Furti d’identità, truffe telematiche, attacchi ad aziende
e a siti istituzionali. Internet non è solo la nuova frontiera
della battaglia politica; attivisti, semplici ladri, banche
e multinazionali potentissime sondano la rete in cerca
d’informazioni sensibili. I controlli esistono
e la Polizia si è attrezzata, ma è sufficiente a rendere «sicura» la navigazione?



«Stiamo lavorando per capire la reale portata dei fatti. Dobbiamo ancora accertare se e quali documenti sarebbero stati sottratti». Dopo una lunghissima giornata di silenzio, queste sono state le prime parole rilasciate da un portavoce del Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche). Presumibilmente la Polizia delle Comunicazioni ha subito un furto informatico da parte di un gruppo organizzato di hacker; i dirigenti, dopo «attente verifiche», hanno ammesso che i propri server sono stati bucati e alcune informazioni sensibili sono state trafugate.
Ma andiamo con ordine, questa infatti è solo una battaglia nella guerra transnazionale tra «pirati», stati e Forze dell’ordine.
Il 6 luglio del 2011 il Cnaipic annuncia di aver arrestato il leader di Anonymous, nome in codice Phre, perquisito 36 italiani, denunciandone cinque tra cui due minorenni. Il gruppo di attivisti informatici, con ramificazioni anche in Italia, controbatte affermando che dietro di loro «non c’è solo un uomo, ma c’è un’idea; e voi non potete arrestare un’idea».
Il 17 luglio, come per dimostrare l’inutilità dell’azione della Polizia, vengono violate le reti informatiche di 18 università italiane. Questa volta ad agire è stato il gruppo Lulz Security (LulzSec) che da poco si è unita con gli Anonymous, impegnati insieme a far crescere il movimento Anti Security. Nessun dato sensibile viene rilasciato e l’attacco è stato rivendicato con lo scopo, sempre secondo LulzSec, di «sottolineare la scarsità di sicurezza».
Il gruppo LulzSec è una sorta di costola indipendente di Anonymous e ha già al suo attivo attacchi alla tv americana Pbs, a Scientology, diverse compagnie finanziarie e alle società Visa e Mastercard.
Il 26 luglio la Cnaipic «è il bersaglio - secondo Anonymous - che cade sotto i colpi degli hacker». L’operazione «AntiSec» è in un primo momento fatta ricadere, dalla stampa nostrana, proprio su Anonymous Italia, poi a LulzSec (sulla rete si vociferava che l’attacco sia partito dall’estero). È probabile che l’azione sia stata compiuta dal gruppo NKWT LoAD. Comunque sul furto degli 8 Gb di documenti (l’equivalente di circa 5600 libri) la Procura di Roma ha aperto un’indagine.
La mattina del 28 luglio la polizia del Regno Unito ha fermato e poi arrestato Topiary, un giovane di 18 anni residente nelle Shetland Islands (gruppo di isole britanniche). Secondo la polizia inglese Topiary è il presunto portavoce di Anonymous e di LulzSec. Jake Davis, questo il nome del fermato, è stato poi rilasciato il due agosto, alla fine del mese dovrà di nuovo comparire di fronte alla corte. Fino a quel giorno non gli sarà consentito l'utilizzo di Internet e avrà un braccialetto elettronico. Dovrà inoltre vivere assieme alla madre e osservare un rigido rientro notturno.
La battaglia sembra però continuare: per tutta la giornata di lunedì 1 agosto, infatti, il sito di Vitrociset è rimasto oscurato. Anche questo attacco sembra essere riconducibile alla galassia di Anonymous, e anche questo bersaglio sembra grosso. La Vitrociset è un’azienda con sede a Roma che si occupa dello sviluppo di sistemi elettronici e informatici in campo civile e militare per Viminale, Difesa, Carabinieri e Polizia. Gli hacker, in un comunicato, scrivono: «ci aspettavano un'inespugnabile fortezza, abbiamo trovato un rudere». Una struttura difensiva che secondo Anonymous, «anche un bambino sarebbe riuscito a compromettere seriamente». Poi gli intrusi hanno precisato: «Abbiamo deciso di rivolgere la nostra attenzione su di voi, non potendo più ignorare – si poteva leggere sulla home page di Vitrociset - il modo in cui i soldi dei cittadini vi vengono elargiti quotidianamente, grazie ad appalti e concorsi quantomeno di dubbia regolarità, da svariati enti pubblici e governativi, molti dei quali operanti nel settore difesa/sicurezza».
Ma quali informazioni sono state trafugate? Secondo gli hacker i «dati testimoniano il livello di corruzione nello Stato italiano. Migliaia di file che testimoniano quanto lo Stato italiano abusi del suo potere per compiere operazioni illegali con la cooperazione di agenzie d'intelligence straniere e varie oligarchie per saziare la loro brama di potere e soldi». Una cosa è certa: dei dati rubati al Cnaipic solo l’1% è stata resa pubblica. Nei 100Mb ci sono report interni della Polizia postale italiana riguardanti degli attacchi informatici alla procura di Genova e delle ricostruzioni dettagliate sul caso Madoff. Dati del dipartimento dell’Agricoltura degli Stati Uniti, del Ministero dei Trasporti e delle Comunicazioni Egiziano, del Ministero della Difesa Australiano, del Ministero degli Esteri Bielorusso e Nepalese. Rubate anche informazioni sui piani di trivellazione ad opera della Exxon in Vietnam, documenti di compagnie petrolifere come Petrovietnam e Gazprom, documenti provenienti da numerose ambasciate e consolati dell’Ucraina e molte documentazioni interne di varie società con sedi alle Isole Cayman, Gibilterra e Cipro. Ma anche centinaia di account di avvocati e appartenenti a centinaia di corporation, aziende e contractors.
Interessanti i file riguardanti gli appunti per il capo della polizia, dove si sottolinea la debolezza della rete degli uffici giudiziari di Genova prevedendo la «possibilità che gli attacchi informatici (130 computer violati ndr.) siano di provenienza interna». In un documento, inviato al Viminale, dopo l’attacco a Bank Medici, si consiglia di «sigillare tutti i documenti […] in particolare quelli che riguardano Gianfranco Gutti e Alessandro Profumo, Alfa Prime e tutto ciò che è collegato a Ucraina e Russia». Nel documento presentato sul web, con il quale gli attivisti annunciavano l'azione contro la Polizia italiana (intitolato ‘Legion of Anonymous Doom’), c'è anche lo scandalo Madoff. Preoccupata la Exxon: «Il caso Madoff sta mettendo in crisi la nostra attività [...] Dato che l'Fbi ha già ottenuto materiali dall'Atlas e dalla Gazprom, se arriveranno al punto di rilasciare le '06 ops' sarebbe davvero un bordello».
Ad onor di cronaca, la Polizia postale ha dichiarato che sono ancora in corso gli accertamenti tecnici interni, per capire cosa è stato trafugato e come. Si pensa che l’intrusione sia avvenuta da un computer esterno sulla rete gestita da Elsag Datamat, società di Finmeccanica. Il Cnaipic, inoltre, sostiene che la maggior parte dei dati non appartenga a loro: “sono stati recuperati su Internet da altre fonti. Molti sono manipolati. Abbiamo verificato alcuni numeri di protocollo dei fogli intestati alla Polizia postale e abbiamo verificato che non sono originali».

Le motivazioni e i metodi
Oltre al movente politico del gesto, quali sono le motivazioni dell’attacco e quali sono gli obiettivi del movimento? A queste domande risponde un ipotetico e anonimo attivista di Anonymous, che per La Repubblica ha risposto alle domande di Alessio Sgherza. «L'attacco è stato deciso in risposta ai recenti arresti, non solo in Italia, ma anche in Olanda, Stati Uniti e Regno Unito. I nostri obiettivi variano. Non siamo cyberterroristi, siamo attivisti. Le nostre battaglie cambiano a seconda dell'evoluzione della scena globale. Ci battiamo per una rete liberamente accessibile, priva di filtri e censure. La goccia che ha fatto traboccare il vaso è stata la delibera Agcom che, pur passata in forma ‘leggera’ è comunque una seria minaccia visto quanto poco indipendente sia l’authority da giochi di potere». Ma come è stato possibile entrare nella rete della polizia?
«Nessun gruppo rivelerà mai i propri metodi. Comunque, l'attacco è stato portato nel weekend. Il bersaglio è stata l'infrastruttura del Cnaipic (forse attraverso un computer esterno connesso alla rete interna, ndr). Normalmente questi attacchi si basano su due fasi: prima si ottiene accesso tramite una mail infetta inviata a un operatore; poi, una volta ottenute le credenziali di quell'operatore, si simula l'accesso al sistema impersonandolo e si acquisiscono diritti di amministrazione da cui entrare su tutta la rete».
Filtrando queste parole è comunque possibile affermare chiaramente che l’azione potrebbe essere la risposta diretta alle ultime operazioni della polizia italiana ed europea, che hanno portato alla perquisizione di decine di persone accusandole di fare parte del team italiano degli Anonymous. Operazione coordinate anche dal Cnaipic, reparto che lavora in un contesto planetario e che quindi gestisce dati talmente sensibili da poter portare «imbarazzo» nelle istituzioni italiane.

Il Cnaipic
Ma che cos’è il Cnaipic? Come lavora? Il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, un’unità interna della Polizia postale e delle comunicazioni, si dedica proprio alla «prevenzione e repressione dei crimini informatici diretti ai danni delle infrastrutture critiche nazionali». Voluta dal ministro Maroni, opera dal 2005; la sede è stata inaugurata il 23 giugno 2009 a Roma in via Tuscolana 1548, presso il Polo Tuscolano del Dipartimento della pubblica sicurezza. Nella sede operativa romana, aperta 24 ore su 24 e 7 giorni su 7, sono presenti computers avanzati e collegamenti telematici esclusivi, dedicati e protetti, per condividere, con costanti trasferimenti di dati, informazioni utili all'esercizio delle funzioni di valutazione, prevenzione e repressione delle minacce e dei crimini informatici. Il Cnaipic, inoltre, monitora costantemente Internet, approfondendo in chiave comparativa i dati e le informazioni raccolte; «per la predisposizione di rapporti previsionali sull'evoluzione della minaccia, delle vulnerabilità e delle tecniche criminali, che possono riguardare i sistemi gestiti dalle I.C. singolarmente o nel loro complesso intese».
In una intervista fatta da Area Networking, comparsa online, il direttore del Cnaipic, il dott. Tommaso Palumbo, chiarisce il ruolo del Centro, che si dedica «alla prevenzione ed alla repressione dei crimini informatici diretti a minare le infrastrutture critiche del Paese, ovvero quelle aziende o pubbliche amministrazioni i cui sistemi, risorse, processi, se vengono distrutti o anche resi parzialmente indisponibili, indeboliscono in maniera significativa il normale funzionamento del nostro Paese».
«La parte operativa del lavoro del CNAIPIC - continua il dott. Palumbo - si svolge esplicando tre diverse funzioni. Le prime due sono svolte all’interno della sala operativa, che opera 24/7 e sono: la raccolta delle segnalazioni di allarme da parte delle strutture in convenzione con noi, ove per allarme intendiamo non soltanto attacchi conclamati, ma anche attività sospetta; l’attività di intelligence nel campo della protezione delle infrastrutture critiche. In pratica, si lavora per acquisire informazioni finalizzate ad individuare chi ha la capacità e la volontà di sfruttare le vulnerabilità e le minacce informatiche contro i nostri target. Banalizzando, più che cercare la nuova vulnerabilità informatica, cerchiamo chi sia capace di sfruttarla contro i nostri obiettivi e ne abbia la volontà. La terza funzione è quella di Polizia giudiziaria. Le segnalazioni che il Centro riceve, ma anche i possibili sviluppi dati dall’approfondimento dell’attività di intelligence, fanno nascere vere e proprie investigazioni che vengono seguite dalla squadra investigativa del Cnaipic».
Nel centro lavorano poco più di venti persone, tutte assunte per per concorso pubblico. «Il Servizio Polizia postale e delle Comunicazioni - spiega Palumbo - dalla sua istituzione sta facendo un grosso sforzo per reclutare in tutta la Specialità personale qualificato, facendo una continua attività di scouting tutta interna alla nostra amministrazione, per vedere chi ha le caratteristiche che lo rendono più idoneo per lavorare nella Polizia postale e delle Comunicazioni. Il personale del Cnaipic viene reclutato secondo questa logica.» Il Centro, per concludere, produce quotidianamente dei report che descrivono il lavoro svolto. Questi, però, sono quasi sempre distribuiti «all’interno della nostra amministrazione o all’interno degli organismi coinvolti nella sicurezza informatica e nell’antiterrorismo».
Cyber criminali, hacker, truffe e furti d’identità.
Nello sconfinato mondo della rete la più nota e più diffusa pirateria è domestica, cioè quella che concerne la duplicazione di programmi, musica e video. Gli hacker, invece, sono una piccolissima percentuale e appartengono a varie sottoculture. Oltre a gli attivisti, che combattono soprattutto per avere una rete libera, esistono i black hat che nella loro attività danneggiano i sistemi in cui penetrano. Emblematico il caso che ha colpito Sarkozy: gli hacker sono riusciti infatti a deviare i visitatori del sito Elysee Palace verso una pagina dove un cartone animato mostra come il presidente viene spinto fuori dal palazzo e gettato in strada. Poi ci sono i Kingpin (letteralmente il Re del codice Pin) che rubano, per poi rivendere, la vostra identità virtuale e non, arrivando a guadagnare fino a 220 mila euro l’anno. I soldi si fanno sui grandi numeri, prima i pirati prendono il vostro numero di carta di credito (sul mercato vale solo 4 centesimi), oppure la vostra intera identità digitale (valore 40 dollari), poi li vendono alla criminalità organizzata che con un’organizzazione ramificata e a volte protetta riesce a monetizzare i dati. I Kingpin lavorano per strutture solide, con copertura fiscale e spesso queste strutture sono vere e proprie società regolarmente registrate. I metodi per impossessarsi dei nostri soldi sono tanto complessi quanto raffinati. Con la strategia Swiss Arm Knife (letteralmente coltello multiuso svizzero) si sfrutta la distrazione prodotta dallo spamming o dal phishing (spillaggio di dati sensibili); magari tentando di difendervi dal phishing si apre una finestra del vostro anitivirus per allertarvi: virus in arrivo. Voi esasperati cliccate su nega l’accesso. E un malware (un software malvagio) vi entra nel computer. «A complicare le cose ci si mette pure la normativa italiana. Gli istituti di credito, infatti, non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell'account Internet dei clienti. Gli unici organi che possono garantire una discreta serenità sono quelli giudiziari». Con il proliferarsi dei social network i furti d’identità si sono decuplicati, nell’era del ‘condividere’ forse gli antivirus non sono più sufficienti, serve magari una maggiore attenzione. Nel 2010, spiega Bernard Ourghanlian, direttore tecnico e della sicurezza per la Microsoft Francia, che in base a dati raccolti «su 600 milioni di computer nel mondo, nel solo mese di dicembre, l'84,5% delle azioni di pirateria sia avvenuta attraverso siti come facebook o twitter mentre 12 mesi prima, i casi registrati erano appena l'8,3%». «Ci sono due grandi categorie di cacciatori di identità, aggiunge ancora Ourghanlian, quelli pagati dalla mafia o dagli stati e che compiono attacchi mirati per carpire informazioni, e quelli che usano questi dati per fare soldi in modo illecito. Ovviamente, tra le informazioni più appetibili ci sono i numeri di carte di credito, le password e le reti di amicizia. Queste ultime, in particolare, vengono utilizzate per indagini di mercato e per diffondere annunci pubblicitari non richiesti. Un fenomeno cresciuto di oltre il 70 per cento in soli sei mesi». In Italia, nel triennio 2008-2010, ben 22956 siti Internet di aziende e istituzioni italiane sono stati ‘bucati’ da attacchi informatici, operazioni che hanno generato danni per 24 milioni di euro secondo le stime di Maglan Group, società leader internazionale in auditing & consulting nel settore dell’Information Defense in ambito civile e militare. Paolo Lezzi, Amministratore Delegato di Maglan Europe, afferma che la maggior parte delle «aziende italiane, pari circa all’85%, risulta essere vulnerabile ad attacchi informatici e a forte rischio di penetrazione interna da parte di hacker professionisti e organizzazioni criminali specializzate nello spionaggio industriale computerizzato. Configurazioni non sufficientemente sofisticate dei sistemi di difesa per la protezione dei dati e scarso o discontinuo monitoraggio di reti, sistemi e applicazioni possono essere fonte di gravi danni economici e di immagine per le imprese».
Nell’articolo di Paolo Lezzi si spiega come le «aziende e le istituzioni italiane colpite da intrusioni informatiche hanno subito danni consistenti quantificabili in una risorsa umana/giorno per un costo totale medio di 750 euro/giorno; quelle che hanno cercato di individuare le cause dell’attacco (il 15%) e che hanno preso serie contromisure di sicurezza hanno registrato una perdita stimabile di 5 risorse/giorno con un costo medio di circa 850 euro/giorno. I tecnici dei Laboratori Maglan hanno registrato da gennaio a giugno 2011 circa 15000 tentativi di penetrazione di siti web italiani e le previsioni per fine anno stimano che le perdite attribuibili a danni originati da intrusioni sui siti internet raggiungeranno un totale di 9,5 milioni di euro».
«I costi per la sicurezza ‘.it’ - aggiunge Paolo Lezzi - sono senza dubbio una voce fondamentale nel capitolo degli investimenti per garantire la protezione del patrimonio informativo aziendale. Spesso per far fronte a possibili criticità e scongiurare incidenti che potrebbero compromettere la stabilità e l’immagine dell’azienda, i responsabili della sicurezza».
Costi per la sicurezza che però non sempre sembrano dare i loro frutti. Emblematico sembra il caso che qualche tempo fa colpì il sito “poste.it”, palesemente contraffatto per mettere in atto una vera truffa ai danni degli utenti e delle stesse Poste Italiane. «Migliaia di e-mail - viene raccontato nel post presente nel blog ‘Etleboro’ - sono state inviate da questo fantomatico sito delle poste, invitando gli utenti a seguire un’operazione di manutenzione del proprio conto corrente on-line, chiedendo di dare tempestivamente i propri dati, altrimenti il conto sarebbe stato considerato illecito o abusivamente utilizzato. Visitando il sito si poteva notare la perfetta somiglianza, e pochi dettagli ne rivelano la natura contraffatta». Truffe del genere non sembrano casi isolati o casuali, le ripercussioni che hanno sull’opinione pubblica sono pesantissime. Si potrebbe quasi azzardare in un’economia globalizzata e digitalizzata che questi «attacchi» potrebbero anche partire da concorrenti. Il mercato delle banche online è in continua espansione e sembra far gola a molti. A dimostrare la fragilità della sfera digitale c’è anche la cronaca. Il caso ‘Lazio gate’ e quello Telecom ne sono la prova. Il rischio nel futuro, non così lontano, è che forti interessi, con la scusa di collaborare, possano influenzare anche i sistemi di controllo. Illuminanti le parole del direttore del Cnaipic, che ha stipulato «continue convenzioni con Terna, ACI, Telecom, Vodafone, Ferrovie dello Stato, Unicredit, RAI, Consob, ANSA, ATM, che si sono unite a quelle già stipulate». Questa ovviamente è una mera speculazione intellettuale, ma il rischio c’è e il nostro compito è quello di vigilare.