Black Hat significa cappello nero: quel cappuccio scuro che rappresenta l’iconografia dell’insicurezza informatica è diventato l’emblema di chi lavora nell’ombra con intenzioni malevole. Un hacker black hat può sfruttare qualsiasi tipo di vulnerabilità aziendale a scopo di lucro oppure semplicemente per alterare gli equilibri economici di un’azienda lavorando di destabilizzazione. A seconda della sua abilità e della sua competenza, un hacker black hat può corrompere, interrompere o addirittura chiudere un sito Web o bloccare un insieme di reti. In alternativa può vendere gli exploit ad altre organizzazioni criminali.
Indice degli argomenti
Le origini del nome e la classificazione
Il termine black hat distingue gli hacker criminali dagli altri, chiamati white hat (cappello bianco). Il nome è mutuato dai vecchi film western in cui i buoni per convenzione indossavano un cappello bianco e i cattivi un cappello nero. Un hacker white hat (detto anche hacker etico) è infatti l’antitesi di un hacker black hat. Ma ci sono le sfumature di grigio…
Che cos’è un white hat
I cappelli bianchi spesso vengono assunti dalle aziende per condurre test di penetrazione e valutazioni di vulnerabilità dei sistemi. Con il loro lavoro e la loro esperienza contribuiscono a migliorare le difese e a perimetrare la sicurezza. I white hat conducono test e attacchi a siti Web e ai software per identificare possibili falle, seguendo alcune metodologie come, ad esempio, le politiche di bug bug. Una volta rilevate le criticità, il white hat invia le notifiche direttamente al fornitore, in modo che questo possa rilasciare una patch c il che va a correggere il difetto.
Che cos’è un grey hat
Un hacker dal cappello grigio opera in un regime di ambiguità etica. In sintesi, i grey hat non compromettono i sistemi con l’obiettivo malevolo di rubare dati ma sono disposti a usare anche metodi illegali per trovare difetti o per rendere pubbliche le vulnerabilità o, ancora, vendere exploit zero-day ai governi o alle agenzie di intelligence.
Che cos’è un black hat
Un black hat è un hacker attivamente impegnato in qualsiasi tipo di operazione criminale informatica. Il suo obiettivo, come già specificato, è ottenere un guadagno economico tramite azioni di cyberspionaggio o altri scopi dannosi per le organizzazioni.
Leggi e sanzioni contro i black hat
Negli Stati Uniti gli hacker black hat sono sanzionati in base a una serie di leggi sui reati informatici oltre che ad alcune normative statali e federali. Esistono diverse classi di reati: alcuni prevedono il pagamento di una multa, altri il carcere ed altre ancora entrambe le punizioni. Tra le regolamentazioni degne di nota va ricordata la legge sulle frodi e sugli abusi informatici (Computer Fraud and Abuse Act) e la legge che norma la privacy delle comunicazioni elettroniche (Electronic Communications Privacy Act). Queste leggi proibiscono di:
- accedere a un computer, a un sistema o a una rete protetti senza autorizzazione
- modificare o rendere pubblici dati che risiedono su un computer senza autorizzazione
- trasmettere codice malevolo per danneggiare il sistema o i dati in esso contenuti
- accedere a un computer con l’intenzione di frodare
- diffondere/commerciare password per computer senza autorizzazione
Per capire l’applicazione della legge è necessario comprendere cosa significa computer protetto. Il termine ha un campo di applicazione molto ampio, riferendosi a computer utilizzati, ad esempio, da un’istituzione finanziaria o dallo stesso governo degli Stati Uniti per il commercio o la comunicazione intra e internazionale. Campo in cui i black hat la fanno da padrone.
Per aiutare le forze dell’ordine a fare indagini e a individuare i black hat sono state approvate alcune leggi come il Cyber Security Enhancement Act e il Communications Assistance for Law Enforcement Act che, in determinate circostanze, permettono agli incaricati di accedere agli archivi informatici di un fornitore di servizi Internet senza un mandato oppure di accedere a dispositivi e a strutture di telecomunicazione, come possono essere i sistemi di videosorveglianza.
Black hat passati alla storia
Kevin Mitnick
Tra i black hat noti Kevin Mitnick è un personaggio che ha lasciato indiscutibilmente il segno. Dopo aver scontato un periodo di detenzione per aver violato la rete informatica di Digital Equipment Corporation per copiare il software, è stato arrestato una seconda volta nel 1995 per aver violato i sistemi di voicemail di Pacific Bell e di altre importanti aziende. È stato accusato di reati quali frode telematica, accesso non autorizzato a un computer federale e danni a un computer. Ha scontato cinque anni di carcere e, dal suo rilascio nel 2000, ha cambiato cappello per lavorare nel settore della sicurezza informatica. L’ex black hat, infatti, ha aperto una società di consulenza infosec denominata Mitnick Security e, come white hat, ricopre il ruolo di Chief Hacking Officer presso il fornitore di antiphishing KnowBe4.
Albert Gonzalez
Noto anche come Segvec, è stato il leader di un piano criminale che ha provocato alcune delle più grandi violazioni dei dati nella storia degli Stati Uniti e che gli è costata vent’anni di carcere. Insieme ad altri membri del gruppo di hacker denominato Shadowcrew, infatti, ha partecipato al furto e alla vendita di informazioni sugli account delle carte di pagamento di tutta una serie di rivenditori, tra cui TJX, BJ’s Wholesale Club, OfficeMax, Barnes & Noble e Sports Authority. Gonzalez è stato accusato di cospirazione, frode informatica, frode telematica, frode sui dispositivi di accesso e furto di identità aggravato.
Hector Xavier Monsegur
Conosciuto anche come Sabu, in passato è stato un membro di spicco di Anonymous, di una comunità di hacktivisti online, nonché membro di una spin off di Anonymous chiamata LulzSec. Lui e i suoi gruppi di affiliati hanno partecipato ad alcuni attacchi online contro aziende tra cui Visa, MasterCard e Sony, oltre ad aver hackerato alcuni computer di proprietà del governo in diversi Paesi. Monsegur è stato arrestato nel 2011, con una molteplicità di accuse di pirateria informatica, per un ammontare di 122 anni di prigione. In carcere ha scontato sette mesi e poi ha accettato di diventare un informatore dell’FBI, contribuendo così all’arresto di altri black hat.
Alexsey Belan
Il Dipartimento di Giustizia degli Stati Uniti ha incriminato due membri dell’Intelligence Agency russa, il Federal Security Service e due hacker assoldati per aver attaccato Yahoo nel 2014, rubando informazioni da oltre 500 milioni di account. Il primo black hat, Karim Baratov del Canada, è stato arrestato. Il secondo black hat, il cittadino russo Alexsey Belan, è ancora in libertà e attualmente è nella lista dei CMW (Cyber Most Wanted) dell’FBI. Belan, chiamato anche Magg, era già noto alle autorità degli Stati Uniti: tra il 2012 e il 2013 era stato incriminato dalle autorità federali per aver violato i dati di diverse società di e-commerce. È stato accusato più volte di frode e di abusi informatici, frodi relative ai dispositivi di accesso e a furti di identità aggravati.
Curiosità: cos’è Black Hat Villainous?
Si tratta di una serie web animata messicana che è stata creata da Alan Ituriel, essa racconta le vicende della Black Hat Organization, un gruppo criminale, fondato dal personaggio malvagio Black Hat. Scopo del gruppo è offrire i propri servizi ad altre organizzazioni.
FAQ: Black Hat
Cosa significa il termine Black Hat nel contesto della sicurezza informatica?
Il termine Black Hat si riferisce agli hacker con intenzioni malevole che irrompono in sistemi informatici o reti per scopi dannosi. Il nome deriva dai vecchi film western dove i cattivi indossavano cappelli neri. Un hacker black hat può sfruttare qualsiasi tipo di vulnerabilità aziendale a scopo di lucro o per destabilizzare un’organizzazione. A seconda della sua abilità e competenza, può corrompere, interrompere o chiudere siti web, bloccare reti, o vendere exploit ad altre organizzazioni criminali.
Quali sono le differenze tra Black Hat, White Hat e Grey Hat?
Le principali differenze tra questi tipi di hacker sono nelle loro intenzioni e metodologie:
– Black Hat: Hacker criminali che operano illegalmente per ottenere guadagni economici o causare danni. Sfruttano vulnerabilità per rubare dati o compromettere sistemi.
– White Hat (o hacker etici): L’antitesi dei black hat. Vengono spesso assunti dalle aziende per condurre test di penetrazione e valutazioni di vulnerabilità. Contribuiscono a migliorare le difese e la sicurezza, seguendo metodologie come le politiche di bug bounty.
– Grey Hat: Operano in un regime di ambiguità etica. Non compromettono sistemi con l’obiettivo di rubare dati, ma possono usare metodi illegali per trovare difetti, rendere pubbliche vulnerabilità o vendere exploit zero-day a governi o agenzie di intelligence.
Quali sono le principali attività criminali dei Black Hat?
I Black Hat sono attivamente impegnati in varie operazioni criminali informatiche, tra cui:
– Furto di dati personali e finanziari
– Frodi informatiche e telematiche
– Accesso non autorizzato a computer e reti protette
– Danneggiamento di sistemi informatici
– Creazione e diffusione di malware
– Vendita di exploit a organizzazioni criminali
– Attacchi DDoS (Denial of Service)
– Cyberspionaggio industriale o governativo
– Compromissione di siti web o blocco di reti
Negli Stati Uniti, queste attività sono sanzionate da leggi come il Computer Fraud and Abuse Act e l’Electronic Communications Privacy Act, che prevedono multe e pene detentive.
Chi sono stati alcuni famosi Black Hat nella storia dell’hacking?
Alcuni dei più noti Black Hat nella storia dell’hacking includono:
– Kevin Mitnick: Ha violato la rete di Digital Equipment Corporation e successivamente i sistemi di voicemail di Pacific Bell. Dopo aver scontato cinque anni di carcere, ha cambiato strada diventando un white hat, fondando Mitnick Security e lavorando come Chief Hacking Officer presso KnowBe4.
– Albert Gonzalez (Segvec): Leader di un piano criminale che ha provocato alcune delle più grandi violazioni dei dati nella storia degli USA, tra cui TJX e BJ’s Wholesale Club. È stato condannato a vent’anni di carcere per frode informatica e furto di identità.
– Hector Monsegur (Sabu): Ex membro di spicco di Anonymous e LulzSec, ha partecipato ad attacchi contro Visa, MasterCard e Sony. Arrestato nel 2011, ha poi collaborato con l’FBI come informatore.
– Alexsey Belan (Magg): Hacker russo incriminato per l’attacco a Yahoo nel 2014 che ha compromesso oltre 500 milioni di account. È ancora ricercato dall’FBI.
Quali sono le leggi che puniscono le attività dei Black Hat?
Negli Stati Uniti, i Black Hat sono sanzionati in base a diverse leggi sui reati informatici, sia statali che federali. Tra le più importanti:
– Computer Fraud and Abuse Act: punisce l’accesso non autorizzato a computer protetti e il danneggiamento di sistemi
– Electronic Communications Privacy Act: protegge la privacy delle comunicazioni digitali
– Cyber Security Enhancement Act: consente in determinate circostanze alle forze dell’ordine di accedere agli archivi di un provider internet senza mandato
– Communications Assistance for Law Enforcement Act: permette l’accesso a dispositivi e strutture di telecomunicazione
Le pene variano in base alla gravità del reato e possono includere multe, detenzione o entrambe. Il termine “computer protetto” ha un campo di applicazione molto ampio e si riferisce a computer utilizzati da istituzioni finanziarie o dal governo per il commercio o la comunicazione.
Come si difendono le aziende dagli attacchi dei Black Hat?
Le aziende possono difendersi dagli attacchi dei Black Hat attraverso diverse strategie di sicurezza informatica:
1. Implementazione di sistemi di identity and access management (IAM) per controllare gli accessi e prevenire il furto di credenziali
2. Utilizzo di hacker etici (white hat) per condurre test di penetrazione e identificare vulnerabilità prima che vengano sfruttate
3. Adozione di soluzioni di machine learning per la security che possono identificare comportamenti anomali e potenziali minacce
4. Sviluppo di una cultura della sicurezza informatica tra i dipendenti
5. Implementazione di sistemi di monitoraggio del traffico in tempo reale
6. Corretta architettura delle reti con tecnologie come VLAN e firewall
7. Mantenimento di sistemi operativi e software sempre aggiornati con le ultime patch di sicurezza
Quali tecnologie vengono utilizzate dai Black Hat per gli attacchi informatici?
I Black Hat utilizzano diverse tecnologie e metodi per i loro attacchi, tra cui:
– Malware avanzato, spesso modificato con applicazioni come packer e crypter per eludere i sistemi di rilevamento
– Tecniche di attacchi mirati a bassa prevalenza per colpire obiettivi specifici
– Exploit zero-day che sfruttano vulnerabilità non ancora scoperte o patchate
– Machine learning e intelligenza artificiale (weaponized AI) per creare attacchi più sofisticati e personalizzati
– Process Doppelganging e altre tecniche di code injection senza utilizzo di file
– Attacchi che sfruttano vulnerabilità hardware come Meltdown e Spectre
– Servizi come nodistribute.com per testare l’efficacia del malware contro le soluzioni di sicurezza prima di lanciare un attacco
Questi strumenti sono spesso facilmente reperibili sul dark web, con alcuni disponibili per poche decine di dollari o addirittura gratuitamente.
Quali settori sono più colpiti dagli attacchi dei Black Hat?
Gli attacchi dei Black Hat colpiscono vari settori, con particolare attenzione a quelli che gestiscono dati sensibili o infrastrutture critiche:
– Settore finanziario e bancario: bersaglio primario per il furto di dati finanziari
– Sanità: per l’accesso a dati medici personali di alto valore
– Retail: come dimostrato dagli attacchi a TJX, BJ’s Wholesale Club, OfficeMax e altri rivenditori
– Settore tecnologico: aziende come Yahoo e Sony hanno subito importanti violazioni
– Settore manifatturiero: specialmente le fabbriche connesse e le macchine a controllo numerico computerizzato (CNC)
– Infrastrutture critiche: energia, trasporti, telecomunicazioni
– Istituzioni governative: per spionaggio o sabotaggio
Secondo il rapporto Clusit 2024, nel 2023 sono stati analizzati oltre 2.779 incidenti informatici gravi a livello globale, con un aumento del 12% rispetto all’anno precedente. L’Italia ha registrato un incremento ancora più marcato, con un aumento del 65% degli attacchi gravi.
Come funziona il cyber spionaggio condotto dai Black Hat?
Il cyber spionaggio condotto dai Black Hat è un’attività sofisticata che mira all’acquisizione non autorizzata di informazioni sensibili. Funziona attraverso diverse fasi e tecniche:
1. Raccolta di informazioni attraverso OSINT (Open Source Intelligence): analisi di fonti pubbliche come social media, siti web e pubblicazioni
2. Tecniche di social engineering per manipolare le persone e ottenere accessi o informazioni
3. Utilizzo di malware specializzato come RAT (Remote Access Trojans) o spyware per monitorare attività
4. Attacchi di phishing mirati (spear phishing) contro obiettivi specifici
5. Sfruttamento di vulnerabilità nei sistemi per ottenere accesso persistente
6. Tecniche di cyber deception per indurre in errore le vittime o nascondere l’origine degli attacchi
7. Esfiltrazione di dati sensibili attraverso canali criptati
Gli obiettivi possono essere governi, aziende o individui, e le motivazioni variano dal guadagno economico al vantaggio competitivo, fino al sabotaggio o all’influenza politica.
Qual è la presenza femminile nel mondo dei Black Hat rispetto ai White Hat?
Secondo uno studio condotto da Trend Micro, citato in questo articolo, il mondo della criminalità informatica (Black Hat) risulta sorprendentemente più equilibrato dal punto di vista della parità di genere rispetto al settore della cybersicurezza (White Hat).
L’analisi di forum di criminalità informatica ha rivelato che circa il 30-40% degli utenti sono donne: nei forum in lingua inglese rappresentano circa il 40% degli utenti, mentre nei forum in lingua russa arrivano al 42,6%. Questi dati, sebbene ottenuti con metodi non perfettamente scientifici, mostrano un trend significativo.
In confronto, nei forum professionali di cybersicurezza come Stack Overflow, solo il 12% dei visitatori è di sesso femminile. Questo suggerisce che il mondo criminale informatico potrebbe essere paradossalmente più meritocratico di quello della sicurezza legittima.
In Italia, secondo l’associazione “Woman for Security”, la maggior parte delle professioniste della cybersecurity sono laureate (55%), con quasi un terzo (31%) che ha conseguito una formazione post-laurea specifica. Solo il 39% di loro riceve una retribuzione pari a quella dei colleghi uomini, evidenziando un persistente divario retributivo di genere nel settore.
