Il panorama delle minacce: parliamo di come si evolve l'hacking con Adrianus Warmenhoven

Molte aziende pensano ancora che gli hacker siano dei programmatori incappucciati che si nascondono in remote sale dei server, dove scrivono infinite righe di codice per violare i loro obiettivi. In realtà, l'intero ambito dei crimini informatici si è trasformato in modo quasi irriconoscibile. La pirateria informatica non è più un passatempo anticonformista, bensì un vero e proprio business che si intreccia con affari e politica.

Adrianus Warmenhoven, consulente di sicurezza informatica e portavoce di Nord Security, ha esperienze dirette con l'hacking etico. Abbiamo fatto con lui una chiacchierata su diversi argomenti: come è cambiato l'hacking negli ultimi decenni, da quali motivazioni sono spinti i criminali informatici, qual è stato l'impatto dei recenti sviluppi dell'IA e perché la vera minaccia in agguato nell'ombra non è rappresentata dagli esseri umani, bensì dai robot.

Cominciamo parlando di chi, e cosa, finisce nel mirino degli hacker. Le imprese di ridotte dimensioni, ad esempio, spesso ritengono di essere dei pesci troppo piccoli per attirare l'attenzione dei criminali informatici. Cosa diresti loro?

R: In sostanza, la pirateria informatica è un business vero e proprio. Nessun hacker si sveglia pensando: "Ma sì, oggi movimenterò la vita di qualcuno". Ciò che vogliono davvero questi criminali sono i soldi: se riuscissero a estorcere anche solo 5 centesimi da un milione di persone, si ritroverebbero comunque con un patrimonio di 5 milioni di centesimi.

Le tecniche impiegate dagli hacker possono variare in base alle dimensioni del bersaglio, ma l'interesse rimane lo stesso: chiunque è una potenziale vittima. Nel caso delle grandi aziende, di solito gli hacker prendono di mira gli account degli amministratori; per attaccare le persone comuni, invece, ricorrono spesso a tecniche come il phishing.

Sul dark web, i dati degli account di aziende e persone hanno lo stesso prezzo?

In realtà la questione non è tanto il prezzo in sé, quanto piuttosto ciò che si può fare con questi dati. Gli account aziendali di solito hanno un maggior valore, ma al contempo sono anche più transitori e volatili: i team addetti alla sicurezza possono infatti ovviare in tempi rapidi ai problemi e reimpostare gli account quando scoprono una violazione.

Gli indirizzi e-mail verificati sono davvero economici, ed è possibile ottenerne circa 10.000 pagando appena 5 dollari; anche le password sono decisamente a buon mercato, dal momento che bastano uno o due dollari per acquistarne circa duemila. Alla fine, tutto dipende da cosa si vuole fare con questi dati.

Diresti che la maggior parte degli hacker ha come fine ultimo il guadagno?

Sì. In effetti, al giorno d'oggi, molti hacker che lavorano per organizzazioni criminali non si rendono nemmeno conto di ciò che fanno. Sostanzialmente, lavorano solo come sviluppatori.

In passato esistevano anche gli hacktivisti, che erano spinti da motivi etici o ideologici, ma la loro identità è cambiata col passare del tempo. Un tempo protestavano contro società petrolifere e similari, mentre oggi vediamo un numero crescente di hacktivisti schierarsi al fianco di governi nazionali per ottenerne il sostegno. L'obiettivo rimane comunque il guadagno economico, nel quale tuttavia si insinua sempre di più la politica.

In Europa è molto forte anche la motivazione di guadagnarsi il rispetto da parte dei "colleghi", ovvero altri hacker. Un mio amico, ad esempio, non punta più al denaro perché ormai ne ha abbastanza, ma si dedica a Microsoft e può quindi affermare: "Ho hackerato la rete Xbox", ottenendo così riconoscimento.

La linea di demarcazione tra hacking "white hat" e "black hat" è sfumata?

L'intero discorso riguardante l'hacking etico e non etico è piuttosto articolato, e si complica ulteriormente quando si parla di divulgazione coordinata delle vulnerabilità. Ad esempio, molte aziende hanno programmi del tipo "Se trovi un bug e ce lo segnali, ti offriamo una ricompensa"; anche Nord lo fa. Molti hacker guadagnano cercando bug per aziende come Microsoft e Apple: una sola falla scoperta può valere alcune centinaia di migliaia di dollari.

I cacciatori di bug non cercano tanto il denaro, quanto piuttosto il brivido. Dal punto di vista tecnico sono molto abili, ma si annoiano anche molto velocemente; di conseguenza è bene tenere d'occhio gli hacker, perché c'è sempre il rischio che passino al lato oscuro.

Nei Paesi Bassi, tutti – hacker, aziende, servizi segreti, militari, forze dell'ordine – conoscono tutti: è parte integrante della nostra cultura. Se un hacker si rivolgesse alle forze dell'ordine, queste non gli risponderebbero: "Sei un hacker, quel che hai da dire non ci interessa". Tutti invece si aiutano a vicenda nel campo della sicurezza nazionale, e vorrei che anche nel resto del mondo si iniziasse a fare così.

Le normative in Europa sono molto favorevoli e la legge ti tutela se sei in grado di dimostrare di aver hackerato qualcosa a fin di bene. Nei Paesi Bassi le tutele sono persino maggiori: se informo immediatamente il produttore o la persona che ho hackerato, non andrò incontro ad alcuna conseguenza legale. Il governo regala addirittura una t-shirt con la scritta: "Ho hackerato il governo olandese e in cambio mi ha dato solo questo schifo di maglietta". Si tratta di un trofeo ambitissimo, perché è una sorta di medaglia al valore di cui vantarsi. Negli Stati Uniti, il governo conferisce medaglie vere e proprie: per gli hacker queste attestazioni di merito hanno un valore enorme.

Tutto questo potrebbe spingere i criminali informatici a tornare sulla retta via?

Sì: al giorno d'oggi, molti hacker lavorano effettivamente per aziende che si occupano di sicurezza. Ma ciò fa parte della cultura della pirateria informatica sin dagli anni '90, quando tu violavi qualcuno e lui ti ricambiava il favore. Alla fine, chi vince è il più furbo.

Parliamo del cosiddetto "hacking come servizio". Le aziende potrebbero assoldare degli hacker per sabotare la concorrenza?

Possono, e lo fanno. C'è anche chi mette a disposizione del miglior offerente le proprie competenze per scovare le vulnerabilità, e di questi servizi usufruiscono sia aziende che stati nazionali. Sul dark web, ad esempio, sono disponibili innumerevoli annunci del tipo "Posso hackerare", oltre a proposte più di nicchia come "Posso escludere dai risultati di Google il tuo concorrente" o "Posso recensire il tuo rivale con 10.000 opinioni negative": se hai denaro a sufficienza, puoi comprare praticamente di tutto.

Esiste un metodo infallibile per proteggersi dagli hacker, oppure l'unica cosa da fare è sfruttare al meglio gli strumenti a propria disposizione?

In effetti, una soluzione c'è: rimanere offline. Naturalmente sto scherzando, ma l'identità digitale è qualcosa che cerco di spiegare in continuazione agli altri. La gente crede che la dimensione fisica delle persone sia la parte più importante, ma in realtà non è così: la nostra identità digitale ha un valore superiore. Se in questo momento dovessimo cadere a terra stecchiti – cosa che, naturalmente, mi auguro non accada – la nostra identità digitale continuerebbe ancora a effettuare transazioni, ricevere messaggi e avere valore nel mondo. Quando il corpo fisico cessa di esistere, è senz'altro terribile, ma la cosa finisce lì; l'identità digitale è invece una parte duratura di noi e dobbiamo quindi prendercene cura. Permane anche quando ci scolleghiamo da internet o lasciamo questo mondo, e continua a fare ogni genere di cose. Tutti i nostri profili, conti correnti, notifiche... ogni cosa che abbiamo online rimane una parte di noi, come il nostro avatar nel mondo digitale, e continua a funzionare.

L'IA aiuta i criminali informatici a indovinare e rubare le password?

Indovinare? No. Rubare? Sì. Ecco perché.

Uno strumento di intelligenza artificiale non può indovinare le password, a causa del modo in cui vengono conservate. Le password sono solo combinazioni complesse e, con l'aumentare della loro lunghezza, diventa sempre più difficile violarle. Da un punto di vista matematico è impossibile sfruttare l'IA per condurre con successo attacchi di forza bruta, soprattutto perché l'intelligenza artificiale non è in grado di formulare ipotesi migliori delle formule matematiche ottimizzate che già esistono.

Detto questo, c'è una sottigliezza da considerare. Se usi sempre lo stesso tipo di password, l'IA può prevedere eventuali schemi ricorrenti nelle tue credenziali. Quando cercano di violare un account, i criminali informatici non iniziano provando "AAAAA" come password, ma usano invece combinazioni più probabili per l'utente. In sostanza, un hacker può acquistare tutte le password che ti sono state rubate a causa di una violazione; basta poi aggiungere qualche elemento in più, come informazioni ottenute dai tuoi account sui social, e lasciare che l'IA preveda quale sarà il primo milione di password da provare. L'intelligenza artificiale può quindi aiutare a fare dei tentativi, ma non è in grado di indovinare le password meglio degli algoritmi attualmente in uso.

Per quanto riguarda invece il furto di password, l'IA può essere molto utile. Anche se non conoscono alcun linguaggio di programmazione, i malintenzionati possono sviluppare codici dannosi di ogni tipo usando l'intelligenza artificiale; tutto ciò che devono fare è copiarli e incollarli. Possono anche sfruttare l'IA per assumere l'identità di ignari utenti, analizzando come comunicano sui social media e con chi parlano.

Supponiamo che tu dialoghi abitualmente sui social con una persona di cui ti fidi. Se io decidessi di addestrare l'IA usando le sue risposte, potrei imparare a scrivere come questa persona; dopodiché, per farti abbassare la guardia, non dovrei fare altro che condurre un attacco di phishing personalizzato inviandoti un'e-mail scritta con il suo stile.

Questo vuol dire che l'IA può essere usata per prevedere schemi ricorrenti nelle password?

Sì. Ad esempio, se la tua password è il titolo dell'album di un cantante che ti piace, l'IA può prevedere che, quando uscirà un nuovo disco, ne userai il nome come password. Ecco perché è bene usare un generatore di password: poiché crea sequenze casuali e del tutto imprevedibili, mette completamente fuori gioco l'IA.

Vero o falso: gli hacker incappucciati del nostro immaginario collettivo non esistono più. Oggi le vittime sono invece in balia dei bot.

Mi fa sorridere il fatto che io stesso non abbia mai indossato felpe con cappuccio; le trovo davvero scomode per lavorare. Scherzi a parte, l'idea degli hacker incappucciati è sostanzialmente una trovata cinematografica, ma non è questo il punto.

È corretto affermare che, al giorno d'oggi, i criminali informatici che agiscono per proprio conto sono praticamente spariti. Si possono incontrare qua e là, certo, ma non rappresentano una minaccia strutturale; magari hackerano una scuola o un vicino di casa antipatico. In sostanza, il rischio che ci attacchino è paragonabile a quello di camminare per strada ed essere presi a pugni in faccia da uno sconosciuto.

Per quanto riguarda i bot, i criminali – e in particolare le organizzazioni criminali – hanno scoperto che è possibile automatizzare molti passaggi. Man mano che le procedure diventano automatiche, cresce anche la portata: i 5 centesimi di cui parlavo all'inizio ora potrebbero essere sottratti non a un milione di persone, bensì a un miliardo. Per poterlo fare servono molti bot e, ancora una volta, ciò significa che siamo tutti a rischio. A meno che tu non sia la specifica vittima designata, è molto difficile che un singolo hacker ti prenda di mira. Oggi persino le attività di hackeraggio di enti e istituzioni sono sostanzialmente delle procedure formali; supponiamo, ad esempio, che qualcuno abbia violato la sicurezza informatica di un ospedale. La struttura colpita assolda un negoziatore specializzato in ransomware, mentre dall'altra parte gli hacker hanno un proprio intermediario che non sa nemmeno chi siano i suoi committenti. Tra l'altro, questo crea anche nuovi posti di lavoro nel settore della sicurezza informatica. È tutta una questione di business e i bot sono solo uno dei tanti strumenti al suo servizio, come un carrello elevatore per i carichi pesanti.

Di questi tempi, l'hackeraggio delle catene di fornitura è una cosa di cui preoccuparsi?

Dipende. Nei Paesi Bassi, i servizi segreti gestivano un servizio di crittografia che veniva usato da un gran numero di criminali; la polizia olandese non doveva fare altro che starsene comoda, ridendo sotto i baffi, mentre tutte le informazioni relative ad acquisti e attività arrivavano ai suoi server sotto forma di testo in chiaro.

Gli attacchi informatici alle catene di fornitura saranno sicuramente una questione che i Paesi dovranno affrontare nell'imminente futuro, dal momento che le conseguenze possono essere inimmaginabili. Supponiamo che tu abbia hackerato un sistema hardware fondamentale – ad esempio di ASML, un'azienda olandese che produce componenti per i chip – per condurre attacchi ransomware non solo a danno del produttore, ma anche dei suoi clienti. Intel, Apple, Nvidia e tutte le aziende che si affidano ad ASML finirebbero nel caos totale, perché non potrebbero più produrre nuovi chip. Di sicuro tutte queste aziende si alleerebbero per scovarti, e anche i servizi segreti si metterebbero sulle tue tracce; finiresti nel mirino di praticamente tutte le forze dell'ordine sulla faccia della Terra.

L'avvelenamento delle catene di fornitura, che consiste nell'introdurre malware nei loro componenti, si diffonderà sempre più a causa della quantità sterminata di oggetti a basso prezzo che compriamo su internet. Sul pianeta esistono forse otto fabbriche che producono tutti gli articoli in dropshipping che acquistiamo: non fanno altro che applicare un'etichetta diversa, ma l'origine è sempre la stessa. Un hacker potrebbe proporre a questi fornitori: "Per ogni chiavetta USB con il mio firmware che spedirai, ti pagherò un dollaro". Poi le persone comprano quelle unità USB, le collegano e ogni dispositivo viene hackerato; davvero un gioco da ragazzi.

Ritengo inoltre che gli hacker si dedicheranno ad attività più mirate. Al momento i criminali informatici non hanno ancora monetizzato o compreso come farlo in modo efficiente senza attirare su di sé l'attenzione, ma la questione diventerà centrale in futuro. I mondi del business fisico e digitale sono ormai legati in modo indissolubile. Prendiamo ad esempio il porto di Rotterdam, che spende enormi somme di denaro per la sicurezza informatica perché i trafficanti di droga nei Paesi Bassi causano problemi in continuazione. Proprio quest'anno, alcune persone sono state arrestate mentre cercavano di saccheggiare un container di rifornimenti.

Alla luce di tutto ciò, gli attacchi alle catene di fornitura non sono ancora una questione di primo piano, ma sono piuttosto sicuro che lo saranno nei prossimi anni, soprattutto a causa dell'influenza di hacker al soldo di stati nazionali.

Cos'è più redditizio per gli hacker: rubare i dati e venderli, oppure chiedere un riscatto?

I ransomware fanno entrambe le cose. In passato, o si chiedevano riscatti o si commettevano furti, mentre oggi i malware offrono il pacchetto completo. Gli hacker inviano tutti i file rubati a un archivio remoto, crittografandoli; dopodiché, possono rivenderli se la vittima non paga il riscatto. In questo modo, comunque vada, i loro sforzi verranno ricompensati.

I più grandi gruppi che sfruttano questi malware in realtà si attengono a una sorta di "codice d'onore criminale". Se paghi il riscatto, decritteranno il tuo disco ed elimineranno i loro file di backup perché – anche se capisco che fidarsi dei criminali sia controintuitivo – la fiducia è l'unica cosa che induce le persone ad aprire il portafogli.

Un altro motivo che spinge i criminali a commettere furti è evitare di inserire strumenti di decrittazione nei loro malware. Ad esempio, in Europa le aziende possono usufruire di decrittatori gratuiti attraverso nomoreransom.org, uno strumento dell'Europol. Quando individuano delle falle nel codice di crittografia, possono capire come decrittare i dati senza dover pagare nulla; le autorità di polizia poi condividono questi strumenti di decrittazione. Se sei un criminale e il tuo malware non contiene decrittatori, non può essere analizzato. Anche se la crittografia che usi avesse delle falle, puoi comunque salvare un backup dei dati rubati nel tuo spazio di archiviazione e, se qualcuno finisse col pagare, ti basterà inviarglielo.

Molte persone e aziende continuano a rifiutare le richieste di riscatto, a causa del luogo comune secondo cui basterebbe che tutti smettessero di pagare per fermare i criminali. In realtà, gli hacker non si lasciano certo prendere dallo sconforto, dicendo: "Accidenti, anche stavolta è andata male. Meglio dedicarci ad altro". Anche se davvero facessero qualcos'altro, la loro priorità sarebbe comunque ottenere denaro in modo illecito.

Prima hai detto che alcune persone non sanno di lavorare con i criminali informatici. Come fanno gli hacker a trovare questi ignari complici?

Esiste un'intera branca della psicologia che studia i criminali informatici e i modi in cui ingannano le persone. Ad esempio, i dipendenti di call center che gestiscono l'assistenza per i ransomware spesso non sanno di lavorare per dei criminali; sono semplicemente assunti come lavoratori a basso costo per rispondere alle chat e seguire un preciso copione, come se si trattasse di qualsiasi altro prodotto legittimo. Non sanno per chi lavorano e, in fin dei conti, la cosa non gli interessa affatto: oggi offrono supporto tecnico per un hacker, domani gestiranno le chiamate per IBM o qualsiasi altro datore di lavoro.