L'anno degli hacker

Compra un hard disk. Uno di quelli portatili, con il cavetto usb. Attaccalo al computer e trasferiscici sopra tutti i documenti importanti, le fotografie sensibili. Poi compra un altro hard disk, uguale al primo. Uno non basta, potrebbe rompersi. Copia il contenuto del primo hard disk nel secondo hard disk. Per stare sicuri, compra un terzo hard disk. Ripeti. Ora metti gli hard disk in tre posti sicuri, diversi tra loro. Uno lo tieni tu, uno lo dai alla fidanzata, uno lo tieni a casa dei tuoi genitori. Periodicamente, aggiorna il contenuto dei tre hard disk con i nuovi dati, le nuove foto. E’ un lavoraccio, ma se vuoi essere sicuro che i tuoi dati non saranno rubati, che le tue password non saranno violate e le tue foto non saranno esposte alla vista impietosa del pubblico di internet, questo è l’unico modo: salva tutto su un hard disk e mettilo sotto il materasso, perché lasciare le proprie informazioni su internet è come parcheggiare una bicicletta nel piazzale della stazione. Puoi averla legata con due catene, aver scelto il palo più robusto, aver assicurato anche il sellino. Ma se qualcuno decide di rubarla non c’è lucchetto che tenga.

Scambiare informazioni importanti via email? Una follia. ICloud? L’avete vista Jennifer Lawrence, volete finire con tette e vergogne esposte su internet? E le reti aziendali? Il grande scandalo della Sony dovrebbe essere d’insegnamento. L’imputato è il cloud computing, che è un termine tecnico ma ormai è diventato un modo comune per spiegare il fatto che negli ultimi anni una porzione notevole delle nostre vite si è trasferita su internet. I nostri dati fluttuano nella nuvola, e non c’è distinzione tra quelli che vogliamo siano pubblici e quelli che vorremmo tenere per noi. Le nostre foto pubbliche su Facebook e quelle che la nostra ragazza ci manda via Whatsapp, le conversazioni riservate su Skype e le email aziendali, è tutto sulla nuvola, che poi sono quasi sempre i server della Silicon Valley, ed è tutto ugualmente accessibile a un hacker ben attrezzato. Il cloud è una rivoluzione che ha facilitato la nostra vita in molti modi: sapere che un documento è sempre accessibile sulla nuvola, pronto per essere scaricato su smartphone appena ne abbiamo bisogno è un sollievo e una comodità. Il cloud ha cambiato la gestione di molte aziende, rendendo disponibili a Washington e a Singapore gli stessi dati nello stesso momento. Ma quello che è accessibile al nostro smartphone è accessibile a qualunque hacker, e non c’è password che tenga. Finora queste vulnerabilità erano state predette dagli analisti e raccontate dai giornali, ma avevano riguardato soprattutto stati e istituzioni. Gli attacchi informatici al Pentagono fanno paura, e nel 2012 l’allora segretario della Difesa americano Leon Panetta parlò del rischio di una “cyber-Pearl Harbor” – era il tempo in cui il prefisso “cyber” ancora andava di moda. Ma anche la cyber-Pearl Harbor, che pure non ci fu, toccava solo in parte il privato cittadino: cosa posso fare io se eserciti di hacker cinesi attaccano il Pentagono o i server della Casa Bianca? E soprattutto: che interesse potrebbero avere nei miei confronti gli eserciti di hacker cinesi? Ci penserà lo stato a difendere i suoi segreti digitali, io non ho niente da nascondere. Il privato cittadino pensava di essere abbastanza piccolo da passare inosservato, ma il 2014 è stato un anno diverso.

Per molto tempo gli analisti ci hanno detto che una volta entrati nell’èra del cloud era solo una questione di tempo. Che l’architettura non era sicura, il sistema era strutturalmente vulnerabile, e non solo perché l’utente medio usa la stessa password in tutti i siti, e nella maggior parte dei casi è la sua data di nascita o il nome del suo cane (o peggio ancora, come nel caso della Sony, tutte le password erano contenute in un unico file non protetto denominato “password”). Chi può colpire la Casa Bianca presto o tardi arriverà anche a noi. La transizione è stata lunga, ma ora ci siamo: siamo tutti dentro alla nuvola, e gli hacker con noi. Gli attacchi sono in aumento da sempre, e questo è in parte un portato naturale dell’allargamento della rete nel mondo. Negli ultimi dodici anni, ha scritto il New York Times, il numero delle nuove minacce digitali è aumentato di più di diecimila volte – ma anche questa statistica è giustificabile se si pensa alla crescita tumultuosa di internet. Nel 2013, secondo un report della compagnia Symantech, gli attacchi hacker sono aumentati del 62 per cento rispetto all’anno precedente. Ma il 2014 segna una novità in questo trend: mai come quest’anno i grandi attacchi hacker, quelli che coinvolgono moli enormi di dati e team complessi di pirati informatici hanno riguardato cittadini e aziende private. Mai come quest’anno non solo il Pentagono ma anche il cittadino comune è stato toccato personalmente, nel portafoglio e nella privacy, dalle minacce digitali (anche istituzioni e infrastrutture continuano a essere colpite, e la guerra digitale è una delle minacce più in crescita per la pace). Il 2014, per noi che l’internet lo usiamo per lavorarci e fare acquisti e guardare i social network, è stato l’anno degli hacker.

Per gli esperti, il pericolo è sempre stato lì, e loro lo sapevano: “Penso che la minaccia ci sia sempre stata”, dice al Foglio in una conversazione via email Graham Cluley, esperto di sicurezza che ha lavorato per grandi aziende del settore come Sophos e McAfee e autore di un blog molto seguito. L’industria della sicurezza online si muove da anni, pubblica report, tiene conferenze, ma gran parte del suo lavoro è troppo complesso, o troppo poco diffuso, per raggiungere l’utente medio. “Quello che è successo adesso, però – continua Cluley – è che le persone sono più consapevoli che mai che la minaccia esiste. Gli utenti normali stanno capendo sempre di più che la loro privacy può essere in pericolo. Basti pensare che fino a pochi anni fa il concetto di ‘furto dell’identità’ sarebbe suonato come fantascienza a buona parte del pubblico, ma ora è ampiamente conosciuto”. Il merito è di alcuni grandiosi attacchi hacker che “fanno i titoli dei giornali” e mostrano al cittadino comune che ormai anche lui è in pericolo. Sul New York Times, Nicole Perlroth ha scritto che è il momento di una “sveglia”, e la sveglia più forte di tutte è stata Sony.

Il caso dell’attacco hacker a Sony Pictures è speciale per molte ragioni. E’ il più distruttivo di sempre, e più che un caso di hacking è un atto di cyberterrorismo (da poco declassato a cyberbullismo da Barack Obama) che rimarrà per molto tempo negli incubi non solo dei manager della Sony, ma in tutto il business americano, che ha visto in tempo reale una major di Hollywood portata sull’orlo della distruzione dai pirati informatici: l’Economist l’ha definito un film dell’orrore. L’attacco alla Sony è un caso politico per il coinvolgimento, prima smentito poi la scorsa settima confermato dall’Amministrazione americana, della Corea del nord, e di un film satirico sul rapimento e l’uccisione cruenta del dittatore Kim Jong-un. La settimana scorsa la Sony ha annullato la distribuzione del film, e l’attacco alla libertà di espressione si è andato ad aggiungere alla lunga lista delle accuse contro i Guardiani della pace, il gruppo di hacker che ha rivendicato l’operazione. Quello della Sony è anche un caso mediatico e glamour, con le email di dirigenti, attori e giornalisti esposte e rese pubbliche. Le maldicenze sulle star di Hollywood, i litigi sui contratti, le invidie e il servilismo dei giornalismi riempiono i giornali da settimane, e vista la mole di dati che gli hacker vantano di aver rubato (100 terabyte) potrebbero continuare a lungo.

L’attacco contro Sony Pictures è la cosa più vicina a una “cyber-Pearl Harbor” mai avvenuta. Dua anni fa Panetta parlava di “vittime civili” – e intendeva i morti, che non ci sono stati. Ma di “vittime civili” nell’attacco hacker alla Sony, intese come persone comuni danneggiate in maniera tragica dall’operazione, nelle loro vite, nella loro privacy e nel loro conto in banca, ce ne sono state molte. Per Brian Barrett di Gizmodo, è questa “la parte più spaventosa di quello che è accaduto”, e che rende l’attacco hacker alla Sony il peggiore di sempre. Non le perdite economiche, che pure saranno ingenti, non il danno alla credibilità dell’azienda. “La parte più dolorosa dei documenti della Sony è un dottore che acquista Ritalin. E’ un’email sul cercare di diventare incinta. E’ parlare male dei colleghi alle loro spalle, e l’elenco degli acquisti fatti con la carta di credito. E’ letteralmente migliaia di numeri della Social security resi pubblici. E’ perfino la roba innocua, mondana, triviale che riempie le email di tutti i giorni e che all’improvviso sembra orribile e volgare quando esposta in pubblico”. L’attacco alla Sony ha colpito sì dirigenti, manager e star di Hollywood, ma soprattutto ha colpito segretarie, grafici, impiegati comuni. “Queste sono persone che non hanno fatto niente di male”, continua Barrett. “Non cliccano su link sospetti, o usano password stupide (o anche se lo fanno, l’attacco non è colpa loro). Mandano le stesse email sul lavoro che anche tu mandi tutti i giorni, alcune personali, altre no, alcune intelligenti, altre stupide. Anche se non si aspettano di avere una privacy completa, alla peggio possono aver pensato che qualche nerd nel reparto tecnico possa sbirciare nella loro posta, o che questa sia passata nei server della Nsa. Bene o male siamo abituati alle piccole violazioni anonime. Ma quello che è successo ai dipendenti di Sony Pictures è pubblico, ed è enorme”. Siamo vulnerabili in maniere che nemmeno ci immaginiamo, e ce ne accorgiamo solo dopo che le nostre vite online, che spesso sono sovrapposte alle nostre vite reali, vengono violate. Benvenuti nel nuovo mondo digitale, quello in cui le vittime degli hacker siamo anche noi.

[**Video_box_2**]Ce ne siamo accorti a settembre, quando su alcuni siti di condivisione di immagini sono improvvisamente apparse foto private e intime di Jennifer Lawrence, Kate Hupton e altre attrici di Hollywood. Prima poche immagini, poi centinaia. Alcuni malintenzionati sono entrati negli account iCloud delle attrici e hanno prelevato tutte le foto fatte con l’iPhone e caricate automaticamente sul cloud di Apple. Hanno selezionato quelle più private, quelle mandate al fidanzato o scattate per sé, e le hanno pubblicate su internet. Le foto, più o meno censurate, hanno fatto il giro della rete e dei tabloid, hanno fatto infuriare le attrici, che hanno paragonato il crimine a uno stupro, e hanno mostrato come i nostri smartphone siano vulnerabili. Si potrebbe dire che loro sono attrici milionarie e famose e bellissime, e chi potrebbe avere interesse nelle foto sgraziate che noi comuni mortali ci scambiamo con i nostri amanti? Il problema è che quando è così facile ottenerle, chi ci può garantire che qualcuno non abbia interesse anche nelle nostre foto sgraziate?

La facilità con cui gli hacker sono riusciti a entrare nei sistemi di aziende private e di singoli cittadini, e a rompere uno dopo l’altro i record per dati trafugati e violati, è uno dei punti più preoccupanti degli attacchi recenti. Poco prima dell’inizio del 2014, a due settimane dallo scorso Natale, il Secret service americano comunica a Target, la seconda catena di supermercati americana, con quasi 2.000 negozi, che alcuni hacker erano entrati nella sua rete informatica e avevano compromesso il sistema dei pagamenti. Sono entrati nel sistema quasi senza fatica, la protezione era scarsa, e hanno installato un malware, un programma-spia, che risucchia i dati degli utenti. A fine dicembre 2013 Target rivela che gli hacker hanno rubato oltre 40 milioni di numeri di carte di credito, a gennaio 2014 ammette che oltre alle carte di credito sono stati rubati altri 70 milioni di informazioni, come gli indirizzi e i numeri di telefono dei clienti. E’ un nuovo record. Le vostre carte sono comunque protette, annuncia Target, i pin erano criptati, ma un numero imprecisato di clienti inizia a vedere strani acquisti sul suo estratto conto: voli in Africa, prodotti di lusso. Le banche e le compagnie del credito sostituiscono le carte compromesse e rimborsano i clienti, ma il danno d’immagine è grande.

Passano pochi mesi, e il record di Target è battuto a settembre da un’altra grande catena di distribuzione americana, Home Depot. Questa volta gli hacker usano le password di un dipendente per entrare nel sistema e rubare 56 milioni di numeri di carte di credito e 53 milioni di indirizzi email dei clienti. Un mese dopo, a ottobre, la banca JPMorgan e altri 9 istituti di credito annunciano che un attacco sferrato durante l’estate da hacker forse di origine russa (le indagini non hanno mai definito se l’attacco è stato politicamente motivato) ha colpito 76 milioni di famiglie e 7 milioni di piccole imprese. Gli hacker hanno rubato nomi, numeri di telefono, indirizzi email, informazioni finanziarie sensibili. A novembre la casa di software Adobe, che produce Photoshop, ammette che i dati personali di oltre 36 milioni di utenti in tutto il mondo sono stati compromessi da un attacco hacker, ma secondo alcune analisi i numeri di Adobe sono fortemente sottostimati, e l’attacco riguarderebbe oltre 150 milioni di account. In primavera, un altro gigantesco attacco hacker aveva compromesso 145 milioni di account del sito di compravendita eBay. Anche centinaia di migliaia di utenti italiani hanno ricevuto le email preoccupanti di Adobe ed eBay che chiedevano di cambiare le password dei loro account. L’elenco potrebbe continuare, non solo con i nomi delle compagnie attaccate dagli hacker ma anche con i bug, le grandi falle del sistema scoperte quest’anno che hanno preoccupato gli esperti più dei singoli attacchi. Ad aprile è stato scoperto Heartbleed, una falla nel sistema di crittografia che consentiva agli hacker di leggere dentro le nostre transazioni protette e rubare informazioni. Non era un virus impiantato nel sistema, ma una falla già esistente (la più catastrofica dall’inizio di internet, l’hanno definita alcuni) che gli hacker si limitavano a sfruttare. A settembre è stato scoperto Shellshock, una falla che consentiva agli hacker di prendere possesso dei computer altrui. Quando la falla fu resa pubblica, la compagnia di sicurezza CloudFlare mostrò che subito dopo la notizia gli hacker fecero 1,5 milioni di attacchi al giorno prima che il problema fosse risolto.

Immaginate che nel mondo inizi a cadere un numero pazzesco di aeroplani, ha scritto Perlroth sul New York Times. La reazione sarebbe enorme, i governi istituirebbero commissioni, ci sarebbero revisioni delle regole, delle pratiche, dei mezzi. Molti attacchi hacker recenti sono stati un disastro paragonabile alla caduta di un aereo, e molti esperti dicono che il 2015 sarà ancora peggio, ma nessuno si è mosso davvero per ripensare il sistema. Ci sono molti tentativi isolati, e nuovi approcci. Per esempio si punta più alla prevenzione dell’attacco che al suo contenimento (il principio è: nessun sistema è invulnerabile, ma se so dove l’hacker colpirà posso prevenirlo), e il film dell’orrore di Sony Pictures è servito da lezione per molte aziende. “Non penso che ci manchi una cultura della sicurezza digitale”, dice al Foglio Bruce Schneier, esperto di sicurezza digitale alla scuola di legge di Harvard. “Penso che sia difficile, e che l’attacco sia più facile della difesa. Se c’è una cosa che ci manca, è una risposta coordinata”. E’ come se davanti a un numero impressionante di incidenti aerei, le compagnie di volo si occupassero ciascuna del suo caso e non cercassero di lavorare insieme per capire cosa stia succedendo. “Quest’anno è servito da sveglia sulla necessità di rispondere alle emergenze, non è possibile rispondere agli attacchi ciascuno a modo suo. Le aziende hanno bisogno di un piano e dei giusti strumenti”. Per noi utenti comuni, che abbiamo capito da poco che è in pericolo non solo il nostro computer, ma tutta la nostra vita digitale, il problema è diverso. “Purtroppo, sembra che molti utenti non sappiano come proteggersi meglio e che non conoscano le tecnologie che potrebbero usare per aumentare la loro sicurezza – dice al Foglio Graham Cluley – Per la maggior parte della gente, la sicurezza informatica è noiosa”. Che è un po’ come quando nessuno presta attenzione alle hostess che spiegano le norme di sicurezza su un volo.

• 

• Eugenio Cau

• E’ nato a Bologna, si è laureato in Storia, fa parte della redazione del Foglio a Milano. Ha vissuto un periodo in Messico, dove ha deciso di fare il giornalista. E’ un ottimista tecnologico. Per il Foglio cura Silicio, una newsletter settimanale a tema tech, e il Foglio Innovazione, un inserto mensile in cui si parla di tecnologia e progresso. Ha una passione per la Cina e vorrebbe imparare il mandarino.