Ogni anno il 17% dei cittadini europei è vittima di un attacco informatico che comporta la perdita di dati personali, furti d'identità, danni ad apparecchiature elettroniche e informatiche. Queste azioni di hacking hanno un costo sociale ed economico molto alto, calcolato dall'Unione Europea in circa 1.300 euro annui per ogni cittadino dell'UE.
Il tutto è destinato a crescere in maniera esponenziale nei prossimi anni a causa della facilità con cui è possibile accedere a programmi da hacker o assumerne qualcuno alle proprie dipendenze a costi relativamente bassi. Esattamente come se fosse un servizio come un altro. Questo ciò che emerge dalla ricerca Cybercrime Exposed, condotta dal gigante della sicurezza informatica McAfee.
Fenomeno in crescita
Nel documento si analizza il fenomeno hacker nella sua portata sociale, economica e tecnologica. Emerge, innanzitutto, la preoccupante crescita senza freni del fenomeno nella sua interezza. “Ciò è dovuto – si legge – alla facilità con cui è possibile accedere a strumenti criminali. Il mercato del cybercrimine oggi mette a disposizione dei possibili criminali una grandissima serie di risorse, tanto che non è più necessario possedere capacità tecniche per diventare un hacker”.
È quindi nato un mercato, il più delle volte al riparo da sguardi indiscreti, che offre l'hacking come fosse un servizio come tanti altri (hacking as-a-service, ovvero “hacking in affitto”). Così come qualcuno si reca in un negozio di informatica per portare ad aggiustare il computer, qualcun altro naviga sul web alla ricerca dell'hacker – o del programma hacker già pronto all’uso – da “affittare” allo scopo di portare a termine la sua impresa criminale.
Poker d'assi
Stando al report di McAfee, è possibile dividere questo immenso mercato in quattro macrogruppi. C'è il mercato del Research as-a-service, quello del Crimeware as-a-service, il mercato del Cybercrime Infrastructure as-a-service e quello dell'Hacking as-a-service.
Il primo non rientra necessariamente nel campo delle attività criminali ma riesce a sopravvivere in una zona grigia tra il lecito e l'illecito. Grazie al research as-a-service è possibile acquistare, ad esempio, delle cosiddette vulnerabilità zero-day, ovvero dei bug informatici ancora poco noti ma non per questo meno pericolosi. I prezzi variano parecchio e vanno dai 3.000 dollari per un bug in Adobe Acrobat ai 250.000 dollari per una vulnerabilità scoperta in iOS.
Non solo. Dal calderone del research as-a-service è possibile tirare fuori anche interi database di indirizzi di posta elettronica da poter utilizzare per invio massiccio di messaggi di spam e campagne pubblicitarie varie. A prezzi davvero irrisori – inferiori anche ai 1.000 dollari – è possibile acquistare milioni di indirizzi email divisi per sesso, età, professione e nazionalità.
Il crimeware as-a-service, invece, affonda le proprie radici nell'illegalità pura. Se si è alla ricerca di un malware qualsiasi (dropper, spyware, keylogger, bot e così via), basta sapersi rivolgere alla persona giusta e il gioco è fatto.
Nella categoria hacking as-a-service, infine, possono essere racchiusi un'infinità di servizi più mirati. Si va, ad esempio, dal “semplice” furto di password al più complesso attacco DDoS (Denial of Service, ovvero “blocco del servizio”) e al furto di informazioni personali come ad esempio quelle bancarie.
Gli hacker etici
C'è chi, poi, lo fa a “fin di bene”. Da diversi decenni, ormai, Enti e aziende assumono hacker – solitamente i migliori che ci sono sul mercato – affinché mettano a dura prova i loro sistemi di sicurezza informatica testandone le difese. Grazie alla collaborazione – comunque ben pagata, nell'ordine delle centinaia di migliaia di dollari – di questi pirati informatici, è possibile scoprire con largo anticipo bug e falle di sicurezza in sistemi operativi, programmi e sistemi informatici di vario tipo. In questa maniera le software house e i gestori di rete possono prevenire e mettersi al riparo da futuri attacchi hacker.
Nell'ambiente hacking queste persone vengono chiamate white-hat hacker o anche ethical hacker, proprio per la loro propensione a sfruttare le loro capacità informatiche per combattere e prevenire attacchi informatici di ogni genere. Diventare un ethical hacker richiede un percorso lungo e complesso, fatto di anni di studio e pratica. Esattamente come un “normale” hacker, deve conoscere a menadito il funzionamento dei sistemi informatici e delle reti informatiche, sia a livello hardware che software, deve, naturalmente, essere un abile programmatore e avere una forma mentis che gli permetta di risolvere complicati problemi di natura logica. Non guastano capacità “manipolatorie” e una conoscenza, seppur minima, di tecniche di social engineering.
Tutto ciò, comunque, non è sufficiente per auto-nominarsi ethical hacker. Essendo un campo parecchio delicato – può essere in gioco anche la sicurezza nazionale, ad esempio – esiste da tempo una certificazione per i white-hat hacker, che ne attesti le capacità informatiche e l'affidabilità professionale e personale. Rilasciata dall'International Council of Electronic Commerce Consultants (EC-Council in breve), la certificazione Certified Ethical Hacker (CEH, “hacker etico certificato”) viene rilasciata al termine di un corso nel quale viene chiesto al pirata in fieri di creare malware e trojan horse, di penetrare in reti informatiche e “bucare” sistemi informatici sfruttando tecniche come attacchi DDoS o buffer overflow.