L’allarme è lanciato: potrebbero essere le banche a trovarsi al centro del mirino del prossimo attacco hacker. Un’incursione che le voci della rete su IRC (Internet Relay Chat) danno come imminente nel corso dell’estate, e che rischierebbe di rivelarsi un colpo durissimo per gli istituti di credito nazionali. Niente a che vedere con la campagna #Antisec di Anonymous e LulzSecurity: questa volta si tratterebbe di cybercrimine vero e proprio, finalizzato a mettere le mani su conti bancari, depositi e carte di credito.
Le avvisaglie, a detta dei ben informati, ci sono tutte. Come ad esempio il malaware che da un paio di mesi tormenta i sistemi di Che Banca!, allo scopo di sottrarre codici sensibili. O le mail di phishing ai clienti CartaSì, per spillare username e password collegati alle utenze online delle carte di credito. O ancora le false landing page di Webank, che “depistavano” le utenze su siti di scommesse online. Ma anche il blocco del server centrale di Poste Italiane del primo giugno, o il misterioso guasto informatico dei sistemi di Intesa San Paolo del 21 giugno, che ha messo fuori uso il servizio di internet banking e numerosi sportelli bancomat.
Ne abbiamo discusso con un esperto di sicurezza informatica molto vicino all’hacktivismo italiano, consulente per la web security di uno fra i principali istituti di credito nazionali, che ha accettato di parlare con Linkiesta a patto di rimanere anonimo. «Quello che è successo non è ancora nulla» ci dice. «Per capire cosa sta accadendo potremmo fare il paragone con il metodo di caccia gli squali: prima girano intorno alla preda, poi la azzannano una prima volta per capire se la carne è buona e come la vittima può eventualmente difendersi. Poi colpiscono per uccidere». Cosa si sa di questo possibile attacco alle banche italiane? «A dire il vero poco o niente di diretto», spiega. «Se ne è parlato più di una volta sulle chat IRC, irrintracciabili, anche perché tutto viene poi “girato” su Thor (un server open source per la navigazione anonima, ndr). Ma, visto quanto è successo finora, non sarebbe che il passo successivo». Cosa significa? «Di quello che hanno fatto gli attivisti di #Antisec se ne parla in tutto il mondo. E finché si tratta di azioni targate Anonymous e LulzSec possiamo stare assolutamente tranquilli: le loro incursioni sono mosse sempre dall’etica, non dal profitto o da altri fini. Ma ci vuole poco perché altri decidano di farsi sentire: una volta che hai mostrato il punto debole di un sistema, tutti sanno come colpirlo».
Ma un attacco di grande portata contro le banche è davvero possibile? «Certamente», risponde il nostro hacker. «Anzi, è assai probabile che ci sia già stato, ma che sia passato sotto silenzio. Mi spiego: le Poste hanno avuto tutti i sistemi bloccati per quasi 20 giorni: bonifici fermi, ricerca dei pacchi ferma, operazioni online che non venivano recepite, sportelli automatici off-line, bonifici in arrivo fermi ad aspettare, stipendi e pensioni che non venivano accreditate, e molto altro ancora. Non sappiamo che cosa sia successo esattamente durante il black-out. Anche il gruppo Intesa San Paolo, sul finire di giugno ha avuto problemi simili, per tre giorni consecutivi. Per un istituto di credito così importante, sono un’eternità. Le ipotesi sono due: o hanno subito un attacco che li ha semplicemente paralizzati, o hanno subito un furto di dati e hanno bloccato tutto il sistema per limitare i danni prima di riuscire a rientrare in possesso dei dati perduti. Sinceramente ritengo più probabile la seconda ipotesi, visto che nessuno ha diffuso rivendicazioni».
Se confermato, sarebbe un fatto grave. Ma probabilmente – ci fa capire la nostra fonte – di conferme di questo genere non ne arriveranno mai, salvo nel caso di una fuga di notizie.
«Anche se succedesse di nuovo, a parte diverse ore di “buio” bancario, è difficile che si venga a sapere» ci dice. La notizia ingenererebbe il panico. «Anzi, per un istituto di credito sarebbe molto più conveniente incassare il colpo e ricomprare i dati perduti, piuttosto che diffondere la notizia con il rischio di perdere credibilità, e soprattutto migliaia di clienti. Chi affiderebbe i propri risparmi a una banca che ha permesso ad un ragazzino del liceo di entrare e pasteggiare indisturbato con i propri sistemi? Dico di più: in questi casi, se si è furbi, non solo si paga l’autore del “colpo” per mettere a tacere tutto e ripartire come se nulla fosse successo, ma si arriva anche a offrirgli un posto di lavoro lautamente ricompensato nella web security per fargli mettere in ordine tutto ciò che non funziona e scongiurare assalti successivi». È plausibile ritenere che qualcuno dall’esterno possa “pilotare” o condizionare in qualche modo le azioni dei cyberattivisti?, gli chiediamo. «No. Anon e LulzSec sono totalmente indipendenti. Si sa per certo che altri però non lo sono: la vendita di informazioni infatti è la maggior fonte di guadagno per un cracker».
Ma il vero problema, dice la “gola profonda”, è il rischio che qualche idealista passi al “lato oscuro”. «Se le autorità arriveranno veramente a toccare molto da vicino gruppi come LuzSecurity e Anonymous, siamo sicuri che nessuno di loro sia disposto a “vendersi” per mettersi al sicuro? Insomma, siamo tutti spinti dall’etica, ma gente con queste potenzialità potrebbe essere pagata tanto, ma davvero tanto, per continuare a fare sostanzialmente quello che ora fa per un ideale. Per di più un hacktivist rischia veramente molto a sfidare continuamente le forze di polizia di mezzo mondo. E se il rischio continua a crescere esponenzialmente, continuerà a fare quello che fa soltanto per etica o prima o poi inizierà a pensare a come mettere da parte i soldi per un avvocato, per quando le cose si metteranno male?»
Il rischio quindi è rappresentato da qualche “cane sciolto”, non dai grandi gruppi dei cyberattivismo. «Le differenze tra il cybercrimine e l’hacktivism restano abissali», ci spiega l’anonimo. «Il primo è finalizzato a distruggere, danneggiare, rubare. Il secondo è mosso da un’etica ben precisa: creare e diffondere consapevolezza. Anonymous e LulzSec non vogliono denaro, non vogliono potere, non vogliono controllo. Non agiscono mai su commissione e soprattutto non hanno capi. Tutto quello che si fa viene deciso di comune accordo. Loro vogliono una rete libera, non subordinata a verifiche o censure, dove reperire informazioni senza pagarle. Vogliono connessioni veloci, e possibilmente gratuite. Vogliono che la gente sappia quello che fa quando naviga in internet. Per questo parlavo di consapevolezza: ormai tutti quanti usano un pc, si connettono, scambiano dati. In più quasi tutti, per comodità, usano la stessa password per l’e-mail, il profilo Facebook, l’account bancario. Entrare in possesso di questa password significa quindi entrare in possesso dell’intera vita online del proprietario. Gli hacktivist vogliono che la gente conosca effettivamente quello che succede nel mondo, quali informazioni vengono nascoste alla gente comune. Per fare questo devono far capire alla gente quello che fa lasciando i dati su internet, devono far crescere il web e i protocolli liberi, devono sensibilizzare l’opinione pubblica in modo che questa spinga i governi ad adottare soluzioni di sicurezza affidabili e non controllabili, ovvero alla portata di tutti. L’idea è semplice: far sapere alla gente come funzionano le cose, farlo sapere a tutti, in modo che sia il giudizio dei singoli a decidere cosa fare.
Per questo quando attaccano puntano sempre in alto. Antisec prende di mira tutti coloro che ritiene essere in qualche modo responsabili dell’attuale status quo, o comunque che ne traggano vantaggio ai danni delle gente comune. Le “vittime” degli attacchi sono illustri perché più eclatante è l’azione, maggiore è il risalto mediatico, e quindi maggiore è anche la diffusione delle idee alla base dell’hacktivism.
Per approfondire: