GNOSIS 3/2011
Pericoli dal cyberspazio 'Anonymous' l'era dei conflitti digitali |
Antonio TETI |
"Noi siamo Anonymous. Siamo la legione. Uniti come uno, divisi da nulla. Non perdoniamo. Non dimentichiamo. Aspettateci!". Questo è il motto dell'organizzazione che raccoglie un imprecisato ma alquanto impressionante numero di simpatizzanti hacker-attivisti su base mondiale. Sembra addirittura che questa comunità "anonima” possa fare affidamento su intere comunità online disseminate in ogni angolo del pianeta ma, nel contempo, coordinate e dirette da personaggi avvolti nel più assoluto mistero. Gli obiettivi? Molteplici, diversi e apparentemente non collegabili tra loro, ma riconducibili a disegni e scopi precisi, finalizzati al perseguimento di obiettivi legati al profitto finanziario e alla destabilizzazione politica ed economica. Naturalmente tutte le azioni di cybercriminalità sono rivendicate e giustificate in funzione di nobili propositi finalizzati alla "disobbedienza civile verso gli abusi, la corruzione, le illegalità". Di certo ideali puri e eticamente indiscutibili che producono sulle masse mondiali pulsioni ed emozioni di grande effetto, ma che decisamente non si sposano con metodologie e tecniche che hanno ben poco a che vedere con la galanteria e la correttezza dei mitici e leggendari cavalieri-giustizieri consegnati alla memoria dell'uomo. Un crimine è pur sempre un crimine. Di sicuro il gruppo Anonymous può essere considerato come un poliedrico cyber-movimento della Rete, composto da autentici idealisti, piccole comunità dominate da sogni irrealizzabili, gruppi di hackers privi di scrupoli e assetati di denaro e/o notorietà, falsi leader del rinnovamento in cerca di potere e qualche sparuto cybermissionario che intravede nella Rete l'unico vero strumento di democrazia mondiale. Ovviamente il nome scelto per identificare il gruppo deriva dal desiderio di preservare l'anonimato più assoluto in ogni sua forma. Addirittura, in diverse manifestazioni pubbliche che si sono svolte in diversi paesi, i collaboratori di Anonymous hanno partecipato indossando delle maschere che raffigurano un personaggio reso noto dal film "V per Vendetta" realizzato nel 2005 dal regista James McTeigue che, nella trama, assume il ruolo del giustiziere e del vendicatore solitario. Goliardie a parte, a tutti i collaboratori di Anonymous viene garantita l'assoluta oscurità, elemento determinate per l'accrescimento del numero di affiliati. Va evidenziato che la maggior parte dei cooperatori di Anonymous, almeno nella fase iniziale, proveniva da vari imageboard (1) , a cui si sono aggiunti i forum, wiki (2) , irc (3) e perfino social network. Con l'ausilio di queste applicazioni di comunicazione, gli adepti di Anonymous hanno organizzato azioni, proteste e manifestazioni in tutto il mondo, affinando le tecniche di trasmissione dati e, in particolare, di coordinamento di innumerevoli gruppi disseminati in tutto il mondo. A questo punto si rende necessario, per una migliore comprensione della natura e dell'evoluzione di questo Internet phenomenon, analizzare la natura, l'evoluzione e alcune delle più significative gesta compiute da questa unione di web-attivisti-cybercriminali. La genesi e l'evoluzione I primi segnali di presenza del gruppo si rilevano sin dal 2004, attraverso episodi di attacchi di tipo DDoS (4) a sistemi informatici, mediante l'oscuramento delle pagine iniziali di alcuni siti web di piccole aziende e organizzazioni poco conosciute, e al sovraccarico di mail di server di posta elettronica di alcune strutture pubbliche. Questi primi attacchi appaiono come azioni isolate, apparentemente prive di coordinamento e non rivendicate da alcun gruppo di hackers. Ovviamente non traspare alcun legame tra i diversi episodi. La realtà è ben diversa: le azioni di attacco servono come banco di prova per testare l'efficienza e la versatilità dei sistemi e delle metodologie adottate dall'organizzazione. Nel 2006 viene attaccato il sito di Habbo, popolare social network in cui gli utenti registrati si divertono a giocare con personaggi virtuali. La motivazione della rivendicazione effettuata dagli attivisti di Anonymous è riconducibile alla lotta alle discriminazioni razziali (sembra che in alcune simulazioni di giochi vi fossero messaggi a sfondo razzistico). Nel 2007, secondo le dichiarazioni rese da Hal Turner, autore di programmi radiofonici, alcuni attivisti del gruppo si sarebbero resi protagonisti della messa in stato di offline del suo portale, evento che gli avrebbe prodotto perdite per decine di migliaia di dollari. Ancora nel 2007, gli attivisti "anonimi" vengono indicati da Global Television Network, come gli scopritori di un pedofilo canadese (Chris Forcand, residente a Toronto), che viene rapidamente arrestato e accusato di tentate molestie sessuali a carico di minorenni. Nel 2008 l'organizzazione ha finalmente raggiunto la piena maturità, efficienza organizzativa e infrastrutturale, elementi che consentono di pianificare un complesso e, nello stesso tempo, ardito attacco contro un'organizzazione nota a livello mondiale: il movimento religioso di Scientology. All'attacco, come nella migliore tradizione militare, viene dato il nome di "Progetto Chanology". Prendendo spunto da una presunta violazione di copyright perpetrata da YouTube ai danni del movimento religioso (che avrebbe come punto nevralgico la pubblicazione non autorizzata di un video che conteneva un'intervista del popolare attore statunitense Tom Cruise, noto esponente del movimento), gli attivisti di Anonymous, ritenendo l'azione di Scientology una forma di intollerabile censura, attivano una serie di attacchi di tipo DDoS contro tutti i siti del movimento religioso sparsi su tutto il pianeta. Il 21 gennaio 2008, mediante un video pubblicato su YouTube (dal titolo "Message to Scientology"), Anonymous rivendica le azioni di attacco e afferma, con un successivo comunicato stampa, che gli attacchi erano finalizzati alla difesa della libertà di parola e alla lotta contro la strumentalizzazione della religione in ogni sua forma. Da quell'istante si innescano innumerevoli forme di protesta in rete. Nei mesi successivi si moltiplicano le manifestazioni di ribellione alla chiesa di Scientology. Dalla California fino a Manchester, in Inghilterra, migliaia di persone manifestano la loro disapprovazione che arriva a diffondersi in oltre 100 città in tutto il mondo tra cui New York, Los Angeles, Washington, Boston, Dallas, Chicago, Toronto, Ottawa e, in Europa, a Londra, Parigi e Berlino. I manifestanti, per proteggersi dall'anonimato, indossano tutti la maschera del personaggio del noto film di James McTeigue, che diventa immediatamente nell'immaginario collettivo, un simbolo di lotta per la giustizia e la libertà. In tal senso sarebbe opportuno riflettere sulla gravità dell'azione persuasiva adottata sulle masse, che ha consentito di identificare una semplice maschera (dall'immagine piuttosto inquietante) come il simbolo di onestà, indipendenza e democrazia incondizionata. Altri attacchi di Anonymous, sempre di tipo DDoS, si susseguono nel corso del 2008 e coinvolgono organizzazioni e aziende operanti in settori diversi. Le motivazioni degli attacchi, indicate nei comunicati successivi, sono tutte riconducibili alla lotta alla censura e alla tutela della libertà di comunicazione in rete. Ma è nel 2009 che si verifica la prima vera operazione pianificata e coordinata, a livello mondiale, nei minimi dettagli. Questa volta il terreno prescelto è l'Iran. Come riferito in un articolo pubblicato dall'autorevole rivista di tecnologie Wired (5) , Anonymous stipula un accordo con Pirate Bay (6) per offrire ai dissidenti iraniani un sistema per organizzare e coordinare le dimostrazioni dilaganti nel paese e per consentire la trasmissione di dati e informazioni al resto del mondo. La collaborazione porta alla creazione di Anonymous Iran (http://forums.whyweprotest.net/categories/iran.305/), il cui successo consente, nel giro di pochi mesi, di portare il numero degli utenti registrati ad oltre 22.000. Il portale iraniano offre una serie di informazioni su eventi e fatti che si verificano nel paese, spesso arricchite da immagini e filmati, ma diffonde anche suggerimenti e strumenti su come mantenere l'anonimato in Internet evitando i sistemi di rilevamento di identità (in particolare tramite il tracciamento dell'indirizzo IP). È interessante l'analisi svolta mediante il portale Netcraft.com (fruibile per la ricerca dei domìni) in cui si evince che il sito è stato attivato a dicembre del 2008, è ubicato negli Stati Uniti ma è registrato a nome di due svedesi residenti nell'omonimo paese nordico. Come ben sappiamo, la maggiore peculiarità di Internet risiede nella sua straordinaria capacità di mischiare persone, strutture, organizzazioni, paesi e nazionalità, in un'autentica ed inestricabile matassa di informazioni molto spesso indecifrabili e difficilmente collegabili. Dal 2009 al 2010, le incursioni di Anonymous assumono la forma di attacchi a "macchia di leopardo", da YouTube al sito del Parlamento Australiano (Operazione Titstorm), fino all'attacco dei siti di organizzazioni che tutelano il diritto d'autore e studi legali (Operazione Payback). Alla fine del 2010, Anonymous si schiera incondizionatamente a favore di Wikileaks, pesantemente pressata a livello internazionale per la pubblicazione di numerosissimi documenti che generano imbarazzi e sconvolgimenti relazionali a numerosi governi e uomini politici a livello internazionale. Per difendere l'organizzazione di Assange, Anonymous si attiva rivolgendo attacchi di tipo DDoS contro Paypal, MasterCard, Visa e persino contro alcune banche svizzere, resesi colpevoli di aver bloccato i conti che finanziavano l'organizzazione messa in piedi da Julian Assange. L'operazione prende il nome di "Assange Revenge", e l'attacco sortisce l'effetto desiderato, mettendo fuori uso per diversi giorni i siti colpiti dagli assalti informatici. Alla fine del 2010, Anonymous è una potente organizzazione in grado di colpire ovunque e comunque. Le potenzialità raggiunte sono presto pubblicizzate. Si comincia con la disattivazione del sito del governo dello Zimbabwe, sempre per motivi riconducibili alla censura di documenti su Wikileaks. Si passa quindi ai governi di Tunisia (Operation Tunisia), che si manifesta con l'attacco a ben otto siti governativi. All'inizio del 2011 è di scena l'Operation Egypt, che prevede anche in questo caso i soliti attacchi DDoS contro una serie di siti web del governo egiziano. Va evidenziato che, la tecnica del DDoS per sua stessa natura non è facilmente contrastabile. Inoltre, in funzione dell'esperienza maturata negli anni, gli attivisti di Anonymous hanno affinato queste tecniche di attacco in maniera da renderle sostanzialmente impossibili da contrastare. Proprio per questo motivo i siti governativi egiziani sono rimasti inattivi per diverso tempo e sono stati ripristinati solo dopo l'annuncio delle dimissioni del Presidente Hosni Mubarak. Dall’evoluzione al cambiamento Febbraio 2011. Aaron Barr, amministratore delegato della HBGary Federal, società che opera nel settore della sicurezza, afferma di aver infiltrato nel gruppo Anonymous alcuni collaboratori e dichiara che nei giorni successivi avrebbe rivelato alcun nomi di appartenenti al gruppo e certi aspetti del misterioso gruppo. Nel giro di poche ore il portale web dell'azienda viene attaccato e messo rapidamente fuori uso. Ma l'aspetto maggiormente interessante riguarda le tecniche utilizzate. Oltre alla tecnica del DDoS, ne vengono utilizzate altre come l'SQL injection (7) e l'Exploit remoto (8) , metodologie che consentono agli hackers di Anonymous di accedere al sistema e di prelevare enormi quantità di dati e informazioni riservate, concludendo l'incursione con la cancellazione di oltre 70.000 e-mail. Il danno per l'azienda è incalcolabile: documenti riservati, relazioni segretate, piani di sviluppo, rapporti con altre società di sicurezza. Tutto sparito, privacy azzerata, danni incalcolabili. Il gruppo di Anonymous non è ancora soddisfatto. Ancora poche ore e viene attaccato l'account di Twitter di Aaron Barr, azione che consente ai pirati informatici di pubblicare in rete alcune informazioni personali e riservate. Persino i fax e i telefoni della HBGary Federal sono posti sotto attacco e resi inefficienti. Il 2 aprile 2011 è la volta di Sony Corporation. L'operazione, denominata opSony, è condotta addirittura da un team di hacker identificato con il nome di Sonyrecon (Sony Reconnaissance), e ha lo scopo di raccogliere informazioni ad ampio spettro sui dipendenti dell'azienda (nominativi dei dipendenti, informazioni familiari, indirizzi, professioni, ecc.). Il 22 aprile viene attaccata Playstation Network, la piattaforma di Sony per giocare online su PS3 (Play Station 3). L'azienda nipponica ammette che sono state compiute "intrusioni illegali e non autorizzate" che hanno portato alla sottrazione di dati sensibili: nome, indirizzo, città, Stato, codice postale, paese, email, data di nascita, password e login di PSN/Qriocity e PSN online ID di oltre 70 milioni di utenti registrati sulla piattaforma Playstation Network. Sony punta il dito su Anonymous, ma giungono rapidamente le smentite del gruppo. Sony asserisce di essere stata vittima di un "attacco criminale attentamente pianificato e altamente sofisticato" e di aver trovato su di un sistema informatico della Sony Online Entertainment un file chiamato "Anonymous" contenente le seguenti parole: We are Legion. La prova sembra inconfutabile, anche perché il gruppo aveva precedentemente minacciato l'azienda giapponese di attacchi ai propri siti Web e servizi offerti alla propria clientela. Poi c'era stato un ripensamento degli hackers "anonimi", motivato dal fatto che non era nelle loro intenzioni danneggiare i clienti di Sony, che avrebbero assunto il ruolo di vittime inconsapevoli in una guerra condotta da altri. Sorge qualche dubbio. Pochi giorni dopo il blocco dei server di rete, un annuncio di Sony getta nello stupore più assoluto l'intera comunità mondiale dell'informazione: l'azienda dichiara pubblicamente che non c'è l'evidenza che dietro gli attacchi informatici subìti vi sia la regia di Anonymous. Nel frattempo si fa vivo anche il portavoce di Anonymus, Barret Brown, giornalista freelance, scrittore e collaboratore di diverse riviste, nato in Texas e residente a Brooklin. Alcuni lo definiscono come il "Julian Assange di Anonymous" e di certo con lui condivide molteplici aspetti, come la multiforme personalità, che lo porta a scrivere per Vanity Fair e per l'Huffington Post e, allo stesso tempo, a creare un wiki (9) per diffondere notizie sulle tecniche di "guerra psicologica" utilizzate da diversi governi per monitorare i cittadini e per fare propaganda di massa. Per realizzare questo progetto, sembra addirittura che abbia già raccolto un numero imprecisato di simpatizzanti specializzati in cyberwar, ricercatori universitari che lavorano nel settore dell'Internet Strategy e, perfino, un ex direttore delle operazioni della CIA. Tuttavia, alcune voci diffuse in Internet parlano già dell'espulsione di Brown da Anonymous, proprio in funzione di questo progetto che sta portando avanti. Tornando al caso della Sony, Barrett Brown asserisce che Anonymous è completamente estranea agli attacchi condotti contro il colosso nipponico. Anzi egli punta il dito contro criminali informatici professionisti dell'Europa dell'Est, che avrebbero approfittato della disputa tra Sony e Anonymous per indirizzare le indagini verso altri responsabili. Addirittura parla di commistioni con appartenenti a non meglio precisati servizi segreti e governi di paesi stranieri. Indubbiamente qualcosa è cambiato. Come una pianta che si trasforma durante la sua naturale crescita, anche Anonymous ha subìto una trasformazione durante la sua evoluzione. Mutazione riconducibile alla consapevolezza della sua potenza o identificazioni di nuovi e più appetibili bersagli? A febbraio 2001 tocca anche all'Italia. Hackers di Anonymous violano i siti della Camera, del Senato e di Mediaset (governo.it, senato.it, parlamento.it e il sito web di Mediaset) e li rendono inaccessibili per alcune ore, giustificando l'attacco con la banale motivazione della discutibilità dei comportamenti che assumono alcuni politici in Parlamento. Il nome in codice dell'azione è ovviamente "Operation Italy". Dopo l'attacco ai siti governativi è la volta delle grandi aziende. Questa volta tocca ai server di Finmeccanica, che vengono attaccati il 3 marzo alle 21,15. Questa volta la motivazione è riconducibile all'accusa che viene mossa all'azienda di essere un'azienda fornitrice di attrezzature e tecnologie del governo libico. Tra i diversi comunicati rilasciati in rete dopo pochi giorni dell'Operation Italy, uno in particolare merita di essere citato: Anonymous annuncia che nei prossimi giorni sferrerà attacchi contro le infrastrutture energetiche mondiali. Il 25 marzo viene attaccata l'Enel, con la motivazione della partecipazione dell'azienda ad alcuni progetti internazionali. Poi è la volta dell'Autorità Garante per le Comunicazioni (AGCOM), che viene attaccata il 28 giugno con generiche e fantasiose motivazioni legate alla lotta per la libertà di Internet. Il 10 agosto Anonymous annuncia che colpirà il re dei social network: Facebook. Dopo qualche perplessità iniziale, e qualche annuncio di falsa dichiarazione, un comunicato del gruppo chiarisce che l'attacco ci sarà e verrà effettuato ad una data ben precisa: il prossimo 5 novembre. La sera del 21 giugno è la volta dei siti pdl.it, governoberlusconi.it, forzasilvio.it e silvioberlusconifansclub.org. Nel manifesto di rivendicazione pubblicato dagli appartenenti al gruppo italiano di Anonymous (Foto 1), vengono elencate una serie di motivazioni bizzarre tendenti a giustificare l'assalto ai siti del premier italiano, ma c'è una parte che merita qualche approfondimento: "Siamo tornati perché crediamo che ci sia un limite alle ipocrisie di questo paese, alle azioni politiche, economiche e sociali CONTRO l'interesse comune". Verrebbe da chiedersi quali siano le "azioni politiche, economiche e sociali" a cui si fa riferimento, e quali di esse siano rivolte "contro l'interesse comune". Foto 1 - Il manifesto di rivendicazione dell'attacco ai siti del Presidente del Consiglio (Fonte http://3.bp.blogspot.com/)
Al di là della genericità del comunicato, appare evidente il costante tentativo del gruppo di dimostrare che le azioni di pirateria informatica non sono altro che azioni rivolte a garantire la difesa della libertà di informazione e a denunciare i comportamenti discutibili di organizzazioni e aziende. È invece indubbio che Anonymous non è come vorrebbe apparire, e cioè un'organizzazione anarchica che si muove senza un coordinamento centrale o senza una comunione di intenti almeno per quanto concerne gli obiettivi. Al contrario è plausibile che al vertice di Anonymous vi sia una regìa occulta in grado di definire i bersagli, le metodologie, le tecniche, i gruppi da coinvolgere e, persino, le giustificazioni da addurre per gli atti di cyberterrorismo compiuti. Insomma appare sufficientemente chiara l'esistenza di una infrastruttura gerarchica in grado di coordinare una molteplicità di azioni nel cyberspazio, ma anche di identificare le politiche, le strategie e le tattiche da adottare in funzione di scenari diversi e mutevoli. Il 5 luglio, la Polizia italiana, dopo approfondite indagini condotte dal Centro Nazionale Anticrimine Informatico per Protezione delle Infrastrutture Critiche (CNAIPIC), effettua 36 perquisizioni in tutto il territorio nazionale. L'operazione prende il nome di "Secure Italy" e si sviluppa sia in Italia che in Svizzera, grazie anche alla collaborazione della Polizia Cantonale Ticinese. È il primo colpo messo a segno dalle forze di polizia di un paese verso la misteriosa organizzazione di cyberterrorismo. Vengono denunciate oltre quindici persone (tra cui diversi minorenni) e viene sequestrato materiale informatico di vario genere. Le accuse vanno dall'accesso abusivo di sistemi informatici, al danneggiamento dei predetti sistemi e all'interruzione di pubblico servizio. Viene identificato il presunto capo del gruppo italiano di Anonymous, tale Luca Franceschini (nome in codice "Phre") un italiano residente nel Canton Ticino che sembra avesse il compito di coordinare gli attacchi effettuati sul territorio italiano. Un particolare interessante che viene rivelato è quello della metodologia seguita per la scelta dei target. Sembra, infatti, che gli obiettivi vengano indicati in funzione di una votazione condotta, però, ad un livello più alto dei responsabili locali. Ma la risposta alla straordinaria azione di contrasto condotta dalla Polizia italiana non si fa attendere. A fine luglio 2011 viene attaccato lo stesso CNAIPIC. Alcuni hackers riconducibili ad Anonymous, dichiarano di essere entrati in possesso di una mole rilevante di informazioni riservate. La notizia viene pubblicata sul sito pastebin (http://pastebin.com/r21cExeP), e sul blog di Anonymous Italy (http://anonops-ita.blogspot.com/). Anche in questo caso si verifica una sottrazione di informazioni e documenti che evidenziano il cambiamento di tipologia di azione condotta dai seguaci di Anonymous. Il blocco del server web e il collasso dei servizi non soddisfano più gli appetiti del gruppo. Occorre altro, informazioni riservate, dati sensibili, codici e procedure, insomma tutto ciò che necessita per conoscere in maniera approfondita strutture, organizzazioni, nominativi, relazioni con enti governativi civili e militari, informazioni su personaggi noti e di potere. Il bottino del CNAIPIC, tuttavia, non sembra molto consistente (circa 8 GB di dati), anche se si parla della presenza di documenti "riservati". Alcuni giorni dopo un comunicato getta nello sconcerto i media: Anonymous e LulzSec (10) smentiscono qualsiasi coinvolgimento con l'attacco in questione. Anzi, puntano il dito su Crew NKWT LOAD, un gruppo di hackers estraneo ad Anonymous. A questo punto, nel tentativo di identificare una chiave di lettura sulla vicenda, è opportuno ripercorrere alcuni passi fondamentali. Il 25 luglio sulla pagina Twitter di LulzSec appariva un messaggio che lasciava intuire che si stesse preparando qualcosa di grosso: "Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche abbiamo i vostri dati. Tremate"; e poi: "-3 minuti al comunicato in Italiano" (http://is.gd/yg7tWM). Dopo tre minuti esatti appare il seguente tweet: "CNAIPIC e adesso? Il nostro comunicato imparatelo a memoria :-) (http://is.gd/4aiNNN). Nel tweet è inserito anche il link a pastebin.com (http://pastebin.com/UZZpDGWE) dove troneggiava il seguente messaggio: "Giorno a voi Questa è una prerelease, parte di una serie di dump che rilasceremo per rivelare alcuni fra i più importanti rapporti e segreti nelle Agenzie di law Enforcement Informatiche, e le loro pratiche illegali e amorali. Queste release saranno pubblicate e tweettate da tutta la community LulzSec & Anonymous nella campagna AntiSec". Il documento, senza dubbio di particolare interesse, si conclude con le seguenti parole: "UN ENORME GRAZIE alla crew NKWT LOAD". È una frase determinante ma, allo stesso tempo, degna di una serie di valutazioni e riflessioni. Conseguentemente alla diffusione del comunicato, l'account di LulzSec Italy su Twitter ha iniziato a trasmettere link dove scaricare il materiale (http://is.gd/wrXh7i) e a fornire indicazioni sulla diffusione a livello internazionale dell'intera vicenda. Senza dubbio si tratta di un attacco informatico che fa notizia, tanto più se consideriamo che il CNAIPIC si occupa del contrasto al cybercrime, al cyberterrorismo e allo spionaggio industriale. Poi accade qualcosa di strano: sul blog degli Anonymous viene pubblicato un comunicato che, con un'immagine particolarmente esplicativa (http://i.imgur.com/5p6TR.jpg), comunica a tutti che Anonymous e LulzSec non hanno alcuna responsabilità nell'attacco condotto contro il CNAIPIC (Foto 2). Il comunicato, come già evidenziato, è quantomeno sconcertante e scatena dubbi, perplessità e persino rabbia nell'intera comunità della rete. Perché rivendicare un attacco inneggiando alla libertà e alla democrazia del popolo sovrano per poi smentire il tutto solo dopo pochi giorni? Chi c'è dietro Anonymous? Il gruppo LulzSec è collegato ad altri gruppi di cyberterroristi e da chi prende ordini? Chi è Crea NKWT LOAD? Se è vero che Anonymous e LulzSec non hanno responsabilità nell'attacco al CNAIPIC, allora chi ha condotto l'operazione? Se è vero che circa 8 GigaByte di dati e documenti sono finiti nelle mani di chissà chi, perché non sono stati ancora pubblicati? Foto 2 - Immagine della smentita di Anonymous sull'attacco al CNAIPIC Fonte: http://www.news2u.it/wp-content/uploads/2011/07/anonymous-polizia.jpg)
Una cosa è certa: l'attacco è stato condotto da hackers di nazionalità diverse. Ed è, altresì, evidente che lo scopo principale dell'operazione non fosse una semplice ritorsione riconducibile alle perquisizioni condotte alcune settimane prima dalla Polizia italiana. Traspare in tutta la sua chiarezza il desiderio di dimostrare quale sia il livello delle capacità e delle potenzialità acquisite dagli hackers a livello mondiale, attraverso azioni progettate e coordinate con la precisione di chi sa di poter contare su di una infrastruttura capillare e funzionale, gerarchicamente diretta da una struttura di tipo verticistico. Ma c'è qualcosa di più. È mutato lo scopo o, forse, è solo venuto alla luce quello vero. Innanzitutto sono cambiate le tecniche. Inizialmente gli attacchi prevedevano unicamente il blocco delle funzionalità dei sistemi informatici (DDoS) dei bersagli prescelti, attualmente i gruppi di hackers utilizzano principalmente metodologie e applicazioni in grado di penetrare i server di infrastrutture critiche, con il preciso scopo di prelevare il maggior numero di dati e informazioni custodite al loro interno. In secondo luogo, sono cambiati i bersagli. L'attenzione è concentrata sulle grandi aziende, su strutture governative e istituzionali. Ai primi di agosto viene attaccato il sito web di Vitrociset, gruppo italiano che opera nel settore dei sistemi elettronici e informatici nel campo civile e militare, soprattutto per quanto concerne i sistemi per il controllo del traffico aereo, tecnologie satellitari e telecomunicazioni, trasporti, infomobilità. Anche questo è un attacco diverso. Gli hackers sono riusciti a penetrare all'interno del server dell'azienda e a mettere in atto un’azione di defacing (11) , inserendo nel sistema un messaggio di rivendicazione dal contenuto alquanto enigmatico: "Siamo oltremodo felici che le 72 ore di downtime che avete avuto per fare un audit approfondito dei vostri sistemi siano state così ben spese, e notiamo compiaciuti che la vostra efficienza nel garantire elevati standard di sicurezza non è stata minimamente incrinata dalla nostra vile azione" e poi ancora "Mossi da compassione abbiamo deciso di darvi un altro piccolo tip (suggerimento, NdR) e lo facciamo con una nuova incursione per rendervi noto un fatto sconvolgente: Ci sono ancora falle nei vostri sistemi!". Indicativa la parte finale, che recita "Non è più possibile ignorare il modo in cui i soldi dei cittadini vi vengono elargiti quotidianamente, grazie ad appalti e concorsi quantomeno di dubbia regolarità, da svariati enti pubblici e governativi, molti dei quali operanti nel settore difesa/sicurezza". Pur esibendo l'attacco come un'azione rivolta ad una ipotetica discutibile gestione di non meglio precisati appalti e concorsi, gli hackers non si sono fatti scrupolo di razziare, anche in questo caso, dati e informazioni contenuti all'interno del sistema violato. La dimostrazione del possesso di documenti sembra sia stata confermata dalla pubblicazione di alcuni nomi e cognomi, email, e password di utenti che avevano accesso al sistema. Anche in questo caso sorgono molti dubbi sull'importanza delle informazioni effettivamente trafugate. In tal senso è possibile riscontrare un'analogia con la violazione dei sistemi della multinazionale statunitense ManTech International Corporation. Leader nel settore della sicurezza e della difesa, ha sedi in tutti gli stati USA e opera in oltre 40 paesi al mondo con un personale che supera le 10.000 unità. Tra i suoi clienti, il Dipartimento della Difesa statunitense, il Dipartimento di Giustizia, il Federal Bureau of Investigation, la NASA, ed altre agenzie governative. I dipendenti della MenTech sono altamente specializzati, e operano in settori diversi su tutto il territorio nazionale e internazionale. Inoltre, come viene riportato nel sito dell'azienda, provengono da ambienti militari in cui sono richieste garanzie di altissimo livello: "… Metà dei nostri collaboratori possiedono un background militare, e più del 70 per cento detengono un government security clearance". L'attacco alla multinazionale si consuma la notte del 29 luglio. Il bottino sembra veramente ragguardevole: almeno 500 Megabyte di dati "classificati" ma sembrerebbe che il quantitativo sia di gran lunga superiore. Alcune ore dopo il saccheggio, viene pubblicato in rete un documento (un file formato .pdf di un curriculum di un individuo di nome Robert Kristopher Beamen, con trascorsi di tipo militare), ma la sua divulgazione non genera particolari ansietà all'azienda che minimizza sul valore delle informazioni trafugate. Trascorrono ancora poche ore e un secondo documento viene diffuso in Internet. Questa volta il documento allerta i vertici della ManTech: è un statement of work datato 18 febbraio 2010, ed è indirizzato alla NATO Communication & Information Systems Services Agency e contiene delle direttive per il personale impegnato nel "NATO Theater of Operations." Da notare che il documento non contiene le classifiche "Restricted", "Confidential" o "Classified", ma quasi per ironia della sorte, a fondo pagina compare la dicitura "Leading the Convergence of National Security and Technology". Comunque sia, il documento ha una certa rilevanza e conferma che il furto condotto ai danni della ManTech ha prodotto la fuoriuscita di documenti importanti. Come per incanto, su Twitter si attiva una corrente di proteste che denunciano lo "spreco" di denaro pubblico per finanziare aziende che dovrebbero garantire la sicurezza delle informazioni a livello nazionale e che, invece, non riescono a garantire neanche l'inviolabilità dei propri sistemi informativi. In un articolo di Security Week (http://www.securityweek.com/anonymous-claims-it-hacked-mantech-fbi-cybersecurity-contractor) si sottolinea che il solo contratto stipulato dall'FBI con la ManTech, garantisce a quest'ultima un importo pari a 99,5 milioni di dollari per assicurare servizi di sicurezza al Federal Bureau of Investigation. Alcuni giorni dopo è la volta di Booz Allen Hamilton, azienda anch'essa fornitrice di servizi per la sicurezza e la difesa per il governo USA. L'attacco degli hackers di Anonymous frutta qualcosa come circa 90.000 indirizzi di posta elettronica militari, oltre alle relative password che erano cifrate con algoritmi in Base64 (12) . Chi si cela dietro Anonymous? A fine luglio viene tratto in arresto dalla polizia britannica "Topiary", indicato come la voce LulzSec e attivista (o hacktivista, come viene definito un membro di Anonymous). Il suo nome è Jake Davis (Foto 3), ha appena diciotto anni e un viso da ragazzino acqua e sapone, che maschera in parte con appariscenti occhiali da sole scuri. Le accuse sono pesanti e includono, tra le altre, la violazione di diversi siti istituzionali, come il National Health Service britannico (sistema sanitario nazionale) e il Serious Organized Crime Agency (SOCA, la cyberpolizia del Regno Unito). Tuttavia, dopo pochi giorni viene rilasciato su cauzione, anche perché il giudice, probabilmente impietosito dall'aspetto del giovane, ha ritenuto che un provvedimento così duro gli avrebbe provocato uno shock. Vincolato a casa dalle 22 alle 7 del mattino e sorvegliato da un dispositivo di monitoraggio indossabile (braccialetto) per verificare che osservi i limiti imposti dal giudice, non potrà più accedere ad Internet, almeno fino alla fine del processo. Foto 3 - Nella foto Jake Davis, un presunto collaboratore di Anonymous Fonte: http://jaynewberg.files.wordpress.com/ Sembra che vi siano prove evidenti del coinvolgimento del ragazzo in alcuni degli attacchi condotti dal gruppo di Anonymous su alcuni siti di aziende europee. È singolare il fatto che il giovane inglese sembra non abbia avuto reazioni di paura, timore o pentimento dalla fase di arresto e nei giorni successivi, e ciò potrebbe indurre il lettore ad una immediata riflessione: è possibile che dietro questa organizzazione internazionale, in grado di creare seri imbarazzi alle più blasonate aziende specializzate nel settore della sicurezza informatica, e di bloccare i siti protetti e monitorati 24 ore al giorno di strutture ed enti governativi, vi siano dei semplici giovanissimi irresponsabili appassionati di informatica, di cui molti addirittura minorenni? Qual è il filo conduttore in grado di garantire una forma di proselitismo (che sfiora quasi il fanatismo religioso) capace di condurre giovani di belle speranze a condurre crimini di tale gravità? Quale è stata la motivazione che ha spinto un gruppo di sostenitori della "libertà in rete" e della "democrazia del web" a concentrare gli sforzi verso obiettivi rappresentati da strutture governative, del settore della difesa e delle forze dell'ordine? E se il disegno reale fosse diverso da quello propugnato da Anonymous a puro sfondo idealistico e libertario? Proviamo a formalizzare una teoria. Se analizziamo attentamente gli eventi verificatisi in successione in questi ultimi mesi su scala mondiale, possiamo riuscire ad ipotizzare la presenza di un piano che sicuramente non ha nulla a che vedere con nobili ideali o pregevoli proponimenti. Supponiamo che questo piano si basi sulla realizzazione di una serie di fasi evolutive o step. Prima fase: attraverso un linguaggio familiare e strutturato in funzione dei destinatari a cui è diretto (hackers e simpatizzanti), si conduce un'azione rivolta al proselitismo finalizzato alla creazione di gruppi autonomi (cellule), ma in grado di partecipare ad azioni coordinate e condotte anche su scala internazionale. Il linguaggio e la "mission" differiscono in funzione del gruppo o degli individui da cooptare. Può essere di tipo idealistico, se i personaggi da arruolare perseguono progetti dalle finalità benefiche, oppure può essere di tipo commerciale, se gli individui da reclutare sono al soldo del miglior offerente. Seconda fase: identificazione degli obiettivi iniziali. I primi sono puramente ideologici, scelti in funzione di battaglie legate ad aspetti dottrinali o politici e perfino etnici o razziali. In questa fase i simpatizzanti "puri" intravedono la possibilità di perseguire sogni e idee che sembrano non avere altri spazi o possibilità nella vita reale. In questa fase si consuma il processo di fidelizzazione degli adepti idealisti dell'organizzazione. Terza fase: identificazione degli obiettivi di valore. È la fase in cui vengono selezionati i bersagli di interesse assoluto. L'interesse è dato da una molteplicità di fattori: importanza della struttura, posizionamento strategico, rilevanza economica, politica, istituzionale, collocazione geografica, nazionalità, interazioni e collegamenti con altre organizzazioni e aziende su base mondiale. Selezionati i bersagli è possibile procedere alla fase operativa, che può prevedere azioni diverse con relative conseguenze dissimili: blocco dei sistemi informatici (danno all'immagine dell'azienda, perdita di credibilità, possibili danni economici sia in termini di costi infrastrutturali subìti che di perdita di fatturato); violazione del sistema, penetrazione e furto di dati (oltre ai precedenti elencati, si aggiungono: violazione della privacy, trafugamento e commercializzazione di dati e informazioni sensibili, ricatto per la diffusione delle informazioni rubate, spionaggio industriale); attacco finalizzato alla pubblicizzazione dell'inefficienza dell'infrastruttura di sicurezza dell'azienda (rimozione di responsabili e amministratori di sistema, rimozione dei fornitori di sistemi di sicurezza, rimodulazione dei costi destinati alla sicurezza dei sistemi informatici, sfiducia e crollo dei rapporti interpersonali all'interno dell'organizzazione, innalzamento del livello di insicurezza interno ed esterno). Le azioni elencate servono a fornire una chiave di lettura al lettore per comprendere meglio quali possano essere le reali motivazioni che spingono un individuo o un gruppo di essi a compiere un crimine informatico. Bisogna aggiungere che le motivazioni possono spingersi a livello di complessità maggiore, che può includere stravolgimenti politici ed economici di enorme rilevanza. Prendiamo ad esempio il caso della ManTech. Subito dopo la violazione dei sistemi dell'azienda si è scatenato un polverone sui contratti stipulati con le diverse strutture del governo USA e sulla mole di denaro erogato all'azienda per mettere in sicurezza i sistemi delle istituzioni e di quelli della difesa. Probabilmente ci saranno interpellanze parlamentari e richieste di chiarimenti sui contratti redatti e su quelli in fase di definizione tra la ManTech e le diverse strutture a cui fornisce servizi e tecnologie. Forse si potrebbe arrivare perfino ad un azzeramento dei contratti, che potrebbe mettere in serie difficoltà la multinazionale statunitense. È importante chiarire un concetto: nel settore dell'Information and Communication Technology non è possibile garantire in alcun modo l'inviolabilità dei sistemi informatici. Per quanto si possano implementare sistemi e metodologie all'avanguardia, il rischio di essere sottoposti ad attacchi informatici sussiste e continuerà a turbare il sonno di tutti i security manager per il resto dei loro anni. Tuttavia lo spettro della perdita o dell'alterazione delle informazioni sensibili, aleggia non solo nelle aziende, nelle organizzazioni pubbliche e nelle istituzioni civili e militari, ma anche nel quotidiano del singolo individuo che, in misura sempre maggiore, memorizza i suoi dati personali all'interno di avanzatissimi strumenti tecnologici. Franklin Delano Roosevelt asserì che "L'unica cosa di cui aver paura è la paura". Certamente sulla paura si alimentano timori, credenze, convinzioni, certezze e falsità che possono costituire un validissimo alleato per danneggiare o demolire individui o, perfino, strutture apparentemente intoccabili o inattaccabili. Un esempio in tal senso, può essere costituito dalla successione di attacchi che hanno interessato diverse strutture governative e aziende italiane. Perché non ritenere che proprio dietro questi crimini informatici non vi sia un disegno di più ampio respiro che mira a demolire l'immagine dell'Italia a livello internazionale? Anche il momento che sta attraversando il nostro Paese sarebbe il più propizio per la realizzazione di un simile progetto… Di certo appare piuttosto insolito che di queste organizzazioni di cybercriminali, come nel caso di Anonymous, si sappia poco o nulla (come nel caso di Crew NKWT LOAD) e che le polizie di mezzo mondo incontrino notevoli difficoltà nell'identificazione dei suoi adepti. E anche quando riescono a risalire ad alcuni componenti dell'organizzazione, l'identificazione porta alla cattura di alcuni ragazzini dall'aria incredula e quasi divertita. Risulta quindi evidente la presenza di "livelli" e "gerarchie" strutturate e organizzate in funzione di un piano di azioni progettato da elementi posti ai vertici dell'organizzazione. Una struttura che assume decisioni, in funzione dell'adozione di un modello piramidale, può consentire il funzionamento anche di una struttura che opera a livello capillare ma su scala mondiale, a condizione che sia garantito un funzionamento di tipo "cellulare". Molto spesso queste organizzazioni si basano sulla presenza di cellule isolate che stabiliscono contatti con elementi conosciuti solo dal capo della stessa cellula. È un sistema a "compartimenti stagni" molto conosciuto e utilizzato nel terrorismo internazionale, che garantisce in maniera quasi assoluta l'anonimato nell'intera organizzazione. Inoltre il funzionamento a "cellule" consente ai vertici dell'organizzazione di non dare troppe spiegazioni o chiarimenti sulle decisioni assunte e sugli obiettivi prescelti. Insomma una struttura perfettamente costruita e oliata per operare in Internet, costituita da un esercito di hackers addestrati ma anche di inconsapevoli collaboratori, con l'obiettivo di esercitare un nuovo tipo di terrore: quello derivante dall'anonimato del cyberspazio. Potrebbe sembrare tecnofantapolitica ma, purtroppo, non siamo in un romanzo di Isaac Asimov e, come ben sappiamo, le reti digitali, Internet e i sistemi informatici hanno assunto un ruolo predominante nella vita di ogni singolo individuo. Le fonti energetiche, le comunicazioni, gli approvvigionamenti alimentari, le produzioni industriali, i sistemi di difesa, sono gestiti da computer collegati in rete e tutto ciò non può che provocare orgoglio e, allo stesso tempo, sgomento nella mente dell'uomo. Cosa accadrebbe se i sistemi di computer cessassero di funzionare? Quante volte abbiamo sentito questa domanda in documentari, convegni, seminari, films e dibattiti televisivi? È difficile trovare una risposta per un quesito del genere, ma è più semplice comprendere come l'uomo sia riuscito a capire in pieno l'importanza del controllo e dell'utilizzo di queste tecnologie. E forse il punto fondamentale è proprio questo: com'è possibile controllare l'informazione e ciò che la mente dell'uomo riesce a produrre nel cyberspazio? È indicativo l'ultimo post pubblicato da Jake Davis su Twitter prima del suo arresto: "Non potete arrestare un'idea". Forse questa frase è quella che meglio di altre sintetizza in maniera inequivocabile i rischi derivanti dall'utilizzo della rete… Per approfondimenti l’autore suggerisce la consultazione di... http://en.wikipedia.org/wiki/Anonymous_(group) http://anonops.blogspot.com/ http://anonnews.org/ http://forums.whyweprotest.net/threads/anonymous-in-italia.41479/ http://www.whyweprotest.net/ http://www.businessinsider.com/anonymous-facebook-2011-8 http://ohinternet.com/Anonymous http://twitter.com/#!/anonymousirc http://www.giornalettismo.com/archives/117674/operation-italy-iii-anonymous-attacca-agcom-it/ http://www.guardian.co.uk/technology/anonymous http://news.cnet.com/8301-17852_3-20090328-71/anonymous-facebooks-going-down-november-5/ http://latimesblogs.latimes.com/technology/2011/08/facebook-hacking-threat-is-from-rogue-anonymous-members.html http//www.downloadblog.it/post/14536/anonymous-italia-denunce-e-perqui:sizioni-36-persone-coinvolte http://partyvan.info/index.php/Anonymous http://www.informationweek.com/news/security/attacks/231300411 http://www.eweek.com/c/a/Security/Anonymous-LulzSec-Dump-Data-from-70-Sheriffs-Offices-547474/ http://www.wired.com/gamelife/2011/05/sony-playstation-network-anonymous |
(1) Imageboard. Identificata anche con il termine "channel IT", un imageboard è un sito Internet che si basa sulla pubblicazione di immagini da parte dei propri utenti. Lo scopo è sostanzialmente quello di consentire ai propri utenti l'inserimento di immagini sulle quali discutere.
(2) Wiki. Solitamente il termine viene utilizzato per indicare un portale web o una serie di pagine ipertestuali aggiornato da una o più persone. Generalmente si tratta di siti web collaborativi. Per questo motivo il termine viene utilizzato anche per indicare software collaborativi utili alla creazione e la gestione di portali web. (3) IRC (Internet Relay Chat). Tra le prime forme di comunicazione istantanea in rete, permette ai suoi utilizzatori di comunicare online e contemporaneamente anche con interi gruppi di persone. (4) Distributed Denial of Services (DDoS). Traducibile come "negazione dei servizi distribuiti", è una tecnica di attacco informatico che consente di collassare un computer che fornisce un servizio solitamente fruibile in rete (es. sito web o server di posta elettronica). La metodologia di attacco mira a portare al limite le prestazioni del sistema informatico, fino a renderlo incapace di erogare il servizio offerto. (5) http://www.wired.com/dangerroom/2009/06/iran-activists-get-assist-from-anonymous-pirate-bay/ (6) The Pirate Bay (Baia dei Pirati). Pubblicizzato anche con l'abbreviazione di TPB, è un portale svedese dedicato alla indicizzazione e diffusione di file.torrent (è una estensione di file riconducibile al protocollo peer-to-peer BitTorrent), che consente la distribuzione e la condivisione di file su Internet. Il 12 febbraio 2010 il sito è stato bloccato dalla Polizia di Stato, rendendo inaccessibile dall'Italia l'utilizzo attraverso il dominio standard. È consultabile attraverso il dominio http://piratebayitalia.com/ (7) SQL Injection. È una tecnica che mira a colpire le applicazioni web che utilizzano database (base di dati) di tipo SQL. Essendo il tipo di database maggiormente utilizzato a livello mondiale, risulta particolarmente pericoloso. L'SQL Injection consente al suo creatore di inserirsi in aree protette del sito anche senza essere in possesso delle credenziali d'accesso e permette, altresì, di manomettere o cancellare definitivamente tutti i dati sensibili in esso contenuti. (8) Exploit remoto. Un exploit remoto identifica un programma in grado di sfruttare un bug di sistema (un "buco" o imperfezione del sistema informatico) o una vulnerabilità, che consente l'acquisizione dei diritti di accesso al medesimo. Con questi privilegi è possibile danneggiare o manomettere un sistema informatico. (9) Vedasi nota 2. (10) LulzSec. LulzSec Sicurezza è un gruppo di hackers a cui sono stati attribuiti numerosi casi di violazioni e crimini informatici. Descritto come "gruppo di cyberterroristi" dal Dipartimento di Pubblica Sicurezza dell'Arizona, è stato indicato come il principale responsabile di alcuni attacchi al sito della CIA (Central Intelligence Agency) e della Sony Pictures, nel 2010. (11) Defacing. Tradotto dall'inglese come "sfregiare" o "deturpare", il defacing consiste nella sostituzione della home page di un sito web (cambiare la faccia) con una pagina diversa che può contenere messaggi o frasi particolari. (12) Base64. È un sistema di numerazione posizionale che utilizza 64 simboli. Viene utilizzato come sistema di codifica di dati binari nelle e-mail per convertire i dati nel formato ASCII. |