La cybersecurity è divenuta, al giorno d’oggi, vitale per le aziende di tutto il mondo. Proteggere le informazioni sensibili dalle minacce informatiche rappresenta un’attività che interessa sia gli individui che le organizzazioni, costantemente sottoposti al rischio di un attacco informatico.
Una delle figure più inquietanti e attive all’interno del panorama informatico è il black hat hacker. Questo professionista, un vero e proprio criminale, utilizza le proprie competenze informatiche per accedere senza autorizzazione a un’infrastruttura, danneggiarla, comprometterla e rubare dati.
Chi sono i black hat hacker, quali sono le strategie che utilizzano questi professionisti del cyber crime, come proteggere la rete aziendale da questi criminali? Scopriamo di più.
Indice dei contenuti
Origini e chi sono i Black Hat Hacker
I black hat hacker hanno origini che risalgono agli albori dell’era informatica. Questi criminali, figli della controcultura hacker in voga negli anni Settanta, nel corso dei decenni hanno sviluppato competenze tecniche particolarmente raffinate. Utilizzano queste competenze per forzare i sistemi informatici, penetrando al loro interno in modo illegale.
La terminologia, invece, deriva dai vecchi film western nei quali i “buoni” indossavano un cappello bianco, mentre i “cattivi” indossavano un cappello nero. Non a caso, esistono i black hat hacker e i white hat hacker: hacker che rappresentano l’uno l’antitesi dell’altro.
La cultura hacker configura il black hat hacker come un individuo che viola la sicurezza dei sistemi informatici per il proprio tornaconto economico, per il puro piacere di creare caos, per vendetta, per motivazioni ideologiche o per condurre attacchi di cyber warfare.
Strategie dei Black Hat hacker per danneggiare un sistema
I black hat hacker rappresentano una minaccia globale, in quanto attaccano aziende, organizzazioni, governi e anche utenti singoli. Quando un black hat hacker attacca una rete informatica, riesce a penetrare al suo interno distribuendo un malware e, successivamente, può distruggere o manomettere file, rubare informazioni personali e numeri delle carte di credito, sottrarre password o bloccare totalmente la rete e i dispositivi connessi.
Ma quali sono le strategie che un black hat hacker impiega per danneggiare il sistema? Le più comuni sono:
- il phishing avanzato, mediante tecniche di social engineering. In questo caso, l’hacker crea un sito web o una comunicazione contraffatta per ingannare gli utenti. L’obiettivo è spingere l’utente a rivelare informazioni sensibili (come dati personali e password);
- injection attacks. Questo tipo di attacco, insieme a SQL e cross-site scriptiog (XSS), rientra tra le strategie più diffuse di attacco hacker. Grazie a queste tecniche, il black hat hacker riesce a sfruttare la vulnerabilità del codice di un’applicazione web, inserendo comandi dannosi e script malevoli. In questo modo può compromettere i database e trafugare informazioni importanti;
- exploit zero-day. I black hat hacker sfruttano le vulnerabilità non ancora conosciute o non protette da un’adeguata patch. L’hacker in questo caso individua le falle prima che possano essere corrette, facendo leva su di esse per sferrare attacchi zero-day;
- attacchi man-in-the-middle. Questi attacchi prevedono l’interposizione dell’hacker durante la comunicazione tra due parti. Il criminale riesce a raccogliere e manipolare i dati sensibili, compromettendo i router o utilizzando reti wi-fi non sicure;
- ransomware e attacchi di cryptojacking. Il ransomware viene utilizzato dal black hat hacker per criptare i dati dell’utente e chiedergli un riscatto, in cambio della liberazione dei dati o del ripristino del dispositivo. Le pratiche di cryptojacking, invece, prevedono l’utilizzo delle risorse di elaborazione di un sistema per il mining delle criptovalute;
- link pharming. Questa strategia viene impiegata per la manipolazione dei record DNS. I black hat hacker utilizzano malware per reindirizzare l’utente su siti dannosi o contraffatti, inducendoli quindi a fornire informazioni sensibili;
- keyword stuffing. L’inserimento esagerato delle parole chiave in una pagina web consente all’hacker di manipolare i risultati dei motori di ricerca. I black hat hacker impiegano questa strategia per posizionare siti web dannosi ai primi posti della SERP, in modo da attirare gli utenti su di essi.
Esempi di Black Hats famosi
Alcuni black hat hacker, divenuti famosi proprio grazie alle loro malefatte, rappresentano gli esempi concreti da valutare per comprendere le dinamiche che regolano l’attività di un criminale informatico. Ecco una lista dei black hat hacker più conosciuti del mondo:
- Kevin Mitnick. Questo hacker ha violato la rete informatica di Digital Equipment Corporation, copiandone il software, ma è stato scoperto e arrestato. Rilasciato nel 2000, è divenuto un white hat hacker fondando una società di consulenza informatica;
- Hector Xavier Monsegur. Conosciuto anche come Sabu, ha fatto parte della rete Anonymys e di LulzSec. Insieme al suo gruppo di affiliati, ha condotto alcuni attacchi online contro aziende famose come MasterCard, Visa e Sony. È divenuto un informatore dell’FBI consentendo l’arreso di altri black hat hacker;
- Jonathan James. A soli 15 anni, questo criminale ha sfruttato le vulnerabilità del sistema informatico del Dipartimento della Difesa degli Stati Uniti. Ha intercettato documenti riservati e si è infiltrato nell’agenzia spaziale NASA;
- Alexsey Belan. Cittadino russo e hacker specializzato, Alexsey Belan ha partecipato all’attacco contro Yahoo condotto nel 2014. Durante l’attacco sono state trafugate informazioni da oltre 500 milioni di account. Alexsey è tutt’ora nella lista dei Cyber Most Wanted (CMW) dell’FBI.
Black Hat vs White Hat vs Gray Hat
Non tutti gli hacker nascono per nuocere. Oltre ai black hat hacker, ovvero i criminali informatici che meglio rispondono all’immagine che comunemente le persone hanno degli hacker, esistono due altre categorie di professionisti specializzati nell’hacking informatico: gli hacker white hat e i grey hat.
I white hat lavorano esattamente in modo opposto rispetto ai black hat hacker. Nonostante utilizzi procedure e strategie simili al collega “cattivo”, un white hat cerca i punti deboli del sistema con lo scopo di sanarle e prevenire attacchi malevoli. Il white hat è meglio conosciuto come ethical hacker e lavora contro il black hat, facendo il possibile per migliorare la sicurezza della rete informatica.
Il grey hat hacker, invece, rappresenta un punto di incontro tra black hat hacker e white hat hacker. I grey hat operano spesso oltre i confini della legalità, in quanto attaccano la rete informatica, ne sfruttano le vulnerabilità senza il consenso dell’azienda. Nonostante ciò, però, non installano malware o compromettono la rete: si limitano a chiedere un riscatto all’azienda per comunicare ad essa l’esatta posizione della falla. Il confine tra grey hat e black hat è piuttosto sottile e spesso sfuma.
Come ci si può proteggere dopo che hanno danneggiato un sistema?
A seconda della profondità dell’attacco, l’azienda dovrà attuare una strategia tempestiva e accurata per mitigare il più possibile i danni e rafforzare le difese in modo da rispondere ad eventuali attacchi futuri. In particolare, dopo l’attacco è bene:
- eseguire un’analisi forense dettagliata per comprendere l’entità del danno e le modalità di azione dell’hacker. Ricostruire l’incidente e individuare le vulnerabilità permette di attuare contromisure specifiche e, quindi, più efficaci;
- rispondere rapidamente e isolare i sistemi compromessi, affinché l’attacco non si propaghi ad altri dispositivi e reti. La microsegmentazione permette di suddividere la rete in segmenti singoli e meglio controllabili, in modo da contenere l’attacco ed evitare la sua diffusione;
- ripristinare i dati ed eseguire regolarmente i backup sicuri. È bene ripristinare backup non compromessi, integri e immuni da malware per evitare di perdere informazioni critiche;
- eseguire aggiornamenti di sicurezza e rilasciare patch in modo tempestivo per ridurre le vulnerabilità. È importante implementare firewall di nuova generazione per bloccare gli accessi non autorizzati e monitorare il traffico (riscontrando più facilmente le anomalie);
- effettuare test di sicurezza e simulazioni continue, per individuare le vulnerabilità e correggerle prima che possano essere sfruttate;
- monitorare il dark web, terreno fertile per l’attività dei black hat hacker;
formare i propri dipendenti in modo che non cadano vittima di attacchi phishing e posseggano una solida conoscenza riguardo la politica sull’uso del computer.
