Gli hacker e la legge

L’hacking informatico esiste, ormai, da più di 30 anni; i governi di molti paesi hanno quindi avuto a loro disposizione un lasso di tempo ampiamente sufficiente per elaborare e varare tutta una serie di provvedimenti legislativi volti a combattere il dilagare della cybercriminalità. Attualmente, in quasi tutti i paesi sviluppati, in una forma o nell’altra, sono in vigore leggi appositamente promulgate per contrastare le attività di hacking e il furto elettronico di dati e informazioni sensibili, leggi che possono essere utilizzate per punire in maniera adeguata i criminali informatici. Inoltre, vengono spesso intrapresi vari tentativi per cercare di rendere simili atti legislativi ancor più severi e stringenti; tale circostanza fa sì che, talvolta, inizino a sollevarsi le proteste di quei gruppi che si occupano della difesa dei diritti relativi alla libertà di diffusione delle informazioni.

Nel corso di questi ultimi anni, a seguito di azioni di hackeraggio e per l’accesso non autorizzato a dati e informazioni di natura riservata o segreta, hanno subito severe condanne penali numerosi individui. Vi presentiamo, qui di seguito, alcuni di questi casi:

  • L’arresto di Kevin Mitnick rappresenta, probabilmente, uno dei casi più noti di arresto di hacker. Mitnick fu catturato il 15 febbraio del 1995, nella città di Raleigh, Carolina del Nord, dopo che l’esperto di informatica Tsutomu Shimomura era riuscito a tenere traccia dell’hacker in questione e a identificarne il nascondiglio. Dichiarato colpevole per la maggior parte dei capi di imputazione sollevati nei suoi confronti, Mitnick fu condannato a 46 mesi di reclusione e a tre anni di libertà vigilata. Inoltre, egli fu obbligato a pagare diverse multe. Mitnick uscì di prigione il 21 gennaio dell’anno 2000.
  • Pierre-Guy Lavoie, ventiduenne hacker canadese, fu condannato a 12 mesi di lavori socialmente utili e a 12 mesi di libertà vigilata per aver effettuato la raccolta di password ed aver utilizzato le stesse in maniera fraudolenta, per penetrare all’interno dei computer altrui. Egli fu giudicato in base alla legislazione canadese vigente.
  • Thomas Michael Whitehead, 38 anni, residente a Boca Raton, Florida, è stato, in pratica, la prima persona ad essere giudicata colpevole in base alle disposizioni contenute nel provvedimento legislativo statunitense denominato Digital Millennium Copyright Act (DMCA). Egli fu accusato – nell’ambito del programma istituito dalla Procura Generale per contrastare gli atti di pirateria informatica e le violazioni della proprietà intellettuale – di aver venduto dispositivi che potevano essere utilizzati per ricevere illegalmente le trasmissioni satellitari di DirecTV.
  • Da parte sua, Serge Humpich, ingegnere di 36 anni, fu condannato a 10 mesi di reclusione e al pagamento di 12.000 franchi di multa, oltre che al pagamento simbolico di un franco al Groupement des Cartes Bancaires, organizzazione che si occupa di servizi correlati all’utilizzo di carte di pagamento elettroniche.
  • Il 10 ottobre del 2001, il ventiseienne Vasiliy Gorshkov, di Chelyabinsk (Russia), subì una pesante condanna a fronte di 20 diversi capi di imputazione, relativi a tutti i possibili crimini informatici, e frodi, compiuti, nella circostanza, nei confronti di varie società ed organizzazioni: l’Internet provider Speakeasy, di Seattle, stato di Washington; la Nara Bank di Los Angeles, California; la Central National Bank di Waco, Texas; la società PayPal di Palo Alto, California, specializzata nei servizi di pagamento online.
  • Il primo luglio del 2003, Oleg Zezev, noto con il nickname di “Alex”, cittadino kazako, fu condannato da un tribunale federale di Manhattan ad oltre quattro anni di reclusione (per l’esattezza 51 mesi), dopo essere stato dichiarato colpevole di estorsione ed hacking informatico.
  • Mateias Calin, hacker rumeno, è stato arrestato assieme a cinque cittadini statunitensi con l’accusa di aver sottratto oltre 10 milioni di dollari USA alla società Ingram Micro di Santa Ana, California. Mateias e i suoi complici sono ancora in attesa della sentenza del tribunale, che rischia di trasformarsi in una condanna esemplare, sino a 90 anni di carcere.
  • Il 27 marzo del 2006, in Israele, una coppia di coniugi britannici, Ruth e Michael Haephrati, veniva condannata per aver sviluppato e venduto un programma Trojan; la pena inflitta ammontava, rispettivamente, a quattro e a due anni di reclusione. Inoltre, si richiedeva alla coppia il pagamento obbligatorio di 2 milioni di shekel (circa 428.000 dollari USA), in qualità di compensazione. Nella circostanza, il programma Trojan da essi creato veniva venduto ai detective privati, i quali ne facevano uso per ottenere l’accesso ai dati personali relativi ai concorrenti, a livello di business, dei propri clienti.
  • L’hacker britannico Gary McKinnon, protagonista di un caso che ha avuto una vasta risonanza presso i mass media internazionali, è in attesa di estradizione negli USA per aver violato, nel 2002, ben 97 computer appartenenti all’esercito statunitense e alla NASA; un pubblico ministero americano ha definito l’episodio come “l’hacking informatico più esteso di tutti i tempi in campo militare”. Gli avvocati di Gary McKinnon hanno presentato una serie di ricorsi e (al momento in cui viene scritta questa nota, nel mese di marzo 2010) continuano a contestare le procedure di estradizione richieste. Nel caso in cui venga ritenuto responsabile di quanto accaduto, e venga giudicato secondo le leggi in vigore negli USA, l’hacker britannico sopra menzionato rischia fino a 70 anni di prigione.

L’elenco riportato in questa sezione costituisce solo una breve raccolta di esempi atti ad illustrare come le leggi adottate per contrastare le attività degli hacker vengano attualmente utilizzate, in vari paesi, per punire i cybercriminali. Vi sono, tuttavia, anche dei casi in cui determinate persone sono state erroneamente accusate di aver commesso crimini informatici. Un numero infinito di hacker si trova comunque ancora in libertà, nonostante i nominativi di questi ultimi ed altre informazioni personali che li riguardano siano noti da tempo alle forze dell’ordine. Il numero di tali casi, tuttavia, si sta riducendo di giorno in giorno.

Il cybercrimine è ormai una realtà del XXI secolo, ben radicata, difficile da estirpare; tra l’altro, l’ampia disponibilità di accessi ad Internet e l’elevato numero di sistemi informatici connessi in Rete e non sufficientemente protetti, hanno considerevolmente aumentato il raggio d’azione e l’entità complessiva del crimine informatico. Mediante l’adozione di dettagliati ed efficaci provvedimenti legislativi, ed un numero ancora maggiore di accordi internazionali per ciò che riguarda la lotta su scala globale nei confronti della cybercriminalità, è lecito sperare che il mondo possa procedere nella giusta direzione, il cui punto di arrivo, nella circostanza, è rappresentato dal rendere il cyberspazio un luogo più sicuro e rispettoso delle leggi vigenti.

Perché l’hacker si serve del computer di qualcun altro?

Gli utenti ordinari, spesso, non osservano nella maniera dovuta le regole comportamentali da seguire per un utilizzo sicuro della Rete, ritenendo le stesse troppo gravose, o supponendo di non essere tenuti a rispettare tali indispensabili norme. Sono in molti, ad esempio, a ritenere, erroneamente, che non facendo uso dei sistemi di banking online o non effettuando acquisti su Internet, essi non costituiscono motivo di interesse per i criminali del world wide web. Brian Krebs, all’interno del proprio blog, ha brevemente riassunto i motivi che spingono gli hacker ad interessarsi ai computer altrui.

Hosting web pronto all’uso

Una volta impadronitosi del computer di qualcun altro, il malintenzionato può utilizzare la macchina violata per custodire in maniera illecita, al suo interno, pubblicità di spam, pagine web di phishing, programmi malware, copie pirata di software e film cinematografici, materiale pedopornografico.

Dispiegamento di bot

Il computer infetto può in tal modo divenire parte di una rete-zombie (botnet) e, a totale insaputa del proprietario dello stesso, iniziare ad inviare spam, partecipare ad estesi attacchi DDoS, falsificare il rating delle pubblicità contestuali (click fraud), agire in funzione di proxy server o eludere i CAPTCHA allo scopo di creare account fasulli.

Raccolta di indirizzi e-mail

In genere, tutti gli indirizzi di posta elettronica reperiti nel sistema informatico violato dall’hacker vengono poi venduti, oppure utilizzati da quest’ultimo per l’invio di messaggi di spam, o per la realizzazione di particolari schemi fraudolenti. I primi obiettivi dei successivi attacchi portati dall’hacker possono essere quindi rappresentati proprio dai familiari, dagli amici e dai conoscenti dell’utente-vittima. Inoltre, il login e la password utilizzati per usufruire dei servizi e-mail gratuiti possono permettere al malintenzionato di turno di ottenere l’accesso ad altri servizi web, con il nome di un’altra persona, soprattutto nel caso in cui l’utente faccia sempre uso della stessa identica combinazione di credenziali per i vari account di cui dispone.

Furto dell’identità personale

Tutti i dati di registrazione – specialmente gli username e le password utilizzati per accedere ai servizi web – memorizzati dall’utente sul proprio computer, risultano particolarmente “preziosi” ed appetibili per gli hacker. In effetti, servendosi di tali dati, i malfattori in questione possono manipolare, a nome della vittima, le aste online, attaccare gli utenti dei social network, collocare contenuti illegali su server FTP, dar la caccia ai segreti eventualmente custoditi nei computer e nei server di determinate aziende od organizzazioni.

Sottrazione di beni virtuali

Nonostante la loro totale immaterialità, i valori virtuali di cui abitualmente si avvalgono coloro che praticano i giochi online rappresentano, per gli hacker, un elemento di particolare interesse. Esistono, così, intere famiglie di programmi malware specializzati sia nel realizzare il furto delle chiavi di licenza utilizzate nell’ambito dei giochi in Rete, sia nel carpire gli account di cui sono titolari coloro che prendono parte al gaming online. Il volume del mercato underground in cui le credenziali rubate ed i beni virtuali relativi ai giochi online vengono scambiati con denaro reale, può essere stimato nell’ordine di vari miliardi di dollari.

Furto di dati finanziari

Riguarda coloro che sono titolari di conti bancari online, ed i clienti dei negozi Internet. Non occorrono, nella circostanza, particolari commenti.