: i virus writer tradizionali sono spariti, e la scena che animavano è bella che morta.

I nuovi sviluppi inducono l'esperto Symantec a spendere qualche parola sul presunto mito della "relazione simbiotica" tra le società di antivirus e gli autori di virus (o "AV-VX", come efficacemente sintetizza il ricercatore), a suo dire completamente sfatato dalla lenta ma inesorabile agonia di questi ultimi. "Mentre la scena VX diventa sempre più piccola di giorno in giorno - scrive Ferrie - l'industria degli AV continua a crescere. Un milione di Trojan dopo, i virus writer non contribuiscono con alcunché di significativo al nostro carico di lavoro e davvero non ci fanno fare nemmeno un soldo".

L'apparente disparità dei suddetti destini si spiega appunto con la mutazione genetica dei nuovi autori di malware, che hanno rimpiazzato la vecchia guardia dedicandosi alla creazione di botnet da affittare ai criminali desiderosi di investire nel cyberspazio, magari sulle sempre lucrative attività di spamming, attacchi DDoS verso siti dalla popolarità sostenuta o minacce dirette verso target ben definiti come ben esemplifica il caso Gromozon.

L'evoluzione dei software malevoli, passati da lavori rudimentali a vere e proprie opere di ingegneri professionisti, dediti alla ricerca&sviluppo di nuove soluzioni per far danni o prendere il controllo di un numero sempre più vasto di PC zombie, è poi ampiamente dimostrata dai casi eclatanti dello Storm Worm o di Nugache. Quest'ultimo porta in dote una trasformazione che preoccupa in modo particolare i ricercatori: il trojan è un vero è proprio concentrato di tecnologia per il Peer-to-Peer cifrato, che al posto di divx ed mp3 scambia in continuazione comandi e pezzi di malware tra i peer divenuti parte del network malevolo. Ma a renderlo particolarmente pericoloso sono la sua totale indipendenza da un server centrale da cui partono gli ordini - definito "centro di comando&controllo" - la capacità di mutare in continuazione rimanendo sempre se stesso e quella di spegnere periodicamente intere porzioni della rete, per poi riattivarle alla bisogna.

I malware Storm e Nugache, avvertono i ricercatori, non sono altro che la punta di un iceberg ben più grosso, dove le crew hanno lasciato il posto ai laboratori specializzati attualmente al lavoro su trojan, rootkit e worm fatti "su misura", per criminali animati non tanto dal desiderio di mettere su una rete di zombi a livello mondiale come quella dello Storm Worm, ma piuttosto quanto dallo scopo di attaccare in maniera mirata istituti finanziari e altre organizzazione che hanno la loro ragion d'essere nei portali di rete.

“Non c'è più il warez di una volta”, PuntoInformatico, 16 gennaio 2008

“La "scena" dei virus writer è moribonda”, megalab, 10 gennaio 2008

“Nugache, preso il padre della botnet”, PuntoInformatico, 30 giugno 2008

“4 anni al capo di DrinkOrDie”, PuntoInformatico, 22 maggio 2002

“Gromozon: The strange case of Dr.Rootkit and Mr.Adware”, pianetapc, 13 febbraio 2004

LINKS

comScore

“2009 attacco ai computer un supervirus infesta la Rete”, Repubblica, 24 gennaio 2009

“Web Threats Reach Critical Mass”, InternetEvolution, 21 gennaio 2009

“The New E-spionage Threat”, BusinessWeek, 10 aprile 2008

“Dangerous Fakes”, BusinessWeek, 02 ottobre 2008

The Taking of NASA's Secrets”, BusinessWeek, 20 novembre 2008

Il report di Cisco

Symantec Report on the Underground Economy

Worldwide Infrastructure Security Research Report

Security Labs

RSA FraudAction Research Lab

Panda Security - PandaLabs

ThreatExpert

BotHunter

The Spamhaus Project

Che cos'è lo spear phishing?

Phishing - Wikipedia

Botnet - Wikipedia

Ingegneria sociale - Wikipedia

Malware - Wikipedia

Rogue software - Wikipedia

Scareware - Wikipedia

Cyberstalking - Wikipedia

Website defacement - Wikipedia

Denial of Service - Wikipedia

Russian Business Network - Wikipedia

Anti-Phishing Working Group

StopBadware.org

Warez - Wikipedia

CrunchGear

Grey hat - wikipedia

Black hat – wikipedia

White hat - Wikipedia

DrinkOrDie - Wikipedia

CAN-SPAM Act - Wikipedia

Federal Information Security Management Act - Wikipedia

SECOQC - Development of a Global Network for Secure Communication based on a Quantum Criptography

Crittografia Quantistica – Wikipedia

Austrian Research Centers

ISCOM - Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione

Center for Democracy & Technology

Securing Cyberspace for the 44 Presidency

National Security Presidential Directive 54

United States-China Economic and Security Review Commission

National Cybersecurity Division

Internet Security Operations and Intelligence

Information Technology Information Sharing and Analysis Center

Organization for Security and Cooperation in Europe

http://bx.businessweek.com/it-security/

SECOQC

2600 - The Hacker Quarterly

Hacker - Wikipedia

Cyberterrorism - Wikipedia

CENSURA SU INTERNET 3

CENSURA SU INTERNET 4

CENSURA DI MASSA

INTERNET GOVERNANCE

INTERNET GOVERNANCE 2

CYBER WAR

CYBER WAR 2

DARKNET

BUON COMPLEANNO INTERNET

INTELLIGENZA COLLETTIVA 5

LA GUERRA DEI MONDI 10

Posta un commento
Share/Save/Bookmark
Related Posts Plugin for WordPress, Blogger...

Ratings by outbrain

PostRank