Internet non è solo il Web che si naviga ogni giorno, quello dove aziende, Stati e celebrità espongono le loro informazioni. Internet è come una nave, dove ciò che emerge è solo una parte di quanto naviga sott'acqua. Al di sotto dell'Internet che conosciamo, gira un mondo informatico ai più sconosciuto, che a volte assume le sembianze di vera e propria leggenda. Oggi parliamo di botnet e di Cultura underground di Internet, per capire meglio questi ambienti ai margini e se ci si possa difendere e come dalle attività che ivi si incontrano.

Le Botnet sono estesi network di Computer zombie, in genere controllate da una o poche persone che impartiscono comandi per commettere azioni di svariato tipo. Le botnet di media grandezza sono costituite da un numero compreso tra diecimila e centomila Computer zombie sparsi per il pianeta. Le botnet più estese, quelle in grado di mettere in ginocchio i server di piccoli paesi, arrivano fino a milioni di Computer. I Computer zombie appartengono a gente comune, ignara di quello che sta girando nei propri sistemi.

Bisogna semplificare alcuni concetti, per chiarire a chi non conosce questi argomenti cos'è una botnet, cos'è un bot o zombie, quali comandi di controllo può accettare un Computer zombie, in quale modo gli vengono impartiti tali comandi, quali azioni e quali attacchi contribuisce il Computer zombie a perpetrare secondo gli ordini del Botmaster.

Iniziamo proprio da quest'ultimo termine: botmaster. Il botmaster è chi controlla la botnet. Bot è l'abbreviazione di Robot, mentre master significa padrone. Parliamo di botnet che vengono utilizzate per azioni illegali, quindi sgombriamo il campo da eventuali poetiche citazioni di Hacker e botnet paladine dell'umanità. Sono esistite botnet utilizzate per combattere i soprusi di governi e aziende, ma in genere le botnet più estese vengono utilizzate per chiedere riscatti o sfondare sistemi e portali di grandi organizzazioni.

Il botmaster è chi controlla la botnet. La botnet è comandata da uno o più botmaster, in gergo Cracker o criminal hackers, e non si tratta di snack salati. Il Cracker è un programmatore con grandi abilità informatiche che dirige la propria "arte" verso azioni "malvagie", al fine di guadagnare in modo illecito per interessi personali. Quando parlo di guadagno non intendo sempre per forza denaro, perché i primi Cracker dal loro "Lavoro" ottenevano più che altro gratificazioni psicologiche. Al Cracker si contrappone l'Hacker, quest'ultimo in genere eticamente e politicamente orientato. Agli inizi del 2000 è salito alla ribalta un gruppo di Hacker, chiamati Anonymous. «Noi siamo Anonymous. Noi siamo legione. Noi non perdoniamo. Noi non dimentichiamo. Aspettateci!», è il motto dell'organizzazione. Anonymous è una forma di attivismo e un fenomeno di Internet che identifica singoli utenti o intere comunità Online che agiscono anonimamente, in modo coordinato o anche individualmente, per perseguire un obiettivo concordato. Il termine, stando alle dichiarazioni di quanti sostengono di agire come Anonymous, identifica un'estetica e un comportamento piuttosto che degli individui, un'estetica genericamente riferita alla difesa della libertà di pensiero e di espressione.

Una sfida interessante per il mondo degli Hacker, che hanno sempre visto nella privacy un bene prezioso e una forma di libertà da difendere a tutti i costi, è un programma che si chiama Tor. Tor permette di mantenere nascosto il proprio indirizzo IP sulla rete. Il programma si basa sulla crittografia a chiave pubblica e sull'utilizzo di catene casuali di server chiamati onion router. Quando un utente collegato a Internet tramite Tor richiede una Pagina Web, la richiesta non viene inoltrata direttamente alla destinazione, ma attraverso un Percorso casuale nella rete dei server a cui il programma si appoggia; in questo modo è molto più difficile ricostruire le comunicazioni di un utente. Semplifico con un esempio: immaginiamo di trovarci a Napoli e di dover chiamare un Telefono di Roma. In maniera normale alziamo il Telefono, componiamo il numero di Roma e quest'ultimo riceve la telefonata da Napoli. Ora utilizziamo un Telefono speciale chiamato Tor. Componiamo sempre lo stesso numero di Roma, ma la nostra chiamata viene instradata in Australia, poi nel Regno Unito, in Romania, poi in Uganda, in Brasile e infine raggiunge Roma. Il numero romano riceve una chiamata dal Brasile, ma il chiamante sta a Napoli. Se il chiamante richiama lo stesso numero, la chiamata arriverà casualmente dalla Cina, oppure dal Canada, oppure dal Sud Africa. Ogni volta che ci si collega normalmente a un qualsiasi sito, il sito riceve l'indirizzo IP di chi lo contatta. L'IP non identifica la persona che contatta il sito, ma può essere una indicazione per le autorità che in caso di crimini informatici volesse risalire alla persona che in quel momento lo utilizzava. Il meccanismo non è così semplice come nell'esempio fornito, ma questo dà un'idea di quali dati girano nel Motore di Internet.

Hacker e Cracker dominano gli stessi strumenti e utilizzano le stesse tecniche. Se i primi seguono un'etica, i secondi agiscono per rompere e sfondare i sistemi informatici per fini personali. La botnet è l'insieme di Computer sparsi per il mondo controllati dai Cracker o botmaster. I Computer sono quelli dei comuni utenti, ignari di cosa gira nel loro Computer casalingo. Ma un botmaster come fa a controllare una rete così estesa di Computer? In genere il consenso glielo dà l'utente, senza accorgersene. Può avvenire sfruttando una falla di sistema, una falla dei browser per la navigazione Web, l'installazione di un Software malevolo, credendo magari di stare installando un Software pulito, oppure attraverso un click sbadato su uno script contenuto in un allegato che arriva via eMail sotto mentite spoglie (Phishing) ecc.. Gli utenti hanno "spiccate capacità" di far infettare un sistema senza accorgersene. Il Phishing è una Tecnica per ottenere informazioni in maniera fraudolenta. Solitamente la vittima riceve una eMail, che assomiglia a un messaggio inviato da una persona o un ente familiare. L'utente viene spinto a scaricare un allegato che presenta un malware o a cliccare su un collegamento interno alla eMail che porta ad una Pagina Web molto simile a quella originale del fornitore del servizio, presentando un modulo dove gli si chiede di inserire le proprie credenziali. Di uso frequente è anche il Phishing telefonico, chiamato vishing, nel quale viene simulato un contesto particolare come un gestore telefonico, attraverso cui si carpiscono credenziali e dati sensibili grazie alla maggiore fiducia verso il presunto ente chiamante. Facciamo un altro esempio: squilla il Telefono e una voce gentile e professionale ci dice di essere un rappresentante della nostra banca. Ci informa che sono stati rilevati dei movimenti insoliti che è necessario controllare, quindi ci chiede di verificare insieme le operazioni sospette, chiedendoci le credenziali di accesso. In genere, semmai si verificasse una simile eventualità, l'operatore ci inviterebbe a recarci presso la filiale della banca. In questo caso no, viene fatta leva sulla fiducia e sulla paura di aver commesso una infrazione.

Quando un bot viene avviato per la prima volta, si installa silenziosamente nel sistema e... e non fa niente. magari si pensa che un bot inoculato nel Computer lo distrugga, ma non è così. Un malware è un parassita, senza il Computer in cui gira muore. Il bot ha tutto l'interesse a restare a lungo nel sistema e vivere indisturbato senza creare fastidi. Tuttavia il Computer in cui gira un bot passa a far parte di una botnet e viene definito zombie.

Un Computer zombie è un Computer o dispositivo mobile connesso ad Internet che, all'insaputa dell'utente, è stato compromesso da un Cracker o infettato da un virus in maniera tale da permettere a persone non autorizzate di assumerne in parte o per intero il controllo. Generalmente questo Computer diviene parte di una botnet. Solo quando vorrà il botmaster i Computer zombie appartenenti alla rete risponderanno ai suoi ordini ed eseguiranno dei comandi. In genere sono piccole azioni, di cui l'utente neanche si accorge. Si pensi a quelle piccole azioni di un bot moltiplicate per 100 mila, 10 milioni di bot appartenenti alla botnet.

Si immagini che ci sia una botnet costituita da 30 milioni di Computer zombie. Pare esagerato come numero? La botnet BredoLab nel 2009 aveva 30 milioni di zombie. Solo l'anno prima la botnet spagnola Mariposa era costituita da 12 milioni di Computer zombie. A un certo punto il botmaster, che può essere anche un'intera organizzazione Criminale, sferra un Attacco al sito di uno Stato, di un servizio statale, di una banca ecc.. I criminali chiedono solo un riscatto, oppure sono alla Ricerca di dati, milioni di dati personali, oppure di segreti industriali. Il sito sotto Attacco viene paralizzato per ore, per giorni. I servizi che offre vanno completamente in tilt. Ai Computer zombie magari è stato impartito solo il comando di richiedere la home page del sito ogni 5 secondi. Per i singoli Computer zombie della botnet il comando è da niente, occupa un quantitativo insignificante di banda. Ma si pensi al sito che riceve 30 milioni di richieste ogni cinque secondi. Il sito viene completamente paralizzato, va in tilt, a meno che non sia quello di un grosso Social network come Facebook o di Google, infrastrutture alle quali è stato dedicato un quantitativo ingente di risorse. In gergo questo Attacco si chiama Distributed Denial of Service (DDoS). Il traffico dei dati in entrata che inonda la vittima proviene da molte fonti diverse sparse per tutto il mondo. L'esempio in analogia è quello di un gruppo di persone che affollano la porta d'ingresso o il cancello di un negozio o di un'Azienda. Esse non consentono alle parti legittime di entrare nel negozio o nell'Azienda, quindi difatti interrompono le normali operazioni. Ciò rende impossibile fermare l'Attacco solo bloccando una singola fonte. Saturandone le risorse si rende tale sistema "instabile" e non disponibile agli altri utenti. Qualsiasi sistema collegato ad Internet è soggetto al rischio di attacchi DDoS.

Nel 2009 la Shadowserver Foundation ha riferito che nel mondo esistevano trecentocinquanta botnet attestate, più del doppio rispetto al 2007. Nel marzo del 2010 la polizia spagnola ha arrestato tre Uomini responsabili di una botnet chiamata Mariposa, “farfalla”. La gigantesca botnet comprendeva qualcosa come dodici milioni di Computer zombie ed era stata usata per lanciare attacchi DDoS, mandare spam e rubare dettagli personali. I Cracker avevano fatto Soldi affittandola ad altri.

Una botnet può utilizzare qualsiasi protocollo di comunicazione. Le prime botnet utilizzavano il protocollo Internet Relay Chat (IRC). Altre hanno utilizzato Http o Https, per sfruttare le porte standard di comunicazione solitamente lasciate aperte per la normale navigazione Web dei browser (Firefox, Google Chrome, Edge, per citarne alcuni). Altre botnet più sofisticate utilizzano reti peer-to-peer pure (P2P), cioè senza server centrali, per rendersi ancora più sfuggenti e difficili da bloccare. Infatti le botnet più recenti sono ormai interamente basate sulle reti P2P. Piuttosto che comunicare con un server centralizzato, i bot P2P si configurano sia come server per eseguire comandi, sia come client per riceverli. Per ricercare altre macchine infette nella rete, i bot interrogano in maniera discreta indirizzi IP casuali finché non riescono a contattare un'altra macchina zombie. Allora i due bot che entrano in contatto si scambiano alcune informazioni, tra le quali la più importante è l'elenco con gli altri Computer zombie della botnet. In questo modo ogni bot accresce la sua lista di macchine infette e aggiorna sé stesso comunicando periodicamente con tutti gli altri bot conosciuti.

Internet non è solo quello che l'utente vede in superficie, ma è soprattutto costituito da tutte le informazioni lecite e illecite che viaggiano al di sotto. Il sito DiGrande.it ogni giorno e notte viene contattato (pingato) da decine di centinaia di bot che ne forzano le porte in cerca di qualche varco lasciato incustodito. Gli IP che tentano di sfondare il sito provengono da tutto il mondo, magari da Computer ignari appartenenti a una botnet. Dagli indirizzi utilizzati a volte si notano attacchi credential stuffing, in cerca di credenziali che utilizzano parole chiave comunemente diffuse. I tentativi sono indirizzati soprattutto verso indirizzi wordpress; Anche se DiGrande.it utilizza altre tecnologie, da ciò si intuisce l'insistente attività che viaggia nell'Internet underground. Da un certo punto di Vista il tutto è affascinante, almeno per chi si occupa di sicurezza Informatica. Più preoccupanti invece sono gli attacchi Brute-force in cerca di credenziali o gli attacchi data breach usando SQL injection o altre tecniche.

Il 28 dicembre 2020, una crew di Cracker denominata Bank Security su Twitter annuncia di aver sfondato l'operatore Italiano Ho Mobile e di avergli rubato l'Archivio dei suoi clienti. Il data break ha fruttato ai Cracker nomi, indirizzi, codici sim, numeri telefonici ecc. di 2,5 milioni di clienti. Ora questi dati sarebbero stati messi in vendita dalla crew sul dark Web, con tutti i risvolti negativi del caso.

Una botnet può essere utilizzata per qualsiasi attività illecita. Nel 2020 è stata scoperta dark nexus, una nuova botnet utilizzata dai criminal hackers per lanciare attacchi DDoS verso le infrastrutture Internet, in particolare contro un'ampia gamma di dispositivi IoT (Internet of Things) tra cui anche numerosi modelli di router, video recorder e telecamere termiche di videosorveglianza. Dark_nexus è ancora attiva. Nello stesso anno Microsoft annuncia al mondo di aver sgominato la botnet Necurs, una delle più grosse botnet degli ultimi anni: era costituita da 9 milioni di zombie. Necurs utilizzava un algoritmo di generazione di domini casuali, per generare nuovi nomi di dominio per ospitare i server di comando e controllo della rete. Microsoft ha decifrato l'algoritmo e ha fatto la previsione dei successivi 6 milioni di domini che Necurs avrebbe creato, quindi in collaborazione con tribunali e ISP li ha bloccati. Nel 2019 è stato l'anno della botnet Mirai, di una sua nuova versione. Mirai ha sfruttato le vulnerabilità presenti nei dispositivi connessi a Internet, consentendo di lanciare attacchi di tipo RCE (Remote Code Execution), bypassare i sistemi di autenticazione dei dispositivi ed eseguire comandi da remoto per prenderne il pieno controllo. Tra dieci-venti anni la situazione diventerà preoccupante, più di adesso. Quando gli elettrodomestici e i sistemi domotici saranno controllabili via Internet, ogni casa sarà attaccabile alla stregua di un comune Computer o di un dispositivo mobile.

Nella maggior parte dei casi ciò che muove una botnet e i suoi botmaster sono i Soldi. Le botnet vengono affittate per gli scopi più disparati. Oltre a quelli già citati, una botnet può essere usata per inviare spam, rilevare password o diffondere ransomware. Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccarlo, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

Se con gli esempi citati siamo ancora a livello di utenza domestica o poco più, una botnet può essere utilizzata per sferrare attacchi a Stati o a grandi Aziende, al fine di scoprire segreti di Stato o segreti industriali. Oggi la maggior parte dei servizi viaggia su Internet, si è sempre più coinvolti e dipendenti dalla rete. Bloccare una qualsiasi attività lavorativa oggi è un fatto concreto che potrebbe verificarsi in qualsiasi momento. Siamo agli albori di una società dipendente dalla rete, dall'Elettronica, dall'Informatica. Infatti si discute sempre più spesso di Guerra cibernetica. La cyberwar oggi è un argomento tenuto dagli Stati in alta considerazione, che attuano attività di preparazione e conduzione di operazioni di contrasto nello spazio cibernetico. Tale Guerra si caratterizza per l'uso avanzato di tecnologie elettroniche, informatiche e di sistemi di telecomunicazione.

Il 13 dicembre 2020 è stata data la notizia della scoperta dell'hackeraggio di una piattaforma diffusamente utilizzata in tutto il mondo. Si ipotizza che l'Attacco provenga dal gruppo Hacker APT29 “Cozy Bear” sostenuto dal governo russo. Ad essere attaccato è stato principalmente il Governo statunitense. Nell'Attacco enti governativi americani e aziende di alto livello sono stati colpiti da quella che è stata una campagna malevola ben strutturata e messa in atto in maniera sistematica. La porta di accesso alle infrastrutture critiche USA, e non solo, è stata individuata in una falla di sicurezza nella piattaforma Orion di SolarWinds utilizzata per la gestione e il monitoraggio delle reti. A seguito di questo Attacco, le autorità europee riunite nel Progetto CyCLONe, la nuova rete di cooperazione delle autorità nazionali di cybersecurity in caso di incidenti informatici, si sono mobilitate.

Uno dei prodotti più famosi e popolari di SolarWinds si chiama Orion. La suite Orion include sei strumenti per la supervisione completa delle risorse di rete, delle applicazioni e degli storage. Tali prodotti sono utilizzati, nel mondo, da più di 300 mila clienti, tra i quali Stati, enti governativi, università, istituti bancari, gestori di telefonia e telecomunicazioni (anche Tim), grandi multinazionali del settore IT e non solo. Gli attaccanti hanno sfruttato l'accesso ottenuto alla rete di SolarWinds per aggiungere una backdoor a una libreria chiave del prodotto. La libreria manipolata è stata poi diffusa ai clienti, tramite il normale processo di aggiornamento della piattaforma Orion. Kevin Thompson, Presidente e CEO di SolarWinds ha dichiarato: “Riteniamo che questa vulnerabilità sia il risultato di un Attacco altamente sofisticato e mirato da parte di uno stato-nazione.” SolarWinds ritiene che il numero effettivo di clienti che potrebbero essere stati infettati da questo malware sia inferiore a 18 mila. Parliamo di sistemi di grosse organizzazioni, pubbliche e private. SolarWinds sta lavorando con Microsoft al fine di rimuovere un Vettore di Attacco che permette anche la compromissione di Microsoft Office 365. In Italia il Nucleo Tecnico per la sicurezza cibernetica si è riunito e ha raccomandato a tutte le organizzazioni che utilizzano la piattaforma Orion di esaminare la problematica con la massima attenzione.

A livello strategico oggi lo spazio cibernetico è considerato il più recente Ambiente di Guerra, ovvero il quinto dominio dopo terra, mare, cielo e spazio. Lo spazio cibernetico per sua conformazione offre l'occasione di sfruttare le sue enormi ignote vastità per sfidare avversari di forze impari, in modi altrimenti inimmaginabili negli altri domini. Per sua Natura le battaglie in questo dominio sono svolte principalmente da agenzie di servizi segreti; raramente si riesce a individuare gli attori responsabili ed ancora più difficilmente si riesce a giudicarli in base a una giurisdizione univoca. La pervasività odierna della Rete nella vita dei singoli cittadini, come nelle infrastrutture dove ormai è diventata indispensabile al loro funzionamento, se da un lato comporta un esteso controllo centralizzato di contro presenta una fragilità intrinseca del sistema che può essere infiltrato in qualsiasi momento e danneggiato anche nei punti più vitali, nonostante tutte le precauzioni.

Se questi argomenti generano fascinazione e romanticismo, come se si leggesse un Romanzo di Ian Fleming con protagonista James Bond, dall'altro fanno capire quanto oggi vitale sia diventata Internet. Paralizzare la società oggi è realtà. Sferrare attacchi a infrastrutture critiche come servizi energetici, idrici, di combustibili, di comunicazioni, commerciali, dei trasporti e militari oggi è possibile, perché sono tutti potenziali obiettivi di questo genere. Attacchi volti a modificare indebitamente pagine Web, chiamati in gergo deface, o a rendere temporaneamente inagibili i server (DDoS). Le attività militari che utilizzano Computer e satelliti per coordinarsi possono essere potenziali obiettivi di attacchi cibernetici. Ordini e comunicazioni possono essere intercettati o sostituiti, mettendo a rischio le operazioni. Informazioni riservate ma non adeguatamente protette possono essere intercettate e modificate, rendendo possibile lo spionaggio. Messaggi politici che possono essere spediti o resi disponibili in rete a scopo di coordinamento o per perpetrare una Guerra psicologica, come le fake news durante l'elezione politica di uno Stato.

L'unico Computer sicuro è quello spento. Può essere una frase ad effetto, ma quando si parla di sicurezza Informatica, il Cracker sa che un sistema protetto, per quanto sicura sia la protezione adottata, avrà sempre una piccola falla che gli consentirà di sproteggerlo e sfondarlo. Potrà essere una falla nell'Hardware o nel Software, oppure il Cracker potrà adottare tecniche di social engineering, per garantirsi un accesso indisturbato come amministratore del sistema. Un tipico Attacco, ad esempio, è quello in cui un Cracker riesce ad aggirare il controllo di accesso ottenendo l'account di un utente, oppure ottiene un accesso privilegiato del sistema come amministratore, manomette il sistema compromesso trasformandolo in base per attacchi futuri ad altre macchine interne ed esterne al sistema. Le motivazioni che muovono un Cracker a compiere un'azione di Attacco sono delle più svariate e vanno dal guadagno economico al puro appagamento psicologico, dal vandalismo al senso di sfida intellettuale. Alcune aziende illuminate negli anni hanno saputo dirottare le energie e le capacità dei Cracker, assumendoli per occuparsi di sicurezza Informatica. Altri Cracker sono stati arrestati e messi in prigione per aver violato sistemi che i loro proprietari ritenevano impenetrabili. Nel 2010, a seguito di alcuni attacchi DDoS a Paypal e ad altri istituti di credito, l'FBI ha arrestato quattordici persone che avevano preso parte agli attacchi. Tra loro c'erano studenti universitari e una Donna di mezza età.

La mossa migliore per canalizzare le energie dei Cracker più promettenti, è quella di coinvolgerli in sfide rivolte verso la salvaguardia dei dati e dei sistemi. L'aspetto psicologico è fondamentale, la sfida di rompere o sfondare un sistema è ciò che il più delle volte muove un Cracker ad agire. Non sono giovani disposti ad accontentarsi di un comune Lavoro, ma persone creative che vogliono imparare qualcosa che costituisca una sfida per la loro mente. L'euforia di dominare un sistema informatico è il Motore che muove un Cracker, e canalizzare quell'energia verso la protezione del sistema è una delle cose migliori che un'Azienda o un ente possano fare.

Hacker e Cracker non sono fenomeni del nostro tempo, non sono nati con Internet. Internet è una normale prosecuzione dell'Ambiente in cui operano. Sin dagli albori dei sistemi elettronici e informatici gli Hacker e i Cracker ci sono sempre stati, alcuni anche molto famosi. Agli inizi degli anni settanta negli USA gli Hacker e i phone phreakers avevano trovato il modo di fare telefonate interurbane gratis replicando i toni che instradavano i segnali nella rete telefonica. Uno degli Hacker era chiamato Captain Crunch perché aveva scoperto che il Suono del fischietto che veniva venduto con una confezione di cereali per la colazione aveva la stessa frequenza di 2600 hertz usata dai commutatori preposti all'instradamento della rete telefonica. Il fischio dunque ingannava il sistema inducendolo a lasciar passare un'interurbana senza far scattare la tariffa extra. Questa vicenda entusiasmò uno dei protagonisti dell'Informatica degli anni settanta e di tutti quelli a venire: Steve Wozniak. Wozniak insieme all'altro Steve, cioè Steve Jobs, che qualche anno dopo sarebbero stati i fondatori di Apple, costruirono un generatore di toni Digitale. Wozniak raccolse semplicemente la sfida di abbattere e penetrare un sistema, sfruttandone le falle. Utilizzando diodi e transistor costruì la prima versione Digitale di una blue box. In un primo tempo i due amici usarono la blue box per divertimento e per fare scherzi, il più famoso dei quali fu telefonare al Vaticano.

La protezione di un sistema è direttamente proporzionale ai dati che esso custodisce. Questa equazione dovrebbe essere un principio che si dovrebbe rispettare. Un utente domestico è naturale che adotti le proprie soluzioni al fine di proteggere il proprio sistema informatico. Sono soluzioni di base, a volte sufficienti per dargli una minima sicurezza. A meno che l'obiettivo di un botmaster non sia ricavare dati di accesso ai vari servizi Online, l'interesse che ha per i Computer domestici è solo concentrato al loro "reclutamento" come zombie. L'utente domestico per preservare i suoi dati sensibili, può adottare Software o strumenti di crittografia che gli consentano di proteggere i suoi dati cifrandone il contenuto. Se si ha la sensazione di far parte di una botnet, è necessario fare in modo da controllare ed eventualmente ripulire il proprio sistema dall'eventuale malware che gira in background. Si può intervenire con degli strumenti antivirus, oppure tentare attraverso un firewall di chiudere le backdoor che vengono utilizzate dal bot per ricevere o trasmettere comandi. Se la cura di un sistema infettato è un'operazione per esperti, La cosa più importante per un comune utente è la Prevenzione.

Prevenire è meglio che curare, diceva una vecchia pubblicità sull'AIDS, ed è vero. L'unico strumento di Prevenzione sta tra la sedia e la Tastiera: è l'utente. I comportamenti dell'utente sono alla base delle infezioni che il Computer può contrarre.

L'ingegneria Sociale (dall'inglese social engineering), nel campo della sicurezza Informatica, è lo Studio del comportamento individuale di una persona al fine di carpire informazioni utili. Per esempio, oggi i Social network sono un ottimo Ambiente in cui i social engineers carpiscono informazioni alle loro vittime, nei casi più comuni ricattandole, nei casi meno comuni acquisendo da loro dati personali e chiavi di accesso a sistemi informatici di particolare rilevanza.

L'ingegneria Sociale viene adottata anche nelle eMail, quelle che in genere si classificano come spam. Lo spam è la parte innocua di una eMail pubblicitaria. Le eMail possono nascondere veri e propri messaggi di ingegneria Sociale, capaci di indurre gli utenti a Installare bot, cliccando semplicemente un allegato o un collegamento, oppure a rivelare le proprie credenziali di accesso su finti portali che hanno l'aspetto di quelli reali. Il miglior complice dei Cracker è l'utente stesso, magari l'inesperto che accetta inconsapevolmente di fornire l'accesso al proprio Computer, oppure il dipendente di un'Azienda che naviga su Internet e sbadatamente clicca su qualcosa su cui non avrebbe dovuto cliccare. Ma il varco può risiedere nell'infrastruttura fragile della rete aziendale, oppure può essere dovuto alla scarsa sicurezza del sistema informatico dell'Azienda, come i troppi privilegi di esecuzione lasciati nei terminali. L'equazione è quella di prima: più dati si hanno da proteggere, più sforzi si dovrebbero fare per garantirne la protezione, magari dedicando più risorse alla sicurezza.

Le tecniche psicologiche utilizzate nell'ingegneria Sociale sono molteplici, ma le più comuni riguardano lo sfruttamento di strumenti quali autorevolezza, senso di colpa, panico, ignoranza, desiderio, avidità e compassione. Tutte queste, se riconosciute, possono a loro volta aiutare la vittima ad evitare di essere attaccata, ed è dunque importante nel mondo della sicurezza Informatica tenerle in considerazione per aumentare la consapevolezza degli utenti. È sufficiente un banale esempio: conosci un tuo amico per il quale nutri un alto senso di autorevolezza; ricevi da egli un'eMail in cui si scusa per l'increscioso disastro informatico in cui è incappato (senso di colpa), che potrebbe mettere a rischio anche la tua sicurezza (panico). Per risolvere il problema (desiderio) ti invita ad adottare una soluzione (ignoranza).

Un Hacker di fronte a eMail del genere andrebbe in paranoia, identificandola a colpo sicuro solo per le tecniche psicologiche con cui è costruito il messaggio. L'utente però potrebbe essere indotto a seguire i consigli autorevoli del proprio amico. Se si andasse ad analizzare l'eMail si scoprirebbe che l'indirizzo eMail del mittente non è proprio quello del proprio amico, magari ci assomiglia solo in parte. Magari si scoprirebbe che il link a cui punta la soluzione non è quello che appare nel messaggio, ma porta verso un sito sospetto. Forse si capirebbe che l'indirizzo IP dal quale arriva l'eMail risiede dall'altra parte del mondo, cosa alquanto improbabile. La cosa migliore per un utente che non riesce ad analizzare una eMail, sarebbe dunque quella di alzare il Telefono e chiamare il proprio amico, per capire se l'eMail sia veramente stata inviata da lui. Oppure chiamare la propria banca, la propria compagnia telefonica, la propria compagnia elettrica, nel caso che a Scrivere siano apparentemente questi enti. Più un attaccante simula un messaggio di questo tipo mettendo anche immagini o particolarità tipiche, più l'utente sarà vulnerabile nell'accettare e seguire le azioni illustrate nel messaggio. È naturale, è pura psicologia, è ingegneria Sociale.

Facendo leva sui buoni sentimenti si può giungere a condurre alcune persone a fare donazioni o a scaricare applicazioni particolari. Mentre nel genere maschile si fa affidamento alla Tecnica del desiderio, in questo caso è molto più semplice fare breccia sull'altro Sesso attraverso finte organizzazioni benefiche o siti e applicazioni riguardanti l'amore e la vita di coppia. Un esempio famoso di tale tipologia di Attacco è il virus ILOVEYOU diffusosi nel 2000, in cui si utilizzava un allegato all'interno di una mail il quale sembrava essere un semplice file di testo con titolo "LOVE-LETTER-FOR-YOU.TXT", ma in realtà era un comune file eseguibile.

Hacker etici e Cracker criminali sono le due facce della stessa moneta: la società consumistica in cui siamo immersi. Il progresso di Internet, dell'Elettronica e dell'Informatica è inarrestabile. In questi decenni i legislatori hanno regolamentato alcuni aspetti della rete e del suo utilizzo. Come nella realtà Fisica, il mondo di Internet, quello emerso e quello sommerso, è costituito comunque da persone, ognuna con le proprie regole morali e psicologiche, etiche e sociali. Il Crimine su Internet continuerà ad esistere, qualunque siano le leggi restrittive che la regolamentino. D'altronde al punto dove siamo è impensabile abbassare l'interruttore e spegnere Internet, l'Informatica, i Software e gli Hardware, e tornare all'agricoltura e alla decrescita di un mondo più lento e vivibile. Internet si sta affacciando anche nel mondo agricolo, con l'automazione di processi e macchine. La frenesia di questi anni è dovuta alla crescita e al consumo, attraendo nella rete tutte le distorsioni criminali. Internet non ha portato progresso all'umanità, anche se oggi viene ritenuta bene comune dell'Uomo. Internet utilizzata in siffatta forma è solo sviluppo di tutte le distorsioni consumistiche che appartengono alla nostra società industrializzata, nella quale viene incoraggiato l'acquisto di beni e servizi in quantità sempre maggiore, utilizzata per condizionare meglio la Spesa dei consumatori. In una società che desidera il superfluo, la criminalità è conseguente al "bisogno" degli esseri umani di omologarsi, di sentirsi gruppo. Le sfide degli Hacker sono la risposta indiretta per non conformarsi a tale modello di società. La Ricerca degli Hacker di privacy e anonimato in rete è sintomo del loro rifiuto a tale modello consumistico. Per esempio, il fenomeno Sociale hikikomori è un sintomo di questa società. Prima in Giappone, poi lentamente in diffusione in tutto il mondo, giovani individui scelgono di ritirarsi fisicamente dalla vita Sociale, spesso cercando livelli estremi di isolamento e confinamento. Tali scelte sono causate da fattori personali e sociali di varia Natura. Tra questi la particolarità del contesto familiare in Giappone e la grande pressione della società giapponese verso l'autorealizzazione e il successo personale, cui l'individuo viene sottoposto fin dall'adolescenza. È la ribellione della gioventù giapponese alla Cultura tradizionale e all'intero apparato Sociale da parte di adolescenti che vivono reclusi nella loro casa o nella loro stanza senza alcun contatto con l'esterno, né con i familiari né con gli amici.

La volontà dei Cracker di rompere il sistema per trarne guadagno economico è una distorsione enigmatica, poiché quello stesso guadagno è spendibile consumisticamente solo all'interno dello stesso sistema. La Cultura degli Hacker invece pare che si basi sulla reputazione. Gli Hacker sono essi stessi una comunità, con le loro regole di convivenza, distaccata per alcuni versi dalla società. Ceto, razza, ruolo Sociale, Orientamento sessuale e tutti i marchi tipici della società consumistica sono rifiutati, ritenuti irrilevanti per l'Hacker che vuole costruirsi una reputazione, quindi in controtendenza rispetto ai valori fondanti della società, dove la spinta `e data dall'interesse economico. Invece i Cracker non hanno quel collante di valori comuni e di senso di appartenenza degli Hacker, `e rimasta loro solo l'abilità nell'usare le tecnologie, attraverso le quali essi perseguono spregiudicatamente i propri obiettivi personali. Per questo essi rientrano più facilmente nelle categorie che la Cultura dominante offre per interpretare la realtà.

Tutti gli strumenti e i comportamenti che abbiamo esaminato in questo articolo fanno capo al modello consumistico di società in cui oggi siamo costretti a vivere. Hacker e Cracker sono i sintomi di una società sempre più al collasso, dove i soggetti più fragili e con elevate capacità intellettive tendono a smarrirsi e a cercare altre strade per esprimere la loro personalità creativa, in dissenso verso lo sviluppo consumistico ed edonistico in cui oggi il mondo è atropicamente invischiato.