Cerca nel blog

2011/06/17

Podcast RSI 2011/06/17 - I testi della puntata

Questi articoli erano stati pubblicati inizialmente il 17/6/2011 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non sono più disponibili. Vengono ripubblicati qui per mantenerli a disposizione per la consultazione.

Chi c'è dietro LulzSec e l'ondata di attacchi informatici?

Sony, Nintendo, le emittenti statunitensi Fox e PBS, il Senato USA, un'affiliata dell'FBI (Unveillance) e adesso addirittura la CIA: questi sono alcuni dei bersagli presi di mira dal gruppo anonimo che si fa chiamare LulzSec o Lulz Security. A seconda dei gusti e delle simpatie, le loro scorribande informatiche, caratterizzate da un'insolita autoironia, vengono interpretate come atti vandalici aggravati da motivazioni futili o come manifestazioni di "hacktivismo" mirate a mettere in evidenza le debolezze di Internet e la superficialità con la quale le grandi aziende tutelano i dati dei clienti e ad incoraggiare un approccio più serio alla sicurezza informatica.

In estrema sintesi, di Lulz Security non si sa quasi nulla. Si sa che ci sono un sito (lulzsecurity.com) e un profilo Twitter (twitter.com/lulzsec), attraverso i quali vengono annunciate le attività del gruppo e pubblicati i risultati delle loro imprese, ma tutto è gestito in forma anonima e difficilmente tracciabile. Sembra trattarsi di un gruppo nel quale non c'è un vero e proprio leader, ma potrebbe anche trattarsi di una sola persona con tanto tempo a disposizione.

Il nome deriva da una storpiatura di una delle abbreviazioni più usate di Internet, ossia LOL, che sta per "laughing out loud", che in inglese significa "sto ridendo forte". E Lulz Security dichiara di agire senza motivazioni politiche o di lucro, a differenza di altre organizzazioni analoghe, ma solo per ridere.

Di recente ha aperto un numero telefonico al quale chiunque può suggerire i bersagli più desiderati per i prossimi attacchi informatici. Cita tweet come "ho comperato una grossa confezione di preservativi per una signora anziana su Amazon" (usando l'account Amazon della signora, violato grazie alle password pubblicate da Lulz Security). Inserisce nel sito della PBS una notizia falsa secondo la quale il rapper Tupac Shakur sarebbe ancora vivo e nascosto in Nuova Zelanda. Tutte mosse che sembrano far parte di una strategia comunicativa mirata a creare attenzione e simpatizzanti: LulzSec ha quasi 184.000 seguaci su Twitter.

Tuttavia alcuni dei bersagli scelti hanno chiare connotazioni ideologiche: per esempio, l'attacco all'emittente televisiva PBS è stato effettuato in risposta a un suo documentario che criticava Wikileaks. Inoltre la ripetuta divulgazione da parte di Lulz Security di password Yahoo, Gmail, Paypal e World of Warcraft appartenenti a utenti innocenti (oltre 62.000 solo nell'infornata più recente, scaricabili da chiunque) causerà danni personali ed economici non trascurabili.

Inoltre va considerato che nonostante Lulz Security voglia proiettare un'aura di invincibilità e potenza, le tecniche informatiche usate sono piuttosto banali e rivelano più che altro la preoccupante superficialità con la quale molte organizzazioni commerciali e governative gestiscono la sicurezza. Il recente “attacco” al sito pubblico della CIA (Cia.gov) di mercoledì scorso è stato un semplice denial of service, ossia l'equivalente informatico di un gruppo di persone che si piazza davanti a un negozio per impedire agli altri di entrare, ma non risulta ci sia stata alcuna vera intrusione.

Fonti aggiuntive: BBC, PC World.

Furti di password, come difendersi

È scaricabile da Internet un elenco di ben 62.000 password riferite ad account Gmail, Paypal, Yahoo e World of Warcraft e diffuse da Lulz Security: molte sono già obsolete, ma se siete preoccupati che in quest'elenco ci sia la vostra potete fare un test attraverso il servizio apposito di Gizmodo.

Più in generale, la raffica di furti di password (come quello di un milione di account Sony o quello di 1,3 milioni di account presso Gawker e altri siti alcuni mesi fa) ha permesso agli esperti di analizzare gli errori più comuni da parte degli utenti, che rendono facile il compito a chi vuole rubare l'account di mail o Facebook e farsi i fatti vostri oppure quello di PayPal o di un altro servizio presso il quale sono custoditi soldi o valori equivalenti.

Lunghezza. Il minimo consigliato è 8 caratteri, ma il 50% degli utenti sta al di sotto di questo minimo. Il 93% usa non più di undici caratteri.

Tipi di carattere. Oltre alle lettere maiuscole e minuscola, una buona password dovrebbe includere anche cifre e altri caratteri, ma solo il 4% ha tre o più tipi di carattere; la metà ne usa un tipo solo e il 90% è tutto in minuscolo; solo l'1% contiene almeno un carattere che non sia una lettera o una cifra.

Senso compiuto. Una buona password non deve essere una parola di senso compiuto o una sequenza facilmente intuibile, eppure nelle 25 password più ricorrenti brillano esempi di disastro annunciato come "password", "123456" e "abc123".

Presenza nei dizionari d'attacco. Esistono degli elenchi di password, denominati dizionari (nonostante contengano anche parole prive di senso), usatissimi per tentare di indovinare una password per forza bruta, tramite tentativi automatici. Le indagini rivelano che il 36% delle password usate è presente in questi dizionari.

Unicità. Il pericolo principale è costituito dalla compromissione a catena: se un utente utilizza la stessa password per più di un servizio di Internet, quando uno di questi servizi viene compromesso rivelandone la password i criminali informatici tentano subito di usare la stessa password presso gli altri servizi adoperati dal bersaglio. Ma almeno i due terzi degli utenti ricicla la stessa password per siti differenti.

In molti casi sono le aziende a non custodire correttamente le password, come dimostrato dai recenti attacchi, ma anche l'utente deve fare la propria parte: esaminate le vostre password e chiedetevi quante soddisfano i criteri minimi di sicurezza: soprattutto quello dell'unicità.

Come fuziona un'estorsione via Internet

Spesso il Disinformatico ha sottolineato l'importanza di tutelare la sicurezza delle password per evitare il furto di dati, ma c'è anche un altro motivo per il quale ognuno di noi deve essere vigile con il proprio computer: la tendenza sempre più frequente a infettare i computer degli utenti in modo discreto, senza farsi notare, per utilizzarli in massa come soldati di un esercito digitale (denominato botnet) e attaccare un sito o bloccarne l'accesso e quindi l'attività commerciale intasandolo di visite fasulle secondo la tecnica del DDOS (distributed denial of service).

Sembrano scenari da film, ma in realtà sono molto concreti; dalla Germania arriva infatti la notizia che un uomo che viveva nella zona di Francoforte aveva preso a noleggio una di queste botnet, realizzata da un'organizzazione russa, al costo di 65 dollari (circa 55 franchi) al giorno, e aveva minacciato sei agenzie di scommesse dicendo che con questa botnet ne avrebbe reso inutilizzabili i siti in un momento di grande attività (in occasione dei mondiali di calcio) se non avessero pagato 2500 euro (circa 2100 franchi).

All'uomo, però, è andata male: è stato condannato a due anni e dieci mesi di carcere e a un risarcimento che potrebbe arrivare a 350.000 euro (circa 420.000 franchi). È uno dei pochi casi tedeschi di condanna per DDOS, una tecnica che viene utilizzata sempre più spesso anche per motivi politici: il problema giuridico, infatti, è dimostrare che l'intento delle raffiche di visite, provenienti da un vastissimo numero di computer, è davvero ostile e non fa parte del normale traffico di visitatori.

La prima linea di difesa contro questo genere di crimine è evitare che il nostro computer venga infettato per arruolarlo nella botnet: usate quindi un buon antivirus su tutto quello che scaricate o ricevete (anche su CD, DVD, penne USB e dischi), installate puntualmente gli aggiornamenti di sicurezza, non visitate siti a rischio, e cambiate periodicamente le vostre password.

Bitcoin: moneta virtuale, furti reali

Una delle domande che spesso arriva alle coordinate online del Disinformatico riguarda il modo in cui i criminali informatici pagano e si fanno pagare per le loro attività, visto che raramente s'incontrano di persona e di certo non è il caso di usare bonifici bancari o carte di credito, facilmente tracciabili.

Uno degli strumenti di pagamento che sta andando per la maggiore su Internet, e non solo per le attività illecite, è Bitcoin, una valuta digitale creata nel 2009 da una persona che si fa chiamare Satoshi Nakamoto ma la cui identità reale non è nota.

A differenza delle altre valute, Bitcoin non ha una "banca centrale" o un istituto di emissione, ma usa una rete peer-to-peer e un sistema di firme digitali per registrare le transazioni senza rivelare l'identità di chi le fa ma al tempo stesso rendere pubblico ogni scambio di denaro, garantire che non si possano generare soldi digitali fasulli (la quantità di Bitcoin è fissa) e non si possano spendere più volte gli stessi soldi.

Per acquistare dei Bitcoin si deve offrire tempo di elaborazione sul proprio computer, rivolgersi a uno dei siti che fanno da "agenzia di cambio" (elencati nelle FAQ di Bitcoin.org) oppure vendere beni o servizi facendosi pagare in Bitcoin.

Il problema di questo sistema è che anche il portafogli digitale, come quello reale, si può rubare: si tratta di un file, wallet.dat, che viene custodito sul computer del titolare del "portafogli", ed esistono già i primi virus, come Infostealer.Coinbit, il cui unico scopo è cercare questo file nei computer che infetta e mandarlo via mail al criminale che controlla Infostealer. Una valuta interessante, ma attenzione a non affidarsi troppo a queste nuove tecnologie: ci sono già segnalazioni di furti per decine di migliaia di franchi.

Fonti aggiuntive: The Economist, Bitcoin.org.

Nessun commento: