Pagine

Visualizzazioni totali

venerdì 12 novembre 2010

Credit card a 2 euro? Al mercato nero dei dati


Carte di credito, passaporti, conti bancari in vendita online a pochi euro. E' il blackmarket fotografato al convegno di Symantec dedicato alla difesa dei dati personali.
Credo che chiuderò la mia vita reale perché ruba troppo tempo a Facebook
”. E' sintomatica la battuta con cui Marco Camisani Calzolari, docente IULM in linguaggi digitali, esordisce all'odierno convegno milanese di Symantec sul mercato nero dei dati personali. Sono molti i relatori, a partire da Marco Riboli, amministratore delegato della società specializzata in sicurezza informatica, ma univoco è il messaggio: ci piaccia o no, consapevoli o inconsapevoli, abbiamo tutti anche una vita digitale, e dobbiamo difenderla. I nostri dati, da quelli anagrafici a quelli più lucrosi quali passaporti, carte di credito, patenti e così via, rischiano di finire in un mercato parallelo e di essere venduti a pochi euro su forum specializzati e su chat clandestine. Una di queste chat brilla all'ingresso del convegno, come se fosse un televideo aggiornato in diretta su quotazioni e offerte. Se si sa chi contattare e come farlo, è possibile organizzarsi una bella vacanza ai Caraibi: spesa totale 700 euro, ma residenza e shopping come se ne avessimo a disposizione 8.000, tutto grazie a dati digitali rubati. Con appena 30 dollari è possibile acquistare numeri di carte di credito, con varianti in base al Paese di provenienza. Con 1.500 dollari si acquistano mille carte di credito e il costo per un’identità digitale completa va dai tre ai venti dollari. Prezzi, si diceva un tempo, popolari. Symantec ha ricostruito un autentico e suggestivo mercatino, con tanto di bancarelle e costi al dettaglio, ma il traffico di cui si parla non ha certo le dimensioni rionali di quello in cui andiamo a fare spesa sotto casa. Il valore delle informazioni digitali rubate nel 2009 è stato di un trilione di dollari. Calzolari, nel suo intervento, snocciola qualche dato: “60 milioni di 'stati' modificati su Facebook ogni giorno”, un po' di più della popolazione italiana. E non basta: “il 25% dei risultati di ricerca di Google puntano su contenuti generati dagli utenti”. Internet, dunque, siamo noi, e non si deve credere che il problema riguardi qualche spericolato che bazzica i social network o che ha un blog. Lo spiega bene Antonio Forzieri, appassionato di sicurezza informatica da sempre e da 10 anni autentico “infiltrato” nel mondo della pirateria digitale per conto di Symantec: “Una notizia del 20 gennaio 2010: i dati di 100 milioni di carte di credito rubati”, e poi ancora “tutti gli utenti inglesi che sono andati a vedere la Coppa del Mondo in Sudafrica hanno subito il furto dei dati sui loro passaporti”. E se sulla rete ci sono i pericoli maggiori, una bella mano ai trafficanti di dati la diamo anche noi. “Avete mai provato a denunciare all'ufficio oggetti smarriti di un aeroporto la perdita di un notebook? Ce ne sono moltissimi (637 mila, secondo i dati Symantec, ndr), così come tantissimi sono i cellulari”. Si pensa spesso, infatti, alla pirateria informatica come a un'attività di altissima ingegneria, fondata su sofisticatissimi software e su macchine diaboliche. La componente tecnologica c'è, ma non conta mai quanto quella umana. Ne è un esempio clamoroso il caso Stuxnet, il virus che ha messo in scacco il programma nucleare iraniano. Secondo Forzieri, il modo più probabile con cui il virus è riuscito a penetrare nella rete iraniana è stato... una chiavetta USB, cioè il più comodo strumento per archiviare e trasporatre dati. Abbandonata in un parcheggio, qualche dipendente superficiale l'avrebbe poi inserita su un pc della rete. Un metodo che si sta diffondendo sempre di più. Gli esperti del settore la chiamano ingegneria sociale ed è ancora l'arma più potente in mano agli hacker malintenzionati di tutto il mondo. I nostri nonni non la chiamavano così, ma non siamo molto lontani dalle astuzie usate da Totò nel film Totò Truffa per vendere a un ingenuo italoamericano la Fontana di Trevi. Perché, infatti, tentare di rubare una password attraverso complesse e rischiose incursioni via internet, quando posso farmela dire dal proprietario con qualche sotterfugio? Alla luce di quanto detto, desta ancora più perplessità il record italiano mostrato da Forzieri: “L'Italia è al secondo posto in Europa per diffusione di botnet”. Le botnet sono reti composte da cosiddetti pc zombie, così chiamati perché apparentemente inattivi, ma pronti a svegliarsi e a obbedire alla volontà dell'hacker di turno che li usa per attaccare i suoi obiettivi: banche, aziende private, database pubblici e, perché no, reti infrastrutturali, come le reti elettriche. E qui il discorso si fa serio, perché se le banche bloccano tempestivamente una carta di credito rubata, assai più complesso è rimediare un sabotaggio al sistema idrico o all'illuminazione cittadina. Ma davvero c'è questo pericolo in Italia? Lo abbiamo chiesto direttamente a Forzieri. “Si pensa che i sistemi che riguardano per esempio le reti elettriche siano un mondo a parte, impenetrabile, ma non è proprio così – ci spiega – Spesso sono collegate almeno alle reti aziendale e noi abbiamo verificato che è possibile raggiungere le reti elettriche da un network aziendale”. Ci risiamo, verrebbe da dire, i soliti italiani approssimativi, ma non è proprio così. “Si tratta di reti molto vecchie, regolate da sistemi vulnerabili anche perché creati senza prevedere lo sviluppo attuale, ma non ci si può lamentare di questo: sarebbe come se tra cento anni qualcuno si lamentasse perché i nostri pc non prevedevano il teletrasporto!”. I rischi, dunque, ci sono, ma a Forzieri chiediamo anche qualche speranza sui rimedi. “Per prima cosa bisogna essere sul web e monitorare quello che accade e tutte le novità (come fa lui, ndr)”, quindi “Aggiornare le nostre difese”, e ci fa alcuni esempi. Un tempo gli antivirus difendevano con il sistema delle “firme”: i virus erano man mano catalogati e in questo modo riconosciuti e bloccati. La produzione oggi è troppo veloce, se si pensa che nel 2010 le “firme” catalogate da Symantec si stima saranno 5 milioni, il doppio che nel 2009. I software quindi, analizzano il comportamento di un programma per capire se è sospetto. Si parla in questo caso di software euristico, in grado di notare attività insolite di un programma. Ma non basta. Symantec, che oggi lancia la sua nuova linea di prodotti, proporrà, anche per gli antivirus destinati ai pc personali e non alle aziende, un sistema basato sulla reputazione (Reputation-based technology). In pratica, il software sarà in grado di verificare se un programma scaricato sul nostro computer, più o meno consapevolmente, si trova su altri pc, su quanti e da quanto tempo. In tal modo è possibile capire se è innocuo o no. E se è un software di nuovissima creazione? In tal caso il programma consiglia di aspettare a installarlo, fino a quando non si avranno dati attendibili. Si torna così al punto di partenza: la nostra vita digitale va difesa. Alcuni fenomeni degenerativi come lo spamming e il phishing fanno leva su ogni singolo proprietario di pc, ma non solo di pc. Sono già 350 i “virus” per Symbian, il sistema usato sui cellulari Nokia, tre quelli per iPhone e 116 per computer Mac. Non è difficile immaginare quali e quanti dati si possono rubare dai nostri telefonini. E' questa la nuova frontiera della criminalità 2.0, che prospera sulle nostre vite digitali. Per diventare inconsapevoli vittime e, addirittura, protagonisti di reati informatici, non c'è bisogno di fare cose strane. Può bastare, per esempio, fare un clic sul sito www.monicabellucci.it. Oggi è sano, ha raccontato Forzieri, ma qualche trafficante di dati aveva pensato bene di sabotarlo in modo da dirottarne i visitatori su pagine pericolose, che rubavano dati e potevano trasformare i pc in strumenti per ulteriori azioni di hacking. E' più facile dire di no quando il nemico è brutto, sporco e cattivo. Ma quando è Monica Bellucci?

Fonte: La Stampa - Autore: Claudio Leonardi