Per lungo tempo i media hanno definito hacker i membri del gruppo Anonymous, mentre di recente l’appellativo più usato è quello di hacktivists, un termine che in italiano è traducibile in hacker-attivisti. Le operazioni intraprese e portate a termine dal gruppo Anonymous negli ultimi tre anni sono numerose e interessano tutto il mondo. Fra queste le più eclatanti hanno riguardato agenzie di intelligence (CIA, NSA, Stratfor), siti di pedofilia e abuso sui minori, la borsa USA (NYSE), le grandi major dell’entertainment (Universal, RIAA, MPAA e Warner Music) e siti governativi (FBI, Department of Justice, Department of Defense). Diverse le iniziative contro quei governi che attuano forme di censura del web e dell’informazione come Iran, Siria e Cina.

Tutte operazioni con precise motivazioni: la lotta verso le svariate forme di limitazione dei diritti e della libertà di espressione dei cittadini, la denuncia della rete di pedofilia internazionale, l’opposizione ai tentativi di censura del web e la denuncia degli immani crimini delle organizzazioni segrete e dei grandi poteri finanziari.

Gli attacchi nostrani

In Italia gli episodi di intrusione di Anonymous si contano a decine, tutti con obiettivi importanti, sia a livello privato, sia soprattutto a livello pubblico e istituzionale. I più clamorosi hanno avuto come vittime illustri siti governativi (Camera dei Deputati, Senato della Repubblica, Parlamento, Governo.it, Italia.gov.it, Ministero della Giustizia), siti delle forze dell’ordine (Polizia Postale, Polizia Penitenziaria, Polizia di Stato, Vitrociset, CNAIPIC) e siti del Vaticano (vatican.ca e radiovaticana.org). Un certo clamore hanno provocato anche gli attacchi a Equitalia, Trenitalia, AGCOM e siti di partiti ed esponenti politici come quello di Berlusconi, del PDL e dell’esponente UDC Paola Binetti. Un elenco esaustivo delle operazioni attuate da Anonymous in casa nostra nell’ultimo anno lo potete consultare su Hackmageddon.

In una recente intervista alla trasmissione televisiva “Le Iene”, un esponente di Anonymous ha affermato che numerose sono state anche le intrusioni nei sistemi di diversi istituti bancari e che, secondo una sua stima per difetto, oltre il 60% delle banche italiane avrebbero seri problemi di sicurezza.

Che cos’è Anonymous?

Ne abbiamo sentito parlare su giornali, telegiornali, siti d’informazione e trasmissioni televisive di approfondimento, ma quanti di noi hanno veramente capito in cosa consiste il fenomeno Anonymous? Stando alle dichiarazioni ufficiali e alle rivendicazioni pubblicate dagli attivisti sui siti attaccati, Anonymous è un gruppo di attivisti non organizzato, senza una struttura né gerarchie né veri e propri capi. Un gruppo composto da piccole cellule che identificano, organizzano e attuano operazioni di attacco informatico allo scopo di sensibilizzare l’opinione pubblica su diversi temi di volta in volta selezionati.

Gli obiettivi dichiarati consistono nella protesta e nella lotta a favore dei diritti umani e della correttezza ed equità per tutti, in difesa della libertà. A loro dire essi sono “contro il lavaggio del cervello di massa attuato dai governi” e si ritengono “letteralmente i ragazzi che pensano: fanculo il sistema”, perché “tutti respiriamo la stessa aria, indipendentemente da dove veniamo, e noi tutti vogliamo essere liberi”.

Sebbene siano in molti coloro che demonizzano le operazioni di Anonymous, personalmente ritengo che vada riconosciuto un certo valore etico che contraddistingue le loro azioni, probabilmente grazie all’esistenza (dichiarata) di alcuni gruppi interni maggiormente responsabili che attuano una qualche sorta di coordinamento. Finora, infatti, tutte le operazioni intraprese sono state niente più che atti dimostrativi di defacement o DoS e, in specifici casi, di divulgazione di informazioni governative riservate, salvaguardando per precisa scelta i mezzi di informazione come radio, giornali ed emittenti televisive.

Quali insegnamenti trarre?

Le azioni di protesta contro la TAV, la soppressione dei vagoni letto, le ingiustizie nella riscossione dei tributi, gli abusi di potere, l’impunità di certe istituzioni governative e religiose nel perpetrare crimini verso i cittadini da decenni, lo sperpero di denaro pubblico e la limitazione della libertà individuale sono tutte motivazioni più o meno condivisibili. Ma restano pur sempre delle forme di protesta.

In realtà l’attività di Anonymous ci consegna alcuni insegnamenti molto importanti e conferma la correttezza di alcune teorie fondamentali in termini di sicurezza delle informazioni. La prima regola, infatti, è che un sistema sicuro non esiste e chi sostiene che il proprio sistema è sicuro al 100% è solamente uno stolto e un presuntuoso. Un vecchio aforisma sulla sicurezza, coniato da Eugene H. Spafford, recita: “L’unico computer veramente sicuro è spento, annegato in un blocco di cemento, sigillato in una stanza con pareti di piombo e guardie armate alla porta. Ma anche in questo caso ho i miei dubbi”.

La tecnologia informatica avanza ogni giorno e i professionisti dell’Information Security (ma non solo) sono obbligati a tenersi costantemente aggiornati per poterne comprendere appieno le evoluzioni, ma soprattutto le vulnerabilità, le minacce e i conseguenti rischi per la sicurezza. Le discipline che stanno alla base di una corretta gestione dei rischi, inoltre, insegnano che non va ricercata la sicurezza totale e assoluta, bensì che le misure di sicurezza devono essere accuratamente bilanciate con i rischi che incombono su un particolare sistema. Di conseguenza, anche gli investimenti devono essere dosati in base al livello di sicurezza prestabilito e non si ricerca mai il massimo livello di sicurezza.

Un altro insegnamento che si può trarre, purtroppo, consiste nell’enorme rischio che corriamo tutti noi nell’affidare i nostri dati personali e sensibili alle entità governative e istituzionali, dando per scontato che i livelli di sicurezza adottati siano adeguati al loro ruolo di organo statale centrale. L’estrema facilità di intrusione e prelievo di dati dai sistemi pubblici, invece, dimostra come gli ingenti investimenti per la creazione delle infrastrutture e dei servizi web pubblici non abbiano dato esattamente i risultati attesi, considerando che, per diretta ammissione di Anonymous, le azioni finora sono state volutamente solo dimostrative, ma avrebbero potuto causare seri danni in termini di divulgazione di informazioni sensibili e di sabotaggio di servizi e infrastrutture nazionali critiche.

Anche il professionista di sicurezza delle informazioni meno esperto inorridisce nel sentire che nel 2012 un così alto numero di siti web consente ancora non solo di subire attacchi di così bassa complessità, ma anche e soprattutto di accedere senza grosse difficoltà alla rete aziendale e prelevare dati sensibili. Preoccupano molto anche le affermazioni sulla scarsa sicurezza degli istituti bancari italiani: in tali ambiti, entità più organizzate e meno etiche di Anonymous costituiscono una seria minaccia e potrebbero potenzialmente causare gravi danni economici e finanziari.

Ecco quindi l’insegnamento conclusivo: i sistemi sono molto meno sicuri di quando si sia portati superficialmente a credere e, soprattutto, nessuno può e deve ritenersi immune da rischi per la sicurezza delle informazioni. Mai.

Ettore Guarnaccia

Per restare costantemente aggiornati sulle operazioni di Anonymous:

• AnonOps Communications Newsroom
• AnonNews – Everything Anonymous
• The Anonymous Press
• Anonymous Italia Blog Ufficiale
• Anonymous Operation (Twitter Channel)
• Anonymous Operation Italy (Twitter Channel)
• Anonymous Press (Twitter Channel)
• Why We Protest – Anonymous Campaign
• Why We Protest (Twitter Channel)
• We Are Anonymous EU (YouTube Channel)
• The Anonymous Italia (Official YouTube Channel)
• Italia Anonymous (Twitter Channel)
• Anonymous Italiani (Facebook Page)
• Anonymous Italy (YouTube Channel)
• TheBastard558 (YouTube Channel)
• Forum Anonymous Italia
• Anonymous Italia (Sito Web)