Il successo di un hacker è legato a due fattori: da un lato deve essere in grado di padroneggiare diversi linguaggi di programmazione, così da sapersi adattare alle situazioni più varie; dall'altro deve esser bravo a difendere la propria privacy, in modo tale da non essere scoperti e mettere fine alla propria carriera di pirata informatico.
Diverse le tecniche utilizzate per mettere in sicurezza la privacy e agire nel più completo anonimato: da Tor ai server proxy, passando per le VPN, gli hacker più abili sono in grado di far perdere le loro tracce tra i vari nodi della Rete, rimbalzando da indirizzo IP a indirizzo IP. Queste tecnologie, per quanto sofisticate e all'avanguardia, possono comunque essere bucate e, nel caso l'hacker non sia sufficientemente accorto, metterne a rischio privacy e sicurezza.
Gli hacker invisibili
Un assunto valido, in linea di principio, per tutti gli hacker e pirati informatici: chiunque provi a muoversi in maniera anonima online rischia comunque, presto o tardi, di essere scoperto. Un problema di cui non sembra soffrire il gruppo di hacker conosciuto con il nome di Turla: specializzati in attacchi mirati, si sono resi protagonisti di innumerevoli intromissioni in sistemi informatici (governativi e non) senza che nessuno sia mai riuscito a risalire alle loro vere identità.
Bot e server di comando
Nei loro attacchi, portati avanti sfruttando botnet di ampie dimensioni azionati a distanza tramite appositi "server di comando e controllo", gli hacker di Turla non hanno mai lasciato traccia della loro presenza. Ogni volta che un attacco hacker DDoS è messo a segno, gli esperti di sicurezza informatica cercano informazioni all'interno del malware utilizzato per infettare le macchine. Tra le righe di codice che lo compongono, infatti, si possono trovare tracce molto preziose per risalire all'autoredell'attacco: ad esempio l'indirizzo IP del server utilizzato per controllare la botnet e inviare i comandi ai computer-zombie.
Nel caso degli attacchi di Turla, queste indagini sono state inutili: gli indirizzi IP del server di comando corrispondeva a una macchina perfettamente lecita e addirittura non compromessa (ovvero non infettata da alcun virus o malware), all'interno di reti senza problemi di sicurezza. Come fosse possibile ottenere questo risultato, teoricamente vietato dalle basi del funzionamento stesso della grande rete IP mondiale, è rimasto a lungo un assoluto mistero.
La soluzione è nel cielo
Dopo mesi di studio, gli esperti di Kaspersky Lab sono riusciti a trovare un tratto caratterizzante gli attacchi di Turla: gli indirizzi IP utilizzate dalle macchine infette per comunicare e scambiarsi dati e informazioni sono appartenenti a ISP (Internet service provider) di Internet via satellite. A differenza delle connessioni via doppino telefonico o le connessioni via fibra ottica, l'invio dei dati nelle connessioni Internet satellitari non è diretto (da un determinato nodo della rete verso un altro nodo ben definito): i dati sono a disposizione di chiunque abbia un ricevitore (una normale antenna parabolica) nella zona coperta dal segnale del satellite ripetitore. Sfruttando questo sistema, gli hacker di Turla sono stati sinora in grado di proteggere la loro privacy.
Sistema a prova di segugio
I computer infettati comunicano con i server di comando e controllo inviando i dati a un indirizzo IP di un operatore Internet satellitare. All'altro capo della comunicazione, però, il destinatario è ignaro di quanto sta accadendo: i pacchetti inviati dai computer della botnet non saranno mai ricevuti né letti dal computer dichiarato come Obiettivo, ma saranno scartati dal router prima ancora che essi possano entrare nella LAN.
Gli hacker di Turla, infatti, manomettono l''header dei pacchetti (la sezione iniziale del pacchetto, nella quale sono incluse le informazioni sulla natura dei dati trasportati) in modo che tentino di accedere a porte chiuse o legate a servizi non attinenti a quelli dei pacchetti e siano respinti dal sistema. Se, ad esempio, un pacchetto web prova ad accedere al computer da una porta diversa dalla porta 80, sarà respinto dal router. Quello appena descritto è lo schema messo in atto dagli hacker invisibili: inviano pacchetti sbagliati sfruttando la connettività via satellite ben sapendo che il nodo obiettivo non decifrerà mai i dati ivi contenuti.
Lo scopo non è inviare pacchetti che siano poi respinti, ma un altro: sfruttando l'ampia portata delle comunicazioni satellitari (la zona coperta dal segnale di un singolo satellite può essere estesa anche diverse centinaia di chilometri quadrati), il segnale raggiunge un secondo apparato di ricezione collegato a un router in grado di leggere gli header sbagliati. In questo caso, i dati sono decodificati nella maniera adeguata e i computer della botnet possono comunicare con il server di comando e controllo. In pratica si mette in piedi una comunicazione tra due nodi della rete in modo tale da essere incomprensibile al nodo ricevente, al solo scopo di poterla intercettare di nascosto e quindi, decifrandola, di recepire le informazioni che ci servono.
Impossibile da raggiungere
Tutto questo avviene senza che gli hacker possano essere rintracciati e quindi riconosciuti: tutti gli indizi, infatti, porteranno verso il falso e incolpevole nodo della connessione Internet satellitare, rendendo di fatto impossibile localizzare il vero server di comando e controllo in ascolto nella medesima area coperta dal segnale satellitare. Il massimo per garantire sicurezza e privacy del pirata informatico. La seconda stazione ricevente, infatti, potrebbe essere posta a pochi metri di distanza oppurea centinaia di chilometri dall'indirizzo IP obiettivo dei pacchetti "errati". Anche se si avesse un'idea più precisa di quale possa essere la zona in cui agiscono gli hacker, tale informazione servirebbe comunque a poco: un impianto di ricezione per Internet satellitare si basa su una normale antenna parabolica, come quelle utilizzate per la ricezione dei canali satellitari e pertanto risulta facilmente trasportabile (spostandola o smontandola subito dopo aver terminato la ricezione del messaggio) e occultabile (confondendola con le normali utenze domestiche di un centro abitato).
Controindicazioni
Il metodo utilizzato dagli hacker di Terlago ha, però, delle controindicazioni tutt'altro che indifferenti. Le connessioni Internet satellitari non sono affidabili come quelle via cavo e hanno velocità di connessione infinitamente più basse. Ciò vuol dire che il trasferimento dei dati non sempre sarà possibile (può accadere, ad esempio, che all'indirizzo IP prescelto non corrisponda una connessione attiva) e quando si riuscirà, il download potrebbe richiedere anche diversi giorni.