Mondo
Il mercato nero dove acquistare strumenti di hacking, numeri di carte di credito rubate e cyber-armi continua a espandersi e nei suoi meandri non si aggirano solo criminali, ma anche aziende e agenzie governative.
Non si tratta più, insomma di un ‘sottobosco’ di internet sconosciuto ai più, ma di un vero e proprio bazar, neanche tanto difficile da trovare, basta fare, ad esempio, un giro su YouTube o una ricerca su Google.
Lo rivela uno studio della RAND Corporation, una società di ricerca indipendente ma che spesso ha fornito la sua consulenza al dipartimento della difesa americano e a diverse agenzie di intelligence.
Lo studio “Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar” evidenzia innanzitutto che per certi aspetti “…il cybercrime può essere più redditizio e facile da praticare del traffico di stupefacenti e non è più, come 15 anni fa, svolto da ragazzini in cerca di notorietà, ma gestito da vere e proprie organizzazioni criminali altamente sofisticate”, come ha sottolineato l’analista Lillian Ablon, autrice dello studio.
Tra i ‘prodotti’ in vendita, si trovano facilmente kit di attrezzi per hacker (software per creare, distribuire e gestire attacchi sistematici), botnet (un gruppo di Pc compromessi controllati in remoto per inviare spam e bloccare l’accesso ai siti) e armi cibernetiche, inclusi i cosiddetti ‘exploit zero-day‘ che consentono di sfruttare le vulnerabilità sconosciute ai produttori dei Pc – e per le quali quindi non esistono patch – per prenderne controllo e rubare le informazioni sensibili, dalle credenziali di online banking alle password di posta elettronica e altri dati. Tra i principali utilizzatori di questi strumenti, secondo molti osservatori, non vi sono solo i semplici criminali, ma anche le agenzie governative, che acquisterebbero sul mercato ‘grigio’ – non propriamente illegale, ma neanche del tutto legale – in cui si viene introdotti da brocker specializzati. Il prezzo dei kit ‘zero-day’ può variare da poche centinaia di dollari a diverse centinaia di migliaia di dollari fino, in pochi casi, anche al milione di dollari.
Il rapporto non cita direttamente l’NSA ma suggerisce che gli sforzi dell’intelligence Usa per ostacolare le tecnologie di protezione della privacy potrebbero alimentare il mercato dell’hacking illegale, spronando i criminali informatici a sviluppare e vendere strumenti per introdursi nelle comunicazioni crittografate.
Gli analisti citano poi ad esempio il furto avvenuto a dicembre ai danni del gigante del retail americano Target. L’episodio ha coinvolto 40 milioni di carte di credito e gli account di 70 milioni di utenti che, pochi giorni dopo sono comparsi in vendita sui siti del mercato nero.
Secondo gli autori del rapporto, in seguito ad alcune operazioni di polizia molto pubblicizzate, l’accesso a molti di questi ‘mercati neri’ si è molto ristretto – con un aumento del controllo dei partecipanti e dell’uso di criptovalute come il bitcoin – ma è anche vero che una volta entrati è molto facile partecipare e guadagnarci.
“La cosa impressionante – ha spiegato la Ablon – è il livello di resilienza e raffinatezza di questi mercati neri e la capacità di adattamento dei cybercriminali a ogni tipo di difesa messa in atto da consumatori e aziende”.
Gli autori del rapporto prevedono, infine, un aumento della domanda di strumenti e servizi per prendere di mira i social network e i dispositivi mobili e un ingresso sempre più massiccio di broker che agiranno da intermediari tra gli hacker e i loro aspiranti clienti. Questo aumenterà il rischio di furto di dati e di spionaggio delle comunicazioni.
“La capacità di attaccare supererà la capacità di difendersi, con i pirati informatici a fare la parte del riccio (conoscere un solo metodo di attacco ma usarlo bene) e i difensori a fare le ‘volpi’, conoscendo, cioè tutti gli strumenti e le tecniche che gli avversari possono usare contro di loro”, conclude lo studio.
