Nella nuova società digitale caratterizzata dalla facilità di comunicare e condividere pensieri, emozioni e conoscenze stanno, purtroppo, emergendo una nuova serie di reati e di crimini spesso classificati come computer crime.
Nella denominazione si vuole evidenziare il fatto che l’atto criminoso sia stato compiuto con l’uso di un computer. D’altra parte tale termine va inteso in una accezione ben più ampia e pervasiva.
Dagli anni sessanta quando un computer, al quel tempo denominato mainframe poteva occupare un piano intero di un palazzo e costare vari milioni di euro si è arrivati ad oggi dove il computer può nascondersi in uno spazio di una cruna di un ago con una potenza di vari ordini di grandezza maggiori. Tutti noi, ad esempio, sperimentiamo l’incredibile crescita della capacità dei supporti di memorizzazione e spesso possediamo telefonini o memorie usb, spesso dette pennette, di vari gigabyte (miliardi di byte).
Tanto per fare un confronto con la carta stampata una pagina A4 fitta contiene circa 5.000 caratteri che corrispondono circa a 5kB (5 kilo byte). Pertanto in un telefonino con 32 gigabyte abbiamo la possibilità di memorizzare più di 6 milioni di fogli di testo che se li mettiamo tutti in pila raggiungiamo l’altezza di circa 600 metri !
Consideriamo che per copiare tutti questi dati sono sufficienti pochi secondi o minuti creando non pochi danni in termini di mancata segretezza e riservatezza.
Ad esempio ultimamente è stato dimostrato da un esperto che possono bastare 20 secondi per sottrarre da uno smartphone con un problema software l’intera rubrica ed archivio degli sms e delle foto del telefonino. Per nostra fortuna tale capacità non è così diffusa ed i produttori di apparati continuamente rincorrono e riparano tutte le falle e le problematiche evidenziate ma rimane il fatto che sempre in meno tempo possono esser fatti più danni.
Gli ultimi modelli di cellulare hanno delle fotocamere di tutto rispetto che arrivano anche a 12 megapixel e soltanto l’idea che qualcuno ci sottragga la foto e ci possa minacciare di pubblicarle sui social network o semplicemente in rete ci fa capire che in queste tematiche è meglio prevenire che curare perché quando i buoi sono scappati dal recinto a quel punto la maggior parte del danno c’è già stato. Stessi discorsi possono esser fatti con i video, gli SMS e gli MMS soprattutto per le persone pubbliche quali politici, attori, calciatori ed artisti, ecc..
Ognuna di queste molestie e/o minacce configurano un cyberstalking che rappresenta la versione digitale dello stalking per il quale è stata recentemente emessa una legge specifica (per maggiori informazioni si veda www.cyberstalking.it).
D’altra parte nel mondo digitale non abbiamo soltanto la nostra identità affettiva e sociale ( si pensi a Facebook, a tutte le foto e i filmati digitali dei nostri momenti più belli, ecc…) ma abbiamo anche la nostra identità finanziaria e su quest’ultima è d’obbligo una analisi specifica.
Negli ultimi dieci anni molte banche ed istituzioni finanziarie hanno promosso con grande enfasi il modello della “banca virtuale” o del conto online.
Milioni di cittadini hanno aperto conti in rete o comunque accessibili anche dalla rete e via telematica e si deve dire che le misure tecnologiche pensate a protezione sono state spesso più che sufficienti per proteggere i nostri risparmi. I vantaggi di avere un conto online sono talmente evidenti che evito qui di riportarli.
Inoltre molti di noi acquistano beni e servizi tramite la carta di credito che inseriscono nei vari siti e questa azione, a priori, non è poi tanto più rischiosa di quella che facciamo tutti i giorni al ristorante o in un negozio dove affidiamo la nostra carta ad un dipendente dell’esercizio che potrebbe copiare i nostri dati e riusarli per scopi illeciti successivamente.
L’unico punto debole è quello dell’apparato utilizzato nelle suddette attività che viene a “rappresentarci” nella transazione impersonale e pertanto può essere oggetto di attenzioni particolari dalla criminalità online.
Ad esempio si stimano in vari milioni i computer zombie controllati da remoto da terzi attraverso software specifici entrati con virus informatici. Per nostra fortuna la maggior parte di queste azioni di controllo remoto sono impiegate soltanto per utilizzare i nostri computer come basi di partenza per attacchi mirati a siti specifici che si vuole rendere inutilizzabili e spesso neanche ce ne rendiamo conto di questo abuso sotto i nostri occhi se non per un evidente rallentamento delle prestazioni generali di computer.
Un altro fronte molto caldo è quello dei furti dell’identità delle parti per realizzare una sottrazione di denaro da un conto online.
Quanti di noi hanno già ricevuto varie email trappola che invitavano ad accedere immediatamente al proprio conto bancario per rafforzare le misure di sicurezza o perché era successo qualcosa di grave? Mascherando ad arte il link od indirizzo del sito web ed imitando alla perfezione la grafica del sito finanziario clonato riescono a dare al cliente la percezione di entrare nel sito ufficiale sottraendo cosi con l’inganno tutti i codici segreti di entrata. Tale approccio mi ricorda una truffa ai bancomat che si era diffusa molti anni fa e consisteva nel mettere di venerdì dei finti bancomat in zone ad alto traffico pedonale che sistematicamente dicevano che il pin digitato era errato anche se giusto fino a prender la carta come è da prassi per tutti i bancomat dopo 3 tentativi errati. Il cliente dopo aver dato il pin e la carta si allontanava senza sospetto e subiva i prelievi nel weekend successivo.
Il furto di identità può riguardare anche lo stesso cliente che viene cosi strumentalizzato per accendere nuovi conti, stipulare mutui o prestiti, effettuare attività criminali ed altro ancora. Ad un mio caro amico rubarono il passaporto durante il matrimonio e con questo aprirono un conto bancario ed iniziarono ad emettere a raffica assegni a vuoto. Per fortuna era avvocato e riusciva a fare nei tempi giusti ogni volta l’opposizione all’ufficiale giudiziario che sistematicamente si presentava con la “condanna” ma sicuramente non è una piacevole situazione. Nel mondo digitale, spesso grazie ai social network, condividiamo con molte persone molti dati spesso anche riservati e comunque personali e pertanto risulta facilitato il lavoro di chi volesse raccogliere dati sul nostro conto per simulare la nostra identità al telefono o via internet.
La criminalità organizzata si muove attualmente anche su questi canali ed è significativa la riduzione del numero di rapine tradizionali alle banche. Al proposito di consideri che a differenza dei furti con scasso che trovano facile risonanza sulla stampa molte volte le istituzioni rapinate online non amano che tali eventi siano pubblicizzati e talvolta potrebbero anche non presentare denuncia: voi, infatti, affidereste i vostri risparmi ad una banca che può subire furti e sottrazioni di denaro tramite computer senza che magari questa se ne accorga magari perché sono continue ed ognuna di poca entità?
Al proposito ricordo che quando ero nel comitato di sicurezza bancaria per il Computer Crime per definire una metodologia di progettazione di sistemi informativi sicuri nei vari casi analizzati ci capitò quello di una banca nella quale fu scoperto da un solerte dipendente che tutti i conti erano stranamente arrotondati senza alcun decimale. Dopo molte analisi fu scoperto che nel programma ufficiale erano state inserite alcune istruzioni illegali che sistematicamente tagliavano i decimali e li accreditavano all’ultimo conto della lista. Al truffatore bastava aprire un conto intestato con un nome del tipo Zyzzxx per vederlo automaticamente crescere di giorno in giorno ovviamente con la complicità del programmatore interno che inserì il codice pirata. In questo caso il caso fu risolto ed il codice sistemato ma se avesse inserito l’istruzione prendine 9 su 10 probabilmente non sarebbe stato scoperto cosi facilmente.
Potremmo continuare con nuovi esempi o casistiche ma rimandiamo ai prossimi articoli e ai siti sul tema fra cui quello già citato dedicato alla nuova fattispecie particolarmente insidiosa di reato del cyberstalking (www.cyberstalking.it) perché preferiamo qui concentrarci su alcune misure di difesa e prevenzione che possono rendere più tranquillo e sicuro l’uso delle grandi potenzialità del mondo digitale.
Le difese
Le difese per questa tipologia di reati possono esser divise in due tipologie: quelle tecnologiche e quelle organizzative e comportamentali.
Spesso le due sono fortemente correlate e l’adozione massiva delle prime espone ad attacchi sulle seconde e viceversa ma vediamole con ordine.
Le difese tecnologiche sono tipicamente legate alla tecnologia e agli strumenti utilizzati e per ognuno ne esistono tutta una gamma in continuo aggiornamento.
Ad esempio per il computer vi sono tutti software a protezione dello stesso che vanno dal classico antivirus al software per la protezione contro il malware o tutti questi codici maliziosi che possono impossessarsi del nostro computer e/o dei nostri dati contenuti. Abbiamo i firewall o muri di fuoco che ci proteggono contro intrusioni indesiderate di curiosi o criminali esterni. Al proposito va considerato che la liberalizzazione delle reti senza fili entrata in vigore nel gennaio scorso può esporre la nostra rete ad accessi esterni indesiderati o viceversa ci può far condividere con sconosciuti i nostri dati di accesso ai sistemi (user e password di posta, di conto online, ecc..) con eventuali vicini che mettono a disposizione liberamente la loro rete senza fili.
Spesso l’azione di condivisione è molto subdola perché molti portatili e computer cercano in proprio una rete disponibile e appena la trovano ci si collegano senza chiederci esplicita autorizzazione: noi crediamo che siamo collegati alla nostra rete ed invero siamo collegati a quella del vicino o di un estraneo parcheggiato o situato ad arte sotto casa per carpire i nostri dati.
Pertanto tutti i software di protezione e controllo del traffico dati in generale e soprattutto sulle reti senza filo svolgono una funzione essenziale di protezione soprattutto nei casi abbiamo qualcosa da proteggere come i nostri dati personali, i dati di accesso al conto online o al social network o altri similari. Se dobbiamo soltanto navigare e leggere i siti e i giornali on line probabilmente non ci sono gravi problemi ad affidarsi a reti sconosciute.
Mi viene il mente l’azione recente di alcuni esperti che misero a Piazza Duomo a Milano una rete senza fili con un nome finto del tipo Comune di Milano – ecc.. Molti navigatori internet abboccarono all’esca e iniziarono a navigare con i loro telefonini, portatili, tablepc, ecc condividendo in poche ore migliaia di dati, allegati, email e codici di accesso. Per fortuna l’intera azione era puramente dimostrativa per sensibilizzare l’opinione pubblica del potenziale problema e dunque avemmo una happy end.
Per i nuovi dispositivi quali ipad, smartphone, tablepc il mercato dei software di protezione non è cosi sviluppato ed articolato e comunque non sempre c’è l’abitudine di proteggerli cosi come nel pc anche se questi ultimi dispositivi sono molto più vicini ai nostri conti online e/o telefonici dei tradizionali pc.
Se per un computer si rischia il più delle volte di fare da base per un’azione di spamming od invio di migliaia di email pubblicitarie a terzi sul viagra o cose simili a nostro nome per uno smarthphone infettato si rischia di avere il conto ricaricabile prosciugato oppure una bolletta bollente!
Riguardo invece le misure organizzative e comportamentali queste sono direttamente correlate al grado di cultura e formazione di ognuno di noi sul mondo digitale. Ad esempio lo sapevamo che quando formattiamo la scheda di memoria di una macchinetta fotografica invero non cancelliamo le foto che possono essere recuperate molto facilmente? Lo sapevamo che nel mondo digitale vale la logica esattamente opposta a quella del mondo fisico: per copiare in miliardi di unità una cosa digitale e spedirla in tutto il mondo è praticamente facilissimo e gratis mentre per cancellarla in modo definitivo è difficilissimo e molto costoso? Nel mondo tradizionale spesso basta un “cerino” per cancellare in modo definitivo un bene di valore e servono molti sforzi e soldi per far molte copie di un bene e spedirlo il tutto il mondo.
Risulta importante e cruciale dedicare del tempo alla formazione e all’apprendimento di questo nuovo mondo a cominciare da come creare una buona password. Troppo spesso vengono utilizzate parole troppo brevi e dunque facilmente scopribili: lo sapevate che il tempo necessario per scoprire una password cresce esponenzialmente cioè veramente tanto con la lunghezza della password? Una parola di 15 lettere può rendere un documento praticamente inaccessibile mentre una di 5 facilmente accessibile in 30 secondi con una spesa di 15 euro per un software di ricerca di password!
D’altra parte non possiamo pretendere che tutti diventino esperti di una tematica cosi nuova e soggetta a tanti cambiamenti ma sicuramente possiamo suggerire l’approccio migliore nei casi di emergenza e bisogno. Cosi come nel campo medico per garantirci la nostra identità fisica del corpo ci rivolgiamo al dottore e alle varie strutture sanitarie nel settore digitale abbiamo l’ingegnere dell’informazione di recente costituzione ( tant’è che viene chiamato del terzo settore dopo quello edile civile e meccanico) che può garantirci con la sua professionalità ed eticità la soluzione ai problemi. Per chi volesse approfondire può visitare uno dei tanti siti in rete dedicati fra cui quello dell’associazione AIRIN www.airin.it alla quale ne sono iscritti molti.
Ing. Francesco Marinuzzi, Ph.D.
Nessun commento:
Posta un commento