Ecco come e perché gli hacker fanno sempre più paura

da Dublino

Più prudenti, meglio organizzati, incredibilmente efficaci. Spesso, devastanti. Il 2013 è stato l’anno della riscossa degli hacker, in particolare quelli specializzati nel furto delle identità di utenti e organizzazioni. Ne hanno rubate 552 milioni, contro i 93 del 2012. Quasi 6 volte di più. Oltre il doppio rispetto al 2011, quando si erano fermati a quota 232 milioni. A svelarlo è il nuovo «Internet Security Threat Report» di Symantec, il rapporto appena presentato a Dublino sulle minacce lanciate dai criminali digitali su web, social network e dispositivi mobili.

Sia chiaro: non hanno sottratto informazioni irrilevanti, ma dati cruciali come il nome e il cognome delle loro vittime, le date di nascita, il numero di previdenza sociale. Che negli Stati Uniti, come la letteratura cinematografica ci insegna, è il lasciapassare per una serie di servizi fondamentali, a partire dalle cure mediche. E noi italiani non dobbiamo affatto pensare di essere al sicuro o al riparo da questi attacchi: siamo il decimo Paese al mondo a essere bersagliato. Ai primi posti ci sono Stati Uniti, Cina, India, evidentemente per dimensione geografica. Ma il 2,35 per cento delle minacce è transitato nelle vene delle reti tricolore.

A mutare, a evolversi, è stato soprattutto il modus operandi degli hacker. Anziché accontentarsi delle briciole, di puntare a pesci piccoli raccogliendo qualche informazione, hanno calibrato i loro cannoni verso le coordinate di obiettivi ambiziosi. E hanno avuto la meglio. Il rapporto di Symantec fa notare come siano stati ben 8, nel corso del 2013, gli attacchi in cui sono state violate più di dieci milioni di identità. Un oceano di informazioni sensibili passati a disposizione delle tastiere sbagliate. Tutte in una volta. Di così grossi, di così importanti, nel 2012 ne era stato registrato appena uno. La situazione è talmente preoccupante che gli esperti dell’azienda evidenziano come questo tipo di azioni siano state le più dannose della storia del cybercrimine.

Nei suoi laboratori nella sede poco fuori il capoluogo irlandese, in un edificio con ampie vetrate, travi di ciliegio, scrivanie che custodiscono i loro segreti con vetri oscurati piazzati al punto giusto, si lavora per intercettare e sconfiggere queste minacce. Che non risparmiano le aziende e il settore pubblico. Con un’assiduità fotografata da percentuali da allarme rosso: nel 2013 una società ogni 2,7 che opera nel settore minerario è stata bersaglio dei pirati informatici; una ogni 3,2 attiva in campo manifatturiero. Di nuovo, nessun sospiro di sollievo per noi poveri, piccoli, insignificanti utenti privati: un attacco ogni 3,1 è stato condotto verso la pubblica amministrazione. Vuol dire che, a rischio, sono proprio i nostri dati anagrafici e affini. Sottratti, quando le azioni sono andate a buon fine, a chi avrebbe dovuto custodirli come metalli preziosi.

Certo, c’è anche un altro elemento nascosto nelle pieghe del chilometrico rapporto della Symantec, che per compilarlo si affida a una rete di 41,5 milioni di sensori sparsi in più di 150 Paesi (inclusi i computer degli utenti dei suoi prodotti che decidono spontaneamente di contribuire fornendo informazioni anonime sulle minacce virtuali ricevute): il 34 per cento degli attacchi totali è firmato da pirati informatici, ma il 29 per cento dei dati sono resi pubblici per errore dalle organizzazioni stesse, dando vita a clamorosi autogol, il 27 per cento è legato alla perdita di computer, dispositivi mobili, memorie tipo hard disk e affini.

Insomma, mentre i criminali della rete sono sempre più simili a sfuggenti e inafferrabili gazzelle con il turbo, organizzate in gang temibili che pianificano i loro blitz a tavolino, molto, moltissimo, fa la sbadataggine umana. Che poi è lo stesso fattore a creare il paradosso delle password: pigrizia, mancanza di buon senso, ci fanno utilizzare la stessa banalissima chiave per l’email, forziere di inestimabile valore, e l’ultimo dei social network amorosi. Rendendoci prede facilissime. Discorso preistorico, vero. Ma attualissimo. «Eppure non c’è bisogno di memorizzare sequenze infinite di numeri e caratteri astrusi. Una buona, anzi un’ottima password può essere anche “oggiadublinofacaldo!”. Facile da ricordare, difficile da scoprire» fa notare Candid Wueest, ricercatore di minacce informatiche.

Il problema, poi, è che gli strumenti di «intelligence» a disposizione dei pirati per intrufolarsi nelle nostre vite, sono sempre più raffinati. Prima le vittime numero uno erano i computer, le mail. Oggi ci sono i social network, i telefonini, che spalancano ingressi inediti al nostro universo personale. «I dati, ormai, sono ovunque. Anche nel cloud. E anche lì vanno protetti» dice a Panorama.it Darren Argyle, responsabile dell’information security di Symantec per Europa, Africa e Medio Oriente. Eppure, nonostante le organizzazioni, le grosse società investano somme ingenti sulla sicurezza, è sempre la scarsa lungimiranza umana (per usare un eufemismo) a fare i danni maggiori. «Per esempio, per citare il caso tipico» aggiunge Argyle «penso agli impiegati che dal computer aziendale inviano sul loro account di posta personale documenti e informazioni riservate per lavorarci da casa». Di fatto, rendendo vano qualsiasi sforzo di protezione a livello centrale.

Insomma, il messaggio è abbastanza chiaro, univoco. E altrettanto desolante.  Se il rapporto di Symantec può raccontare che i siti web con minacce sono 1 ogni 566, vuol dire che le trappole sono piazzate lì, un po' ovunque, perché noi, puntualmente, ci caschiamo dentro. Tutto, o almeno tanto, dipende dalla nostra scarsa capacità di proteggere noi stessi e la nostra parallela e sempre più importante vita digitale. E il fatto che non sia una novità, non fa che rendere la cosa più preoccupante. Alla pari delle nuove, affilatissime, letali armi dei perfidamente furbi pirati virtuali.