Visualizzazioni Totali

IL MIGLIOR BLOG TECNOLOGICO DEL WEB: PER ESSERE SEMPRE AGGIORNATI SULLE NOVITA' DEL BLOG DA OGGI CI TROVATE ANCHE SU FACEBOOK! (LINK A SINISTRA)

domenica 10 agosto 2014

La Storia Di Raoul "Nobody" Chiesa (Hacker)

Raoul Chiesa nasce in Piemonte nel 1973: è uno dei primi hacker d'Italia.
Sin in giovane età(12/13 anni), con il nickname Nobody, comincia il suo pellegrinaggio attraverso le reti informatiche internazionali delle corporate degli anni ’80 e ’90.
Dopo una serie di eclatanti intrusioni tra le quali istituzioni finanziarie, governative e militari .
La sua fama, già vasta nella comunità hacker europea e nord-americana, è riconosciuta e suggellata dalle autorità internazionali nel 1995 con l'intrusione nella Banca D'Italia.
Le prime leggi sull'illegalità e i reati informatici risalgono al 1993 «ma nessuno ci credeva», fino a che una mattina del '95 la Sco (la sezione centrale operativa della Polizia di Stato), su indicazione dell'FBI che gli dava la caccia da tre anni, irrompe a casa sua.
E lui, che non aveva mai rubato denaro né fatto danni, si becca tredici capi d'accusa (tra i quali l'associazione a delinquere) e la richiesta d'estradizione.
Quando gli inquirenti si convincono della sua buona fede di hacker curioso, se la cava con quattro mesi di domiciliari.
Da allora, Raoul Chiesa, "ravveduto" e del tutto "etico", ha abbandonato la vita notturna e incastra nei pomeriggi della sua agenda i molti impegni della sua seconda vita.
Ha fondato due società di successo: una per la sicurezza, Mediaservice e una di informatica forense.


RAOUL CHIESA: SI RACCONTA(1988-1995)
Dal 1988 al 1995 ho digitato il comando Qsd e scritto messaggi, per interminabili ore e lunghe nottate, agli amici appunto su Qsd.
"Qsd" è il nome di una messaggeria, un sistema informatico al quale ci si può collegare e dove si possono scambiare messaggi con gli altri utenti collegati in quel momento, o lasciare una comunicazione nella "mailbox", la casella postale che ogni utente ha sul sistema: si trova a Metz, città nel nord della Francia, nel dipartimento di Lille.
Il comando set h/x, sui sistemi Vax/Vms, fa sì che il server remoto esegua una chiamata verso un indirizzo di un altro sistema informatico collegato alla rete X.25: le reti X.25 sono reti di dati a commutazione di pacchetto (Packet switching) e si possono definire le "progenitrici" delle reti pubbliche di comunicazione, le reti "per la massa" quali l'attuale Internet.
In seguito assistiamo alle prime azioni di Kevin Mitnick, brufoloso e grasso sedicenne della California che iniziò la carriera entrando nel sistema informatico della sua scuola e continuò a fare hacking sino all'età adulta, divenendo un "Wanted by the Fbi" sino al 1992, o al Worm di Robert Tappan Morris, figlio di un ricercatore della National security agency (Nsa, la più importante Agenzia governativa americana), studente alquanto timido e riservato il quale, per errore e con puri scopi di ricerca, creò il primo "Virus" dell'era Internet, che bloccò a tempo di record più della metà dei sistemi connessi alla rete.
Arriviamo addirittura alle guerre informatiche tra gang, quando la banda dei Masters Of Deceptions (Mod) e quella dei Legion Of Doom (Lod) iniziarono a darsi addosso l'un l'altro, a suon di password rubate e sistemi spenti da remoto, dirottamenti di chiamate telefoniche ed eccessi di qualunque tipo.
In Europa la situazione non è differente e sebbene vi sia stato un gap temporale di tre o quattro anni rispetto agli Stati Uniti, vediamo la nascita di storici gruppi quali il Chaos computer club (Ccc) di Amburgo, il gruppo dei DTE 222 in Italia (il nome riprende il codice Dnic X.25, il prefisso internazionale del nostro paese), i sistemi informatici Altos (Germania), Pegasus (Svizzera) e QSD (Francia).
Pochi anni dopo l'Italia avrà ancora il Pier's Group di Milano e lo SferraNetwork di Torino, così come in Canada c'erano Pad e Gandalf e Acid Phreak e Phantom Dialer negli Stati Uniti.
Nomi di gruppi e persone alquanto strani, i nicknames erano l'alias dell'hacker, il proprio "nome di battaglia": il timido Kevin Mitnick si faceva chiamare "Condor".


QSD
Torniamo al comando iniziale di questa storia e immaginiamo strani personaggi, incluso il sottoscritto, incontrarsi virtualmente e dialogare su Qsd, una tra le prime messaggerie on line che divenne un ritrovo di élite per gli hacker di tutto il mondo.
Da Qsd partivano le scorribande verso le reti di svariati paesi, su Qsd si "hangin' up", ovverosia si aspettava che gli amici arrivassero per decidere cosa fare durante la notte.
Un'intera generazione ha avuto la possibilità di vivere in un mondo virtuale, inesistente... si creavano amicizie che duravano anni con persone che fisicamente non si sarebbero mai incontrate, si parlava al telefono in due o tre lingue, si aumentava incredibilmente il proprio bagaglio culturale.
Quella che segue è quasi un reperto storico, trattandosi della registrazione di un giorno del 1991 dove, a Qsd, erano collegati svariati amici dell'epoca.

QSD Main Menu - Please select :
[/q] Exit Chat - [/h] Get Help - [/priv] Send Private Massage
[/a] Change your alias - [/mbx] Mail functions
[/w] Who is online

Sentinel (Serbia)
Nobody (Qatar)
Zibri (USA/SprintNet)
Gandalf (Taiwan/DCI-TelePac)
Bayernpower! (Ivory-Coast)
Janez (USA/TymNet)
Venix (Greece)
Asbesto (Italy)
Moni (USA/InfoNet)
Raist (Poland)
Rady (Bulgaria)
Terminator (Brazil)
Dark Avenger (Russia/ROS)
Eugene (Hungary)
Silk (Hong-Kong/DataPac)
Machine (Kenya)
Kimble (Germany/Datex-P)

Passavo da un sistema in Qatar e da lì, con il comando Set H/X 0208057040540, chiamavo Qsd.
Provenire da un paese che non era il proprio era sinonimo di alte capacità e significava essere entrati nelle reti X.
25 di vari paesi; più il paese era lontano, più si era bravi ed élite.
Oltre al sottoscritto, però, troviamo Venix, trentaquattrenne greca divenuta una tra le più apprezzate Security Manager del suo paese, o Bayernpower, tedesco della Baviera, arrestato a Monaco per utilizzo abusivo di "calling card", carte di credito telefoniche le quali permettevano di telefonare gratuitamente in tutto il mondo e in maniera pressoché anonima.
L'ultimo utente, Kimble, è oggi uno dei più ricchi milionari della Germania, dopo aver aperto un'azienda di Computer Security ed essere arrivato a fondare una società di investimenti "new economy", mentre Silk era una ragazza di Roma, la prima hacker al femminile del nostro paese: a oggi non so dove sia e di cosa si occupi, ma tanti anni fa conobbe in rete un ragazzo della Sardegna, tal Candido se non ricordo male, e spero che siano ancora insieme.
A proposito di fidanzamenti, per fare capire come ragiona un hacker, la nostra amica Venix un giorno del 1998 decise di vedere chi era collegato su un sistema di messaggeria Internet, IRC (International Relay Chat) e, dopo essersi segnata l'indirizzo Ip di ogni utente, iniziò sistematicamente a entrare nei personal computer di ognuno di loro.
Ogni utente aveva sull'hard disk appunti, racconti, idee, fotografie...
Il proprio personal computer, se lo si usa davvero, è spesso lo specchio della nostra persona e contiene informazioni utili per conoscerci e comprenderci: Venix trovò la fotografia di una delle sue vittime, un ragazzo molto carino di nome Costantino. Non sembrava neanche troppo stupido da quello che diceva, e allora perché non... Iniziò a spiare quel ragazzo così carino in fotografia, incontrarlo in messaggeria, conoscerlo ed effettuare verifiche incrociate su quanto lui diceva.
Oggi Venix e Costantino sono fidanzati, vivono insieme ad Atene e sul PC del ragazzo è installato un software di firewall per evitare che intrusi penetrino nel suo computer (ma Venix dice che sa come aggirarlo).
Concludo questa divagazione sui miei vecchi "amici di rete" smentendo uno dei tanti cliché sulla "non bellezza" degli smanettoni informatici: Venix è una bellissima ragazza, assomiglia in maniera incredibile all'attrice Angelina Jolie che nel film Hackers interpreta il ruolo di Trinity ma, a quanto dice lei, «in realtà credo che sia Trinity ad aver cercato di somigliare a me, dato che avevo quello stile ben prima del film..».
Il decennio che va dal 1980 al 1990 ha sicuramente rappresentato l'apoteosi della "pazza corsa" degli hacker di tutto il mondo.
Questi anni vedono la nascita delle due riviste di riferimento del settore, "Phrack" e "2600 Magazine", delle vere e proprie roccaforti della "free knowledge", la voglia di libertà e condivisione delle informazioni tipica dell'underground tecnicologico mondiale. Nel lontano 1986 dalle pagine di Phrack si sentiva l'urlo della voglia di condividere con tutti il sapere e la rivista - esclusivamente digitale - è passata incolume attraverso gli anni a denuncie e attacchi da parte delle autorità governative e dei colossi delle telecomunicazioni. Pochi mesi fa l'editore di Phrack è stato chiamato in tribunale per aver pubblicato - dietro autorizzazione e su richiesta dell'autore stesso - il codice sorgente del DeCSS, un software per sistemi Linux in grado di riprodurre i Dvd sul proprio pc e, di conseguenza, in grado di copiare il Dvd stesso in un formato che rende possibile l'invio e la distribuzione del film stesso.
Una lotta tra il "diritto di sapere" proprio della comunità scientifica e gli interessi economici della Motion pictures american association (Mpaa), l'associazione americana per la tutela dei diritti cinenatografici.


5ESS
Bene o male con lo stesso concetto e proprio da Phrack ha origine, agli inizi degli anni '90, il periodo buio dell'hacking, il primo episodio di una lunga serie di eventi, spesso concatenati tra loro, che colpiscono duramente la comunità hacker.
Phrack riceve da "Prophet" e pubblica integralmente il manuale del 5ESS, inclusivo delle specifiche per l'E911, leggendo il quale si potevano riprogrammare le centraline telefoniche a lunga distanza della American telecommunications & telegraphs (At&t), la più grande TelCo3 esistente.
L'At&t fa pressioni sull'Fbi e Phrack viene sequestrato.
La comunità hacker di tutto il mondo si ribella, gli hacker capiscono che, nonostante la loro forte individualità, è stato loro tolto qualcosa di collettivo, un bene comune a tutti. La situazione divenne alquanto scottante, le guerre tra le bande hacker cessarono e gli obiettivi divennero i sistemi governativi e le stesse compagnie telefoniche.
Si arrivò al processo e lì venne dimostrato come il manuale del 5ESS fosse liberamente in vendita presso gli uffici commerciali della At&t e nelle librerie tecniche per 14,99 dollari.
La At&t aveva chiesto un risarcimento danni di milioni di dollari.
Poteva non accadere nulla.
Tutto si sarebbe potuto concludere con il memoriale/editoriale di Emmanuel Goldstein sulla libertà del sapere.
Ma così non fu.
E non furono gli hacker i primi ad agire.
Dal 7 al 9 marzo del 1990 il Servizio segreto americano coordinò "The Sundevil Operation": avvengono raid dell'Fbi a Cincinnati, Detroit, Miami, Newark, Phoenix e Tucson, Pittsburg, Richmond, Los Angeles, San Francisco, San Jose...è un "massacro". Tutte le Bbs4 amatoriali vengono chiuse e l'Fbi fornisce la dimostrazione della propria inesistente competenza verso l'informatica, sequestrando monitor e tappetini del mouse quali prove "del reato commesso", invece del solo hard disk o una copia dei file incriminanti.
Il governo statunitense sbaglia quindi il bersaglio, non colpisce hacker ma semplici sistemi amatoriali, con il risultato di dissotterrare quella miccia spenta a mala pena pochi mesi prima durante lo scandalo 5Ess. L'operazione Sundevil viene ribattezzata Hacker's Crackdown, letteralmente "il giro di vite contro gli hacker" e rimarrà il simbolo della repressione del governo americano contro innocenti, la risposta dell'ignoranza e della forza contro adolescenti un po' troppo curiosi e semplici appassionati. La comunità hacker si unisce e l'episodio viene visto un po' come l'equivalente dell'Oloscausto hacker. Ad aggravare il tutto l'arresto da parte dell'Fbi ad Austin, Texas, di Erik Bloodaxe e di The Mentor, i due principali pilastri dell'underground hacking nordamericano.
La miccia innescata impiega poco tempo per completare il suo tragitto e un giorno di luglio, nel 1991, i sistemi telefonici a lunga distanza di New York smettono di funzionare. La centrale telefonica, chiamata in gergo C.O. (Central Office) di Manhattan, fuori servizio, convoglia il traffico su Long Island, ma anch'esso ha dei problemi e lo rigira su Newark, nel New Jersey. Il C.O. di Newark salta e come una grossa onda elettronica, da New York a Los Angeles, gli Stati Uniti d'America si "spengono".
Alzando la cornetta di qualunque telefono e componendo il numero dei parenti in California tutto quello che si ottiene è un lungo, triste, "tuuuuuu". Gli aeroporti, le centrali di polizia e gli organi ritenuti "essenziali" sono isolati dal resto del mondo. Il primo segnale era stato dato durante il Martin Luther King's day, il 15 gennaio del 1990, quando per la prima volta i sistemi telefonici dell'At&t saltano: la compagnia imputò il fatto a un problema nel software, escludendo che i loro sistemi informatici potessero essere manomessi dall'esterno: il risultato fu che gli hacker ebbero un anno di tempo per "lavorarci su".


GLI ARRESTI
Nel 1993 viene arrestata, a New York City, la banda dei Masters Of Deception, ma il segnale è oramai chiaro. Un anno prima, nel 1992, l'Italia ha la propria SunDevil Operation, ribattezzata Italian Crackdown: anche in questo caso vengono colpite le Bbs amatoriali, in particolare la rete FidoNet e l'Associazione PeaceLink (quest'ultima estremamente attenta ai diritti della persona e della privacy, una delle rare bandiere italiane per la libertà di pensiero e comunicazione), facendo affiorare i primi problemi di addestramento delle Forze dell'Ordine (Guardia di Finanza, Polizia e Carabinieri), commettendo clamorosi errori di distinzione tra software protetto da copyright e software "freeware" o "shareware", ovverosia di libero possesso e per i quali sono autorizzati la copia e la distribuzione. Rivediamo le stesse scene dei raid americani, file e file di monitor e mouse sequestrati, senza alcun senso logistico e operativo. Il blocco delle Bbs impone, di fatto, l'impossibilità di fornire il servizio e di comunicare, creando una rottura nella catena di comunicazione tipica delle Bbs, il cui funzionamento è basato proprio sulla reciproca collaborazione di ogni nodo della rete.
Posso dire che i primi veri arresti riguardanti hacker nel senso proprio del termine sono avvenuti, nel nostro paese, nel 1993 e nel 1995. E' infatti del 1993 l'operazione Hacker's Hunter, durante la quale una quarantina di adolescenti, avvicinatisi da pochi anni o addirittura da pochi mesi all'hacking, furono fermati per intrusioni in sistemi informatici; in quello stesso anno l'Italia si dota delle prime leggi contro le intrusioni informatiche, ponendo un "paletto di stop" alle scorribande informatiche di quell'epoca.
Il 1995 è invece l'anno dell'operazione Ice Trap, la prima grande indagine informatica che esce dai confini nazionali e vede la coordinazione delle Computer Crime Unit europee e nordamericane.
Chi scrive era direttamente implicato nell'operazione, in seguito a una serie di intrusioni effettuate verso la Gte statunitense, la quarta compagnia telefonica del paese dopo la già citata At&t, la Sprint e la Mci Telecommunications.


INTRUSIONI NELLA BANCA D'ITALIA: 1995
L'hacking è da me sempre stato visto come una sfida e un giorno di ottobre del 1995 decisi, insieme a un paio di amici, di denunciare pubblicamente la mancanza di sicurezza nei più importanti sistemi informatici del paese.
Quella mattina i responsabili di cinquanta aziende trovarono un messaggio, non appena accesero i terminali: "Questo sistema non è sicuro".
Tre giovani, di circa vent'anni, erano riusciti a superare le barriere di istituzioni come Bankitalia, Enea, l'Agenzia spaziale italiana oltre a semplici aziende di trasporti e di servizi, unendo tutti in un'unica rete senza alcuna differenziazione: il messaggio arrivò e ritengo che il 1995 sia stato l'anno in cui il nostro paese ha capito l'esistenza di un nuovo pericolo.


NUOVO MILLENNIO
Siamo giunti al 2001.
Internet non è più una parola astratta, un termine ristretto a una piccola cerchia elitaria. Ne sento parlare per strada, sull'autobus, in televisione. Così come si è evoluta la diffusione della risorsa, il concetto di hacking e di hacker è cresciuto, cambiando in modo sostanziale.
Non c'è più la magia, il concetto di sfida, la lealtà e le regole tipiche di un'intera epoca.
Oggi c'è Linux, il nuovo sistema operativo aperto, gratuito. I portali regalano connessioni che sino a pochi anni fa costavano svariate centinaia di mila lire all'anno.
Il broadband, le connessioni alla rete Internet "a banda larga", ovverosia ad altissima velocità, rende le tecnologie di accesso rete a media e alta velocità quali Adsl, Hdsl e Atm accessibili a tutti al costo di pochi milioni, contro le centinaia di alcuni anni fa, cambiando il concetto stesso di comunicazione in tempo reale. Oggigiorno il termine hacker viene affiancato a reati di qualunque tipo, dall'abuso di carta di credito alla sostituzione delle home page aziendali arrivando alla creazione di virus.
Non esiste quasi più il concetto di "hacker etico", ovverosia colui che ama le tecnologie e la sicurezza e ricerca i difetti esistenti sulla Rete per correggerli e migliorarli.
Per fortuna la realtà dei fatti è invece completamente differente da quanto si dice o si legge.
Se anni fa quando si scopriva un difetto, un "bug" che permetteva l'accesso a un sistema informatico, lo si condivideva in pochi, oggi c'è il sito web di Bugtraq6 che informa in tempo reale dei nuovi difetti scoperti e le aziende leggono i security advisories e fanno recruiting di personale per le divisioni di sicurezza informatica. Non credo di pronunciare un'eresia affermando che, oggi, la sicurezza informatica si basa in pratica sul principio di "testare tutto" e soprattutto sul contributo degli svariati ricercatori in sicurezza in giro per il mondo.
Sono gli stessi principi adottati dagli ethical hacker narrati in questa personale riflessione per Telèma e, spesso, sono le stesse persone, gli stessi hacker, che continuano a fare quello che facevano prima, ma in un'ottica diversa.


MEDIASERVICE.NET
Ho passato la mia adolescenza, dall'età di 13 anni sino ai 22, facendo hacking.
Notti intere davanti al terminale alla ricerca della conoscenza tecnica che volevo, impossibilitato dal trovarla altrimenti, in una struttura scolastica non pronta alla rivoluzione digitale. La prima regola è sempre stata quella di non fare danni, ma nonostante ciò gli obiettivi violati appartenevano ai grossi nomi dell'economia mondiale. Finito quel periodo di fuoco ho visto semplicemente una naturale crescita della mia persona e ho deciso di fondare un'azienda di sicurezza informatica. Un team di persone diverso dagli standard tecnici di mercato, dove il concetto di It security viene affrontato con la stessa voglia di ricerca, scoperta, analisi e comprensione, condividendo le informazioni per il benessere di tutto il mondo della ricerca: tutto questo nel 1997, quando in Italia parlare a livello commerciale di sicurezza era una sfida aperta. Come confermatomi dalla cara amica Venix, anche in Grecia in quegli anni affermare la necessità della sicurezza informatica per l'azienda equivaleva a chiedere al cliente di gettare i soldi dalla finestra: questa la percezione del problema che c'era allora.
Oggi la Mediaservice.net conta quindici persone, sei delle quali sono impiegate nella Divisione sicurezza dati (Dsd), il Tiger Team dell'azienda. I Tiger Team sono elite squads composte da esperti informatici e di sicurezza, il cui mandato è quello di penetrare nelle vulnerabilità aziendali del loro Cliente con ogni mezzo necessario. Divenuti una prassi standard negli ultimissimi anni, hanno iniziato servendo le aziende di Fortune 500, gli organismi militari statunitensi e le grandi istituzioni finanziarie. Quello che dai clienti viene maggiormente richiesto è il servizio di Penetration Test (Security Probe), vale a dire un vero e proprio attacco ai propri sistemi informatici, effettuato con tecniche di intrusione utilizzate dagli hacker per raggiungere l'obiettivo. Nulla viene escluso e svariate tipologie di information gathering vengono utilizzate per ottenere informazioni utili all'intrusione. Il tragitto per arrivare alle soddisfazioni di oggi è stato sicuramente lungo, ma il piacere di vedere la propria azienda fare cultura, oltre che produrre e investire sui più giovani, è davvero notevole. A volte mi capita di essere chiamato come "docente per un giorno" in varie università italiane e vedo brillare gli occhi degli studenti quando rapiti mi ascoltano narrare episodi di altri tempi, quando Internet c'era ma era un lusso di pochi, si andava alla velocità di 1200 baud7 contro i 56000 di adesso, il Popolo della rete era poco e tutti si conoscevano.
Se gli occhi degli studenti brillano, gli sguardi dei responsabili informatici e dei titolari quando consegnamo i nostri security report sono increduli, stupiti, a volte sconcertati. E' incredibile come, normalmente, il cliente pensi di essere completamente al sicuro, impenetrabile, e come abbia spesso investito ingenti somme per l'acquisto di megasistemi informatici e famosissimi firewall, senza poi curarne l'aggiornamento e la manutenzione.
La sicurezza informatica aziendale, inoltre, è un concetto che dipende tantissimo dal fattore umano: è l'utente che deve capire l'importanza delle proprie azioni e di come alcune sue scelte sbagliate possano creare serie falle di sicurezza, esattamente come sulla rete Internet ogni nodo insicuro apre nuove possibilità di intrusione e di attacchi.
Penso che la cosiddetta rivoluzione della new economy stia apportando forti cambiamenti alle nostre abitudini, in positivo e in negativo. Ma è soprattutto il modo di vivere la vita di ogni giorno che sta cambiando e mille sono le nuove possibilità che Internet ci offre. Tralasciando le tante false promesse sentite per anni e le previste crescite esponenziali nella diffusione della Grande Rete (peraltro rispettate), pensiamo a come oggi sia davvero facile trovare lavoro on line, approfondire argomenti specifici sui newsgroup e via e-mail o studiare a distanza: sono cose che solo dieci anni fa erano impensabili, se non altro per la difficoltà di utilizzo e le basse velocità di trasmissione.
Le mie preoccupazioni in termini di sicurezza vanno verso questa continua velocità negli usi e nei costumi della società tecnologica, una folle corsa che spesso porta a mancanze imperdonabili nella tutela e riservatezza dei dati. Le tecnologie a larga banda disponibili per aziende nelle quali spesso non esiste il personale adatto o dove manca il tempo necessario per gestirle, rappresentano un altro nodo possibile oggetto di attacchi; il trading on line non sempre avviene in maniera sicura, esistono fornitori di servizi di questo tipo che non adottano alcun tipo di cifratura dei dati trasmessi e inviati, cosicché gli stessi viaggiano "in chiaro", non rendendone affatto difficile la lettura in seguito a un'azione di intercettazione dei dati, definita in linguaggio tecnico "sniffing".
Tempo fa un ricercatore statunitense, cinquantenne, e uno studente di poco più di vent'anni hanno caricato su un camioncino due computer portatili e dotati di schede Pcmcia wireless hanno iniziato a girare per le strade di Silicon Valley, California. Il wireless è la tecnologia che ci permetterà di fare a meno dei cavi di rete per collegarci alla rete Lan dei nostri uffici, ha definito uno standard internazionale riconosciuto e adottato in tutto il mondo e su tutti i dispositivi wireless prodotti o in corso di produzione e commercializzazione.
Questi due ricercatori hanno dimostrato come, per errori di progettazione dello standard comunicativo wireless, sia possibile ottenere informazioni e molto spesso accedere alle reti aziendali che utilizzano all'interno della propria struttura una rete wireless. La dimostrazione, il "proof of the concept" come viene chiamato in questi casi, delle vulnerabilità implicite di un protocollo internazionale di trasmissione dati ha scosso a livelli molto alti gli Stati Uniti e il mondo commerciale, mentre la comunità security ha potuto constatare la realizzazione di quanto si sospettava da molto tempo.
Uno shock ben superiore si ebbe quando fu violato per la prima volta il sistema di cifratura dello standard Gsm (quello che usiamo sui nostri telefonini), ritenuto dagli utenti comuni non decifrabile e quindi molto più sicuro del suo predecessore, il sistema Tacs, il quale non criptava in alcun modo i segnali audio. Nonostante le ben note vulnerabilità del sistema Gsm vedo nuovi servizi di "autenticazione utente" via Sms o la possibilità di effettuare disposizioni economiche dal telefonino dell'utente: questo modo di voler fornire tutto e subito in un mercato in fortissima crescita porta a trascurare o realizzare con frettolosità l'aspetto della sicurezza e della privacy dell'utente il quale, ignaro, continua a utilizzare il servizio aumentando a ogni connessione le possibilità di abuso dei propri dati.


CONCLUSIONI
Grazie al Worm, il virus che non distrugge e si autoriproduce di Robert Morris il mondo capì quanto Internet fosse insicura e quanto si dovesse prendere in considerazione l'aspetto della sicurezza informatica. Grazie alle azioni di Kevin Mitnick il mondo scoprì l'esistenza dell'Ip spoofing quale tecnica di attacco mai utilizzata prima e ritenuta inapplicabile dai teorici. Grazie alle guerre tra i Mod e i Lod l'Fbi scoprì l'esistenza degli hacker e riuscì ad attrezzarsi per combattere il fenomeno - alquanto trascurato prima di allora - creando le prime Computer crime squads. Grazie all'autodenuncia del Ccc i cittadini tedeschi capirono quanto il sistema telematico Btx, di proprietà dello stato, fosse insicuro: il Ccc fece arrivare i soldi della "truffa tecnologica" a un'assocazione non a scopo di lucro e il sistema Btx venne chiuso.
Grazie al sottoscritto importanti istituzioni, nel 1995, scoprirono di non essere sicure e l'Italia capì quanto ci fosse bisogno di sicurezza.
Nel 2000 vi sono stati svariati discorsi tenuti al Senato statunitense da hacker storici come il già citato Kevin Mitnick, the Mudge del gruppo dei L0pht, nei quali è stata messa in evidenza la situazione di assoluta gravità che circonda i sistemi informatici governativi del paese.
Anni prima Susan Thunder, amica di Kevin, dopo aver illustrato a una commissione governativa speciale la tecnica del "social engineering" telefonico ottenne l'accesso a diversi sistemi militari statunitensi della Marina e dell'Aviazione in meno di 20 minuti, con utenti e password comunicati verbalmente dagli stessi militari in servizio, ai quali aveva raccontato semplicemente di essere la segretaria del generale X e di avere immediatamente bisogno della password di accesso al sistema.
L'europeo che è stato eletto nel corso di quest'anno membro del comitato direttivo dell'Icann (Internet corporation for assigned names and numbers) è Andy Mueller-Maguhn del Chaos computer club.
L'Icann è l'organismo internazionale che regola e disciplina le modalità di definizione dei nomi a dominio in Internet. L'Europa, dunque, ha scelto proprio un hacker, un interprete del genuino significato del termine, per decidere il futuro della nuova Internet.
C'è chi parla di hacking e chi di security.
Forse tutto dipende solo da come si osservano le cose...e da quanto si ama il proprio lavoro.


Nessun commento:

Posta un commento