La sicurezza informatica

Transcript

1 UNIVERSITÀ CARLO CATTANEO LIUC Facoltà di Giurisprudenza - A.A La sicurezza informatica Dispensa a integrazione del materiale didattico dell insegnamento di Informatica Giuridica (Jennifer Moro) CETIC CENTRO DI RICERCA PER L ECONOMIA E LE TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE

2 INDICE IT Security Le tipologie d attacco SOCIAL ENGINEERING PHISHING e SPEAR-PHISHING PHARMING SPYWARE IDENTITY THEFT TROJAN HORSES Le soluzioni a disposizione degli utenti Le soluzioni offerte dal mercato... 13

3 IT Security 1. Le tipologie d attacco Social engineering, phishing, pharming, spyware identity theft, Trojan horse sembrano nomi bizzarri alle orecchie di chi non ne hai mai sentito parlare, magari anche simpatici, ma qual è il significato di tali termini? Essi sono i nomi di quelle che attualmente rappresentano le più pericolose minacce alla privacy di chiunque utilizzi un computer collegato a Internet: si tratta, in sostanza, di modalità di accesso non autorizzato ad informazioni personali dell utente allo scopo di ricavare denaro dallo sfruttamento di tali dati o di riutilizzarli per poter compiere crimini di diverso tipo, sia online che offline, facendo in modo che le ripercussioni di queste azioni fraudolente non ricadano sul reale colpevole ma sulla persona di cui sono state scoperte queste informazioni private. Tali modalità di attacco alla privacy altrui sono escogitate da persone molto abili nell utilizzo del computer e specializzate nel convincere gli altri della veridicità delle loro parole. Il termine più generale per indicare questi criminali è hacker, ma, a seconda del tipo di intrusione che scelgono di mettere in atto, possono anche essere identificati come social engineer, pharmer o identity thieve. Ciascuna tipologia di attacco ha le sue tattiche e le sue caratteristiche. Conoscerle è molto importante per poterle evitare ma purtroppo, al momento, molte di queste sono praticamente ignote a coloro che non appartengono al gruppo degli esperti in questo ambito dell informatica. I loro nomi non rientrano nemmeno nei dizionari più recenti, quindi per capire di cosa si tratta forse il metodo più diffuso (ma anche quello che arreca maggiori danni) è cadere in una delle trappole di questi criminali e sperimentare sulla propria pelle cosa significano questi strani nomi SOCIAL ENGINEERING Sono numerosi gli autori che nelle loro opere hanno cercato di fornire una definizione del termine social engineering. Al Berg (1995) lo considera un modo di ottenere informazioni (per esempio una password) direttamente da una persona piuttosto che accedere segretamente all interno di un sistema. Bernz (1999) invece definisce il social engineering come l arte e la scienza di far compiere alle persone la nostra volontà. John Palumbo (2000) lo considera l uso di inganni psicologici verso gli utenti legittimi di un sistema di computer da parte di un hacker intenzionato ad ottenere le informazioni necessarie per accedere al sistema. Kevin Mitnick (2002), autore di due libri che hanno come argomento il social engineering, lo definisce come l arte dell inganno. Si può affermare che il social engineering, a seconda dei casi, è descrivibile da ognuna di queste definizioni. Ciononostante, gli esperti concordano tutti sul fatto che esso rappresenti un ingannevole sfruttamento della naturale tendenza umana a fidarsi degli altri. Consiste infatti nel guadagnarsi la fiducia delle vittime per acquisire informazioni usando le armi della familiarità e del fascino, ricorrendo ad un gergo appropriato unito ad altre tecniche di persuasione. Il criminale, che viene chiamato social engineer, cerca di ottenere tali dati contattando le persone per telefono o sfruttando le risorse della rete e nella maggior parte dei casi, per persuaderle, si finge un amministratore di un sito e richiede la password della vittima. In realtà, gli amministratori di un sito web raramente, se non addirittura in nessun caso, hanno la necessità di conoscere la password degli utenti per eseguire dei compiti amministrativi ma non tutti i navigatori di Internet ne sono consapevoli e quindi facilmente cadono nella trappola tesa dai criminali. Le vittime dei social engineer possono essere compagnie telefoniche, organizzazioni finanziarie, banche e bersagli militari ma si possono verificare casi in cui vengano attaccate persone comuni.

4 Internet rappresenta un paradiso virtuale per questi criminali alla ricerca di informazioni riservate anche a causa dell abitudine, diffusa tra coloro che navigano in Internet, di utilizzare la stessa password per accedere a diverse tipologie di servizi online, quali ad esempio i siti per la compra-vendita, la casella di posta elettronica o i siti delle banche che permettono di controllare il proprio conto corrente direttamente dal proprio computer. Questo però non fa altro che aiutare il lavoro degli hacker che, una volta scoperta una password, riescono ad avere accesso ad un numero di informazioni elevatissimo. Il modo più diffuso per richiedere all utente informazioni personali, tra cui password, è quello dell , apparentemente inviata dall amministratore di un sito ma che in realtà è semplicemente lo strumento per carpire dati personali, che in seguito saranno utilizzati per portare a compimento azioni di diverso tipo, quali prelievi di denaro dal conto corrente, apertura di conti bancari sotto il nome della vittima prescelta, intrusioni nella rete o spionaggio industriale. Un altro metodo utilizzato dagli hacker è quello di installare delle finestre pop-up, cioè dei riquadri che appaiono sul nostro schermo all apertura di una pagina web e che sono creati con l intenzione di incrementare il traffico in rete o per rilevare informazioni, quali gli indirizzi . Tali finestre possono essere usate dal social engineer con lo scopo di far reinserire all utente la sua password con la scusante di risolvere, in questo modo, un problema insorto. Il problema più grande nella difesa contro questo tipo di attacco è rappresentato dal fatto che le persone tendono a fidarsi degli altri e quindi rivelano quanto viene richiesto senza farsi troppi scrupoli sulla veridicità di ciò che viene detto loro. Inoltre non sono molte le persone a conoscenza dell esistenza di tale tipo di truffa quindi questa scarsa consapevolezza non fa altro che aumentare il rischio di rimanerne colpiti PHISHING e SPEAR-PHISHING La parola phishing deriva dal termine inglese fish (=pesce), in cui ph- rappresenta la tipica sostituzione a cui ricorrono gli hacker al posto della lettera f-. Essa fu coniata da un gruppo di criminali che nel 1996, ricorrendo ad una tecnica che venne appunto definita phishing, riuscì a ricavare delle password da un gruppo di utenti dell America On-Line, un fornitore di accessi ad Internet avente sede negli Stati Uniti. Trattando questo fenomeno, bisogna fare una distinzione tra il phishing propriamente detto e la tipologia di attacco sviluppatasi a partire dalla prima e chiamata spear-phishing. Entrambe sono tecniche che, come una canna da pesca, cercano di fare cadere l utente nell imbroglio sfruttando, per raggiungere il proprio scopo, un esca: gli utenti vengono ingannati con l utilizzo di un (che rappresenta appunto l esca) per poter pescare dati personali 1 e password nel mare della rete. Il testo di queste contiene dei facsimili o, addirittura, dei veri e propri documenti della società, ottenuti attraverso la tattica del social-engineering. I criminali che utilizzano le tecniche di phishing e spear-phishing possono essere ex-lavoratori della società che apparentemente risulta aver inviato la lettera oppure venditori o persone che hanno avuto accesso alle sedi fisiche dell organizzazione. Per phishing si intende un , apparentemente inviata dal responsabile o da un collaboratore di un sito a cui siamo iscritti, che ci invita a collegarci a tale sito effettuando l operazione di login, cioè inserendo il nostro username e la nostra password. Nell è presente un link che riporta l utente ad un facsimile di un sito Internet a cui siamo iscritti, creato di proposito 1 Ai sensi dell articolo 4, comma 1, lettera b del Codice della privacy, per dati personali si deve intendere qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

5 dai criminali in modo da assomigliare il più possibile all originale affinché le vittime non si rendano conto di questa sostituzione. Le informazioni di login fornite dagli utenti inconsapevoli sono salvate dai criminali e successivamente riutilizzate per accedere all account e commettere la frode. Lo spear-phishing utilizza le tecniche proprie del social engineering per ottenere le informazioni da un gruppo ben definito di potenziali vittime. Come conseguenza dell uso di queste tecniche, lo spear-phishing risulta essere più efficace del normale phishing. La differenza esistente tra questo tipo di attacco alla privacy e il social engineering consiste nella modalità scelta dal criminale per ottenere la password: il social engineer chiede esplicitamente all utente di rivelargli la sua password, adducendo come pretesto il fatto che tale parola chiave sia necessaria per risolvere un problema sorto nella gestione dell account dell utente; con lo spear-phishing, invece, il criminale non è così esplicito e si limita a rimandare al sito Internet di cui la vittima è utente abituale e lì richiede di effettuare come di consueto l operazione di login. Se si conosce come il phishing funziona, allora si conosce anche il funzionamento di questa sottocategoria ma il problema è che questa conoscenza non è sufficiente per poter evitare di cadere nella trappola. Le tecniche di persuasione a cui ricorre lo rendono infatti molto credibile. Il problema legato al riconoscimento dello spear-phishing concerne l oggetto e il mittente delle essi non presentano niente di sospetto, anzi, hanno tutta l aria di una normalissima inviataci da qualcuno di cui ci fidiamo. Inoltre la loro circolazione non attira l attenzione dei programmi per l eliminazione dello scam 2 grazie all apparente normalità dei dati contenuti nel campo del mittente e nell oggetto del messaggio, che quindi possono arrivare indisturbate nella nostra casella di posta elettronica. Il caso tipo di spear-phishing funziona in questo modo: una persona o un gruppo di persone riesce ad ottenere, attraverso sotterfugi di diverso tipo (ad esempio ricorrendo a conoscenze all interno di una determinata società prescelta come ipotetico mittente delle lettere), un documento societario che può essere usato come esca per ottenere informazioni di particolare peso commerciale. Le vittime vengono convinte ad immettere il loro username e la loro password in un sito fasullo o ad aprire un allegato che contiene altri programmi pericolosi, in grado di controllare le mosse degli utenti della rete e di registrare le loro digitazioni. A questo punto, una volta che le persone, ingannate da un mittente e da un oggetto familiari, cadono nella trappola, i criminali riescono ad accedere a file personali o ad altre informazioni sensibili. La differenza fondamentale tra il phishing e lo spear-phishing dipende dal gruppo di destinatari delle che vengono inviate dai criminali: infatti nel caso del phishing il numero di persone che le ricevono è davvero elevatissimo e sui milioni di vittime possibili, solo alcune diventano vittime effettive. Lo spear-phishing, invece, dipende dall abilità del criminale nel conquistarsi la fiducia di un piccolo gruppetto di utenti, per un tempo sufficiente ad estorcere loro il maggior numero di informazioni possibile. La scelta del gruppo di persone da colpire si può basare su diversi parametri, anche se solitamente il criminale decide di inviare le ad un ridotto numero di persone che lavorano in una grande società, le cui dimensioni non permettono un controllo totale sui dipendenti. Apparentemente il mittente della mail è una persona che lavora nella stessa organizzazione e di cui i dipendenti sanno di potersi fidare; se i destinatari, cadendo nella trappola, rivelano la loro 2 Con il termine scam si intende un tentativo di truffa effettuato attraverso l invio di un in cui si richiede al destinatario di anticipare delle somme di denaro in cambio di grossi guadagni. Nell tipo si dice che è necessario trasferire del denaro da una banca estera che però chiede come garanzia la cittadinanza e un deposito cauzionale. La ricompensa consisterebbe in una percentuale del denaro recuperato. Un altro esempio di promette una vincita alla lotteria ma per poter ritirare il premio si deve versare una tassa.

6 password al mittente della mail, il criminale riesce ad accedere all interno della rete dell organizzazione prescelta come bersaglio. A differenza del social engineering, che si può praticare sia online che offline (ricorrendo rispettivamente all uso di Internet e all uso del telefono), il phishing e lo spear-phishing hanno eletto come strumento chiave di tali criminali l . 1) Per meglio comprendere la tipologia di infetta da phishing, guardiamone un esempio (Fig. Il campo del mittente, nella fig. 1 affiancato dal numero uno, sembra essere occupato dal nome della compagnia menzionata nell . L conterrà molto probabilmente il logo o delle immagini che sono state scaricate dal sito web della compagnia prescelta. Il logo della compagnia (nella fig. 1 affiancato dal numero due) in realtà non è quello originale: presenta dei segni che ci dovrebbero far rilevare la presenza dell inganno, come per esempio errori di spelling, segni di percentuali, numeri o la chiocciola (@) che lo accompagnano. L conterrà un link attivo ( nella fig. 1 classificato con il numero tre). Una volta che si clicca sul link, comparirà l indirizzo del sito web a cui verremo condotti (nell immagine l indirizzo si trova in basso a sinistra). Naturalmente il sito non corrisponde alla pagina web legittima dell organizzazione scelta come esca per perpetrare l inganno. In questo caso il testo del link è la parola here (= qui), ma gli autori delle mail avrebbero potuto scegliere di ricorrere ad alternative ancora più fuorvianti, ad esempio Login a Citibank o Fig.1: esempio di phishing via La pericolosità di questo attacco è perciò evidente e probabilmente questa è la ragione per cui nell ultimo anno è risultato essere la più grande minaccia alla sicurezza online (Communications of the ACM, 2005) PHARMING Il termine pharming indica una pratica criminale che consiste nel modificare la richiesta dell utente per aprire un determinato sito web in modo tale che al posto della pagina legittima compaia sullo schermo del suo pc un sito Internet fraudolento, all interno del quale gli artefici della

7 pagina, chiamati pharmer, possono venire a conoscenza di informazioni personali relative alle loro vittime. E un attacco simile al phishing ma la sua pericolosità è maggiore (Communications of the ACM, 2005; Jones, 2005). In entrambe i casi i criminali cercano di accedere ad informazioni personali degli utenti della rete sfruttando un sito fasullo ma si differenziano nel modo in cui conducono le vittime in tale sito. I pharmer rubano il nome del dominio di un sito, quindi l indirizzo Internet che compare sul nostro browser appare corretto, ma lo username e la password saranno inseriti all interno del server di qualcun altro. In questo modo i criminali cercano di accedere ai conti correnti bancari e ad altre informazioni personali delle persone che cadono nel loro inganno. La vittima del pharmer può essere chiunque utilizzi una connessione Internet. Le informazioni che il pharmer cerca di ottenere sono in sostanza le stesse a cui aspirano coloro che ricorrono al phishing, ovvero le password di accesso ai siti e le informazioni personali. Il pharming può avvenire in quattro diversi modi (Tellervision, 2005): 1) Imbroglio del nome del dominio: il criminale trae vantaggio da un errore di spelling compiuto dall utente nel digitare l indirizzo del sito a cui voleva accedere ed induce quindi a visitare il sito appositamente costruito da lui. Ad esempio, se un utente al posto di digitare l indirizzo anybank.com, per errore digita anybnk.com, accederà ad un sito fasullo costruito dal pharmer. 2) Malware (software malevolo): il pharmer infetta il computer di un utente o di un organizzazione con un software malevolo, che automaticamente indirizza il browser verso un sito il cui nome ed aspetto assomigliano molto a quello legittimo, e contenente i link iniziali che richiedono le informazioni del possessore dell account. 3) Furto di dominio: un dominio è un indirizzo Internet che serve a localizzare un determinato sito sulla rete. Il dominio è associato ad un indirizzo numerico (l indirizzo IP, Internet Protocol). Per rendere più semplice l associazione tra dominio e indirizzo IP sono stati creati i DNS (Domain Name System= sistema dei nomi dei domini ), cioè un sistema che si occupa di convertire un indirizzo numerico nel nome corrispondente e viceversa. La conversione degli indirizzi IP sotto forma di nome consente alle persone di ricordare più facilmente l indirizzo del sito Internet che vogliono visitare. Nel caso del furto di dominio, il pharmer entra in possesso del sito web legittimo di una compagnia e indirizza tutti gli utenti di tale sito verso quello illegittimo. Il criminale si può appropriare del nome del dominio in due modi: a) domain slamming (chiusura del dominio): il TLD (Top Level Domain) è la parte finale di un dominio ed è un suffisso che può indicare l appartenenza ad una certa area geografica (ad esempio, il TLD.it che segue il sito indica che tale dominio appartiene all Italia). La gestione dei domini aventi lo stesso TLD è affidata ad un organizzazione chiamata Registry. Il Registrar è invece un organizzazione che viene incaricata dal Registry per registrare i domini. Nel caso del domain slamming, i pharmer modificano l indirizzo IP di un dominio, mantenendo però lo stesso nome. Perciò gli utenti del sito apparentemente si collegheranno alla pagina che hanno richiesto ma in realtà verranno indirizzati verso un altro Registrar. Il pharmer è quindi in grado di modificare le istruzioni di instradamento per indirizzare la vittima verso un server illegittimo, senza che il malcapitato se ne accorga. b) domain expiration (scadenza del dominio): i nomi dei domini sono affittati per un anno ma può capitare che sorga un errore nella gestione del processo di affitto. In altre parole, una persona o un organizzazione registrano un dominio e lo usano per un determinato periodo di tempo. Se alla fine di tale periodo dimenticano di rinnovarlo, il dominio può essere registrato da un'altra persona. Il vantaggio di sfruttare la dimenticanza del primo proprietario per rilevare il dominio piuttosto che aprirne uno nuovo è che ci possono essere dei collegamenti ipertestuali già esistenti in altri siti che rinviano alla pagina web che in precedenza occupava il dominio. In questo caso, per recuperare i domini persi, si deve fare ricorso all aiuto della legge.

8 4) Avvelenamento del Domain Name System (DNS): questa è la pratica più pericolosa di pharming. Il sistema dei nomi dei domini si può considerare come una mappa stradale di Internet. Quando un utente inserisce ad esempio l indirizzo nella barra del suo browser, il sistema dei nomi dei domini traduce il nome in un indirizzo IP (Internet Protocol), che fornisce le indicazioni di instradamento del messaggio. Dopo che il server DNS ha fornito questo indirizzo, sullo schermo dell utente comparirà il sito dell anybank. I pharmer possono avvelenare i server DNS locali manomettendoli in modo che gli utenti vengano mandati ad un sito diverso da quello richiesto. Questo avvelenamento può derivare da una sbagliata configurazione, dalla vulnerabilità della rete o da software malevoli installati sul server. Come si può desumere da questa descrizione delle tattiche di attacco dei pharmer, il pharming è più complesso rispetto al phishing e richiede un livello di sofisticazione tecnologica più elevato. La sua identificazione è molto complessa, anche perché si può presentare sotto forme diverse. Difendersi da questo tipo di attacco è dunque molto difficile ma è fondamentale cercare di fermare in qualche modo la sua diffusione SPYWARE Spyware è un termine che viene usato per indicare due categorie differenti di programmi informatici: la maggior parte dei programmi di spyware appartiene alla categoria più benigna di programmi che rilevano le abitudini di navigazione degli utenti allo scopo di inviare loro, in un momento successivo, pubblicità mirata. Il resto dei programmi di spyware rientra invece tra la categoria dei cattivi : sono dei software in grado di ricavare informazioni che vengono in seguito utilizzate per perpetrare furti di identità e crimini di tipo finanziario (Hu e Diney, 2005). Coloro che traggono benefici dalla presenza di tali programmi in milioni di computer nel mondo non sono i possessori del pc o gli operatori della rete, bensì i loro produttori. Per quanto riguarda il tipo di vittima degli spyware, non esistono categorie precise: chiunque può diventare un possibile bersaglio, sia che si tratti della tipologia benigna di spyware sia che si tratti di quella maligna. Gli spyware, grazie alla nascita di una rete mondiale, hanno trovato un modo per comunicare una risposta ai loro produttori. A differenza dei virus del computer, che provocano panico tra gli utenti informatici, questo tipo di attacco sembra non generare paure. Molti utenti si dimostrano disposti ad accettare lo spyware come il prezzo da pagare per ottenere gratuitamente programmi e per poter usufruire di programmi destinati alla condivisione di file. Altri invece sono solo inconsapevoli della loro esistenza e quindi dei conseguenti rischi che possono correre. In realtà i danni che gli spyware possono arrecare sono tanto gravi quanto quelli provocabili da un virus informatico e ciò che è ancor più preoccupante è che liberarsi dei primi non è certo meno complicato di quanto non sia l eliminazione dei virus. Anzi, a volte la rilevazione di un intrusione, la difesa e la disinfestazione possono essere addirittura più complicate. La maggior parte degli anti-virus esistenti non è in grado di individuare l esistenza di spyware e molti programmi di spyware hanno un componente che permette di farli reinstallare automaticamente nel caso venissero rimossi. E dunque necessario un particolare tipo di software anti-spyware per eliminare il problema. Nei casi più fortunati, la loro presenza all interno del computer può manifestarsi attraverso un nuovo bottone misteriosamente apparso sulla barra degli strumenti del nostro browser o sotto forma di una strana icona ma l utente non sempre nota tali cambiamenti. A volte, infatti, non vi sono indicazioni visibili della presenza di questi software, che quindi agiscono indisturbati. Hu e Diney hanno proposto una scala di priorità tra i fattori che permettono una difesa contro gli spyware. Al primo posto gli autori dell articolo collocano la consapevolezza: essi sostengono, infatti, che se gli utenti sono a conoscenza dell esistenza degli spyware e della loro pericolosità, avranno molto probabilmente una propensione ad agire in loro difesa e, una volta colpiti da questi, cercheranno di sbarazzarsene in ogni modo. Il problema maggiore riguarderà invece coloro che non

9 hanno questa consapevolezza: non essendo a conoscenza dell esistenza del problema, non si preoccuperanno di prepararsi a combatterlo. Nella graduatoria di Hu e Diney, il secondo posto è occupato dalla fiducia nell utilità degli antispyware. Gli utenti infatti devono essere convinti che gli anti-spyware siano necessari. A seguire, nella scala delle priorità vi è poi la sicurezza che si tratti di programmi di facile utilizzo e che la loro azione possa essere sorvegliata dal possessore del computer. Infatti se un utente è a conoscenza dell esistenza degli spyware e ne ha rilevato la presenza nel suo computer ma non ha idea di come usi un programma di anti-spyware, i danni che egli può provocare con un utilizzo scorretto possono superare quelli che gli spyware avrebbero arrecato, se lasciati agire indisturbati IDENTITY THEFT L identity theft o furto di identità consiste nel furto di informazioni personali di un utente allo scopo di utilizzarle per commettere azioni fraudolente. Le azioni che i ladri di identità possono commettere si dividono in due gruppi: - i criminali, chiamati identity thieve, ricorrono al furto di identità per ottenere carte di credito e prestiti intestati ad altri individui per poi spendere i soldi senza ripagare i conti (dal momento che le ricadute non riguarderanno la loro persona); - i ladri di identità sfruttano il nome di altri per commettere crimini di diverso tipo nel mondo offline, come ad esempio immigrazioni illegali, terrorismo, spionaggio o cambio permanente di identità. Questo è un crimine molto pericoloso e cadere nella trappola tesa dagli identity thieve può avere conseguenze enormi. Chiunque può diventare una vittima di questi criminali e ad aggravare la situazione vi è la difficoltà di dover dimostrare che quanto è avvenuto non è dipeso da noi ma da qualcuno che fingeva di essere noi. Un esempio esplicativo a questo proposito è il caso riportato da un articolo del Fortune di settembre, il cui protagonista è un ventiduenne in cerca di un lavoro che, contattato da un tale dichiaratosi disposto ad offrirgli un ottimo posto nella sua agenzia assicurativa, si è invece trovato vittima di un furto di identità. Dopo aver infatti fornito al presunto datore di lavoro informazioni personali, quali nome, cognome suo e della madre, data di nascita e estremi del conto bancario, si è trovato a dover giustificare l apertura di nuovi conti bancari sotto il suo nome con un bilancio in rosso. Alla facilità con cui la sua identità è stata clonata hanno fatto da contrappunto le difficoltà incontrate dalla vittima per risolvere i problemi generati da questo furto. Questo tipo di inganni, oggigiorno, si sta trasformando in una pratica quotidiana, alimentata da un comportamento poco attento durante la navigazione online o da distrazioni nella vita offline (quali la perdita del portafoglio contenente i propri documenti). Si tratta evidentemente di un problema molto grave che ha portato perdite in denaro del totale di 52 miliardi e mezzo di dollari nei soli Stati uniti durante il TROJAN HORSES L espressione Trojan horses (cavalli di Troia), usata in ambito informatico per definire una particolare tipologia di programmi, deriva dal mito greco del cavallo donato dagli Achei ai Troiani come omaggio agli dei ma in realtà contenente i soldati che avrebbero, durante la notte, invaso la città di Troia e sconfitto i suoi abitanti. I Trojan horse possono essere classificati in tre diverse tipologie: 1) programmi non autorizzati che sono contenuti all interno di un programma legittimo. Il programma illegittimo agisce all insaputa dell utente; 2) programmi legittimi che sono stati alterati dall inserimento di un codice non autorizzato al loro interno.

10 3) programmi non autorizzati travestiti da programmi autorizzati. Essi compiono apparentemente delle funzioni a favore dell utente ma in realtà agiscono contro di lui. Gli ideatori dei Trojan horse ricorrono a tali sistemi di invasione all interno del computer per scopi diversi. Essi possono essere ispirati da pure manie distruttive ed usare i Trojan horse per provocare danni ai computer altrui o possono essere alla ricerca di informazioni e quindi sfruttare tali programmi come strumenti di spionaggio. Le informazioni che più frequentemente ricercano sono: a) dati relativi alle carte di credito, in seguito usati per comprare addebitando la spesa sul conto corrente della propria vittima; b) password di accesso alle caselle di posta elettronica o i servizi erogati via web; c) indirizzi per l invio di spam 3 ; d) furti di progetti di lavoro o scolastici, presentazioni e documenti, con l obiettivo di plagiarli; e) foto di bambini poi usati per traffici di pedofili; f) dati personali poi utilizzati per il furto di identità. A volte poi, i criminali ricorrono all uso di Trojan horse per utilizzare i computer delle vittime come magazzini di materiali quali foto e film pornografici. In altri casi invece l invasore ricorre a questi programmi semplicemente per prendere in giro la vittima, divertendosi a muovere il suo mouse o aprendo e chiudendo in continuazione lo sportello del lettore di Cd-rom del malcapitato. La vittima, anche nel caso dei Trojan horse, può essere chiunque, soprattutto a causa dei molteplici scopi che spingono i criminali ad utilizzare tali programmi. I modi in cui i Trojan horse s insinuano nel nostro pc sono vari: spesso utilizzano quei giochini o test di personalità che i nostri amici ci inviano come allegati alle , e che noi apriamo perché inconsapevoli del pericolo in agguato. La maggior parte dei Trojan horse usa i metodi di avvio automatico per i quali anche quando il computer infetto è spento, questi programmi sono in grado di ripartire, permettendo agli hackers di accedere al pc dell utente. I tipi di Trojan horse esistenti sono tantissimi; sotto sono elencati i principali programmi, dalla cui combinazione sono ricavati altri tipi. Remote access Trojans (cavalli di Troia per accesso remoto): questi programmi danno all hacker un accesso completo al computer della vittima e quindi consentono di consultare file, conversazioni private e password. Password sending Trojans (cavalli di Troia per l invio di password): questo tipo di programma cerca di sfruttare le informazioni che siti come ICQ (programma che consente agli utenti di comunicare con altri utenti e di inviare file, messaggi verso telefonini e cartoline d auguri) e IRC, Internet Relay Chat ( programma di conversazione istantanea molti a molti o uno a uno) o altri siti web forniscono quando viene aperto un nuovo account; infatti l utente riceve un contenente il nome e la password da lui scelti. Keyloggers (rilevatori delle digitazioni): questi Trojan registrano le digitazioni degli utenti e li inviano agli hacker in cerca di password o di altre informazioni sensibili. Destructive (distruttivi): questi programmi distruggono e cancellano file. A volte funzionano come delle bombe che si attivano in uno specifico giorno ad un orario determinato. Denial of Service (DoS) Attack Trojans: questo tipo di attacco colpisce una rete di computer causando una perdita a livello di servizi offerti all utente. In genere questa perdita riguarda la capacità di connessione tra i computer di una rete: la connessione è compromessa a causa di un eccessivo sfruttamento della sua larghezza di banda o a causa di un sovraccarico delle risorse del computer della vittima. La rete viene danneggiata da una serie di attacchi ai server, che sono 3 Lo spam via consiste nell invio, ad un elevato numero di destinatari, di messaggi di posta elettronica. Tali messaggi sono generalmente inviati senza il permesso del destinatario e frequentemente contengono inganni di diverso tipo.

11 controllati a distanza dagli hacker. I Trojan horse, infatti, permettono al criminale un controllo remoto (cioè a distanza) sul computer su cui tali programmi malevoli sono stati istallati e gli consentono di attaccare direttamente il pc della vittima. Il computer collegato alla rete e infetto dal Trojan horse viene definito zombie computer ed è utilizzato dall hacker per svolgere attività malevole di diverso tipo, senza che il proprietario del sistema infetto se ne renda conto. L utilizzo degli zombie computer permette al criminale di agire senza che le sue mosse possano produrre delle conseguenze negative sulla sua persona, in quanto apparentemente non è il criminale ad compiere tali azioni ma risulta essere il proprietario del computer infetto. Software detection killers (distruttori dei programmi di individuazione dei software): questo tipo di Trojan sono in grado di distruggere firewall di tipo software (cioè dei programmi che impediscono agli hacker di introdursi nel computer della vittima) e anti-virus che proteggono il pc. Disattivandoli, gli hacker hanno libero accesso al computer della vittima e possono compiere attività illegali o usare il computer infetto per attaccare quello di altri. L elenco delle tipologie di Trojan esistenti è molto più ampio ma quelle presentate sono sufficienti per comprenderne la pericolosità. Il modo più frequente in cui si può diventare vittime di questi programmi è l apertura di allegati che li contengono oppure contagiati anche attraverso la condivisione di file e utilizzando ICQ o altri programmi che permettono conversazioni sincrone con altri utenti collegati alla rete). E evidente quindi quanto sia alto il rischio che corrono gli utenti della rete e quali possono essere le perdite economiche conseguenti al contagio. Un esempio di tale attacco verificatosi recentemente ha avuto come vittima un gruppo bancario giapponese che è stato derubato di un elevatissima somma di denaro da parte di una banda di criminali che ha fatto ricorso ai Trojan horse per raggiungere il suo obiettivo. I programmi registravano le digitazioni degli utenti e inviavano segretamente queste informazioni alla banda criminale per analizzarle. 2. Le soluzioni a disposizione degli utenti A seconda del tipo di minaccia a cui si deve fare fronte, l utente ha a disposizione strumenti diversi per difendersi. Al fine di evitare di diventare vittima del social engineering, la cosa più prudente che possiamo fare è non dire a nessuno quale sia la nostra password, a meno che non sappiamo di poterci fidare ciecamente della persona a cui decidessimo di rivelarla; la soglia di attenzione deve salire soprattutto se la password viene richiesta per telefono perché non possiamo essere sicuri della vera identità del nostro interlocutore. Se qualcuno ci contatta fingendosi l amministratore di un organizzazione e ci richiede la nostra password, al 99,9% dei casi si tratta di una truffa perché una compagnia seria ha gli strumenti per risalire a tale chiave senza bisogno di rivolgersi al cliente. E poi consigliabile fare il procedimento opposto per mettere alla prova la compagnia: se la contattiamo per cercare di farci rivelare la nostra password e questa ci viene rivelata, ciò è segno di poca affidabilità perché lo stesso potrebbe succedere se fosse contattata da altri che fingono di essere dei clienti che hanno dimenticato la loro parola chiave. Se la compagnia consente ai dipendenti dell organizzazione di accedere alle password dei clienti, ciò non è un punto a suo vantaggio perché secondo gli esperti i dipendenti interni rappresentano una minaccia ancora maggiore degli hacker esterni alla compagnia. Per quanto riguarda il phishing, è bene considerare il fatto che nessuna organizzazione seria chiederebbe al proprio cliente di collegarsi al proprio sito Internet urgentemente: se infatti ci fosse la necessità di comunicare urgentemente con la propria clientela, si provvederebbe al contatto diretto della persona, senza aspettare che sia il cliente a fare il primo passo. In secondo luogo, il cliente deve prestare attenzione al sito che compare nella barra degli indirizzi dopo aver cliccato su un link contenuto in una mail infetta: se l indirizzo non coincide con quello del sito

12 dell organizzazione, questo rappresenta un segnale evidente che ci sia qualcosa di losco. A questo punto, è dovere del cliente riportare all organizzazione quanto accaduto in modo che questa possa prendere provvedimenti. Infine, è bene cambiare la propria password di accesso al sito dell organizzazione se si ha la sensazione di essere diventati vittime di phishing. Contro gli attacchi di pharming, le mosse che gli utenti possono intraprendere sono differenti. Per iniziare, è bene assicurarsi che il sito usi un sistema in grado di criptare le informazioni sensibili durante il loro passaggio attraverso la rete, in modo che i criminali non possano riuscire a leggerle. Un indizio che le informazioni del sito sono criptate è la presenza di un piccolo lucchetto giallo nell angolo destro dello schermo: la sua assenza è un possibile segno che il sito visualizzato è infetto, perché molti criminali non si preoccupano di criptare i dati nel momento che creano il facsimile del sito legittimo dell organizzazione. Un ulteriore segno che dimostra la presenza di informazioni criptate è una s che segue l http nell indirizzo del sito ( si avrà Invece che ). E possibile verificare che il sito appartenga effettivamente all organizzazione facendo un doppio clic sull icona del lucchetto giallo nel fondo dello schermo: si dovrebbe quindi aprire una finestra che contiene il cosiddetto certificato SSL, che rappresenta una dimostrazione della legittimità del sito che stiamo visitando. Si deve inoltre controllare che il certificato sia ancora valido e che non presenti nessuna caratteristica sospetta. In tal caso è bene contattare immediatamente l organizzazione. Se poi il sito dovesse apparirci strano, confuso o sfuocato, questo non è un buon segno: con molta probabilità è un facsimile creato da qualche pharmer. Un ultimo consiglio che è valido anche per i casi di phishing è quello di cambiare la propria password di accesso al sito qualora si sospetti di essere stati colpiti dai pharmer. Per difendersi contro lo spyware l utente deve prestare attenzione a tutto ciò che è presente nel suo computer: solo un analisi attenta può infatti rivelare la presenza di nuove icone, barre o pulsanti che una volta non c erano e che ad un certo punto sono comparse nel nostro pc. Tali indizi rivelano la presenza di programmi di spyware e ci dovrebbero convincere ad iniziare a muoverci in nostra difesa: dovremmo quindi decidere di istallare programmi anti-spyware e studiarne il funzionamento per renderli efficaci ed evitare di creare ulteriori problemi legati ad un loro sbagliato utilizzo. Per quanto riguarda i problemi collegati all identity theft, esiste un numero consistente di misure che l utente può adottare. In primo luogo, è bene ridurre l uso della posta elettronica per l invio e la ricezione di documenti finanziari. E poi consigliabile consultare il proprio conto bancario ogni settimana: il 70 % dei furti di identità è rilevato dalla vittima e la scoperta online della frode comporta delle perdite minori rispetto a coloro che si affidano alla carta stampata per monitorare il proprio traffico bancario. Sarebbe prudente inoltre stracciare le ricevute dei pagamenti con carta di credito perché possono contenere delle informazioni personali. Non si devono poi divulgare dati privati ai venditori che ci contattano per telefono e vanno cancellate subito quelle che ci richiedono di collegarci al nostro account bancario usando il link contenuto nella lettera stessa. In caso di dubbi sulla legittimità o meno di tali , è meglio contattare la nostra banca per chiedere conferma. Nel caso si volesse procedere all acquisto di qualche prodotto online, sarebbe prudente verificare se la compagnia sia fidata e controllare che il sito contenga un marchio apposito che dimostri la sua sicurezza. Sarebbe bene, poi, richiedere una copia del nostro estratto conto almeno una volta all anno o ogni sei mesi in caso si sia diventati vittima di identity theft in passato. E poi da evitare la pubblicazione di molte informazioni private in rete, ad esempio su siti web ed è importante non rivelare né il cognome della propria madre né la propria data di nascita alle organizzazioni che palesemente non necessitano essere a conoscenza di tali dati, quindi quasi tutte le organizzazioni commerciali. Al di fuori dall ambito della rete, per ridurre il rischio di furto di identità è ovviamente consigliabile di prestare la massima attenzione ai propri documenti ed evitare di rilasciarne copie

13 alle organizzazioni commerciali o, se inevitabile, chiedere di riavere la copia quando la collaborazione con tale organizzazione sia finita. Se, contattati da un organizzazione commerciale per la quale lavoriamo, ci viene richiesto di fornire delle informazioni personali, è bene domandare per che cosa verranno usate tali informazioni. Per concludere, le soluzioni adottabili contro i diversi tipi di Trojan horse sono usare un programma di antivirus o programmi anti-trojan e aggiornarli periodicamente; procedere al controllo di tutte le arrivate nella nostra casella di posta prima di aprirle. Infine è consigliabile non aprire i file di cui non siamo sicuri che siano stati inviati intenzionalmente a noi: molti Trojan horse inviano utilizzando come mittente una persona che rientra nella nostra rubrica e che quindi conosciamo. Compiere queste operazioni di difesa richiede tempo, fatica e a volte denaro da parte nostra però noi siamo i primi ad essere esposti al rischio di attacco degli hacker, quindi per poter evitare disastri finanziari e legali è meglio non affrontare con leggerezza questi problemi e sforzarsi di combatterli. 3. Le soluzioni offerte dal mercato Il continuo aumento dei pericoli cui gli utenti di Internet sono esposti quotidianamente ha portato il mercato dei produttori di hardware e software alla ricerca di soluzioni che possano fornire protezione per il PC e garantire un buon livello di sicurezza all utente della rete. Tuttavia la ricerca di una soluzione hardware o software che possa fornire all utente una protezione contro il social engineering è ostacolata dalla natura stessa di questo attacco: si è già ripetuto più volte, infatti, che tale tecnica prevede la richiesta esplicita della password direttamente all utente del computer. Essendo la vittima stessa a rivelare la sua parola chiave e non l hacker a scoprirla attraverso un accesso illegittimo, essa rende la soluzione a questa tipologia di attacco alla privacy indipendente dall avanzamento tecnologico e dipendente dall utente stesso, il quale deve seguire un comportamento prudente che riduca i rischi di cadere nella trappola dei social engineering (vedi pag 35). Per quanto riguarda il phishing e lo spear-phishing, invece, esistono sul mercato delle soluzioni tecnologiche appositamente studiate. Dal punto di vista hardware, una soluzione di cui già si è parlato è quella rappresentata dai token e dalle smart card che vengono utilizzati per l autenticazione a due fattori. Questi dispositivi forniscono all utente una password che cambia ogni 60 secondi e che deve essere inserita all interno delle pagine web in combinazione con un altro PIN o un altra parola chiave. Il vantaggio di tale soluzione è che l autenticazione a due fattori garantisce all utente l autenticità del sito a cui si è connessi e impedisce agli hacker di riutilizzare una password, in quanto ogni parola chiave è valida per un solo login. Dal punto di vista dei software esistenti per combattere phishing e spear-phishing, in commercio vi sono i cosiddetti software anti-phishing, cioè dei programmi che cercano di identificare i tentativi di phishing sia nei siti web che nelle . Essi mostrano il vero nome di un dominio del sito che l utente sta visitando. Risultano efficaci, poi, anche i filtri contro lo spam perché riducono il numero di , contenenti tentativi di phishing, che gli utenti ricevono. Per quanto riguarda le minacce di pharming, i dispositivi hardware per l autenticazione a due fattori rappresentano una soluzione anche per questa tipologia di attacco, in quanto forniscono garanzie sull autenticità del sito in cui cui l utente sta navigando. Dal punto di vista software, invece, non sono numerosi i programmi appositamente creati contro l attacco dei pharmer. Tra i programmi esistenti ricordiamo l Antipharming 1.00, che è stato commercializzato il 30 giugno del 2005, e l Identity Defender Anti-pharming solution. Il primo è un software che fornisce una

14 protezione dal pharming, attraverso l identificazione degli attacchi dei pharmer. Il secondo è un programma contenente dei componenti per la difesa dal pharming. Un ulteriore aiuto a cui si può poi ricorrere è l istallazione (e l aggiornamento costante) di antivirus, anti-spyware e firewall sul proprio computer. Questa mossa riduce la possibilità che un virus possa indirizzarci verso una sito creato dai pharmer. Un altro metodo di difesa dal pharming è il ricorso a software per la protezione del DNS, il sistema dei nomi dei domini. Tali software permettono di fornire agli utenti degli indizi visibili sulla legittimità o meno di un sito web. Inoltre impediscono che gli hacker possano accedere al DNS e quindi possano praticare phishing e pharming. Per difendere i computer dagli spyware, esistono due tipologie di attacco: il primo metodo è la protezione in tempo reale, il secondo è la scansione e la rimozione dello spyware. Gli anti-spyware con protezione in tempo reale funzionano come i programmi di anti-virus che usano tale metodo di difesa: il software analizza i dati provenienti dalla rete e i file dell hard disk nel momento stesso in cui vengono scaricati e blocca quei componenti riconosciuti come spyware. In alcuni casi può anche individuare i tentativi di modifica delle impostazioni del browser. Il secondo metodo di difesa dallo spyware è solitamente più semplice e questo ha facilitato la diffusione dei programmi che vi ricorro. In tali programmi, viene analizzato il contenuto del registro di Windows, i file e i programmi istallati e vengono rimosse le voci che risultano appartenere agli spyware secondo una lista degli spyware conosciuti. Attualmente, le possibili soluzioni allo spyware offerte dal mercato sono varie. Il primo programma anti-spyware ad offrire una protezione in tempo reale è stato lo SpywareBlaster della Javacool Software. A questo se ne sono poi aggiunti altri sempre più efficaci: l azienda Lavasoft produce l Ad-Aware, che rappresenta uno dei più affidabili programmi per l eliminazione degli spyware e che è in grado di analizzare l hard disk di un computer avente come sistema operativo Windows XP. Un altro programma scaricabile gratuitamente da Internet e considerato molto efficiente nell eliminazione e nell individuazione dei problemi legati allo spyware è Spybot-Search & Destroy. La Microsoft invece ha recentemente proposto il Windows Antispyware Beta, il cui download può essere effettuato gratuitamente per i pc aventi come sistema operativo Windows XP, Windows 2000 e Windows A questi prodotti vanno poi aggiunti quelli delle maggiori case produttrici di anti-virus, come Symantec e Sophos, che hanno inserito, all interno dei loro programmi per l eliminazione dei virus, dei componenti che permettono l individuazione di spyware. Tuttavia, tali prodotti non risultano efficaci come i programmi esplicitamente creati per la difesa dallo spyware in quanto l aggiornamento relativo ai nuovi tipi di spyware che man mano vengono ideati non avviene in tempo reale, a differenza invece di quanto succede nel trattamento dei virus con questi stessi prodotti. Va poi citato il programma di anti-spyware della McAfee che verrà commercializzato nel 2006: il software individua automaticamente gli spyware, i vari tipi di Trojan horse e i tutti i programmi che possono rappresentare una minaccia alla privacy dell utente e ridurre la funzionalità del computer. Oltre ad informare l utente della presenza di spyware la nuova versione della McAfee sarà in grado di bloccare il funzionamento dello spyware in modo che non possa arrecare danni al pc nel quale si è insinuato. Per quanto concerne la ricerca di soluzioni tecnologiche contro la minaccia di identity theft, anche in questo caso si ripropone lo stesso problema relativo al social engineering: la causa principale del furto di dati è un comportamento poco attento da parte delle persone, che si lasciano perciò derubare di informazioni private. La difesa più importante proviene quindi dall utente, che

15 deve cercare di evitare quei comportamenti considerati pericolosi per un attacco da parte degli identity thieve. Tra i prodotti per computer, le alternative disponibili si riducono ai sistemi per la difesa della privacy. In questo ambito, va ricordato il McAfee Wireless Home Network Security, un sistema che verrà commercializzato nel 2006 e che fornirà al personal computer degli utenti una protezione contro i furti di dati (e quindi contro il conseguente identity theft) e contro gli accessi non autorizzati. Tale sistema di sicurezza potrà essere scaricato direttamente dal sito dell organizzazione e garantisce un interfaccia semplice ed intuitiva. Al sistema proposto dalla McAffe si aggiunge l Identity Defense Kit, un kit che include un AntiSpyware, e l Identity Defender, un libro elettronico contenente una serie di consigli per difendersi dai ladri di identità. Per difendere i pc contro i Trojan horse, infine, esistono, sul mercato, numerosi programmi per il monitoraggio dell attività di eventuali trojan presenti sul computer dell utente. Questi programmi superano le limitazioni dei tradizionali anti-virus in quanto, seppur gli ultimi possono risultare efficaci nel caso di alcuni trojan horse, non forniscono tuttavia una protezione totale a causa della numerosità di trojan esistenti e della rapidità con cui ne vengono creati di nuovi. Tra i software anti-trojan gratuitamente scaricabili dalla rete vi sono il TDS-3 ( Trojan Defence Suite ), avente caratteristiche innovative rispetto agli altri pacchetti anti-trojan esistenti.