Il 5 gennaio del 2017, il Tribunale di Roma, come raccontano le cronache, ha emesso un’ordinanza di custodia cautelare nei confronti di Giulio Occhionero e Francesca Maria Occhionero, un ingegnere nucleare e sua sorella, residenti a Londra, ma domiciliati a Roma. I due fratelli sono stati arrestati con l’accusa di accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche.
Il movente ancora non è chiaro, ma leggendo il curriculum dei due, è presumibile che lo scopo finale della loro attività illecita fosse semplicemente quello di avvantaggiarsi delle informazioni riservate intercettate, tramite la violazione di account di posta elettronica appartenenti a personalità di spicco del mondo della finanza, ma anche della politica e dell’amministrazione pubblica. Non a caso, la società che avevano fondato, la Westlands Securities, operava nel campo dell’investment banking, inizialmente dedita allo sviluppo di tools quantitativi per le consulenze finanziarie e bancarie e successivamente curatrice di progetti nel settore del private equity e dell’asset management.
Ma come hanno fatto a violare caselle di posta, reti informatiche e computer fisici di persone importanti e con un ruolo chiave nell’economia e nella politica italiana, fino ad arrivare addirittura a provare a mettere le mani sugli account dei dispositivi utilizzati dal Premier Matteo Renzi, dal Presidente della BCE Mario Draghi e dall’ex Presidente del Consiglio Mario Monti? Sembrerà strano, ma l’attacco è avvenuto con uno dei più banali sistemi di infezione virale digitale: il virus informatico. Non un sofisticato algoritmo dal codice incomprensibile, ma un software malevolo fatto in casa, assolutamente inoffensivo senza l’aiuto della vittima.
Occhionero aveva chiamato il suo “malware” Eye Pyramid con un chiaro riferimento alla piramide massonica e all’occhio della provvidenza (Giulio era iscritto alla loggia del Grande Oriente d’Italia). Questo virus arrivava come allegato di una email e veniva mascherato da una semplice tecnica di ingegneria sociale che induceva il destinatario a crederlo un file innocuo, al massimo un documento di testo, mentre invece celava al suo interno un programma in grado di gettare le fondamenta per la creazione di una botnet, ovvero una rete di computer zombie da cui far partire gli attacchi verso le vere vittime della violazione.
D’altronde, non c’è da stupirsi che le intrusioni ben congegnate siano indirette, basta fare un parallelo con le rapine in banca o con gli attentati. Di solito, i criminali preferiscono rubare prima un auto o un camion e poi procedere alla rapina o all’attentato terroristico. Così Occhionero si concentrava sugli anelli deboli della catena della sicurezza informatica, cioè gli utenti medi, svogliati, con scarsa cultura informatica e poi colpiva gli amministratori di rete, per sfruttarne i privilegi e infine le vittime designate.
C’è da dire che i numeri dei soggetti realmente colpiti vanno ridimensionati. Nelle 46 pagine dell’ordinanza, infatti, si parla di “un elenco di 18.327 username univoche” di cui però solo 1.793 sono “corredate da password”. In tutti gli altri casi si tratta di “tentativi di infezione, più o meno riusciti”. Non è detto quindi che tutti gli account siano stati effettivamente violati. Anche quelli ai quali corrisponde una password potrebbero essere semplicemente “ipotesi più probabili”, ma non necessariamente la “giusta combinazione”. O ancora, quelle password potrebbero non bastare, specialmente se il proprietario dell’account ha attivato l’autenticazione in due passaggi con il tracciamento e l’identificazione del dispositivo di accesso.
Certo è che il malware, una volta inoculato, consente ben più della violazione di un account di posta perché, attraverso un meccanismo vecchio almeno quanto è vecchia Internet, è possibile operare nella modalità RAT, ovvero del “remote administration tool” per cui una parte del codice si trova sul computer della vittima (il virus) e funziona da “server” e l’altra è nelle mani di chi è interessato al controllo di quella macchina ed opera come “client“. In questo modo è possibile addirittura installare un “keylogger” ovvero un sistema che invierà ogni singola azione del mouse, pressione di tasti sulla tastiera, attività di sistema e screenshot (immagini delle schermate del monitor) a questo o a quel account scelto come “testa di legno”. E di account di questo tipo, Occhionero ne aveva creati tanti, anche se aveva commesso l’errore di riutilizzarli più volte per attività simili (vedi coinvolgimento nell’inchiesta per la cosiddetta “P4”).
Ma quindi, chi sono stati gli anelli deboli che hanno permesso la propagazione dell’infezione e la conseguente realizzazione della botnet che poi faceva il lavoro sporco e che manteneva Occhionero al riparo da un rapido collegamento con la sua attività? Uno di questi era, ad esempio, la casella di posta elettronica di uno studio legale, protetta da misure di sicurezza come antivirus e antispam, ma che nulla hanno potuto di fronte alle tecniche di ingegneria sociale e di “thiefing” (sfruttamento delle minime misure di protezione adottate dagli utenti per i propri dispositivi).
Per fortuna, però, le email che partivano dallo studio legale e che in quel momento miravano ad infettare i sistemi informatici dell’ENAV si sono scontrate con l’attenzione, la riflessione e la meticolosità del responsabile della sicurezza dello stesso ente che, anziché visualizzare e scaricare l’allegato all’email, provvedeva opportunamente ad inviarlo per l’analisi tecnica a una società di sicurezza informatica. Insomma, tutta la questione è venuta a galla a causa di un messaggio di posta elettronica indesiderato, uno di quelli che abitualmente classifichiamo come “spam” e andiamo avanti con la lettura dei messaggi.
Cosa rimane di questo caso (che in realtà è ancora aperto)? Quali sono le vere difese che possiamo mettere in atto per non cadere in queste trappole? Dopo il precedente con Yahoo, abbiamo la conferma che si tratta di un problema culturale. Occorre dare valore all’informatica come strumento quotidiano per proteggere i nostri dati e le nostre informazioni riservate. Non possiamo più permetterci l’indolenza di trattare le misure di sicurezza informatica come se non fossero paragonabili alle nostre chiavi di casa o al PIN del nostro Bancomat. I computer fanno parte della nostra vita oggi più che mai e dobbiamo avere l’umiltà di capire i loro meccanismi, la loro logica, anche perché è la stessa logica delle persone, perché a crearli sono pur sempre delle persone.
Dobbiamo paradossalmente rifiutare l’evoluzione dell’informatica se va nella direzione di nasconderci quello che c’è sotto, se non ci da sempre la possibilità di scegliere, di conoscere e di capire come funziona. Occorre rifiutare l’idea del computer come elettrodomestico che potrà sembrare un’idea figlia del progresso, ma non è altro che l’abbandono della libertà e della conoscenza, nell’illusione che non serva più fermarsi a leggere le istruzioni, concentrarsi ed imparare, prima di usare strumenti complessi come i computer e le reti informatiche.
