L'hacking (chiamato anche cyber hacking) è l'uso di mezzi non convenzionali o illeciti per ottenere l'accesso non autorizzato a un dispositivo digitale, un sistema di elaborazione o una rete informatica.
L'esempio classico di hacker è un criminale informatico che sfrutta le vulnerabilità per superare le misure di sicurezza e irrompere in un computer o in una rete per sottrarre dati. Ma l’hacking non ha sempre intenti dannosi. Anche un consumatore che manipola il suo smartphone per eseguire programmi personalizzati è, tecnicamente parlando, un hacker.
Gli hacker malintenzionati hanno sviluppato un'enorme mercato del crimine informatico, in cui i fuorilegge traggono profitto lanciando attacchi informatici, vendendo malware o dati rubati a terzi. Secondo una stima (link esterno a ibm.com), questo mercato sommerso è la terza economia più grande del mondo, dietro a Stati Uniti e Cina.
All'altro estremo dello spettro dell'hacking, la comunità della sicurezza informatica dipende sempre più dagli hacker etici, cioè hacker che aiutano e non criminali, per testare le misure di sicurezza, identificare e risolvere le falle di sicurezza e prevenire le minacce informatiche. Gli hacker etici fanno ottimi guadagni aiutando le aziende a rafforzare i loro sistemi di sicurezza, oppure collaborando con le forze dell'ordine per eliminare le loro controparti malintenzionate.
L'X-Force Threat Intelligence Index offre nuovi approfondimenti sulle principali minacce per aiutarti a prepararti e rispondere più rapidamente ad attacchi informatici, estorsioni e altro ancora.
Registrati per il report Cost of a Data Breach
Gli hacker malintenzionati (chiamati anche "black hat hacker") eseguono essi stessi attacchi informatici o sviluppano malware o exploit che vendono ad altri hacker sul dark web (vedi, ad esempio, accordi di ransomware-as-a-service). Possono lavorare da soli o come parte di un gruppo organizzato di hacker o di criminali informatici.
Il profitto economico è la motivazione più diffusa per gli hacker malintenzionati. In genere loro:
Sottraggono informazioni o dati personali, quali credenziali di accesso, numeri di carte di credito, numeri di conto bancario, numeri di previdenza sociale, che possono utilizzare per entrare in altri sistemi o commettere furti di identità.
Lanciano attacchi di social engineering, come phishing o truffe per compromettere le e-mail aziendali, per indurre le persone a inviare loro denaro o dati sensibili.
Praticano l'estorsione, ad esempio utilizzando attacchi ransomware o DDoS (Distributed Denial of Service) per tenere in ostaggio i dati, i dispositivi o le operazioni aziendali finché la vittima non paga un riscatto. Secondo l' X-Force Threat Intelligence Index, il 27% degli attacchi informatici sono estorsioni alle vittime.
Effettuano spionaggio aziendale su commissione, sottraendo proprietà intellettuali o altri dati sensibili ai concorrenti dell'azienda loro cliente.
Ma gli hacker malintenzionati possono avere motivazioni diverse o complementari per commettere o far commettere attacchi informatici. Ad esempio, un dipendente scontento potrebbe hackerare il sistema del datore di lavoro semplicemente per rivalsa dopo una promozione negata.
Gli hacker etici (chiamati anche "white hat hacker") utilizzano le loro competenze per aiutare le aziende a individuare e correggere le vulnerabilità della sicurezza, in modo che i soggetti malintenzionati non possano utilizzarle.
L'hacking etico è una professione legittima: gli hacker etici spesso lavorano come consulenti di sicurezza o come dipendenti delle aziende che violano. Gli hacker etici seguono un codice di condotta rigoroso: ottengono sempre il permesso prima di hackerare, non fanno danni e mantengono riservate le loro scoperte.
Uno dei servizi di hacking etico più comuni è il penetration test, in cui gli hacker lanciano finti attacchi informatici contro applicazioni web, reti o altre risorse, per individuarne i punti deboli. Quindi collaborano con i proprietari degli asset per correggere queste debolezze. Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analizzare il malware per raccogliere intelligence sulle minacce o partecipare a cicli di vita protetti dello sviluppo software.
Alcuni hacker non rientrano completamente nel campo etico o malintenzionato. Questi hacker (chiamati anche "gray hat hacker") si introducono nei sistemi senza autorizzazione, ma non lo fanno per scopi dannosi. Al contrario questi hacker espongono alle aziende che attaccano i difetti trovati nei loro sistemi. Possono offrirsi di correggere le vulnerabilità in cambio di un compenso o addirittura di un'offerta di lavoro. Pur avendo buone intenzioni, questi hacker vigilanti possono accidentalmente segnalare a quelli malintenzionati nuovi vettori di attacco.
Alcuni programmatori dilettanti hackerano semplicemente per divertimento, per imparare cose nuove o per acquisire notorietà per aver violato obiettivi difficili.
Gli "hacktivist" sono hacker attivisti che violano i sistemi per attirare l'attenzione su questioni sociali e politiche. Il collettivo libero Anonymous è probabilmente il gruppo di hacker attivisti più conosciuto, che ha scatenato attacchi contro obiettivi come il governo russo (link esterno a ibm.com).
Gli hacker sponsorizzati dallo stato hanno il sostegno ufficiale di un Paese. Collaborano con un governo per spiare gli avversari, interrompere infrastrutture critiche o diffondere disinformazione. Se questi hacker siano etici o dannosi dipende da chi giudica. Ad esempio, l'attacco Stuxnet agli impianti nucleari iraniani, che si ritiene sia stato portato avanti dai governi statunitense e israeliano, è probabilmente considerato etico da chiunque consideri il programma nucleare iraniano come una minaccia.
Non esiste un hacker "tipico". Gli hacker utilizzano tattiche diverse a seconda dei loro obiettivi e dei sistemi che prendono di mira. Un hack può essere semplice come l'invio di e-mail di phishing massivo per rubare le password a chiunque ci caschi, oppure elaborato come una minaccia persistente avanzata (Advanced Persistent Threat - APT) che si annida segretamente in una rete per mesi, aspettando l'occasione per colpire.
Detto questo, gli hacker condividono un set standard di strumenti che di solito utilizzano.
Sistemi operativi specializzati: anche se gli hacker possono lanciare attacchi da sistemi operativi Mac o Microsoft standard, molti utilizzano sistemi operativi personalizzati. Ad esempio, Kali Linux, una distribuzione Linux open source progettata per i test di penetrazione, è popolare tra gli hacker etici.
Strumenti di cracking delle credenziali: questi programmi possono scoprire le password rompendo le crittografie o lanciando attacchi di forza bruta, che utilizzano bot o script per generare e testare automaticamente potenziali password finché non trovano quella giusta.
Scanner delle porte: gli scanner delle porte testano in remoto i dispositivi per le porte aperte e disponibili, che gli hacker possono utilizzare per ottenere l'accesso a una rete.
Scanner delle vulnerabilità: gli scanner delle vulnerabilità ricercano nei sistemi vulnerabilità note, consentendo agli hacker di trovare rapidamente gli ingressi a un obiettivo.
Analizzatori di pacchetti: questi strumenti analizzano il traffico di rete per determinare da dove proviene, dove sta andando e, in alcuni casi, quali dati contiene.
Malware: il software dannoso, o malware, è un'arma fondamentale negli arsenali degli hacker malintenzionati. Alcuni tipi di malware più comunemente utilizzati sono:
Ransomware blocca i dispositivi o i dati di una vittima e richiede il pagamento di un riscatto per sbloccarli.
Le botnet sono reti di dispositivi connessi a Internet e infetti da malware sotto il controllo di un hacker. Gli hacker spesso usano le botnet per lanciare attacchi di Distributed Denial of Service (DDoS).
I trojan horse si mascherano da programmi utili o si nascondono all'interno di software legittimo per indurre gli utenti a installarli. Gli hacker utilizzano i trojan per ottenere segretamente l'accesso remoto ai dispositivi o per scaricare malware aggiuntivo all'insaputa degli utenti.
Lo spyware raccoglie segretamente informazioni sensibili, come password o dati di conti bancari, e le ritrasmette all'aggressore.
All'inizio degli anni ottanta, un gruppo di giovani hacker, noti come i 414, hanno violato obiettivi di alto profilo come il Los Alamos National Laboratory e il Sloan-Kettering Cancer Center. Sebbene i 414 lo abbiano fatto per divertimento e abbiano causato pochi danni reali, i loro hacking hanno motivato il Congresso degli Stati Uniti ad approvare il Computer Fraud and Abuse Act, che ha ufficialmente reso l'hacking dannoso un reato.
Uno dei primi worm informatici, il Morris worm, è stato progettato e rilasciato su Internet nel 1988 come esperimento. Tuttavia, alla fine ha causato più danni del previsto. Il worm ha costretto migliaia di computer offline e ha accumulato costi stimati pari a USD 10.000.000 legati ai tempi di inattività e alle correzioni. Robert Tappan Morris, il programmatore del worm, è stata la prima persona a ricevere una condanna penale ai sensi del Computer Fraud and Abuse Act.
Nel 2021, gli hacker hanno infettato i sistemi di Colonial Pipeline con un ransomware, costringendo l'azienda a chiudere temporaneamente l'oleodotto, che riforniva il 45 percento del carburante della costa orientale degli Stati Uniti. Gli hacker hanno utilizzato la password di un dipendente, trovata sul dark web, per accedere alla rete. La Colonial Pipeline Company ha pagato un riscatto di USD 5 milioni per riottenere l'accesso ai propri dati.
Tutte le organizzazioni che si affidano ai sistemi informatici per le funzioni critiche, cioè la maggior parte delle aziende, sono a rischio di hacking. Non c'è modo di rimanere lontani dai radar degli hacker, ma le aziende possono render loro più difficile l'accesso.
Secondo il report Cost of a Data Breach di IBM, le credenziali sottratte e compromesse sono il vettore di attacco più comune per le violazioni dei dati. Richiedere password complesse può rendere più difficile per gli hacker rubare le credenziali, mentre l'autenticazione a più fattori (Multi-Factor Authentication - MFA) fa sì che una password rubata non sia sufficiente per entrare. Alcune organizzazioni impongono ai gestori di password di aiutare i dipendenti a creare password diverse per account diversi, evitando di riutilizzare le stesse.
Gli attacchi di ingegneria sociale, talvolta chiamati "human hacking", utilizzano la manipolazione psicologica piuttosto che mezzi tecnologici. Formare i dipendenti a riconoscere e rispondere agli attacchi di ingegneria sociale può contribuire a rendere queste truffe meno efficaci.
Gli hacker spesso cercano bersagli facili, scegliendo di violare reti con vulnerabilità ben note. Un programma ufficiale di gestione delle patch può aiutare le aziende a rimanere aggiornate sulle patch di sicurezza dei fornitori di software, rendendo più difficile l’accesso degli hacker.
Firewall e sistemi di prevenzione delle intrusioni (Intrusion Prevention Systems - IPS) possono aiutare a rilevare e bloccare l'ingresso degli hacker in una rete. Il software di informazioni sulla sicurezza e di gestione degli eventi SIEM (Security Information and Event Management) può aiutare a individuare gli attacchi informatici in corso. I programmi antivirus possono trovare ed eliminare il malware, mentre le piattaforme di rilevamento e risposta degli endpoint (Endpoint Detection and Response - EDR) possono automatizzare le risposte anche ad hack complessi come gli APT. I dipendenti da remoto possono utilizzare le reti private virtuali (Virtual Private Network - VPN) per proteggere il traffico dalle intercettazioni.
È già stato detto in precedenza, ma vale la pena ripeterlo: gli hacker etici sono una delle migliori difese contro gli hacker malintenzionati. Gli hacker etici possono utilizzare valutazioni delle vulnerabilità, test di penetrazione, red teaming e altri servizi per individuare e correggere vulnerabilità e problemi di sicurezza prima che hacker e minacce informatiche possano sfruttarli.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di livello aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, le piattaforme SIEM e SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
L'individuazione proattiva alle minacce, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un reparto IT già impegnato. Avere a disposizione un team affidabile di risposta agli incidenti può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare più rapidamente.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente ai ransomware e a minimizzare l'impatto degli attacchi.
Gli attacchi informatici sono tentativi di sottrarre, esporre, alterare, disabilitare o distruggere le risorse di altri tramite l'accesso non autorizzato ai sistemi di elaborazione.
La gestione delle vulnerabilità consiste nel continuo rilevamento e risoluzione delle falle di sicurezza nell'infrastruttura IT e nel software di un'organizzazione.