La vicenda Hacking Team ha fatto il giro del mondo, tra l’altro è una società italiana – e questo non ci fa onore – ma non è certo l’unica che vende software di questo tipo ai governi.
Il fatto è che appena il codice è diventato di pubblico dominio è subito stato sfruttato da molti hacker per perfezionare i loro attacchi.
UN PASSO INDIETRO, CHI E’ HACKING TEAM E COSA E’ SUCCESSO?
Hacking Team è un’azienda italiana che fornisce software e servizi per intercettazioni telematiche: spionaggio, controspionaggio e soprattutto indagini visto che tra i clienti figurano anche le forze di polizia.
Si tratta di malware, o spyware, ovvero software che viene installato nei computer da sorvegliare ad insaputa dei proprietari, finalizzato a carpirne i contenuti e le attività.
Il caso Hacking Team è scoppiato nelle scorse settimane dopo che qualcuno è riuscito a sottrarre 400GB di dati riservati dai server dell’azienda, inclusi i sorgenti dei software e circa un milione di messaggi e-mail che sono stati prontamente pubblicati da WikiLeaks rivelando molti dettagli sui clienti, sui rapporti con le forze dell’ordine e sulle tecniche.
Peraltro…. come può succedere una cosa del genere in un’azienda che fa questo di mestiere?
Vi invito a leggere un articolo di Alessandro Ranellucci molto interessante, completo e scritto molto bene qui.
ALCUNI DATI
Lo Studio Legale Scicchitano ha fatto una fotografia della problematica hacker, basandosi su dati Onu e mettendo in evidenza come in Italia e in Europa le tecniche siano sempre più sofisticate.
Nei primi 6 mesi del 2015 sono state oltre 315 milioni le vittime del cybercrime, più di 1,7 milioni di persone al giorno, con una media di 20 vittime ogni secondo e un “fatturato mondiale” di oltre 3 miliardi di euro.
In aumento del 150% ogni anno le frodi bancarie che rappresentano oggi una perdita di circa 500 milioni di euro solo in Europa. «Ma, a differenza dalle ormai note truffe che colpiscono l’utente finale in possesso di un conto bancario, oggi molti hacker informatici violano direttamente le reti aziendali delle banche» spiega il professor Sergio Scicchitano, avvocato titolare di uno studio tra i primi in Italia ad occuparsi degli aspetti giuridici e tecnici del cybercrime.
«Il sistema di truffa è a volte così accurato che gli hacker riescono a “gonfiare” temporaneamente un conto corrente ed effettuare prelievi automatici di denaro in giorni prestabiliti» commenta l’avvocato Sergio Scicchitano. Per questo proteggersi dai virus informatici è oggi una priorità assoluta: solo quest’anno ne verranno creati più 30 mila, pronti ad infiltrarsi nei computer di tutto il mondo.
LE ULTIME NOTIZIE
Luglio 2015
Dopo le vulnerabilità riscontrate in Flash, il diffusissimo software di Adobe che consente la visualizzazione dei video, gli esperti hanno riscontrato falle nel sistema operativo di casa Microsoft. Microsoft ha dovuto rilasciare un aggiornamento di emergenza – chiamato MS15-078 – necessario a tutte le versioni del sistema operativo (Vista, 7, 8 e 8,1, RT 8 e 8,1, Server 2008 e 2012), anche la 10 che non era ancora uscita.
La falla che permette di bucare il sistema è stata rilevata all’interno di Windows Adobe Type Library Manager, e più precisamente nella gestione del font OpenType, carattere tipografico sviluppato in principio dalla stessa Microsoft e successivamente da Adobe.
Da quanto si è appreso, attraverso OpenType era possibile infettare computer da remoto in modo relativamente semplice. L’operazione era quella di spingere gli utenti a cliccare su documenti contenenti malware o pagine web infette. Pochi gesti che rischiavano di compromettere un computer in modo definitivo.
Agosto 2015
Un gruppo di hacker ha diffuso i dati personali di 33 milioni di utenti di Ashley Madison, un sito di incontri per persone sposate che vogliono avere avventure extraconiugali. Sono stati pubblicati in rete nomi, indirizzi email, password (anche se protette perché crittografate), numeri di telefono e di carte di credito, ma non solo. Anche gusti sessuali e altri particolari molto intimi.
Certo, grazie agli indirizzi email i criminali informatici hanno potuto aver accesso agli altri account degli utenti.Tra i dati trafugati sembra ci sia stato anche l’archivio delle transazioni fatte dagli utenti fino al 2009.
Le informazioni sono state pubblicate sul dark web, la parte di internet che non viene rilevata dai motori di ricerca e si può navigare solo usando software particolari, come Tor.
Il sito conta più di 37 milioni di utenti registrati in tutto il mondo. La rivista specializzata Cso ha scritto che tra gli indirizzi di posta elettronica pubblicati ce ne sono quindicimila appartenenti a funzionari del governo e dell’esercito. I file sono stati messi in unico torrent, accessibile solo con il software Tor.
Una lista così lunga di email potrebbe probabilmente essere usata per attacchi di phishing. Inoltre circa 1.200 profili diffusi appartenevano a persone che vivono in Arabia Saudita, dove l’adulterio è punito con la pena di morte.
Settembre 2015
Una falla nella sicurezza della versione web di WhatsApp. Il “bug”, subito riparato, consentiva di distribuire virus, compresi i considdetti ransomware, quelli che prendono in “ostaggio” dispositivi e file. La falla permetteva agli hacker di diffondere virus inviando contatti per la rubrica telefonica in formato vCard. Tutto quello di cui l’hacker aveva bisogno era il numero di cellulare associato all’account da “infettare”.
UN CASO DIVERSO, MA CHE CI FA RIFLETTERE: JEEP
Abbassare la temperatura dell’aria condizionata, accendere la radio a tutto volume e attivare i tergicristalli. Queste sono alcune cose che si possono fare a distanza, sfruttando una grave vulnerabilità individuata da due hacker nel sistema di infotainment Uconnect installato sulle Jeep Cherokee di Fiat Chrysler Automobiles (FCA) vendute negli USA. Gli esperti di sicurezza Charlie Miller e Chris Valasek hanno effettuato una dimostrazione sul campo, sottolineando che il bug consente di eseguire azioni molto più pericolose, come disattivare i freni e spegnare il veicolo in mezzo ad un’autostrada.
Potete leggere l’articolo completo su WEBNEWS.
PROFETICO JOBS
(tratto dall’articolo del sito informativo Formiche.net)
Steve Jobs aveva già capito tutto. Ad aprile 2010 il fondatore di Apple aveva spiegato dettagliatamente in un articolo sul sito ufficiale della Mela perché si era rifiutato di incorporare il supporto per Adobe Flash nel sistema operativo mobile iOs: Apple avrebbe usato invece Html5, Css e JavaScript che sono standard non solo più evoluti e adatti al mobile rispetto a Flash, scriveva Jobs, ma anche aperti e controllati da un comitato preposto a vigilare sugli standard di cui Apple fa parte. Per Jobs il problema si sintetizzava in tre parole: “Reliability, security and performance”; dati di Symantec dimostravano che Flash non era sicuro e Jobs confermava che causava problemi ai Mac e non era ottimizzato per le piattaforme mobili. “Non vogliamo ridurre l’affidabilità e la sicurezza dei nostri iPhone, iPod e iPad aggiungendo Flash”, concludeva Jobs.
Da allora ovviamente Adobe ha fatto grandi passi in avanti sul fronte della sicurezza, ma la vicenda Hacking Team, secondo Forbes, sembra provare che le falle non sono affatto risolte e che forse è davvero l’ora di pensionare Flash.
PENSIAMO TRISTEMENTE CHE… ANCHE NOI SIAMO BERSAGLIO DEGLI HACKER
Subire un attacco al proprio sito è più semplice di quanto si possa immaginare.
Infatti, basta un semplice FORM. Chi di voi non ha un form di contatto sul proprio sito?
Attacchi come l‘SQL Injection(immissione di codice SQL dannoso), Cross Site Scripting (l’invio di uno script dannoso) e il Denial of Service (l’invio di una serie di messaggi o di un grande messaggio tali da saturare la spazio disponibile del database) sono all’ordine del giorno.
Per non parlare del problema della sicurezza delle password.
Nel prossimo articolo parleremo di come difenderci. Seguiteci.
Fonti: WebNews, chefuturo.it, formiche.net, La Stampa, Studio Scicchitano – studioscicchitano.it, internazionale.it, tgcom24, Il Sole 24 Ore
MacroWebMedia, web agency e software house dal 1999 al vostro fianco.
Scrivi un commento