Oggi effettuare una attacco utilizzando strumenti come Metasploit ed Armitage è scandalosamente semplice. Negli ultimi anni i tools potentissimi a disposizione pubblicamente e gratuitamente hanno reso il penetration test un’attività da script kiddie.

Naturalmente un ethical hacker vero non si limita a lanciare programmi e cliccare a casaccio come una scimmia; un penetration test che abbia valore non può essere portato avanti senza la capacità dell’operatore di osservare e dedurre.

La prima fase, forse quella più critica di un attacco è la ricognizione, effettuata tramite missioni di information gathering. Dicevo che priobabilmente è la più delicata in quanto è da questa fase di intelligence che si svilupperà tutta la strategia d’attacco. Cadere in una trappola di disinformazione in questa fase potrebbe significare compromettere il buon esito dell’operazione e il fallimento dell’obiettivo.

Osservare

La capacità di osservare e dedurre non implica necessariamente il ricorso a sofisticati strumenti. Basta una traccia, anche minima, per ricostruire o tentare di ricostruire la mappa del tesoro di un sistema target.

Faccio un esempio pratico. Interrogando la porta 80 di un host, con nmap (con l’opzione -sV), oppure ancor più semplicemente con netcat  posso ottenere gli header http del server. Ipotizziamo che questi header rivelino l’identità del server:

Apache 2.2.9

Cosa mi dice questo? Due cose: la prima ovvia ed evidente è il tipo e la versione del software, e già questo potrebbe condurmi a trovare vulnerabilità di questa specifica versione. Ma non basta.
Mi dice anche che si tratta di una versione vecchia, uscita nel Giugno del 2008; questo potrebbe suggerirmi che chi si occupa della gestione del sistema non ha una strategia di aggiornamenti, oppure tende a trascurare il problema. E qui casca l’asino.

Dedurre

Queste deduzioni ci portano ad altre intuizioni: probabilmente non solo Apache è stato installato e mai più aggiornato, ma anche gli altri servizi e le altre applicazioni. Ed è probabile che il sistema sia stato installato nel giro di pochi giorni e mai più aggiornato.

In questo caso saremmo in grado di stabilire le versioni degli altri software potenzialmente installati. Potrebbe trattarsi di un server LAMP (qunidi su piattaforma Linux,Apache,MySql e Php).

Seguendo il ragionamento di cui sopra, possiamo immaginare che la versione Php installata sia la 5.2.6 (disponibile dal 2 Maggio 2008, pochi giorni prima l’uscita di Apache 2.2.9).

Potrebbe essere stato installato un software per gestire i database di MySql da remoto, come phpMyAdmin; in questo casola versione compatibile con l’orizzonte temporale di Apache e Php dovrebbe essere la 2.11.7.0.

Cercando nel database di exploit-db, trovo un exploit che potrebbe adattarsi allo scenario illustrato, ovvero un exploit che permette di effettuare code-inection nelle versioni di phpMyAdmin inferiori alla 2.11.9.5.

Conclusioni

Quello che ho esposto è solo un caso ipotetico, ma mostra come sia possibile arrivare lontano anche senza sofisticati strumenti di fingerprinting, e senza usare tools che sono molto comodi, ma che fanno anche tanto “rumore”.

Come? Mi chiedete cosa fare una volta acquisite tutte queste informazioni? Ovvio, si attacca con Metasploit ed Armitage: elementare Watson!

Segnala presso:

E’ disponibile da alcuni giorni il Microsoft Security Intelligence Report 10 (SIR). Si tratta di un report realizzato dalla casa di Redmond che scruta il panorama attuale delle minacce provenienti da Internet (vulnerabilità, exploit, malware, virus, worm) basato sui dati provenienti da 600 milioni di sistemi sparsi in tutto il mondo.

Da questo report, che fa riferimento all’anno 2010, emergono alcuni punti chiave interessanti, ne riassumo alcuni suggeriti da ISC

• A partire dal secondo trimestre del 2010 sono aumentati gli attacchi portati attraverso vulnerabilità di Java

• Importante la presenza attacchi portati attraverso IFRAME, dato che mette in evidenza come siti web legittimi e affidabili siano compromessi e utilizzati come vettori di infezione

• Conficker è il worm più attivo negli ambienti enterprise, ma è solo al nono posto nella classifica generale per quanto riguarda i malware diffusi in Internet.

Il SIR  è disponibile anche in lingua italiana ed è scaricabile gratuitamente da qui.

Segnala presso:

Quando si parla di etica si pensa a tutte quelle norme di comportamento che contraddistinguono un determinato ambito. Come sappiamo tutti molto bene, anche gli hackers hanno una loro etica e, chi non si sottomette a queste regole, non può essere definito tale.

Una delle norme dell’etica hacker riguarda la libera circolazione delle informazioni e l’abolizione del cosidetto copyright. In mezzo a questo macroinsieme troviamo anche alcune norme riguardanti il software libero. La stragrande maggioranza degli hackers infatti crede e perora la causa dei programmi free.

Oggi volevo disquisire con voi circa la moralità del diritto d’autore sul software. I programmi dovrebbero veramente essere TUTTI gratuiti o no? I sistemi operativi come Windows o Mac dovrebbero essere resi liberamente scaricabili come si fa con linux?

Per chiarezza spieghiamo in breve quali sono i tipi di licenza esistenti sul mercato e poi vediamo quali principi devono essere valutati per fare una corretta “diagnosi” sulla moralità del software a pagamento:

1. Licenze free: il software può essere liberamente scaricato e installato senza nessun costo da parte dell’utente, ovviamente non ne è consentita la vendita (esistono molti tipi di licenze ma per semplificare il nostro ragionamento diamo solo questa definizione)
2. Licenze utente/multiutente: si possono acquistare e installare in un determinato numero di pc; l’utente può decidere di cambiare computer e usare la stessa licenza, a patto che il software venga disinstallato dal computer vecchio. In pratica il numero dei computer su cui il software è installato dovrà essere pari al numero delle licenza. (Esempio: compro Adobe Acrobat 3 licenze, posso installarlo su 3 computer, se cambio Pc, disinstallo dal vecchio e installo sul nuovo, l’importante è che il software sia presente solo in 3 computer e non di più)
3. Licenze OEM utente/multiutente: fondamentalmente vale il discorso fatto sopra, l’unica differenza è che queste licenze sono legate alla macchina su cui vengono installate la prima volta, quindi la licenza non può essere spostata su un PC nuovo; se il computer muore, muore anche la licenza (di solito vengono vendute a un prezzo ridotto proprio per questo motivo)

Prendiamo in esame alcuni principi e vediamo se si possono applicare al software:

1. Principio della retribuzione del proprio lavoro. Penso che tutti noi saremo d’accordo con il fatto che se facciamo un lavoro è giusto essere pagati; partendo da un “minimo” più il lavoro è complesso più la nostra retribuzione dovrebbe crescere. Ora, se mi metto nei panni dello sviluppatore di un software come Photoshop o Adobe Acrobat, mi rendo conto che dopo anni di lavoro è giusto che io sia pagato. La domanda è: quanto? Tutto dipende da quanto il mio software verrà apprezzato e richiesto.
2. Principio della libertà di mercato. Tutti sappiamo che nel mercato globale non può esistere il monopolio; esiste un’apposita commissione (chiamata antitrust) che vigila sul mercato in questo senso. E’ anche vero che se non esistono monopoli di forma, esistono monopoli di fatto e non serve che spieghiamo di chi stiamo parlando. Se analizziamo i risultati del monopolio capiamo che se io riesco ad essere l’unico sul mercato vendo il mio prodotto al prezzo che voglio, soprattutto se questo serve per far funzionare il computer.
3. Principio della libertà di scelta. Io devo essere libero di scegliere il software che voglio senza essere obbligato ad acqusitarne uno.
4. Principio della libertà di informazione. Devo essere libero di trovare informazioni relative a tutto il campo dello scibile, senza che qualcuno tenti di insabbiarle o di non renderle note.

Analizzando i principi summenzionati e correlandoli con il mercato vengono fuori delle implicazioni etiche non da poco. Quello che salta subito all’occhio è il monopolio a cui tutti noi assistiamo. Se guardo la grande distribuzione scopro che questo monopolio è così radicato e nascosto che la gente non si accorge nemmeno più della sua esistenza, e questo, secondo l’etica è immorale. Io non posso scegliere il sistema operativo come scelgo il colore della mia macchina, ma mi viene proposto/imposto senza che io, povero utilizzatore, possa farci nulla, a meno che non sia un addetto ai lavori, uno che si informa, uno che sa insomma.

D’altro canto vediamo anche un’infinità di prodotti che vengono venduti e che valgono fino all’ultimo centesimo dei soldi che costano.

In conclusione possiamo dire che non è il software a pagamento ad andare contro l’etica ma il modo in cui viene commercializzato. E’ giusto pagare per qualcosa che si compra, ma è altrettanto giusto avere la possibilità di scegliere.

Segnala presso:

Chi c’è dietro al worm Stuxnet? L’obiettivo di questo famigerato malware è quello di attacare gli impianti nucleari iraniani (come sembrerebbero confermare alcune notizie), o si tratta di una nuova sofisticata incarnazione  del classico worm prodotto da una gang di cybercriminali?

Non si sa, forse non si saprà mai. Quello che pare certo è che non si tratta dell’opera di uno o più dilettanti. Non si tratta insomma di mettere in crisi Twitter con un XSS, qui la situazione è più complessa.

Un worm anomalo

La storia inizia in Luglio, quando un ricercatore bielorusso identifica presso clienti iraniani la presenza di Stuxnet. Symantec non solo conferma l’esistenza del worm, ma si accorge che una versione semplificata del worm era già stata isolata un anno prima.

Fin qui niente di nuovo. Sembrerebbe la solita storia di un worm che sfruttando uno zero-day si propaga e organizza una botnet. Ma questa volta la storia è divera. A far suonare il campanello d’allarme è la scoperta che Stuxnet ha una predilezione per i sistemi di controllo industriale (SCADA), utilizzati dai sistemi informatici che controllano le infrastrutture critiche, come centrali elettriche, reti di distribuzione, centrali nucleari.

A rendere ancora più inquietante la situazione è l’analisi della distribuzione del worm. Se in genere queste infezioni si propagano più o meno in tutto il mondo, questo worm pare prediliga alcune nazioni orientali, tra cui India e Indonesia, e in paticolare l’Iran.

A questo punto sorgere un sospetto: non è che Stuxnet è stato creato da qualcuno, non particolarmente amico dell’Iran e del suo programma nucleare?

Stuxnet

Effettivamente pare che Stuxnet sia un malware con una marcia in più. Quali sono i punti di forza di questo womr?

• Per la prima volta un worm utilizza come vettore di infezione 4 zero-day. Si tratta sicuramente di un dato notevole; la ricerca di questo genere di vulnerabilità, e lo sviluppo dei codici per sfruttarle richiede una abilità tecnica non comune.

• Non solo tenta di esfiltrare codici e progetti dai computer infettati, ma tenta di accedere e di replicarsi nei PLC (Programmable Logic Controller), computer specializzati nella gestione di processi industriali.

• Utilizza due certificati legittimi firmati da noti produttori di hardware. Il worm risulta così essere firmato come software certificato (e quindi sicuro). I certificati potrebbero essere stati sottratti ai legittimi proprietari tramite un’intrusione informatica o fisica.

Questi elementi evidenziano il fatto che si tratti di un’operazione complessa, articolata, portata avanti con estrema professionalità.

Guerra Senza Limiti

Il 26 Settembre Al-Jazeera pubblica la notizia bomba: “Iran Attacked by Computer Worm”. Qualche ora dopo è l’agenzia iraniana Irna a confermare la massiccia diffusione del worm in Iran, confermando anche la presenza del worm in computer privati utilizzati da tecnici del reattore nucleare di Busherh, ma è la stessa agenzia a precisare anche che nessun sistema critico ha subito danni, tantomeno il reattore nucleare.

Quindi Stuxnet è stato creato dal governo di una nazione ostile all’Iran? Non è detto. Da alcuni anni siamo entrati in una nuova fase della Storia, una fase in cui il monopolio della guerra non appartiene più agli Stati. Siamo nell’epoca della guerra asimmetrica, una guerra senza limiti, combattuta non solo tra nazioni, ma anche tra gruppi di potere, piccoli o grandi, frammenti di apparati in contrasto con altri frammenti dello stesso apparato. Gruppi privati, fondi speculativi, poteri occulti. Gruppi che utilizzano armi convenzionali, ma anche tecniche di guerra irregolare, come le information operations e la psychological warfare.

Forse non sapremo mai la verità su Stuxnet. Ma è molto probabile che incidenti simili saranno sempre più frequenti, come è altrettanto probabile che eventi simili siano già accaduti.

Segnala presso:

Ovviamente ho usato il termine cracking e non hacking per ovvi motivi. Contate che a volte, a causa di leggi restrittive, anche il più etico degli hacker diventa, alla vista dei più, un cracker. Lo scopo dell’articolo non è giudicare ma informare.

Iniziamo vedendo ciò che concerne il p2p, qui sotto vi ho riportato in toto le leggi che riguardano questo argomento, se non avete voglia di leggerle non fatelo, i concetti verranno ripresi nel mio commento, ho dovuto inserire tutto per correttezza e perchè nessuno possa dire che qui su PH non facciamo le cose per bene.

Legge 22 aprile 1941, n. 633 Art 171 ter

1. È punito, se il fatto è commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da euro 2.582 a euro 15.493 chiunque a fini di lucro:
a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un’opera dell’ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento;
b) abusivamente riproduce, trasmette o diffonde in pubblico, con qualsiasi procedimento, opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico-musicali, ovvero multimediali, anche se inserite in opere collettive o composite o banche dati;
c) pur non avendo concorso alla duplicazione o riproduzione, introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, o distribuisce, pone in commercio, concede in noleggio o comunque cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della televisione con qualsiasi procedimento, trasmette a mezzo della radio, fa ascoltare in pubblico le duplicazioni o riproduzioni abusive di cui alle lettere a) e b);
d) detiene per la vendita o la distribuzione, pone in commercio, vende, noleggia, cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della radio o della televisione con qualsiasi procedimento, videocassette, musicassette, qualsiasi supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive o sequenze di immagini in movimento, od altro supporto per il quale è prescritta, ai sensi della presente legge, l’apposizione di contrassegno da parte della Società italiana degli autori ed editori (S.I.A.E.), privi del contrassegno medesimo o dotati di contrassegno contraffatto o alterato;
e) in assenza di accordo con il legittimo distributore, ritrasmette o diffonde con qualsiasi mezzo un servizio criptato ricevuto per mezzo di apparati o parti di apparati atti alla decodificazione di trasmissioni ad accesso condizionato; f) introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, vende, concede in noleggio, cede a qualsiasi titolo, promuove commercialmente, installa dispositivi o elementi di decodificazione speciale che consentono l’accesso ad un servizio criptato senza il pagamento del canone dovuto.
f-bis) fabbrica, importa, distribuisce, vende, noleggia, cede a qualsiasi titolo, pubblicizza per la vendita o il noleggio, o detiene per scopi commerciali, attrezzature, prodotti o componenti ovvero presta servizi che abbiano la prevalente finalità o l’uso commerciale di eludere efficaci misure tecnologiche di cui all’art. 102-quater ovvero siano principalmente progettati, prodotti, adattati o realizzati con la finalità di rendere possibile o facilitare l’elusione di predette misure. Fra le misure tecnologiche sono comprese quelle applicate, o che residuano, a seguito della rimozione delle misure medesime conseguentemente a iniziativa volontaria dei titolari dei diritti o ad accordi tra questi ultimi e i beneficiari di eccezioni, ovvero a seguito di esecuzione di provvedimenti dell’autorità amministrativa o giurisdizionale;
h) abusivamente rimuove o altera le informazioni elettroniche di cui all’articolo 102­ quinquies, ovvero distribuisce, importa a fini di distribuzione, diffonde per radio o per televisione, comunica o mette a disposizione del pubblico opere o altri materiali protetti dai quali siano state rimosse o alterate le informazioni elettroniche stesse.

2. È punito con la reclusione da uno a quattro anni e con la multa da da euro 2.582 a euro 15.493 chiunque:
a) riproduce, duplica, trasmette o diffonde abusivamente, vende o pone altrimenti in commercio, cede a qualsiasi titolo o importa abusivamente oltre cinquanta copie o esemplari di opere tutelate dal diritto d’autore e da diritti connessi;
a-bis) in violazione dell’art. 16, a fini di lucro, comunica al pubblico immettendola in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, un’opera dell’ingegno protetta dal diritto d’autore, o parte di essa;
b) esercitando in forma imprenditoriale attività di riproduzione, distribuzione, vendita o commercializzazione, importazione di opere tutelate dal diritto d’autore e da diritti connessi, si rende colpevole dei fatti previsti dal comma 1;
c) promuove o organizza le attività illecite di cui al comma 1.

Legge 128/2004 art. 1 comma 2 (Legge Urbani)

2. Al comma 1 dell’art. 171-ter della legge 22 aprile 1941, n. 633, e successive modificazioni, le parole: “a fini di lucro” sono sostituite dalle seguenti: “per trarne profitto”.

Vi invito a rileggere solo la seconda legge riportata, quella che viene chiamata “Legge Urbani”. Questa è stata una ghigliottina per tutti noi. Quando è entrata in vigore tutti gli internauti italiani hanno ricevuto una mazzata non indifferente. Penso che qualcuno si stia chiedendo: “Perchè?” me lo sono chiesto anch’io, a suo tempo, fino a quando non ho capito la differenza giuridica esistente tra i termini fini di lucro e trarne profitto.
Giuridicamente ho dei fini di lucro se ricevo del denaro per ciò che faccio per esempio un’azienda senza fini di lucro indica che non vuole guadagnare niente per le sue prestazioni al massimo vuole rientrare delle spese. Con questa dicitura venivano ammesse tutte quelle attività che non avevano a che fare con il denaro: scaricare musica per mettersela in macchina o per regalarla alla fidanzata, scaricarsi un film e vederselo con gli amici ecc. Tutto ciò che non ci faceva guadagnare soldi era ammesso.
Nel 2004 Urbani decide di variare la legge e mettere al posto di “fini di lucro”, “trarne profitto”. Cosa cambia per noi? Per la legge un profitto consiste anche nel mancanto esborso di denaro dovuto al NON aver acquistato un bene. Mi spiego: ti sei scaricato la tua canzone preferita per ascoltartela nel tuo lettore mp3? Hai ottenuto un profitto perchè non hai speso soldi per acquistare la canzone. Non so se ho reso l’idea…l’uso personale è stato deleggitimato e, di fatto, reso illegale.
Con il termine “uso personale” ora la legge indica solo una riproduzione di materiale coperto da diritto d’autore acquistato allo scopo di usarlo in un’altro apparecchio o in un’altra sede. Mi spiego: compro il cd di Cristina D’Avena e ne voglio avere una copia a casa, ma anche una in macchina e una in ufficio. Posso farlo perchè l’ho acquistato.

Detto questo diventa chiaro che scaricare materiale protetto da diritto d’autore è illegale e prevede le pene descritte dalla legge sopracitata: con la reclusione da sei mesi a tre anni e con la multa da euro 2.582 a euro 15.493.

Lo so cosa state pensando: gli assassini e i truffatori dormono sonni tranquilli e il ragazzino che scarica un mp3 di Lady Gaga rischia 15000 euro di multa e 3 anni di galera. Noi comunque, come detto sopra, non vogliamo giudicare (i giudizi li lasciamo ad ognuno di noi) ma solo esporre i fatti.

Ora una piccola spiegazione per il fatto che software come emule, utorrent ecc. non vengono censurati dalla legge. Detto in poche parole: i software non sono illegali perchè non sono creati per mettere in condivisione materiale protetto da diritto d’autore bensì per mettere in condivisione materiale libero. Se gli utenti utilizzano il software per scopi illegali non è colpa degli sviluppatori.
Il concetto è questo: se ho un coltello in mano lo posso usare per tagliare le carote e cucinare o per uccidere. Se lo uso per uccidere la colpa non è di chi ha costruito il coltello ma mia che lo uso male.

Abbiamo finito la nostra disamina sul P2P…ora passiamo al cracking. Stesso metodo, vediamo le leggi:

Articolo 615 Codice penale
Articolo aggiunto dall’art. 4, L. 23 dicembre 1993, n. 547.
e modificata dalla
L. 18 marzo 2008, n. 48

1. L’articolo 615-quinquies del codice penale è sostituito dal seguente:

«Art. 615-quinquies. – (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329».

Art. 5. (Modifiche al titolo XIII del libro secondo del codice penale)

1. L’articolo 635-bis del codice penale è sostituito dal seguente:

«Art. 635-bis. – (Danneggiamento di informazioni, dati e programmi informatici). – Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d’ufficio».

2. Dopo l’articolo 635-bis del codice penale sono inseriti i seguenti:

«Art. 635-ter. – (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). – Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.
Art. 635-quater. – (Danneggiamento di sistemi informatici o telematici). – Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.
Art. 635-quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblica utilità). – Se il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.
Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata».

Detto “a parole nostre” chi: cracca un sistema informatico, diffonde codici di accesso, crea trojan, worm o simili oppure dà false generalità al certificatore di firme elettroniche viene punito con una pena fino a 8 anni (nei casi più gravi) e con circa 10000 euro di multa nel caso distrugga completamente i dati o nel caso sia un “operatore del sistema”.

Da queste leggi si evince che, a dispetto di quello che si nota online dove presunti cracker spuntano fuori come funghi, la legge disciplina in maniera severa chiunque compia azioni del genere. Tutti i grandi hacker infatti, prima o poi, sono stati beccati e sono finiti in galera. Lo stesso Kevin Mitnick stette in gattabuia dal 1995 al 2000.

Alla fine di questo articolo abbiamo capito per filo e per segno cosa è legale e cosa non lo è. Spero di aver sfatato alcuni vostri dubbi e alcune vostre domande.

Segnala presso:

Ping è un programma diffuso praticamente su tutti i sistemi disponibili, si tratta di un’utility di diagnostica che serve per misurare il tempo impiegato tra l’invio di un pacchetto dati e la ricezione della risposta dall’host remoto.

Il comando può essere utilizzato sia in LAN, sia in Internet, ma anche tra due computer collegati con un cavo di rete. E’ utile per capire se due computer “si vedono”, ovvero possono dialogare scambiandosi dati.

In questo esempio mostro l’utilizzo di ping dal mio computer verso il router della mia rete, dove 192.168.1.1 è appunto l’indirizzo del router:

C:\PillolHacking>ping 192.168.1.1
 
Esecuzione di Ping 192.168.1.1 con 32 byte di dati:
 
Risposta da 192.168.1.1: byte=32 durata=5ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=4ms TTL=64
 
Statistiche Ping per 192.168.1.1:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 3ms, Massimo =  5ms, Medio =  3ms

In un altro articolo parlavo di come riuscire a capire, o perlomeno a tentare di indovinare il tipo di sistema operativo del computer remoto analizzando il campo TTL (in questo 64 ci suggerisce che il sistema operativo del router è basato sul kernel Linux).

Questa volta voglio soffermarmi su di un altro aspetto, anzi mi faccio una domanda:come funziona il ping, cosa succede dietro le quinte quando digito questo comando?

Il funzionamento di ping si basa sul protocollo ICMP (Internet Control Message Protocol), un protocollo espressamente ideato per fornire servizi di diagnostica e controllo della rete. La struttura di questo protocollo è abbastanza semplice, infatti ICMP si compone di 4 campi:

1. Tipo
2. Codice
3. Checksum
4. Dati

Particolarmente interessante è il campo Tipo. I tipi possono essere una trentina circa, ma quelli che ci interessano sono 2:

1. Tipo 0: Echo reply
2. Tipo 8: Echo request

Quando digitiamo il comando ping, dopo aver fornito l’indirizzo Ip dell’host da controllare, avvengono le seguenti azioni:

1. Viene inviato un pacchtto dati ICMP di tipo 8 (Echo request) verso l’Ip specificato
2. L’host remoto risponde con un paccheto ICMP di tipo 0 (Echo reply)

Ho catturato la sessione ping riportata sopra con Wireshark, qui sotto possiamo vedere lo scambio di pacchetti ICMP dall’host sorgente (il computer da cui ho impartito il comando) ovvero 192.168.1.6, e il router 192.168.1.1:

ecco la risposta da 192.168.1.1:

Queste immagini evidenziano la parte ICMP del pacchetto dati. La prima immagine mostra l’invio di Echo request  (notare il byte 22 impostato a 8), da 192.168.1.6 verso 192.168.1.1 (i dati relativi agli indirizzi sono inclusi nell’header Ip); La seconda mostra la risposta proveniente da 192.168.1.1, con Echo reply (si vede il byte 22 del segmento ICMP impostato a 0).

Analizzando i pacchetti si nota anche come Windows riempia con caratteri alfabetici (abcdefghjklmnopqrst…) il campo dati da 32 byte. Il pacchetto Echo reply si limita a ricopiare questi 32 byte e rispedirli al mittente.

Spero che questa spiegazione sia riuscita a chiarire alcuni aspetti di ping e del protocollo ICMP. Prossimamente ci addentreremo nei meandri della rete analizzando i protocolli e facendo a pezzi i pacchetti dati con Wireshark e affini.

Segnala presso:

Al momento attuale non esistono patch per chiudere la falla ma Microsoft, che ha confermato il problema, nel security advisory 971492 fornisce alcune contromisure per mitigare la minaccia.

Il bug colpisce il sistema di autenticazione del componente WebDAV (Web-based Distributed Authoring and Versioning), un sistema (non attivo di default) per la gestione,la condivisione e il versionamento di documenti tramite web.

Una errore nella logica del controllo di sicurezza in concomitanza di particolari caratteri unicode, permette a un hacker di accedere a directory protette da password e quindi, uploadare, downloadare files; in particolari condizioni è possibile caricare script backdoor scritti in asp ed eseguirli, ottenendo un accesso remoto, seppur con privilegi limitati.

Sono già apparsi diversi exploit. Esiste anche un interessante video che mostra tutti i possibili attacchi, e le relative configurazioni vulnerabili:

Webdav IIS6 bypass and code execution from Thierry Zoller on Vimeo.

Questa vulnerabilità ha una natura assai curiosa. Si tratta di un errore di programmazione clamoroso, errore che non ci aspetteremmo di trovare in un software di questa portata: eppure c’è. La spiegazione del bug è abbastanza semplice: se nell’url passato al server è presente la sequenza unicode “%c0%af” l’autenticazione viene semplicemente ignorata e l’utente può tranquillamente procedere verso l’area protetta senza necessità di inserire credenziali!

Per quale motivo? Vediamo in sequenza come agisce l’autenticazione:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Il server analizza il percorso e si accorge che la cartella è protetta
4. Viene richiesta la password

Questa è la procedura normale. Se fossimo in grado di alterare la logica del punto 3, facendo credere al server che vogliamo accedere ad una risorsa pubblica, quando in realtà la risorsa è protetta avremmo accesso all’area riservata. Ma come?

Se mettessimo dei caratteri arbitrari aggiuntivi all’url con lo scopo di ingannare il server le cose funzionerebbero solo a metà:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Noi passiamo un url leggermente modificato per aggirare il controllo: /protected@@/protected.zip
4. Il server analizza il percorso e si accorge che la cartella non è protetta
5. Viene effettuata la decodifica unicode. Non ci sono caratteri unicode
6. Il server si accorge che l’indirizzo /protected@@/protected.zip non esiste

Evidentemente non funziona, otteniamo semplicemente un file not found. Ma se invece inserissimo dei caratteri che confondo il server nella prima fase, ma che vengono rimossi prima che venga effettuato l’effettivo recupero della risorsa richiesta avremmo ottenuto l’obiettivo:

1. Esiste un file “protected.zip” in un’area del server accessibile tramite password
2. Il percorso completo è /protected/protected.zip
3. Noi passiamo un url leggermente modificato per aggirare il controllo, utilizzando i caratteri unicode: /protected%c0%afprotected.zip
4. Il server analizza il percorso e si accorge che la cartella non è protetta(!)
5. Viene effettuata la decodifica unicode, “%c0%af” diventa “/”, ovvero “/protected%c0%afprotected.zip” diventa “/protected/protected.zip”
6. Il server recupera la risorsa e ce la consegna senza tante storie

Insomma, il controllo di sicurezza viene effettuato prima della conversione unicode. La codifica unicode maschera il vero url alla funzione di verifica, ma prima del recupero della risorsa l’url viene modificato e riportato all’originale. A questo punto è troppo tardi, la strada è già spianata.

Questo bug ricorda un bug molto più grave che tra il 2000 e il 2001 fece strage tra i server IIS4 e IIS5. Quella volta l’impatto fu molto più grande perché il bug aprì le porte all’esecuzione di comandi da remoto in modo estremamente semplice. Chi all’epoca si occupava di hacking se lo ricorderà molto bene. Questa volta l’impatto dovrebbe essere molto più limitato, considerando che WebDAV deve essere esplicitamente attivato, e per ottenere gli effetti più nefasti si devono verificare diverse condizioni.

Segnala presso:

Il metodo che presento in questo articolo non è universale e non sfrutta una vulnerabilità dei sistemi WPA/WPA2 (o WEP), bensi l’algoritmo di generazione delle key standard.

Terminologia

Per meglio comprendere il contenuto di questo articolo è necessario spiegare il significato di alcuni termini utilizzati in questo documento.

Access Point (AP): E’ il dispositivo che fornisce il servizio wireless, modem/router Wi-Fi.

Key (PSK): E’ la “password” (pre-shared key), la chiave segreta che protegge la comunicazione wireless. In genere è composta da lettere e numeri. E’ il segreto condiviso tra Access Point e PC.

ISP: Internet Service Provide, chi fornisce la connettività Internet. Fornisce il modem per collegarsi alla rete che nel caso preso in esame diffonde anche il segnale Wi-Fi (AP).

Mac Address: Media Access Control, è l’identificatore univoco di una scheda di rete. Ogni interfaccia di rete wireless o ethernet che sia (ma anche altri tipi, vedi bluetooh) ha un Mac Address. Il Mac Address è formato da sei byte rappresentati in formato esadecimale (12-34-56-78-9A-BC-DE); i primi tre byte identificano il costruttore, gli altri tre sono univoci per dispositivo.

Serial (S/N): E’ un codice che identifica in modo univoco un apparato, nel nostro caso il router/modem fornito dall’ISP.

SSID: Service Set Identifier, è il nome di una rete Wi-Fi.

Il Problema

Quando sottoscriviamo un contratto con un ISP ci viene fornito un modem. In genere il modem viene ha in dotazione un CD; sulla confezione del cd o sotto l’apparato stesso c’è un adesivo con dei parametri. Uno di questi parametri (key) è la chiave WPA/WPA2 che dobbiamo inserire nella configurazione del nostro computer per poter accedere al servizio Wi-Fi. E’ l’unica informazione che dovrebbe essere segreta. Gli altri tre parametri sono ininfluenti. Anzi, dovrebbero essere ininfluenti.

Il problema risiede nel fatto che le chiavi segrete di default sono generate con un algoritmo.
E’ stato osservato da alcuni ricercatori che esistono casi in cui i parametri dell’algoritmo sono presi dal Mac Address, dal Serial o dal SSID; peggio ancora, spesso il SSID e il Serial discendono direttamente dal Mac Address. Questo significa che ottenendo il SSID e il Mac Address, o anche soltanto uno di questi due valori, effettuando il reverse engineering dell’algoritmo è possibile ottenere le key di dafault di tutti i modem di un particolare modello!
Se si pensa che gli ISP distribuiscono migliaia di modem dello stesso modello e considerando inoltre che probabilmente tutti i costruttori di modem adottano meccanismi simili per la generazione delle key standard; aggiungiamo il fatto che l’utente medio difficilmente cambierà la key standard otteniamo il risultato che probabilmente gran parte dei modem Wi-Fi distribuiti dagli ISP in tutto il mondo sono vulnerabili a questo problema.

La Ricerca

La mia ricerca è iniziata leggendo un documento scritto da Muris Kurgas, un hacker montenegrino, il quale ha scoperto ed ha effettuato il reverse engineering dell’algoritmo di generazione della key standard del modem Pirelli Discus DRG225, molto diffuso nel suo Paese.
La sua analisi era iniziata cercando vulnerabilità nei router/modem Thomson SpeedTouch e trovando appunto uno studio su questo genere di problema.

Ispirandomi a queste ricerche ho deciso di effettuare il reverse engineering dell’algoritmo di generazione della key standard del mio modem/router Telsey distribuito da Fastweb. Nonostante avessi a disposizione solo i parametri del mio apparato, non avendo quindi la possibilità di incrociare i risutalti con altri dati, a differenza di Muris Kurgas che aveva i dati di diversi modem, sono riuscito a ricostruire la logica dell’algoritmo, gettando le basi per la realizzazione di un generatore universale di key dei modem attualmente distribuiti da Fastweb.

Da precisare che i modem Telsey di qualche anno fa apparentemente hanno una logica ancora più semplice. Infatti, utilizzando delle combinazioni di Fastweb/Telsey SSID, Mac e Serial di modem pubblicati su Internet, ho notato che la procedura di generazione del Serial è molto più semplice e diversa da quella descritta in questo articolo.

Dal SSID al Serial

Nella mia ricerca mi sono ispirato ai lavori citati prima sui modem Pireli e Thomson. In entrambi casi ho notato che:

1. Il SSID è derivato dal Mac Address
2. Il Serial è derivato dal SSID (e quindi in qualche modo dal Mac Address)
3. La key (PSK) è derivata dal Serial Number (S/N)

Questo significa che conoscendo il Mac Address (dato pubblico e facilmente ottenibile) si può risalire alla key segreta.

Così ho deciso di iniziare la mia caccia cercando di capire se c’era un legame tra SSID/Mac e Serial anche in questo caso.

I dati di cui ho a disposizione sono i dati del modem che mi ha fornito Fastweb:

SSID: FASTWEB-1-00036F8E42BC
Mac:  00-03-6F-8E-42-BC
S/N:  00776934
PSK:  7fcee0998a

Il mio obiettivo è trovare un algoritmo in grado di generare la PSK partendo dal SSID. Trovare questo algoritmo significa ottenere le key di tutti gli apparati Telsey di questo modello.

E’ subito evidente che il SSID è il Mac Address al quale è stato aggiunta all’inizio la stringa “FASTWEB-1-”.

Per prima cosa ho deciso di capire se il Serial fosse direttamente collegato al Mac effettuando una semplice conversione numerica, cosa che si verificava nei vecchi modelli Telsey.
Infatti fino a qualche tempo fa i Serial dei modem Telsey erano la versione decimale delle ultime sei cifre decimali del Mac:

Ultime sei cifre del mio Mac: 8E42BC
Versione decimale: 9323196

E qui la prima delusione: il risultato è diverso dal previsto, infatti il mio Serial è 00776934.
Lo sconforto dura poco perchè mi sorge un sospetto: le prime 3 cifre del risultato ottenuto (932) non sono molto diverse dalle ultime 3 cifre del mio Serial (934). Decido che non si tratta di una coincidenza, ma di un segno che la pista è buona e devo continuare a batterla.
Giocando con il Mac Address mi accorgo che se invece delle ultime 6 cifre, prendo in considerazione e converto le ultime 5 (E42BC) da esadecimale a decimale ottengo 934588.
Inizia a sorgermi il dubbio che il Serial sia formato da due valori di 3 cifre e con l’aggiunta degli 0 davanti. Se fosse così avrei già la seconda parte del Serial (934). Ma la prima parte (776) da dove esce? Se inverto applico il metodo appena illustrato a 934588 ottengo 588934:

$E42BC  -> 934588 -> 934 588 -> 588 934 -> 00588934

Ricordo che il mio primo obiettivo è ottenere il Serial che nel mio caso è 00776934. Se la mia intuizione è giusta, ovvero se il Serial è formato da due sequenze di 3 cifre, sequenze che sarebbero l’inversione di un unico numero, per ottenere il Serial corretto manca ancora un’operazione. La seconda parte è giusta, la prima invece è diversa: ho ottenuto 588 ma mi aspettavo 776.
Qual’è la differenza tra i due numeri? 776-588=188. Non mi dice nulla. Ma convertendo questo numero in esadecimale ottengo $BC: ovvero l’ultimo byte del Mac Address, che ricordo è 00-03-6F-8E-42-BC.

La pista era giusta. Anche in questo caso il Serial deriva dal Mac Address.
Per ottenere il Serial si prendono le ultime 5 cifre esadecimali del Mac e si sommano le ultime 2 cifre esadecimali del Mac stesso. Il risultato viene spezzato in due parti composte da 3 cifre e le due parti vengono scambiate di posizione:

$E42BC = 934588
934588+188($BC) = 934776

934776 -> 934 776 ->  776 934 -> 00776934

La prima parte della missione è compiuta. Ho dimostrato che anche in questo caso il Serial deriva dal Mac Address. Se riuscirò anche nella seconda parte, ovvero la parte che conduce dal Serial alla key l’obiettivo sarà centrato.

Dal Serial alla Key

Ora so che c’è un legame tra SSID, Mac e Serial. Esiste un legame tra questi valori e la key (PSK)? Se si, quale? Nel caso dei Pirelli Discus analizzati da Muris Kurgas la key coincideva col Serial; nei Thomson SpeedTouch parte del SSID e la key derivano dall’elaborazione tramite hash sha1 del Serial.
Non sapendo bene da dove partire effettuo un po’ di conversioni numeriche, e semplici operazioni di sottrazione, per cercare una traccia operando in modo simile al procedimento utilizzato per giungere al Serial. Purtroppo non ottengo nulla che mi sembri utile. Sono in un vicolo cieco.

Decido di ripartire dalla key: 7fcee0998a. Cosa dice questo codice? Dieci cifre, esadecimali. Pare non abbiano un rapporto diretto riconoscibile col Mac e neppure col Serial. Potrebbero essere estratti da un md5 o da un sha1 come nel caso del Thomson. Ripensando anche alla logica fin qui usata dai programmatori, la key potrebbe essere composta da due semi-key di 5 cifre, ovvero 7fcee  e 0998a. A loro volta questi semi-key potrebbero essere frammenti (l’inizio o la fine) del risultato di un’operazione hash. Decido di seguire questa pista.
Creo delle tabelle di hash md5 e sha1 basate sulla progressione di numeri a partire da 934588, ovvero la versione decimale delle ultime 5 cifre del Mac, numero utilizzato prima per trovare il Serial. Una volta create queste tabelle cerco i frammenti di semi-key: 7fcee e 0998a.

Trovo il primo valore, si tratta dell’md5 si 936205:
936205 -> 2c916640d3b87a6aed4e443d9387fcee

le ultime 5 cifre corrispondo alla semi-key. La distanza tra il valore trovato (936205) e l’origine 934588 è 1617. Non mi dice molto. Più tardi mi accorgerò che con maggior lucidità e freddezza avrei raggiunto (quasi) l’obiettivo senza l’ausilio poco elegante delle tabelle di hash: alla fine un volgare brute-force…

Poco dopo trovo l’altra metà della key:
939674 023292804e3088ed5e6d2995f0998ac0

All’inizio trovo sconfortante il risultato: non mi convince il fatto che non si tratti degli ultimi 5 caratteri ma degli ultimi 7, con ‘c0′ che viene eliminato. A mettermi di buon umore però è la distanza tra i due numeri:

939674 - 936205 = 3469

A prima vista il numero 3469 non dice nulla; ma se andiamo  a guardare il Serial (00776934) ci accorgiamo che si tratta ancora una volta del giochetto dello scambio delle sequenze:

00776934 -> 6934 -> 69 34 -> 3469

Ho scoperto dunque che la key è formata da frammenti di md5; i due frammenti sono ottenuti estraendoli dalle ultime 5 e 7 cifre dell’md5, e che i due valori originali da cui derivano gli md5 sono “distanti” 3469 unità, ovvero un numero direttamente riconducibile al Serial.
A questo punto però manca ancora un elemento: da dove esce il numero 1617, che separa il numero derivato dal Mac (934588) dal primo (e come abbiamo visto di conseguenza il secondo) valore utilizzato per generare la key?

A Volte i Conti non Tornano…

La risposta è: non lo so! O meglio, lo so, anche se non con precisione. Andiamo per gradi.
Per scoprire gli hash che danno origine alla key ho fatto ricorso ad un brute force. Ho così trovato un numero misterioso (1617) che è poi la chiave di tutta la faccenda, il valore incognito che permette di arrivare dal Mac alla key. Da dove esce questo numero? Dalla aritmetica modulare, assai utilizzata in crittografia.

Se prendo il numero 934776 (vedi sopra) e applico il modulo 3469 (che abbiamo appena visto) ottengo come risultato 1615; come ricorderete il numero che mi aspettavo di trovare è 1617.

934776 mod 3469 = 1615 (Non 1617 ???)

Qui c’è la discrepanza che non sono riuscito a risolvere, se non stabilendo che i programmatori hanno deciso di aggiungere un valore costante di 2 al risultato dell’operazione di modulo, spiegazione che non mi convince molto.
Per risolvere la questione mi servirebbero altri dati completi (SSID, Mac, Serial e key) per poter incrociare i risultati. Già così però ritengo di essere giunto a buon punto.

Considerazioni Finali

Partendo dalla ricerca di un hacker montenegrino che ha scoperto come risalire alla key standard di un modem Wi-Fi diffuso nel suo Paese ricostruendo l’algoritmo di generazione della key stessa. Ho deciso di fare lo stesso sull’apparato che il mio ISP mi ha dato in dotazione. Seppur l’esito finale presenti una lieva anomalia, sono riuscito a dimostrare la dipendenza del Serial Number dal SSID (e dal Mac). Con una maggior quantità di dati da analizzare sarebbe probabilmente possibile superare anche l’anomalia e creare uno script per implementare l’algoritmo di generazione delle key. La stessa cosa può essere fatta su qualsiasi altro modello di modem attualmente in circolazione.

La contromisura a questo attacco è banale: non utilizzare mai le key e le password di dafault. Il problema però è: in quanti lo fanno? E quanti hanno la percezione del rischio che corrono se non modificano le key e le password standard?

Segnala presso:

Il primo caso clamoroso risale al 2003 e passò alla storia come operazione Titan Rain. Da allora il canovaccio si ripete ciclicamente, come una leggenda metropolitana. Gli elementi sono quasi sempre gli stessi: le vittime (ministeri, industrie strategiche, personalità politiche e diplomatiche); gli attacchi provengo quasi sempre dalla Cina, ma non si riesce mai a capire se in qualche modo gli hacker siano sostenuti dall’intelligence locale, o se si tratti di bande criminali autonome.  Non si sa neppure con certezza se gli autori siano cinesi.

GhostNet

La storia è tornata nelle ultime settimane. Il report di un gruppo di investigatori canadesi ha portato alla luce una rete di spionaggio cinese, con obiettivo principale il Dalai Lama, organizzazioni per il Tibet libero, e altre istituzionii e ambasciate sparse per il mondo.
A questa organizzazione è stato dato l’intrigante nome “GhostNet”.

Ho letto il report, intitolato “Tracking GhostNet: Investigating a Cyber Espionage Network”, e voglio condividere una sintesi del contenuto con chi interessato all’argomento, non avesse tempo/voglia di leggersi l’originale in inglese.

L’investigazione copre un lasso di tempo compreso tra Giugno 2008 e Marzo 2009. L’attività è stata condotta in due fasi: sul campo, con l’acquisizione di dati dalle macchine compromesse; quindi in laboratorio, dove sono stati analizzati i dati ed elaborata un’analisi.

Gli investigatori hanno portato alla luce una rete di 1295 computer infetti in 103 Paesi in tutto il mondo. Solo il 30% di queste macchine può essere considerato di alto profilo e ricondotto ad ambasciate o organizzazioni politiche. Tra gli obiettivi sensibili colpiti risaltano ministeri degli esteri di Iran e Indonesia, ambasciate (India, Corea del Sud, Germania), agenzie stampa, sistemi non classificati nel quartier generale NATO.
Uno degli obiettivi più colpiti sembra essere l’ufficio privato del Dalai Lama e altri uffici tibetani.

L’utente ha l’anello (debole) al naso

Dall’analisi si evidenzia che la rete GhostNet ricalca lo schema della botnet, ovvero una serie di computer infetti (droni) comandati da sistemi centralizzati di comando e controllo (C&C).

I malware si infiltrano nei sistemi tramite vettori di infezione,  in genere sfruttando bug per eseguire codice sul sistema target, o tramite azioni di social-engineering. Nel caso di GhostNet l’attacco è combinato. Infatti questa rete sfrutta un vecchio bug (2006) per Microsoft Word, bug che viene impiegato tramite exploit infiltrato nella posta elettronica o in un link in una pagina web.

Le fasi di infezione di GhostNet sono le seguenti:

1. Un’email contenente il malware sotto forma di allegato (documento doc) o di link viene inviata al target.

2. L’email sembra provenire da un mittente affidabile (campaings@freetibet.org) per indurre l’utente ad aprire l’allegato o seguire il link (social-engineering)

3. L’utente apre l’allegato e il malware si attiva, in modo del tutto trasparente.

Le black-list sono amiche dei black-hat, ovvero: gli anti-virus sono inutili?

Il malware recuperato dalle macchine infette è stato riconosciuto soltanto dal 30% degli AV engine di VirusTotal. Considerando che il malware era piuttosto vecchio (2006), questo dato mette ulteriormente in risalto la debolezza del modello di sicurezza basato sulle black-list, attualmente utilizzato dagli antivirus.

Una volta che il malware si è impadronito della macchina, il PC stesso “chiama a casa” e si mette in collegamento con i server di C&C. Gli investigatori hanno trovato 4 server di comando e controllo. La cosa sorprendente è che le interfacce non erano minimamente protette, nessuna autenticazione, nessuna crittografia. Chiunque, conoscendo l’esatto url dell’interfaccia, avrebbe potuto accedere al pannello e comandare la botnet! Esempio disarmante di “security by obscurity”.

Comando, Controllo e il sorcio fantasma

I droni dialogavano con il C&C tramite HTTP. Questo per due motivi: eludere eventuali restrizioni di firewall e/o router, e nascondersi nel marasma di traffico web convenzionale.
Due erano i canali utilizzati: il primo basato su script php veniva utilizzato per impartire comandi in modo asincrono e per raccogliere informazioni di stato del drone e informazioni di base sul sistema infettato (Ip, nome, dettagli tecnici). L’altro canale, basato su CGI veniva utilizzato, secondo gli investigatori, per trafugare documenti sensibili. Ma gli stessi investigatori hanno precisato che non sono in grado di stabilire se e quali informazioni sensibili sarebbero state trafugate tramite questo canale.

Il botmaster poteva impartire comandi ai singoli droni. Per esempio poteva forzare il download e l’esecuzione di trojan. In particolare veniva utilizzato il trojan “gh0st RAT”, (Remote Administration Tool), programma open-source di origine cinese, tradotto anche in lingua inglese.
Il “gh0st RAT” metteva a disposizione degli hackers i classici comandi di questo genere di strumenti: accesso al file-system, keylogging, gestione del sistema, sorveglianza audio/video. Si trattava di uno strumento in grado di spiare le attività delle vittime.

L’arte dell’inganno

L’analisi si conclude con alcune considerazioni: la dimensioni (ridotte) della rete e il tipo di obiettivi (alto profilo) sono anomale. In genere le botnet puntato alla quantità e sparano nel mucchio. In questo caso l’operazione sembra mirata. Rimane una domanda: chi sono gli autori?

Alla domanda non c’è una risposta. Il fatto che la maggior parte (ma non tutti, uno era situato negli USA) dei server C&C fossero in Cina non significa che:

Anzi, la scelta di utilizzare computer potrebbe essere una deliberata mossa strategica di depistaggio. Inoltre è vero che molti computer infettati erano di alto profilo e in qualche modo collegati alla vicenda tibetano; ma è anche vero che oltre il 60% dei sistemi controllati da GhostNet erano anonimi computer, in nessun modo riconducibili a dati sensibili o di alto profilo.

I media hanno posto l’accento sul coinvolgimento della Cina, coinvolgimento che seppur sospettato è lungi dall’essere dimostrato.

Pirati fai-da-te?

Concludo con alcune constatazioni che mi lasciano perplesso. Per prima cosa, il tipo di attacco. I vettori di infezione erano exploit assai datati (2006). L’attacco è andato a segno contro sistemi particolarmente deboli (non aggiornati, probabilmente privi di personal firewall); minime precauzioni avrebbero limitato o addirittura neutralizzato la minaccia all’origine.

Inoltre, i mezzi e le tecniche utilizzate rivelano che l’organizzazione è molto lontana dallo stato dell’arte dello spionaggio cibernetico. La totale assenza di meccanismi di autenticazione sul pannello di controllo di C&C e la totale mancanza di protezione delle comunicazioni sono indicatori che dimostrano in  modo  inequivocabile questo dato.

E’ certo che gruppi di potere occulto hanno capacità ben maggiori. Ma anche senza insistere troppo con la dietrologia, è noto che esistono gruppi di hacker attivisti o semplici geek in grado di architettare sistemi ben più potenti e sofisticati, si pensi per esempio a Conficker, worm che nelle sue ultime varianti implementa avanzate tecniche crittografiche, e al suo team di sviluppo, che dimostra abilità e competenza non indifferenti.

Segnala presso:

Per chi fosse interessato a questo genere di articoli può controllare anche Anatomia di un Exploit e Cosa sono gli Zero Day?

Una botnet è una rete di computer sotto il controllo di un botnet master. Si articola in due componenti, la rete di computer infettati detti zombie o droni, e un pannello di controllo (Comando e Controllo, C&C) dove il botnet master può controllare tutti i computer contemporaneamente.

Altro vantaggio del C&C è che il botnet master non si deve collegare direttamente ai droni. L’unità di C&C funge da mediatore tra il botnet master e la botnet, aggiungendo uno strato di anonimato tra i droni e il botnet master. Botnet master che si collegherà al C&C tramite Tor, Proxy o altro metodo di anonimato. Come si può capire, risalire al proprietario di una botnet è assai arduo.

Vediamo in dettaglio i componenti di una botnet, i metodi di C&C, lo scopo e come nascono le botnet:

• Unità di Comando e Controllo (C&C). E’ un’interfaccia dalla quale il botnet master può lanciare comandi e ottenere informazioni sui droni. Da questa piattaforma centralizzata si controlla tutta la botnet. Il botnet master diventa il generale di un’armata assolutamente obbediente ed efficace.

• Zombie (o Droni). Sono i computer infettati. Ignari utenti consegnano involontariamente i propri PC ai botnet master. I PC così “arruolati” diventano soldati di un esercito ordinato e obbediente, in grado di portare a termine attività come attacchi (DDoS) o spionaggio (Keylogging).

L’Unità di Comando e Controllo può assumere diverse forme, ma le incarnazioni tipiche sono:

• Irc, Internet Relay Chat: è la forma più classica di interfaccia di controllo, la più antica forma di chat online, la più amata dagli hacker. Immaginate una chatroom con migliaia di utenti, che in realtà non sono utenti ma droni. Un comando scritto nella chat dal botnet master ottiene l’immediata mobilitazione di migliaia di zombi.

• Http: variante un po’ più scomoda di Irc ma con il vantaggio che in genere l’Http non viene filtrato dai firewall. In questo caso il botnet master si trova di fronte ad una pagina web (o meglio, una web application) dov’è in grado di controllare tutti gli aspetti della botnet e di ordinare attacchi, esattamente come nella chat Irc.

A cosa serve una botnet? Vediamo:

• Spam: i milioni di messaggi giornalieri che quotidianamente inondano Internet partono da droni.

• Proxy: le botnet possono essere utilizzate come piattaforme di bouncing tattico, utili per far rimbalzare le connessioni attraverso diversi droni prima di giungere sull’obiettivo. Rintracciare l’origine di un’intrusione dirottata attraverso questi nodi diventa un lavoro praticamente impossibile.

• Keylogger: I droni possono essere utilizzati per spiare le attività degli utenti. Documenti sensibili, dati finanziari, account di e-banking.

• DDoS: insieme allo spam l’attività principale di una botnet. Dall’interfacci di C&C il botnet master è in grado, con un solo comando, di scatenare migliaia di droni contro un singolo computer con il risultato di paralizzarne l’attività.

Come si forma, si sviluppa e si diffonde una botnet? Tramite worm:

• Per sua natura il worm è lo strumento utilizzato per formare una botnet. In genere un worm utilizza un vettore di infezione ad alta penetrazione come per esempio i bug dei servizi RPC di Windows, ma tenta anche strade più banali come l’invasione delle risorse condivise o semplici attacchi a dizionario contro condivisioni protette da password deboli. Una volta portata a termine l’infezione il computer viene trasformato indrone e passa sotto il controllo del botnet master. I worm possono anche essere piuttosto sofisticati, e possono utilizzare tecniche crittografiche per le comunicazioni con il C&C; possono auto-aggiornarsi con versioni più potenti e penetranti. Inoltre ilworm utilizza autonomamente il drone per scandagliare la rete in cerca di altre vittime da aggregare alla botnet.

Abbiamo visto come un botnet master controlli migliaia di computer infettati (droni) con una semplice interfaccia (C&C), interfaccia che gli garantisce anche un discreto livello di anonimato. Con questi strumenti egli è in grado di effettuare qualsiasi attività illecita possibile in rete. La formazione e diffusione di botnet è affidata ai worm, che si propagano autonomamente, infettano computer e li consegnano al botmaster.

Per sua natura una botnet è un’entità assai dinamica e volatile: ogni giorno nuovi droni si aggiungono, ma altri si perdono.

Le attività delle botnet sono monitorare da centrali di controspionaggio informatico (honeypot), che raccolgono intelligence sull’attività di queste “armi” digitali e tentano di fornire alle forze di contrasto le informazioni utili per poter neutralizzare la minaccia.

Gli utenti possono dare una mano al contrasto delle botnet con poche semplici azioni, come utilizzare un personal firewall e tenere aggiornati i propri PC.

Segnala presso: