ADIR - L'altro diritto

ISSN 1827-0565

Capitolo II
Gli attacchi ai sistemi informatici

Federico Tavassi La Greca, 2003

Sommario: 1. Premessa. - 2. Tipologie di attacco, virus ed altri agenti. - 2.1. IP spoofing. - 2.2. Network sniffing. - 2.3. Denial of Service (DoS). - 2.4. I virus. - 2.5. Spyware. - 2.5.1 Uno Spyware globale: Echelon. - 2.5.2 Il fratello minore di Echelon: Carnivore.

1. Premessa

L'argomento in esame non è di facile trattazione: per poter essere adeguatamente svolto occorrerebbero specifiche ed approfondite conoscenze informatiche. Cercherò, ad ogni modo, di far luce su alcuni aspetti dello stesso evitando di entrare in quei tecnicismi che, da un lato, esulano dalle finalità di questa tesi, dall'altro potrebbero determinarsi in assunti non corretti.

2. Tipologie di attacco, virus ed altri agenti

Gli elaboratori e le reti hanno sicuramente contribuito al progresso sociale, rappresentando indubbiamente gli strumenti più efficaci ed efficienti per la trattazione, la gestione e lo scambio di dati ed informazioni. Il loro ingresso nella società ha comportato cambiamenti di tale portata da dover considerare il fenomeno una vera e propria "rivoluzione". Essa ha condizionato in modo significativo l'odierna realtà economica ed amministrativa, determinato una riorganizzazione del lavoro in molti settori e rimodellato, più in generale, il nostro modus vivendi, i nostri costumi, le abitudini, le condizioni di vita, rendendo possibili e fattivamente realizzabili, comportamenti che, solo dieci anni or sono, erano frutto delle fantasie degli scrittori più audaci.

L'avvento delle nuove tecnologie, le cosiddette autostrade dell'informazione, attestatane ed acclaratane l'utilità e necessità, ha, tuttavia, aperto la strada a nuove forme di criminalità. I diversi strumenti che la scienza pone nelle mani dell'uomo possono, infatti, essere utilizzati in modo diverso da quello per i quali sono stati progettati, e gli stessi obiettivi da raggiungere, possono divergere notevolmente dalle intenzioni originarie degli ideatori. Da questo punto di vista, significativa è la storia del sistema operativo Unix, oggi, per la sua potenza, elasticità e stabilità, standard de facto in Rete (1). Nato ai Bell Labs negli anni '60, la sua filosofia era quella di fornire un ambiente "friendly" in cui gli utenti potessero facilmente cooperare e scambiarsi file. Unix, in altri termini, è stato concepito e sviluppato come sistema aperto, la sua architettura lo richiedeva perché il progetto era finalizzato a facilitare la ricerca scientifica. Solo in un secondo momento sono sorti problemi di sicurezza legati ad suo utilizzo illecito.

I sistemi informatici considerati oggetto di potenziali attacchi sono, ovviamente, sistemi facenti parte di una data rete. Da un punto di vista generale, due soli semplici elaboratori già costituiscono una rete se sono messi in grado di comunicare tra loro così da scambiarsi dati e condividere risorse. Al mondo esistono infinite reti. Ognuna di esse ha una particolare dimensione (2), utilizza una particolare tecnologia trasmissiva (3) e, più genericamente, ha proprie caratteristiche hardware/software. Nel tempo la tecnologia ha permesso loro una sempre maggiore possibilità di interconnessione soprattutto grazie allo sviluppo di nuovi protocolli, ovvero di insiemi di regole standardizzate finalizzate alla trasmissione dei dati.

In questo processo ha certamente assunto un ruolo fondamentale la suite di protocolli denominata TCP/IP. Essa ha permesso a singole macchine e specifiche reti, diverse tra loro per architettura (hardware/software), di interagire rendendo fruibili quei servizi (posta elettronica, newsgroup, World Wide Web, mailing list, accesso a banche dati, IRC, ... ecc.) che hanno determinato la "rivoluzione" suddetta. In altre parole, tale suite, ha dato vita ad Internet: rete logica mondiale costituita da un insieme di reti fisicamente separate, ma interconnesse tramite protocolli comuni. I servizi che "la rete delle reti" mette a disposizione, se prima erano riservati a poche grandi organizzazioni, oggi, attraverso l'intermediazione degli Internet Service Provider (ISP), sono accessibili a chiunque disponga di un computer, un modem e una linea telefonica.

Come si è espressa la Commissione Europea, prendendo atto del carattere poliedrico della nuova tecnologia dell'informazione, Internet, nel corso della sua rapida e fenomenale evoluzione, si è trasformata "da rete destinata alle Amministrazioni ed al mondo accademico, in un'ampia piattaforma per comunicazioni e scambi commerciali ... determinando la nascita di una pulsante economia dell'Internet ... .Internet, al tempo stesso, è divenuto un potente fattore di evoluzione in campo sociale, educativo e culturale, offrendo a cittadini ed educatori la possibilità di interventi più incisivi, diminuendo gli ostacoli alla realizzazione ed alla distribuzione di materiale e rendendo possibile a chiunque accedere a fonti sempre più ricche di informazioni digitali ..." (4).

D'altra parte, Internet è anche un formidabile veicolo attraverso il quale condurre attacchi ai sistemi informatici. Le sue caratteristiche tecnico-strutturali espongono qualsiasi sistema connesso ad una molteplicità di ulteriori forme invasive. Se prima i system administrator, oltre ad occuparsi dell'ordinaria manutenzione della rete locale, dovevano definire una politica di sicurezza ponendo prevalentemente attenzione ad eventuali attacchi interni, adesso devono considerare necessariamente anche potenziali aggressioni dall'esterno. Trovare un giusto compromesso tra sicurezza e funzionalità è diventato sempre più difficile: un'eccessiva chiusura può rendere un sistema sicuro rispetto, per esempio, ad accessi indesiderati, ma, evidentemente, può comportare scomodità di utilizzo, costi elevati e disagi per i legittimi utenti.

Negli ultimi anni il problema della sicurezza sulla Rete si è intensificato drasticamente. Se prima gli attacchi erano ingenui e sporadici ora sono frequenti e ben condotti. Se un tempo per proteggere un sistema era sufficiente conoscere alcune semplici norme generali di pubblico dominio, ora bisogna possedere competenze sempre più elevate e sofisticate. Se poi, da altro punto di vista, si considera la dimensione transnazionale di Internet, è facile intuire che i pericoli connessi al suo utilizzo aumentano esponenzialmente.

La sicurezza delle reti e dell'informazione può essere compromessa tanto da eventi imprevisti ed involontari quali catastrofi naturali (inondazioni, tempeste, terremoti), guasti di hardware e software ed errori umani, quanto da attacchi dolosi. Tali attacchi possono assumere una grande varietà di forme. Senza entrare nel merito delle motivazioni (frode, spionaggio, danneggiamento, semplice sfida intellettuale, ecc.) che spingono certi individui a porli in essere, cercherò di descriverne alcune delle tipologie più diffuse in Rete.

Un primo tipo di aggressione è quello comunemente chiamato hacking: accesso abusivo ad un sistema informatico. L'accesso è "abusivo" perché finalizzato ad un uso della macchina non consentito. Richiede quindi, di regola, che siano superate le misure di sicurezza predisposte dall'amministratore di sistema. La nozione comprende sia il caso di chi tenta di servirsi delle risorse di un computer non disponendo di alcun tipo di autorizzazione, sia il caso di chi, utente della macchina, dispone di un'autorizzazione limitata a specifiche operazioni.

Gli attacchi possono provenire tanto dall'interno quanto dall'esterno di una data rete. I primi sono certamente più facili da portare e, per questa ragione, sono sempre stati più numerosi. Sembra però che la tendenza sia cambiata. In base a "2001 Computer Crime and Security Survey", rapporto annuale sui crimini informatici messo a punto dall'FBI in collaborazione con il Computer Security Institute americano, nel 2001 le aggressioni ai sistemi informativi originate dall'esterno degli stessi, per la prima volta, si sono rivelate più numerose di quelle generate dall'interno delle istituzioni e delle aziende colpite. Ciò non toglie, come spiega lo stesso studio, che il pericolo più grande (con le maggiori difficoltà per contrastarlo) rimane quello legato agli attacchi dall'interno (5).

In questo particolare contesto, gli addetti ai lavori utilizzano un'accezione del termine hacking più specifica (6): tale attività è solitamente riferita ad attacchi esterni finalizzati all'acquisizione dei privilegi di "root", cioè, dei privilegi di cui gode esclusivamente l'amministratore di sistema. Tali privilegi permettono di prendere il pieno controllo della macchina subentrando al legittimo sysadmin (di regola non escludendolo dal controllo della stessa, ma facendosi riconoscere dal sistema come utente con le più alte possibilità di intervento).

In termini generali, ogni sistema operativo, ogni software che gestisce un particolare servizio, nonché ogni protocollo che consente la trasmissione di dati ha delle intrinseche debolezze. Esperti di sicurezza informatica e crackers, sono costantemente alla ricerca di tali falle. Mentre i primi tenteranno però di patcharle, cioè di eliminarle, i secondi tenteranno invece di sfruttarle per i loro progetti criminosi.

Per poter attaccare un sistema è fondamentale studiarlo a fondo: occorre conoscere il tipo di macchina (lato hardware), il nome di dominio (es. www.microsoft.com), il suo indirizzo IP (7), il suo sistema operativo, il tipo di server ftp utilizzato, il tipo di programma di posta elettronica, il tipo di server http, il modo in cui il sysadmin assegna gli account, ... ecc. Tutte queste informazioni sono necessarie, infatti, per decidere quale tipo di attacco sferrare.

Per questa prima fase si utilizzano sistematicamente tecniche di indagine non invasive (footprinting) ed invasive. Esempio del primo tipo: ricercare le informazioni sulle pagine web del sito internet visibili e invisibili (come quelle nascoste nei tag di commento all'interno dei sorgenti html della pagina web (8)); nei newsgroup; attraverso l'interrogazione di siti come "InterNIC" (Internet Network Information Center) o "Geektools" (9) (entrambi contengono dei database aggiornati che permettono di risalire ai nomi dei soggetti, ai loro domini, ai contatti amministrativi, tecnici e di zona oltre agli Indirizzi IP dei loro server DNS (10)); tramite il social engineering (con l'"ingegneria sociale" si sfruttano i frammenti di conoscenza specialistica già posseduti per ingannare il proprio interlocutore e carpire ulteriori preziose informazioni, se non addirittura direttamente un account) (11). Esempi del secondo tipo (più facilmente rilevabili dalla macchina presa di mira): scanning (scansione) del sistema (l'obiettivo è interrogare tutti i punti identificati con la precedente fase non invasiva - Porte (12), Range IP (13), DNS, etc. - per identificare gli elementi attivi e quindi disponibili per un eventuale attacco); enumeration (processo tramite il quale si cerca, principalmente, di identificare degli account validi o risorse condivise accessibili); brute force (tentativi manuali o automatizzati tramite appositi tool di indovinare la password necessaria a garantirsi l'accesso (14)).

Una volta raccolte tutte queste informazioni, l'aggressore sarà in grado di accedere al sistema (per esempio, attraverso un account valido). Il passo successivo, sarà acquisire i privilegi di amministratore o, comunque, consolidare i risultati ottenuti (ad esempio creandosi un ingresso privilegiato (15)). L'ultimo passo consisterà, infine, nel cancellare le tracce lasciate durante l'attacco (come, ad esempio, i log che lo riguardano (16)).

Tratterò adesso dell'IP spoofing e del Network sniffing, due tecniche spesso utilizzate nella seconda fase del processo appena descritto, e analizzerò di seguito altri tipi di attacco.

2.1. IP spoofing

Genericamente, lo "spoofing" è l'usurpazione dell'identità di un soggetto o di una macchina. Ogni elaboratore connesso ad una rete è identificato da un numero formato da quattro numeri decimali separati da un punto (esempio: 255.255.255.255) denominato indirizzo IP (IP Address). Se la rete è Internet, questo numero è unico a livello mondiale.

L'IP spoofing permette, utilizzando una debolezza intrinseca del protocollo TCP/IP, a un computer A di far credere a un computer C di essere il computer B. La situazione ipotizzabile è quella secondo la quale il computer A è il computer dell'attaccante (di solito un sistema già bucato sul quale si hanno i privilegi di root), il computer C è la macchina bersaglio e il computer B una macchina della quale C "si fida", ad esempio una macchina della stessa LAN e usata per collegarsi alla macchina C, normalmente chiamata trusted host (17).

Il principale tipo di controllo che si effettua per garantire la sicurezza delle connessioni è, infatti, quello basato sulla rilevazione dell'indirizzo IP delle macchine in gioco. Lo spoofing, in sintesi, consiste nel falsificare l'IP address di una macchina (A) in modo da farla apparire un'altra (B) e superare, in questo modo, la difesa basata su tale controllo (ad esempio, la regola di un firewall). Si deve precisare che questa tecnica richiede necessariamente che l'aggressore sia in grado di impedire alla macchina impersonata (B) di comunicare con la macchina bersaglio (C), altrimenti il primo elaboratore (B) svelerebbe al secondo (C) di non aver inviato alcuna richiesta e quest'ultimo lascerebbe cadere la connessione.

Questa è stata, tra l'altro, la tecnica usata da Kevin Mitnick (18) per bucare la rete di Shimomura, il ricercatore che ne ha poi reso possibile la cattura nel 1995.

2.2. Network sniffing

È uno degli attacchi più utilizzati su Internet. Lo "sniffing" è l'ascolto in rete e la cattura dei dati che sulla rete vengono trasmessi. Per mettere in atto questa tecnica occorre prima aver preso il controllo di una macchina che fa parte della rete alla quale appartiene la macchina bersaglio.

Ciò che rende possibile l'attacco è il modo in cui funzionano i protocolli di rete e il fatto che tali protocolli non prevedono di per sé alcun tipo di crittografia.

Per fare un esempio concreto, consideriamo la rete Ethernet (19), usata nelle LAN. Ethernet può essere vista come un bus, cioè un canale di comunicazione, su cui sono collegati dei nodi, ovvero i singoli computer. Quando il computer A connesso alla rete vuole mandare un'informazione al computer B, costruisce un "pacchetto" con l'indirizzo di B e lo "mette" sulla rete. Le schede di rete di tutte le macchine connesse ad Ethernet "sentono" il pacchetto, ma solamente la macchina B, che è il legittimo destinatario, lo legge e lo elabora.

In altre parole il pacchetto si propaga sotto forma di impulso elettronico per tutta la lunghezza del cavo di rete. Tutte le macchine connesse ricevono l'impulso (cioè il pacchetto indirizzato a B), ma solo B, il legittimo destinatario, decide di leggerne il contenuto. Questo è il funzionamento standard. È però possibile alterare tale normale funzionamento facendo in modo che un calcolatore C, anch'esso connesso alla rete, legga tutti i pacchetti che vi transitano, compresi i pacchetti che A indirizza a B. In questo caso si dice che C sta facendo sniffing. Solamente con l'adozione di protocolli crittografici si è in grado di affrontare adeguatamente il problema. Se, diversamente, i dati non sono criptati con metodi di tipo "Strong Encryption", informazioni preziose come ad esempio le autenticazioni dei legittimi utenti ai vari servizi (telnet, ftp, reti locali, etc.), possono essere intercettate "in chiaro" o comunque, come spesso avviene se si utilizzano metodi di crittografia cosiddetti "deboli", facilmente decriptate.

Il fenomeno del network sniffing si è notevolmente aggravato con la pubblicazione, su canali "underground", di strumenti capaci di effettuare lo sniffing in maniera totalmente automatica e di estrarre dalle comunicazioni che avvengono sulla rete le informazione di interesse (login, password, parti di sessioni interattive, ecc.). Se su una macchina connessa in rete è istallato un programma sniffer, qualsiasi macchina della rete è potenzialmente esposta ad un controllo assoluto.

2.3. Denial of Service (DoS)

Gli attacchi di tipo DoS che letteralmente significa "rifiuto del servizio", non sono finalizzati a violare la sicurezza di un sistema, ma consistono nell'adoperare una qualunque tecnica che blocchi o rallenti, in parte o totalmente un sistema, impedendo agli utenti regolari di accedervi e di fruire dei relativi servizi. Spesso rappresentano una reazione al fallimento di un precedente attacco mirato o sono dettati dalla necessità di ottenere un riavvio (20) del sistema operativo bersaglio (21) per rendere effettivi i cambiamenti di impostazioni effettuati. La famiglia degli strumenti adoperati per questo genere di attacchi e numerosa, si parla di Smurf, Fraggle, Boink, Teardrop, etc. e, comunque, hanno tutti lo stesso scopo: saturare le risorse del sistema rendendolo così incapace di rispondere alle richieste degli utenti legittimi. Gli attacchi di tipo DoS sono particolarmente temuti perché in grado di procurare alle imprese ingenti danni economici (si parla di milioni di dollari). Al 1996 risale uno dei primi attacchi di questo tipo. A subirlo fu l'Internet Provider Panyx: il sistema fu messo in crisi per più di una settimana rendendo impossibile l'uso del servizio a circa 7000 utenti. Un altro caso: nel 1999 il DoS al portale Yahoo ha provocato l'interruzione, per quasi 12 ore, di un servizio usato da milioni di utenti ogni giorno. Durante quest'attacco sono stati saturati tutti i link del sito nonostante la sua capacità complessiva ammontasse ad alcuni Gigabit.

Gli attacchi DoS possono essere di tipo diverso (SYN-Flooding, Fraggle Attack, Smurfing/Ping Broadcast, ...), ma l'evoluzione più temibile sembra rappresentata dal DDoS (Distributed Denial of Service) (22). Questa tipologia di attacco consiste nel distribuire su più macchine sparse per la rete il compito di effettuare una tecnica DoS ad un determinato bersaglio. Normalmente in questo scenario vi sono una o più macchine che assumono il controllo dell'attacco mentre tutte le altre eseguono lo stesso. La tecnica permette di operare anche con una banda passante limitata, in quanto a sferrare l'attacco non è solo l'host (il computer) dell'aggressore ma centinaia e centinaia di host inconsapevoli sparsi per la rete. Su queste macchine viene installato un programma detto "Zombie" che si pone in attesa un comando di attivazione per scagliare l'attacco. L'installazione di questi programmi è resa semplice da appositi software che scandagliano rapidamente interi range di indirizzi IP alla ricerca di una qualche vulnerabilità che permetta, appunto, l'installazione dello "Zombie", il tutto in modo completamente automatico. Una volta che l'aggressore invia il comando di attivazione, tutti gli host inizieranno a inviare traffico al computer scelto come vittima, paralizzandolo.

2.4. I virus

Altra forma di attacco è quella rappresentata dai virus informatici, le cui prime epidemie risalgono alla metà degli anni '80.

L'inarrestabile dilagare di software "maligni" pone di fronte al problema della loro precoce rilevazione prima che questi possano recare danni. Questo problema è particolarmente sentito nell'ambito delle reti, essendo esse permanentemente esposte ai rischi di infezione. Accade spesso che nonostante sia stato installato sulle macchine un software antivirus adeguato, lo stesso non venga regolarmente aggiornato. Gli intervalli di aggiornamento delle firme dei software antivirus, mentre nel passato erano abbastanza lunghi, adesso si sono drasticamente ristretti a causa della continua immissione in rete di nuovi virus o di variazioni dello stesso ceppo virale. Anche la tipologia dei virus è molto diversa rispetto al passato, dove il principale veicolo di infezione erano esclusivamente i file eseguibili. Attualmente esistono molte possibilità di veicolare un virus e questo rende il tutto ancora più rischioso. Naturalmente ogni utente che opera in rete, deve, responsabilmente, possedere un software antivirus aggiornato nelle firme in modo regolare e non introdurre nella rete stessa (tramite supporti magnetici, computer portatili o altro) nulla che non sia stato preventivamente controllato in modo adeguato. Le normali misure di protezione della rete (come ad esempio i firewall) non possono scongiurare eventuali infezioni da virus, in quanto è sempre possibile che questi riescano a penetrare in rete attraverso i più disparati canali (il disco floppy proveniente dalla casa dell'utente ne è un ottimo esempio). Inoltre, va tenuto presente il problema dell'enorme quantità di virus esistenti, che a volte, anche aggiornando costantemente le firme degli antivirus, non vengono rilevati in quanto di nuova introduzione. Quindi il sistema più efficace è senz'altro la sensibilizzazione degli utenti relativamente a questo problema, in modo da evitare, ad esempio, l'esecuzione sulle proprie macchine di quei file la cui provenienza sia sconosciuta (23). Gli amministratori devono, invece, arginare il problema nei punti dove è possibile intervenire: server SMTP, POP3, FTP, HTTP (24), etc., in modo da prevenire l'ingresso dei virus nel circuito di rete.

Cosa s'intende per virus?

I virus informatici non sono altro che programmi la cui caratteristica fondamentale, al pari dei virus biologici, è quella di autoreplicarsi. Le istruzioni contenute al loro interno possono essere di tipo "benigno" o "maligno". Esistono, infatti, virus creati a solo fine di gioco, di scherzo (Virus Hoax), programmi che si limitano a generare suoni, colori o a simulare eventi di carattere distruttivo, e virus, invece, in grado di recare danni notevoli al sistema. I virus maligni possono alterare il funzionamento del sistema operativo, di singole applicazioni, cancellare alcuni tipi di file o determinare la formattazione dell'intero disco fisso.

Una volta che un virus è stato attivato, cioè messo nella condizione di agire, può accadere che esplichi di fatto la sua azione condizionatamente al verificarsi di un evento predefinito. Tale evento può essere rappresentato da una certa data o da un certo numero di riavvii del sistema operativo. In questo caso si parla di "logic bomb".

La fase in cui il virus è attivato è denominata "trigger", quella in cui esercita la sua azione "payload".

Un particolare tipo di virus è il "worm" (baco), sua caratteristica è autoduplicarsi in copie che, riproducendosi a loro volta, finiscono col saturare il sistema. Tristemente famoso è il worm creato da Robert Tappan Morris, laureato alla Cornell University: tra il 2 e il 3 novembre 1988, il suo "ingegnoso" programma, lanciato in Internet alla ricerca di accessi ai sistemi, ha operato in modo così efficiente, nell'inserirsi in un sistema e riprodursi, che in poche ore ha fatto collassare circa 6.000 computer, più di un decimo della Rete di allora.

I Trojan Horse (cavalli di Troia), non sono veri e propri virus, ma solo veicolo per la loro trasmissione. Si tratta infatti di programmi apparentemente innocui che nascondono virus (ma anche altri tipi di programmi, come backdoor, spyware o sniffer) al loro interno.

Un virus ben costruito è in grado di rendersi invisibile all'utente e agli antivirus più aggiornati.

In base alla loro modalità di operare sulle macchine infette e alla tecnica adoperata per nascondersi, possono essere classificati in virus di Boot e MBR (25), polimorfici (26), Executables (27), Stealth (28), MBR Stealth (29), Size Hiding (30), Clean On The Fly (31), TSR (32), Macro (33) e ActiveX/Java (34).

2.5. Spyware (35)

Accade spesso che software, indirizzati agli usi più disparati, contengano al loro interno degli "Spyware" (36) (alcuni dei nomi più conosciuti sono: WebHancer, New.net, OnFlow, Cydoor, Ezula, etc.), cioè dei programmi che comunicano ad un server centrale informazioni di diverso genere sul nostro conto (sistema operativo utilizzato, preferenze dell'utente, siti web visitati, lunghezza dei collegamenti, etc.). Queste informazioni vengono usate successivamente dal ricevente per fini statistici o, come accade nella maggior parte dei casi, allo scopo di inviare della pubblicità mirata (e non voluta) agli utenti (in gergo definita "Spam").

2.5.1. Uno Spyware globale: Echelon

Negli ultimi anni si è sentito spesso parlare di "Echelon", un potente strumento di sorveglianza delle comunicazioni che, in palese violazione della privacy, ci sorveglia costantemente. Questo strumento, in grado di controllare miliardi di comunicazioni in tutto il mondo, esiste realmente. Lo ha reso noto ufficialmente, dopo numerose indagini e con uno specifico rapporto datato dicembre 1997, un organismo facente parte del Parlamento Europeo, il Civil Liberties Committee. Il progetto pare risalga addirittura al 1947, anno in cui si ha notizia dei primi accordi segreti tra Stati Uniti e Gran Bretagna. Successivamente hanno aderito all'iniziativa la Nuova Zelanda (dal 1989), il Canada e l'Australia. Il progetto (sembra sia denominato ufficialmente "progetto 14") è stato sviluppato e coordinato dalla NSA americana (National Security Agency) e diventato operativo negli anni '80. Oggi i fruitori/utenti di questo sistema sono: la NSA (U.S. National Security Agency), il Government Communications Security Bureau (GCSB) della Nuova Zelanda, i Government Communications Headquarters in Gran Bretagna (GCHQ), il Communications Security Establishment in Canada (CSE) e il Defence Signals Directorate in Australia (DSD).

Il funzionamento di Echelon si basa sull'intercettazione indiscriminata di tutte le informazioni in transito e la registrazione di quelle che rispondono a particolari requisiti preimpostati. Alcune indagini, nonostante l'ostilità della NSA alle richieste degli investigatori, hanno portato alla luce che questo sistema è in grado di effettuare circa 3 miliardi di intercettazioni ogni giorno (comunicazioni satellitari, e-mail, telefonate, fax, etc.) sulle quali successivamente opera tramite dei filtri per estrapolare quelle ritenute "interessanti". Per fare questo Echelon ha una struttura di elaboratori (in alcuni casi si parla di ettari di estensione) che poggiano le proprie basi sull'intero globo (37), sono infatti numerosi gli Stati che ospitano parti di questo sistema, esse permettono tramite un funzionamento in sinergia di raggiungere lo scopo prefissato. Normalmente i filtri effettuano una ricerca delle cosiddette "keywords" (parole chiave) sul contenuto delle intercettazioni, rilevando così quelle contenenti, ad esempio, parole come terrorismo, attentato, etc.. Per fare questo vengono utilizzate sofisticate tecniche basate sull'AI (Artificial Intelligence) che riescono ad effettuare rilevazioni anche sui messaggi in fonia. Per quanto il fine di tutto questo possa apparire ad alcuni nobile, è indubbio che il sistema viola in maniera totale il diritto alla privacy di ogni individuo, diritto, peraltro, sancito da precise leggi nazionali e internazionali. Nonostante tutto Echelon continua inesorabile ad operare. In altri termini, il Grande Fratello descritto da Orwell in "1984" è diventato realtà.

Presso la Commissione del Parlamento Europeo, durante una riunione sul tema "Unione Europea e protezione dei dati", il relatore Duncan Campbell ha esposto alcune accuse circa i computers distribuiti da IBM con installati dei sistemi operativi Microsoft, sembra infatti che questi siano dotati di una sorta di spyware le cui funzionalità forniscono appoggio alle intercettazioni di Echelon. Implicata in questa faccenda, oltre naturalmente agli Stati Uniti, sembra ci sia, nonostante smentite ufficiali, anche la Gran Bretagna. Anche se non vi sono prove certe di quanto detto alcuni governi, venuti a conoscenza della vicenda, hanno preferito equipaggiare le loro macchine con sistemi operativi Unix/Linux.

2.5.2. Il fratello minore di Echelon: Carnivore

Dopo i tragici avvenimenti del settembre 2001, riguardanti gli attacchi terroristici in America, gli Stati Uniti hanno potenziato le loro attività di sorveglianza elettronica sia tramite nuove proposte di legge (Patriot Act, MATA (Mobilization Against Terrorism Act), etc.) sia potenziando le attività di Echelon e Carnivore. Ad ottobre 2001 è stata infatti approvata dal Senato degli stati Uniti la legge che obbliga ogni provider Americano all'installazione di Carnivore sui propri server. Quest'ultimo, creato nei laboratori dell'FBI, rappresenta il fratello minore di Echelon, il suo compito è quello di monitorare il traffico delle e-mail e di altre forme di comunicazione, intercettandole ed acquisendole. In passato veniva già utilizzato durante le indagini relative a persone sospette e comunque solo quando ve ne erano i presupposti legali per farlo, adesso pur potendosi riconoscere, anche in questo caso, la validità dell'obiettivo perseguito, siamo di fronte ad una violazione indiscriminata dei diritti delle persone, cosa che sta sollevando numerosi cori di protesta, anche ufficiali, in ogni angolo del mondo.

Note

1. Rectius: sistema Unix e Unix-like, cioè Unix compatibili (come GNU/Linux).

2. In base alla loro estensione, si distinguono progressivamente reti LAN (Local Area Network), MAN (Metropolitan Area Network), WAN (Wide Area Network) e GAN (Global Area Network).

3. Reti broadcast, punto a punto e wireless (in quest'ultima tipologia di comunicazione i segnali viaggiano nello spazio e non su fili o cavi di trasmissione. Le trasmissioni avvengono, di solito, via radiofrequenza o infrarosso).

4. Tali dati sono contenuti nella Comunicazione della Commissione al Parlamento Europeo ed al Consiglio, sul contenuto illegale e nocivo di Internet, del 16 Ottobre 1996.

5. Tratto dalla rivista elettronica Punto Informatico, "Gli attacchi esterni superano quelli interni".

6. In gergo, "bucare" (un sistema).

7. Vedi dopo a proposito dell'IP spoofing.

8. Ogni pagina web può essere visualizzata nel suo sorgente html attraverso un apposito comando del browser.

9. GEEKTOOLS.

10. Affinché sia semplice ricordare un indirizzo IP, esiste la possibilità di abbinarlo ad un nome. All'interno di una rete, i DNS (Domain Name System), assolvono proprio a questa funzionalità. In pratica, il loro compito è quello di creare al loro interno una tabella di associazioni tra l'indirizzo numerico ed il nome assegnato all'host (computer). Nel momento in cui si effettua una connessione tramite il nome, il DNS viene preventivamente interrogato e ricerca, all'interno della sua tabella, la corrispondenza del nome con un indirizzo IP. Quest'ultima operazione, denominata "risoluzione", permette di utilizzare il nome dell'host al posto del suo indirizzo IP. All'interno della rete Internet esistono numerosissimi DNS, gerarchicamente organizzati, che cooperano tra loro per garantire la funzionalità di questo servizio.

11. Una volta essere venuti a conoscenza, ad esempio, del nome di un importante funzionario, è possibile confezionare una storiella credibile e telefonare (o mandare una e-mail) ad un certo ufficio richiedendo informazioni a nome suo. Dice a questo proposito B. Sterling: "Nella sicurezza informatica, gli esseri umani sono quasi sempre l'anello più debole della catena e il modo più facile per imparare le Cose Che Non Si Dovrebbero Conoscere consiste semplicemente nel fare una telefonata e ingannare le persone informate". B. Sterling, op. cit., pag. 166.

12. Ogni sistema comunica attraverso porte logiche. Le porte gestiscono i servizio offerti dall'elaboratore. Alcune porte sono state, per convenzione, deputate a specifici servizi: la 21 al servizio ftp, la 23 al telnet, la 25 al smtp (per l'invio della posta elettronica), la 80 al http, e via dicendo. Le porte sono in tutto 65535, è evidente che, di fatto, solo alcune di esse sono utilizzate.

13. Raggio degli indirizzi IP.

14. Questa tecnica, in verità non molto efficace, è di solito utilizzata per ottenere un account valido (composto da user id e password) su sistemi Unix. Una volta acquisite alcune informazioni sugli utenti, si tenta l'accesso provando ad inserire, come user id e password, termini "probabili"; specifici programmi, scelto un user id, provano sistematicamente ad accedere al sistema utilizzando password prelevate da appositi dizionari. In questo caso la migliore difesa è sempre quella di scegliere per gli utenti password adeguate da sostituire ad intervalli di tempo regolari, effettuare una attenta attività di auditing (ascolto) su queste operazioni e soprattutto disabilitare gli account non utilizzati.

15. Conseguenza normale di un attacco è l'installazione sul sistema di una backdoor. Se ben strutturata, questa "porta di servizio" sarà invisibile e non rilevabile facilmente dai normali strumenti diagnostici e permetterà all'aggressore di rientrare nel sistema in qualsiasi momento. Su piattaforme Microsoft Windows, sono famose le backdoor create dai programmi SubSeven, NetBus e BackOrifice.

16. I file di log, presenti su ogni sistema, sono i file che registrano ogni operazione effettuata sul sistema stesso: quale macchina si è collegata, a che ora, per quanto tempo, con quale account, quali comandi sono stati eseguiti, ... ecc.

17. Con il termine "host" ci si riferisce genericamente a qualsiasi computer collegato ad una rete (lato server o client).

18. Kevin David Mitnick, californiano, classe 1964, conosciuto in Rete come il Condor (il nickname è preso in prestito dal protagonista del film con Robert Redford "I tre giorni del Condor"), è l'hacker (rectius, cracker) più noto al mondo. Ha violato sistemi informatici, telematici, telefonici e qualsiasi cosa fosse fatta di bit. Ha iniziato ad hackerare nel 1980, quand'era ancora minorenne, e subito la prima condanna a diciassette anni: con un gruppo di amici entrò fisicamente nei laboratori californiani del Bell's Computer System for Mainframe Operations (COSMOS), un sistema in cui venivano conservate le principali documentazioni sulle chiamate di molte compagnie telefoniche statunitensi; qui rubò le password dei dipendenti e degli uffici e un grosso manuale di documentazione dell'intero sistema. Quando fu arrestato, il giudice lo condannò a tre mesi di detenzione aggiungendo un anno con sospensione della pena. Uscito di prigione si specializzò sui sistemi di comunicazione, sui telefoni cellulari, sugli apparati che gestivano le sempre più influenti società di telecomunicazioni. Nel 1983 è nuovamente arrestato e condannato a sei mesi di reclusione per aver violato i sistemi di sicurezza della rete Arpanet. Altri tre anni con la condizionale gli vengono comminati nel 1987 per aver utilizzato illegalmente delle carte di credito telefoniche e per essersi introdotto nei sistemi della Santa Cruz Operation (SCO), una casa produttrice di software per le compagnie di telecomunicazioni. Alla fine degli anni '80 Mitnick si introduce nei computer della potentissima Digital Equipment Corporation (DEC, la creatrice di Altavista ora di proprietà della Compaq) assieme al suo amico fraterno Leonard DiCicco. Riesce a rubare molte parti di codice del sistema operativo VMS che allora era il preferito campo di battaglia, dopo Unix, per molti hackers. Il giudice Mariana R. Pfaelzer lo condanna a un anno di reclusione più altri tre con la condizionale. Negli anni '90 il mito del Condor invade la Rete: Mitnick sperimenta tutte le tecniche di hackeraggio, sfrutta tutti gli errori dei sistemi che conosce a perfezione, modifica le chiamate con cui compie gli atti, inizia la guerra alle grandi compagnie (MCI, Motorola, Digital, Sun, Apple, Netcom, computer navali, computer del dipartimento dei motoveicoli californiano). Il 25 dicembre 1994 Mitnick viola un computer del sito toad.com e, per suo tramite, accede, acquisendone i permessi di amministratore, ad altro computer del San Diego Supercomputer Center appartenente al trentenne giapponese Tsutomu Shimomura. Quest'ultimo, consulente informatico dell'FBI e della NSA, riuscirà, il 15 febbraio 1995 a farlo arrestare (in un piccolo appartamento di Raleigh nella Carolina del Nord dopo tre anni di assidue ricerche). Lo stesso giorno è iniziata la più grande mobilitazione in Rete per la salvaguardia del diritto all'informazione e all'accessibilità delle risorse: centinaia di siti hackerati, una marcia su New York, campagne telematiche, volantini, adesivi, magliette. Nel 1997 la pagina principale di Yahoo! fu sostituita da un'altra in cui si minacciava la diffusione planetaria di un virus se Mitnick non fosse stato subito rilasciato. L'anno successivo furono violati, tra i tanti, i siti dell'Unicef e del New York Times. I capi d'imputazione a suo carico furono 14: dalla frode telematica al possesso illegale di password riservate, dall'accesso illegale a computer federali, al danneggiamento di computer, all'intercettazione di comunicazioni telefoniche. È stato l'unico hacker a essere iscritto nella lista dei dieci uomini più ricercati dall'FBI. Ma i suoi sostenitori continuano a difenderlo, e raccontano "la verità" sul sito a lui dedicato: "Kevin non ha mai tratto vantaggi economici dai suoi hackeraggi, sebbene avesse potuto farlo. Né ha mai agito con l'intento malizioso di danneggiare o distruggere l'altrui proprietà. Piuttosto le sue azioni hanno cercato di soddisfare la sua curiosità intellettuale a mettere in pratica l'ingenuità americana". Il Condor passerà 36 mesi in galera, di cui 8 in isolamento, senza processo. A Marzo del 1999 la sentenza definitiva lo condanna a 46 mesi di carcere e ad un piccolo risarcimento per le società violate. Il 21 gennaio 2000, scontate anche alcune pene precedenti, viene rilasciato con il divieto di toccare computer e qualsiasi telefono cellulare per tre anni. Il 21 gennaio 2003 anche queste ultime restrizioni cadono e Mitnick torna assolutamente libero. Il Condor, è bene ricordarlo, non ha guadagnato un solo centesimo dalle sue azioni.

19. Standard architetturale di rete, inizialmente sviluppato da Xerox.

20. Tecnicamente un reboot.

21. Caso di Microsoft NT server.

22. Tecnica utilizzata nei già citati casi di attacco ai grandi portali dell'e-commerce Amazon, Yahoo! ed Ebay, del 6 e 7 febbraio 2000.

23. La posta elettronica è uno dei mezzi più utilizzati per la trasmissione e diffusione di virus. Purtroppo, il mittente conosciuto non è più una garanzia sufficiente per due ragioni: primo, perché oggi è piuttosto facile spedire e-mail contraffatte nell'indirizzo del mittente (fake-mail; in rete esistono diversi siti che offrono questo servizio, ma anche un semplice programma di emulazione terminale come telnet è sufficiente allo scopo), secondo, perché tutti i virus recenti si autospediscono a tutti gli indirizzi di posta elettronica presenti sul pc infettato, quindi arriveranno sempre dall'e-mail di una persona conosciuta.

24. Sono alcuni dei protocolli usati in Internet: SMTP e POP3 rispettivamente per l'invio e la ricezione della posta elettronica, FTP per il trasferimento dei file e HTTP per la visualizzazione delle pagine web.

25. Si installano sul settore di avvio dei Floppy Disk o sull'MBR (Master Boot Record) dei dischi rigidi, erano molto diffusi in passato mentre oggi sono quasi scomparsi a causa dell'incompatibilità con i recenti metodi di accesso ai dischi utilizzati dai SO, il loro payload può essere anche di tipo distruttivo.

26. Adopera un meccanismo di riproduzione di se stesso, variando ad ogni replica il suo codice, in modo da ingannare gli antivirus.

27. In questa categoria rientrano i virus più diffusi, essi prendono di mira tutti i file eseguibili attaccandosi a loro. Una volta fatta questa operazione si installano residenti in memoria infettando tutti i file eseguiti sul sistema, che a quel punto operano con le stesse modalità viste in precedenza.

28. Cercano di rendersi invisibili ai programmi di rilevazione dei virus, infatti una volta che il sistema è infetto il virus prende il controllo di alcune funzioni base del SO in modo da nascondersi.

29. Come nel caso dei vecchi virus che operavano sull'MBR si installa su questo, prima però di effettuare questa operazione effettua una copia dell'MBR "pulito" in modo da utilizzarlo durante il controllo degli antivirus, per far apparire agli occhi di questi una situazione normale.

30. Il metodo utilizzato da questi virus è quello di intercettare il controllo dei software di rilevazione basato sulla dimensione del file (quando un virus infetta un file ne altera la dimensione), restituendo a questo la dimensione corretta, quindi sottraendo la dimensione del virus.

31. Qui il virus intercetta il momento nel quale un file viene letto, a quel punto lo ripulisce dal suo codice, e lo reinfetta solo al termine dell'operazione di lettura, in modo da non farsi rilevare.

32. I virus di tipo TSR (Terminate and Stay Resident) sono attivi permanentemente, in quanto sostituiscono elementi del SO e si installano permanentemente in una zona di memoria. In questo modo acquistano il potere di controllo su qualunque operazione effettuata dall'utente, sfruttando questo per la loro replicazione o esecuzione del loro payload.

33. Apparsi relativamente in tempi recenti, adoperano come mezzo per la loro diffusione la cosiddette macro (utilizzate per eseguire comandi) presenti su molti applicativi (come ad esempio (Microsoft Word, Microsoft Excel, etc.) a prescindere dalla loro piattaforma. Questi virus sono generalmente scritti in VBA (Visual Basic for Application) ed entrano in azione una volta aperto il documento che contiene la macro ed operano quindi secondo quanto previsto dal loro creatore.

34. Sfruttando le funzionalità offerte da ActiveX e Java il virus può infettare i sistemi solamente visualizzando pagine web infette. Proprio per questi motivi, questo tipo di virus sono considerati tra i più pericolosi.

35. In data 31 luglio 2002 è entrata in vigore la Direttiva n. 2002/58/CE del Parlamento Europeo e del Consiglio datata 12 luglio 2002, alla quale gli Stati membri dovranno adeguarsi entro il 31 ottobre 2003. La nuova Direttiva sostituisce la 97/66/CE (alla quale l'Italia si era adeguata con il d.lgs. n. 171/98) ed affronta in maniera incisiva argomenti molto delicati in tema di privacy e comunicazioni elettroniche (con un particolare riguardo ad Internet), mantenendo molto elevato il livello di protezione dei dati personali e della riservatezza in generale. Tra le prescrizioni della nuova Direttiva Europea, oltre al divieto di inviare e-mail pubblicitarie senza il preventivo consenso dell'interessato, si annoverano: il divieto di inviare messaggi di posta elettronica, a scopo di direct marketing, omettendo o camuffando l'identità del mittente o senza l'indicazione di un indirizzo valido, cui il destinatario possa inviare una richiesta di cessazione; una severa regolamentazione dell'uso di cookies, spyware e bug che possono introdursi nel terminale e permettere di accedere illecitamente e in modo non trasparente ad informazioni, o di seguire gli spostamenti in rete dell'utente; una particolare tutela per i dati relativi alla localizzazione dei cellulari raccolti nel corso della fornitura di nuovi tipi di servizi erogati da reti cellulari e satellitari che consentono di individuare esattamente l'apparecchiatura terminale dell'utente; l'iscrizione negli elenchi telefonici pubblici, cartacei o elettronici, solo con il consenso degli abbonati e secondo modalità da loro scelte.

36. In questo senso tali software operano come trojan horse. Gli spyware sono denominati anche "adware" (da advertising-pubblicità). A volte le società commerciali permettono l'utilizzo gratuito di un applicazione se l'utente accetta di lasciare che sulla sua macchina "giri" questo software aggiuntivo che tiene traccia delle sue preferenze. Spesso gli spyware gestiscono banner pubblicitari (che appaiono sullo schermo all'avvio dell'applicazione). Anche i cookies, i famosi "biscottini" rilasciati (sulla memoria dell'elaboratore dell'utente) dai siti web visitati tramite il browser Microsoft Internet Explorer, svolgono una funzione di spyware (la normativa italiana in materia di tutela dei dati personali dovrà risolvere il problema cookies entro il 31 ottobre 2003, vedi nota precedente).

37. Recenti indiscrezioni hanno cominciato a girare a proposito di un ruolo tutt'altro che marginale dell'Italia. Sarebbe (ovviamente non è provato) stato affidato alla nostra nazione un ruolo importante nel campo dell'intercettazione specifica delle conversazioni radio HF/VHF/UHF, mediante una base di ascolto situata in Puglia, nelle vicinanze di S. Vito dei Normanni (Taranto).