Come ridurre gli attacchi agli account di Twitter
Nelle ultime settimane anche l’Italia è stata teatro di falsi tweet e attacchi mirati agli account di giornalisti o politici e si è parlato, anche a sproposito, di violenza della rete e nella rete.
Gli attacchi hacker agli account di Twitter sono in realtà da tempo un fenomeno di rilevanza internazionale, specie dopo che anche la prestigiosa agenzia stampa Associated Press è rimasta vittima di un falso tweet partito dall’account ufficiale, che annunciava due esplosioni alla Casa Bianca, provocando come conseguenza il crollo della borsa Americana. Lo stesso è accaduto al quotidiano The Guardian, oggetto di attacchi da parte di un sedicente gruppo di hacker “Esercito Elettronico Siriano” e stando alle dichiarazioni dello stesso social network c’è il rischio che questa tipologia di eventi possa ripetersi e coinvolgere altri gruppi editoriali di tutto il mondo.
Si tratta secondo gli esperti di Eset, software house produttrice del software di sicurezza Nod 32, di particolari forme di phishing in quanto l’utente vittima di tali attacchi viene spinto a effettuare il login a falsi siti ufficiali da cui poi sono catturati i dati personali, password e username.
Twitter ha rilasciato una serie di linee guida per proteggersi da attacchi di questo tipo: per esempio ha invitato le aziende a ridurre la vulnerabilità dei propri computer, introducendo misure di sicurezza più forti e ha suggerito di destinare un solo computer all’uso del social network, onde impedire che la password si diffonda su diversi dispositivi. Infine può essere utile evitare di navigare sul web e di leggere la posta elettronica dallo stesso computer destinato alle pubblicazioni sul social network.
Secondo gli esperti di Eset queste misure potrebbero essere però insufficienti: non tutti gli account di Twitter vengono attaccati con le stesse modalità (phishing o spear-phishing, un phishing mirato a colpire obiettivi individuali). Gli hacker possono inviare falsi tweet quando riescono ad attaccare una sessione non cifrata, e talvolta le violazioni sono dovute a errori o superficialità da parte degli stessi utenti.
Si può allora ridurre il rischio connettendosi tramite VPN o accedendo ai siti via Ssl, purtroppo penalizzando la velocità di navigazione. Inoltre è suggerito non avere l’account Twitter aperto in background mentre si lavora con altre applicazioni. In definitiva l’unico modo per rendere più difficile il lavoro degli hacker è l’accurata formazione e consapevolezza dell’utente.
Twitter, dopo l’attacco subito dall’Associated Press lo scorso aprile, ha iniziato i test per un nuovo sistema di autenticazione a due fattori che richiede oltre all’inserimento della password, anche l’uso di un secondo dispositivo (di solito uno smartphone) al quale è inviato via Sms o tramite App, un codice generato casualmente, da inserire poi durante il log-in. Un po’ come avviene con i servizi di banking on line dove vengono forniti token che generano numeri casuali da inserire come credenziali di accesso ulteriori a quelle tradizionali.
Uno stop alle mail hackerate dei parlamentari M5S
ll Garante della Privacy si è finalmente pronunciato sulla questione delle mail hackerate dei deputati del Movimento 5 Stelle, disponendo il divieto alla divulgazione e pubblicazione del contenuto di tali messaggi e invitando i siti web e le testate giornalistiche che li avevano scaricati, a cancellarli dai loro archivi.
L’attività compiuta a danno dei deputati, spiega il Garante per la Protezione dei Dati Personali, configura una grave violazione di uno dei diritti fondamentali della Costituzione, quello della segretezza della corrispondenza e delle comunicazioni di ogni cittadino, aggravato dal fatto che, in questo caso, la violazione è avvenuta sulla corrispondenza di membri del Parlamento, tutelati da disposizioni costituzionali precise.
Gli hacker, oltre a essere responsabili da un punto di vista penale (art. 616 e seguenti del codice penale), hanno anche violato il Codice della Privacy per quanto riguarda tutte le informazioni contenute nella corrispondenza, che sono state diffuse all’insaputa e contro la volontà degli interessati, violando il principio generale in base al quale i dati personali dei cittadini devono essere trattati in modo lecito e raccolti in modo legittimo.
Per giunta la vicenda ha leso il diritto alla riservatezza non solo dei deputati del Movimento 5 Stelle, ma anche di tutti coloro che sono entrati in contatto con loro tramite mail.
Il Garante ha pertanto disposto il divieto a ogni eventuale ulteriore trattamento delle suddette mail imponendo l’obbligo a chi le detiene a cancellarne i contenuti. Il mancato rispetto delle prescrizioni comporterà sanzioni amministrative e penali.
Anonymous, gli hacktivist e l’attacco alle mailbox del M5S: è democrazia diretta?
Di nuovo Anonymous, di nuovo un’azione dimostrativa, di nuovo confusione sui (e dai) mezzi di informazione. Gli hacker all’attacco del potere… “Basta avere un minimo di conoscenze tecniche e storiche per sapere che gli hacktivist con l’hacking c’entra poco o nulla. Certo, non si può escludere che qualcuno dei componenti di questo gruppo abbia conoscenze più sofisticate del semplice utente. Ma questo non trasforma un gruppo di “attivisti” pseudopolitici in hacker. La passione di scoprire come funzionano le cose non ha nulla a che vedere con un (rispettabilissimo) uso politico di Internet. E non è manco lontana parente di attacchi illegali resi possibili da un software (LOIC) utilizzabile da chiunque e che solo superficialmente possono essere considerati come espressione di un legittimo dissenso.
In realtà, come ha scritto The Economist in un lucidissimo articolo pubblicato il 16 dicembre 2010, “in una società libera, il fondamento etico della pacifica violazione della legge deve essere la consapevolezza dell’individuo di subire le conseguenze del proprio gesto, difendendosi davanti ai giudici e combattendo per cambiare una legge. I manifestanti, quindi, meritano protezione solo se sono identificabili … i manifestanti nel ciberspazio, al contrario, sono di solito anonimi e non rintracciabili. La natura furtiva e senza autori degli attacchi DDOS non li rende meritevoli di protezione: gli ignoti autori di questi attacchi sono piuttosto degli ultras codardi, altro che eroi.
Questo vale anche per coloro che attaccano Wikileaks – un argomento che quei politici americani che invocano rappresaglie contro Julian Assange dovrebbero tenere ben presente. Squadracce e vigilante, online e offline, nella migliore delle ipotesi “esportano” soltanto giustizia sommaria.”
Se avete l’impressione di avere già sentito questo discorso avete ragione: è una citazione di quello che scrissi nel 2011 sul numero 241 di PC Professionale e, a quanto, pare, si tratta di considerazioni ancora del tutto valide.
Dunque, l’attacco di Hacktivist alle mailbox dei parlamentari del M5S è l’ennesima variazione sul tema “democrazia diretta” che, grazie alla rete, è diventata un’opzione concreta invece di rimanere confinata nelle pagine dei manuali di diritto costituzionale, e ripropone ancora una volta il tema degli illeciti (penali, in questo caso) come strumento di attività politica. Cominciamo dal primo punto. Per secoli, in uno stato sovrano, l’unica forma realmente praticabile di democrazia è stata quella “indiretta”, cioè quella nella quale i cittadini affidano ai parlamentari il compito di fare le leggi. Il perché è evidente: senza un sistema per organizzare e gestire il consenso di ciascuno sarebbe stato impossibile far funzionare la macchina dello Stato. Immaginate di dover chiedere, per ogni decisione, il parere di ciascun cittadino via telefono o telegramma… sarebbe semplicemente impossibile.
Poi è arrivata la rete e, improvvisamente, ci siamo trovati nelle condizioni di poter far sentire la nostra voce, in modo organizzato e disintermediato, parlando direttamente al potere e auto-organizzandosi per portare la “volontà popolare” all’interno delle stanze del potere. Questa, in sintesi, è l’operazione organizzata dal M5S. Senza volerla “buttare in politica”, però, se guardiamo ai fatti ci rendiamo conto che l’uso della rete non ha consentito la realizzazione di una vera democrazia diretta, ma ha solo facilitato il collegamento fra la “base” di un movimento e i suoi rappresentanti. In altri termini, ha reso possibile uno stato di consultazione permanente fra tutti gli appartenenti al movimento. In due parole: vivono connessi.
L’avere rivendicato il primato della partecipazione diretta su quella mediata dai partiti ha, però, la controindicazione che chiunque può sentirsi in diritto di adottare lo stesso criterio. E dunque, saltate le regole, sempre in nome della democrazia diretta a qualcuno può venire in mente di esercitare forme di pressione sui parlamentari ad esempio “bucandogli” le mailbox. Cioè commettendo un reato. In termini strettamente giuridici la questione è abbastanza complessa perché – come nel caso delle lotte sindacali degli anni ’70 del secolo scorso di cui parlavo nell’articolo di PC Professionale – azioni come il blocco stradale da parte dei manifestanti che pure erano reato in certi casi non sono state considerate punibili. Ma non è il caso delle azioni compiute da Anonymous e dagli hacktivist che, per quanto eventualmente animate da buone intenzioni sono e rimangono illeciti penali.
I siti dei club di calcio europei nel mirino degli hacker
I campionati di calcio europei 2012 sono già diventati il pretesto per i cybercriminali per lanciare attacchi alla rete e nei giorni scorsi sono stati presi di mira i siti ufficiali dei club calcistici di Italia, Spagna, Grecia, Germania e Olanda.
A rivelare la notizia è la società G.Data che opera nel campo della sicurezza software. I G Data Security Labs hanno scoperto che numerosi siti di club calcistici europei ma anche fun club e associazioni sono stati violati da hacker al fine di sottrarre dati personali degli utenti, username e password di accesso, indirizzi email e indirizzi Ip e in qualche caso anche dati bancari.
G Data ha già provveduto ad avvisare i club interessati e si è resa disponibile a fornire assistenza.
Le motivazioni di questi attacchi sarebbero di natura politica: una forma di protesta contro i profitti delle squadre di calcio che stridono con all’attuale crisi economica generalizzata.
A livello tecnico, i veicoli d’attacco sono stati SQL Injection e CRLF Injection. La prima, iniettando codice all’interno di un’istruzione SQL, consente di copiare, modificare, cancellare dati. La seconda prevede l’invio di una richiesta “http” preparata appositamente per manipolare la risposta del webserver.
Per gli utenti le conseguenze di questo attacco potrebbero essere in un’azione di spam “personalizzato” ad esempio confezionando contenuti calcistici infetti.
Attraverso i social engineering malintenzionati potrebbero carpire informazioni sulle singole persone, fingersi dipendenti della società di calcio attaccata e contattare le vittime per telefono o via mail per ottenere ulteriori informazioni personali. I dati diffusi su web potrebbero poi essere utilizzati per accedere ad altri servizi web, visto che spesso le persone usano le stesse credenziali di accesso su più siti diversi.
C’è posta per te…
Nel week-end in rete non si è parlato d’altro. Il sito delle Poste italiane è stato messo sotto attacco nella giornata di sabato e in serata l’home page risultava inaccessibile.
Poste italiane ha definito l’attacco come un’azione di defacement, ovvero un atto dimostrativo che però non ha intaccato la sicurezza dei dati personali e credenziali di accesso degli utenti. “È solo un defacement che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo” afferma Gerardo Costabile, responsabile Sicurezza Logica, Poste Italiane. 
Gli hacker, che si firmano Mr Hipo e StutM, hanno sostituito l’home page ufficiale con una pagina su cui campeggiava la scritta Hacked e in cui gli autori spiegavano le motivazioni del loro atto: dimostrare agli utenti Internet quanto sia labile la sicurezza dei loro dati nei siti di e-commerce e quanto sia facile appropriarsene. La Polizia Postale insieme ai tecnici di Poste Italiane hanno lavorato per ripristinare il servizio, e oggi assicurano con una nota pubblicata sull’home page del sito, i correntisti possono stare tranquilli che nessun loro dato è stato trafugato, proprio perché gli hacker volevano solo fare un atto dimostrativo.
Questo è il secondo attacco nel giro di pochi giorni alla Internet italiana, la scorsa settimana erano stati presi di mira gli account di posta di Gmail e Hotmail, con un attacco di phishing che invece aveva carpito le credenziali di accesso di numerosi utenti. Non a caso Google e Microsoft avevano invitato gli utenti a cambiare subito le password. Insomma l’impressione è che a volte si navighi davvero un po’ a vista..
