1. UN ANNO VISSUTO PERICOLOSAMENTE TRA HACKER, CYBER-GUERRE E L’ATTACCO ALLA SONY 2. SCAMBIARE INFORMAZIONI IMPORTANTI VIA EMAIL? UNA FOLLIA. ICLOUD? L’AVETE VISTA JENNIFER LAWRENCE E RIHANNA, VOLETE FINIRE CON TETTE E VERGOGNE ESPOSTE SUL WEB? E LE RETI AZIENDALI? IL GRANDE SCANDALO DELLA SONY DOVREBBE ESSERE D’INSEGNAMENTO 3. IL 2014 È STATO L’ANNO IN CUI SIAMO STATI PIÙ CONNESSI CHE MAI A INTERNET MA ANCHE L’ANNO IN CUI ABBIAMO COMPRESO QUANTO PERICOLO C’È DENTRO QUESTO MONDO: È COME SE FOSSIMO TUTTI RAGGIUNGIBILI E TRASPARENTI. CHI PUÒ COLPIRE LA CASA BIANCA PRESTO O TARDI ARRIVERÀ ANCHE A NOI. QUELLO CHE È ACCESSIBILE AL NOSTRO SMARTPHONE È ACCESSIBILE A QUALUNQUE HACKER, E NON C’È PASSWORD CHE TENGA
1. 2014: ODISSEA NELLO STRAZIO ONLINE-UN ANNO VISSUTO PERICOLOSAMENTE TRA HACKER E L’ATTACCO ALLA SONY
Annalena Benini per “il Foglio”
Per decenni abbiamo guardato “2001: Odissea nello spazio” aspettando il futuro che non arrivava mai, o almeno non in quel modo sconvolgente, e poi nel 2014 è successo. Il futuro è arrivato tutto in una volta, ha scritto il Wall Street Journal. Il 2014 è stato l’anno in cui siamo stati più connessi che mai a internet, è stato l’anno in cui abbiamo scoperto un altro modo di vivere, di fare clic, di creare economia a un ritmo senza precedenti.
Nel 1997, meno di vent’anni fa, un commentatore, Simon Jenkins, scriveva sul Times di Londra che “internet non è altro che una nuova follia elettronica e le dinamiche di mercato, prima o poi, sapranno ridimensionare il fenomeno inserendolo nel giusto contesto. Frattanto, i suoi fanatici sostenitori esigono la comprensione e la tolleranza un tempo riservate agli esperantisti e ai radioamatori.
Internet si pavoneggerà sulla scena per un’ora per poi trovare il proprio posto tra le file dei media minori”. Non è andata esattamente così, e internet è diventata l’aria che respiriamo. Ma nel 2014 sono esplosi anche i droni commerciali, la stampa in 3D, gli appartamenti affittati dall’altra parte del mondo soltanto sfiorando lo schermo dello smartphone, il cibo comprato e ricevuto senza incrociare lo sguardo o la voce di un essere umano.
E questi milioni di smartphone sempre accesi, a cui chiediamo tutte le risposte e a cui confidiamo ogni cosa. Nel 2014 ne abbiamo comprati un miliardo e trecento milioni, e nel 2015 ne compreremo molti di più, e collegheremo a internet moltissime altre case, uffici, aziende, negozi.
A che ci serve un tetto sopra la testa, se il mondo non può entrarci dentro con il wi-fi? Se non possiamo uscire da lì con un dito, sorridendo a un vetro? E come facevamo, prima che arrivasse tutto questo futuro a salvarci? Circa due miliardi di persone sono connesse a internet, ma entro il 2020 ci saranno 50 miliardi di dispositivi collegati a questo mondo che, scrive il Wall Street Journal, sta mostrando le grandiose possibilità, insieme con tutti i rischi, e la vulnerabilità che porta con sé: il 2014 è stato l’anno in cui abbiamo cominciato a comprendere quanto pericolo c’è, dentro quest’aria che respiriamo.
E’ come se fossimo tutti raggiungibili, e trasparenti. I nostri segreti, la nostra vita, le nostre carte di credito (le foto da non scoprire mai), i nostri uffici. L’attacco contro la Sony, forse il più grave della storia, è stato un assaggio evidente di quello che non siamo in grado di nascondere, di proteggere.
Prima era tutto fantascienza, adesso, in brevissimo tempo, l’espressione “guerra cybernetica” non ci lascia più a bocca aperta. E gli hacker non sono ragazzini occhialuti che vogliono farsi notare e fare casino, ma criminali informatici. Come in ogni mondo, anche in questo nuovo mondo, che il 2014 ha celebrato intensamente, c’è il male.
Secondo il Wall Street Journal, ce n’è così tanto che nell’oroscopo dell’anno nuovo, nelle previsioni di quello che ci aspetta dobbiamo considerare la possibilità che i danni da cyber crimini supereranno i danni dei crimini in ogni altra forma. Anzi, crimine e criminalità informatica, nella maggior parte dei casi, saranno la stessa cosa. Forse è una previsione esageratamente catastrofica, ma conviene evitare di rispondere, come quel tizio sul Times, che internet è solo un’altra diavoleria elettronica, roba da radioamatori.
2. L’ANNO DEGLI HACKER
Eugenio Cau per “il Foglio”
Compra un hard disk. Uno di quelli portatili, con il cavetto usb. Attaccalo al computer e trasferiscici sopra tutti i documenti importanti, le fotografie sensibili. Poi compra un altro hard disk, uguale al primo. Uno non basta, potrebbe rompersi. Copia il contenuto del primo hard disk nel secondo hard disk. Per stare sicuri, compra un terzo hard disk. Ripeti. Ora metti gli hard disk in tre posti sicuri, diversi tra loro. Uno lo tieni tu, uno lo dai alla fidanzata, uno lo tieni a casa dei tuoi genitori. Periodicamente, aggiorna il contenuto dei tre hard disk con i nuovi dati, le nuove foto.
hacker laptop article 201411062240
E’ un lavoraccio, ma se vuoi essere sicuro che i tuoi dati non saranno rubati, che le tue password non saranno violate e le tue foto non saranno esposte alla vista impietosa del pubblico di internet, questo è l’unico modo: salva tutto su un hard disk e mettilo sotto il materasso, perché lasciare le proprie informazioni su internet è come parcheggiare una bicicletta nel piazzale della stazione. Puoi averla legata con due catene, aver scelto il palo più robusto, aver assicurato anche il sellino. Ma se qualcuno decide di rubarla non c’è lucchetto che tenga.
Scambiare informazioni importanti via email? Una follia. ICloud? L’avete vista Jennifer Lawrence, volete finire con tette e vergogne esposte su internet? E le reti aziendali? Il grande scandalo della Sony dovrebbe essere d’insegnamento. L’imputato è il cloud computing, che è un termine tecnico ma ormai è diventato un modo comune per spiegare il fatto che negli ultimi anni una porzione notevole delle nostre vite si è trasferita su internet. I nostri dati fluttuano nella nuvola, e non c’è distinzione tra quelli che vogliamo siano pubblici e quelli che vorremmo tenere per noi.
Le nostre foto pubbliche su Facebook e quelle che la nostra ragazza ci manda via Whatsapp, le conversazioni riservate su Skype e le email aziendali, è tutto sulla nuvola, che poi sono quasi sempre i server della Silicon Valley, ed è tutto ugualmente accessibile a un hacker ben attrezzato.
Il cloud è una rivoluzione che ha facilitato la nostra vita in molti modi: sapere che un documento è sempre accessibile sulla nuvola, pronto per essere scaricato su smartphone appena ne abbiamo bisogno è un sollievo e una comodità. Il cloud ha cambiato la gestione di molte aziende, rendendo disponibili a Washington e a Singapore gli stessi dati nello stesso momento.
Ma quello che è accessibile al nostro smartphone è accessibile a qualunque hacker, e non c’è password che tenga. Finora queste vulnerabilità erano state predette dagli analisti e raccontate dai giornali, ma avevano riguardato soprattutto stati e istituzioni. Gli attacchi informatici al Pentagono fanno paura, e nel 2012 l’allora segretario della Difesa americano Leon Panetta parlò del rischio di una “cyber-Pearl Harbor” – era il tempo in cui il prefisso “cyber” ancora andava di moda. Ma anche la cyber-Pearl Harbor, che pure non ci fu, toccava solo in parte il privato cittadino: cosa posso fare io se eserciti di hacker cinesi attaccano il Pentagono o i server della Casa Bianca?
E soprattutto: che interesse potrebbero avere nei miei confronti gli eserciti di hacker cinesi? Ci penserà lo stato a difendere i suoi segreti digitali, io non ho niente da nascondere. Il privato cittadino pensava di essere abbastanza piccolo da passare inosservato, ma il 2014 è stato un anno diverso. Per molto tempo gli analisti ci hanno detto che una volta entrati nell’èra del cloud era solo una questione di tempo. Che l’architettura non era sicura, il sistema era strutturalmente vulnerabile, e non solo perché l’utente medio usa la stessa password in tutti i siti, e nella maggior parte dei casi è la sua data di nascita o il nome del suo cane (o peggio ancora, come nel caso della Sony, tutte le password erano contenute in un unico file non protetto denominato “password”).
Roberto Cota Anonymous hacker x
Chi può colpire la Casa Bianca presto o tardi arriverà anche a noi. La transizione è stata lunga, ma ora ci siamo: siamo tutti dentro alla nuvola, e gli hacker con noi. Gli attacchi sono in aumento da sempre, e questo è in parte un portato naturale dell’allargamento della rete nel mondo. Negli ultimi dodici anni, ha scritto il New York Times, il numero delle nuove minacce digitali è aumentato di più di diecimila volte – ma anche questa statistica è giustificabile se si pensa alla crescita tumultuosa di internet. Nel 2013, secondo un report della compagnia Symantech, gli attacchi hacker sono aumentati del 62 per cento rispetto all’anno precedente.
Ma il 2014 segna una novità in questo trend: mai come quest’anno i grandi attacchi hacker, quelli che coinvolgono moli enormi di dati e team complessi di pirati informatici hanno riguardato cittadini e aziende private. Mai come quest’anno non solo il Pentagono ma anche il cittadino comune è stato toccato personalmente, nel portafoglio e nella privacy, dalle minacce digitali (anche istituzioni e infrastrutture continuano a essere colpite, e la guerra digitale è una delle minacce più in crescita per la pace).
Il 2014, per noi che l’internet lo usiamo per lavorarci e fare acquisti e guardare i social network, è stato l’anno degli hacker. Per gli esperti, il pericolo è sempre stato lì, e loro lo sapevano: “Penso che la minaccia ci sia sempre stata”, dice al Foglio in una conversazione via email Graham Cluley, esperto di sicurezza che ha lavorato per grandi aziende del settore come Sophos e McAfee e autore di un blog molto seguito. L’industria della sicurezza online si muove da anni, pubblica report, tiene conferenze, ma gran parte del suo lavoro è troppo complesso, o troppo poco diffuso, per raggiungere l’utente medio.
“Quello che è successo adesso, però – continua Cluley – è che le persone sono più consapevoli che mai che la minaccia esiste. Gli utenti normali stanno capendo sempre di più che la loro privacy può essere in pericolo. Basti pensare che fino a pochi anni fa il concetto di ‘furto dell’identità’ sarebbe suonato come fantascienza a buona parte del pubblico, ma ora è ampiamente conosciuto”. Il merito è di alcuni grandiosi attacchi hacker che “fanno i titoli dei giornali” e mostrano al cittadino comune che ormai anche lui è in pericolo. Sul New York Times, Nicole Perlroth ha scritto che è il momento di una “sveglia”, e la sveglia più forte di tutte è stata Sony.
Il caso dell’attacco hacker a Sony Pictures è speciale per molte ragioni. E’ il più distruttivo di sempre, e più che un caso di hacking è un atto di cyberterrorismo (da poco declassato a cyberbullismo da Barack Obama) che rimarrà per molto tempo negli incubi non solo dei manager della Sony, ma in tutto il business americano, che ha visto in tempo reale una major di Hollywood portata sull’orlo della distruzione dai pirati informatici: l’Economist l’ha definito un film dell’orrore.
L’attacco alla Sony è un caso politico per il coinvolgimento, prima smentito poi la scorsa settima confermato dall’Amministrazione americana, della Corea del nord, e di un film satirico sul rapimento e l’uccisione cruenta del dittatore Kim Jong-un. La settimana scorsa la Sony ha annullato la distribuzione del film, e l’attacco alla libertà di espressione si è andato ad aggiungere alla lunga lista delle accuse contro i Guardiani della pace, il gruppo di hacker che ha rivendicato l’operazione. Quello della Sony è anche un caso mediatico e glamour, con le email di dirigenti, attori e giornalisti esposte e rese pubbliche. Le maldicenze sulle star di Hollywood, i litigi sui contratti, le invidie e il servilismo dei giornalismi riempiono i giornali da settimane, e vista la mole di dati che gli hacker vantano di aver rubato (100 terabyte) potrebbero continuare a lungo.
L’attacco contro Sony Pictures è la cosa più vicina a una “cyber-Pearl Harbor” mai avvenuta. Due anni fa Panetta parlava di “vittime civili” – e intendeva i morti, che non ci sono stati. Ma di “vittime civili” nell’attacco hacker alla Sony, intese come persone comuni danneggiate in maniera tragica dall’operazione, nelle loro vite, nella loro privacy e nel loro conto in banca, ce ne sono state molte. Per Brian Barrett di Gizmodo, è questa “la parte più spaventosa di quello che è accaduto”, e che rende l’attacco hacker alla Sony il peggiore di sempre.
Non le perdite economiche, che pure saranno ingenti, non il danno alla credibilità dell’azienda. “La parte più dolorosa dei documenti della Sony è un dottore che acquista Ritalin. E’ un’email sul cercare di diventare incinta. E’ parlare male dei colleghi alle loro spalle, e l’elenco degli acquisti fatti con la carta di credito. E’ letteralmente migliaia di numeri della Social security resi pubblici. E’ perfino la roba innocua, mondana, triviale che riempie le email di tutti i giorni e che all’improvviso sembra orribile e volgare quando esposta in pubblico”.
angelina jolie incontra e gela amy pascal di sony
L’attacco alla Sony ha colpito sì dirigenti, manager e star di Hollywood, ma soprattutto ha colpito segretarie, grafici, impiegati comuni. “Queste sono persone che non hanno fatto niente di male”, continua Barrett. “Non cliccano su link sospetti, o usano password stupide (o anche se lo fanno, l’attacco non è colpa loro).
Mandano le stesse email sul lavoro che anche tu mandi tutti i giorni, alcune personali, altre no, alcune intelligenti, altre stupide. Anche se non si aspettano di avere una privacy completa, alla peggio possono aver pensato che qualche nerd nel reparto tecnico possa sbirciare nella loro posta, o che questa sia passata nei server della Nsa. Bene o male siamo abituati alle piccole violazioni anonime.
angelina jolie e amy pascal prima del sony leak
Ma quello che è successo ai dipendenti di Sony Pictures è pubblico, ed è enorme”. Siamo vulnerabili in maniere che nemmeno ci immaginiamo, e ce ne accorgiamo solo dopo che le nostre vite online, che spesso sono sovrapposte alle nostre vite reali, vengono violate.
Benvenuti nel nuovo mondo digitale, quello in cui le vittime degli hacker siamo anche noi. Ce ne siamo accorti a settembre, quando su alcuni siti di condivisione di immagini sono improvvisamente apparse foto private e intime di Jennifer Lawrence, Kate Hupton e altre attrici di Hollywood. Prima poche immagini, poi centinaia. Alcuni malintenzionati sono entrati negli account iCloud delle attrici e hanno prelevato tutte le foto fatte con l’iPhone e caricate automaticamente sul cloud di Apple.
Hanno selezionato quelle più private, quelle mandate al fidanzato o scattate per sé, e le hanno pubblicate su internet. Le foto, più o meno censurate, hanno fatto il giro della rete e dei tabloid, hanno fatto infuriare le attrici, che hanno paragonato il crimine a uno stupro, e hanno mostrato come i nostri smartphone siano vulnerabili.
Si potrebbe dire che loro sono attrici milionarie e famose e bellissime, e chi potrebbe avere interesse nelle foto sgraziate che noi comuni mortali ci scambiamo con i nostri amanti?
Il problema è che quando è così facile ottenerle, chi ci può garantire che qualcuno non abbia interesse anche nelle nostre foto sgraziate? La facilità con cui gli hacker sono riusciti a entrare nei sistemi di aziende private e di singoli cittadini, e a rompere uno dopo l’altro i record per dati trafugati e violati, è uno dei punti più preoccupanti degli attacchi recenti.
Poco prima dell’inizio del 2014, a due settimane dallo scorso Natale, il Secret service americano comunica a Target, la seconda catena di supermercati americana, con quasi 2.000 negozi, che alcuni hacker erano entrati nella sua rete informatica e avevano compromesso il sistema dei pagamenti. Sono entrati nel sistema quasi senza fatica, la protezione era scarsa, e hanno installato un malware, un programma-spia, che risucchia i dati degli utenti.
A fine dicembre 2013 Target rivela che gli hacker hanno rubato oltre 40 milioni di numeri di carte di credito, a gennaio 2014 ammette che oltre alle carte di credito sono stati rubati altri 70 milioni di informazioni, come gli indirizzi e i numeri di telefono dei clienti. E’ un nuovo record.
Le vostre carte sono comunque protette, annuncia Target, i pin erano criptati, ma un numero imprecisato di clienti inizia a vedere strani acquisti sul suo estratto conto: voli in Africa, prodotti di lusso. Le banche e le compagnie del credito sostituiscono le carte compromesse e rimborsano i clienti, ma il danno d’immagine è grande. Passano pochi mesi, e il record di Target è battuto a settembre da un’altra grande catena di distribuzione americana, Home Depot.
Questa volta gli hacker usano le password di un dipendente per entrare nel sistema e rubare 56 milioni di numeri di carte di credito e 53 milioni di indirizzi email dei clienti. Un mese dopo, a ottobre, la banca JPMorgan e altri 9 istituti di credito annunciano che un attacco sferrato durante l’estate da hacker forse di origine russa (le indagini non hanno mai definito se l’attacco è stato politicamente motivato) ha colpito 76 milioni di famiglie e 7 milioni di piccole imprese.
Gli hacker hanno rubato nomi, numeri di telefono, indirizzi email, informazioni finanziarie sensibili. A novembre la casa di software Adobe, che produce Photoshop, ammette che i dati personali di oltre 36 milioni di utenti in tutto il mondo sono stati compromessi da un attacco hacker, ma secondo alcune analisi i numeri di Adobe sono fortemente sottostimati, e l’attacco riguarderebbe oltre 150 milioni di account. In primavera, un altro gigantesco attacco hacker aveva compromesso 145 milioni di account del sito di compravendita eBay.
sony hack the interview 9
password
Anche centinaia di migliaia di utenti italiani hanno ricevuto le email preoccupanti di Adobe ed eBay che chiedevano di cambiare le password dei loro account. L’elenco potrebbe continuare, non solo con i nomi delle compagnie attaccate dagli hacker ma anche con i bug, le grandi falle del sistema scoperte quest’anno che hanno preoccupato gli esperti più dei singoli attacchi.
Ad aprile è stato scoperto Heartbleed, una falla nel sistema di crittografia che consentiva agli hacker di leggere dentro le nostre transazioni protette e rubare informazioni. Non era un virus impiantato nel sistema, ma una falla già esistente (la più catastrofica dall’inizio di internet, l’hanno definita alcuni) che gli hacker si limitavano a sfruttare. A settembre è stato scoperto Shellshock, una falla che consentiva agli hacker di prendere possesso dei computer altrui.
Quando la falla fu resa pubblica, la compagnia di sicurezza CloudFlare mostrò che subito dopo la notizia gli hacker fecero 1,5 milioni di attacchi al giorno prima che il problema fosse risolto. Immaginate che nel mondo inizi a cadere un numero pazzesco di aeroplani, ha scritto Perlroth sul New York Times.
La reazione sarebbe enorme, i governi istituirebbero commissioni, ci sarebbero revisioni delle regole, delle pratiche, dei mezzi. Molti attacchi hacker recenti sono stati un disastro paragonabile alla caduta di un aereo, e molti esperti dicono che il 2015 sarà ancora peggio, ma nessuno si è mosso davvero per ripensare il sistema. Ci sono molti tentativi isolati, e nuovi approcci. Per esempio si punta più alla prevenzione dell’attacco che al suo contenimento (il principio è: nessun sistema è invulnerabile, ma se so dove l’hacker colpirà posso prevenirlo), e il film dell’orrore di Sony Pictures è servito da lezione per molte aziende.
“Non penso che ci manchi una cultura della sicurezza digitale”, dice al Foglio Bruce Schneier, esperto di sicurezza digitale alla scuola di legge di Harvard. “Penso che sia difficile, e che l’attacco sia più facile della difesa. Se c’è una cosa che ci manca, è una risposta coordinata”. E’ come se davanti a un numero impressionante di incidenti aerei, le compagnie di volo si occupassero ciascuna del suo caso e non cercassero di lavorare insieme per capire cosa stia succedendo.
“Quest’anno è servito da sveglia sulla necessità di rispondere alle emergenze, non è possibile rispondere agli attacchi ciascuno a modo suo. Le aziende hanno bisogno di un piano e dei giusti strumenti”. Per noi utenti comuni, che abbiamo capito da poco che è in pericolo non solo il nostro computer, ma tutta la nostra vita digitale, il problema è diverso.
“Purtroppo, sembra che molti utenti non sappiano come proteggersi meglio e che non conoscano le tecnologie che potrebbero usare per aumentare la loro sicurezza – dice al Foglio Graham Cluley – Per la maggior parte della gente, la sicurezza informatica è noiosa”. Che è un po’ come quando nessuno presta attenzione alle hostess che spiegano le norme di sicurezza su un volo.
