Hacker
Hacker (dall’inglese to hack, tagliare, fare a pezzi), o in italiano “smanettone”, è un termine spesso frainteso a causa dell’accezione negativa generata principalmente dai media e dai film con l’uso improprio della parola. Il fraintendimento ha portato ad un pensiero comune che vede gli hacker come criminali informatici malintenzionati, il cui fine è sempre rivolto alla sottrazione illecita di informazioni riservate, al furto di denaro o alla distruzione dei sistemi informatici presi di mira.
In verità il termine hacker nasce nella seconda metà del XX secolo e identifica da subito quelle persone con spiccate conoscenze informatiche che si prodigano per cercare di migliorare i sistemi software, analizzandoli in dettaglio e ottimizzandone le prestazioni. Queste persone, accomunate dagli stessi scopi e dalla passione per il software, mosse da una perenne curiosità di capire i sistemi informatici, hanno ben presto cominciato a dare vita ad una vera e propria comunità, soprattutto grazie all’avvento di Arpanet, il precursore dell’attuale Internet. Questo infatti ha permesso di entrare in contatto senza doversi incontrare di persona, favorendo la divulgazione della cultura hacker e spesso condividendo le conoscenze apprese.
Gli hacker vedono come una sfida personale il riuscire a superare gli ostacoli e i blocchi che vengono imposti agli accessi informatici, ponendosi il fine di riuscire ad eludere tali vincoli tramite le loro conoscenze. Spesso, una volta raggiunto il traguardo, sono i primi a segnalare alle vittime dell’intrusione che il loro sistema non è sicuro, evidenziandone le falle e in alcuni casi spiegando come intervenire per risolverle.
Non hanno dunque alcuno scopo malevolo nel loro operato.
Cracker
Ovviamente con la crescita della comunità hacker, le conoscenze e i dettami condivisi sono in molti casi stati sfruttati anche da persone che non avevano gli stessi principi, ma guidate da intenzioni malevole. Queste persone vengono identificate come cracker (dall’inglese to crack, rompere) e sono le stesse che hanno portato a creare l’accezione negativa verso la comunità di smanettoni.
Phreaker
Esiste poi anche un’altra branca, quella dei phreaker (dalla crasi dei termini inglesi phone, telefono e freak, persona bizzarra o anche “appassionato in maniera ossessiva”), che si dedica principalmente allo studio e la sperimentazione dei sistemi telefonici.
Personaggi famosi e curiosità
Abbie Hoffman, un famoso phreaker
Kevin D. Mitnick, un famoso hacker
Un famoso cracker
Tra le figure appena viste si possono citare alcuni personaggi significativi, come Abbie Hoffman e John Draper, due phreaker molto famosi che hanno dato il via al movimento e legati ad alcune curiosità.
Hoffman, ad esempio, è celebre per essere anche il co-fondatore della comunità yippie negli anni ‘60 e per aver interrotto il concerto degli Who a Woodstock nel 1969 con un discorso di protesta contro l’imprigionamento di John Sinclair del partito delle Pantere Bianche.
Draper invece è conosciuto anche con lo pseudonimo di “Captain Crunch”, in quando scoprì che il fischietto contenuto all’interno delle scatole di cereali, marca Captain Crunch per l’appunto, emetteva un suono alla esatta frequenza di 2600 Hz, che suonato vicino alla cornetta del telefono, era in grado di sbloccare i commutatori telefonici dei centralini permettendo di telefonare gratuitamente. Lui e i suoi amici però sfruttarono questa scoperta anche per aiutare le compagnie telefoniche a migliorare le proprie linee, segnalando i guasti agli operai con chiamate dirette.
Una leggenda metropolitana narra anche che Draper sarebbe stato in grado di scoprire come chiamare una linea segreta dedicata per contattare direttamente il presidente degli Stati Uniti e che avrebbe avuto una conversazione telefonica con il presidente Nixon, ma non è nulla di confermato.
A quanto pare la conversazione sarebbe stata la seguente:
John: “Olympus, per favore” (ndr, Olympus era il nome in codice del presidente)
Operatore: “Un attimo, per favore…”
Nixon: “Che succede?”
John: “Signor Presidente, è in atto una crisi qui, a Los Angeles”
Nixon: “Che tipo di crisi?”
John: “Siamo senza carta igienica, Signor Presidente.”
Kevin D. Mitnick invece è uno degli hacker più famosi della storia, conosciuto anche come “Condor”. Egli è, tra le altre cose, l’ideatore della tecnica denominata IP Spoofing, che permette di falsificare il campo relativo all’indirizzo IP del mittente all’interno di un pacchetto IP, rendendo di fatto impossibile distinguere da chi arrivi il pacchetto, se da una sorgente fidata o da una sorgente malevola.
Mitnick è altrettanto famoso per aver fatto irruzione in numerosi sistemi informatici del governo statunitense e, per questo, ha subito molte condanne a svariati anni di carcere con l’interdizione assoluta di utilizzo di qualsiasi dispositivo elettronico (calcolatrici comprese). Anche dopo l’uscita dal carcere non ha potuto utilizzare il telefono per due anni. Ha inoltre collaborato con l’NSA, la National Security Agency americana, aiutando a scovare molti criminali informatici e a migliorare i sistemi di sicurezza.
L’ingegneria sociale
La cosa interessante è che Mitnick è riuscito ad accedere a molti sistemi non tanto con chissà quale programma o con approcci tecnici, ma tramite l’ingegneria sociale, ovvero come da lui stesso definita: “l’arte dell’inganno”.
L’ingegneria sociale (Social Engineering in inglese) è lo studio del comportamento di una persona al fine di carpire informazioni utili al proprio scopo.
Si basa su delle fasi ben distinte, prima tra tutte la fase del footprinting, ovvero la raccolta di informazioni sulla vittima dell’attacco, reperendo quante più nozioni possibili.
In seguito occorre verificare la veridicità e la correttezza delle informazioni reperite e, infine, si effettua l’attacco vero e proprio, contattando la vittima e applicando alcune tecniche psicologiche, cercando di essere il più neutrali possibile nel modo di esprimersi, senza manifestare particolari stati d’animo e trasmettendo un senso di fiducia verso l’altra persona. Tecniche efficaci cercano di creare una precisa emozione nella persona contattata, come ad esempio il senso di colpa agendo sulle debolezze o il panico dovuto uno stato di confusione appositamente creato. Immaginate ad esempio, di lavorare per una grossa azienda e di essere contattati da una persona che dice di essere un tecnico del reparto IT, il quale asserisce che il vostro PC sta generando del traffico malevolo all’interno della rete e sta causando problemi da gestire immediatamente, ma per farlo ha bisogno che gli forniate le vostre credenziali.
Un utente smaliziato potrebbe intuire che si tratta di un inganno, ma molte persone non si accorgerebbero della truffa.
Questo è solo un esempio molto semplificato, ma si può arrivare a costruire situazioni davvero difficili da riconoscere; si pensi a certe email di phishing fatte ad arte che a prima vista sembrano effettivamente reali.
Le cattive abitudini degli utenti
In effetti l’ingegneria sociale è strettamente correlata alle cattive abitudini degli utenti normali, spesso accomunati dalla pigrizia nella gestione delle proprie credenziali e che, la maggior parte delle volte, utilizzano password molto semplici come sequenze numeriche, date di nascita, nomi di famigliari o dei partner.
Pensiamo ad esempio al caso eclatante di attacco alle varie agenzie governative statunitensi avvenuto a Dicembre 2020. Un attacco che ha sfruttato una tecnica molto affine alle tecniche usate dall’ingegneria sociale, trovando una falla del sistema di sicurezza informatico, andando a colpire un fornitore di servizi informatici del governo americano e non attaccando direttamente la vittima finale. Il fornitore era la compagnia SolarWinds, che fornisce software gestionali e che non ha mai dedicato grossa attenzione alla propria Cybersecurity (per intenderci, una delle password di aggiornamento dei server era “solarwinds123”!!!!). Una volta dentro ai sistemi di SolarWinds, hanno poi inserito del codice malevolo all’interno di uno degli aggiornamenti da rilasciare per il gestionale di SolarWinds e una volta scaricato l’aggiornamento il gioco era fatto.
Questo dimostra come spesso la gente creda che gli attacchi informatici possano avvenire solo tramite complicate procedure software che forzano firewall e bypassano antivirus super sofisticati, quando invece in molti casi gli attacchi fanno leva sugli aspetti più semplici e molto sottovalutati.
Chiunque, in grado di applicare correttamente i principi dell’ingegneria sociale, potrebbe essere in grado di accedere a sistemi informatici altrui senza nemmeno avere competenze di programmazione o di rete.
Bisogna dunque partire dalle basi fondamentali: utilizzare password complesse e soprattutto diffidare sempre di chiunque!
