Dal fischietto della scatola dei cereali che apriva le linee AT&T fino al poisoning dei wallet crypto che ti svuota il portafoglio mentre fai copia-incolla. Settant'anni di gente che ha chiesto al computer di fare cose che non doveva fare. Spiegata facile, senza il tono da conferenza di cybersecurity con lo sponsor che vende firewall.
"L'hacking non è entrare nei sistemi. L'hacking è capire un sistema così a fondo da fargli fare cose che il suo progettista non aveva previsto. Che poi quel sistema sia un centralino telefonico, un kernel Linux o la tua testa — cambia poco." — lo spirito della cosa, dagli anni '60 a oggi.
Spoiler: non è quello del tizio col passamontagna che digita su due tastiere mentre dice "sono dentro".
Originariamente, "hack" non aveva niente a che fare col crimine. Al MIT degli anni '50-'60, un "hack" era una soluzione ingegnosa, elegante e magari un po' irriverente a un problema. Un bello scherzo tecnico fatto bene. Un "hacker" era semplicemente uno bravissimo a piegare un sistema alla propria volontà, per curiosità e per il gusto di capire come funziona.
La definizione tecnica regge ancora oggi: hacking = sfruttare un sistema in modi non previsti dal suo progettista. Il sistema può essere una rete telefonica, un software, un protocollo crypto o un cervello umano. Quello che cambia, nel tempo, è l'intenzione e la posta in gioco.
Saper aprire una serratura senza la chiave è una competenza neutra. Il fabbro che ti fa rientrare in casa quando hai perso le chiavi e il ladro che ti svaligia usano la stessa abilità. La differenza non è tecnica, è etica e legale: autorizzazione e intenzione. La storia dell'hacking è in gran parte la storia di questa abilità che cambia di mano.
Hacker etico. Trova le falle con permesso per farle chiudere. Pentester, bug bounty, red team. Stipendio e LinkedIn.
Entra senza permesso ma senza voler fare danni: lo fa per curiosità, fama, o per dimostrare un punto. Zona legalmente scivolosa.
Lo fa per soldi, danno o potere. Dal ragazzino del 1985 alle gang ransomware da milioni di dollari di oggi.
Anni '50–'70. Prima di Internet, prima dei PC. L'hacking nasce da due posti: un club di modellismo ferroviario e la rete telefonica.
Fine anni '50. Al MIT c'è un club di appassionati di modellismo ferroviario, il TMRC. La sezione "Signals and Power" gestisce l'intricato sistema elettrico di scambi e segnali del plastico con relè e centraline telefoniche riciclate. Questi ragazzi chiamano "hack" un intervento particolarmente furbo sul sistema, e "hacker" chi lo fa.
Quando al MIT arrivano i primi computer (il TX-0 e poi il PDP-1), gli stessi ragazzi ci si fiondano di notte. Nasce la hacker ethic, codificata anni dopo da Steven Levy nel libro "Hackers" (1984).
Se ti suona familiare è perché questo è il DNA culturale di Linux, dell'open source, di Wikipedia e di metà di Internet. La parte buona della storia parte da qui.
Parallelamente, c'è chi hackera la cosa più complessa e diffusa dell'epoca: la rete telefonica AT&T. Si chiamano phreaker (phone + freak).
La rete AT&T usava dei toni audio nella stessa linea della voce per controllare le centrali (segnalazione "in banda"). Un tono da 2600 Hz diceva alla centrale "questa linea è libera", liberando il circuito mentre la chiamata restava aperta: da lì potevi pilotare la rete e telefonare gratis ovunque nel mondo.
John Draper scoprì che il fischietto-giocattolo regalato nelle scatole di cereali Cap'n Crunch emetteva esattamente 2600 Hz. Prese quel soprannome. Joe Engressia "Joybubbles", cieco, ci riusciva fischiando con la bocca.
Il computer entra in casa, il modem lo collega al mondo, e all'improvviso un adolescente in cameretta può bussare a un laboratorio nucleare.
Con il modem nasce il war dialing: far chiamare al computer migliaia di numeri di telefono in sequenza per trovare quali rispondono con un altro computer. Nel 1983 un gruppo di teenager di Milwaukee, i "414s" (dal prefisso telefonico locale), entrò in decine di sistemi, incluso il Los Alamos National Laboratory e un centro oncologico. Finirono sulla copertina di Newsweek.
Il film WarGames — ragazzino col modem che per sbaglio si collega al computer della difesa USA e quasi scatena la guerra nucleare — fa esplodere l'immaginario hacker nella cultura di massa. Spaventa pure il Congresso americano: contribuisce alla nascita del Computer Fraud and Abuse Act (CFAA, 1986), la legge USA che da allora punisce l'accesso non autorizzato (e che molti considerano scritta troppo larga).
Dopo il suo arresto, un hacker noto come The Mentor (Loyd Blankenship) scrive sulla e-zine Phrack un breve testo intitolato "The Conscience of a Hacker", passato alla storia come il Manifesto dell'Hacker:
"Questo è il nostro mondo, adesso… il mondo dell'elettrone e dello switch. Noi esistiamo senza colore della pelle, senza nazionalità, senza pregiudizi religiosi… e ci chiamate criminali. Sì, sono un criminale. Il mio crimine è la curiosità."
Il momento in cui Internet scopre di essere vulnerabile. Robert Tappan Morris, studente a Cornell, rilascia un programma auto-replicante per "misurare le dimensioni di Internet". Un bug nel codice lo fa duplicare all'infinito su ogni macchina: invece di misurare la rete, la mette in ginocchio. Infetta circa 6.000 macchine, all'epoca circa il 10% di tutta Internet.
sendmail, fingerd (un buffer overflow) e password deboli.L'hacker più famoso dell'epoca. Più che un genio tecnico, un maestro del social engineering: telefonava alle aziende fingendosi un collega e si faceva dare le password. Latitante per anni, arrestato nel 1995. Dopo il carcere diventa un celebre consulente di sicurezza. La sua frase: "È più facile ingannare una persona che bucare un firewall."
L'astronomo Clifford Stoll nota un ammanco contabile di 75 centesimi sui sistemi del suo laboratorio. Tirando il filo, scopre un hacker tedesco (Markus Hess) che rubava segreti militari USA per conto del KGB. Il primo caso documentato di cyber-spionaggio di Stato. Ne esce un libro bellissimo.
L'età d'oro romantica: bacheche elettroniche, e-zine fotocopiate, guerre tra gang, e i federali che cominciano a fare sul serio.
Prima del web di massa, ci si ritrovava sulle BBS (Bulletin Board System): si chiamava col modem un computer di qualcun altro e si scambiavano messaggi, file, software piratato ("warez") e conoscenza. È qui che circolano le e-zine leggendarie come Phrack (1985) e dove si formano i gruppi storici.
Rivalità semi-mitologica tra due gruppi: la Legion of Doom (LoD) e i Masters of Deception (MoD). Si sfidavano a chi controllava meglio le reti telefoniche e i sistemi. Più folklore che guerra vera, ma definisce l'estetica dell'epoca: l'hacking come sport competitivo e questione d'onore, non (ancora) come business.
I servizi segreti USA lanciano grandi retate contro l'underground hacker. Nel caso più assurdo, sequestrano i computer della Steve Jackson Games (una casa di giochi da tavolo!) perché stava scrivendo un gioco di ruolo "sospetto" sul cyberpunk. L'eccesso fa scandalo e porta alla fondazione della Electronic Frontier Foundation (EFF) da parte di Mitch Kapor, John Perry Barlow e John Gilmore: nasce la difesa dei diritti digitali.
La caccia a Mitnick diventa simbolo. Viene tracciato e arrestato nel 1995 con l'aiuto dell'esperto Tsutomu Shimomura. La detenzione lunga e senza processo immediato fa nascere il movimento "Free Kevin", adesivi ovunque. Diventa l'icona del conflitto tra hacker e sistema legale.
Il collettivo di Boston L0pht Heavy Industries (autori di L0phtCrack) testimonia davanti al Senato USA dichiarando che potrebbero "rendere Internet inutilizzabile in 30 minuti". È la security che entra nelle istituzioni: gli hacker diventano consulenti ascoltati, non solo ricercati.
Internet diventa di tutti. E quando c'è tutti, c'è da rubare. L'hacking smette di essere uno sport e diventa un'industria.
Milioni di PC Windows connessi, raramente aggiornati, dietro connessioni sempre attive. Il terreno perfetto per worm auto-propaganti che fanno il giro del mondo in ore.
| Anno | Worm | Cosa faceva |
|---|---|---|
| 2000 | ILOVEYOU | Email "ti amo" con allegato VBScript. ~$10 miliardi di danni, milioni di PC. Nato nelle Filippine. |
| 2001 | Code Red | Sfruttava IIS, defacciava i siti con "Hacked by Chinese!" e attaccava la Casa Bianca. |
| 2003 | SQL Slammer | 376 byte. Si propagò così in fretta da rallentare tutta Internet in 10 minuti. |
| 2003 | Blaster | Bucava il servizio RPC di Windows, messaggio nascosto a Bill Gates. |
| 2008 | Conficker | Fino a ~15 milioni di macchine in una botnet gigante. Tormentone per anni. |
Con i siti dinamici arrivano le falle che ancora oggi riempiono la OWASP Top 10: la SQL injection (infili comandi SQL nei campi di un form e il database ti obbedisce), il Cross-Site Scripting (XSS), l'inclusione di file. Stesso peccato del phreaking: dati trattati come comandi.
Nascono i forum del crimine (ShadowCrew, CarderPlanet) dove si comprano e vendono carte di credito rubate all'ingrosso. Il caso simbolo è Albert Gonzalez: tra il 2005 e il 2008 ruba oltre 170 milioni di numeri di carta (TJX, Heartland) combinando SQL injection e sniffer di rete. È il passaggio definitivo: l'hacking ora è soprattutto per soldi.
Da una parte le maschere di Anonymous, dall'altra i governi che scoprono che il codice è un'arma. L'hacking diventa geopolitica.
Collettivo informale nato dai forum di 4chan intorno al 2008. Niente capi, niente tessere, la maschera di Guy Fawkes come simbolo. Campagne (le "Op") contro Scientology, contro le aziende che bloccarono le donazioni a WikiLeaks (Operation Payback), contro governi. Arma preferita: DDoS e defacement. Slogan: "We are Legion."
Costola di Anonymous, 2011: "50 giorni di lulz". Bucano Sony, PBS, siti governativi, "per ridere". Durano poco: il leader Sabu (Hector Monsegur) viene preso e collabora con l'FBI, facendo cadere gli altri. Lezione amara dell'hacktivism: nei gruppi, qualcuno parla sempre.
Il punto di svolta della storia moderna. Stuxnet è un malware sofisticatissimo — attribuito a USA e Israele (operazione "Olympic Games") — progettato per un solo bersaglio: le centrifughe di arricchimento dell'uranio dell'impianto iraniano di Natanz.
È la prima volta che un attacco informatico provoca danni fisici nel mondo reale. Dopo Stuxnet, ogni Stato capisce che gli serve un esercito cyber.
Entra nel vocabolario il termine APT (Advanced Persistent Threat): gruppi sponsorizzati da Stati, con budget, pazienza e obiettivi strategici. Nel 2013 il report APT1 di Mandiant attribuisce pubblicamente una lunga campagna di spionaggio all'Unità 61398 dell'esercito cinese. Da allora i nomi degli APT (Fancy Bear, Cozy Bear, Lazarus…) sono parte delle news.
Perché rubare i dati quando puoi cifrarli e farti pagare il riscatto? Con i Bitcoin a fare da cassa anonima, il crimine si industrializza sul serio.
Il primo ransomware è del 1989 (l'AIDS Trojan, distribuito su floppy, chiedeva di spedire un assegno a una casella postale di Panama). Concettualmente geniale, praticamente inutile: come incassi senza farti prendere?
La risposta arriva nel 2013 con CryptoLocker: cifra i file e chiede il riscatto in Bitcoin. La crypto risolve il problema dell'incasso anonimo e irreversibile. Da quel momento il ransomware esplode.
Ricordi EternalBlue (l'arma NSA trafugata)? Ecco cosa ci hanno fatto:
Ransomware-worm che usa EternalBlue per propagarsi da solo. In poche ore infetta ~200.000 macchine in 150 paesi. Manda in tilt il NHS britannico (ospedali bloccati). Attribuito a Lazarus (Corea del Nord). Fermato quasi per caso dal ricercatore Marcus Hutchins, che registra un dominio "kill switch" nascosto nel codice.
Sembra ransomware, è un wiper: distrugge i dati e basta, il riscatto è una facciata. Parte da un aggiornamento avvelenato di un software fiscale ucraino (M.E.Doc). Attribuito alla Russia (Sandworm). Danni stimati ~10 miliardi di dollari (Maersk, Merck, FedEx). Il cyberattacco più costoso della storia.
Il crimine adotta il modello SaaS. Gruppi come REvil, Conti, LockBit, DarkSide sviluppano il ransomware e lo "affittano" ad affiliati che fanno gli attacchi, dividendo il bottino. Hanno pannelli web, supporto, listini, persino "uffici stampa".
Perché attaccare 18.000 aziende una per una, quando puoi bucare l'unico fornitore da cui dipendono tutte? La frontiera moderna: avvelenare la sorgente.
Avvelenare casa per casa è faticoso e rumoroso. Avvelenare l'acquedotto a monte raggiunge tutta la città in un colpo, e nessuno se ne accorge perché "è l'acqua di sempre, dal rubinetto di sempre". L'attacco alla supply chain è questo: comprometti un software o una libreria di cui si fidano in milioni, e l'aggiornamento "ufficiale e firmato" diffonde il veleno per te.
Gli attaccanti (APT29 / Cozy Bear, intelligence russa) inseriscono una backdoor in un aggiornamento ufficiale di SolarWinds Orion, software di monitoraggio di rete. ~18.000 organizzazioni installano l'update avvelenato, incluse agenzie del governo USA e big tech. Mesi di accesso indisturbato. Il campanello d'allarme globale sul rischio supply chain.
Una vulnerabilità (CVE-2021-44228) in Log4j, libreria di logging Java ovunque. Bastava far loggare al server una stringa magica (${jndi:ldap://…}) per eseguire codice da remoto. Banale da sfruttare, presente in milioni di applicazioni che nemmeno sapevano di usarla. La definizione di incubo della dipendenza nascosta: i sysadmin hanno passato il Natale a patchare.
Lo sviluppo moderno tira giù centinaia di dipendenze automaticamente. Diventa un bersaglio:
reqeusts sperando che tu sbagli a digitare requests.CVE-2024-3094) che avrebbe compromesso SSH su mezzo mondo Linux. Scoperta per puro caso da un ingegnere Microsoft (Andres Freund) che notava SSH stranamente lento di mezzo secondo. Non un bug tecnico: social engineering su una persona, l'anello più debole. Sempre lui.
Cambiano gli anni, i bersagli e i bottini. Ma come si entra è rimasto sorprendentemente uguale. Spoiler: quasi sempre c'è di mezzo un essere umano.
Dal Mitnick degli anni '80 alla backdoor xz del 2024, l'attacco più efficace non buca un firewall: buca una persona. Phishing, spear phishing (mirato), BEC (Business Email Compromise: ti spaccio per il tuo capo e ti faccio fare un bonifico), finto supporto tecnico, finto recruiter su LinkedIn. È il vettore numero uno, da sempre.
Quasi ogni intrusione seria segue le stesse fasi (modello Cyber Kill Chain di Lockheed Martin, oggi mappate in dettaglio da MITRE ATT&CK):
La difesa moderna punta a spezzare anche solo un anello della catena: se blocchi il C2 o rilevi il movimento laterale, l'attacco fallisce anche se sei entrato.
Credential stuffing: prendo miliardi di password trapelate da vecchi breach e le provo ovunque, perché la gente riusa la stessa password. Password spraying: provo Estate2026! su tutti gli account aziendali. Funziona deprimentemente spesso. Antidoto: password uniche + MFA (meglio se non via SMS).
RCE (esecuzione di codice da remoto, il Sacro Graal), buffer overflow (come nel Morris Worm del 1988!), injection (SQL, comandi), privilege escalation (da utente a root), lateral movement (da un PC bucato al resto della rete). I nomi sono vecchi di decenni, funzionano ancora.
Soldi digitali, irreversibili, senza una banca da chiamare per bloccare il bonifico. Per un ladro è il paradiso. Benvenuti nella nuova frontiera del furto.
Gli exchange sono enormi casseforti calde: bersagli ovvi.
| Anno | Bersaglio | Bottino |
|---|---|---|
| 2014 | Mt. Gox | ~850.000 BTC. L'exchange allora dominante collassa. Trauma fondativo del settore. |
| 2016 | Bitfinex | ~120.000 BTC. Anni dopo l'FBI recupera gran parte del malloppo e arresta i riciclatori. |
| 2018 | Coincheck | ~530 milioni di dollari in NEM da un wallet "caldo" mal protetto. |
| 2025 | Bybit | ~1,5 miliardi di dollari. Il più grande furto crypto di sempre. Attribuito a Lazarus. |
La finanza decentralizzata sposta la cassaforte dentro al codice. Se il codice ha un bug, i soldi spariscono — senza nemmeno entrare in un server.
Qui finisce il viaggio: non bucano più il server, bucano te. Tecniche chirurgiche per svuotare il portafoglio sfruttando un copia-incolla, una firma distratta, un'app finta.
L'attacco "poisoning" per eccellenza, ed è spaventosamente semplice. Gli indirizzi crypto sono lunghissimi e illeggibili (es. 0x7a3f…9c2b), quindi nessuno li legge tutti: si guardano le prime e ultime cifre e si fa copia-incolla dalla cronologia. Gli attaccanti sfruttano esattamente questa pigrizia:
Sembra roba da pochi spiccioli? Nel maggio 2024 una vittima ha perso 68 milioni di dollari in WBTC esattamente così, incollando l'indirizzo sbagliato dalla cronologia. (L'attaccante, forse spaventato dal clamore, restituì i fondi giorni dopo. Non contateci.)
Variante ancora più subdola, lato malware. Un programmino installato sul tuo PC sorveglia gli appunti (clipboard): appena ci copi qualcosa che somiglia a un indirizzo crypto, lo sostituisce al volo con quello dell'attaccante. Tu incolli, vedi un indirizzo plausibile, confermi. I soldi vanno a lui. Esiste da anni e non è mai passato di moda.
Il furto crypto più diffuso oggi non ti ruba la chiave: ti fa firmare con le tue mani il permesso di svuotarti. Funziona così:
Permit/Permit2) che dà a un contratto il diritto di spostare i tuoi token — spesso illimitato.È il ransomware-as-a-service del mondo crypto: kit chiavi in mano, l'affiliato porta le vittime, gli sviluppatori prendono una percentuale. Hanno pure il "supporto clienti".
Il classico intramontabile. App di wallet false sugli store, estensioni del browser fasulle (finto MetaMask, finto Ledger Live), pop-up che dicono "il tuo wallet va validato, reinserisci la seed phrase". Regola d'oro, una sola: la seed phrase non si digita MAI da nessuna parte tranne che per ripristinare il wallet sul dispositivo fisico. Nessun supporto, nessun sito, nessun "controllo" legittimo te la chiederà mai.
L'ingegneria sociale a lungo termine. Il "pig butchering" ("ingrasso del maiale"): mesi di finta amicizia/relazione romantica, poi ti convincono a investire su una piattaforma-truffa che mostra finti guadagni, finché non versi tutto e sparisce. Variante per tecnici: i finti recruiter di Lazarus ("Operation Dream Job") che mandano agli sviluppatori un "test di codice" o un pacchetto npm infetto.
La linea del tempo, i pattern che si ripetono, e come non finire vittima. Da incollare sopra la scrivania.
"Hack" al MIT (TMRC). Phone phreaking, il tono a 2600 Hz, le blue box dei due Steve.
WarGames, i 414s, il Manifesto dell'Hacker, Mitnick. Morris Worm (1988): Internet scopre di essere fragile.
BBS, Phrack, le gang, Operation Sundevil, nasce l'EFF e il primo DEF CON. "Free Kevin".
Worm planetari (ILOVEYOU, Slammer, Conficker), SQL injection, carding. L'hacking diventa business.
Anonymous, LulzSec. Stuxnet (2010): la prima cyber-arma fisica. Snowden, gli APT, EternalBlue trafugato.
CryptoLocker + Bitcoin sbloccano il modello. WannaCry e NotPetya (2017). RaaS e doppia estorsione.
SolarWinds, Log4Shell, MOVEit, backdoor xz. Furti crypto record, drainer e address poisoning.
Da Mitnick (1985) alla backdoor xz (2024) al wrench attack (2025): il social engineering batte la crittografia. Sempre.
2600 Hz nella linea voce, SQL injection, XSS, prompt injection. Mischiare canale di controllo e contenuto è il peccato eterno.
Da sport (anni '90) a business (carte, '00) a industria (ransomware) a Stato-rapinatore (Lazarus). La posta sale, le tecniche restano.
Gli 0-day della NSA (EternalBlue) finiti a tutti hanno alimentato WannaCry. Ciò che costruisci per attaccare, prima o poi torna indietro.
La maggioranza degli attacchi reali usa N-day già patchati. Aggiornare ferma più intrusioni di qualsiasi prodotto costoso.
Dal worm singolo all'acquedotto avvelenato (supply chain): non bucare 18.000 vittime, buca l'unico fornitore di cui si fidano tutte.
# Igiene di base (ferma il 90% degli attacchi reali)
patch → aggiorna tutto, dai priorità alle CVE sfruttate attivamente (KEV)
mfa → obbligatoria, resistente al phishing (FIDO2/passkey)
least-priv → ognuno ha i permessi minimi; niente admin a tappeto
backup → regola 3-2-1, copia offline/immutabile, ripristino testato
# Architettura (limita il danno quando entrano lo stesso)
segment → rete a compartimenti: blocca il movimento laterale
zero-trust → non fidarti della rete interna per default
edr/log → rileva C2 ed esfiltrazione; conserva e leggi i log
# Umani e fornitori (l'anello debole e l'acquedotto)
training → simulazioni di phishing, cultura del "verifica prima"
supply → SBOM, pin delle dipendenze, firma e verifica degli artefatti
ir-plan → piano di risposta scritto e provato PRIMA del disastro