La diffusione delle tecnologie dell'informazione e della comunicazione a cui abbiamo assistito in questi anni è stata caratterizzata, tra le altre cose, dalla diffusione di un fenomeno degenerativo rappresentato dagli attacchi o intrusioni informatiche. Gli attacchi informatici sono attività svolte da terze parti che, sfruttando errori commessi nella fase di progettazione e realizzazione dei suddetti strumenti, riescono ad accedere, a nostra insaputa, ai nostri computer ed alle informazioni in essi memorizzate; in questo ultimo periodo sono stati caratterizzati da un cambio di prospettiva preoccupante. Se fino ad un paio di anni fa il principale obiettivo degli attacchi informatici erano i server
questi ultimi due anni sono stati mirati ad acquisire informazioni e sistemi del singolo utente. Le ragioni di questo cambio di prospettiva sono diverse: i sistemi degli utenti sono mediamente molto meno protetti di quelli di un'azienda e quindi più facili da attaccare con successo, i sistemi di utenti finali contengono comunque informazioni particolarmente utili, e con la diffusione della banda larga anche un singolo PC diventa una macchina sufficientemente potente per l'effettuazione di attacchi.
Lo scenario contemporaneo è dominato da diverse forme di attacco tutte mirate ad un unico obiettivo: il furto dell'identità digitale, ossia, tutte quelle informazioni usate da un utente per dimostrare la propria identità in tutte le transazioni svolte in rete. Ad esempio il codice utente e la password usate per accedere ad un servizio di e-banking, i dati della carta di credito usati per effettuare commercio elettronico, codice utente e password per accedere ai PC aziendali, ecc.
Le tecniche più usate per il furto di identità digitale sono il phishing e lo spyware. Con il primo si dirotta un utente su un sito civetta del tutto simile a quello usato dall'utente per svolgere alcuni particolari servizi (solitamente si tratta di servizi di home banking o e-commerce), e lo si invita a svolgere alcune operazioni tra cui la digitazione dei codici di accesso, che saranno intercettati, per poi essere illegalmente utilizzati. Lo spyware, invece, è un programma che viene occultato all'interno di altri programmi o allegati di posta elettronica. Quando un utente scarica questi programmi o apre inavvertitamente questi allegati, lo spyware si attiva automaticamente e da questo momento è in grado di intercettare tutte le operazioni che un utente esegue sul proprio PC. Informazioni che provvede ad inviare in rete ad una destinazione ben definita. Sia lo spyware che il phishing sono attacchi basati su un'unica assunzione: gli utenti finali sono molto a digiuno di competenze informatiche ed in questo ambito è facile raggirarli. Il successo che questi attacchi stanno riscuotendo dimostra che l'assunzione è corretta. Ovviamente il mondo della ricerca ha individuato le necessarie contromisure per poter far fronte a questi attacchi, soluzioni queste che dovrebbero essere adottate sia da parte degli utenti che da parte di chi realizza i servizi di rete. Vediamo brevemente quali sono questi strumenti sia lato utente che lato azienda, cominciando dai primi.
Gli strumenti realizzati e disponibili per gli utenti finali sono: antivirus, antispyware e personal firewall. Il corretto uso di questi strumenti consente, nell'ordine: di rilevare in tempo reale la presenza di virus sul computer e provvedere alla loro eliminazione, di rilevare in tempo reale la presenza di spyware sul computer e provvedere alla loro
eliminazione e di individuare attività anomale svolte sul computer e quindi prevenire forme di attacco diverse da virus e spyware.
Con il ricorso a queste tecnologie, il computer di un utente può godere di un livello di protezione più che soddisfacente; il problema è che l'utente medio o non le usa, perché inconsapevole del problema, o le usa male (non effettua gli aggiornamenti periodici, non predispone adeguatamente le configurazioni, li disabilita e poi si dimentica di riabilitarli, ecc.) perché si tratta comunque di tecnologie troppo complesse per l'utente medio.
In questo contesto sono stati individuati una serie di strumenti tecnologici che possono contribuire a rendere molto più difficile l'effettuazione di attacchi, anche se questi potranno essere completamente elusi solo quando si riuscirà ad ottenere la fattiva collaborazione degli utenti finali.
Quali sono questi strumenti?
L’utilizzo del protocollo di sicurezza Socket security language (Ssl) e quindi la crittografia dei dati trasmessi in rete (attualmente si parla di crittografia a 128 bit), l’utilizzo di strumenti di autenticazione forte, quali i certificati digitali per l’identificazione e autenticazione dell’utente nonché quegli strumenti che rendono inutilizzabili, da parte di chi le carpisce, le informazioni raccolte durante gli attacchi di phishing e spyware. In questo contesto stanno assumendo una certa rilevanza i codici di accesso one-time, cioè utilizzabili una sola volta. Il principio su cui è basato tale meccanismo è il seguente. Ogni utente di un sistema viene fornito di un generatore di codici di accesso della dimensione di un portachiavi, che genera un diverso codice di accesso ogni 60 secondi. Quando un utente si collega ad un servizio dovrà inserire il codice di accesso generato in quel momento dal suo “portachiavi”; è ovvio che se anche qualcuno riuscisse a carpire questo codice non potrà usarlo in alcun modo. Estremo interesse stanno suscitando anche le tecniche biometriche che consentono di associare i codici di accesso ai servizi, agli attributi fisici di una persona quali il viso, la voce, l'iride, la retina, l'impronta digitale, la geometria della mano, la firma manoscritta. In questo modo l'accesso ad servizio è vincolato “fisicamente” al legittimo utente. I progressi fatti in questo settore negli ultimi anni sono davvero molto impressionanti, sia dal punto dei costi che della precisione. Sono oggi presenti sul mercato tecnologie il cui
precisi con percentuali di errore molto ridotte (che si aggirano su un errore ogni milione di casi considerati)74.
Un diverso approccio al problema è rappresentato da soluzioni che consentono di creare e gestire il profilo comportamentale di ogni utente e attraverso un’analisi della sua operatività per dedurre in tempo reale operazioni in linea con il suo profilo o tali da ricondurre a possibili atti illeciti. I comportamenti tipici o previsti sono raffrontati durante le transazioni e valutati alla luce del rischio e dell’esposizione generali. Una tecnica complessa utilizza dati statistici per confrontare una particolare richiesta di transazione con il profilo dell’utente al fine di individuare operazioni inusuali. I profili dei comportamenti previsti sono creati in base alle reazioni normali dei clienti e relative a sequenze di transazioni abituali (il cliente solitamente controlla prima il saldo del conto, poi riscatta le partecipazioni e trasferisce i fondi, ecc.).
Non ultimo un programma di sensibilizzazione dei clienti sui temi della sicurezza informatica e i rischi che ne possono derivare rappresenta un elemento fondamentale per completare e rendere efficace la gestione della sicurezza e le soluzioni tecnologiche adottate75.
La necessità di fronteggiare attacchi di massa, che spesso includono più istituti nelle loro singole manifestazioni, ha portato le banche ad evidenziare con sempre maggior convinzione la necessità di effettuare azioni a livello di sistema, in parallelo rispetto alle iniziative avviate dai singoli istituti. Al riguardo, la Centrale d’allarme ABI Lab per attacchi informatici ha attivato una mailing list per la collaborazione, su base volontaria, di tutti i soggetti coinvolti nel percorso delle frodi tramite Internet, ivi comprese le Forze dell’ordine. Le attività effettuate tramite la lista riguardano:
• l’invio di comunicazioni di sistema da parte dell’ABI su particolari criticità connesse allo sviluppo dei fenomeni fraudolenti su Internet,
• l’invio di comunicazioni da parte delle Forze dell’ordine relativamente a richieste non formali di collaborazione su temi di rilievo per la repressione delle frodi,
• lo scambio di informazioni tra singoli componenti della lista, al fine di individuare le modalità più opportune di collaborazione per il contrasto delle frodi in corso.
74 McAFEE, BPM, L’internet banking nell’era della sicurezza, 2005, pagg. 2-3.
Alla mailing list attualmente partecipano i referenti della Polizia Postale e delle Comunicazioni e 15 banche. Ma l’auspicio è di poter estendere l’adesione a tutti gli istituti interessati76.
Le soluzioni sopra descritte, faranno molto presto l'ingresso nel mondo dei servizi di rete in particolare nel mondo dell'home-banking, che non solo è tra i settori più minacciati da queste nuove forme di attacco ma è anche tra i settori più attenti all'adozione di tecniche e strumenti di contenimento. Se l'adozione di questi strumenti diminuirà di molto la probabilità di successo di un attacco di furto di identità, questo non significa che il problema debba essere considerato risolto. Sono recentemente apparse in letteratura alcune tecniche di intrusione che se venissero implementate con successo riuscirebbero a consentire il superamento, sia di credenziali one-time che di tecniche biometriche. Ci riferiamo al Hijacking (dirottamento), una tecnica, teoricamente nota da molto tempo, che consentirebbe ad un attaccante di intromettersi in una comunicazione tra due parti, ad esempio un utente e la propria banca, e sostituire l'utente dopo che la banca lo ha correttamente riconosciuto. In questo caso il furto d'identità diventa inutile perché l'utente viene sostituito dopo che si è fatto riconoscere. La tecnica è ancora in fase di perfezionamento e ad oggi è usabile solo in contesti molto particolari, va ovviamente studiata ed osservata attentamente perché una sua generalizzazione alla rete Internet metterebbe a repentaglio la stragrande maggioranza dei servizi di rete oggi disponibili.
In questo contesto emerge con forte evidenza la rilevanza di una componente fondamentale di ogni strategia di sicurezza ICT, troppo spesso trascurata nel nostro paese, lo studio e la ricerca. La sicurezza informatica è una continua lotta tra chi da una parte individua nuove tecniche di intrusione e dall'altra chi cerca le contromisure per annullarne gli effetti, solitamente vince chi ha il maggiore know-how77.