A cura di David Emm
Senior Regional Researcher, Kaspersky Lab UK
La complessità delle minacce odierne
Il panorama delle minacce informatiche si caratterizza, oggigiorno, per la sua notevole vastità e complessità. Al fine di violare i computer degli utenti e poter fare in tal modo soldi illegalmente, i cybercriminali ricorrono difatti a minacce di portata sempre maggiore, le quali comprendono un’ampia gamma di Trojan, worm, virus, oltre che un’infinita serie di codici di exploit appositamente dispiegati per consentire al malware di sfruttare le vulnerabilità eventualmente presenti nell’ambito del sistema operativo od all’interno delle applicazioni.
I cybercriminali si avvalgono altresì di tecniche estremamente sofisticate per nascondere al meglio l’oscura attività del malware o rendere ancor più difficile il rilevamento e l’analisi dei codici maligni da parte dei ricercatori anti-virus. E’ ovviamente naturale cercar sempre di inquadrare il problema della criminalità informatica, e le relative soluzioni ad esso, in termini puramente tecnici. Ritengo, tuttavia, altrettanto importante, per non dire essenziale, affrontare altresì quegli aspetti del cybercrimine strettamente correlati alla natura “umana” degli utenti della Rete.
L’essere umano: l’anello più debole nella catena della sicurezza
Nonostante la sempre maggior raffinatezza, dal punto di vista tecnico, dei programmi malware odierni, i cybercriminali cercano spesso di sfruttare proprio le debolezze “umane”, al fine di realizzare la diffusione su larga scala dei programmi maligni da essi elaborati. Ciò non dovrebbe, in ogni caso, sorprenderci più di tanto. Gli esseri umani costituiscono in effetti, di solito, l’anello più debole all’interno di qualsivoglia sistema di sicurezza.
Prendiamo, ad esempio, le problematiche connesse alla messa in sicurezza di un’abitazione: si può magari disporre dell’impianto d’allarme più sofisticato al mondo, ma se non lo si attiva, esso risulterà perfettamente inutile, non offrendo alcun tipo di protezione. Lo stesso vale per la sicurezza online. Tanto più che i cybercriminali continuano a far largo uso, in Rete, di vari metodi di ingegneria sociale, cercando sistematicamente, e con metodi ingannevoli, di indurre gli utenti a compiere qualche azione che possa minare la sicurezza online di questi ultimi.
Ciò si riflette, ad esempio, nel continuo ed inarrestabile dilagare delle truffe di phishing, abilmente ordite per cercare di attrarre gli utenti verso siti fraudolenti, preposti a sottrarre loro preziosi dati personali, quali nomi utente, password, PIN e qualsiasi altro genere di informazione di cui i criminali informatici possano poi avvalersi per loschi fini.
La classica truffa di phishing viene praticata inondando milioni di caselle di posta elettronica mediante messaggi di spam, nella speranza di poter raggirare un ragguardevole numero di utenti ed indurre così questi ultimi, con vari metodi e pretesti, a cliccare sui link maligni subdolamente predisposti dai malintenzionati all’interno delle e-mail. Tali attacchi vengono tuttora condotti in Rete con ragguardevole frequenza.
E, come dei veri e propri borseggiatori, i truffatori online sono soliti seguire ben dappresso la folla. Così, visto il numero sempre crescente di persone che utilizzano Facebook, MySpace, LinkedIn, Twitter ed altri popolari siti di social networking, non c’è affatto da stupirsi che i criminali informatici prediligano, sempre più frequentemente, prendere di mira proprio gli utenti di tal genere di servizi. I malintenzionati possono ad esempio avvalersi di account di Facebook, appositamente violati, per inviare messaggi contenenti link a programmi maligni.
Oppure, possono inviare ‘tweet’ contenenti link fraudolenti, celando abilmente il reale indirizzo di destinazione di questi ultimi mediante gli appositi servizi online che permettono la creazione di URL brevi. E poi… perché no? I cybercriminali possono magari anche calarsi semplicemente nei panni di un sedicente “amico”, che si trova in gravi difficoltà economiche in un lontano paese da lui raggiunto, ed ha un disperato bisogno di ricevere urgentemente una certa cifra di denaro per poter far ritorno a casa. E’ comunque interessante rilevare come nessuna delle modalità fraudolente sopra descritte rivesta un carattere di particolare specificità per il mondo del social networking: i cybercriminali si limitano semplicemente a riapplicare quegli schemi truffaldini che, in passato, hanno per loro generato “pregevoli” risultati.
L’elevato grado di diffusione e popolarità del social engineering è altresì dimostrato dal repentino aumento dei programmi ‘scareware’ circolanti in Rete. Si tratta, per lo più, di software fasulli e fraudolenti che, di solito, iniziano a manifestarsi durante la normale navigazione sul web, mediante la comparsa sul browser dell’utente di un messaggio pop-up, il quale annuncia che il computer in questione è infetto e si consiglia pertanto vivamente di effettuare il download di un programma antivirus gratuito, che consentirà di poter procedere alla rimozione del presunto malware rilevato.
Ma tale programma, una volta scaricato ed eseguito, avviserà purtroppo il malcapitato utente che, per effettuare la disinfezione del computer, sarà necessario utilizzare la “full version” del software, la quale, ovviamente, è disponibile solo a pagamento. E così, nel praticare tale truffa, i cybercriminali metteranno a segno un doppio colpo: non solo carpiranno del denaro all’utente con dei falsi pretesti, ma entreranno altresì in possesso di tutti i dettagli relativi alla carta di credito utilizzata per la transazione truffaldina.
Uno dei principali problemi connessi agli attacchi portati ricorrendo all’utilizzo di metodi di ingegneria sociale risiede nel fatto che tali attacchi costituiscono, in pratica, una sorta di bersaglio in movimento; in effetti, verosimilmente, le truffe che verranno messe in atto successivamente dai malintenzionati della Rete saranno basate su schemi completamente diversi. Ciò rende ovviamente difficile, per l’utente, poter discernere con esattezza cosa possa essere del tutto sicuro e cosa possa invece nascondere pericolose insidie.
Naturalmente, non è solo l’eventuale mancanza di un’adeguata dose di consapevolezza a rendere particolarmente vulnerabili gli utenti della Rete. A volte, in effetti, è magari l’allettante prospettiva di poter accedere a contenuti audio o video gratuiti, oppure l’irresistibile attrazione esercitata dalla fantomatica opportunità di visionare immagini di nudo dei personaggi più celebri del momento, ad indurre i navigatori a cliccare su certi link che dovrebbero essere invece semplicemente del tutto ignorati.
Sì, chiaramente il buon senso spesso ci suggerisce di diffidare di tutto ciò che appare troppo bello… per essere vero, ma questo non comporta necessariamente, in ogni frangente, la consapevolezza del fatto che intraprendere una certa azione, ad esempio il cliccare su un link maligno, può in realtà rivelarsi estremamente dannoso.
A volte, per non complicarsi troppo la vita, le persone sono solite prendere delle scorciatoie, non comprendendo magari a dovere, ad esempio, tutte le implicazioni legate all’adozione di adeguate misure di sicurezza online. Ed è proprio ciò che avviene spesso con la scelta delle password. Le operazioni online condotte dagli utenti della Rete si infittiscono oramai sempre di più: shopping, transazioni bancarie, pagamenti di bollette, networking professionale, e molto altro ancora.
Di conseguenza, non è affatto raro il dover a volte gestire, ad esempio, 10, 20 o più account online; ciò rende ovviamente estremamente difficile ricordare (o addirittura semplicemente scegliere) una password univoca per ogni account. Per tal motivo si è in genere molto tentati dall’utilizzare la stessa password per ogni account in essere, così come il nome di un bambino, del proprio coniuge o di una località che abbia per noi un particolare significato, ovverosia un nome che possa essere agevolmente ricordato. Un altro approccio comune è quello di riciclarsi le password, magari utilizzando qualcosa del tipo ‘mionome1’, ‘mionome2’, ‘mionome3’, e così via per tutti gli account successivi.
Agendo in tal modo, tuttavia, aumenta considerevolmente la probabilità che un cybercriminale possa riuscire nell’intento di impadronirsi della nostra password e, qualora il nostro account venga violato, il malintenzionato di turno potrà così ottenere un facile accesso ad ulteriori nostri account online. L’eventualità di correre un rischio del genere rimane tuttavia ben lungi dall’essere adeguatamente considerata da quella parte del personale aziendale non in possesso di specifiche conoscenze tecniche, così come dal pubblico generico della Rete. E, anche nel caso in cui si sia a conoscenza dei potenziali pericoli esistenti, rimarrà pur sempre arduo poter intravedere una qualche valida alternativa a tutto ciò, dal momento che non è affatto semplice potersi ricordare agevolmente 10, 20 o più password.
Eppure esiste una soluzione per l’annoso problema delle password! Anziché cercar di ricordare ogni singola password, si può porre quale base un componente fisso, per poi applicare una particolare formula atta a ben “mescolare” le carte in tavola. Ecco un esempio; partendo dal nome della risorsa on-line, ad esempio ‘mybank’, si applica la seguente formula:
1. Scrivere in maiuscolo la quarta lettera.
2. Collocare la penultima lettera all’inizio.
3. Aggiungere un numero a scelta dopo la prima lettera.
4. Aggiungere un carattere non alfanumerico a scelta alla fine della password.
Si può così ottenere una password del genere: ‘n1mybAk;’. Avvalendoci di tale metodo, ovverosia seguendo e ripetendo ogni volta i quattro passi sopra enunciati, avremo una password univoca per ogni account online di cui disponiamo.
Cosa si dovrebbe quindi fare?
Nella lotta contro il malware la tecnologia riveste ovviamente sempre un ruolo di fondamentale importanza, qualunque sia la soluzione adottata. Ritengo tuttavia che sarebbe alquanto imprudente ignorare o trascurare la dimensione “umana” della sicurezza. Sappiamo come, nella vita di tutti i giorni, gli impianti di allarme, le serrature alle finestre od i lucchetti di sicurezza applicati alla porta d’ingresso della nostra abitazione risultino essere metodi di comprovata efficacia a garanzia della proprietà. Essi non potranno mai, tuttavia, impedire che possa essere in ogni caso messa a repentaglio la nostra sicurezza personale qualora, ad esempio, aprissimo fiduciosamente la porta ad uno sconosciuto.
Allo stesso modo, se non si tiene nella dovuta considerazione l’elemento “umano”, anche una strategia aziendale applicata in ambito di sicurezza online risulterà di sicuro molto meno efficace del previsto. E così, nel dichiarato intento di salvaguardare le proprie risorse digitali, occorrerà altresì mettere in pratica validi metodi creativi al fine di arginare le vulnerabilità naturalmente insite nelle risorse umane. Tale questione non riguarda certamente solo il mondo del business.
La maggior parte delle persone che utilizza Internet dalla propria abitazione deve in effetti affrontare lo stesso tipo di problematiche. Ed al pari di un’impresa, anche un utente privato dovrà ugualmente trovare i modi più appropriati per aumentare la propria consapevolezza in merito ai rischi connessi con l’attività online, cercando di sviluppare i metodi più efficaci al fine di ridurre tali rischi ai minimi termini.
Applicare la massima dose di buonsenso nelle nostra attività online
Le persone sono ragionevolmente ben attrezzate per gestire i rischi presenti nel mondo “offline”. Quando, ad esempio, educhiamo i bambini in merito ai potenziali pericoli esistenti nell’attraversamento di una strada, illustriamo loro tutta una serie di strategie comportamentali dettate dal più evidente ‘buonsenso’.
Insegnamo così loro a far uso degli appositi passaggi pedonali, oppure, ove ciò non sia possibile, a guardare con attenzione in entrambe le direzioni prima di iniziare ad attraversare la strada. Allo stesso modo, annoveriamo le ripetute campagne di “Pubblicità Progresso”, condotte sia sulle reti televisive che radiofoniche, nonché sulla carta stampata, al fine di sensibilizzare ed educare i cittadini in merito ai pericoli derivanti dalla guida in stato di ebbrezza o dal non indossare le cinture di sicurezza.
Naturalmente, tutti i consigli governati dal comune ‘buonsenso’ che elargiamo ai bambini, così come le raccomandazioni provenienti dagli enti governativi riguardo alla più appropriata condotta di guida da seguire, non sono di per se stessi sufficienti a garantire la sicurezza. Purtuttavia, essi dispensano tutta una serie di preziose informazioni che indubbiamente aiutano a minimizzare i potenziali rischi esistenti. Oggi, la guida in stato di ebbrezza è considerata socialmente inaccettabile, e sulle strade si registra di per certo un numero di incidenti sensibilmente inferiore rispetto a quarant’anni fa.
Parallelamente, purtroppo, la medesima dose di buonsenso non viene ancora debitamente applicata nelle attività condotte online dagli utenti. Di ciò, tuttavia, non possiamo in alcun modo sorprenderci. In effetti, rispetto alle molteplici generazioni di automobilisti od alle innumerevoli schiere di pedoni già prodottesi nel tempo, Internet è ancora da considerarsi come un fenomeno di estrema “novità”. Stiamo solo ora iniziando a renderci conto di come e quanto Internet possa effettivamente migliorare la qualità della nostra vita; sono tuttavia ancora in molti ad essere del tutto inconsapevoli dei potenziali pericoli che si celano in questo nuovo “fantastico” mondo.
E’ curioso rimarcare, a questo punto, il delinearsi di una sorta di paradosso. Per starsene al sicuro nel mondo offline, i bambini sono ovviamente soliti apprendere dai propri genitori molte delle strategie comportamentali dettate dal comune buonsenso. Questi stessi genitori, però, essendo spesso ben lungi dal possedere un sufficiente grado di familiarità con le ‘nuove’ tecnologie, risultano al giorno d’oggi tutt’altro che ben preparati per poter educare nella maniera più adeguata i propri figli ai principi della sicurezza online.
Per contro, i figli sono invece spesso in grado di saper ben utilizzare tali tecnologie, ma in genere conoscono assai poco delle potenziali minacce presenti online. E’ assolutamente indispensabile sviluppare ed applicare collettivamente un’adeguata dose di buonsenso nelle nostre attività online. Se ciò sarà fatto, i bambini di oggi saranno in futuro molto meglio attrezzati per poter a loro volta salvaguardare al meglio i propri figli.
L’importanza di istruire adeguatamente il personale aziendale
In primo luogo, è importante non confondere educazione con formazione. Non sarebbe difatti per nulla realistico cercar di formare sistematicamente il personale di un’impresa affinché tutti quanti in azienda diventino poi degli esperti in sicurezza informatica. E’ invece necessario condurre un’adeguata campagna di sensibilizzazione riguardo alle potenziali minacce esistenti online e, conseguentemente, anche in merito alle misure da intraprendere per proteggersi nella maniera più efficace.
Un chiaro e lineare percorso educativo del personale dovrebbe costituire uno degli elementi fondamentali di una valida strategia di sicurezza aziendale. Occorre utilizzare un linguaggio semplice e diretto per illustrare al proprio staff la variegata natura delle minacce online. Quest’ultimo deve essere necessariamente informato in merito alle misure di protezione informatica dispiegate dall’azienda, oltre che sul perché e sul percome queste possano influire nello svolgimento dei compiti professionali. E’ difatti tanto più probabile che una strategia di sicurezza risulti pienamente efficace quanto più essa venga ben compresa e favorevolmente sostenuta dal personale.
E’ altresì essenziale instaurare e plasmare una cultura di franchezza e lealtà: il personale dovrebbe quindi essere incoraggiato a segnalare eventuali episodi relativi ad attività sospette, anziché essere giocoforza obbligato a nasconderli, per paura di subire poi qualche spiacevole provvedimento disciplinare. Se i dipendenti si sentono minacciati, o vengono in qualche sorta indotti in ambito aziendale a sentirsi al pari di semplici “idioti”, quasi certamente essi si dimostreranno poi, in ogni frangente, molto meno collaborativi.
Così come per qualunque altro aspetto legato alle tematiche della sicurezza, non è affatto sufficiente limitarsi a stabilire una politica aziendale e farla sottoscrivere di conseguenza ai propri collaboratori, per poi magari non far più nulla nel prosieguo. Un’efficace politica in tema di sicurezza dovrebbe invece sempre evolversi parallelamente al rapido mutare del torbido panorama delle minacce informatiche, ed essere pertanto costantemente rivista ed aggiornata. E’ inoltre essenziale ricordare che, in genere, le persone apprendono avvalendosi di metodologie molto diverse tra loro: alcuni rispondono meglio a degli input verbali, ad esempio, altri ancora a documenti scritti oppure a materiale illustrativo.
Per conferire forza ed efficacia ai messaggi sulla sicurezza che si vogliono trasmettere e far ben comprendere al personale di un’azienda, è quindi meglio utilizzare tutta una serie di strategie diversificate. Si può così far ricorso a delle presentazioni, magari collocate nell’ambito di uno specifico programma per l’inserimento di nuovo personale in azienda, oppure a campagne di affissione di poster, a questionari per la sensibilizzazione sulle tematiche della sicurezza, all’uso di vignette o fumetti, persino al cosiddetto ‘tip of the day’, il classico suggerimento del giorno, da far magari comparire sugli schermi dei computer utilizzati dal personale non appena si effettua l’accesso alla rete aziendale, e ad altro ancora.
In seno all’impresa od a qualsivoglia organizzazione è ugualmente importante non presentare mai le informazioni legate alla sicurezza online, oppure condurre la formazione del personale a tal riguardo, alla stregua di questioni meramente connesse al mondo dell’informatica. Tutto ciò dovrebbe essere piuttosto inquadrato in un più ampio contesto legato alla gestione delle risorse umane, comprendente altresì tematiche relative alla salute ed alla sicurezza sul lavoro, così come indicazioni e direttive per il personale in merito ai comportamenti più appropriati da tenere, e così via dicendo. Per risultare veramente efficace, un programma di educazione alla sicurezza deve essere favorevolmente condiviso sia dal personale che dal dipartimento stesso adibito alla formazione, così come da tutte le altre parti interessate.
Oltre i confini del luogo di lavoro
Vi è ovviamente una naturale sovrapposizione ed interazione tra ambiente di lavoro ed ambiente domestico. Le persone che utilizzano il computer come risorsa aziendale sul luogo di lavoro, fanno poi presumibilmente uso di esso anche tra le pareti di casa, magari per fare acquisti o realizzare transazioni bancarie online, oppure per accedere ai social network più in voga del momento.
L’utilizzo del computer anche per fini non necessariamente lavorativi può così essere integrato nell’ambito delle tematiche trattate in un programma di sensibilizzazione alla sicurezza online del personale aziendale: mostrare ai dipendenti come proteggere iI proprio computer di casa, assicurare il corretto funzionamento del loro router, ed altro ancora, contribuirà di certo a creare un clima di interesse e benevolo sostegno nei confronti del programma generale di formazione sulla sicurezza. Oltretutto, anche quella fetta sempre più crescente di personale che svolge le proprie mansioni lavorative da casa non esporrà più in tal modo ad inutili rischi le preziose risorse digitali aziendali.
Vi è poi, parallelamente, una miriade di persone che non utilizza affatto il computer per scopi lavorativi (o che, magari, è già andata in pensione), ma che fa ugualmente ed ampiamente uso di quest’ultimo a casa propria. Risulta pertanto assolutamente indispensabile che un’adeguata educazione alla sicurezza online travalichi i confini del luogo di lavoro e trovi altresì larga diffusione nell’ambito della vita di tutti i giorni.
Esistono già, tra l’altro, numerosi siti web che dispensano utilissimi consigli in materia di sicurezza Internet. Citiamo, tra di essi, Get Safe Online, identitytheft.org.uk e Bank Safe Online. Inoltre, le aziende produttrici di soluzioni per la sicurezza online sono in genere solite mettere a disposizione degli utenti delle vere e proprie guide per garantire la navigazione sicura in Internet, quali, ad esempio, la nostra Guide to stopping cybercrime . Esse forniscono, tutte quante, validi consigli e dispensano efficaci norme comportamentali per salvaguardare al meglio le attività online degli utenti, nell’intento di ridurre al minimo il rischio di cader vittima di criminali informatici. Tuttavia, per poter procedere alla consultazione delle stesse, è ovviamente condizione indispensabile l’essere connessi ad Internet.
Ritengo pertanto che, al fine di trasmettere i medesimi messaggi inerenti alla sicurezza online, risulti ugualmente di primaria importanza cercare di individuare e provare ad applicare anche dei metodi “offline”, quali gli spot televisivi, magari dello stesso tenore di quelli realizzati in passato per raccomandare l’utilizzo delle cinture di sicurezza nella propria auto o con l’intento di mettere in guardia contro i pericoli derivanti dalla guida in stato d’ebbrezza.
E visto il successo ed i proficui risultati ottenuti da tali campagne di prevenzione, sono dell’idea che iniziative analoghe, volte a sostenere la sicurezza online e specificamente indirizzate contro il cybercrimine, potrebbero giovare notevolmente, rivelandosi di sicura efficacia. Nel 2005, ad esempio, in Gran Bretagna, Capital One Group ha lanciato una serie di spot televisivi che vedevano per protagonista il celebre attore-imitatore Alistair McGowan. Tali spot erano stati sì ideati per promuovere i servizi di assistenza erogati dalla suddetta società finanziaria in caso di furto di identità, ma sottolineavano al contempo l’importanza di dover sminuzzare e distruggere i documenti contenenti informazioni di natura personale, prima di procedere al relativo smaltimento.
Prospettive future
Il cybercrimine si è oramai profondamente radicato: la sua nefasta azione è sia tipica manifestazione dell’era di Internet che parte, purtroppo molto attiva, del complessivo panorama criminale esistente al giorno d’oggi. Non sarebbe quindi realistico, credo, ragionare in termini del tipo ‘vincer la guerra’. Si tratta, piuttosto, di trovare il modo di mitigare i rischi esistenti.
Le legislazioni in vigore, al pari di tutte le iniziative preposte a far rispettare le leggi in materia, si prefiggono ovviamente di massimizzare i rischi a cui possono andare incontro i cybercriminali nel compiere le loro attività illegali. Per contro, lo scopo della tecnologia e della paziente opera di sensibilizzazione condotta in merito a tali tematiche è quello di ridurre al minimo i possibili rischi per la società.
Dal momento poi che molti degli attacchi portati al giorno d’oggi dai criminali informatici scelgono quale bersaglio prediletto proprio le fallibilità e le manchevolezze degli esseri umani, risulta oltremodo essenziale trovare il modo di arginare al massimo tali vulnerabilità “umane”, allo stesso modo con cui ci adoperiamo per proteggere e mettere in sicurezza i nostri dispositivi informatici.
Un adeguato processo di educazione e formazione sulla sicurezza in Internet può essere comparato alla stregua di un lavoro domestico: non può essere ovverosia visto come un compito da svolgere una tantum; al contrario, al fine di garantire risultati soddisfacenti, e di conseguenza un ambiente online sicuro e “pulito”, esso deve essere condotto su base costante e regolare.