FirenzeFirenzewww.lanazione.it/firenzee-mail: cronacafi@lanazione.net - spe.firenze@speweb.it

MERCOLEDÌ 11 maggio 2016 | Numero verde: 800.863.243 (dalle 11 alle 13)

Decine di denunce al giorno’Cryptolocker’ ruba i datie chiede il riscattoIn azione una banda di slaviIndagine della polizia postale

VIRUSVIRUSRAPITORERAPITORE

FOTO E VIDEOCaporalato nel ChiantiIl blitz della polizia

ILDELITTODI SANTOSPIRITONUOVI RETROSCENADALLE INDAGINI

Ashley strozzata, giallo sull’oraNessun laccio o cavo del telefonino. Il fidanzato ha adottato il suo cane

Polemica a Scandicci

Sindaco ‘furbetto’scoppia il caosFallani tiradritto:«Nonmi dimetto»

· In Nazionale

Alle pagine 2 e 3Alle pagine 2 e 3

OGGI ONLINE SUwww.lanazione.it/prato

FOTO E VIDEOMuseo del calciouna notte straordinaria

AlessandroPapini, unodei titolaridi Network

Sas, l’aziendache interviene

per salvarei computer

presiin ostaggio

· Alle pagine 4 e 5

Stazione, aeroporto e bus

Treobiettiviper il nuovocontingentedeimilitari

· Alle pagine 6 e 7

•• 2 PRIMOPIANOFIRENZE MERCOLEDÌ 11 MAGGIO 2016

I danni

UNAminaccia informatica cattu-ra e trattiene risorse digitali dellevittime chiedendo un riscatto persbloccarle. Dilagano le estorsionidei pirati della rete: unodegli ulti-mi a essere colpiti è stato unnotis-simo studio legale fiorentino. Unprogramma (ransomware, riscat-to) con virus latente, nascosto inuna mail inviata da ‘hacker catti-vi’ – con l’allegato-trappola pur-troppo aperto dal destinatario –ha cifrato tutti i file degli hard di-sk dell’ufficio. Stessa disavventu-ra per un giornalista scrittore im-pegnato nelle bozze del suo ulti-mo libro: lo schermo del compu-ter è diventato nero. Sparito tut-to: il programma si è mangiato idati. Li ha criptati. Copiati. Il vi-rus è diventato eseguibile.

Nell’uno e nell’altro caso, una per-dita irreparabile. E prima di loroè toccato a siti istituzionali, impre-se, enti, professionisti. Centinaia,migliaia di casi.Molti neanchede-nunciati perché le vittime hannopreferito pagare un riscatto: quan-do 100 euro, 350-400, 500, 800, inbase alle loro possibilità. Riaccesii pc infettati, infatti, i proprietarihanno letto suimonitor una scrit-ta, e una richiesta, inequivocabili.«Attenzione. Abbiamo criptato ivostri file. Cliccate qui per pagareper i file di recupero». Quel ‘qui’rimanda a una cartella con un ID,un identificativo a cui inviare i co-dici di bit coin. Il pagamento vir-tuale.Non tracciabile, o assai diffi-cilmente tracciabile, in modo davanificare qualsiasi indagine chetenti di risalire al beneficiario delpagamento.

UNRICATTO dunqueper resti-tuire i dati dietro una formadi pa-gamento così concepita: il ricatta-to cerca on line le società che con-vertono i soldi (poniamo 400 eu-ro) in criptovaluta, o bitcoin; rice-ve quindi una ‘stringa’ del valorecorrispondente che deve trasmet-tere all’indirizzo indicato dagliestorsori. La cifra versata rimbal-za tra di server in server, soventeviolati, spesso all’insaputa dei ri-spettivi gestori.

LA TRAPPOLA scatta con unamail proveniente da indirizzo co-nosciuto. Contiene un allegato informato zip, o pdf: invece è un fi-le ‘.exe’: aperto, manda il pc intilt. L’utente pensa che basti unnormale ’spegni e riaccendi’ ma

alla riapertura del desktop, appa-re la schermata con l’avviso’ dellaprocedura per riavere indietro idati.

IL VIRUS informatico si chiama‘Cryptolocker’. E’ una sorta di ca-vallo di troia. Ce ne sono di diver-si tipi. Variazione con frequenza‘virale’, appunto.Da qualche tem-po viene contrastato grazie aglihacker ’buoni’ – delle società de-criptolocker – che hanno ridotto,ma non del tutto eliminata la por-tata degli attacchi. Altre soluzio-ni? «Staccare subito la corrente»quando si vede unamail strana, ri-sponde chi è così addentro allamateria da sapere bene che anco-ra esistono pochi argini agli attac-chi. Le denunce fioccano, ma leindagini sono complesse. Consi-

derate le difficoltà di tracciare i pa-gamenti inquirenti e investigato-ri dovrebbero chiedere rogatorieinternazionali. Ma sono procedu-re lunghe, difficili, costose; unavalutazione costi benefici escludequesta attività che dovrebbe riem-

pire il fascicolo aperto dalla procu-ra – contro ignoti – per «frode in-formatica e accesso abusivo a siste-ma informatico» Dietro i raggiri,però, ci sarebbe una banda di sla-vi».

giovanni spano

«SIAMO di fronte a una nuova pe-stilenza» afferma senza perifrasi egiri di parole Alessandro Papini,54 anni, socio con Andrea Bettoni,suo coetaneo, della Network Sas divia Spinucci 39/41, zona le Panche.L’azienda opera da 25 anni operain Toscana come fornitore di siste-mi integrati, architetture informati-che complesse, privacy, altro. Gra-zie alla sua straordinaria prepara-zione Papini (computer forensycsand cybercrime analyst) è diventa-to consulente informatico di diver-se procure italiane. Gira il Paese te-nendo conferenzeE’ un fenomenodalle propor-zioni inquietanti

«Hanno creato una industria del ri-catto. I dati in possesso della poli-zia postale parlando di 15 milionidi aziende criptate nel 2015. E dico-no che il 2016 sarà peggiore».Chi gestisce questo mega ri-catto informatico

«Per quantone so, soprattutto orga-nizzazioni di slavi».E’ imbattibile questo ransom-ware?

«Insommanoi nel nostro piccolo cistiamo provando. Molti riusciamoa decrittarli. Ma che vuole, esisto-no già 32 versioni. E mentre siamo

qui a parlare magari sta uscendo latrentatreesima.Che virus è?

«Più che di virus si deve parlare diprogrammi inoculati essenzialmen-te in due modi: attraverso le mail-trappola se si ha la digrazia di aprir-le e di leggerle, oppure attraversogli exploit kit, ovvero l’utilizzo dei

punti critici dei nostri programmi,tipo la barra diGoogle. Si può resta-re infettatatimentre si naviga in re-te...».Voi che tipodi richiestedi aiu-toavete e riuscite a saturare?

«Riceviamo circa 150 richieste didecrittazione al giorno da tutta Eu-ropa. Non possiamo risolverle tut-te. Investiamomolto nell’aggiorna-mento, però in pratica siamo unagoccia nell’oceano».Il problema nel problema?

«La diffusione del sistema ransom-ware.Quelli che si chiamanoporta-li di affiliazione. Mi spiego: bastache decida di porre in atto il ricattoe quindi di affiliarsi: uno si mette afare il ricattatore in proprio e chiregge le fila trattiene il 25%della ci-fra che di volta in volta viene estor-ta. C’è da immaginare che con que-sta crisi in molti abbiano deciso diprovare. E chemolti lo faranno piùavanti. Ecco perché parlo di indu-stria del ricatto».

giovanni spano

Computer, testi e dati presi in ostaggio‘Occhio alla pestilenza del duemila’Parla l’imprenditore che riceve 150 richieste di sos al giorno

Ecco come appaiono gli schermi dei computer infettati

Cryptolocker, ilviruscherapisce laprivacy

Gli investigatori dellapolizia postaleSotto Alessandro Papinie Andrea Bettoni

«E’ IN ATTO la più graveminaccia alla quale siamomai statiesposti» commenta Papini amargine di una delle sueconferenze che sta tenendo intutta Italia. «Il virus – spiega –viene inviato agli utentiignari grazie a una di queste 2 vie:l’invio massivo di posta elettronicaed Exploit Kit. Qualunque siastata la via, exploit o mail, arriva lafase di attivazione: la connessionead un server Command & Controlgestito dai criminali. Probabile sitratti di un pc compromessoattraverso il quale verrannoscaricate le chiavi di cifratura.La ‘chiave pubblica’ verrà salvatasul pc dell’utente e utilizzata per lacrittografia, mentre quella privata,indispensabile per la decodifica,resterà in mano ai cyber criminali.Una volta in possesso della chiavepubblica, inizia la fase in cui ilvirus avvierà la cifratura dei datidell’utente.

ALL’INIZIO del 2013 e nel 2014 iransomware erano come unfenomeno tutto italiano e pocopiù. Nel 2015 è tutto cambiato.Anche la curiosità è statastrumento per la diffusione e lainfezione di CryptoLocker.Una indagine della Polpostaevidenziò una infezione diffusatramite una finta mail di «Sda»: siparlava di problemi di spedizionedi un pacco; molti gli utenti che,pur non aspettando alcun pacco,aprirono l’allegato della mail e si‘presero l’infezione’.

LAPOLIZIA ha creato una appche riporta i consigli, appscaricabile gratuitamente per far sìche i cittadini possano proteggersi.Nel 2015 – secondo alcune fonti –nel mondo sono state attaccate daoltre 10.000.000 di macchine. «Eper i cyber criminali il flusso dicassa è continuo». Con – nel 2016 -una previsione di crescita – checorrisponde a un rafforzamentodelle aziende che si occupano diprodotti per la sicurezza.

g.sp.

LEORIGINIDELL’INDAGINE

L’inchiestaè partitadai sospettisu unamail

Viene richiesto il pagamentoonline di un riscatto a unaorganizzazione criminale incambio della chiave didecriptazione chepermetterà di rendere i filenuovamente leggibili.

Il pagamento

Il ricatto viene portato avantisenza che alle vittime vengadata effettiva garanzia; ingenere una volta effettuato ilpagamento i file criptatitornano leggibili. Ma si sonoverificati casi in cui ilpagamento non è servito

Nessuna garanzia

Slavi in azione

STAFF DI INGEGNERIPer risolvere le criptazioni(circostanza non automatica)servemandarle alla società

Il ‘cryptolocker’ è unpericolosissimoransomware che prende inostaggio i file sul computer; idati vengono criptati con unachiave cifrata di tipo militaresempre diversa.

Il virus che infetta

IL RICATTO E’ ON LINEIL RICATTO E’ ON LINEImperversa una banda digitaleImperversa una banda digitale

LESTORIEDINERA INDAGINIDIFFICILIPAGAMENTI BIT COIN IMPOSSIBILI DA TRACCIARESERVIREBBEROROGATORIE INTERNAZIONALIILCALCOLOCOSTI BENEFICI, LEESCLUDE

COMEPROTEGGERSIILMODOMIGLIOREPIANIFICAREUNACOPIADI BACKUP IN CLOUDDEI FILE PIU’ IMPORTANTITUTTELE VOLTECHEVENGONOMODIFICATI

I CONSIGLIPROTEGGERSI CONUNANTIVIRUSCHECANCELLIDIRETTAMENTECERTEEMAIL; NONPERMETTERECLICCHEVI FARANNOPERDERE I DATI

STACCARELACORRENTEALTRE SOLUZIONI? UNA IMMEDIATA FAI-DA-TE:STACCARESUBITOLACORRENTEQUANDOSI VEDEUNAMAIL STRANA

••3PRIMOPIANOFIRENZEMERCOLEDÌ 11 MAGGIO 2016

I danni

UNAminaccia informatica cattu-ra e trattiene risorse digitali dellevittime chiedendo un riscatto persbloccarle. Dilagano le estorsionidei pirati della rete: unodegli ulti-mi a essere colpiti è stato unnotis-simo studio legale fiorentino. Unprogramma (ransomware, riscat-to) con virus latente, nascosto inuna mail inviata da ‘hacker catti-vi’ – con l’allegato-trappola pur-troppo aperto dal destinatario –ha cifrato tutti i file degli hard di-sk dell’ufficio. Stessa disavventu-ra per un giornalista scrittore im-pegnato nelle bozze del suo ulti-mo libro: lo schermo del compu-ter è diventato nero. Sparito tut-to: il programma si è mangiato idati. Li ha criptati. Copiati. Il vi-rus è diventato eseguibile.

Nell’uno e nell’altro caso, una per-dita irreparabile. E prima di loroè toccato a siti istituzionali, impre-se, enti, professionisti. Centinaia,migliaia di casi.Molti neanchede-nunciati perché le vittime hannopreferito pagare un riscatto: quan-do 100 euro, 350-400, 500, 800, inbase alle loro possibilità. Riaccesii pc infettati, infatti, i proprietarihanno letto suimonitor una scrit-ta, e una richiesta, inequivocabili.«Attenzione. Abbiamo criptato ivostri file. Cliccate qui per pagareper i file di recupero». Quel ‘qui’rimanda a una cartella con un ID,un identificativo a cui inviare i co-dici di bit coin. Il pagamento vir-tuale.Non tracciabile, o assai diffi-cilmente tracciabile, in modo davanificare qualsiasi indagine chetenti di risalire al beneficiario delpagamento.

UNRICATTO dunqueper resti-tuire i dati dietro una formadi pa-gamento così concepita: il ricatta-to cerca on line le società che con-vertono i soldi (poniamo 400 eu-ro) in criptovaluta, o bitcoin; rice-ve quindi una ‘stringa’ del valorecorrispondente che deve trasmet-tere all’indirizzo indicato dagliestorsori. La cifra versata rimbal-za tra di server in server, soventeviolati, spesso all’insaputa dei ri-spettivi gestori.

LA TRAPPOLA scatta con unamail proveniente da indirizzo co-nosciuto. Contiene un allegato informato zip, o pdf: invece è un fi-le ‘.exe’: aperto, manda il pc intilt. L’utente pensa che basti unnormale ’spegni e riaccendi’ ma

alla riapertura del desktop, appa-re la schermata con l’avviso’ dellaprocedura per riavere indietro idati.

IL VIRUS informatico si chiama‘Cryptolocker’. E’ una sorta di ca-vallo di troia. Ce ne sono di diver-si tipi. Variazione con frequenza‘virale’, appunto.Da qualche tem-po viene contrastato grazie aglihacker ’buoni’ – delle società de-criptolocker – che hanno ridotto,ma non del tutto eliminata la por-tata degli attacchi. Altre soluzio-ni? «Staccare subito la corrente»quando si vede unamail strana, ri-sponde chi è così addentro allamateria da sapere bene che anco-ra esistono pochi argini agli attac-chi. Le denunce fioccano, ma leindagini sono complesse. Consi-

derate le difficoltà di tracciare i pa-gamenti inquirenti e investigato-ri dovrebbero chiedere rogatorieinternazionali. Ma sono procedu-re lunghe, difficili, costose; unavalutazione costi benefici escludequesta attività che dovrebbe riem-

pire il fascicolo aperto dalla procu-ra – contro ignoti – per «frode in-formatica e accesso abusivo a siste-ma informatico» Dietro i raggiri,però, ci sarebbe una banda di sla-vi».

giovanni spano

«SIAMO di fronte a una nuova pe-stilenza» afferma senza perifrasi egiri di parole Alessandro Papini,54 anni, socio con Andrea Bettoni,suo coetaneo, della Network Sas divia Spinucci 39/41, zona le Panche.L’azienda opera da 25 anni operain Toscana come fornitore di siste-mi integrati, architetture informati-che complesse, privacy, altro. Gra-zie alla sua straordinaria prepara-zione Papini (computer forensycsand cybercrime analyst) è diventa-to consulente informatico di diver-se procure italiane. Gira il Paese te-nendo conferenzeE’ un fenomenodalle propor-zioni inquietanti

«Hanno creato una industria del ri-catto. I dati in possesso della poli-zia postale parlando di 15 milionidi aziende criptate nel 2015. E dico-no che il 2016 sarà peggiore».Chi gestisce questo mega ri-catto informatico

«Per quantone so, soprattutto orga-nizzazioni di slavi».E’ imbattibile questo ransom-ware?

«Insommanoi nel nostro piccolo cistiamo provando. Molti riusciamoa decrittarli. Ma che vuole, esisto-no già 32 versioni. E mentre siamo

qui a parlare magari sta uscendo latrentatreesima.Che virus è?

«Più che di virus si deve parlare diprogrammi inoculati essenzialmen-te in due modi: attraverso le mail-trappola se si ha la digrazia di aprir-le e di leggerle, oppure attraversogli exploit kit, ovvero l’utilizzo dei

punti critici dei nostri programmi,tipo la barra diGoogle. Si può resta-re infettatatimentre si naviga in re-te...».Voi che tipodi richiestedi aiu-toavete e riuscite a saturare?

«Riceviamo circa 150 richieste didecrittazione al giorno da tutta Eu-ropa. Non possiamo risolverle tut-te. Investiamomolto nell’aggiorna-mento, però in pratica siamo unagoccia nell’oceano».Il problema nel problema?

«La diffusione del sistema ransom-ware.Quelli che si chiamanoporta-li di affiliazione. Mi spiego: bastache decida di porre in atto il ricattoe quindi di affiliarsi: uno si mette afare il ricattatore in proprio e chiregge le fila trattiene il 25%della ci-fra che di volta in volta viene estor-ta. C’è da immaginare che con que-sta crisi in molti abbiano deciso diprovare. E chemolti lo faranno piùavanti. Ecco perché parlo di indu-stria del ricatto».

giovanni spano

Computer, testi e dati presi in ostaggio‘Occhio alla pestilenza del duemila’Parla l’imprenditore che riceve 150 richieste di sos al giorno

Ecco come appaiono gli schermi dei computer infettati

Cryptolocker, ilviruscherapisce laprivacy

Gli investigatori dellapolizia postaleSotto Alessandro Papinie Andrea Bettoni

«E’ IN ATTO la più graveminaccia alla quale siamomai statiesposti» commenta Papini amargine di una delle sueconferenze che sta tenendo intutta Italia. «Il virus – spiega –viene inviato agli utentiignari grazie a una di queste 2 vie:l’invio massivo di posta elettronicaed Exploit Kit. Qualunque siastata la via, exploit o mail, arriva lafase di attivazione: la connessionead un server Command & Controlgestito dai criminali. Probabile sitratti di un pc compromessoattraverso il quale verrannoscaricate le chiavi di cifratura.La ‘chiave pubblica’ verrà salvatasul pc dell’utente e utilizzata per lacrittografia, mentre quella privata,indispensabile per la decodifica,resterà in mano ai cyber criminali.Una volta in possesso della chiavepubblica, inizia la fase in cui ilvirus avvierà la cifratura dei datidell’utente.

ALL’INIZIO del 2013 e nel 2014 iransomware erano come unfenomeno tutto italiano e pocopiù. Nel 2015 è tutto cambiato.Anche la curiosità è statastrumento per la diffusione e lainfezione di CryptoLocker.Una indagine della Polpostaevidenziò una infezione diffusatramite una finta mail di «Sda»: siparlava di problemi di spedizionedi un pacco; molti gli utenti che,pur non aspettando alcun pacco,aprirono l’allegato della mail e si‘presero l’infezione’.

LAPOLIZIA ha creato una appche riporta i consigli, appscaricabile gratuitamente per far sìche i cittadini possano proteggersi.Nel 2015 – secondo alcune fonti –nel mondo sono state attaccate daoltre 10.000.000 di macchine. «Eper i cyber criminali il flusso dicassa è continuo». Con – nel 2016 -una previsione di crescita – checorrisponde a un rafforzamentodelle aziende che si occupano diprodotti per la sicurezza.

g.sp.

LEORIGINIDELL’INDAGINE

L’inchiestaè partitadai sospettisu unamail

Viene richiesto il pagamentoonline di un riscatto a unaorganizzazione criminale incambio della chiave didecriptazione chepermetterà di rendere i filenuovamente leggibili.

Il pagamento

Il ricatto viene portato avantisenza che alle vittime vengadata effettiva garanzia; ingenere una volta effettuato ilpagamento i file criptatitornano leggibili. Ma si sonoverificati casi in cui ilpagamento non è servito

Nessuna garanzia

Slavi in azione

STAFF DI INGEGNERIPer risolvere le criptazioni(circostanza non automatica)servemandarle alla società

Il ‘cryptolocker’ è unpericolosissimoransomware che prende inostaggio i file sul computer; idati vengono criptati con unachiave cifrata di tipo militaresempre diversa.

Il virus che infetta

IL RICATTO E’ ON LINEIL RICATTO E’ ON LINEImperversa una banda digitaleImperversa una banda digitale

LESTORIEDINERA INDAGINIDIFFICILIPAGAMENTI BIT COIN IMPOSSIBILI DA TRACCIARESERVIREBBEROROGATORIE INTERNAZIONALIILCALCOLOCOSTI BENEFICI, LEESCLUDE

COMEPROTEGGERSIILMODOMIGLIOREPIANIFICAREUNACOPIADI BACKUP IN CLOUDDEI FILE PIU’ IMPORTANTITUTTELE VOLTECHEVENGONOMODIFICATI

I CONSIGLIPROTEGGERSI CONUNANTIVIRUSCHECANCELLIDIRETTAMENTECERTEEMAIL; NONPERMETTERECLICCHEVI FARANNOPERDERE I DATI

STACCARELACORRENTEALTRE SOLUZIONI? UNA IMMEDIATA FAI-DA-TE:STACCARESUBITOLACORRENTEQUANDOSI VEDEUNAMAIL STRANA