L'hacking (chiamato anche cyber hacking) è l'uso di mezzi non convenzionali o illeciti per ottenere l'accesso non autorizzato a un dispositivo digitale, un sistema di elaborazione o una rete informatica. Un esempio classico è quello di un criminale informatico che sfrutta le vulnerabilità di sicurezza per entrare in una rete e rubare dati.
Ma l’hacking non ha sempre scopi dannosi. Anche un consumatore che manipola il suo smartphone per eseguire programmi personalizzati è, tecnicamente parlando, un hacker.
Gli hacker malintenzionati hanno sviluppato un enorme mercato del crimine informatico, in cui i fuorilegge traggono profitto lanciando attacchi informatici, estorcendo vittime o vendendo malware e dati rubati a terzi. Si prevede che il costo globale di tutti i crimini informatici raggiungerà quasi 24 trilioni di dollari entro il 2027.1
Gli attacchi informatici dannosi possono avere conseguenze disastrose. Le persone colpite devono affrontare furti di identità, furti di denaro e altro ancora. Le organizzazioni possono subire tempi di inattività del sistema, fughe di dati e altri danni che portano alla perdita di clienti, alla riduzione dei ricavi, al danneggiamento della reputazione e delle multe o altre sanzioni legali. In sintesi, secondo il report Cost of a Data Breach di IBM, il costo medio di una violazione dei dati per un’organizzazione è di 4,88 milioni di USD.
All'altra estremità dello spettro dell'hacking, la comunità della cybersecurity dipende sempre più dagli hacker etici, ossia hacker utili e non criminali, per testare le misure di sicurezza, individuare e risolvere le falle di sicurezza e prevenire le minacce informatiche. Questi hacker etici realizzano ottimi guadagni aiutando le aziende a rafforzare i propri sistemi di sicurezza o collaborando con le forze dell'ordine per eliminare le loro controparti malintenzionate.
Un attacco informatico è un atto intenzionale che ha lo scopo di danneggiare un sistema informatico o i suoi utenti, mentre l'hacking è l'atto di ottenere l'accesso o il controllo di un sistema attraverso mezzi non autorizzati. La differenza fondamentale è che gli attacchi informatici danneggiano sempre i loro obiettivi, mentre l'hacking può essere buono, cattivo o neutrale.
Gli attori malintenzionati possono, e spesso lo fanno, utilizzare tecniche di hacking per condurre attacchi informatici, ad esempio sfruttando una vulnerabilità del sistema per entrare in una rete e installare ransomware.
Gli hacker etici, al contrario, utilizzano tecniche di hacking per aiutare le organizzazioni a rafforzare le loro difese. Sostanzialmente, è l'opposto di un attacco informatico.
Un'altra distinzione importante da fare è che l'hacking non è sempre illegale. Se un hacker ha il permesso del proprietario di un sistema, o è il proprietario stesso del sistema, la sua attività è legale.
Al contrario, gli attacchi informatici sono quasi sempre illegali, poiché non hanno il consenso della vittima e mirano attivamente a causare danni.
Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.
Gli hacker si dividono in 3 categorie principali in base alle loro motivazioni e tattiche:
Hacker malintenzionati che operano con l'intento di causare danni
Hacker etici che operano per proteggere le aziende dai danni
Gli hacker vigilanti o "gray hat" che sfumano la linea di confine tra hacking "buono" e "cattivo"
Gli hacker malintenzionati (talvolta chiamati "black hat hacker") sono criminali informatici che operano per scopi malvagi, danneggiando le loro vittime per un guadagno personale o finanziario.
Alcuni hacker malintenzionati conducono direttamente attacchi informatici, mentre altri sviluppano codice dannoso o exploit da vendere ad altri hacker sul dark web. (Vedi, ad esempio, gli accordi di ransomware as a service.) Possono lavorare da soli o come parte di una banda ransomware, di un giro di truffe o di altri gruppi organizzati.
Il denaro è la motivazione più diffusa per gli hacker malintenzionati. Generalmente, infatti, guadagnano:
Sottraggono informazioni o dati personali,quali credenziali di accesso, numeri di carte di credito, numeri di conto bancario, numeri di previdenza sociale, che possono utilizzare per entrare in altri sistemi o commettere furti di identità.
Secondo l'IBM X-Force Threat Intelligence Index, l'esfiltrazione dei dati è la conseguenza più comune degli attacchi informatici e si verifica nel 32% degli attacchi.
Praticando l'estorsione, ad esempio utilizzando attacchi ransomware o DDoS (Distributed Denial of Service) per tenere in ostaggio dati, dispositivi oppure operazioni aziendali finché la vittima non paga un riscatto. L'estorsione, che si verifica nel 24% degli incidenti, è il secondo impatto più comune degli attacchi secondo il Threat Intelligence Index.
Effettuando spionaggio aziendale su commissione, sottraendo proprietà intellettuali o altre informazioni riservate ai concorrenti delle aziende clienti.
A volte, gli hacker malintenzionati sono spinti da altre motivazioni oltre al denaro. Ad esempio, un dipendente scontento potrebbe violare il sistema del datore di lavoro semplicemente per rivalsa dopo una promozione negata.
Gli hacker etici ("white hat hacker") utilizzano le loro competenze informatiche per aiutare le aziende a individuare e correggere le vulnerabilità di sicurezza, in modo che gli attori delle minacce non possano sfruttarle.
L'hacking etico è una professione legittima. Gli hacker etici lavorano come consulenti di sicurezza o come dipendenti delle aziende che violano. Per risultare affidabili e dimostrare le proprie capacità, gli hacker etici ottengono certificazioni da organismi come CompTIA e EC-Council e seguono un rigido codice di condotta. Ottengono sempre il permesso prima di operare, non causano danni e mantengono riservate le loro scoperte.
Uno dei servizi di hacking etico più comuni è il penetration testing, noto anche come “pen testing”, durante il quale gli hacker simulano attacchi informatici contro applicazioni web, reti o altre risorse per individuarne le vulnerabilità. Quindi collaborano con i proprietari degli asset per correggere queste debolezze.
Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analizzare il malware per raccogliere threat intelligence o partecipare a cicli di vita di sviluppo software sicuri.
Gli hacker "gray hat", o "grey hat", non rientrano esattamente nel campo degli hacker etici o malintenzionati. Questi vigilanti si introducono nei sistemi senza autorizzazione, ma lo fanno per aiutare le organizzazioni che violano e talvolta per ottenere qualcosa in cambio.
Il nome "gray hat" fa riferimento al fatto che questi hacker operano in una zona grigia dal punto di vista morale. Informano le aziende dei difetti che trovano nei loro sistemi e potrebbero offrirsi di correggere queste vulnerabilità in cambio di un compenso o addirittura di un lavoro. Pur avendo buone intenzioni, possono accidentalmente segnalare agli hacker malintenzionati nuovi vettori di attacco.
Alcuni programmatori dilettanti hackerano semplicemente per divertimento o per imparare cose nuove o per acquisire notorietà per aver violato obiettivi difficili. Ad esempio, l’ascesa dell’intelligenza artificiale generativa ha portato a un’ondata di hacker AI dilettanti che si cimentano nel jailbreaking dei modelli AI per far sì che riescano a fare cose nuove.
Gli “hacktivisti” sono hacker attivisti che violano i sistemi per attirare l’attenzione su questioni sociali e politiche. Il collettivo Anonymous è probabilmente il gruppo di hacktivisti più noto, che ha organizzato attacchi contro obiettivi di alto profilo come il governo russo e le Nazioni Unite.
Gli hacker sponsorizzati dallo stato hanno il sostegno ufficiale di un Paese. Collaborano con un governo per spiare gli avversari, interrompere infrastrutture critiche o diffondere disinformazione, spesso in nome della sicurezza nazionale.
A seconda dei punti di vista, questi hacker possono essere considerati etici o malintenzionati. Prendiamo ad esempio l’attacco Stuxnet agli impianti nucleari iraniani, ritenuto opera dei governi degli Stati Uniti e di Israele. Chiunque consideri il programma nucleare iraniano una minaccia alla sicurezza potrebbe considerare quell’attacco etico.
In definitiva, ciò che un hacker fa è ottenere l'accesso a un sistema in un modo che i progettisti del sistema non avevano previsto. Il modo in cui lo fa dipende dagli obiettivi e dai sistemi che prende di mira.
Un attacco informatico può essere semplice come l'invio di e-mail di phishing per rubare le password di chiunque cada nella trappola, oppure complesso come una minaccia persistente avanzata (APT) che si nasconde in una rete per mesi.
Alcuni dei metodi di hacking più comuni includono:
Sebbene sia possibile utilizzare sistemi operativi Mac o Microsoft standard per condurre un attacco informatico, molti hacker utilizzano sistemi operativi (OS) personalizzati ricchi di strumenti di hacking su misura come cracker di credenziali e scanner di rete.
Ad esempio, Kali Linux, una distribuzione Linux open source progettata per i test di penetrazione, è popolare tra gli hacker etici.
Gli hacker utilizzano vari strumenti per conoscere i loro obiettivi e identificare i punti deboli che possono sfruttare.
Ad esempio, i packet sniffer analizzano il traffico di rete per determinare da dove proviene, dove si sta dirigendo e quali dati contiene. I port scanner testano i dispositivi da remoto per verificare la presenza di porte aperte e disponibili a cui gli hacker possono connettersi. I vulnerability scanner cercano nei sistemi vulnerabilità note che potrebbero consentire agli hacker di trovare rapidamente le vie d'accesso a un determinato obiettivo.
Il software dannoso, o malware, è un'arma fondamentale negli arsenali degli hacker malintenzionati. Secondo l'X-Force Threat Intelligence Index, il 43% degli attacchi informatici è causato da malware.
Alcuni dei tipi di malware più comuni includono:
Il ransomware blocca i dispositivi o i dati di una vittima e richiede il pagamento di un riscatto per sbloccarli.
Le botnet sono reti di dispositivi connessi a internet e infettati da malware sotto il controllo di un hacker. Il malware botnet spesso prende di mira i dispositivi Internet of Things (IoT) a causa delle loro protezioni generalmente deboli. Gli hacker utilizzano botnet per avviare attacchi Distributed Denial of Service (DDoS).
I trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Gli hacker utilizzano i trojan per ottenere segretamente l'accesso remoto ai dispositivi o scaricare altri malware a insaputa degli utenti.
Lo spyware raccoglie segretamente informazioni sensibili, come password o dati di conti bancari, e le ritrasmette all'aggressore.
Il malware Infostealing è diventato particolarmente popolare tra i criminali informatici, perché i team di sicurezza informatica hanno imparato a contrastare altri ceppi comuni di malware. Il Threat Intelligence Index ha rilevato che l'attività degli infostealer è aumentata del 266% nel periodo 2022–2023.
Gli attacchi di ingegneria sociale inducono le persone a inviare denaro o dati agli hacker o a concedere loro l'accesso a sistemi sensibili. Tattiche comuni di ingegneria sociale includono:
Attacchi di phishing, come truffe di business e-mail compromise, che utilizzano e-mail o altri messaggi fraudolenti.
Attacchi di spear phishing che prendono di mira individui specifici, spesso utilizzando i dettagli delle loro pagine pubbliche sui social media per guadagnare la loro fiducia.
Attacchi di baiting, in cui gli hacker collocano unità USB infette da malware in luoghi pubblici.
Attacchi scareware , che usano l'intimidazione per costringere le vittime a fare ciò che l'hacker vuole.
Gli hacker sono sempre alla ricerca della via più semplice e, in molte reti aziendali, ciò significa rubare le credenziali dei dipendenti. Secondo l'X-Force Threat Intelligence Index di IBM, l'abuso di account validi è il vettore di attacco informatico più comune, responsabile del 30% di tutti gli incidenti.
Armati delle password dei dipendenti, gli hacker possono spacciarsi per utenti autorizzati e aggirare i controlli di sicurezza. Gli hacker possono ottenere le credenziali degli account in vari modi.
Possono utilizzare spyware e infostealer per raccogliere password o indurre gli utenti a condividere le informazioni di accesso attraverso l'ingegneria sociale. Possono utilizzare strumenti di cracking delle credenziali per lanciare attacchi brute-force, testando automaticamente le potenziali password fino a quando una non funziona, o persino acquistare credenziali precedentemente rubate sul dark web.
Proprio come i difensori ora usano l’intelligenza artificiale (AI) per combattere le minacce informatiche, gli hacker stanno la stanno utilizzando per colpire i loro obiettivi. Questa tendenza si manifesta in due modi: gli hacker che utilizzano strumenti di AI sui loro obiettivi e gli hacker che puntano alle vulnerabilità delle app di AI.
Gli hacker possono utilizzare l’intelligenza artificiale generativa per sviluppare codice dannoso, individuare vulnerabilità e creare exploit. In uno studio, i ricercatori hanno scoperto che un modello linguistico di grandi dimensioni (LLM) disponibile al pubblico come ChatGPT può sfruttare le vulnerabilità one-day nell’87% dei casi.
Gli hacker possono anche utilizzare gli LLM per scrivere email di phishing in una frazione del tempo: cinque minuti contro le 16 ore necessarie per redigere la stessa e-mail manualmente, secondo l’X-Force Threat Intelligence Index.
Automatizzando parti significative del processo di hacking, questi strumenti di AI possono abbassare la barriera all’ingresso nel campo dell’hacking, con conseguenze sia positive che negative.
Per quanto riguarda l’espansione della superficie di attacco dell’AI, la crescente adozione delle app di AI offre agli hacker più modi per danneggiare aziende e individui. Ad esempio, gli attacchi di data poisoning possono degradare le prestazioni dei modelli AI introducendo dati di bassa qualità o intenzionalmente distorti nei loro set di addestramento. Le prompt injection utilizzano prompt dannosi per indurre gli LLM a divulgare dati sensibili, distruggere documenti importanti e non solo.
Gli attacchi man-in-the-middle (MITM), noti anche come adversary-in-the-middle (AITM), coinvolgono gli hacker che intercettano comunicazioni sensibili tra due parti, come e-mail tra utenti o connessioni tra browser web e server web.
Ad esempio, un attacco di spoofing DNS reindirizza gli utenti da una pagina web legittima a una controllata da un hacker. L'utente pensa di trovarsi sul sito reale e l'hacker può rubare segretamente le informazioni che condivide.
Gli attacchi di injection, come il cross-site scripting (XSS), utilizzano script dannosi per manipolare app e siti web legittimi. Ad esempio, in un attacco SQL injection, gli hacker fanno in modo che i siti web divulghino dati sensibili inserendo comandi SQL nei campi di input dell'utente rivolti al pubblico.
Gli attacchi fileless, detti anche "living off the land", sono una tecnica in cui gli hacker utilizzano risorse già compromesse per muoversi lateralmente attraverso una rete o causare ulteriori danni. Ad esempio, se un hacker accede all'interfaccia a riga di comando di una macchina, può eseguire script dannosi direttamente nella memoria del dispositivo senza lasciare molte tracce.
All'inizio degli anni ottanta, un gruppo di hacker noti come i 414 hanno violato obiettivi come il Los Alamos National Laboratory e il Sloan-Kettering Cancer Center. Sebbene i 414 abbiano causato pochi danni reali, i loro attacchi hanno spinto il Congresso degli Stati Uniti a promulgare il Computer Fraud and Abuse Act, che ha ufficialmente reso l'hacking dannoso un reato.
Uno dei primi worm informatici, il Morris worm, è stato rilasciato su internet nel 1988 come esperimento. Ha causato danni maggiori del previsto, costringendo migliaia di computer a rimanere offline e accumulando costi stimati pari a circa 10 milioni di USD dati dai tempi di inattività e dalle operazioni di ripristino.
Robert Tappan Morris, il programmatore del worm, è stata la prima persona a ricevere una condanna penale ai sensi del Computer Fraud and Abuse Act.
Nel 2021, gli hacker hanno infettato i sistemi di Colonial Pipeline con un ransomware, costringendo l'azienda a chiudere temporaneamente la pipeline che riforniva il 45% del carburante della costa orientale degli Stati Uniti. Gli hacker hanno utilizzato la password di un dipendente, trovata sul dark web, per accedere alla rete. La Colonial Pipeline Company ha pagato un riscatto di 5 milioni di dollari per riottenere l'accesso ai propri dati.
Nel 2024, la società di sistemi di pagamento Change Healthcare ha subito una massiccia violazione dei dati che ha interrotto i sistemi di fatturazione in tutto il settore sanitario statunitense. Gli hacker hanno ottenuto dati personali, dati di pagamento, registri assicurativi e altre informazioni sensibili di milioni di persone.
Considerato l'elevato numero di transazioni che Change Healthcare aiuta a elaborare, si stima che la violazione abbia interessato circa un terzo degli americani. I costi totali associati alla violazione potrebbero raggiungere 1 miliardo di dollari.
Tutte le organizzazioni che si affidano ai sistemi informatici per le funzioni critiche, cioè la maggior parte delle aziende, sono a rischio di hacking. Non c'è modo di rimanere fuori dal raggio d'azione degli hacker, ma le aziende possono rendere loro più difficile l'accesso, riducendo al contempo la probabilità e i costi legati agli attacchi.
Secondo il report report Cost of a Data Breach, le credenziali sottratte e compromesse sono il vettore di attacco più comune per le violazioni dei dati.
Le password complesse possono rendere più difficile per gli hacker rubare le credenziali. Misure di autenticazione rigorose come l'autenticazione a più fattori (MFA) e i sistemi di gestione degli accessi privilegiati (PAM) fanno sì che gli hacker abbiano bisogno di qualcosa di più di una password rubata per dirottare l'account di un utente.
La formazione dei dipendenti sulle best practice di cybersecurity, come il riconoscimento degli attacchi di ingegneria sociale, il rispetto delle politiche aziendali e l'attuazione di controlli di sicurezza appropriati, può aiutare le organizzazioni a prevenire ulteriori attacchi. Secondo il report Cost of a Data Breach, la formazione può ridurre il costo di una violazione dei dati fino a 258.629 USD.
Gli hacker spesso cercano bersagli facili, scegliendo di violare reti con vulnerabilità ben note. Un programma ufficiale di gestione delle patch può aiutare le aziende a rimanere aggiornate sulle patch di sicurezza dei fornitori di software, rendendo più difficile l’accesso degli hacker.
Il report Cost of a Data Breach ha rilevato che le organizzazioni che investono molto in AI e automazione per la cybersecurity possono ridurre il costo di una violazione media di 1,88 milioni di USD.Inoltre, sono in grado di identificare e contenere le violazioni 100 giorni prima rispetto alle organizzazioni che non investono nell'AI e nell'automazione.
Il rapporto rileva che l'intelligenza artificiale e l'automazione possono essere particolarmente utili se implementate in workflow di prevenzione delle minacce come la gestione della superficie di attacco, il red teaming e la gestione della livello di sicurezza.
Firewall e sistemi di prevenzione delle intrusioni (Intrusion Prevention Systems - IPS)possono aiutare a rilevare e bloccare l'ingresso degli hacker in una rete.I software di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare a individuare gli attacchi informatici in corso. I programmi antivirus possono trovare ed eliminare i malware, mentre le piattaforme di rilevamento e risposta degli endpoint (EDR ) possono automatizzare le risposte anche ad attacchi complessi. I dipendenti da remoto possono utilizzare le reti private virtuali ( VPN) per rafforzare la "sicurezza della rete e proteggere il traffico dalle intercettazioni.
Le organizzazioni che dispongono di un controllo centralizzato sui dati, indipendentemente dalla loro posizione, possono identificare e contenere le violazioni più rapidamente rispetto alle organizzazioni senza tale controllo, secondo il report Cost of a Data Breach.
Strumenti come le soluzioni di gestione del livello di sicurezza dei dati, di prevenzione della perdita dei dati (DLP), le soluzioni di crittografia e i backup sicuri possono aiutare a proteggere i dati in transito, inattivi e in uso.
Gli hacker etici sono una delle migliori difese contro gli hacker malintenzionati. Gli hacker etici possono utilizzare valutazioni delle vulnerabilità, test di penetrazione, red teaming e altri servizi per individuare e correggere vulnerabilità di sistema e problemi di sicurezza delle informazioni prima che hacker e minacce informatiche possano sfruttarli.
12023 was a big year for cybercrime—here’s how we can make our systems safer. World Economic Forum. 10 gennaio 2024. (Link esterno a ibm.com.)