Attacco hacker? Ci pensa Google
Otto video lezioni per capire dove attaccano e cosa vogliono. Raoul Chiesa: “Non vi è cultura della prevenzione”
Non c’è niente di meglio per difendersi dai pirati informatici che conoscere come agiscono e dove puntano. Per questo Google ha prodotto un video-manuale (disponibile qui) che spiega nello specifico come difendere il proprio sito web dagli intrusi. Si tratta di una serie di regole adatte anche ai novizi, che permettono di avere sotto mano un kit di primo soccorso nel caso il proprio sito web sia stato violato da qualche male intenzionato. Cresce la piaga dei cyber criminali e anche l’Italia non è da meno. Al recente Security Summit di Milano, l’esperto di hacker e consulente informatico Raoul Chiesa ha svelato come il 7% degli obiettivi di Stuxnet, il worm che spiava sistema informatici governativi, sono stati localizzati in Italia, mirati a colpire aziende nostrane. A questo punto non è chiaro se gli addetti italiani non si sono accorti dell’intrusione oppure se l’anno snobbata pensando, come spesso accade, che se proprio gli hacker mirassero all'Italia, gli ultimi ad essere attaccati sarebbero stati loro. La realtà è ben diversa e violazioni recenti, anche destinate ad aziende medio-piccole, ha fatto emergere una situazione di prevenzione pressoché inesistente, e non solo in Italia.
Sarà per questo che Google ha deciso di dare una mano a coloro che per la prima volta si affacciano al mondo del web dal lato della produzione più che della fruizione. Il video-manuale di Webmaster Help è composto da otto lezioni, la prima è già online ed è solo in inglese (ma con la possibilità di avere i sottotitoli nella lingua madre per capirci un po’ di più). “Se gli hacker entrano nel tuo sito possono fare più danni di quanto pensi – si ascolta nel video - perché potrebbero aggiungere delle stringhe di testo e reindirizzare gli utenti verso siti maligni o fuorvianti con lo scopo di ricavare informazioni personali pericolose”.
Il problema è che gli hack sono spesso invisibili agli utenti, e pur rimanendo pratiche dannose sono spesso contrastabili. Nella prima puntata del video-manuale Google delinea le prime cose da fare dopo essersi accorti di avere tra le mani un sito web hackerato. Il primo passo è scaricare il database di file che compongono il sito, scaricandolo dall’FTP oppure, se non raggiungibile, contattare il servizio che ospita il sito e far procedere loro con il recupero, ovviamente dopo aver verificato di essere il reale possessore del dominio e titolare dei contenuti pubblicati. I passi successivi aiuteranno ad identificare il problema con l’ausilio dei comandi di base dei Webmaster Tools, e una volta identificata la vulnerabilità, trovare una soluzione con l’aiuto di esperti ai quali chiedere anche un check-up dell’intero sito.
Diversamente dal passato, oggi le minacce hacker possono colpire non solo quei siti che risiedono su host privati, ma anche le piattaforme di aggregazione più famose. Secondo il Rapporto delle minacce 2013 di Websense, nel 2012 il web è diventato notevolmente più nocivo, sia come vettore che come elemento primario di supporto per altre traiettorie di attacco (ad esempio social media, dispositivi mobili, email). Websense ha registrato un incremento di siti dannosi di quasi 6 volte quello del 2012, in cui l’85% degli attacchi si rivolge ad host web legittimi per comprometterli. Durante il Summit Raoul Chiesa e Stefano Mele, avvocato esperto di diritto delle tecnologie, privacy, sicurezza e intelligence, hanno lanciato una provocazione a tutti gli hacker italiani, sulla scia di quanto espresso dai colleghi statunitensi: “Se il tuo paese dovesse avere bisogno di te lo aiuteresti gratis, a pagamento o non lo aiuteresti per nulla?”. Alla stessa domanda gli hacker USA coinvolti hanno risposto in maggioranza di voler lavorare anche gratis per difendere il proprio paese in caso di una cyber war.
In Italia non manca nulla per creare un sistema di difesa cyber degno di quello delle altre potenze mondiali. “Il problema – spiegano i due relatori al Summit – è che lo Stato pensa ci vogliano montagne di soldi per finanziare progetti del genere ma in realtà non è così e ci si ricorda dell’esistenza del problema solo nei momenti di criticità. Non vi è una cultura della prevenzione”. Giusto per fare un paragone Chiesa e Mele confrontano il sistema di sicurezza cyber italiano a quello di altri paesi, non considerati economicamente come il nostro: “In Italia siamo bravi, ma non abbiamo strumenti di protezione adeguati. Se ci attaccasse la Croazia, ad esempio, prima di accorgercene i loro sistemi informatici ci avrebbero già sconfitto”.
Seguimi su Twitter: @Connessioni