Sul web bastano pochi euro per il kit dell'hacker fai-da-te

Intervistato ieri dal Giornale, l'ex colonnello della Guardia di finanza, Umberto Rapetto (uno dei massimi esperti in tema di sicurezza informatica), ha lanciato un allarme ripreso dai maggiori siti internazionali che si occupano di underground hacking.

La denuncia dell'uomo che per 30 anni ha guidato il GAT (Gruppo Anticrimine Tecnologico) delle Fiamme gialle è circostanziata: «Per violare i nostri computer non c'è bisogno di veri hacker, ma possono avere la meglio anche personaggi di minor calibro che si attrezzano facilmente con software di facile e economico reperimento online».

E poi: «I computer sono facile bersaglio e, spesso sprovvisti anche di banali antivirus, aprono la strada ai malintenzionati. I malware più sofisticati non lasciano traccia, rubano dati, trasformano la webcam del pc in microspie. Difficile difendersi, specie se non si ha coscienza del rischio». Parole inquietanti che abbiamo deciso di verificare sul campo minato del web, scoprendo che in rete le offerte di «kit per hacker fai-da-te» abbondano e sono alla portata di ogni tasca. Si possono spendere dalle poche decine di euro alle migliaia di dollari, dipende da chi e cosa si vuole spiare o infettare: due verbi - questi ultimi - intimamente legati tra loro. Eppure, incredibilmente, per violare la privacy altrui non servono apparecchiature sofisticate, ma basta un semplice notebook e un'ancora più semplice connessione internet. Poi, in base alla tipologia dei dati (password, codici, mail ecc.) che si intende violare si procede a fare shopping in rete acquistando gli accessori più idonei. A quel punto «aggredire» una stazione informatica diventa, quasi, un gioco da ragazzi. Le uniche condizioni per riuscire nell'impresa sono due: masticare la materia (e non è certo il nostro caso, per questo ci siamo affiancati a un esperto in craccaggio di software) e avere qualche ora a disposizione.

Davanti a noi un kit composto da tre parti: un pannello di controllo (attraverso cui monitorare le informazioni sottratte); un builder (un file che consente di «armare» lo strumento per l'attacco-web) e alcuni file top secret di supporto.

Abbiamo così replicato l'esperimento compito sette anni fa dalla redazione informatica del Sole 24 Ore. Da allora le cose non sono cambiate granché: in rete si trovano sia kit gratuiti (ma di scarsa efficacia), sia kit a pagamento (ma dall'«attacco garantito»), il cui solo acquisto però già configura profili di illegalità. Per chi punta a diventare uno spione provetto è disponibile un «software maligno» (spyware) che una volta installato sul computer è in grado di raccogliere informazioni. Alla stessa famiglia, ma con un costo che può superare i 2 mila euro appartengono i malware (abbreviazione per malicious software) che «crea danni e disturbi al fine di accedere agli altrui sistemi informatici». Stesso costo per i software che garantiscono operazioni di trojan, cioè di un dispositivo che dà al pirata informatico la possibilità di «leggere» il computer da remoto e di memorizzare i tasti premuti sulla tastiera dall'utente spiato. Decisamente a buon mercato (poche decine di euro) sono invece i servizi di phishing, vale a dire quella tecnica illegale che ha nell'invio di false mail il suo punto di forza: l'utente hackerato crede di avere sullo schermo un sito che lui frequenta abitualmente e «risponde» fornendo ai truffatori virtuali una serie di dati estremamente reali. E sempre in rete è disponibile anche un listino prezzi applicato dagli hacker (vedi il grafico pubblicato in pagina) per effettuare vari servizi, tra cui furto dei numeri di carta di credito, contraffazione di documenti, attacchi DDoS e violazione di dati.

Joe Stewart, direttore della Malware Research for the Counter Threat Unit e David Shear, ricercatore indipendente, hanno raccolto dettagli su quanto costino il furto di credenziali e le operazioni di hacking su commissione. Clamorosa la loro conclusione: «A fronte di un investimento minimo, i professionisti della underground hacking economy possono raggiungere guadagni elevatissimi».

A spese, ovviamente, dei web-truffati che, si stima, ogni giorno superino nel mondo i 20 milioni.