Hack & Sec

8 Ottobre Ott 2017 1836 08 ottobre 2017

Si può vedere e non credere? Ebbene si

  • ...

Tre miliardi, le caselle di posta di Yahoo!, diciotto milioni, i profili trafugati dalla piattaforma per i commenti Disqus, tre milioni, il numero presunto di computer infettati da un malware veicolato dal software CCCleaner, novemila le potenziali vittime della violazione del servizio “Filodiretto” del Comune di Bergamo.

Leggendo i numeri degli ultimi dieci giorni mi sovviene una ricerca dello scorso aprile di Kaspersky Lab, azienda produttrice di soluzioni di sicurezza. Secondo lo studio, il 92 per cento degli italiani non pensa di potere essere vittima di un attacco informatico, ma un utente su cinque è stato vittima dei criminali della Rete. Mettendo in relazione i due dati si scopre che almeno il 12 per certo dei nostri connazionali è stato oggetto di un attacco on line, ma crede di non essere un obiettivo. Dobbiamo pensare, quindi, che per la maggioranza dei nostri concittadini la matematica è un’opinione. I numeri non chiedono un atto di fede per prendere coscienza della realtà, basta leggerli, ma questa è un’abitudine che molti hanno perso da tempo, almeno al cospetto delle nuove tecnologie dell’informazione. Non si spiegherebbe altrimenti il successo dei malware veicolati tramite messaggi di posta elettronica, i cui testi farebbero impallidire una maestra delle elementari. A questo problema si aggiunge la sindrome da clic ossessivo compulsivo, che affligge la quasi totalità degli utilizzatori di strumenti elettronici. Anche in questo caso qualsiasi cosa sia necessario leggere viene ignorata appena si nota il pulsante “Accetta” o “Avanti” che attirano l’attenzione dell’utente, tanto quanto un falena resta affascinata dalla luce. L’atteggiamento è paragonabile a quello di un branco di gazzelle che rincorre i leoni cercando a tutti i costi di farsi divorare. Non sembra un caso che un altro report di Kaspersky, reso noto a fine settembre, rileva che la criminalità informatica ha iniziato a tagliare i costi. Invece di concentrarsi sulla realizzazione di complessi exploit che sfruttano vulnerabilità ancora sconosciute dei software, preferisce concentrarsi maggiormente sull’analisi dell’elemento umano. Un vero ritorno al passato che mi ha fatto tornare in mente quanto, nel marzo del 2000, un certo Kevin Mitnick affermò davanti a una commissione del Senato degli Stati Uniti “… Nella mia esperienza, quando volevo provare ad accedere a determinati sistemi informatici, il mio primo tentativo di attacco era quello che definisco social engineering, che significa provare a manipolare qualcuno, magari via telefono, attraverso qualche forma di inganno. E funzionava talmente bene che raramente sono stato costretto a dover tentare un attacco di tipo tecnologico”. Il personaggio in questione è stato il criminale informatico più ricercato degli anni Novanta, catturato nel 1995, dopo dieci anni in fuga, e condannato a cinque anni di carcere per avere violato i sistemi informatici di alcune delle più note aziende statunitensi.

Abbiamo capito che la semplice osservazione della realtà e dei “numeri” non bastano a creare quel minimo di consapevolezza che spinga le persone a tornare a leggere, da un lato, e a desiderare di comprendere come evitare di essere delle vittime di un crimine informatico, dall’altro. A questo si aggiunge la mia personale esperienza. Nel mio piccolo, dopo avere dedicato ben tre libri a questo argomento, ho fatto conferenze in giro per tutta Italia. Durante questi convegni utilizzo molto l’aneddotica e racconto le disavventure on line riferitemi da decine di utenti e alla fine tutti ridono. Incredibile no?

Correlati