Anno V, V, n.ro 3 (24) • Periodicità Bimestrale
I N F O R M A T I C A
PC Guide V i
d
e
E 7,70
F A C I L E
1° GIORNO
S U L C D
Chi sono gli Hacker?
4 4 0
E O L T R A R E S O F W
Non confondere Hacker e Cracker Come difendersi - Aspetti legali
2° GIORNO Rete: luogo di attacco
o
Com’è fatta una rete - Siti fantasma Individuare il bersaglio: Neotrace Trovare il numero di porta: portscan
3° GIORNO
Tipologie di attacco
IL MONDO DEGLI
HACKER La guida pratica per difendersi dai pirati informatici imparando dalle loro tecniche di attacco
Danni limitati: e-mail anonime - I Nuke Danni di media portata: Il File System - Sproteggere programmi Intercettazioni di rete wireless Virus - Lo Sniffing Danni gravi: Sproteggere programmi IP Spoof Spoofing ing - Attacchi Attacchi DoS Lo Smurf - Attacchi DDoS
4° GIORNO
Metodi di attacco di base
Come fanno i pirati a: E-mail anonime - Resettare Windows
5° GIORNO
Metodi di attacco di medio livello
Come fanno i pirati a: Sproteggere programmi - Creare virus Crackare password di posta Sfruttare i buchi IIS - Intercettare reti wireless
Metodi di attacco di alto livello Come fanno i pirati a: Sproteggere programmi Effettuare lo Spoofing - Creare Trojan Effettuare attacchi DoS
6° GIORNO
Come difendersi
Precauzioni contro i danni limitati: E-mail anonime: metodi di difesa PGP e la crittografia della posta elettronica I Nuke: metodi di difesa Precauzioni contro i danni di media portata: Quale sistema operativo per essere sicuri? Intercettazioni wireless: metodo di difesa Antivirus, Symantec Norton Antivirus 2003 Avast! Buchi di IIS: metodo di difesa Lo sniffing: metodo di difesa Precauzioni contro i danni gravi: IP Spoofi Spoofing: ng: metodi di difesa difesa HTTPS e siti sicuri Che cos'è un firewall e a cosa serve? ZoneAlarm - Attacchi DoS: metodi di difesa Lo Smurf: metodi di difesa
7° GIORNO
Risorse dal Web
Siti consigliati: Documentazione - Storia dell’Hacking Phreacking - Sicurezza - Come difendersi Il software sul CD: Antivirus - Firewall - Diagnostica della rete Sicurezza - E-mail - Difesa - Attacco
Anno V N.ro 3 (24) - Periodici Periodicità tà bimestral bimestrale e Reg. Trib. di CS n.ro 620 del 17 settembre 1998 - Codice ISSN 1592-8845 e-mail:
[email protected] - www.edmaster.it/pcvideoguide
Direttore Editoriale: Massimo Sesti Direttore Responsabile: Vincenzo De Napoli Realizzato da: Studio Infolab Informatica Responsabile Marketing: Antonio Meduri Responsabili Editoriale: Gianmarco Bruni Redazione: Carmelo Ramundo Collaboratori: Maurizio Barbato Segreteria di redazione: Ve Veronica ronica Longo
REALIZZAZIONE GRAFICA CROMATIKA S.r.l.
Responsabile Grafico: Paolo Cristiano Coord. Tecnico: Giancarlo Sicilia Impaginazione elettronica: Nuccia Marra Certificato UNI EN ISO 14001 N. 9191 CRMT
“Rispettare l’uomo e l’ambiente in cui esso vive e lavora è una parte di tutto ciò che facciamo e di ogni decisione che prendiamo per assicurare che le nostre operazioni siano basate sul continuo miglioramento delle performance ambientali e sulla prevenzione dell’inquinamento”
PUBBLICITÀ - Via Cesare Correnti, 1 - 20123 Milano Tel. 02 8321612 - Fax 02 8321754 - e-mail: advertising@edmaster e-mail:
[email protected] .it Coordinamento vendite: Digitstaff s.l. Agenti di Vendita: Cornelio Morari, Serenella Scarpa Segreteria Ufficio Vendite: Daisy Zonato Edizioni Master
EDITORE EDIZIONI MASTER S.R.L. Sede di Milano: Via Cesare Correnti, 1 - 20123 Milano - Tel. 02 8321482 Fax 02 8321699 Sede di Rende: C.da Lecco N 64 - Zona industriale Amministratore Amministra tore Unico: Unico: Massimo Sesti °
ARRETRA ARRE TRATI TI Costo arretrati (a copia): il doppio del prezzo di copertina + C 5,32 spese (spedizione con corriere) (Prima di inviare i pagamenti, verificare la disponibilit disponibilità à delle copie arretrate al num. Telef. 028321482) La richiesta contenente i Vs. dati anagrafici e il nome della rivista, dovr à essere inviata via fax al num. 028321699, oppure via posta a EDIZIONI MASTER S.r.l. via Cesare Correnti, 1 - 20123 Milano, dopo avere effettuato il pagamento, secondo le modalità modalità di seguito elencate: • cc/p n.16821878 o vaglia postale (inviando copia della ricevuta del versamento insieme alla richiesta); • assegno bancario non trasferibile (da inviarsi in busta chiusa insieme alla richiesta); • carta di credito, circuito VISA, CARTASI’ CARTASI’, MASTERCARD/EUROCARD, (inviando la Vs. autorizzazione, il numero della carta, la data di scadenza e la Vs. sottoscrizione insieme alla richiesta). SOSTITUZIONE CD-ROM: Inviare il CD-Rom difettoso in busta chiusa a: Edizioni Master - Servizio Clienti - Via Cesare Correnti, 1 - 20123 Milano
[email protected] ASSISTENZ ASSIS TENZA A TECNI TECNICA: CA: e-mail:
[email protected] Servizio abbonati "
@
tel. 02 8321 8321482 482 e-mail:
[email protected]
AGEM-- SS 640 Caltanisse Caltanissetta tta Stampa rivista: AGEM Stampa CD-Rom: Multimedia Press - C.da Molina - Orsomarso (CS) Distributore Distributor e esclusivo per l’Italia: Parrini & C. s.p.a. - Via Vitorchiaro, 81 - Roma Finito di stampare Maggio 2003 EDIZIONI EDIZ IONI MASTER edita: Idea Web, Go!OnLine Internet Magazine, Win Magazine, Quale Computer, DVD Magazine, Office Magazine, ioProgrammo, Linux Magazine, Discovery DVD, Softline Software World,
, MPC, Computer Games Gold, inDVD, I Fantastici CD-Rom, I Corsi di Win Magazine, PC VideoGuide, Le Collection. Nessuna parte del prodotto può può essere in alcun modo riprodotta senza autorizzazione scritta della Edizioni Master. Manoscritti e foto originali, anche se non pubblicati, non si restituiscono. I contributi editoriali (di qualsiasi tipo), anche se non utilizzati, non si restituiscono. Non si assume alcuna responsabilità responsabilit à per eventuali errori od omissioni di qualunque tipo. Nom i e marchi protetti sono citati senza indicare i relativi brevetti. La Edizioni Master non si assume alcuna responsabilit à per danni o altro derivanti da virus informatici non riconosciuti dagli antivirus ufficiali all’ all ’atto della masterizzazione del supporto.
www.itportal.it
I N F O R M A T I C A
F A C I L E
P C Guide V i
d
e
o
Il mondo degli
HACKER
6
Il mondo degli Hacker in 7 giorni
Sommario GUIDA AL CD-ROM Introduzione . . . . . . . . . . . . . . . . . . . . . . . pag. 10 Utilizza della videoguida . . . . . . . . . . . . . “ 13
Danni di media portata
. . . . . . . . . . . . .pag.
33
Il File System . . . . . . . . . . . . . . . . . . . . . . . . “ 33 FAT 16/32 . . . . . . . . . . . . . . . . . . . . . . . . . . . “ 33 NTFS e vari f ile system con dirit ti . . . . . . “ 34 Sproteggere programmi . . . . . . . . . . . . . . “ 34
1° GIORNO:
Intercettazioni di rete wireless . . . . . . . . . “ 35
CHI SONO GLI HACKERS? Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . Non confondere Hackers e Crackers . . Cosa possono fare? . . . . . . . . . . . . . . . . . . Esempi storici . . . . . . . . . . . . . . . . . . . . . . . . Come difendersi . . . . . . . . . . . . . . . . . . . . . Aspetti legali . . . . . . . . . . . . . . . . . . . . . . . .
Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ 36
“ “ “ “ “ “
16
Tipi di virus . . . . . . . . . . . . . . . . . . . . . . . . . “ 36
16
I buchi di IIS . . . . . . . . . . . . . . . . . . . . . . . . “ 38
17
Lo Sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . “ 38
17 18 18
2° GIORNO:
RETE: LUOGO DI ATTACCO Una panoramica . . . . . . . . . . . . . . . . . . . . . Com’è fatta una rete . . . . . . . . . . . . . . . . . Gli indirizzi IP . . . . . . . . . . . . . . . . . . . . . . . . Siti fantasma . . . . . . . . . . . . . . . . . . . . . . . . Siti “particolari” . . . . . . . . . . . . . . . . . . . . . . Http o Ftp? . . . . . . . . . . . . . . . . . . . . . . . . . . Individuare il bersaglio: Neotrace . . . . . Trovare il numero di porta: Portscan . .
“ “ “ “ “ “ “ “
24
Danni gravi . . . . . . . . . . . . . . . . . . . . . . . . . . “ Sproteggere programmi . . . . . . . . . . . . . . “ IP Spoof ing . . . . . . . . . . . . . . . . . . . . . . . . . “ DNS Spoofing . . . . . . . . . . . . . . . . . . . . . . . “ Attacchi DoS . . . . . . . . . . . . . . . . . . . . . . . . “ Lo Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Attacchi DDoS . . . . . . . . . . . . . . . . . . . . . . “
39 39 39 39 40 40 40
25 26
4° GIORNO:
27
METODI DI ATTACCO DI BASE Come fanno i pirati a:
28 28 28 30
Mandare una mail anonima . . . . . . . . . . “ 41 Mandare mail camuf fate . . . . . . . . . . . . . “ 46 Resett are Windows . . . . . . . . . . . . . . . . . . “ 46 Kickare da Chat . . . . . . . . . . . . . . . . . . . . . “ 47
3° GIORNO:
TIPOLOGIE DI ATTACCO Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . “ 32
Danni limitati . . . . . . . . . . . . . . . . . . . . . . . . “ e-mail anonime . . . . . . . . . . . . . . . . . . . . . “ e-mail camuf fate . . . . . . . . . . . . . . . . . . . . “ I Nuke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Nuke da chat . . . . . . . . . . . . . . . . . . . . . . . “
32 32 32 32 33
5° GIORNO:
METODI DI ATTACCO DI MEDIO E ALTO LIVELLO Metodi di attacco di medio livello . . . . “ 50 Come fanno i pirati a: Sproteggere programmi . . . . . . . . . . . . . . “ 50 Crackare password di posta . . . . . . . . . . . “ 51
7
Sommario
Creare virus . . . . . . . . . . . . . . . . . . . . . . .pag. 51
Firewall Hardware . . . . . . . . . . . . . . . . . .pag. 80
Sfrut tare i buchi IIS . . . . . . . . . . . . . . . . . . “ 52
Att acchi DoS: metodi di difesa . . . . . . . . . “ 80
Effett uare lo Sniffing . . . . . . . . . . . . . . . . . “ 53
Lo Smurf: metodi di difesa . . . . . . . . . . . . “ 80
Int ercettare reti wireless . . . . . . . . . . . . . . “ 53
Att acchi DDoS: metodi di difesa . . . . . . . “ 80
Metodi di attacco di alto livello . . . . . . “ Come fanno i pirati a: Sproteggere programmi . . . . . . . . . . . . . . “ Effett uare lo Spoofing . . . . . . . . . . . . . . . . “ Creare Trojan . . . . . . . . . . . . . . . . . . . . . . . . “ Effett uare attacchi DoS . . . . . . . . . . . . . . . “ Effett uare attacchi DDoS . . . . . . . . . . . . . “
54 54 55 56 57 58
6° GIORNO:
COME DIFENDERSI Precauzioni contro i danni limitati . . . . “ 50 E-mail anonime: metodi di difesa . . . . . . “ 50 E-mail camuff ate: metodi di difesa . . . . “ 50 PGP e la crittografia della posta elettronica “ 50 I Nuke: metodi di difesa . . . . . . . . . . . . . . “ 66
Precauzioni contro i danni di media portata . . . . . . . . . . . . . . . . . “ Quale Sistema Operativo per essere sicuri? “ Sproteggere i programmi: metodi di difesa “ Intercettazioni wireless: metodo di difesa “ Virus: metodi di difesa . . . . . . . . . . . . . . . . “ Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Symantec Norton Antivirus 2003 . . . . . . “ Avast! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Buchi di IIS: metodo di difesa . . . . . . . . . “ Lo snif fing: metodo di difesa . . . . . . . . . . “ Precauzioni contro i danni gravi . . . . . . “ Sproteggere i programmi: metodi di difesa “ IP Spoofing: metodi di dif esa . . . . . . . . . . “ DNS Spoofing: metodi di difesa . . . . . . . . “ HTTPS e siti sicuri . . . . . . . . . . . . . . . . . . . . “ firewall e a cosa serve? . . . . . “ Che cos' èun ZoneAlarm . . . . . . . . . . . . . . . . . . . . . . . . . . “
66 66 66 67 67 68 68 71 72 73 73 73 73 74 74 74 75
7° GIORNO:
RISORSE DAL WEB Siti proibiti . . . . . . . . . . . . . . . . . . . . . . . . . . “ 82
Siti consigliati . . . . . . . . . . . . . . . . . . . . . . . “ Document azione . . . . . . . . . . . . . . . . . . . . “ . . . . . . . . . . . . . . . . . . . “ Storia dell’ Hacking Phreacking . . . . . . . . . . . . . . . . . . . . . . . . . . “ Sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Come difendersi . . . . . . . . . . . . . . . . . . . . . “ Tut orial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “
83
Il software sul CD . . . . . . . . . . . . . . . . . . . . “ Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Diagnostica della rete . . . . . . . . . . . . . . . . “ Controllo del percorso dei dat i . . . . . . . . . “ Sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . “ E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Dif esa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . “ Attacco . . . . . . . . . . . . . . . . . . . . . . . . . . . . “
89
85 85 86 86 87 87 88
89 89 90 90 91 91 92 95
Guida al CD Introduzione Utilizzo della Videoguida
10
Introduzione Questa videoguida si rivolge a chi vuole saperne di più sugli hackers ed il loro mondo. In seguito all’avvento di Internet il fenomeno hacker (e il suo lato oscuro: i crakers) riguarda tutti noi; ogni qual volta ci connettiamo ad Internet siamo esposti ad intrusioni o attacchi da parte di hackers e crakers; la posta elettronica può essere veicolo di virus e trojans… Come orientarsi? come comportarsi? come difendersi? La videoguida esamina in modo chiaro e organico tutte le problematiche e cerca di fornire tutte le risposte. Nelle varie sezioni vedremo quali sono le insidie, come i pirati cercano di attaccarci, quali sono i loro metodi; e, naturalmente, vedremo quali sono gli accorgimenti da utilizzare per difenderci. Esamineremo da vicino una rete locale e la rete Internet, vedremo come vengono realizzate le protezioni dei software e come i pirati riescano a superarle. Vengono esaminate le differenze fra virus e trojan, vedremo come agiscono e come funzionano; alcuni tutorial su antivirus e firewall vi consentiranno di prendere confidenza con questi indispensabili strumenti software. Una sezione storica ripercorre le tappe del fenomeno hacker dalla sua nascita ad oggi, comprenderemo la filo-
Il mondo degli Hacker in 7 giorni
sofia degli hacker e conosceremo i più famosi e le loro gesta. Per capire qual è il limite, cosa è legale e cosa non lo è, abbiamo inserito un estratto della legislazione attinente agli argomenti trattati. Una vasta selezione di siti web, suddivisi per argomento, vi permetterà di approfondire gli argomenti di vostro interesse. Al termine della videoguida termini come: nuke, sniffing, smurfing, spoofing non avranno più segreti per voi! La voce dello speaker leggerà i testi permettendoti di concentrarti su quanto accade sul video. Per consolidare l’apprendimento ti verrà richiesto di interagire con il computer, compiendo operazioni in ambienti software simulati. La videoguida include una serie di utili funzioni: • Un glossario di termini informatici. • Segnalibri: per registrare le posizioni di tuo interesse e tornarci rapidamente. • La funzione ‘trova’ ti consente di ricercare rapidamente un argomento. • Nella finestra ‘Annotazioni’ potrai immettere osservazioni personali. Nel CD trovi una raccolta di programmi utili per lo studio, la sperimentazione, l’informazione. Buon divertimento!
11
Guida al CD
Argomenti Le sette giornate della videoguida hanno i seguenti titoli: • Chi sono gli gli Hackers? Hackers? • Rete: luogo luogo di attacco • Tipo Tipologie logie di attacco attacco • Meto Metodi di di attacco di base
32 MByte di RAM Windows 95 - 98 - NT - Me - 2000 - XP Mouse Microsoft compatibile Scheda grafica con risoluzione SVGA 800x600 16,8 milioni di colori Cd-Rom 24X Scheda Audio Altoparlanti Non viene richiesto spazio su Hard Disk.
• Metodi di attacco di di medio e alto livello • Come difenders difendersii • Risor Risorse se dal web web
Configurazione minima La configurazione minima di cui il computer deve essere dotato per utilizzare questa videoguida è la seguente: PC IBM compatibile Processore Pentium 133 Mhz
Avvio della Videoguida Inserire il Cd-Rom nell’apposito lettore e attendere l’avvio dell’applicazione. Qualora l’applicazione non si avviasse, utilizzare ‘Gestione Risorse’ per portarsi nel Cd-Rom e fare un doppio-clic sull ’icona ‘Avvia’. Se l’applicazione non si avvia in modo automatico, la causa probabile deriva dalla mancata attivazione della funzione ‘Notifica inserimento automatico’ di Windows; qui ti mostriamo come attivare questa comoda opzione.
12
Il mondo degli Hacker in 7 giorni
Per attivare la riproduzione automatica del CD:
Passo Pass o1-
Cliccare con il pulsante destro del mouse sull’icona Risorse Risor se del Computer presente sul desktop Passo Pass o 2 - Scegliere la voce Propriet Prop riet à dal menu che appare
Passo 3 - Fare clic sulla scheda Gestione
periferiche
Passo Pass o 4 - Fare clic sul segno
più accanto a CD-ROM, quindi fare clic con il pulsante destro del mouse sulla periferica desiderata e Prop oprie rietà tà. scegliere Pr
Passo Pass o 5 - Fare clic sulla scheda
controllo Notifica inserimento automatico.
Impostazioni Impostazion i .
Note
Per visualizzare la finestra di dialogo Proprietà Sistema , è anche possibile fare clic sul pulsante Start , scegliere Impostazioni , quindi Pannello di controllo e infine fare doppio clic sull'icona Sistema . • Questa impostazione è valida per tutti i tipi di CD, inclusi quelli di giochi, multimediali e audio. • Per impedire la riproduzione automatica di un CD, deselezionare la casella di controllo Notifica inserimento automatico oppure tenere premuto MAIUSC mentre si inserisce il CD. Se durante la consultazione della videoguida non •
Passo Pass o 6 - Selezionare la casella di
si riesce a sentire la voce narrante le cause possono essere molteplici, controllare i seguenti punti: Il pulsante Audio deve mostrare la scritta ‘Audio ON’ • Il lettore di CD-ROM deve avere una velocità di lettura almeno pari a quella indicata al punto Configurazione minima. • La quantità di memoria o le risorse del sistema potrebbero essere insufficienti, controllare che i requisiti del computer soddisfino quanto richiesto al punto Configurazione minima. •
Guida al CD
In generale: Animazioni a scatti, assenza di voce,
esecuzione lenta; sono tutti sintomi di un computer non adeguato o di mancanza di risorse. Provare a riavviare Windows e, senza aprire altre applicazioni, avviare la videoguida. Qualora un testo non dovesse essere pronunciato (pu ò capitare!) si provi a premere il pulsante Indietro per riprovare.
Utilizzo della Videoguida
13
Quando vi trovate all’interno di una sezione, utilizzate i pulsanti Avanti per passare alla parte successiva, il pulsante Indietro per tornare a quella precedente. Quando viene richiesta un’azione da parte vostra potete scegliere se compiere l’azione oppure procedere utilizzando il pulsante Avanti. Per spostarsi fra gli argomenti si utilizza il pulsante Menu che mostra il menu principale.
All’avvio si presenta il Menu Principale che permette di accedere ai 7 giorni in cui è divisa la videoguida. Selezionando un giorno si ottiene l’elenco dei suoi argomenti, facendo clic su un argomento viene avviata la sezione relativa.
Durante lo svolgimento della sezione potete consultare il Glossario utilizzando il pulsante apposito.
Il pulsante Esci consente di terminare la consultazione della videoguida; premendolo viene richiesta conferma.
Sono disponibili Segnalibri per annotazioni personali o memorizzare posizioni all ’interno della videoguida.
Il pulsante Trova permette di ricercare e saltare rapidamente all’argomento desiderato.
14
Per disattivare il parlato si utilizza il pulsante Audio, facendo clic su di esso la scritta del pulsante passa da ‘Audio ON’ a ‘Audio OFF’, naturalmente è possibile riattivare l’audio con un altro clic sul pulsante.
Il mondo degli Hacker in 7 giorni
Importante: In qualsiasi momento è possibile ter-
minare la consultazione della videoguida premendo il tasto Esc; non viene richiesta conferma e l’applicazione viene chiusa.
1 °
o n r o Gi
Chi sono gli Hacker? Introduzione Non confondere Hacker e Crackers Cosa possono fare? Esempi storici Come difendersi Aspetti legali: Estratti della legislazione corrente Crimini informatici commessi da dipendenti ed addebitabili all’azienda
16
Introduzione Spesso capita di sentire la parola Hacker associata ad eventi di natura illegale, alla pirateria informatica o a veri e propri attacchi su reti: l'uso di questo termine è solitamente improprio. Con lo sviluppo delle tecnologie informatiche, molti utenti hanno cominciato a utilizzare i PC come vere e proprie casseforti che racchiudono dati importantissimi se non vitali. Di conseguenza qualche malintenzionato ha intuito la possibilità di appropriarsi "con la forza" di queste risorse; praticamente si parla di ladri informatici. Occorre però precisare che si tratta di Cracker, non Hacker.
Non confondere Hacker e Cracker Il termine Hacker è ormai diventato di uso comune, grazie ai giornali e televisioni è diventato sinonimo di pirata informatico o comunque malfattore: occorre analizzare il vero significato della parola e il valore che essa ha avuto per gli informatici "puri". Il termine Hack è nato come soprannome di alcuni studenti del Massachussetts Institute of Technology i
Il mondo degli Hacker in 7 giorni
quali amano spesso scherzare con le competenze acquisite nella ricerche informatiche. Un cosiddetto Hacker è semplicemente un appassionato di informatica e in quanto tale, ama studiare ed esercitarsi su tutto ci ò che riguarda il mondo dei computer senza creare danni e cercando di non lasciare tracce sul suo percorso; per esempio un hacker è solito entrare in un sito protetto per testare le sue conoscenze e, una volta entrato, lo abbandona senza modificare nulla o al massimo lasciando un commento sulla vulnerabilità dello stesso. Tutt’altra cosa è il Cracker; fondamentalmente si tratta di un Hacker negativo; anch'esso è necessariamente un appassionato di informatica, ma utilizza le sue conoscenze per attuare piani distruttivi o cercare di impossessarsi di informazioni segrete. Il Cracker è interessato a scoprire informazioni che possono arrecargli un utile: ad esempio le password di accesso alle banche On-line. A volte le azioni del Cracker hanno il solo scopo di arrecare danni come, ad esempio, bloccare importanti siti web. Un Cracker non opera necessariamente solo su reti telematiche: una delle attività preferite è quella di ‘sbloccare’ i programmi protetti utilizzando o creando
Figura 1.1 - Un eloquente immagine! Difendiamo il nostro Computer dagli attacchi
17
Primo giorno: Chi sono gli Hacker?
Figura 1.2 - L'unico computer al sicuro da attacchi
informatici è un computer che non ha collegamento ad Internet e che non utilizza risorse esterne
appositi programmi di sprotezione. Se la sprotezione (in gergo ‘Crack’) del programma ha successo il Cracker potrà utilizzarlo senza doverlo acquistare. Oltre ad Hacker e Cracker esistono i Phreakers. La parola Phreaking deriva dall'unione di Phone + Hacking, si tratta dunque di persone dedite alla ricerca di sistemi per telefonare, inviare SMS o ricaricare i telefoni a scrocco. Sono tutte attività illegali, tuttavia nei loro siti è possibile trovare interessanti informazioni circa le frodi che le compagnie telefoniche operano a nostro danno.
Cosa possono fare? E' ovvio dunque che ognuno di noi potrebbe avere a che fare con i Cracker. Le probabilità di un incontro con questo tipo di pirati sarà proporzionale al valore delle informazioni contenute nel nostro PC o nella nostra rete. Se nel nostro PC abbiamo soltanto documenti di poco valore, e utilizziamo il PC quasi esclusivamente per visitare pagine Web o vedere dei DVD, è praticamente inutile osservare drastiche norme di sicurezza; tutt ’altro discorso sarebbe se il nostro computer fosse il server di una banca. In ogni caso nessun computer è realmente al sicuro da intrusioni o danneggiamenti: ogni volta che ci connettiamo ad Internet siamo esposti ad una possibile
intrusione, il floppy che inseriamo nel drive, le e-mail che riceviamo, persino semplici documenti di Word o Excel potrebbero contenere virus. I rischi che corriamo sono di diverso tipo: Le intrusioni: quando siamo connessi ad Internet, o in rete locale, un malintenzionato è in grado di curiosare nel nostro computer; oltre a curiosare il malintenzionato è in grado di cancellare i nostri file o copiarli sul suo computer. I virus: le azioni nocive che un virus pu ò intraprendere sono molto varie: si va da semplici malfunzionamenti dello schermo alla perdita totale di tutti i dati del nostro disco fisso. Alcuni virus si attivano in date precise (generalmente il compleanno del creatore del virus), altri sono sempre attivi; alcuni provocano effetti facilmente visibili (messaggi, anomalie sullo schermo), altri operano in silenzio. Particolarmente maliziosi alcuni virus che si trasmettono per e-mail: frugano fra i nostri messaggi e li inviano a nominativi scelti a caso nella rubrica; immaginiamo se il messaggio in cui si parla male del nostro capoufficio dovesse venire rinviato proprio al capoufficio! L’unico computer veramente al sicuro da ogni attacco deve essere privo di connessioni con la rete locale o con Internet, deve utilizzare esclusivamente software originale di produttori noti, nel computer non deve mai essere inserito un floppy o un CD-ROM proveniente dall’esterno… con tutte queste limitazioni il computer sarà sicuro, ma anche praticamente inutile.
Esempi storici Negli anni ‘50’ i computer erano appena nati ma gi à c’era chi si dava da fare per duplicare i programmi, come gli studenti del M.I.T. (Massachussetts Institute of Technology), i quali probabilmente furono i primi Hacker. Uno dei primi esempi di Phreaking è rappresentato da S. Nelson, uno studente del M.I.T. che nel 1963 aveva programmato un computer PDP-1 per fargli emettere un tono con la frequenza adatta per effettuare telefonate gratis. Anche durante gli anni '70, ci sono stati degli episodi storici riguardanti le linee telefoniche: nel 1971 tale John Draper riusciva a telefonare gratis utilizzando un fischietto reperibile come omaggio nella confezione dei cereali ‘Captain Crunch’, dopo quel episodio il suo soprannome divenne, inevitabilmente, ‘Captain Crunch’. E' comunque dall'inizio degli anni '80 che ci sono state
18
le azioni più eclatanti e legate al mondo dell'informatica vera e propria. Il caso più rilevante è stato quello relativo alla vicenda di Kevin Mitnick, detto il Condor. Non c'è sito che lui, tra il 1981 e il 1995 non abbia violato: dai primi esperimenti ai sistemi Cosmos della Pacific Bell, passando per le pi ù grandi multinazionali delle comunicazioni quali Motorola, Nokia, Fujitsu, Sun Microsystem, Novell, Nec, oltre ai sistemi VAX della Digital, che erano dichiarati praticamente inviolabili. Il Condor viene pi ù volte arrestato per pirateria informatica; tuttavia tutte le sue intrusioni non hanno mai prodotto danni: Kevin ha sempre agito senza ne divulgare, ne distruggere i materiali esaminati o copiati. Nonostante non abbia mai prodotto seri danni, il Condor viene arrestato per evitare che altri, magari meno ‘buoni’, seguissero il suo esempio. Altri esempi di hacker ‘buoni’ sono stati tutti i promotori dell'Open Source, da Richard Stallman a Linus Torvalds, il primo è stato il fondatore della GNU, mentre il secondo ha sviluppato il sistema operativo gratuito Linux. Da notare che la Apple è stata creata da un Hacker e un buon manager. Anche Bill Gates ha cominciato come Hacker ma ha drasticamente cambiato rotta... Un altro esempio recente che pu ò essere ricondotto all’attività di Hacking è stato Napster. Nel 1999 uno studente statunitense di nome Swan Fanning ha deciso di dare l'opportunit à a chiunque di scambiare file musicali compressi, i famosi mp3,
Il mondo degli Hacker in 7 giorni
attraverso Internet. E' sufficiente possedere un PC e un collegamento alla rete delle reti per trovare il programma napster e condividere i file con tutti gli altri utenti della comunità. Napster utilizzava la tecnica del “peer to peer” per consentire ai suoi utilizzatori di scambiarsi file musicali. In parole povere il ‘donatore’ di file musicali mette a disposizione il proprio Hard disk a tutti gli altri utenti di Napster; chi desidera un brano non deve far altro che copiarlo dall’Hard Disk del ‘donatore’ al proprio. Questa tecnica si differenzia dal normale Download in cui il file da scaricare risiede in un sito web.
Come difendersi Nelle prossime sezioni impareremo a comportarci per evitare gli attacchi classici, o comunque a non lasciare il nostro PC con la porta aperta e le nostre informazioni in bella mostra. E' fondamentale cominciare a pensare come un Hacker, invece di continuare a utilizzare il PC ignorando il problema. Dobbiamo ricordare due principi fondamentali della materia: 1 l'unico computer al sicuro da attacchi informatici è un computer che non ha collegamento ad internet e che non utilizza risorse esterne; 2 non dobbiamo pensare che certe cose accadano solo e sempre negli USA o comunque agli "altri". Detto ciò, è inutile allarmarsi o precipitarsi ad acquistare antivirus, firewall e tutto ciò che viene pubblicizzato: dobbiamo soltanto utilizzare il nostro PC con una nuova coscienza del problema, cercando di evitare le azioni più compromettenti: ad esempio utilizzare il servizio di posta elettronica senza neppure un semplice antivirus.
Aspetti legali
Figura 1.3 - Molte attività sono illegali e perseguite
con tenacia dai rappresentanti della legge.
Dopo questa presentazione prendiamo nota degli aspetti legali della faccenda! Molte delle attività prima citate sono illegali e perseguite con tenacia dai rappresentanti della legge. In particolare, non è legale: - Accedere abusivamente ad un sistema informatico o telematico - Detenere e diffondere abusivamente codici di
Primo giorno: Chi sono gli Hacker?
19
Figura 1.4 - Se durante la nostra navigazione incontriamo messaggi ambigui come questo, pensiamoci prima di applicare
le tecniche illustrate nel sito!
-
accesso a sistemi informatici o telematici Violare, sottrarre o sopprimere corrispondenza privata (email incluse) Danneggiare sistemi informatici e telematici Diffondere programmi diretti a danneggiare o interrompere un sistema informatico Duplicare e diffondere software protetto da Copyright
Estratti della legislazione corrente Esaminiamo con attenzione questi estratti della legislazione corrente; apprenderemo come dedicarci alla nostra passione per l'informatica restando entro i limiti della legalità. Non illudiamoci di poter impunemente violare la legge perché ci consideriamo più furbi degli altri; ricordiamoci che, anche se pensiamo di saperne molto, troveremo sempre qualcuno che ne sa pi ù di noi!
Crimini informatici commessi da dipendenti ed addebitabili all’azienda La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l ’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).
Art. 615 ter c.p. - Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volont à espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1 se il fatto è commesso da un Pubblico Ufficiale o da un incaricato di un pubblico servizio, con abuso di poteri, o con la violazione di doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualit à di operatore di sistema; 2 se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero è palesemente armato; 3 se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui al comma primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d'ufficio.
20
Art. 615 quater c.p. - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena è della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre talune delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'art icolo 617quater. Art. 616 - (Violazione, sottrazione e soppressione di corrispondenza). Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto dalla legge come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da lire sessantamila a un milione. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, è punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato, con la reclusione fino a tre anni. Il delitto è punibile a querela della persona offesa. Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza. Art. 392 codice penale - (Esercizio arbitrario della proprie ragioni con violenza sulle cose) Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito, a querela della persona offesa, con la multa fino a lire un milione.
Il mondo degli Hacker in 7 giorni
Agli effetti della legge penale, si ha "violenza sulle cose" allorch é la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha, altresì, violenza sulle o cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico.
Art. 635-bis codice penale - (Danneggiamento di sistemi informatici e telematici). Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualit à di operatore del sistema, la pena e della reclusione da uno a quattro anni. Art. 615-quinquies codice penale - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, èpunito con la reclusione sino a due anni e con la multa sino a lire venti milioni. Art. 420 codice penale - (Attentato ad impianti di pubblica utilità) Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il
Primo giorno: Chi sono gli Hacker?
danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena è della reclusione da tre a otto anni.
Art. 640-ter codice penale - (Frode informatica). Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalit à su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. Art. 171-bis 1 Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Societ à italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità. 2 Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64-quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire
21
trenta milioni. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità.
Art. 171-ter 1 è punito, se il fatto è commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire chiunque a fini di lucro: a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un'opera dell'ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; b) abusivamente riproduce, trasmette o diffonde in pubblico, con qualsiasi procedimento, opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammaticomusicali, ovvero multimediali, anche se inserite in opere collettive o composite o banche dati; c) pur non avendo concorso alla duplicazione o riproduzione, introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, pone in commercio, concede in noleggio o comunque cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della televisione con qualsiasi procedimento, trasmette a mezzo della radio, fa ascoltare in pubblico le duplicazioni o riproduzioni abusive di cui alle lettere a) e b); d) detiene per la vendita o la distribuzione, pone in commercio, vende, noleggia, cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della radio o della televisione con qualsiasi procedimento, videocassette, musicassette, qualsiasi supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive o sequenze di immagini in movimento, od altro supporto per il quale è prescritta, ai sensi della presente legge, l'apposizione di contrassegno da parte della Società italiana degli autori ed editori (SIAE), privi
22
del contrassegno medesimo o dotati di contrassegno contraffatto o alterato ovvero produce, utilizza, importa, detiene per la vendita, pone in commercio, vende, noleggia o cede a qualsiasi titolo sistemi atti ad eludere, a decodificare o a rimuovere le misure di protezione del diritto d'autore o dei diritti connessi; e) in assenza di accordo con il legittimo distributore, ritrasmette o diffonde con qualsiasi mezzo un servizio criptato ricevuto per mezzo di apparati o parti di apparati atti alla decodificazione di trasmissioni ad accesso condizionato; f) introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, vende, concede in noleggio, cede a qualsiasi titolo, promuove commercialmente, installa dispositivi o elementi di decodificazione speciale che consentono l'accesso ad un servizio criptato senza il pagamento del canone dovuto. 2 E' punito con la reclusione da uno a quattro anni e con la multa da cinque a trenta milioni di lire chiunque: a) riproduce, duplica, trasmette o diffonde abusivamente, vende o pone altrimenti in commercio, cede a qualsiasi titolo o importa abusivamente oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi; b) esercitando in forma imprenditoriale attività di riproduzione, distribuzione; vendita o commercializzazione, importazione di opere tutelate dal diritto d'autore e da diritti connessi, si rende colpevole dei fatti previsti dal comma 1; c) promuove o organizza le attività illecite di cui al comma 1. 3 La pena è diminuita se il fatto è di particolare tenuità. 4 La condanna per uno dei reati previsti nel comma 1 comporta: a) l'applicazione delle pene accessorie di cui agli articoli 30 e 32-bis del codice penale; b) la pubblicazione della sentenza in uno o più quotidiani, di cui almeno uno a diffusione nazionale, e in uno o più periodici specializzati; c) la sospensione per un periodo di un anno della
Il mondo degli Hacker in 7 giorni
concessione o autorizzazione di diffusione radiotelevisiva per l'esercizio dell'attività produttiva o commerciale. 5 Gli importi derivanti dall'applicazione delle sanzioni pecuniarie previste dai precedenti commi sono versati all'Ente nazionale di previdenza ed assistenza per i pittori e scultori, musicisti, scrittori ed autori drammatici. E' stato pubblicato nel supplemento ordinario n.61 alla Gazzetta Ufficiale n. 87 del 14 aprile 2003, il decreto legislativo n.68 del 9 aprile 2003 con l'attuazione della direttiva 2001/29/Ce sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione. Il decreto modifica e rinnova in numerosi punti la legge sul diritto d'autore, la n.633 del 1941, per adeguarla alle innovazioni tecnologiche e ai sempre nuovi sfruttamenti delle opere dell'ingegno. Il decreto include pure una sezione dedicata all ’aggiornamento della legge 5 Febbraio 1992, n.93. Le modifiche riguardano le norme a favore delle imprese fonografiche ed i compensi per le riproduzioni private senza scopo di lucro. Nel complesso, e per quanto riguarda l’argomento della videoguida, risultano pi ù severe le sanzioni per la duplicazione illegale di opere dell ’ingegno (quindi anche il software) a scopo di lucro. Sul CD trovi il testo integrale del decreto.
2
°
o n r o Gi
Rete: Luogo di attacco Una panoramica Com’è fatta una rete Gli indirizzi IP Siti fantasma Siti “particolari”… http o ftp? Individuare il bersaglio:Neotrace Trovare il numero di porta: portscan
24
Una panoramica Gli Hacker, come abbiamo visto precedentemente, cercano fondamentalmente di effettuare delle intrusioni al fine di impossessarsi di informazioni a loro utili, oppure di distruggerne delle altre: vediamo insieme quali sono le tecniche più utilizzate. Il primo passo da compiere per impossessarsi di informazioni altrui è quello di ottenere i dati anagrafici della possibile vittima. Secondo statistiche della VISA la maggior parte delle password impostate dagli utenti è il proprio nome, cognome o data di nascita; indovinare la password è dunque semplice in una gran quantità di casi. Ottenuta la password è possibile accedere alle informazioni riservate del proprietario. Esiste una categoria di software, gli Spyware, specializzati nell’ottenere informazioni. Gli spyware sono piccoli programmi nascosti che inviano particolari informazioni ad un determinato sito; spesso queste applicazioni sono associate a programmi demo o versioni gratuite e non vengono segnalate dal sistema. Per esempio, quando installiamo Kazaa nel nostro
PC viene inserito anche un piccolissimo programma che per Windows non esiste nemmeno ma che, nel momento in cui ci connettiamo ad internet spedisce ad un determinato indirizzo web un a serie molto vasta di informazioni sulle nostre ricerche, i file scaricati, i programmi installati e altro.
Figura 2.1 - Installando Kazaa, viene inserito anche
un piccolissimo programma che nel momento in cui ci connettiamo ad internet spedisce ad un determinato indirizzo web una serie di informazioni sulle nostre ricerche, i file scaricati, i programmi installati e altro.
Il mondo degli Hacker in 7 giorni
Questo succede anche programmi e sistemi famosi ed insospettabili. Ad esempio, durante l’aggiornamento di Windows Update viene inviato alla Microsoft una specie di radiografia del Sistema: il tutto è ancora riconosciuto dalle leggi come legale! L’analisi della rete è un’altra tecnica divisa in diverse sottocategorie con il fine di appropriarsi di dati importanti di altri utenti.
Figura 2.2 - L’analisi della rete: una tecnica divisa in
diverse sottocategorie con il fine di appropriarsi di dati importanti di altri utenti.
Il termine tecnico è Sniffer , ossia “annusatore”. In pratica l’hacker, mediante vari stratagemmi si apposta in rete e intercetta i messaggi che la attraversano, ne esegue delle copie e ricava le informazioni che gli interessano. Un esempio tipico è la posta elettronica; supponiamo che l’utente Mario spedisca una mail all ’utente Carlo. Il ‘malfattore’ si frappone fra i due utenti e riesce a ricavare l’identità degli host comunicanti, la frequenza e la dimensione dei messaggi. A questo punto, può eseguire una impersonificazione o masquerade. Questa tecnica può essere utile per accedere ad un determinato servizio con il nome dell’utente da cui ha prelevato login e password. Può addirittura ‘modificare i messaggi ’ spediti direttamente dall’utente originale per maggiorare ad esempio una richiesta di denaro e farne versare una parte su un altro conto come se l’avesse versato il
25
Secondo giorno: Rete, luogo di attacco
proprietario. Può anche cancellare i messaggi che l’utente spedisce. Facciamo un esempio: Immaginiamo un ipotetico utente Carlo che, all’interno di una grossa rete aziendale, richieda alla sezione amministrativa 1000 euro per acquisti. Il disonesto dipendente Mario intercetta il messaggio di richiesta e, con l ’utilizzo di particolari programmi da lui creati e una scheda di rete utilizzata in modalità promiscua, riesce a duplicare il messaggio intercettato; questo messaggio viene anch’esso inviato all’amministrazione che si occuperà di eseguire il pagamento delle due richieste; un primo versamento verrà effettuato a Carlo, mentre il secondo verrà effettuato all’indirizzo che Mario specifica nella richiesta. Il secondo messaggio viene ritenuto valido poiché è l ’esatta copia dell’originale salvo la fondamentale modifca eseguita da Mario. L’utente Carlo riceve normalmente i suoi 1000 euro e non ha quindi sentore di nulla; d’altro canto l’amministrazione ritiene lecita la seconda richiesta di ver-
samento poiché Carlo è abilitato a tale operazione. E’ quasi superfluo dire che i Virus sono tra le applicazioni preferite dagli Hacker. Anche in questo caso si tratta di programmi costruiti “artigianalmente” da esperti che, però, hanno fondamentalmente un ruolo distruttivo e apparentemente immotivato in quanto non fanno nient’altro che compromettere uno o più sistemi operativi. E’ anche possibile avere a che fare con i Cookies . A differenza dei virus e degli spyware, i cookies non sono dei programmi, ma dei file di testo contenuti nel nostro PC e servono a ricavare informazioni durante la navigazione in Internet.
Come è fatta una rete Analizzeremo ora brevemente come funziona la rete, ci procureremo alcune informazioni essenziali per poterne sfruttare le caratteristiche ed evitarne i difetti.
Figura 2.3 - Una rete di computer si basa sul collegamento di due o pi ù computer.
26
Figura 2.4 - Alcuni Cookies, a differenza dei virus e
degli spyware, non sono dei programmi, ma dei file di testo contenuti nel nostro PC, servono a ricavare informazioni durante la navigazione in Internet.
Una rete di computer è paragonabile alle rete telefonica. Il telefono è nato per permettere ai vari utenti di comunicare tra loro a distanza; è costituita da una rete di cavi che consente di trasmettere un segnale da un apparecchio all’altro; occorrono quindi tre elementi fondamentali: due o più apparecchi telefonici, uno o più cavi che siano collegati agli apparecchi e un generatore di tensione che permetta la trasmissione dei segnali. A questo punto non ci resta che assegnare degli indirizzi ai vari apparecchi per poterli chiamare digitando solitamente il numero di telefono e avviare la comunicazione. In modo simile funziona la rete tra computer. Invece dell’apparecchio telefonico abbiamo un computer con una scheda di rete, i cavi sono molto simili a quelli telefonici e la tensione per trasmettere i messaggi viene generata dai computer stessi. L’unica differenza fondamentale tra il telefono e una rete di
Figura 2.5 - I sette livelli analizzano e descrivono
in modo dettagliato il funzionamento di una rete standard, dal livello fisico il primo, a quello delle applicazioni, il settimo.
Il mondo degli Hacker in 7 giorni
computer è che tutti i messaggi inviati dai computer vengono suddivisi in cosiddetti pacchetti . Internet altro non è che la connessione di pi ù reti, estesa sino a coprire tutto il globo. Il principio su cui si basa una rete, sia di tipo casalingo che Internet, è la possibilità di poter inviare dati da un computer ad un altro, a prescindere dal tipo di macchina o dal sistema operativo su essa installato, o dalla posizione geografica. Tutto questo è possibile seguendo delle particolari regole o Protocolli definiti dall’ente di certificazione degli standard a livello mondiale ISO : si tratta in pratica di seguire le regole del modello ISO/OSI . Questo documento è suddiviso in sette livelli e specifica tutte le caratteristiche da seguire per collegare due o più computer tra loro rendendoli compatibili con il resto del mondo. I sette livelli analizzano e descrivono in modo dettagliato il funzionamento di una rete standard, dal livello fisico il primo, a quello delle applicazioni, il settimo. Seguendo questo principio è subito chiaro che chi conosce bene il modello ISO/OSI è in grado poterne sfruttare appieno le caratteristiche più nascoste ed anche le sue debolezze. Tralasciando l’analisi nel dettaglio del modello ISO/OSI in quanto si tratta di regole che devono essere rispettate da tutti i produttori di software e hardware mondiali, passiamo ad analizzare alcune caratteristiche della rete, come, ad esempio, gli indirizzi .
Gli indirizzi IP Per poter spedire una lettera nel mondo reale, dobbiamo disporre dei seguenti requisiti fondamentali: la lettera in un formato leggibile, un servizio pubblico o privato che si occupi di recapitare la lettera e gli indirizzi del destinatario e del mittente. Nell’ informatica, la lettera è da considerare come un insieme di dati suddivisi in Pacchetti; il servizio di recapito è la rete; gli indirizzi sono detti indirizzi IP . Si tratta di normali indirizzi ma, con un formato diverso da quello che utilizziamo per spedire cartoline o pacchi regalo; questi indirizzi sono costituiti da quattro cifre separate da un punto, ad esempio 192.168.0.250. Per poter vedere quale è il nostro indirizzo IP quan-
27
Secondo giorno: Rete, luogo di attacco
do siamo collegati alla rete locale o ad Internet, è sufficiente utilizzare il Prompt dei comandi e digitare il comando ipconfig del sistema operativo se questo è Windows NT, Windows 2000, Windows XP oppure winipcfg su windows 95 o Windows 98.
Figura 2.6 - Il Prompt e la sezione di configurazio-
ne IP, in questo esempio l ’indirizzo IP è 80.180.105.95.
L’indirizzo IP, come caratteristica fondamentale, deve essere necessariamente univoco: cioè ogni macchina collegata ad Internet deve avere un indirizzo diverso da tutte le altre in quel momento collegate. Questo significa che esiste un ente che gestisce gli indirizzi IP di tutte le reti da cui è costituita Internet a livello mondiale: questo ente si chiama InterNick . Per comprendere come diventa possibile questa operazione è sufficiente pensare a cosa facciamo normalmente per connetterci ad Internet.
Figura 2.7 - La finestra per la connessione.
Ci rivolgiamo ad un ISP ed accettiamo un contratto di account con i relativi dati da esso forniti, in seguito possiamo collegarci alla rete e il gioco è fatto. Un ISP è un Internet Service Provider, ossia Libero, Tiscali, Tin.it ecc. e si occupa di fornire una serie di servizi, tra cui assegnare un indirizzo IP ogni volta che ci colleghiamo in rete. Questo significa che i Provider comperano una serie di indirizzi IP e li mettono a disposizione dei loro utenti in modo dinamico, cioè assegnano il primo indirizzo disponibile all ’utente che si collega in un determinato momento permettendo così l’utilizzo della rete senza dover eseguire procedure troppo costose o complicate. Attraverso un indirizzo IP è possibile spedire e-mail o riceverle, oppure collegarsi ai vari siti, anch ’essi infatti sono messi a disposizione su particolari computer detti server con un indirizzo IP. Questo purtroppo, è uno dei principi su cui si basano gli attacchi degli Hacker; se è possibile conoscere l’indirizzo di un determinato utente collegato ad Internet è anche possibile tentare di effettuare un ’intrusione.
Siti fantasma Sempre trattando gli indirizzi IP è possibile cadere in alcuni tranelli. Sar à capitato a tutti di visitare alcuni siti, cliccare su un determinato link e finire su un sito che, al posto di un normale indirizzo testuale, riportano, nella barra degli indirizzi, un numero: è l ’indirizzo IP. Gli hacker utilizzano questo sistema per esporre i loro siti fantasma , utilizzando un indirizzo provvisorio e difficilmente rintracciabile; infatti è possibile che poche ore dopo lo stesso indirizzo risulti non disponibile. Questa tecnica è utile per mostrare siti illegali o contenuti particolarmente scabrosi la cui visione deve essere riservata ad un cerchia ristretta di persone. In pratica il malintenzionato crea un sito e configura il proprio computer affinché agisca da server; si accerta che ci sia al momento sulla rete un indirizzo IP libero e lo utilizza momentaneamente senza comprarlo e renderlo ufficiale.
28
A questo punto comunica ai diretti interessati che il sito è disponibile per pochissimo tempo al determinato indirizzo IP recuperato. Gli utenti potranno visitare il sito digitando tale indirizzo nella barra degli indirizzi di Internet Explorer. Superato il tempo stabilito, è sufficiente disabilitare o disconnettere il server provvisorio per far svanire nel nulla sito e contenuti.
Siti “particolari”… Esistono dei siti specializzati per Hacker, che offrono tutte le informazioni per attaccare reti o programmi, per compiere atti illegali come eludere le protezioni dei programmi dimostrativi: uno di questi siti è Astalavista . Evidentemente, in alcuni stati non esistono ancora leggi che vietano la pubblicazione di siti che contengano tali informazioni, è necessario prestare molta attenzione, nel nostro Paese infatti, tali leggi esistono e sono anche piuttosto severe. La maggior parte di questi siti web si propongono come siti divulgativi e dotati di un motore di ricerca. Nonostante queste caratteristiche simili a quelle di un comunissimo portale, il tipo di contenuti, dedicati all’hackeraggio ed al cracking, li rendono portali alquanto atipici. Il motore di ricerca interno consente di raggiungere un gran numero di siti dai contenuti semi-illegali o addirittura illegali; fra questi alcuni sono gestiti direttamente da Astalavista. La maggior parte dei siti underground è ubicata in nazioni che non hanno ancora una precisa regolamentazione su Internet; ad esempio la Russia e alcuni paesi dell’est europeo.
HTTP o FTP? Quando digitiamo un indirizzo testuale nella barra degli indirizzi di Internet Explorer o, di qualsiasi altro browser, un apposito database chiamato DNS automaticamente converte l’indirizzo da noi digitato in indirizzo IP del relativo sito e permette di poterlo visualizzare. Noi ne vediamo soltanto una piccola parte o comunque la parte che il creatore del sito vuole che sia disponibile al pubblico.
Il mondo degli Hacker in 7 giorni
Se abbiamo un sito Web, potremmo essere attaccati da un Hacker con un semplice stratagemma: anziché digitare il prefisso HTTP , utilizzato dal browser per caricare pagine Web, esso digita FTP seguito dallo stesso indirizzo. In questo caso, se non esistono protezioni al server, l’hacker ha la possibilità di impossessarsi di tutte le informazioni contenute nel sito, può anche modificarle o cancellarle. Supponiamo quindi di voler ottenere informazioni da un sito. Digitando l’indirizzo, il browser imposta automaticamente il prefisso http e ci permette di visualizzare le pagine web e collegarci ad event uali link in esse contenuti. Se desideriamo invece vedere l’effettivo contenuto del sito, ad esempio le cartelle che contengono le foto, vecchi documenti non pi ù utilizzati o materiale riservato, possiamo tentare l’utilizzo del programma di trasferimento file inglobato in Internet Explorer stesso. Per eseguire tale operazione è sufficiente scrivere in luogo di http://indirizzo, ftp://indirizzo: in molti casi l’operazione ha successo e ci viene mostrata la struttura del sito stesso, come se fosse una normale cartella del nostro PC. Questo avviene perché solitamente è concesso di accedere a determinati server web come ospiti e ci viene automaticamente assegnato un login anonimo. Teniamo presente che non tutti i siti concedono l’accesso così facilmente, ci potrebbe venire richiesta una password o del tutto negato l’accesso.
Individuare il bersaglio: Neotrace Gli hacker, prima di tentare un attacco ad un determinato sito o ad un PC in particolare, devono raccogliere tutte le informazioni possibili sul bersaglio: una di queste informazioni è l ’ubicazione della macchina stessa. Attraverso un semplice indirizzo IP è possibile raccogliere diverse informazioni sulla macchina a cui esso è stato destinato. Uno dei tanti programmai che possono essere utilizzati per questo scopo è Neotrace . Questo tipo di programma è semplicissimo da utilizzare: dopo averlo avviato, è sufficiente digitare
29
Secondo giorno: Rete, luogo di attacco
Figura 2.8 - In questo esempio possiamo notare che Neotrace ha individuato automaticamente l ’indirizzo
IP (216.239.33.99), la città in cui è situato con tanto di latitudine e longitudine terrestre e la ditta intestataria del sito: la Google Inc. con indirizzo compreso.
l’indirizzo desiderato e premere il pulsante Go per avviare la ricerca. Supponiamo di voler avere informazioni su un sito molto comune: ad esempio www.google.com. E’ sufficiente attivare la connessione Internet ed iniziare la procedura. Inseriamo l’esatto indirizzo nel campo Target . Dopo alcuni secondi sar à possibile visualizzare graficamente il percorso eseguito dal nostro segnale di prova; in poche parole il programma manda dei segnali all’indirizzo specificato e raccoglie le relative informazioni. Possiamo inoltre visualizzare tutti i nodi che il segnale ha dovuto attraversare per raggiungere la meta. Ad ogni nodo corrisponde un router che si occupa di instradare il segnale ed è possibile avere informazioni dettagliate anche su di essi. Sempre riguardo i nodi attraversati, esiste un’op-
Figura 2.9 - Ecco visualizzati tutti i nodi che il
segnale ha dovuto attraversare per raggiungere la meta. Ad ogni nodo corrisponde un router che si occupa di instradare il segnale ed è possibile avere informazioni dettagliate anche su di essi.
30
zione che permette una visualizzazione semigrafica; ricordiamo però che i router aggiornano continuamente le loro tabelle di instradamento, quindi è possibile che lo schema cambi di ricerca in ricerca. E’ possibile inoltre selezionare un determinato nodo e ottenere tutte le informazioni necessarie.
Trovare il numero di porta: portscan Dal momento in cui viene determinato l’indirizzo IP del sito da attaccare, l’hacker deve trovare un varco: solitamente si pu ò tentare di entrare da una porta non sorvegliata. Esistono dei programmi che controllano lo stato delle porta di una determinata macchina in rete. Uno di questi programmi è Portscan. Anche in questo caso, l’utilizzo è abbastanza semplice e non provoca alcun danno al sito al quale stiamo chiedendo informazioni. La prima operazione da effettuare è digitare l’indirizzo del sito che vogliamo controllare. Il programma provvederà quindi a scannerizzare tutte le porte del server; è possibile impostare un numero massimo delle porte da controllare: in questo caso il numero è 65536 . Essendo Google un sito sicuro, risulta che l’unica porta disponibile è la porta 80 ossia la porta ben
Figura 2.10 - Essendo Google un sito sicuro, risulta che
l’unica porta disponibile è la porta 80 ossia la porta ben nota (well-known) per visualizzare le pagine web.
Il mondo degli Hacker in 7 giorni
nota (well-known) per visualizzare le pagine web. Nel caso in cui ci fossero ulteriori porte aperte sarebbe possibile utilizzare i necessari attrezzi per effettuare un attacco.
°
3
o n r o Gi
Tipologie di attacco Danni limitati e-mail anonime e-mail camuffate I Nuke Nuke da chat
Danni di media portata Il File System FAT 16/32 NTFS e vari file system con diritti Sproteggere programmi Intercettazioni di rete wireless Virus Tipi di virus I buchi di IIS Lo Sniffing
Danni gravi Sproteggere programmi IP Spoofing DNS Spoofing Attacchi DoS Lo Smurf Attacchi DDoS
32
Il mondo degli Hacker in 7 giorni
Introduzione
e-mail camuffate
In questa sezione esamineremo alcuni fra i più diffusi metodi di attacco, iniziando dai metodi che causano meno danni sino a quelli che comportano delle conseguenze più gravi. Inizieremo spiegando che significa spedire una email anonima e gli attacchi eseguibili da chat, vedremo in seguito gli attacchi resi possibili dai difetti dei vari file system, infine ci occuperemo dei veri propri attacchi a server tramite tecniche sofisticate.
I messaggi di posta elettronica camuffati sono concettualmente simili alle e-mail anonime, il pirata, inserisce nel campo ‘mittente’ un nome a noi noto, in tale maniera noi riceviamo un messaggio da una persona conosciuta e siamo disposti a prestarvi fede. Eventuali nostre risposte al messaggio perverranno al mittente realmente esistente, non al pirata. Tali messaggi possono causare gravissimi danni, non tanto al computer, quanto ai soggetti a cui si riferisce la mail
Danni limitati e-mail anonime Gli Hacker/Cracker, con le loro conoscenze, possono oltrepassare frontiere per noi invalicabili; ad esempio possono inviare e-mail anonime cio è con il mittente nascosto. La ricezione di un messaggio anonimo non è, informaticamente parlando un grave danno, tutto dipende tuttavia dal suo contenuto e soprattutto dal fatto che non è possibile identificare il mittente.
Figura 3.2 - Inviare messaggi camuffati implica l ’in-
tenzione di provocare dei guai..
I Nuke
Figura 3.1 - Un messaggio anonimo può essere un
semplice scherzo, oppure provocare gravi danni..
Ora, osserviamo alcuni degli innumerevoli “buchi” di Microsoft Windows. Uno dei metodi con cui gli Hacker ci possono attaccare sfruttando questi buchi è il cosiddetto nuke . Si tratta di piccoli programmi che sfruttano, ad esempio, alcune cattive implementazioni del protocollo TCP/IP, ossia le regole su cui si basa la
33
Terzo giorno: Tipologie di attacco
trasmissione dei dati in rete. Attraverso l’utilizzo di questi programmi è possibile resettare il sistema completamente, oppure provocare il blocco delle attività: il famigerato schermo blu. Una delle operazioni che può compiere il nuke è far credere al nostro sistema operativo che i pacchetti che riceviamo provengano dal nostro stesso indirizzo IP; il sistema così impazzisce. Un altro esempio è il bombardamento assillante di un determinato indirizzo finché questo non si blocca. Fortunatamente i nuke non sono infallibili e, spesso non funzionano su tutte le macchine a cui vengono rivolti.
bombardando l’indirizzo IP, o ancora inviando alla macchina una serie di pacchetti non validi o frammentati: il crash di sistema, in ogni caso, è garantito.
Figura 3.4 - Il File System è il sistema utilizzato per
gestire i file.
Danni di media portata Il File System
Figura 3.3 - Le falle dei sistemi operativi vengono
dette ‘nuke’ o ‘buchi’, da qui si infiltrano gli Hackers.
Nuke da Chat Una delle situazioni in cui è pi ù facile incappare in un nuke è durante la navigazione all’interno di una chat. Durante una connessione ad una chat è possibile che un malfattore riesca a scoprire il nostro indirizzo IP: questo dato gli è sufficiente per poterci disconnettere dal servizio. Esistono diversi metodi per attuare questa tecnica tra cui Dos, ICMP, SsPing o ICMP Nuke ; anche questi metodi di attacco utilizzano i vari punti deboli di Windows, cercando di scovare porte aperte, oppure
Il fattore che più influenza il livello di sicurezza di un qualsiasi sistema operativo è il tipo di File System utilizzato. Il File System è il sistema utilizzato per archiviarei file su disco. Nel momento in cui salviamo un file su disco, sia fisso che removibile, obblighiamo il sistema operativo a svolgere tutta una serie di operazioni, sia hardware che software, di cui non veniamo messi a conoscenza, ma che sono di fondamentale importanza.
FAT 16/32 Il File System più vecchio e semplice, fra quelli tuttora utilizzati su normali PC casalinghi,è il FAT32. Infatti è quello su cui si basa Windows 98. E’ molto semplice accedere ad una determinata cartella, tentare di utilizzare un file a cui è stato impostato un permesso di sola lettura, analizzarne leproprietà e renderlo libero da ogni restrizione.
34
Il mondo degli Hacker in 7 giorni
Facciamo un esempio: eseguiamo un clic destro del mouse sull’icona di un file e selezioniamo la voce Proprietà. Noteremo che nella parte dedicata agli attributi del file, abbiamo un diritto di sola lettura dello stesso; in questo caso non possiamo apportare modifiche. Per violare questa protezione è sufficiente deselezionare l’attributo di scrittura e confermare la modifica.
NTFS e vari file system con diritti I sistemi operativi utilizzati per applicazioni professionali e, in particolare, quelli progettati per la rete, hanno delle caratteristiche ben più severe. Stiamo parlando dei diritti di accesso a file che costituiscono il nostro sistema. I sistemi operativi come Windows NT, Windows 2000 e il recente Windows XP, utilizzano il file systems NTFS che permette di impostare permessi particolari per ogni file del nostro disco fisso. E’ lo stesso file system che si occupa di controllare chi vuole modificare o, comunque utilizzare, un determinato file. Questo perché su questi sistemi esiste una gestione degli utenti con la possibilità di definire l ’amministratore che si occupa di organizzare il sistema affidando ad ogni utente gli adeguati diritti. A questo punto se un determinato utente non ha i diritti per poter accedere ad una cartella o leggere
Figura 3.5 - Vediamo che la casella ‘sola lettura’ è
selezionata; in questo caso non potremo modificare il file.
Figura 3 .6 - I sistemi operativi come Windows NT,
Windows 2000 e il recente Windows XP, utilizzano il file system NTFS che permette di impostare permessi particolari per ogni file del nostro disco fisso.
un file è il file system che se ne accorge e non permette l’esecuzione delle operazioni. Oltre ai vari sistemi Windows è da segnalare l’ambiente Unix e Linux, da cui proviene questo tipo di gestione dei dati. Anche se tali sistemi operativi hanno file system diversi (ext3, Raiser FS, ecc.), il funzionamento non differisce dai precedenti esposti.
Sproteggere programmi I programmi commerciali sono, generalmente, protetti . Le protezioni non consentono a chi non ha acquistato il programma di utilizzarlo. Appare evidente che una Software-house, per realizzare il proprio giusto profitto, debba proteggersi dalle copie abusive. Una delle grandi passioni dei Cracker consiste nella sprotezione dei programmi, la protezione dalla copia viene vista come una sfida intellettuale che deve essere vinta ad ogni costo. I tipi di protezione utilizzati sono molto vari e altrettanto lo sono i metodi per aggirare la protezione. Una prima grande categoria di protezione riguarda la quella del supporto: i dischi di distribuzione (Floppy o CD) possono essere marchiati in modo non riproducibile, effettuando la copia di uno di questi supporti ci troviamo in possesso di un disco
35
Terzo giorno: Tipologie di attacco
solo apparentemente identico all’originale, in realtà il programma di setup non individua sul disco copiato il marchio originale (che pu ò essere un errore provocato ad arte o informazioni scritte in luoghi del disco non raggiungibili) e rifiuta di installarsi. Questi metodi di protezione sono assai validi, anche se non perfettamente legali; la legge italiana consente, infatti, la copia del supporto originale a scopo di backup e ciò risulta impossibile se il disco originale è protetto. La grande diffusione di Software distribuito per mezzo di Internet ha comunque reso quasi obsoleti questi metodi, poiché non vi è alcun supporto di distribuzione. L’altra grande categoria di protezioni si basa sui codici di attivazione, detti anche numeri seriali o serial number. L’utente effettua il download della versione dimostrativa dal sito del produttore, se decide l’acquisto si registra via Internet e riceve, dopo aver effettuato il pagamento, il codice di attivazione che trasforma la versione dimostrativa in quella funzionante a tutti gli effetti. Quasi tutti i programmi, oggi, sono disponibili in versione dimostrativa gratuita. Queste sono largamente sufficienti per valutare le caratteristiche di un programma e decidere se fa o meno al caso nostro. Non esiste, dunque, alcun buon motivo per violare la protezione dei programmi. Tuttavia in rete si possono trovare i numeri di codice per attivare le applicazioni o anche le intere applicazioni “sprotette”. Per sproteggere l’applicazione si può agire in diversi modi: • ottenere da qualcuno l’applicazione e quindi ricercare in rete un numero di attivazione valido • scaricare dalla rete l’intera applicazione incluso il codice di attivazione • ricercare sulla rete un programma di sprotezione per la versione dimostrativa in nostr o possesso, in modo che continui a funzionare all’infinito.
Tale attivit à è illegale e, anche noi, utilizzando un programma “ crackato ” diventiamo colpevoli agli occhi della legge.
Figura 3.7 - Come i virus dell ’influenza o altre infezioni, i virus informatici si infiltrano in un sistema e cercano di riprodursi: la maggior parte delle volte ci riescono!
Intercettazioni di rete wireless Abbiamo già accennato alla possibilit à di poter essere intercettati durante la comunicazione di messaggi in rete, è particolarmente importate prestare attenzione se utilizziamo un sitema wireless cioè senza fili. Da qualche tempo si stanno diffondendo questo tipo di reti, ossia reti di computer che, invece di utilizzare normali cavi per comunicare tra loro, implementano un sistema di antenne rice-trasmittenti. Questa tecnologia è specificata dal protocollo IEEE 802.11 e invia i messaggi agli altri computer in modalità Broadcast, cioè a tutti; sarà il computer a cui sono effettivamente stati inviati i messaggi che utilizzerà tali informazioni, mentre gli altri le ignoreranno. E’ quindi semplice immaginare il comportamento di un malintenzionato che potrebbe appropriarsi di messaggi riservati. Un altro possibile problema è l’intrusione in sistemi wireless. Supponiamo di avere una rete wireless aziendale; un malintenzionato può piazzarsi con un portatile dotato di scheda e antenna per reti wireless nei pressi dell’azienda e, attraverso particolari strata-
36
gemmi, entrare nella nostra rete e compiere le sue malefatte senza essere facilmente scoperto.
Virus Vediamo ora nel dettaglio le varie tipologie di virus e come possono creare danni al nostro sistema, se non vengono intercettati in tempo da adeguate misure di protezione. Come i virus dell’influenza o altre infezioni, i virus informatici si infiltrano in un sistema e cercano di riprodursi: la maggior parte delle volte ci riescono! E’ bene quindi adottare dei sistemi per prevenirli anziché curarli. La maniera più semplice per prevenirli è dunque conoscerli, anche se la materia sta diventando, con il passare del tempo, molto complessa. Con l’evoluzione della tecnologia anche gli Hacker hanno progredito di pari passo; oggi in circolazione possiamo trovare diverse migliaia di virus sparsi qua e la in rete o nascosti in floppy e CD. Come abbiamo detto più volte, il virus non è altro che un programma, ossia una sequenza di istruzioni che possono essere comprese ed eseguite da un
Il mondo degli Hacker in 7 giorni
determinato tipo di computer: molto probabilmente anche dal nostro PC. L’obiettivo principale del virus è riprodursi e diffondersi. Per raggiungere questo scopo il virus utilizza ogni mezzo di trasporto; altri programmi eseguibili, Hard disk o anche documenti di testo contenenti delle macro istruzioni. I virus hanno però bisogno di un computer per poter funzionare e, in particolare, il computer deve essere acceso; inoltre i virus non funzionano su tutti i sistemi operativi: ci sono virus per Windows, per Linux ecc.
Tipi di virus Vediamo quindi quali sono i tipi di virus più comuni. ATTENZIONE: La conoscenza dei virus è da considerarsi sempre in fase di aggiornamento, quindi è bene rimanere sempre in contatto con fonti che ci comunichino tutte le novità del settore, per non andare incontro a brutte sorprese. I virus più comuni tendono ad infettare i file : in pratica questi si accodano a programmi eseguibili
Figura 3.8 - Sul sito Microsoft.com esiste un’ampia zona riguardante la Sicurezza e la Privacy.
37
Terzo giorno: Tipologie di attacco
Figura 3.9 - Cerchiamo la parola bug riguardante IIS 6.0.
che hanno normalmente estensioni tipo .exe o .com e, oltre ad infettare l’eseguibile, si riproducono all’interno dei file che quest’ultimo modifica o crea. Per accertare l’infezione è possibile analizzare le dimensioni dei file inspiegabilmente aumentate; questa operazione è però quasi impossibile da fare manualmente: alcuni antivirus utilizzano questo metodo per monitorare i nostri documenti. Ci sono poi virus che si nascondono nella partizione di avvio dei dischi , sia rigidi che floppy; ad ogni avvio del PC vengono lette queste partizioni e vengono quindi avviati i virus. Questo tipo di infezione è molto più pericolosa della precedente perché il virus viene scritto in linguaggio macchina e pu ò funzionare su qualunque PC, a prescindere dal sistema operativo: i più famigerati sono stati Stoned e Form. Esistono poi virus meno comuni forse ancora più temibili. • Virus Multipartito : questi agenti virali combinano le due tipologie precedenti e possono infettare sia programmi che partizioni di avvio.
Virus Companion: per ragioni storiche in MSDOS, in caso di due programmi con un nome identico nella stessa directory l’uno con estensione exe e l’altro con estensione .com, viene eseguito prima il com dell ’exe. Questi virus si sostituiscono quindi ad un normale programma utilizzando questo metodo: ad esempio supponiamo di avere l’eseguibile di Microsoft Word, Word.EXE. Il virus crea un file chiamato Word.COM e, quando avviamo Word, viene eseguito quest’ultimo che, invece di avviare il programma di scrittura documenti di testo, infetterà il nostro Hard disk con cloni di se stesso, magari con nomi di altri programmi presenti. • Virus del File System: esistono anche file che possono infettare direttamente l’indice del disco o FAT. La differenza fondamentale da quelli visti prima è che questo tipo di virus non colpisce direttamente i file, ma solo i loro nomi contenuti nell’indice. • Cavalli di Troia o Troiani (Trojans) : questo tipo di virus ha il suo punto di forza nello sfruttare l’in•
38
ganno per compiere la sua missione. Sono programmi apparentemente innocui e, il più delle volte utilizzano nomi di programmi famosi come ad esempio pkzip82.exe , il noto programma per la compressione dei file: una volta eseguito cancella tutti i dati del disco. Prendono il nome dal famoso cavallo dono descritto da Omero. L’unico rimedio per non incappare in questo tranello è scaricare i programmi che ci servono soltanto dai siti ufficiali. • Active X e Applet Java: è possibile incappare in virus anche durante la semplice navigazione in rete, senza bisogno di dover scaricare o eseguire nessun programma. Per quanto riguarda le applet Java di per se non possono contenere codice infetto, ma possono avviare ed eseguire programmi che invece lo sono, semplicemente visitando una pagina web. • Active X è invece molto pericoloso, nonostante si tratti di un ambiente di programmazione che non è stato realizzato per creare virus. In entrambi i casi è possibile prendere provvedimenti impostando Internet Explorer in modo adeguato. • Macro : è possibile inoltre imbattersi in virus contenuti nelle cosiddette Macro , ad esempio utilizzando programmi molto popolari come Word ed Excel di Microsoft. Come molti sapranno, le macro automatizzano operazioni frequenti utilizzando un linguaggio di programmazione, appare chiaro come all ’interno delle macro si possa inserire codice dannoso. Quando il documento viene aperto ed eseguita una macro il virus è libero di compiere le sue malefatte.
I Buchi di IIS Il server di Microsoft Internet Information Server è da tempo noto per le sue falle o bachi; è quindi una delle aspirazioni di un Hacker cercare nuovi modi per violarlo. La lista dei bug riconosciuti è praticamente infinita e puntualmente aggiornata. I metodi utilizzati sono i più disparati, dalla scansione delle varie porte scoperte alla manomissione delle informazioni riguardanti la posta elettronica. Per ottenere un’esauriente lista di problemi noti è
Il mondo degli Hacker in 7 giorni
sufficiente connettersi al sito ufficiale della Microsoft ed eseguire una ricerca inserendo le parole chiave IIS bug. Si ottengono centinaia di link a pagine che illustrano sia i problemi che le eventuali soluzioni. Sempre sul sito Microsoft.com esiste un’ampia zona riguardante la Sicurezza e la Privacy . Avvisiamo gli utenti che è frequente perdersi all’interno di pagine e pagine quasi completamente scritte in inglese. In ogni caso, è possibile in questa parte del gigantesco sito, ottenere informazioni circa un particolare bug, scegliendo dall’elenco l’applicazione che lo contiene. Nel nostro esempio tentiamo di cercare la parola bug riguardante IIS 6.0. I risultati non mancheranno! Consigliamo lo studio di queste pagine perch é sia da amministratore di rete, che da Hacker, occorre conoscere a fondo l’applicazione su cui intendiamo lavorare . Se, ci troviamo dalla parte lesa, nel senso che abbiamo in mano la gestione di una macchina su cui gira IIS, è opportuno frequentare assiduamente queste pagine ed effettuare il download dei vari Service Pack per avere la massima sicurezza disponibile fornita da Microsoft.
Lo Sniffing Scendendo leggermente nel dettaglio del funzionamento di una rete locale Ethernet, è possibile constatare che tutte le informazioni vengono trasmette in gruppi denominati pacchetti. Questi pacchetti, secondo le regole del modello ISO/OSI, contengono tutta una serie di informazioni che rendono possibile la trasmissione stessa, oltre a contenere i dati da trasmettere effettivamente. Tra queste informazioni, che non vengono rese note all’utente finale, ci sono due parti del pacchetto che contengono i dati dell’indirizzo IP della macchina mittente e della macchina ricevente. l pacchetto viene così trasmesso sulla rete a tuttele macchine connesse, solo la macchina destinataria del messaggio è in grado di leggere le informazioni,
39
Terzo giorno: Tipologie di attacco
cioè i dati, senza modificare questi due campi. Un malintenzionato, conoscendo i meccanismi di funzionamento della rete a menadito,è in grado di intercettare i pacchetti dati trasmessi sulla rete e utilizzarli per i suoi scopi: questa tecnica viene detta sniffing.
Danni gravi Sproteggere programmi Il Cracker ricerca la sfida, le protezioni dei programmi rappresentano dunque una sfida i r resistibile. Sproteggere programmi protetti con metodi di protezione del supporto è difficoltoso e poco stimolante sul piano intellettuale. Viceversa la sprotezione di applicazioni che richiedono codici di attivazione è un’impresa difficile e non alla portata di tutti. Uno dei sistemi utilizzati dal Cracker è quello di modificare direttamente il programma eseguibile; utilizzando particolari programmi, detti disassemblatori, segue il flusso del programma, t rovato il punto ove viene controllato il codice di attivazione apporta le modifiche necessarie per ignorare la richiesta. Altri sistemi comportano l’indovinare l’algoritmo per la composizione del numero seriale; sovente questi numeri vengono creati basandosi su caratteristiche del nostro computer, ad esempio il nome dell’utente; in alcuni casi è assai facile indovinare come agisce il meccanismo di codifica. I programmi che ‘indovinano’ il codice di attivazione vengono detti Keygen.
Figura 3.10 - Un programma ‘KeyGen’ generatore
di numeri seriali.
A onor del vero occorredire che le software-house non sembra si impegnino molto nella protezione dei programmi, effettivamente la diffusione di copie abusive, come si è verificato in alcuni casi può favorire le vendite; un caso per tutti AutoCad della AutoDesk, il programma è stato facilmente copiabile per circa un decennio sino a divenire uno standard, poi la casa produttrice ha bruscamente cambiato politica, il programma è divenuto protettissimo e incopiabile, chi lo voleva doveva pagarlo; in tal modo la Autodesk si è procurata grossi profitti. Ci teniamo comunque a ribadire che la copia di Software è illegale e, anche noi, utilizzando un programma copiato diventiamo colpevoli agli occhi della legge.
IP Spoofing Questo tipo di operazione consente di modificare l’effettivo valore del campo indirizzo di un pacchetto IP. In poche parole, tutti i pacchetti che invieremo in rete, avranno un mittente diverso dal nostro. Questa tecnica è utilissima per compiere qualsiasi tipo di operazione in rete mantenendo l’assoluto anonimato, addirittura è possibile utilizzare l’indirizzo di un altro utente, probabilmente cacciandolo nei guai. Uno dei problemi che si riscontrano utilizzando questo metodo è l ’impossibilità di utilizzare la rete per avere delle risposte, oltre a non poter utilizzare praticamente nessun tipo di applicazione di rete, sempre a causa del dato manomesso.
DNS Spoofing Con DNS Spoofing si intende la modifica con intenti maliziosi del database contenuto su un server DNS. Un server DNS altro non è che un normale computer che contiene un database con due campi, il primo è costituito da un indirizzo IP, nel secondo campo viene posto l ’indirizzo testuale del relativo indirizzo IP, nel momento in cui digitiamo l ’indirizzo testuale, il nostro Browser consulta il server DNS presso il nostro provider il quale ci permette di accedere al sito individuato dall’indirizzo IP contenuto nel DNS.
40
Il mondo degli Hacker in 7 giorni
Il server DNS contengono infiniti indirizzi e relativi IP, è sufficiente per un malintenzionato alterare il database, ad esempio un Craker pu ò connettersi ad un server DNS, sostituire il database con una copia modificata; supponiamo che nel database sia contenuto l’indirizzo di un importante sito il Cracker sostituisce il reale IP del sito con uno fasullo, ad esempio 0.0.0.0 Tutti gli utenti che digiteranno l’indirizzo testuale riceveranno in risposta l’avviso “pagina non trovata”.
Attacchi DoS Gli attacchi DoS non devono essere confusi con attacchi provocati dello storico sistema operativo di casa Microsoft, la sigla indica negazioni dei sistemi di servizio: Denial of Service . Si tratta in effetti di attacchi eseguiti attraverso gli ormai noti nuke e altre applicazioni simili. Fondamentalmente gli attacchi vengono rivolti, nel caso di Windows, a determinate porte scoperte. Queste porte sono solitamente riservate per gli ODB ossia gli Out of Band. Attraverso queste porte è possibile inviare messaggi ODB che possono, ad esempio, avviare il reset della macchina o il reboot immediato provocando danni facilmente immaginabili. Anche questi attacchi possono partire da una connessione ad una chat. E’ possibile inoltre che a compiere un attacco DoS possa essere il MOD di una chat: il suo moderatore. Spesso le chat vengono frequentate da persone che non rispettano il galateo della rete, la Netiquette , e utilizzano Nickname offensivi o si comportano in modo intollerabile: con i permessi di superuser, il moderatore di una chat può espellere tali personaggi dal proprio servizio.
Lo Smurf Un altro tipo di attacco DoS è il cosiddetto Smurf , ossia l’esaurimento della banda messa a disposizione dell’utente vittima. Ad esempio: il bombardamento di una macchina con infiniti segnali di Ping , magari utilizzando alcune connessioni di rete amministrate in modo superficiale. Attraverso questo sistema l’utente preso di mira viene praticamente isolato da Internet.
Figura 3.11 - Il bombardamento di una macchina
con infiniti segnali di Ping può metterla fuori combattimento
Attacchi DDoS Gli attacchi DDoS (Distributed Denial of Services attack) non sono altro che l’evoluzione dei DoS, ma all ’ennesima potenza. Questo tipo di attacco ha messo in ginocchio, all’inizio del 2000, interi port ali quali Yahoo, CNN, EBay e Amazon. Come i loro progenitori, gli attacchi DDoS saturano di richieste il servizio fino a bloccarlo.
4
°
o n r o Gi
Metodi di attacco di base Come fanno i pirati a: Mandare una mail anonima Mandare mail camuffate Resettare Windows Kickare da Chat
42
Mandare e-mail anonime Per spedire una e-mail la maggior parte degli utenti utilizza il programma messo a disposizione da Windows: MS Outlook Express , è questo il software che si occupa di eseguire tutte le operazioni di connessione con il server del provider e spedire la mail vera e propria al destinatario. Per la spedizione, viene utilizzato il protocollo Simple Mail Transfer Protocol (SMTP). In realtà non è indispensabile utilizzare Outlook Ex-
press, possiamo farne a meno collegandoci direttamente ad un server SMTP . La cosa può sembrare abbastanza ostica, tuttavia Windows, mette a disposizione tutti i programmi necessari; possiamo infatti utilizzare un programma chiamato Telnet o, in sostituzione, Hyperterminal . La funzione di Telnet è quella di collegarsi ad un computer remoto (collegato in rete) permettendoci cos ì di utilizzare tale computer o server in remoto; questa tecnica è utilizzata dagli hackers anche per collegarsi ai super computer dei laboratori più grandi e utilizzarli per eseguire complessi calcoli, risparmiando tempo prezioso per le proprie ricerche. Telnet può essere avviato da Windows utilizzando il
Figura 4.1 - Avviato il programma ci troviamo di
fronte ad un’interfaccia ridotta all’essenziale, composta dalla barra dei menu e dalla casella dedicata all’immissione dei comandi e alla visualizzazione delle risposte del server
Il mondo degli Hacker in 7 giorni
menu Esegui e digitando: “telnet” . Qui di seguito descriveremo la versione di telnet presente nelle versioni di Windows 95, 98 e ME. Avviato il programma ci troviamo di fronte ad un ’interfaccia ridotta all’essenziale, composta dalla barra dei menu e dalla casella dedicata all ’immissione dei comandi e alla visualizzazione delle risposte del server.
Figura 4.2 - Abbiamo inserito il primo parametro:
l’indirizzo del server SMTP al quale ci vogliamo connettere, l’indirizzo di posta elettronica in uscita (SMTP) di tin.it è out.virgilio.it: lo vediamo nel campo Nome Host; il secondo parametro si chiama porta e serve per specificare il tipo di servizio cui collegarci
Per quanto semplice, Telnet, consente un minimo di personalizzazione per lavorare più comodamente. Per impostazione predefinita il programma non mostra ciò che viene digitato, conviene modificare tale impostazione: la possibilità di visualizzare il testo digitato viene definita: Eco . Per attivare l’opzione Eco locale , è necessario selezionare la voce Preferenze all ’interno del menu Terminale e attivare l’opzione Eco locale poi, confermare la scelta con l’apposito pulsante OK . Quindi forniamo le impostazioni per la connessione remota , ossia a distanza: selezioniamo la voce Sistema Remoto all ’interno del menu Connetti ; dalla finestra di dialogo Connetti imposteremo i parametri fondamentali per la connessione.
43
Quarto giorno: Metodi di attacco di base
dialogo Connetti riguarda il tipo di terminale da utilizzare; modificando il tipo di terminale potremmo avere una visualizzazione a colori, scegliere fra differenti tipi di cursore o di carattere. Scegliamo di mantenere l’impostazione predefinita: vt100. Infine, per connetterci al server, è necessario premere il pulsante Connetti. Se la connessione è riuscita, viene mostrata a video la risposta del server: il numero 220 indica il saluto, seguito dal nome del server.
Figura 4.3 - Se la connessione ha avuto successo, viene mostrata a video la risposta del server: il numero 220 indica il saluto, seguito dal nome del server
Il primo parametro necessario è l’indirizzo del server SMTP al quale ci vogliamo connettere. Ad esempio l’indirizzo di posta elettronica in uscita del provider tin.it è out.virgilio.it : lo digitiamo nel campo Nome Host . Il secondo parametro si chiama porta e specifica il tipo di servizio cui collegarci. Su un computer, o su un server, alle varie applicazioni viene assegnato un numero di identificazione: questi numeri vengono detti porte o port; per esempio la porta predefinita delle pagine Web è la porta 80. Quando, con Internet Explorer , digitiamo un indirizzo Web mandiamo un segnale di richiesta ad un determinato server, questo rinvia la richiesta ad un ’applicazione impostata per rispondere su quella porta: solitamente si tratta del software che gestisce il Server Web. Probabilmente lo stesso server offre anche un servizio FTP, SMTP o Telnet, quindi, secondo il numero di porta dirige le richieste ai rispettivi servizi. Il caso che stiamo analizzando, è lievemente ambiguo: Telnet usa solitamente la porta 23, tuttavia lo stiamo utilizzando per connetterci ad un servizio SMTP che usa la porta 25; perci ò inseriremo 25 nella casella Porta . L’ultima impostazione possibile nella finestra di
Figura 4.4 - La risposta del server: 250 significa
che il comando è stato eseguito senza riscontrare errori
La prima cosa da fare è rispondere al saluto del server digitando il comando HELO oppure EHLO seguito dal nome del nostro dominio di appartenenza; è abbastanza semplice intuire che potremmo anche mentire... In effetti noi utilizzeremo lo stesso nome del server cui siamo connessi; risulterà quindi una lettera scritta dal server stesso. Ogni comando deve essere seguito dalla pressione del tasto Invio per inviare il comando al server che risponderà sulla riga successiva. Dopo aver scritto EHLO seguito dal nome del dominio del server, otteniamo in risposta una riga che inizia con 250, questo è il codice che indica che il comando è stato eseguito senza errori. Dopo queste operazioni preliminari, possiamo cominciare a scrivere la nostra mail digitando MAIL
44
FROM e aggiungendo il nostro indirizzo e-mail fra parentesi angolate. L’intenzione è quella di scrivere una lettera anonima, quindi NON immetteremo il nostro reale indirizzo, bensì uno di fantasia.
Il mondo degli Hacker in 7 giorni
Aprendo questo messaggio con Outlook Express vedremo visualizzati questi testi nei campi: A: Da: e Oggetto:
Infine abbiamo scritto il testo vero e proprio del Questa lettera ha un mittente immamessaggio: “ Questa ginario ” ” . Per concludere il messaggio e spedirlo occorre un particolare comando: al termine del testo occorre premere Invio quindi digitare un solo punto; un’ulteriore pressione del tasto Invio chiude e spedisce la mail. Se l’operazione ha avuto esito positivo il server risponderà con un 250 seguito da Mail accepted . Potremmo ora scrivere un nuovo messaggio, oppure disconnetterci dal server. Se vogliamo spedire una nuova mail dovremo ricominciare scrivendo MAIL FROM: ecc. mentre per disconnetterci utilizzeremo il comando QUIT.
Figura 4.5 - L’operazione ha avuto esito positivo, il
server ha risposto con un 250 seguito da Mail accepted
Anche in questo caso, la risposta del server inizia con il numero 250 ad indicare che l ’azione ha avuto esito positivo. E’ la volta di indicare il Ricevente , per farlo si utilizza il comando RCPT TO : seguito dall’indirizzo e-mail del destinatario racchiuso tra parentesi angolate. Se non abbiamo commesso errori proseguiamo, tenendo conto che non possiamo cancellare il testo inserito in Telnet o Hyperterminal: l’unico rimedio è premere Invio e riscrivere nuovamente il codice. Terminata l’intestazione del messaggio possiamo inserire il corpo vero e proprio, cioè il testo. Il comando che indica l’inizio del corpo del messaggio è: DATA senza nessun parametro aggiuntivo. Oltre al testo possiamo inserire: mittente, destinatario e oggetto del messaggio; quanto digitato apparirà nei rispettivi campi del messaggio mostrato dal programma di gestione della posta elettronica. Noi abbiamo inserito quanto segue: To: utente inesistente From: utente anonimo Subject: Lettera anonima
Figura 4.6 - Dopo aver avviato Outlook Express e
scaricato la posta da Internet, vedremo che la nostra mail è giunta a destinazione e i campi da noi precedentemente compilati vengono visualizzati in modo corretto
Supponiamo di poter vedere il PC del destinatario: dopo aver avviato Outlook Express e scaricato la posta da Internet, vedremo che la nostra mail è giunta a destinazione e i campi da noi precedentemente compilati vengono visualizzati in modo corretto. Nel campo Da: viene visualizzato il testo che avevamo inserito dopo l’opzione To:, mentre l’oggetto corrisponde al testo inserito dopo l ’ opzione Subject:. Analizziamo pi ù a fondo il messaggio per verificare se, in qualche modo, presenti differenze rispetto
Quarto giorno: Metodi di attacco di base
45
In questa sezione troveremo numerose informazioni apparentemente incomprensibili; concentrando l’attenzione su alcuni particolari possiamo riconoscere l’indirizzo del server SMTP.
Figura 4.7 - Vediamo che anche il testo è stato in-
serito correttamente nell ’apposito spazio e tutto fa pensare che si tratti di una normale e-mail
alle e-mail inviate normalmente. Aprendo, con un doppio clic, il messaggio tut to appare normale. Approfondiamo le nostre ricerche analizzando i dati realmente importanti; questo, servirà quando vorremo assicurarci della reale provenienza di mail ‘sospette’.
Figura 4.9 - La sezione Dettagli, dove troviamo nu-
merose informazioni apparentemente incomprensibili; concentrando l’attenzione su alcuni particolari possiamo riconoscere l’indirizzo del server SMTP
Se vogliamo analizzare il testo che viene effettivamente spedito attraverso la rete dobbiamo cliccare il pulsante Messaggio Originale . Nella finestra Messaggio originale, possiamo vedere il vero indirizzo e-mail del mittente, nonostante sia, in questo caso, fasullo.
Figura 4.8 - Il pannello Propriet à dove possiamo vi-
sualizzare informazioni molto generiche riguardo le dimensioni e le varie date di invio e ricezione della mail
Con un clic destro del mouse sul messaggio facciamo apparire il menu di scelta rapida e scegliamo la à . voce Propriet à Nel pannello che appare possiamo visualizzare informazioni generiche riguardo le dimensioni e le date di invio e ricezione della mail; volendo scendere più a fondo utilizziamo la linguetta Dettagli .
Figura 4.10 - La finestra Messaggio originale, dove
possiamo vedere il vero indirizzo e-mail del mittente, nonostante sia, in questo caso, fasullo. Qui, appaiono tutti i dati relativi sia al mittente che al destinatario, anche se sappiamo che sono stati camuffati o utilizzati in maniera impropria
46
Qui, appaiono tutti i dati relativi sia al mittente che al destinatario, anche se sappiamo che sono stati camuffati o utilizzati in maniera impropria. Occorre fare una precisazione: anche se abbiamo visto nel dettaglio la possibilit à di inviare una mail anonima senza la possibilit à di risalire al mittente, questo non è completamente vero. Se dovessimo spedire una lettera che provochi danni seri, il destinatario o le autorità di competenza potrebbero in ogni caso risalire al mittente reale; il sistema utilizzato non ci consente di camuffare il nostro indirizzo IP. Quando ci connettiamo alla rete il nostro provider ci assegna un indirizzo IP, ciò è indispensabile per poter far parte di una rete; sottolineiamo il fatto che l’indirizzo deve essere assolutamente univoco, cio è ogni computer in rete deve avere un indirizzo IP diverso dagli altri. Un tecnico esperto, conoscendo l’indirizzo IP, può facilmente risalire al provider e quindi a noi.
Il mondo degli Hacker in 7 giorni
Reset di Windows sfruttando buchi di sistema (Nuke) Per resettare, cioè riavviare, un computer su cui sta funzionando una qualsiasi versione di Microsoft Windows esistono diverse strategie: una delle pi ù semplici è quella di bombardare l’indirizzo IP di pacchetti che non contengono nessun dato: ad esempio con il comando Ping utilizzabile in ambiente MS Dos, o dal prompt di MS Dos che si pu ò aprire da Windows stesso. Il comando Ping pu ò sortire l’effetto voluto se riusciamo a far credere al computer attaccato che sia lui stesso a mandare i messaggi di Ping; per fare questo il pirata deve manomettere la sua scheda di rete e tutti i vari protocolli TCP/IP ecc. in modo che l’indirizzo IP sia identico a quello del computer attaccato.
Mandare e-mail camuffate Utilizzando le tecniche già viste per la spedizione della e-mail anonima, è possibile spedire mail camuffate. Per chiarire quali danni possano causare questi messaggi facciamo un esempio: supponiamo che il dipendente Carlo riceva dal suo capoufficio una notificazione di licenziamento tramite posta elettronica, il messaggio viene inviato in realt à dal burlone collega Mario, il capoufficio è all ’oscuro di tutto. Carlo risponde immediatamente premendo il pulsante “rispondi”; questa funzione spedirà un messaggio di risposta all ’indirizzo mittente, non a colui che ha veramente spedito l’e-mail (Mario). Poiché Carlo è di temperamento sanguigno risponde con pesanti insulti; ottenendo così un reale licenziamento. L’innocuo scherzo di Mario si è trasformato in un grave danno. Come abbiamo visto parlando delle e-mail anonime, dopo esserci collegati ad un server SMTP alla voce MAIL FROM : inseriremo l’indirizzo della persona che vogliamo impersonifica impersonificare. re. In questo modo il messaggio risulta doppiamente dannoso poiché saranno due le persone danneggiate.
Figura 4.11 - Utilizzando la funzione FyRE di Divine
Intervention è possibile eseguire un Nuking verso un altro utente
Per semplificare le complesse operazioni necessarie a mutare l’identità del PC si trovano in rete programmi che sono in grado di farlo automaticamente; molto spesso questi programmi offrono pi ù di una funzione e sono in grado di ‘essere d’aiuto’ al pirata in una varietà di situazioni. Uno di questi toolkit è “Divine Intervention”. Come tutti i programmi di questo tipo anche Divine Intervention ha un’interfaccia semplificata e dai colori particolarmente cupi; tutte le spiegazioni sono ovviamente in inglese. Il pirata deve innanzitutto recuperare, come abbiamo visto più volte, l’indirizzo IP del computer che vuole attaccare. I luoghi virtuali più frequentati dai malfattori sono solitamente IRC e ICQ; questi pro-
47
Quarto giorno: Metodi di attacco di base
grammi per frequentare le rispettive Chat Line mostrano l’indirizzo IP dell’utente che si vuole colpire. Vale la pena ricordare che l’indirizzo IP di quasi tutti gli utenti di Internet è dinamico, il che significa che lo stesso utente non avrà lo stesso indirizzo ogni volta che si connette. Vedi amo quindi come è possibile, per un Hacker/Cracker eseguire un Nuking verso un altro utente. La funzione di Divine Intervention utilizzata per questo scopo è posta sotto la voce Retribution e si chiama FyRE. Dopo aver avviato Divine Intervention, il malintenzionato, deve inserire nell’apposito campo l ’indirizzo IP del malcapitato, il numero di porta da attaccare direttamente, e un eventuale messaggio. A questo punto è sufficiente premere il pulsante Nuke’em! per dare inizio al bombardamento. I risultati di queste operazioni possono essere i più
disparati: dallo schermo blu di Windows, alla disconnessione da Internet, al riavvio forzato di Windows stesso; dipende semplicemente dal sistema operativo che è installato sulla macchina bersaglio, dalle configurazioni di sistema e, molto importante, da eventuali sistemi di protezione installati e configurati. “FyRE” è un ODB nuker. In pratica sfrutta una falla di Windows 95 e NT, provocando il reset del sistema operativo spedendo dati ODB (Out of Band) tramite la porta NetBios (139 per Win95 e 135 per WinNT). Teniamo conto che esistono già da tempo apposite “pezze” per questo tipo di falle.
Kickare da Chat (Nuke) Sempre utilizzando Divine Intervention, alla voce Retribution, esiste un’applicazione chiamata BRiMSTONE.
Figura 4.12 - Bombardando di pacchetti dati un indirizzo IP spesso si ottiene il blocco del computer
48
Questo programma permette agli hackers/crackers di eseguire nuke da chat, nel caso specifico di utenti IRC. E’ possibile quindi, per un malintenzionato, disconnettere un altro utente collegato al servizio di chat line. E’ teoricamente possibile, disconnettere un utente dalla connessione ad Internet; occorre però conoscere gli esatti dati di tale utente. Per espellere (kickare) un utente da una chat IRC, il malintenzionato o il moderatore della chat, deve inserire l’indirizzo IP dell’indesiderato nella casella Client e l’esatto indirizzo del Server IRC (che solitamente è irc.qualcosa.net). Infine occorre impostare un intervallo di porte da tentare durante l’attacco. Un altro parametro “personalizzabile” è il numero di pacchetti dati da inviare in un determinato lasso di tempo: occorre sperimentare diverse soluzioni fino a raggiungere quella ottimale.
Figura 4.13 - Sempre utilizzando Divine I ntervention,
alla voce Retribution, esiste un ’applicazione chiamata BRiMSTONE che consente di disconnettere un altro utente collegato al servizio di chat line
Il mondo degli Hacker in 7 giorni
5
°
o n r o Gi
Metodi di attacco di Medio e Alto Livello Metodi di attacco di medio livello Come fanno i pirati a: •Sproteggere programmi •Crackare password di posta •Creare virus •Sfruttare i buchi IIS •Effettuare lo Sniffing •Intercettare reti wireless
Metodi di attacco di alto livello Come fanno i pirati a: •Sproteggere programmi •Effettuare lo Spoofing •Creare Trojan •Effettuare attacchi DoS •Effettuare attacchi DDoS
50
Il mondo degli Hacker in 7 giorni
Metodi di attacco di medio livello Sproteggere programmi Ovviamente non tutti i cracker hanno le capacità e la voglia di aggirare le protezioni di un programma, in loro aiuto vengono altri cracker più dotati che pubblicano in rete i risultati dei loro sforzi. Su Internet si possono trovare diversi sistemi per la sprotezione dei programmi, ecco i più conosciuti: I numeri seriali : molti siti hanno lunghi elenchi di
numeri di codice funzionanti, la generazione di questi numeri è in alcuni casi, banale.
Figura 5.3 - Patch per un programma
Figura 5.1 - Numero seriale per un programma
Una persona acquista il programma e ne mette a disposizione di tutti il numero di codice, in molti casi questo semplice sistema funziona; nei casi in cui, invece, il numero di codice viene generato in base alle caratteristiche del computer su cui viene installata l’applicazione, occorre ricorrere ad un’altra categoria di sprotezioni: i KeyGen. I generatori di codici (KeyGen) sono dei programmi che si occupano di creare il numero seriale adatto ad
Figura 5.2 - Generatore di codici (Keygen) per un
programma
un determinato programma. Facciamo un esempio: una hacker scarica la versione demo di un programma e desidera utilizzarlo anche dopo la scadenza; dovrà cercare sulla rete un sito ove viene offerto il KeyGen adatto all’applicazione, scaricarlo ed eseguirlo. Il programma fornirà un codice di accesso valido che il pirata utilizzerà per ‘ingannare’ il programma dimostrativo trasformandolo nella versione completa. In luogo dei KeyGen il pirata potrà utilizzare le Patch, anche questi sono programmi che si trovano nei meandri del Web, occorre scaricare quella adatta per il software desiderato ed eseguirla. Le Patch funzionano in modi diversi: possono modificare l’eseguibile del programma in modo da invalidarne le routine di controllo, o agire sul registro di Windows modificandone dei valori. In ogni caso lo scopo è quello di ottenere, partendo dalla versione dimostrativa, un programma completo e senza limitazioni. Ancora più esplicitamente alcuni siti offrono il programma completo, già crackato, e perfettamente funzionante, il disonesto non dovrà fare altro che scaricarlo e installarlo sul suo computer. Questa categoria di applicazioni protette prende, in genere, il nome di Appz. Ribadiamo che questo modo di ottenere applicazioni sprotette è non soltanto illegale, ma anche lontano anni luce dall’etica Hacker o anche cracker.
51
Quinto giorno: Metodi di attacco di Medio e Alto livello
Crackare password di posta La posta altrui è una fonte inesauribile di informazioni, i craker sono interessatissimi a conoscere appuntamenti, password, nominativi e informazioni riservate in genere.
esperto utilizzerà la stessa grafica e lo stesso stile delle mail che il vero staff invia agli utenti. Un altro metodo è quello di tentare attacchi cosiddetti di "forza bruta". Si tratta, in pratica, di utilizzare appositi programmi illegali che effettuano innumerevoli tentativi di login al servizio di posta elettronica della vittima sfruttando database di possibili password. Uno di questi programmi è “Brutus”. Questo sfrutta database, trovati in rete o creati dallo stesso hacker, che contengono l'intero dizionario di una o più lingue ed eseguono un tentativo di login per ogni parola contenuta nel dizionario fino a trovare quella giusta. La buona riuscita di tale operazione dipende fondamentalmente dalla scaltrezza dell'utente a cui viene rivolto l'attacco.
Figura 5.4 - I craker sono interessatissimi a cono-
scere il contenuto della nostra posta elettronica
Per avere accesso a tali informazioni occorre però conoscere due dati essenziali: nome dell'account di posta elettronica e relativa password. Per quanto concerne il nome account questo è noto a priori, in quanto il craker conosce l'indirizzo che vuole crackare; non rimane che individuare la relativa password. Il metodo più semplice utilizzato dai pirati è creare un indirizzo di posta elettronica sullo stesso server della vittima facendo credere ad essa di appartenere allo staff. In pratica se la vittima possiede un indirizzo tipo
[email protected], il cracker può creare un proprio account, facendo molta attenzione a non lasciare tracce, come ad esempio
[email protected]; a questo punto, utilizzando la mail del finto staff spedisce una lettera che richiede la password per motivi di aggiornamento dei database utenti, arricchendo il tutto con mille formalità per dare al messaggio un aspetto ‘ufficiale’. Solitamente un utente poco esperto risponde alla mail senza insospettirsi e il gioco è fatto. Tutto si basa sulla credibilità del messaggio, un craker
Figura 5.5 - Una password non ovvia: è costituita
dalle iniziali delle parole di una canzone
La maggior parte degli utenti normali utilizza password ovvie, ad esempio la password dell’indirizzo
[email protected] è quasi sicuramente carlo; il cracker utilizza il nome, cognome, data di nascita e nome login come primi tentativi da affidare a Brutus e molto spesso si impossessa di tutta la posta della vittima in pochi secondi.
Creare virus La creazione di un virus funzionante non è impresa da poco, occorre conoscere uno o pi ù linguaggi di
52
Il mondo degli Hacker in 7 giorni
programmazione, conoscere e saper sfruttare le falle dei sistemi operativi e, inoltre, sopravvivere agli antivirus! Purtroppo, ultimamente, la creazione di virus viene molto facilitata da appositi programmi reperibili in rete. Chiunque ormai, utilizzando questi generatori di virus, ne può creare uno senza possedere conoscenza alcuna. Peggio ancora, in rete è facilissimo reperire i codici sorgenti di numerosi virus, in alcuni casi è sufficiente modificare il codice per ritrovarsi con un virus nuovo di zecca che, per qualche tempo, potrebbe ingannare gli anti-virus. Figura 5.7 - Il generatore di Trojan VbsWg
in tal caso il messaggio da mostratre nel campo oggetto del messaggio. E’ possibile indicare se l’infezione deve esser propagata in un particolare giorno dell’anno, inoltre il Worm così generato è in grado, secondo l’autore, di scaricare ed eseguire un programma.
Sfruttare i buchi IIS Figura 5.6 - Sito con virus da scaricare
Per i crakers più pigri esiste l’alternativa di scaricare un virus già pronto e diffonderlo; certo, i vecchi virus sono noti agli antivirus e non hanno alcuna probabilità di passarla liscia; tuttavia, incredibilmente, sono ancora molti i computer connessi in rete che non fanno uso di antivirus; anche questi vecchi virus hanno, dunque, probabilità di sopravvivere e diffondersi. Esistono poi, tutta una serie di programmi di contorno che aiutano nel compito di creare virus, uno di questi è SubSeven nella versione 2.2 Un altro esempio di programma per creare virus e Trojan è Vbswg, un generatore di Worm molto semplice da usare, presenta una serie di opzioni che consentono di personalizzare i Worm preconfezionati. E’ possibile assegnare un nome al Worm, inserire il proprio nome, decidere quando il Worm deve essere avviato (alla partenza di Windows oppure no), se deve utilizzare la posta elettronica per la diffusione, e,
Come molti sapranno IIS (Il server di Microsoft: Internet Information Server ) è una fonte inesauribile di spunti per gli hackers e crackers, poiché racchiude diverse applicazioni da violare e consente di raggiungere risultati molto interessanti per i craker.
Figura 5.8 - La ricerca di ‘IIS bug’ produce una gran
quantità di risultati, non appena una falla viene scoperta Microsoft si affretta ad approntare un rimedio
53
Quinto giorno: Metodi di attacco di Medio e Alto livello
Ad esempio, attraverso l'utilizzo di appositi comandi è possibile visualizzare il codice di pagine ASP ed avere accesso a informazioni riservate di siti web dinamici: ad esempio la posizione esatta del database con i nomi e le password degli utenti che hanno accesso alle zone riservate del sito. Esistono comandi che visualizzano il contenuto della cartella scripts CGI del server attaccato: anche in questo caso il pirata ottiene tutte le informazioni necessarie per attaccare il server IIS o il sito. La lotta fra attaccanti e difensori si evolve quotidianamente, non appena un pirata scova una falla per penetrare nel server, i difensori escogitano un rimedio (una Patch) per impedire l’accesso in futuro. Molto spesso quando vengono rese pubbliche, da parte degli hackers, le procedure o i programmi per bucare IIS, Microsoft ha già pronto un rimedio. Occorre quindi essere un vero hacker per poter attuare un solido attacco a IIS o applicazioni simili, tipo Apache ecc.
stemi operativi Windows 2000 o superiori (XP). L’uso del programma è abbastanza semplice, il malintenzionato deve inserire nell'apposito campo l'indirizzo IP della macchina di cui vuole analizzare il transito dei pacchetti-dati, quindi avviare il programma. I pacchetti-dati vengono quindi analizzati dal PC dell'hacker, ed è possibile analizzare il contenuto degli stessi grazie al visualizzatore dei dati. Solitamente il contenuto che desta maggiormente l’interesse dei pirati è il testo, ma sappiamo benissimo che, attraverso la rete, è possibile inviare qualsiasi tipo di documento: immagine, audio, filmato; il programma offre quindi la possibilit à di visualizzare il solo testo, oppure l’intero contenuto in notazione decimale o esadecimale. L’hacker pazientemente spia il transito dei dati alla ricerca di un messaggio interessante: una password o informazioni di valore.
Intercettare reti wireless Effettuare lo Sniffing Per effettuare lo sniffing in una rete locale, il cracker, deve eseguire due operazioni fondamentali: utilizzare la propria scheda di rete in modo promiscuo e usare un valido programma per decifrare i pacchetti che cattura.
Le reti wireless (con collegamenti ad onde radio, anziché via cavo) stanno diventando una realtà sempre più diffusa nella vita quotidiana di molte aziende e abitazioni, e sono una ghiotta occasione per molti hackers, poich é è praticamente impossibile proteggerle da intrusioni. Solitamente, per inserirsi in una rete wireless di soppiatto, i malintenzionati si procurano i seguenti
Figura 5.9 - Il generatore di Trojan VbsWg
Uno di questi programmi di decrittazione è NetworkActive Sniffer . Questa applicazione è utilizzata dagli hackers sia in rete locale che Internet, ma funziona soltanto su si-
Figura 5.10 - Le reti wireless stanno diventando
una realtà sempre più diffusa nella vita quotidiana di molte aziende e abitazioni
54
"attrezzi": una scheda di re te wireless, possibilmente montata su un computer portatile, un programma di diagnostica per wireless, come ad esempio NetStumbler.
A questo punto è sufficiente situarsi vicino a uffici o abitazioni ove sono in funzione reti wireless e avviare il programma. Una volta rilevato un segnale IEEE802.11b, ossia un segnale che utilizza il protocollo di comunicazione per reti wireless, NetStumbler consente di ottenere quasi tutte le informazioni necessarie per penetrare nella rete. Tra queste informazioni è possibile ottenere l'indirizzo MAC (un numero identificativo della scheda) dell’acces point, il dispositivo che gestisce la rete wireless. L’hacker ottiene, inoltre, il Ssid, un parametro utile per accedere ad una rete wireless, una sorta di password utilizzta per comunicare con l’access point. Ottenute queste informazioni chiunque è in grado di utilizzare la rete locale Wireless come un utente accreditato pur rimanendo anonimo. Dobbiamo aggiungere, inoltre, che la maggior parte degli utenti wireless hanno poca dimestichezza con questa nuova tecnologia, e tendono a sottovalutare i problemi di sicurezza di questo standard;
Il mondo degli Hacker in 7 giorni
ad esempio trascurano il posizionamento dell'Access Point ponendolo, magari, vicino a finestre; è quindi possibile che i segnali vengano propagati all'esterno dell'edificio e siano alla portata di chiunque; inoltre la maggior parte delle volte viene abilitato il Dhcp, ossia l'applicazione che permette di assegnare un indirizzo IP dinamico ad ogni nuovo elemento della rete che si connette: è quindi facile che un malfattore ottenga un valido indirizzo IP anche se non dovrebbe far parte della rete.
Metodi di attacco di alto livello Sproteggere programmi Il modo più efficace di togliere le protezioni ad un programma è proprio quello di modificare il programma stesso in modo che non controlli l’inserimento del numero seriale o che, comunque, riporti sempre un esisto positivo per qualunque numero immesso. Per fare questo il pirata deve possedere un disassemblatore, cioè un programma che mostri in linguaggio assembler il programma compilato. Ovviamente bisogna masticare un po’ di assembler.
Figura 5.11 - Alcune righe di un tutoria per crackare un programma
55
Quinto giorno: Metodi di attacco di Medio e Alto livello
Inoltre occorre sapere che le routine di controllo vengono, per sicurezza, richiamate da punti diversi del programma, quindi non bisogna commettere l’errore di eliminare la chiamata alla routine ma agire direttamente sulla routine stessa. Tutto questo comporta la conoscenza delle tecniche di programmazione: variabili, routine, scelte condizionali… Molti crakers possiedono queste conoscenze, che non sono difficili da acquisire con un po ’ di passione; tutto si può dire degli Hackers/Crakers tranne che non siano appassionati! A scopo di studio abbiamo inserito nel Cd che accompagna la Videoguida un tipico tutorial trovato in rete, abbiamo modificato il nome del programma vittima e poche altre cose. Vediamo adesso, più in generale, quali tipo di protezioni esistono e come i pirati le aggirano. Programmi con NAG SCREEN
Se il programma possiede delle schermate di avviso (nag screen) il Craker le toglierà. Per eliminarle occorre trovare la chiamata alla routine che le richiama ed eliminare il salto alla routine. Programmi con NAG SCREEN e Numero di Registrazione Numerosi programmi danno la possibilit à di annul-
lare il Nag Screen inserendo un codice di registrazione del prodotto. In questo caso non sar à necessario disabilitare il nag screen, baster à inserire un codice di registrazione. Il pirata troverà e modificherà la routine in modo che faccia funzionare il programma solamente se il numero di registrazione è errato, semplicemente invertendo un confronto. A questo punto il programma funzionerà con qualunque numero inserito... tranne quello vero! Programmi con Funzioni Disabilitate
Per prima cosa, il craker deve verificare se le funzioni sono solamente disabilitate, oppure se non sono nemmeno implementate nel programma in questo caso è chiaro che non vi è nulla da fare. Nel primo caso, invece, il craker deve trovare la procedura che decide se abilitare o meno le funzioni. Di solito queste funzioni leggono dei flag scritti da
qualche parte nel registro di configurazione o nei propri file, li confrontano e decidono se abilitare le funzioni. Trovando la procedura di controllo, e modificando i flag letti, si avranno a disposizione tutte le funzioni desiderate. Programmi Trial a Tempo
I programmi denominati "Try&Buy" sono programmi completi che dopo un certo lasso di tempo smettono di funzionare. Alcuni dopo un certo numero di giorni dall'installazione, altri dopo una certa data. I primi, scrivono in qualche zona dell'Hard Disk un valore che aumenta di giorno in giorno, e che quando supera un certo valore, blocca il programma. Per scoprire il file in cui viene scritto il valore è possibile utilizzare un monitor di Interrupt, oppure un registry tracker per scoprire in quali punti del registro il programma scrive. In alternativa, come nei casi precedenti, il pirata dovrà trovare la funzione di controllo e disattivarla.
Effettuare lo Spoofing L'IP spoofing è una tecnica molto utilizzata dagli Hackers per mascherare la propria identità, in particolare per quanto riguarda l'indirizzo IP. Dopo aver eseguito l'IP spoofing, è possibile eseguire qualsiasi tipo di attacco, dal DDoS alla navigazione in aree controllate senza lasciare tracce che riconducano direttamente all'hacker. In rete è possibile trovare applicazioni che permettono di settare la scheda di rete in modo promiscuo, e quindi eseguire lo sniffing di informazioni altrui, spedire pacchetti di dati che abbiano un indirizzo IP diverso da quello vero; ovviamente non si possono avere informazioni sulle azioni eseguite perché ogni eventuale risposta viene inviata all’indirizzo ‘spoofato’, tuttavia l’Hacker può rimanere nell’anonimato. L’Ip spoofing può venire realizzato in diversi modi, dipendenti specialmente dal programma utilizzato; non si può quindi indicare una procedura valida per ogni occasione. Solitamente l’hacker si autocostruisce un programma ad hoc; questo richiede competenze approfondite di programmazione e ottima conoscenza delle reti.
56
In sostanza il nucleo del problema consiste nel modificare il mittente di ogni pacchetto dati che viene inviato in modo che contenga l’indirizzo del mittente falso o spoofato. Sussiste però il fatto che in rete non ci possono essere due indirizzi IP identici; è quindi opportuno procurarsi un altro programma che si occupa di analizzare la rete e fornire un elenco degli indirizzi al momento non utilizzati, cosicché se ne possa utilizzare uno per compiere l’azione desiderata. Tra i programmi da utilizzare in queste due fasi possiamo trovare WinDump e WinPcap anche se è abbastanza difficile trovarli e utilzzarli.
Creare Trojan Per capire grossomodo come fanno i pirati a creare virus e trojan vediamo come si può realizzare, in poche righe, un semplicissimo programma che viene eseguito all’insaputa dell’utente. Premettiamo che, rispetto alle sofisticate doti dei virus veri quello che qui vedremo è solo un gioco da bambini, anzi non lo si può neppure definire virus, in quanto gli manca la capacit à di trasmettersi e replicarsi. L’MS-DOS (MicroSoft Disk-Operating-System) è il sistema operativo che ha preceduto Windows, di questo vetusto sistema operativo restano ancora tracce in Windows, esiste infatti ancora il file AUTOEXEC.BAT; questo file viene esaminato ad ogni
Figura 5.12 - All’avvio del computer viene eseguito
il file Autoexec.bat PRIMA di avviare Windows
Il mondo degli Hacker in 7 giorni
avvio del computer e, se contiene dei comandi, questi vengono eseguiti. Il file AUTOEXEC.BAT può contenere uno o più comandi DOS con i quali si può fare di tutto: copiare file, creare directory, eliminare file, avviare programmi eseguibili (con estensione EXE oppure COM); è anche possibile lanciare altri file di comandi DOS con estensione .BAT. Ai tempi del DOS il file Autoexec era molto conosciuto, le nuove generazioni di utenti, che hanno utilizzato solo Windows, ne ignorano a volte l ’esistenza. Come per tutte le loro azioni dannose i pirati cercano di sfruttare i punti deboli: le falle dei sistemi operativi e l’ignoranza degli utenti. Un’avvertenza, il file Autoexec.bat, pur essendo ancora presente, non viene più eseguito sotto WindowsXP o quelle versioni di Windows che utilizzano il file system NTFS in luogo di FAT 16/32, per cui gli ospiti indesiderati non possono utilizzare questo sistema per introdursi nel nostro computer. Costruiamo insieme questo programmino di prova. Innanzitutto facciamo una copia di riserva del file Autoexec.bat, quindi utilizzando il blocco note apriamo il file per modificarlo. Senza toccare nulla delle righe precedenti inseriamo quanto segue: @echo
Buon compleanno!
pause
Il comando @echo mostra sullo schermo la frase che lo segue, in questo caso ‘Buon compleanno!’ Il comando pause impone una pausa, è necessario altrimenti il testo scivolerebbe via velocemente e l’utente non farebbe in tempo a vederlo; per proseguire occorre premere un tasto qualunque. Questo è un simpatico modo di augurare buon compleanno a qualcuno, tuttavia un pirata potrebbe inserire comandi ben più pericolosi, ad esempio impedire l’avvio di Windows o, addirittura, formattare l’intero disco fisso! Per rendere il cosiddetto virus meno visibile è possibile trasformare un file .BAT in un file .EXE, a questo scopo viene utilizzato il programma Bat2EXE che, come dice il nome, esegue questa operazione. Ciò che alcuni di voi si chiederanno: come fa il pirata a sostituire il mio file Autoexec con quello modificato?
57
Quinto giorno: Metodi di attacco di Medio e Alto livello
Figura 5.13 - Stiamo editando il file Autoexec.bat utilizzando il blocco note
I metodi possono essere molti, quello forse più semplice è di zipparlo insieme ad un programma freeware, durante l’operazione di decompressione il vostro file Autoexec andrà a sostituire quello originale; questo è il comportamento tipico dei Trojans che vengono introdotti nel sistema di soppiatto, durante l’installazione di programmi che sono solamente specchietti per le allodole. Un metodo più efficace consiste nell’inviare un file VbScript come allegato di posta elettronica; il programma VbScript si occupa di copiare il file Autoexec nella root del disco C: Per rendere meno evidente la presenza dello Script il Pirata può utilizzare il metodo della doppia estensione per camuffarlo; il metodo consiste semplicemente nel dotare il file di due estensioni, ad esempio Prova.doc.vbs, in tal modo Windows mostrer à solo la prima estensione ed il file sembrerà un documento Word. Questo trucco non funzionerà se l’utente ha scelto di mostare le estensioni dei file
Figura 5.15 - Attivando la visualizzazione delle estensioni
scopriamo che si tratta della calcolatrice di Windows
(cosa che consigliamo caldamente a tutti). Sempre con VbScript è possibile aprire il file autoexec del computer, aggiungere uno o più righe e salvarlo così modificato. Con Javascript è possibile, in modo più complesso, ingannare il meccanismo che scrive nella cache di Internet Explorer in modo che il file venga posto sul disco fisso ove desideriamo noi.
Effettuare attacchi DoS
Figura 5.14 - Il file mostrato sembra un file di testo, ma
solo perché non vediamo la sua reale estensione
Come abbiamo visto precedentemente con i Nuke, è possibile eseguire un attacco ad un determinato utente, utilizzando appositi programmi che tendono a bloccare l'utente stesso. Uno dei metodi più utilizzati è quello di esaurire la banda-dati del collegamento Internet dell'utente attaccato. Il programma precedentemente analizzato, Divine Intervention, non è che una delle centinaia di applicazioni che permettono di eseguire questo e altri tipi di attacco DoS.
58
Figura 5.16 - Alcuni dei programmi usati per bloc-
care l’utente hanno il compito è quello di assorbire tutte le risorse della CPU con compiti semplicissimi, ma ripetuti all’infinito
Il mondo degli Hacker in 7 giorni
Supponiamo quindi che l'attacco sia stata programmato per una determinata ora di un determinato giorno. Scoccata l'ora stabilita, tutti i crakers, da computer diversi, avviano un attacco DoS. Il server attaccato risponde alle chiamate degli utenti, ma deve anche far fronte alla valanga di attacchi DoS; a seconda del livello di sicurezza del server stesso e della sua potenza, il server supporter à e processerà un numero limitato di risposte, dopodiché rimarrà fuori servizio e dovrà essere riavviato, negando per alcuni momenti il servizio ai visitatori. Se, oltre a questi attacchi, i crakers riuscissero a inserire un piccolo programma all'interno del server, che riesca a "succhiarne" la poten za della CPU, questo server potrebbe avere seri problemi per più ore; almeno fino a quando l'amministratore non riuscir à a scovare e neutralizzare il programma. Ovviamente i malfattori devono fare attenzione a non lasciare tracce perché questi attacchi sono punibili dalla legge.
Esistono anche applicazioni molto più complesse, che permettono addirittura di esaurire le risorse del computer attaccato. Alcuni craker utilizzano semplici programmi autocostruiti che possono essere inseriti in normali e-mail e, considerato che non sono virus, passano inosservati al controllo anti-virus. Questo tipo di programmi, una volta posti nell'hard disk, vengono richiamati ad ogni avvio; il loro compito è quello di assorbire tutte le risorse della CPU con compiti semplicissimi, ma ripetuti all’infinito. Creare questi programmi richiede una certa abilit à e un po’ di fantasia da parte del programmatore.
Effettuare attacchi DDoS Gli attacchi DDoS altro non sono che attacchi DoS eseguiti da gruppi organizzati di Crakers. Immaginiamo che diversi crakers abbiano intenzione di negare il servizio (Denial of Service) di un determinato server Internet il cui nome è http://www.azienda.it/. Ognuno dei Crakers di questo esempio possiede una copia di Divine Intervention o simili.
Figura 5.17 - Gli attacchi DDoS altro non sono che
attacchi DoS eseguiti da gruppi organizzati di Crakers
I craker, dunque, prima di sferrare l’attacco mascherano il loro indirizzo IP attraverso la tecnica dell'IP spoofing; oppure utilizzano una lunga lista di proxy server attraverso i quali far rimbalzare i loro segnali e quindi far perdere eventuali tracce.
6
°
o n r o Gi
Come difendersi Precauzioni contro i danni limitati E-mail anonime: metodi di difesa E-mail camuffate: metodi di difesa PGP e la crittografia della posta elettronica I Nuke: metodi di difesa
Precauzioni contro i danni di media portata Quale Sistema Operativo per essere sicuri? Sproteggere i programmi: metodi di difesa Intercettazioni wireless: metodo di difesa Virus: metodi di difesa Antivirus Symantec Norton Antivirus 2003 Avast! Buchi di IIS: metodo di difesa Lo sniffing: metodo di difesa
Precauzioni contro i danni gravi Sproteggere i programmi: metodi di difesa IP Spoofing: metodi di difesa DNS Spoofing: metodi di difesa HTTPS e siti sicuri Che cos'è un firewall e a cosa serve? ZoneAlarm Firewall Hardware Attacchi DoS: metodi di difesa Lo Smurf: metodi di difesa Attacchi DDoS: metodi di difesa
60
Precauzioni contro i danni limitati Abbiamo visto nel giorno 4 come i cracker possano provocarci senza fatica dei danni di piccola entità, come ad esempio l’utilizzo della posta elettronica in modo scorretto e improprio. Possiamo considerare questi episodi di pirateria come il banco di prova dei futuri Hacker. Consideriamo che i migliori alleati degli Hacker, a questo livello, siamo noi utenti con le nostre disattenzioni, la nostra pigrizia nel ricercare password più complesse e nel settare le opzioni di sicurezza del sistema operativo.
Il mondo degli Hacker in 7 giorni
gratuiti e, quindi, l'esempio che abbiamo analizzato nel giorno 4, non funziona su tutti i server SMTP. In passato le protezioni dei server erano meno rigorose e si correva il rischio effettivo di ricevere mail anonime, oggi invece con l'evoluzione di Internet, si corre fondamentalmente meno rischio da questo punto di vista.
E-mail camuffate: metodi di difesa Anche se conosciamo a menadito gli indirizzi di posta elettronica che utilizziamo più frequentemente per comunicare via Internet, è bene cercare sempre delle conferme dei messaggi che riceviamo.
E-mail anonime: metodi di difesa La posta è il punto debole della rete! La maggior parte dei problemi che incontreremo utilizzando il nostro computer avranno a che fare con le applicazioni per gestire la posta elettronica. La configurazione dell'account, oppure l'iscrizione ad un provider, sia gratuito che a pagamento, sono da sempre dei veri e propri rompicapo per la maggior parte degli utenti. Oltre a questi problemi si aggiungono quelli della protezione dei dati che spediamo e la possibilità di essere infettati da virus.
Figura 6.2 - in caso di messaggi sospetti conviene
accertarsi della loro autenticità
Figura 6.1 - La posta è il punto debole della Rete...
Per difendersi dalle mail anonime ci sono ben poche soluzioni; infatti esse non possono essere evitate se non rivolgendosi a specifici provider (a pagamento), che si occupino di filtrare la posta che ci arriva. Tuttavia, ormai da tempo, questo problema è stato preso in considerazione anche dai provider
Uno dei sistemi con cui sventare queste minacce sono le norme del buon senso, in caso di messaggi sospetti conviene accertarsi della loro autenticità avendo un colloquio con il presunto mittente. Un’altra tecnica pratica è quella di impostare il client di posta elettronica in modo che avvisi dell'avvenuta ricezione del messaggio; in tal modo almeno il mittente avrà sentore che sta accadendo qualcosa di anormale, infatti riceverà l'avviso di ricezione di un messaggio che non ha mai inviato.
PGP e la crittografia della posta elettronica Nonostante quanto abbiamo detto precedentemente esiste un metodo per avere un a maggiore si-
61
Sesto giorno: Come difendersi
curezza nell'atto di ricevere messaggi di posta elettronica. Esistono da tempo una serie di programmi che servono a crittografare le e-mail e, inoltre, consentono di avere più sicurezze sul mittente: uno di questi programmi è PGP. Nonostante questo tipo di software sia stato concepito per evitare che occhi indiscreti scrutino le mail che inviamo e riceviamo, chi vuole spedire mail crittografate deve iscriversi al servizio ed è obbligato a disporre di una casella di posta elettronica funzionante. PGP può essere utilizzato se dobbiamo spedire dati o interi documenti con la sicurezza che non possano essere decifrati dai vari malintenzionati appostati in rete. Questo programma è Open Source ed è quindi disponibile in versione freeware all'indirizzo www.pgpi.org non necessita quindi di alcuna licenza. PGP utilizza due chiavi virtuali . Una chiave è privata mentre l'altra è pubblica e viene generata direttamente sul nostro computer al momento dell'installazione in maniera univoca, tutte e due le chiavi sono uniche e possono essere utilizzate solo dall'effettivo possessore di entrambe tramite password. Dopo esserci procurati una copia di PGP possiamo installarlo e avviarne la configurazione. La prima operazione da eseguire è la creazione del nostro paio di chiavi o key pair. Il pulsante Avanti consente di passare alla finestra successiva.
Figura 6.4 - In questa finestra, come primo dato
inseriremo il nome intero dell'utente. Questo sar à il nome di riconoscimento delle nostre chiavi, sia quella pubblica che quella privata
Il nome intero dell'utente è il primo dato da inserire. Questo sarà il nome di riconoscimento delle nostre chiavi, sia quella pubblica che quella privata. Dobbiamo quindi inserire il nostro indirizzo e-mail, i messaggi degli altri utenti perverranno all'indirizzo indicato.
Figura 6.5 - Qui inseriamo il nostro indirizzo e-mail, i
messaggi degli altri utenti perverranno all'indirizzo indicato
Figura 6.3 - Il programma PGP, da qui daremo inizio
alla creazione del nostro paio di chiavi o Key pair
A questo punto dobbiamo inserire una Passphrase ossia una frase che permetterà di accedere al servizio una sorta di password con pi ù parole. Deselezioniamo Hide Typing .
62
Inseriamo quindi una frase a nostro piacere è molto utile inserire una frase che possiamo ricordare facilmente per far fronte a problemi di memoria! Mentre inseriamo il testo, viene automaticamente valutata la sicurezza della passphrase da un apposito cursore più è lunga la frase e più sar à sicura.
Il mondo degli Hacker in 7 giorni
La configurazione è terminata e il programma contiene tutte le informazioni necessarie per creare messaggi crittografati, quindi premiamo il pulsante Fine . Effettuato il riavvio, possiamo aprire il programma vero e proprio ed analizzarne i due aspetti, per il momento, più importanti PGP Tools e PGP Keys . PGP Tools è costituito da una piccola finestra nella quale è possibile gestire le operazioni di codifica e decodifica dei vari messaggi, mentre PGP Keys è praticamente il nostro portachiavi. Come potremo vedere, l'utente precedentemente creato è stato inserito nel nostro portachiavi locale.
Figura 6.6 - Abbiamo inserito una Passphrase,
abbiamo deselezionato il comando Hide Typing e ne viene valutata la sicurezza
Come spesso accade durante l'inserimento delle password, anche in questo caso, occorre digitare nuovamente la frase facendo attenzione che sia identica a quella precedentemente inserita. E' possibile nascondere entrambe le frasi. Selezioniamo Hide Typing e le chiavi vengono quindi create.
Figura 6.7 - Abbiamo ridigitato la frase identica alla
precedente e selezionato il comando Hide Typing, le chiavi sono state create
Figura 6.8 - Ecco PGP Tools, è costituito da una
piccola finestra nella quale è possibile gestire le operazioni di Codifica e decodifica dei vari messaggi, mentre PGP Keys è praticamente il nostro portachiavi. Osserviamo che l'utente precedentemente creato è stato inserito nel nostro portachiavi locale
Ora, clicchiamo il segno ‘+’ per espandere la visualizzazione nelle specifiche dell'utente e vedremo la chiave pubblica e quella privata. Occorre tuttavia inserire la chiave pubblica su un apposito server on-line per renderla effettivamente pubblica. Dopo aver effettuato la connessione ad Internet, dobbiamo scegliere la chiave da pubblicare sul server. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Send To > nome del server Il programma provvederà a spedire la nostra chiave pubblica al server selezionato e manda un avviso se
63
Sesto giorno: Come difendersi
Figura 6.9 - Abbiamo fatto un clic sul segno + per
espandere la visualizzazione, vediamo cos ì la chiave pubblica e quella privata
l'operazione si è svolta in modo corretto. E' possibile che alcuni server al momento non rispondano, in questo caso, si pu ò provare a spedire ad un altro server.
Figura 6.11 - Abbiamo premuto il pulsante Search
ed il nome è stato trovato; successivamente questa operazione potrebbe essere necessaria per trovare la chiave pubblica dell'utente al quale vogliamo spedire una e-mail crittografata
Per avviare la ricerca occorre, naturalmente, essere connessi ad Internet. Premiamo il pulsante Search e dopo alcuni istanti il nome sarà trovato; successivamente questa operazione potrebbe essere necessaria per trovare la chiave pubblica dell'utente al quale vogliamo spedire una e-mail crittografata. Dobbiamo innanzitutto procurarci la sua chiave pubblica cercando sul server con lo stesso strumento con cui ci siamo accertati che la nostra chiave fosse presente on-line. Supponiamo inoltre che il suddetto utente si chiami Utente Destinatario inseriamo il suo nome nel-
Figura 6.10 - Abbiamo eseguito un clic destro sulla
chiave desiderata e selezionato la voce Send To> nome del server
Dopo alcuni minuti sar à possibile verificare la presenza della nostra chiave pubblica effettuando una ricerca sul server prima specificato. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Search , avremo una finestra che permette di effettuare le nostre ricerche sui server gestiti dai realizzatori di PGP. Dopo aver selezionato il server a cui abbiamo inviato la nostra chiave pubblica, possiamo effettuare la ricerca inserendo il nome dell'utente.
Figura 6.12 - Abbiamo eseguito un clic destro
sulla chiave desiderata e selezioniamo la voce Search. Anche se non compare alcun avviso, la chiave è stata correttamente importata nel nostro portachiavi locale
64
l'apposito campo e avviamo la ricerca. Premiamo il pulsante Search. Una volta individuato l'utente possiamo scaricare la sua chiave pubblica e controllare che l'indirizzo e-mail corrisponda con quello dell'utente di destinazione dell'e-mail. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Search. Anche se non compare alcun avviso, la chiave è stata correttamente importata nel nostro portachiavi locale. Possiamo ora creare un messaggio e spedirlo a questo utente. Utilizzando un qualsiasi editor di testo scriviamo un breve messaggio di prova da spedire. Per poter crittografare un messaggio, con PGP, occorre selezionare un file o anche utilizzare il contenuto degli appunti di Windows; nel n ostro esempio, essendo un brevissimo messaggio, possiamo utilizzare gli appunti. All'interno dell'editor di testi occorre selezionare il testo che vogliamo crittografare. Inseriamo quindi il testo selezionato negli appunti di Windows nessun messaggio verrà visualizzato! Premiamo la combinazioni di tasti sulla tastiera Ctrl + c poi, utilizzando PGP Tools, andremo a crittografare il messaggio. Premiamo il pulsante Encrypt and Sign Viene aperta automaticamente una finestra in cui è possibile selezionare un file nel nostro esempio uti-
Figura 6.13 - Abbiamo premuto il pulsante Encrypt
and Sign ed abbiamo una finestra in cui è possibile selezionare un file nel nostro esempio utilizzeremo l'opzione Clipboard per recuperare il messaggio contenuto negli appunti
Il mondo degli Hacker in 7 giorni
lizzeremo l'opzione Clipboard per recuperare il messaggio contenuto negli appunti. Ora, premiamo il pulsante Clipboard , anche in questo caso non vengono riportati messaggi. In pratica è avvenuta la crittografia degli appunti ed essi sono stati sostituiti dal nuovo messaggio è di fondamentale importanza non copiare o tagliare nulla prima di aver incollato gli appunti in un editor di testi o nel corpo di una e-mail. Potremmo perdere il messaggio criptato.
Figura 6.14 - Anche qui, non vengono riportati
messaggi. In pratica è avvenuta la crittografia degli appunti ed essi sono stati sostituiti dal nuovo messaggio è di fondamentale importanza non copiare o tagliare nulla prima di aver incollato gli appunti in un editor di testi o nel corpo di una e-mail
La finestra che ci propone PGP è di importanza fondamentale per la buona riuscita della crittografia dobbiamo selezionare la chiave pubblica dell'utente a cui vogliamo spedire il messaggio. Si tratta della chiave che abbiamo cercato sul server di PGP e aggiunto nel nostro portachiavi. Nella parte alta della finestra vengono elencate tutte le chiavi pubbliche di altri utenti che abbiamo scaricato dal server; nella parte bassa troviamo il collegamento alla nostra chiave privata. Occorre selezionare e trascinare la chiave desiderata nella parte bassa in modo da poterla accoppiare alla nostra. Ricordiamo che il messaggio è sempre inserito negli appunti di Windows e sta per essere codificato. Per motivi di sicurezza dobbiamo inserire la nostra Passphrase, scrivendola senza visualizzare i caratteri e confermiamo con il pulsante OK. Il messaggio è quindi crittografato e pronto per essere utilizzato; per spedirlo al destinatario, possiamo utilizzare la posta elettronica.
65
Sesto giorno: Come difendersi
Figur a 6. 15 - Abbiamo selezionato e trascinato
la chiave desiderata nella parte bassa, ora è accoppiata alla nostra
Nel corpo della mail che abbiamo creato possiamo finalmente incollare il contenuto dei nostri appunti crittografati. Per fare questo, utilizziamo la combinazioni di tasti sulla tastiera Ctrl + v. Finalmente possiamo vedere il risultato delle nostre pene.
Figura 6.1 7 - Sempre utilizzando PGP potremo
decriptare il messaggio, utilizziamo il terzo pulsante da destra Decrypt/Verify. Anche in questo caso utilizziamo il messaggio contenuto negli appunti e scegliamo quindi Clipboard
mente occorre cliccare in corrispondenza del testo ---BEGIN PGP MESSAGE --- sino al messaggio simile di chiusura quindi rilasciare il pulsante sinistro del mouse, quando il testo risulta selezionato, premiamo la combinazioni di tasti sulla tastiera Ctrl+c. Sempre utilizzando PGP potremo decriptare il messaggio, utilizziamo il terzo pulsante da destra Decrypt/Verify . Anche in questo caso utilizziamo il messaggio contenuto negli appunti e scegliamo quindi Clipboard .
Figur a 6. 16 - Ed ecco il risultato delle nostre
pene, sembra alquanto difficile comprendere il messaggio che abbiamo scritto inizialmente
Oltre al messaggio crittografato, inseriremo l'indirizzo del mittente e l'oggetto. L'e-mail sarà quindi una normalissima lettera di posta elettronica e potremo spedirla come tutte le altre. Premiamo il pulsante Invia . Vediamo ora quali operazioni sono necessarie per decriptare il messaggio. Una volta aperta l'e-mail dovremo selezionare il testo in essa contenuto e copiarlo negli appunti. Per selezionare il corpo del messaggio corretta-
Figura 6.1 8 - L'utente destinatario può quindi vedere da chi è stato spedito il messaggio e con che chiavi pubbliche per decriptare il messaggio deve inserire la propria Passphrase
66
L'utente destinatario può quindi vedere da chi è stato spedito il messaggio e con che chiavi pubbliche. Per decriptare il messaggio deve inserire la propria Passphrase. Dopo aver confermato con il pulsante Ok, automaticamente PGP aprirà una sua finestra in cui verrà visualizzato il corpo del messaggio inizialmente scritto quindi criptato e decriptato dall'utente finale.
Figura 6.19 - Dopo la conferma con il pulsante
Ok, PGP aprirà una finestra in cui verr à visualizz ato i l c orpo del messaggio inizial mente scritto quindi criptato e decriptato dall'utente finale
I Nuke: metodi di difesa Abbiamo visto nel giorno 4 che gli hacker possono attaccare il nostro computer in vari modi, spesso usando i famosi Nuke. Il metodo più semplice è procurarsi uno degli appositi programmi Anti-Nuke come, ad esempio ‘Nuke Nabber’ oppure ‘ICMP Watch’. Esiste però anche un altro metodo: usare un buon firewall. Il firewall si occupa fondamentalmente di sorvegliare tutti i pacchetti che transitano dal PC verso la rete, sia locale che Internet, e viceversa. Essendo quindi i Nuke degli attacchi al nostro PC tramite l'indirizzo IP che il provider ci ha assegnato all'atto della connessione, è sufficiente configurare il firewall in modo da accettare richieste o messaggi solo da determinati indirizzi IP esterni; in pratica è come quando, utilizzando il telefonino, rispondiamo solo alle chiamate delle persone inserite nella nostra rubrica, mentre, se appare un numero che
Il mondo degli Hacker in 7 giorni
non conosciamo, non rispondiamo. Un buon firewall facilmente reperibile è Zone Alarm.
Precauzioni contro i danni di media portata Rifacendoci al giorno 3 vedremo insieme i possibili metodi di difesa dagli attacchi che provocano danni di media portata. La conoscenza delle caratteristiche dei file system ci può guidare nella scelta del sistema operativo pi ù sicuro tra quelli disponibili sul mercato. Per quanto concerne i virus possiamo difenderci assumendo un atteggiamento di cautela e sopratutto procurandoci un buon antivirus e tenendolo costantemente aggiornato. Le varie falle dei sistemi operativi casalinghi o server vengono segnalate e corrette; dovremmo dedicare un po’ del nostro tempo a controllare sul sito del produttore la presenza di eventuali soluzioni al problema. Viceversa ben poco possiamo fare contro le intercettazioni wireless e lo sniffing se non rivolgendoci ad esperti del settore.
Quale Sistema Operativo per essere sicuri? Oggigiorno è abbastanza difficile fare una scelta che possa essere assoluta , anche perché tutto è in continua evoluzione; la sola Microsoft ha proposto quattro diversi sistemi operativi nell'arco di soli quattro anni. Gli utenti standard, tra le varie caratteristiche che richiedono al proprio negoziante di fiducia, non includono quasi mai la sicurezza . Consigliamo, invece, di confrontare il grado di sicurezza offerto dai vari sistemi operativi, mentre richiediamo al nostro negoziante l'ultimo processore uscito sul mercato o la scheda grafica pi ù potente disponibile in magazzino.
Sproteggere i programmi: metodo di difesa Premettiamo che questa sezione è di interesse solo per coloro che sviluppano e commercializzano software, tuttavia la lotta fra protezioni e sprote-
67
Sesto giorno: Come difendersi
zioni è affascinante anche per un ossevatore distaccato. I programmi sono molto spesso protetti per mezzo di numeri seriali sempre più lunghi e complicati; oppure con la protezione dei supporti, ad esempio CD impossibili da copiare, o con le chiavi hardware. La protezione mediante chiavi Hardware consiste nell'allegare al programma una chiave, normalmente USB, senza l'inserimento della quale il programma non si avvia: ovviamente per ogni copia venduta del software ci sarà un'unica chiave. Vediamo come i programmatori cercano di risolvere il problema del reverse engineering e la decompilazione a scopo disonesto. Un sistema è quello di far s ì che il programma si autocontrolli, verificando se qualche byte di sè stesso non sia stato modificato; questo compito si può svolgere verificando il CRC (una somma di controllo) originale con quello verificato all'avvio dell'applicazione, se non coincidono qualcosa è stato modificato e il programma non si avvia; questo metodo è ottimo ma purtroppo non funziona nel caso delle sprotezioni mediante KeyGen che non alterano il programma ma si limitano a fornire un corretto codice di accesso. In compenso creare un KeyGen è più difficile che modificare il programma. I programmatori più esperti cercano in ogni modo di impedire che i loro programmi vengano crackati. Per questo inventano numerose tecniche. Una delle pi ù semplici è la tecnica "Jungle". Viene spesso usata, poiché è di facile realizzazione, e poiché spinge il cracker ad arrendersi. Questa tecnica, non è mirata ad impedire di crackare il programma, più che altro cerca di far desistere il cracker facendolo impazzire in una "giungla" (da qui il nome) di call e jump. Praticamente, il programma può richiamare anche 15 o16 call in 4 o 5 librerie differenti prima di arrivare al punto in cui compare la protezione. L'unico modo che ha il pirata per superare questo ostacolo è avere un mucchio di tempo, pazienza e determinazione. Un altro modo per proteggere i programmi è il file packing/crypting. Esistono vari programmi che compattano i file eseguibili (Pklite, WWpack,diet, ecc..). Ma possono essere facilmente decompattati per ritornare al file eseguibile originale. Le versioni
commerciali di questi programmi forniscono la possibilità di renderli "unextractable", criptando il file. Esistono anche molti altri programmi che cryptano i file rendendoli inestraibili, oppure indebuggabili. Un metodo molto raffinato di impedire il debug è quello di rivolgere il debug contro s è stesso, ci spieghiamo meglio: un debugger può funzionare grazie a due ruotine implementate direttamente nella CPU, queste routine vengono dette 'Interrupt'. Gli interrupt usati specificamente per il debugging sono il numero 1 (single stepping) e il numero 3 (breakpoint). Il programmatore, utilizzando tecniche a basso livello, inserisce nel programma numerose chiamate agli Interrupt 1 e 3, questo fa impazzire il debugger e spesso ne causa la terminazione.
Intercettazioni wireless: metodo di difesa Per quanto riguarda questo tipo di intercettazioni, c' è ben poco da fare; purtroppo questo tipo di tecnologia è difficilmente controllabile in questo senso: si immagini una normale emittente televisiva che invia il proprio segnale sul territorio via etere; per i gestori dell'emittente è praticamente impossibile sapere quanti utenti stanno effettivamente ricevendo il segnale durante la trasmissione se non attraverso delle statistiche ottenute con altri metodi. Nel caso delle reti wireless, l'unico modo per essere abbastanza sicuri di non essere intercettati è utilizzarle in ambienti isolati: ad esempio, se abbiamo acquistato una serie di dispositivi wireless che hanno una portata massima di 20 metri, il sistema sarà sicuro se l'ambiente di lavoro in cui utilizziamo questo sistema, non ha nei dintorni possibili sedi di spioni nel raggio di 20 metri.
Virus: metodi di difesa I metodi di protezione dai virus possono essere molti ma, fondamentalmente si dividono in due categorie principali: la prevenzione e l'utilizzo di un buon antivirus costantemente aggiornato. Per quanto concerne la prevenzione è molto simile al comportamento che dovremmo tenere rispetto alle varie malattie che possono attaccare il corpo
68
umano, mentre gli antivirus sono da considerare come i rimedi, o meglio, le medicine che utilizziamo una volta che ci siamo accertati della presenza di un’infezione. La prima cosa da fare è prestare molta attenzione a ciò che facciamo: non aprire file la cui provenienza è dubbia, prestare la massima attenzione alla gestione della posta elettronica, utilizzare solo programmi di cui conosciamo gli autori o che siano almeno rintracciabili; infine navigare in Internet prestando attenzione alle pagine visitate e leggendo bene il contenuto delle varie finestre di avvertimento che possiamo incontrare. Per avere un valido aiuto in tutte queste operazioni, possiamo avvalerci degli antivirus, ma dobbiamo installare e imparare ad usare questi programmi prima che il virus si sia manifestato nel nostro sistema; mai installare un antivirus dopo aver riscontrato delle anomalie al sistema e avere la quasi certezza della presenza di un agente infetto. L’antivirus andrebbe quindi installato appena dopo l’installazione del sistema operativo; il tutto prima di connettersi ad Internet o leggere file che non siano quelli di installazione.
Il mondo degli Hacker in 7 giorni
sempre più spesso ad Internet, sono diventati indispensabili. Non esistono o comunque non conviene utilizzare antivirus per infezioni specifiche. Possiamo dividere questi programmi in due fasce: a pagamento o gratuiti. Le versioni a pagamento sono generalmente disponibili, in versione demo, nel sito del produttore; questo ci consente di provare il prodotto prima di decidere se acquistarlo. Acquistando il prodotto avremo diritto agli aggiornamenti gratuiti . Proprio gli aggiornamenti sono di fondamentale importanza in quanto l'evoluzione dei virus è continua ed estremamente veloce.
Symantec Norton Antivirus 2003 Tra i programmi a pagamento più popolari citiamo Norton Antivirus della Symantec. Nel nostro esempio utilizzeremo la versione di valutazione. La procedura di installazione si limita a decompri-
Antivirus Per difenderci dai virus esiste una vasta gamma di programmi detti, ovviamente, antivirus. Questi programmi, con la necessità di connettersi
Figura 6.21 - Norton Antivirus, da qui parte la
procedura di installazione
Figura 6.20 - Per difenderci dai virus esiste una vasta gamma di program mi det ti, ovviamente, antivirus
mere i file che costituiranno il programma: inizia quindi la fase di installazione, configurazione e avvio del programma vero e proprio. Durante l'installazione di qualsiasi programma è sempre consigliabile chiudere tutte le altre applicazioni! Ora proseguiamo e premiamo il pulsante Next . Nonostante si tratti di una versione di valutazione, dovremo comunque accettare i termini della licen-
69
Sesto giorno: Come difendersi
za dell'antivirus: se non accettiamo non potremo installare il programma; E' opportuno leggere attentamente la licenza e selezioniamo I accept the license agreement e proseguiamo con il pulsante Next . Nella fase successiva, possiamo scegliere la directory di destinazione del programma: si consiglia di utilizzare quella predefinita e proseguire. Se, siamo certi delle impostazioni effettuate, possiamo continuare e installare il programma, in caso contrario, dopo aver letto il riassunto qui presentato, possiamo tornare indietro e modificarle. Figura 6.23 - Questa è prima pagina della
configurazione dove è possibile leggere il file ReadMe che è il documento in cui risiedono tutte le informazioni sul prodotto che abbiamo installato
Figura 6.22 - In questa fase, possiamo scegliere
la directory di destinazione del programma: si consiglia di utilizzare quella predefinita e proseguire. Se, siamo certi delle impostazioni effettuate, possiamo continuare e installare il programma, in caso contrario, dopo aver letto il riassunto presentato, possiamo tornare indietro e modificarle
Proseguiamo; se l'installazione ha avuto buon fine comincia la fase di configurazione o setup vera e propria del programma. Nella prima pagina della configurazione è possibile leggere il file ReadMe , ossia il documento in cui risiedono tutte le informazioni sul prodotto che abbiamo installato. Vedremo il programma in fase di avvio per la prima volta e, la procedura guidata consente di eseguire le operazioni fondamentali del programma. Portiamoci alla fase successiva con il pulsante Next . In
questa fase, se non siamo già registrati viene chiesto di farlo. Viene proposto quindi di collaborare con la Symantec: registrando il prodotto potremo ricevere notizie sugli aggiornamenti dell'antivirus e le segnalazioni dei nuovi virus in circolazione. Cos ì facendo aiuteremo gli sviluppatori del prodotto; questa fase è facoltativa. Nella fase successiva, viene ricordato che abbiamo installato una versione a periodo limitato e che, una volta terminato questo periodo, saremo costretti a disinstallarlo o comperarlo. Proseguiamo dove possiamo scegliere quali proces-
Figura 6.24 - L'installazione è terminata con
successo
70
Figura 6.25 - Questa è la fase dedicata alla
registrazione, se non siamo già registrati viene chiesto di farlo, inoltre viene proposto quindi di collaborare con la Symantec: registrando il prodotto potremo ricevere notizie sugli aggiornamenti dell'antivirus e le segnalazioni dei nuovi virus in circolazione
si, o Task, vogliamo che il programma esegua per noi: il primo processo permette di ottenere gli aggiornamenti da Internet. Il secondo processo comporta il controllo dei dischi rigidi per rilevare la presenza di eventuali virus; l'ultimo processo permette di impostare la scansione automatica settimanale. E passiamo alla fase successiva, dove viene ricordato il numero dei giorni che restano per utilizzare il programma: possiamo scegliere se acquistarlo o continuare con la versione Trialware o versione di prova.
Il mondo degli Hacker in 7 giorni
Figura 6.27 - Qui, viene ricordato il numero dei giorni
che restano per utilizzare il programma: possiamo scegliere se acquistarlo o continuare con la versione Trialware
Noi scegliamo il pulsante Trialware, la configurazione terminerà con un ulteriore Sommario delle impostazioni. Il programma viene quindi avviato: la prima operazione che esegue è il controllo dei dischi per creare un database di informazioni sul numero di file presenti e l'eventuale presenza di file infetti.
Figura 6.28 - La prima operazione che viene eseguita è il
controllo dei dischi per creare un database di informazioni sul numero di file presenti e l'eventuale presenza di file infetti
Figura 6.26 - In questa fase, possiamo scegliere quali
processi, o Task, vogliamo che il programma esegua per noi: il primo processo permette di ottenere gli aggiornamenti da Internet
Dopo qualche minuto viene mostrato il risultato dello Scan: nel nostro esempio, fortunatamente non sono stati rilevati file infetti; in caso contrario potremo scegliere di pulire il nostro disco cancellando o isolando i virus. Una volta terminata la procedura di installazione e configurazione, è possibile avviare e utilizzare Nor-
71
Sesto giorno: Come difendersi
Figura 6.29 - Il risultato dello Scan: nel nostro
esempio, non sono stati rilevati file infetti; in caso contrario potremo scegliere di pulire il nostro disco cancellando o isolando i virus
ton Antivirus. Selezioniamo Scan for Viruses e ci troveremo in una sezione dove è possibile avviare lo Scan manualmente, selezionando i dispositivi desiderati. Selezioniamo il pulsante Reports e ci troviamo in un altra sezione, dove avremo la possibilità di visualizzare i Rapporti di Norton Antivirus.
igura 6.31 - Dopo aver selezionato il pulsante Reports, F
ci troviamo in un questa sezione, dove avremo la possibilità di visualizzare i Rapporti di Norton Antivirus
Questo semplice programma è disponibile in rete all'indirizzo www.avast.com e, dopo un periodo di circa 90 giorni, pu ò essere utilizzato inserendo un codice di licenza gratuita richiesta direttamente in rete al precedente indirizzo. L’installazione si esegue come per l’Antivirus Norton. Al termine dell'installazione, viene richiesto di prestare particolare attenzione alla protezione della posta elettronica. E' vivamente consigliato chiudere eventuali programmi di gestione della posta elettronica, ad esempio Outlook Express. Nella finestra Basic Settings possiamo impostare i settaggi base della protezione: è possibile scegliere se proteggere automaticamente tutti i nostri account di posta, non proteggerli, oppure scegliere manualmente i vari account.
Figura 6.30 - Dopo aver selezionato Scan for Viruses
ci troviamo in una sezione dove è possibile avviare lo Scan manualmente, selezionando i dispositivi desiderati
Le sezioni sono: • File messi nella cosidetta quarantena . • Enciclopedia dei virus disponibile su Internet • Il resoconto delle attività • Lista dei virus.
Avast! Esistono anche antivirus gratuiti come, ad esempio, Avast Antivirus .
igura 6.32 - Esistono anche antivirus gratuiti come, ad F
esempio, Avast Antivirus
72
Figura 6.33 - Il programma offre la possibilit à
di raffinare le ricerche attraverso gli appositi pulsanti standard comuni a tutti gli antivirus se non vengono rilevati file infetti
In caso di dubbio è consigliabile scegliere la prima opzione: proteggere tutti gli account. Nella finestra che segue è necessario specificare il server che utilizziamo normalmente per spedire la nostra posta (SMTP) e quello che utilizziamo per riceverla (POP3). Termina così la configurazione di Avast riguardante la protezione della posta elettronica. Questo semplice programma è disponibile in rete all'indirizzo www.avast.com Una volta avviato il programma, viene richiesto il codice di attivazione gratuito, oppure la facolt à di valutare il programma in versione demo: nel nostro esempio sceglieremo Demo. La prima operazione che Avast esegue automaticamente è lo Scan dei nostri dischi rigidi alla ricerca di eventuali virus. Terminata questa operazione, se non vengono rilevati file infetti, il programma offre la possibilità di raffinare le ricerche attraverso gli appositi pulsanti standard comuni a tutti gli antivirus.
Il mondo degli Hacker in 7 giorni
In caso di dubbi è possibile consultare una dettagliata guida sul programma e sui virus conosciuti... In ogni momento, che sia terminato o no il periodo di prova, è possibile richiedere il codice di registrazione del programma al sito www.avast.com, inserendo i nostri dati fondamentali. Una volta inseriti i dati e dopo averli inviati, viene comunicata l'avvenuta spedizione degli stessi; siamo quindi invitati a controllare la nostra casella di posta elettronica per scaricare il numero di licenza.
Figura 6.35 - Nel nostro esempio l'e-mail della Avast è giunta
dopo pochi secondi dalla spedizione ed è sufficiente eseguire un Copia/incolla dal corpo della mail all'apposito campo del programma per rendere il programma completamente funzionante: il tutto gratuitamente
Nel nostro esempio l'e-mail della Avast è giunta dopo pochi secondi dalla spedizione ed è sufficiente eseguire un Copia/incolla dal corpo della mail all'apposito campo del programma per rendere il programma completamente funzionante: il tutto gratuitamente . Terminiamo ricordando che, ogni qualvolta ci connettiamo ad Internet, Avast controlla automaticamente sul proprio sito se ci sono degli aggiornamenti ed eventualmente li scarica: quando viene eseguita tale operazione ne veniamo informati da una piccola finestra.
Buchi di IIS: metodo di difesa Figura 6.34 - In ogni momento, che sia terminato o no
il periodo di prova, è possibile richiedere il codice di registrazione del programma al sito www.avast.com, inserendo i nostri dati fondamentali
Se abbiamo dei problemi di sicurezza con IIS o altri tipi di server dobbiamo tenere in considerazione la constante consultazione del sito della casa madre di produzione del nostro server: nel caso di IIS è il
73
Sesto giorno: Come difendersi
sito Microsoft.com. Ogni giorno vengono pubblicati centinaia di articoli su come è stato bucato un server e, successivamente, come è stata creata la cosiddetta "pezza" per ovviare tale problema. Periodicamente, però, tutte le pezze o patch vengono conglobate in un unico aggiornamento di sistema, nel caso di Windows chiamato Service Pack , che è gratuitamente scaricabile dal sito ufficiale e si occupa di porre rimedio ai problemi più volte riscontrati dai vari utenti e da coloro che testano i programmi per la casa produttrice stessa.
Lo sniffing: metodo di difesa Riguardo a questo tipo di intercettazioni non è semplice prendere provvedimenti; l'unico metodo funzionale è quello di rendere difficile la vita di coloro che intercettano le nostre informazioni: dato che non possiamo impedire che intercettino un nostro messaggio, dobbiamo cercare di rendere illeggibile tale messaggio se non da coloro a cui il messaggio è effettivamente destinato. Questa tecnica può essere paragonata ai messaggi in codice pi ù volte visto in vari film di spionaggio. A questo scopo possiamo utilizzare l'ottimo programma PGP che abbiamo esaminato in precedenza.
Precauzioni contro i danni gravi Alcuni dei danni citati nel giorno 3 riguardano solo alcune categorie di operatori dell ’informatica, non gli utenti; ad esempio la sprotezione di programmi ci potrà recare danno solo se produciamo software, gli attacchi DoS e DDoS ci preoccuperanno solamente se gestiamo un server web o simili. Rimane comunque il fatto che un qualsiasi indirizzo IP presente sulla rete può essere attaccato da un malfattore provocando la disconnessione del PC dalla rete e violando la privacy del nostro computer a nostra insaputa. Per questi motivi potremmo utilizzare un firewall per migliorare la nostra sicurezza. Le tecniche utilizzate dagli Hacker possono essere rivolte contro i malintenzionati: ad esempio le forze dell’ordine potrebbero appropriarsi dell’IP, me-
diante tecniche di IP Spoofing o simili, di un sito illegale fingendo di essere i gestori del sito e in questo modo smascherare gli utenti del sito indagato. Per questo ed altri motivi è stato implementato il protocollo HTTPS che garantisce l’autenticità del sito che stiamo visitando.
Sproteggere i programmi: metodi di difesa Per proteggere i programmi ad un livello più completo esistono vari stratagemmi fra i quali la scrittura su disco fisso di file o directory opportunamente nascosti e non eliminabili con i comuni sistemi. Il programma protetto ad ogni avvio consulta le informazioni contenute nel file nascosto è li aggiorna; ove il file non esistesse più o le informazioni risultassero alterate il programma rifiuta di funzionare. Metodi ancora più sicuri consistono nel contatto telefonico fra fornitore e cliente con la comunicazione di codici a voce; tali codici generalmente si basano sulla configurazione hardware del computer del cliente. Ad esempio la Microsoft ha fatto dei grossi passi avanti sul fronte della sicurezza, Windows XP dopo essere stato installato con i codici seriali presenti nella confezione originale, deve essere attivato entro trenta giorni mediante richiesta telefonica o collegamento via Internet con la Microsoft stessa, un operatore richiederà il codice elaborato dal nostro computer e ne invierà in risposta un altro che noi digiteremo nelle apposite caselle. Inoltre qualora la nostra configurazione Hardware dovesse variare in maniera consistente, sarà necessario eseguire nuovamente l'attivazione.
IP Spoofing: metodi di difesa Considerando che l'IP spoofing consiste nel mascherare il reale indirizzo IP posseduto, per sventare tale tipo di attacchi sarà sufficiente utilizzare un programma che si occupa di controllare tutti i tentativi di comunicazione provenienti dalla rete, di verificarne l'indirizzo IP, e quindi la provenienza, e accettare solamente quelli provenienti da fonte autorizzata. Tale tipo di programma è l'ormai noto firewall.
74
Se non utilizzassimo un firewall ci troveremmo nella situazione in cui uno sconosciuto potrebbe facilmente farsi passare per qualcun altro: come accade quando un venditore ambulante desidera introdursi in un condominio e, rispondendo al citofono, si qualifica come il postino.
DNS Spoofing: metodi di difesa Oltre ad utilizzare un buon firewall a difesa del nostro server potremmo utilizzare delle implementazioni tipiche dei server; ad ese mpio la maggior parte dei server funzionano quasi esclusivamente su sistemi operativi che monitorizzano l'accesso ai file, quindi concedere l'aggiornamento del DNS solo ad utenti fidati. In alternativa è possibile utilizzare il Software DNS Expert (v.1.3) che controlla la vulnerabilità di tutti i tipi di server DNS e affidarci a tecnici esperti.
HTTPS e siti sicuri Quando navighiamo in rete, spesso, non abbiamo la pi ù pallida idea di dove stiamo andando e, sopratutto, non sappiamo quanto sia sicura la pagina che stiamo osservando. Potremmo trovarci su un sito pericolosissimo e monitorato dalla CIA, oppure sulla pagina web che abbiamo creato noi senza notare alcuna differenza. Considerando il fatto che molti utilizzano Internet per lavoro e non solo per svago, sono state implementate delle autentificazioni per determinati siti. Quando dobbiamo entrare in zone riservate di siti commerciali o anche semplici servizi di trasferimento file o FTP ci viene richiesto l'accesso tramite nome utente e password . Abbiamo però visto, che questo sistema è abbastanza semplice da violare in quanto un malfattore può intercettare i nostri dati e utilizzarli per accedere con la nostra identità senza destare alcun sospetto da parte del servizio di vigilanza del sito. Quanto affermato non è vero in assoluto: esistono programmi con severi controlli e restrizioni: ad esempio Lotus Notes. E' anche possibile eseguire una cifratura dei dati che complica notevolmente la vita ai malintenzionati. Uno dei sistemi di protezione utilizzati in questo ambito è il protocollo HTTPS in luogo del normale
Il mondo degli Hacker in 7 giorni
HTTP. Quando visualizziamo le pagine web ci colleghiamo al server utilizzando il normale protocollo HTTP, se le pagine sono protette da intercettazioni si utilizza l'HTTPS ossia HTTP Sicuro (Secure Hyprtext Transfer Protocol). Come abbiamo più volte ribadito, uno dei problemi pi ù gravi della rete è l'anonimato. Per risolvere questo problema è nato il sistema di certificazione e firme digitali; questo sistema ci permette di avere una specie di passaporto che identifica gli utenti e anche coloro che offrono il servizio. Se abbiamo avuto a che fare con siti che contengono informazioni di rilevante importanza, ad esempio le banche, avremo notato che l'accesso avviene dopo severi controlli. In alcuni casi è necessario disporre di un certificato per poter accedere a determinati servizi; questo certificato deve essere obbligatoriamente rilasciato da una Certification Authority. Esistono quindi delle societ à alle quali possiamo richiedere, a pagamento, una certificazione al fine di assicurare ai nostri clienti di essere effettivamente chi diciamo di essere. Gli utenti del nostro sito avranno la certezza che quello che stanno visitando è un sito che rispetta le norme internazionali sulla sicurezza. Esiste quindi la Firma Digitale ; non si tratta della riproduzione grafica della nostra firma su carta, ma la fusione di un documento con la firma digitale stessa; questa tecnica è abbastanza difficile da contraffare e quindi molto sicura. In pratica viene creata una nuova firma per ogni documento creato dall'applicazione stessa: ad esempio la posta elettronica.
Che cos'è un firewall e a cosa serve? Firewall significa letteralmente muro di fuoco ed è paragonabile alle porte tagliafuoco che abbiamo sicuramente notato all'interno di teatri o sale cinematografiche. Praticamente, queste porte servono a bloccare le fiamme per evitare che si propaghino da una stanza all'altra. Possiamo supporre che l'incendio sia un attacco di cracker e il firewall ne blocchi i tentativi.
75
Sesto giorno: Come difendersi
Per poterci attaccare, un malintenzionato deve conoscere, innanzitutto, l'indirizzo IP che ci è stato assegnato dal nostro provider o, nel caso in cui facciamo parte di una rete locale (LAN) da un apposito server che assegna indirizzi locali chiamato DHCP. E' possibile, addirittura, che abbiamo un indirizzo IP statico, sia in Internet che in una LAN. Se il malintenzionato ci ha localizzati, può cercare di accedere al nostro sistema con diversi stratagemmi: uno dei quali è tentare a valicare le varie porte del nostro PC. Le porte, dall'inglese Port, non sono porte fisiche del PC, bensì dei canali virtuali messi a disposizione dal sistema operativo per convogliare le varie informazioni provenienti dalla rete ai rispettivi applicativi. Quando digitiamo un indirizzo Web, mandiamo la richiesta di una determinata pagina ad un server, il quale richiede la nostra pagina sulla porta 80: cioè quella destinata al protocollo HTTP per le pagine HTML. Il firewall quindi, se configurato in modo corretto, blocca tutti i tentativi di connessione da parte di altri PC sulle porte che solitamente noi non utilizziamo. Rimane a questo punto l'arduo compito di configurare correttamente il firewall; questo tipo di programma ci permette inoltre di scegliere quali macchine possono collegarsi alla nostra, anche in questo caso basandosi sul loro indirizzo IP.
Figura 6.36 - All’inizio dell’installazione di Zone Alarm, viene richiesta la cartella di destinazione in cui risiederà il programma sul nostro computer: utilizziamo il percorso predefinito dal programma stesso
ZoneAlarm Il firewall più semplice da utilizzare e più facile da reperire è senza dubbio Zone Alarm, disponibile sia
in versione gratuita che a pagamento.
Figura 6.37 - Per ottenere informazioni riguardo gli
aggiornamenti del programma o comunque novit à, viene richiesto di inserire i nostri dati: comprensivi di indirizzo e-mail; verranno spedite via posta elettronica delle segnalazioni periodiche. Dopo aver accettato i termini della licenza possiamo avviare l'installazione vera e propria.
Questo programma è gratuito per l'utilizzo casalingo ed è facilmente reperibile su riviste di informatica o in rete. Dopo averlo scaricato sul nostro PC possiamo avviare l'eseguibile e iniziare l'installazione. Come in molti altri programmi gratuiti ci viene richiesto di inserire i nostri dati per inviarci segnalazioni periodiche; possiamo tuttavia scegliere di non
Figura 6.38 - Leggiamo ed accettiamo i termini della
licenza imposta dai realizzatori di ZoneAlarm
76
Il mondo degli Hacker in 7 giorni
Figura 6.41 - Il programma: Zone Alarm
Figura 6.39 - Qui si compila un modulo che servir à alla
Zone Labs per eseguire ricerche e statistiche sulla diffusione del prodotto. Dobbiamo selezionare il tipo di connessione utilizzata per connetterci ad Internet: nel nostro esempio utilizziamo una connessione attraverso un semplice modem
ZoneAlarm, intelligentemente, al primo avvio presenta un tutorial che consente di apprendere le principali funzioni e risponde a molte delle domande più comuni.
ricevere tali segnalazioni. Dobbiamo quindi selezionare il tipo di connessione utilizzata per connetterci ad Internet: nel nostro esempio utilizziamo una connessione attraverso un semplice modem casalingo. Il programma di inst allazione di ZoneAlarm ci richiede di indicare il tipo di rete utilizzata e da quanti computer è composta, con ciò l'installazione termina.
Figura 6.42 - In questa sezione, possiamo scegliere se vogliamo essere avvertiti ogni volta che ZoneAlarm blocca qualche tentativo di connessione al nostro computer o meno; nel nostro esempio lasciamo l'impostazione predefinita, cioè essere avvertiti
Figura 6.40 - Dalla lista a discesa del primo gruppo,
selezioniamo Modem/Dial-up, specificato il livello di conoscenza che abbiamo riguardo le reti; e, scelto: Advanced. Abbiamo specificato quanti computer possediamo all'interno della nostra rete locale: e selezionato da due a quattro. Anche l'ultimo campo è stato completato, abbiamo selezionato Family PC. L'installazione è terminata
Vengono poste domande sul tipo di impostazioni da scegliere, ogni scelta è chiaramente spiegata, purtroppo, però, solo in inglese. Ci verrà chiesto di scegliere se desideriamo essere avvisati ad ogni tentativo di intrusione e di indicare quali programmi sono autorizzati ad accedere alla rete. Il tutorial prosegue cercando di rispondere alle domande più comuni: • Quando ZoneAlarm inizia la protezione? • In che modo ZoneAlarm mi protegge? • Quali saranno i segnali che ZoneAlarm utilizzerà per avvertirmi?
77
Sesto giorno: Come difendersi
Figura 6.43 - Qui, Zone Alarm chiede se vogliamo
che il programma possa avere accesso alla rete in modo automatico oppure se preferiamo decidere al primo utilizzo. Noi lasciamo invariata la selezione predefinita
• Come devo utilizzare gli avvertimenti di Program
Alerts? • Dovrei dare un'occhiata a More Info? • Come devo utilizzare gli avvertimenti del Firewall? • Cosa sono le 'Zones'? • Come devo utilizzare il Bloccaggio Internet?
Figura 6.45 - Come ZoneAlarm ci protegge? Ecco
tre risposte
Selezionando la voce Firewall possiamo impostare i livelli di sicurezza in modo da rendere il nostro computer più o meno protetto; la Internet Zone Security gestisce i nostri contatti con Internet ed è consigliabile utilizzare il livello HIGH, infatti è proprio da Internet che possono provenire gli attacchi.
Figura 6.46 - Che segnali ZoneAlarm utilizzer à per
avvertirmi?
Figura 6.44 - Lo step1 cerca di rispondere alla
domanda: Quando ZoneAlarm inizia la protezione? Una volta avviato, il programma funziona sempre e viene automaticamente caricato ad ogni avvio di Windows
Dopo questa lunga introduzione compare l'interfaccia vera e propria del programma: troviamo un sunto delle funzioni del programma, il resoconto dei tentativi di intrusione, e quali sono i programmi autorizzati a connettersi ad internet.
Figura 6.47 - Gli avvertimenti di Program Alerts!
78
Figura 6.48 - Gli avvertimenti del firewall: ha bloccato
un'intrusione; possiamo decidere di non ricevere l’avvertimento, in ogni caso l'intrusione viene bloccata!
La Trusted Zone Security , invece, è la nostra rete locale possiamo decidere di permettere l'accesso al nostro computer a tutti gli altri utenti o solo alcuni di essi; la settiamo quindi su medium che ci permetterà comunque di controllare i movimenti da parte degli altri computer. La voce Program Control , permette di controllare i programmi che tentano di connettersi automaticamente alla rete nel momento in cui abbiamo accesso ad Internet; selezionando Medium , verranno notificate tali richieste, saremo noi a decidere chi può connettersi e chi no. Selezionando la voce Alerts & Logs ci viene chiesto se desideriamo essere avvertiti ogni volta che ZoneAlarm esegue un'operazione; i primi tempi è
Il mondo degli Hacker in 7 giorni
Figura 6.50 - Il Bloccaggio Internet
meglio impostare su On l'opzione Show all alerts in quanto potremo renderci conto dell'effettivo beneficio che il programma può darci. L'ultima voce presente, E-mail Protection , riguarda l'attivazione del controllo delle e-mail in entrata; esse potrebbero contenere virus o stralci di codice che potrebbero consentire un'infiltrazione; anche questo parametro va settato su On .
Figura 6.51 - Ed ecco l'interfaccia di Zone Alarm .
Questa pagina che troviamo all'avvio del programma, contiene un riassunto delle potenzialità del programma, tra cui un resoconto delle intrusioni bloccate, il numero dei programmi che sono abilitati a connettersi ad internet e le e-mail sospette intercettate
Figura 6.49 - Le 'Zones' di ZoneAlarm, sono suddivide
in due categorie le informazioni che giungono al nostro computer: quelle sconosciute, che arrivano da Internet; e quelle di fonte conosciuta, provenienti dalla rete locale
Dopo aver esplorato le funzionalità possiamo iniziare a configurare il nostro f irewall secondo le nostre esigenze. In questa esercitazione supponiamo di avere, collegati alla nostra macchina ( di nome ‘UNO ’), altri due
79
Sesto giorno: Come difendersi
computer che al momento non possono più accedere ai nostri dati perché bloccati da ZoneAlarm. I nomi dei computer collegati sono ‘DUE’ e ‘TRE ’. Se, proviamo ad utilizzare il computer UNO e cerchiamo di accedere al DUE, notiamo che sul computer UNO la rete non viene più visualizzata, mentre sul DUE appare il primo segnale di avvertimento di ZoneAlarm. Ricordiamo che premendo OK non acconsentiamo al computer DUE di avere accesso al nostro, semplicemente chiudiamo la finestra di avvertimento. Vediamo com'è possibile permettere a DUE e TRE di accedere al nostro computer quali utenti fidati . Dal pannello Firewall dobbiamo selezionare Zone . In questo pannello di ZoneAlarm, possiamo inserire l'indirizzo IP dei computer ai quali vogliamo concedere l'ingresso: inseriamo quindi l'indirizzo IP del computer DUE. Premiamo Add.
Figura 6.53 - Come possiamo vedere, le nostre modifiche
sono state inserite nella tabella dei permessi di accesso; il pulsante Apply rende effettive le impostazioni
Vedremo anche che, nella pagina Overview vengono segnalati i tentativi di intrusione da parte del computer di Paolo prima della sua abilitazione.
Figura 6.52 - Dal pannello Firewall dobbiamo
selezionare ‘Zone’ Figura 6.54 - Osserviamo come vengono segnalati i
Non resta che scrivere l'indirizzo IP esatto del computer DUE: cioè 123.123.123.1. Oltre all'indirizzo IP possiamo inserire una breve descrizione per poter in seguito riconoscere a prima vista i vari computer della rete che avremo inserito; nel nostro esempio scriveremo Paolo [Amministratore] poiché l'utente del computer si chiama Paolo e ricopre il ruolo di amministratore simbolico della nostra rete locale, confermiamo con il pulsante OK. Le nostre modifiche saranno inserite nella tabella dei permessi di accesso; utilizzando il pulsante Apply possiamo rendere effettive le nostre impostazioni.
tentativi di intrusione da parte del computer di Paolo prima della sua abilitazione
Possiamo quindi minimizzare ZoneAlarm utilizzando l'apposito pulsante in basso a destra, oppure riducendolo a icona sulla barra di stato di Windows. In questo caso verremo avvertiti che sarà possibile gestire ZoneAlarm direttamente cliccando la sua icona con il tasto destro del mouse. Da questo momento ZoneAlarm si avvierà automaticamente ogni volta che accenderemo il nostro computer.
80
Notiamo che conviene installare ZoneAlarm su ogni computer della rete locale per aumentare il livello di protezione dei nostri documenti e della nostra privacy. Firewall Hardware
Esistono inoltre i firewall Hardware, praticamente sono dei piccoli computer che svolgono lo stesso compito dei loro colleghi software con qualche specializzazione in più. E' anche possibile utilizzare dei normali router come firewall, semplicemente modificando le tabelle di instradamento e vietando l'accesso all'interno della rete locale a macchine con determinati indirizzi IP. Per questioni di costo e di competenze necessarie, l’utilizzo di tali apparecchi è consigliabile a persone esperte e nel caso di una effettiva necessità di protezione: grandi reti, portali, server contenenti dati di vitale importanza. Attacchi DoS: metodi di difesa Questo tipo di tecnica può essere utilizzata per at-
taccare ma anche per difendersi. Ad esempio il moderatore di una chat che desidera escludere un utente scorretto può utilizzare appositi programmi tipo Hang Up Win per disconnetterlo, confondendo il suo modem con pacchetti dati corrotti e dati inappropriati, l'utente scorretto non potrà pi ù comunicare con la chat line. Se però veniamo attaccati senza motivo durante la normale frequentazione di una chat, possiamo difenderci da eventuali malfattori utilizzando la panacea di tutti i mali: il firewall. Lo Smurf: metodi di difesa Considerando che lo Smurf non è altro che uno dei
tipi di attacchi DoS che si occupa di esaurire la banda di trasmissione a nostra disposizione, non esistono veri e propri sistemi di difesa in quanto il firewall rimane comunque costantemente occupato nelle operazioni di verifica dei messaggi in arrivo e, nonostante non lasci filtrare alcuna informazione nel nostro PC, la nostra banda è resa inutilizzabile da numerosi messaggi che possono consistere in semplici ping. Per comprendere il funzionamento di questo tipo di
Il mondo degli Hacker in 7 giorni
attacco possiamo immaginare il signor Carlo in attesa di un importante telefonata di lavoro, il malintenzionato Mario gli telefona, Carlo lo prega di lasciare la linea libera e riattacca. Mario continua a telefonare, Carlo riappende immediatamente tuttavia non potrà ricevere l'importante comunicazione attesa. Attacchi DDoS: metodi di difesa
Premettiamo che gli attacchi DDoS sono generalmente rivolti a grandi portali o siti con milioni di visite giornaliere, infatti la preparazione di un attacco DDoS presuppone la partecipazione di svariate persone che ben difficilmente si organizzeranno per attaccare un privato. Dopo i primi attacchi che hanno messo in ginocchio colossi come Yahoo e Amazon, siti sicuramente ben protetti, sono stati escogitati dei metodi che non vengono resi pubblici, per ovvi motivi, che sventano o cercano di sventare tali tipi di attacchi.
7 °
o n r o Gi
Risorse dal Web Siti proibiti Siti consigliati Documentazione Storia dell’Hacking Phreacking Sicurezza Virus Come difendersi Tutorial
Il software sul CD Antivirus Firewall Diagnostica della rete Controllo del percorso dei dati Sicurezza E-mail Difesa Attacco
82
Siti Proibiti I crackers pubblicano alcuni risultati delle loro ricerche su siti Internet facilmente riconoscibili ma spesso poco trasparenti in quanto frequentemente infrangono tutte le regole del galateo della rete, la netiquette: vengono aperte svariate finestre, spesso a pieno schermo, che si rifiutano di chiudersi o che si riaprono appena chiuse. Alcuni crackers intercettano gli utenti che si collegano a siti a pagamento e ne ottengono login e password; le informazioni così ottenute vengono pubblicate in apposite sezioni di alcuni siti ‘underground’. Utilizzando queste password chiunque può accedere quindi ai siti a pagamento. La maggior parte delle informazioni per l’accesso in aree riservate che si trovano in rete si riferiscono quasi sempre a siti pornografici. L’utilizzo di login e password così ottenute è sconsigliato, ‘qualcuno’ utilizzando lo stesso sistema, potrebbe intercettarci e prendere provvedimenti... Se intendete visitare questi siti, per rendervi conto della reale quantità di informazioni che vengono
Figura 7.1 - I dialer, quando va bene, ci avvertono
prima di reimpostare la connessione
Il mondo degli Hacker in 7 giorni
sottratte quotidianamente, potete partire da Astalavista. Occorre fare però un po’ più di attenzione navigando su questi siti particolari: spesso vi verrà richiesto di installare applicazioni o di impostare la pagina web visitata come pagina di default del browser; considerando il bombardamento di finestre e finestrine occorre evitare le distrazioni, installate solo ciò che ritenete necessario e ignorate tutte le altre offerte. Alcuni dei programmi che verrà richiesto di installare potrebbero contenere virus o spyware. Una delle insidie cui si va incontro è quella del cambio di connessione ad opera di programmi detti dialers. Questi programmi possono, anche all’insaputa dell’utente, terminare la connessione con il nostro abituale provider e connettersi ad un altro numero telefonico a pagamento. L’intestatario del numero intascherà i proventi delle telefonate e a noi.. non resterà che pagare una salata bolletta! Ti mostriamo le schermate di alcuni di questi siti:
Figura 7.2 - Un sito che contiene Password rubate
e protezioni per programmi.
83
Settimo giorno: Risorse dal Web
Figura 7.5 - Di fronte a finestre come questa
conviene sempre premere il pulsante NO per evitare sorprese spiacevoli. Figura 7.3 - Astalavista ci propone un elenco di siti
e ci aiuta a scegliere quelli con poca pubblicità.
Figura 7.6 - Nei siti di dubbia reputazione viene Figura 7.4 - Qui… potremmo scaricare il crack per
una applicazione!
continuamente proposto di scaricare file, per sicurezza rispondiamo sempre ‘Annulla’.
Siti consigliati La Rete, anche in questo caso, è una fonte inesauribile di informazioni e, visto che stiamo parlando di coloro che l'hanno creata, possiamo visitare alcuni dei tanti siti per conoscere gli eventi più importanti di questa rete divenuta per molti uno stile di vita.
Il portale delle risorse Hacking Un ottimo sito italiano per informarsi sulla storia degli Hacker, per scaricare software, ottenere informazioni sui virus e su tutto ciò che può interessare un Hacker http://www.wiol.it
Lamerone Un altro sito in italiano che analizza il fenomeno
Figura 7.7 - Il sito Lamerone analizza il fenomeno
Hacking, consente di ottenere informazioni sulla storia e l’attualità del movimento Hacker
84
Hacking, consente di ottenere informazioni sulla storia e l’attualità del movimento Hacker http://www.lamerone.net
Il mondo degli Hacker in 7 giorni
questo è un sito imperdibile per ogni Hacker (o aspirante tale). Notizie, Download, e-zines, tutorial.. vi si trova proprio di tutto. http://www.bismark.it
Hacker: Computer Outlaw Su questo sito è possibile trovare qualsiasi tipo di informazione riguardante gli Hacker/Cracker... ma proprio tutto! http://tlc.discovery.com/convergence/hackers/hackers.html
Ilsoftware Questo sito in italiano, oltre a contenere interessanti articoli ci offre una gran quantità di software da scaricare. Un sito eccellente per le informazioni contenute e la chiarezza dell'esposizione impossibile non visitarlo. http://www.ilsoftware.it Figura 7.9 - Il sito di riferimento dell ’Hacker italiano
InsomniaCrew Qui troverai molte informazioni che riguardano hacking, security e cracking, messe a disposizione da una delle migliori crew dell'underground italiano, attraverso tutorial, guide, script, programmi e notizie. http://www.insomniacrew.org/
Figura 7.8 - Su questo sito italiano è presente una
ricca e ben commentata raccolta di software da scaricare
BladeXpewrience Un sito generico e un po ’ disordinato con alcune sezioni dedicate agli Hacker http://www.bladexperience.com
Hacker Alliance Un altro sito molto ricco di contenuti: forum, download, link, news.
Figura 7.10 - Un sito chiaro e molto ben fatto,
interessante per le informazioni contenute
http://www.hackeralliance.net
Bismark
The Xploit Team
Il primo network security Underground italiano Con una grafica chiaramente ispirata ad Astalavista
Un sito ricco di iniziative: e-zine, guide, tools. http://www.xploit.host.sk
85
Settimo giorno: Risorse dal Web
Hacker Net
Il manifesto Hackers!
Qui è disponibile un forum che promette risposte alle vostre domande, Hacker esperti vi daranno consigli. Una sezione illustra le basi dell’Hacking, Cracking, Phreaking.
http://guide.supereva.it/hackers/interventi/2000/06/5131.shtml
http://www.hackernet.tk
Figura 7.12 - Per ottenere una interessante
documentazione visitate i siti indicati, esaminate con particolare attenzione gli aspetti legali!
Figura 7.11 - Un sito dedicato alla
comunicazione e scambio di informazioni fra Hacker e derivati
Storia dell’Hacking
Onda quadra
Filibertomaida
Il battito cardiaco del cyberspace. Una rivista che si rivolge anche agli Hacker. Inusualmente chiede di registrarsi… strano per un sito Hacker! Lo scopo di OndaQuadra e' quello di spiegare quali sono e come avvengono le tecniche di intrusione al fine di far comprendere come sia possibile difendersi da esse, rendere piu' sicura la propria box e in generale approfondire le proprie conoscenze in campo informatico.
Qui possiamo trovare una storia degli Hacker
http://www.ondaquadra.org
La storia di un hacker leggendario: David Mitnick
http://www.filibertomaida.it
Mondo IRC Un sito non specificamente dedicato all’hackeraggio ma che contiene informazion interessanti. http://www.mondoirc.net
http://www.lamerone.net/raoul/31_ao_poulsen.php
Giunone Un portale con una sezione dedicata all’Hacking, ma vi possiamo anche trovare News e risorse gratuite.
Un'altra pagina dedicata al mitico Condor
http://www.giunone.com
Le pene inflitte all'Hacker David Mitnick per i suoi reati sono pesantissime e le imposizioni fuori dall'ordinario.
Documentazione
http://www.lamerone.net/raoul/32_ao_hackecrimin.php
http://www.lamerone.net/raoul/25_ao_nonpuo.php
Discussione sulle diverse categorie di pirati informatici.
Una pagina sulla storia degli hacker in Italia
http://www.lamerone.net/raoul/23_ao_categorie.php
http://www.lamerone.net/raoul/24_ao_initalia.php
Il confine fra legale e illegale chiaramente spiegato.
Un altro articolo sulla storia del movimento Hacker
http://www.lamerone.net/raoul/32_ao_hackecrimin.php
http://www.triesterivista.it/internet/hackers/storia.htm
86
Un pagina in cui si dimostra che non tutto il Phreaking viene per nuocere...
Il mondo degli Hacker in 7 giorni
Un ottimo articolo sull'essenza del Phreaking http://www.tuttofree.com/hacking/phreacking.asp
http://www.khet.net/gmc/docs/museum/apple_startup.html
Figura 7.15 - Il Phreacker cerca di tagliare i costi telefonici
Sicurezza Figura 7.13 - Il mitico Captain Crunch, il più famoso
dei Phreacker
Una pagina utile per apprendere le elementari norme di sicurezza sulla posta elettronica. http://www.lamerone.net/raoul/01_my_origini.php
Una sintetica storia dei virus
http://www.lamerone.net/raoul/21_ao_mail.php
http://www.emulhack.com/directory/documents/texts/virus/la_ storia_dei_virus.asp
Articolo sugli attacchi Distributed Denial of Services: come funzionano e come difendersi da essi. http://www.pippo.com/attacks.html
Le basi della crittografia http://guide.supereva.it/hackers/interventi/2001/02/32777.shtml
Le tecniche di protezione dei CD-ROM h t t p : / / w w w. g u i d e . s u p e r e va . i t / h a c k e r s / in t e r v e n Figura 7.14 - Il fischietto di Captain Crunch
ti/2000/10/13661.shtml
Nuke e Firewall
Phreaking
http://guide.supereva.it/hackers/interventi/2000/07/8536.shtml
Articoli, guide e tutorial
Qualche consiglio per chi intende viaggiare nei bassifondi della rete
http://www.emulhack.com/directory/phreaking/pages/gui-
http://guide.supereva.it/hackers/interventi/2000/12/23152.shtml
de_localizzate.asp
Un sito ricco di materiale per Hacking e Phreaking
Informazioni sugli SpyWare, elenco dei programmi che usufruiscono di spyware
http://doppiar.cjb.net/
http://guide.supereva.it/hackers/interventi/2000/11/16446.shtml
87
Settimo giorno: Risorse dal Web
Virus Esauriente e completa Storia dei virus http://www.areacom.it/area/homepage/omega/comp/hyst.htm
Definizione di virus e descrizione del funzionamento http://www.areacom.it/area/homepage/omega/comp/virus.htm
Esauriente e completa Storia dei virus http://www.areacom.it/area/homepage/omega/comp/hyst.htm
Virus bullettin per essere sempre informati http://www.virusbtn.com/resources/viruses/
Enciclopedia dei virus a cura della Symantec http://www.symantec.com/avcenter/vinfodb.html Figura 7.16 - L’attenzione alla sicurezza del proprio
computer diviene sempre più necessaria
Un sito essenziale per essere sempre aggiorntai: novità, documentazione, nuove tecnologie http://www.viruslist.com/eng/index.html
Informazioni su Back Orifice, NetBus e simili http://guide.supereva.it/hackers/interventi/2000/07/8958.shtml
Come difendersi
Cosa sono i firewall http://members.xoom.virgilio.it/digitalrebel/home/firewall/
Un bell’articolo sulle tipologie di virus e su come difendersi.
Riconoscere e liberarsi degli spyware
http://www.ilsoftware.it/articoli.asp?ID=679
http://www.ilsoftware.it/articoli.asp?ID=957
Elenco dei produttori di antivirus http://www.areacom.it/area/homepage/omega/comp/info2a.htm
I Buoni e i Cattivi, ovvero i centri di studio dei virus e chi li produce http://www.areacom.it/area/homepage/omega/comp/info4.htm
Informazioni sulle tecniche utilizzate dai Trojans http://www.eternity6.altervista.org/hacking/virus/guide/trojan1.html
Caratteristiche del trojan Sub Seven http://www.eternity6.altervista.org/hacking/guide/InfoSuSUB7.txt
Alcune informazioni di base sui virus e su come difendersi http://www.hackerzone.it/virus.htm
Figura 7.17 - I Crackers cercano di sproteggere i
CD-ROM
Esistono anche i falsi virus, voci messe in giro da qualche burlone. http://members.xoom.virgilio.it/DottorVirus/
88
Il mondo degli Hacker in 7 giorni
Figura 7.18 - Saperne di più sui virus ci permette di difenderci meglio
Tutorial
Come inviare email anonime http://www.eternity6.altervista.org/hacking/guide/outlookfuck-
Come impossessarsi della password dei forum
mail.html
http://www.eternity6.altervista.org/hacking/guide/passforum.html
Come non far rilevare un Trojan dallantivirus http://www.eternity6.altervista.org/hacking/guide/trojaninvi-
Come scrivere una pagina web in grado di vedere il nostro HD
sibbile.html
http://www.eternity6.altervista.org/hacking/guide/pa-
Come creare un semplice virus che si pone in Autoexec.bat ... certo nulla di sofisticato!
ghacker.html
http://www.eternity6.altervista.org/hacking/virus/sorgenti/ac-
Come scaricare comunque i filmati dai siti, anche quando lo scaricamento non è consentito.
quario.txt
http://www.eternity6.altervista.org/hacking/guide/vi-
Chat anonima con il protocollo Ipv6
deohack.html
http://guide.supereva.it/hackers/interventi/2001/06/48830.shtml
Conoscere le password di sistema su Win 95/98 http://www.eternity6.altervista.org/hacking/guide/passreco-
Qui potete scaricare numerose guide e tutorials su Hack e Crack
ver.html
http://www.hackerzone.it/tutorials.htm
89
Settimo giorno: Risorse dal Web
Questo sito prometteva lo scaricamento di numerosi tutorials ma.. sono stati cancellati!
Antivirus
http://www.fuckinworld.org/software.asp
Avast!4 Un antivirus gratuito e potente che protegge il tuo computer da virus e worm. File: setupeng.exe
Articoli, trucchi e metodi Phreacking http://digilander.libero.it/doppiaRR/phreak.htm
Figura 7.20 - La home page del sito di Avast! Figura 7.19 - Chi desidera approfondire le tecniche
Cracking
AVG 6.0 Grisoft presenta questo antivirus di uso semplice ma con potenti funzioni, oltretutto è gratuito. File: avg6375fu_free.exe
http://neworder.box.sk/codebox.links.php?&key=cracktut
Freeware
Hacker può trovare in rete numerosissimi tutorial in lingua italiana o inglese
Un esempio di crack http://newdata.box.sk/raven/3dcrack.txt
Un tutorial sul cracking http://newdata.box.sk/raven/cracking.txt
Una guida per Hacker http://newdata.box.sk/2001/jan/section1.txt
La perfetta guida del Craker: Cain & Abel http://www.oxid.it/cain_faq.html#What is Abel
Il software sul CD Nel CD-Rom trovi tutte le applicazioni utilizzate in questa videoguida e tanto altro ancora. Abbiamo incluso numerosi antivirus, programmi per la creazione di firme digitali, firewall e utilit à per il controllo dello stato della rete.
Figura 7.20B - Il sito di AVG Antivirus www.grisoft.com
Firewall Tyni Personal Firewall 4.5 Questo firewall è in grado di bloccare efficacemente l’intrusione di Trojans. File: tpf45.exe Trial 30 giorni
90
Il mondo degli Hacker in 7 giorni
ZoneAlarm 3.7 Un firewall software che consente di bloccare le intrusioni nella nostra rete. File: zaSetup_37_159.exe Freeware
Figura 7.22 - Portscan controlla lo stato delle porte di una
determinata macchina in rete
Controllo del percorso dei dati
Figura 7.21 - Zone Alarm è un firewall software che
permette di bloccare in automatico qualsiasi acceso indesiderato al nostro PC
Neotrace Pro 3.25 Simile al precedente visualizza l’ubicazione dei siti ed il percorso dei dati. File: neotraceprotrial325.exe Versione demo
Diagnostica della rete
Visual Route 7.1 Il programma mostra su una mappa planetaria
NetScan Tools 4.31 Controlla che nel sistema non vi siano porte aperte. File: nst431.zip Shareware
Portscan 1.2 basic Controlla lo stato delle porte di una determinata macchina in rete. File: Portscan.zip Freeware
AGNet Tools 2.5.2 Le utility incluse nel pacchetto: Nslookup, Traceroute, Ping, Whois, Finger, controllano la qualità della connessione e facilitano la ricerca di guasti. File: agnettools-win.exe Shareware
Figura 7.23 - Neotrace visualizza in forma grafica
l’ubicazione di un sito ed il percorso dei dati; semplicissimo da utilizzare
91
Settimo giorno: Risorse dal Web
l’effettivo percorso dei pacchetti dati trasmessi su Internet. File: visual route.exe Demo a 15 gg.
Sicurezza TFak 5.0 Ricerca eventuali Trojan e spyware presenti nel computer, ne consente la rimozione. Tra le sue funzioni anche la scansione delle porte segnalando quelle aperte. Sito del produttore: http://www.kryptocrew.de/snakebyte/tfak.html
Figura 7.25 - TFak è un programma che permette di
ricercare, sul proprio personal computer, la presenza di eventuali trojan virus
file:TFAK5.zip Freeware
un e-mail di protesta da spedire al provider Internet. ’
Sito del produttore: http://www.elprime.com
Email
file: SpamPunisherSetup.exe Shareware
Spam Punisher 2.4 Questo programma, non solo controlla lo spam, ma passa al contrattacco preparando, in modo automatico,
Spam Terminator 2.3c Il nome dice tutto: questo programma gratuito (in italia-
Figura 7.24 - MailWasher è un programma, completamente gratuito, che permette di controllare le intestazioni
dei messaggi di posta elettronica
92
Il mondo degli Hacker in 7 giorni
no) consente di azzerare il noioso fenomeno dello spam. Sito del produttore: http://www.sertel.net/terminator/default.asp
File term23c.exe Freeware
MailWasher 2.0.40 Semplice ma utilissimo MailWasher è un programma gratuito che ci offre l’anteprima delle intestazioni dei messaggi di posta elettronica, a noi decidere se scaricarli oppure no. Sito del produttore: http://www.mailwasher.net
file MailWasherFree.exe Freeware
EmC 8.17 EmC (Email Control), un programma anti-spam che ci aiuta a tenere sotto controllo il proliferare di messaggi indesiderati. Sito del produttore: http://www.emc50.com file EmC817.exe
Aspy Aspy mostra l’elenco delle applicazioni che vengono eseguite durante l'avvio di Windows od in fase di login. Vengono controllate tutte le aree critiche che potrebbero avviare event uali virus, il programma consente di disabilitare le applicazioni sospette. Sito del produttore: http://aka.com.ua/home.htm
File aspy.zip Freeware
HFNetChk 3.3.2 HFNetCHk utilizza la riga di comandi DOS per verificare il livello di sicurezza del sistema; controlla le patch, service pack, aggiornamenti. Compatibile con Windows NT/2000/XP. Emette un esauriente rapporto sulo stato attuale e consiglia quali patch installare. Sito del produttore: http://support.microsoft.com/default.aspx?scid=kb;E N-US;q303215
File Nshc332.exe
Freeware
Freeware
Difesa
Sito del produttore:
Proport 2.01 Un programma che controlla lo stato delle porte del computer quando la connessione Internet è attiva. Segnala la presenza di trojan e di intrusioni, riporta l’IP da cui è partito l’attacco, consentendo di prendere provvedimenti. Sito del produttore: http://www.tdupage.com/ File proport.zip
http://homepages.ihug.com.au/~ipex/secureitpro/secureit-
Freeware
SecureIT Pro 4.70 Questo programma consente di bloccare il computer quando ci assentiamo, vengono disabilitate le combinazioni di tasti, come CTRL+ALT+DEL, ALT+TAB, che consentono di passare da un applicazione all altra o resettare il computer. ’
’
pro.htm
File secureitpro470.zip Freeware
Baseline Security Analyzer (MBSA) 1.1 Un diagnostico per Windows 2000, sviluppato direttamente da Microsoft. Effettua l’aggiornamento del sistema dal punto di vista della sicurezza. Sito del produttore:
StartPage Guard 2.5 StartPage Guard (SPG) controlla che non vengano apportate modifiche alla pagina di default di avvio del browser. Sito del produttore: http://www.pjwalczak.com/spguard/
File spgsetup.exe Freeware
http://support.microsoft.com/default.aspx?scid=kb;e n-us;320454
File mbsasetup.msi Freeware
ExeLock Express 1.01a Un programma per la compressione, la crittografia e la protezione di file e documenti. ExeLock Express
93
Settimo giorno: Risorse dal Web
Figura 7.26 - Aspy è un programma che permette di visualizzare, in un'unica finestra, tutte le applicazioni che vengono eseguite
durante l'avvio di Windows od in fase di login
http://www.stratusburg.com
NetworkActiv Sniffer (PIAFCTM) 1.5.2 NetworkActiv Sniffer analizza i pacchetti dati e consente di effettuare ricerche sul contenuto; in aggiunta è possibile filtrare i dati in modo da ricevere i pacchetti cui si è effettivamente interessati. Sito del produttore:
File ExeLockX.exe
http://www.networkactiv.com
Freeware
File NetworkActivPIAFCTMv1.5.exe
consente di proteggere con password differenti qualsiasi file eseguibile, le persone non autorizzate non potranno in alcun modo utilizzare i nostri programmi. Sito del produttore:
Freeware
Angry IP Scanner 2.14 Uno scanner di indirizzi IP, verifica se un determinato IP è in uso al momento o se, viceversa, è libero. Riporta informazioni su un IP in uso: nome del computer, gruppo di lavoro, utente, indirizzo MAC. Sito del produttore:
SpySites SpySites possiede una lista di siti scorretti che violano la privacy dell’utente, l’elenco dei siti comprende circa 1500 nomi e altri possono essere aggiunti dall’utente. Sito del produttore:
http://www.angryziber.com/ipscan/
http://camtech2000.net/Pages/SpySites_Program.html
File ipscan.exe
File spysit10.zip
Freeware
Freeware
94
XP-AntiSpy 3.71 Un programma semplice e leggero per disattivare alcune funzionalità di comunicazione incluse in Windows XP e in Windows 2000; come, ad esempio, l’aggiornamento automatico e le connessioni indesiderate. Sito del produttore: http://www.xp-antispy.de/news-e.htm
File XPAntiSpy3-Italian.zip Freeware
MRU Blaster Questo programma protegge la vostra privacy ripulendo il computer dalle informazioni relative ai file aperti di recente, siti web visitati, ricerche effettuate in Internet eccetera. Sito del produttore: http://www.wilderssecurity.com/mrublaster.html
File mrublastersetup.exe Freeware
XPdite XPdite corregge una falla di Windows XP che, se sfruttata, permette di cancellare file ed intere cartelle presenti sul disco fisso dell'utente. Il programma rimpiazza i file in modo da correggere il problema. Sito del produttore: http://grc.com File XPdite.exe Freeware
SpyBot-S&D 1.2 SpyBot consente di scovare e rimuovere tutti gli SpyWare ed i Keyloggers. Indispensabile per un anavigazione serena. Sito del produttore: http://spybot.safer-networking.de/index.php?lang= it&page=news
File spybotsd12.exe Freeware
TracksRevealer TracksRevealer tiene traccia di tutti i siti Internet visitati in precedenza, dei documenti aperti eccetera. In sostanza memorizza tutto quanto è stato fatto sul computer in vostra assenza; il report può essere esportato per essere consultato e stampato
Il mondo degli Hacker in 7 giorni
comodamente. Sito del produttore: http://camtech2000.net/Pages/SpySites_Program.html
File tracksrevealer.zip Freeware
Dekart Private Disk Light Dekart Private Disk consente di creare, su qualunque unità disco, un’area privata e sicura ove salvare i propri dati personali, nessun estraneo potrà accedervi. Sito del produttore: http://www.dekart.com File PrvDiskLight.exe Freeware
BFacs 2.13 BFacs è l’abbreviazione di Blowfish Advanced CS: permette di crittografare i dati del vostro disco fisso, è possibile cifrare un file o intere cartelle. E’ open source e viene fornito il codice sorgente. Sito del produttore: http://web.bsn.ch/lasse/bfacs.htm
File bfacs213.zip Freeware
Eraser 5.6 Un programma per la sicurezza: elimina i file in modo più sicuro dei metodi normalmente utilizzati dal File System; i dati così cancellati non possono venir recuperati in alcun modo, neppure da tecnici esperti. Sito del produttore: http://www.heidi.ie/eraser/
File Eraser56Setup.zip Freeware
File Shredder 5.5 File Shredder è un programma simile al precedente: elimina in modo totale e irrecuperabile le informazioni che desiderate vengano cancellate. Sito del produttore: http://www.handybits.com
File fssetup.exe Freeware
Winsock Windows 9x (vecchie versioni) ha un piccolo pro-
95
Settimo giorno: Risorse dal Web
blemino nella gestione dei sockets. La Microsoft ha rilasciato una serie di patch che permettono di correggere un problema nella gestione dei sockets. La patch è valida per Windows 95-98. Per l’installazione seguite queste istruzioni: 1 Lanciate wsockupd.exe e riavviate il sistema 2 Installate msdun.exe e riavviate il sistema Questo installara l'upgrade del Dial-Up Networking Program 3 Installate vtcpup.exe e riavviate il sistema Questo serve per proteggervi dal Winnuke 4 Installare vipup.exe e riavviate il sistema Questo vi protegge dagli attacchi SSping/Jolt. File: wsockupd.exe msdun.exe vtcpup.exe vipup.exe Freeware
Disk Cleaner 1.4.1 Disk Cleaner è un piccolo programma, semplicissimo da usare, che elimina i lfile temporanei e comunque inutili; il loro accumulo rallenta il sistema e ingombra inutilmente il disco fisso. Sito del produttore:
WinPatrol 5.0.2.2 Un programma gratuito per tenere traccia e verificare quali modifiche vengono apportate al sistema durante l’installazione di un programma; un grosso aiuto per ripristinare le condizioni precedenti all’installazione. Sito del produttore: http://www.winpatrol.com/
File wpsetup.exe Freeware
CountDown 6.2 Un programma che tiene sotto controllo la spesa telefonica, consente un efficace controllo della redirezione. Sito del produttore: http://www.farmax.it/countdown/
File countdown.zip Freeware
Attacco
http://home.student.utwente.nl/r.j.moerland/
ICMP Watch Un semplicissimo firewall progettato per parare gli attacchi da ICMP. Semplice da usare risulta comunque molto efficace. File: icmpwatch.zip
File dclean141_all.zip
Freeware
Freeware
Oubliette 1.7 Si fa presto a dire password … come ricordarle tutte? Oubliette ne consente una facile e sicura gestione. Sito del produttore: http://freeware.tranglos.com
File oubsetup_17.exe Freeware
MaxCrypt 1.1 Utile programma per crittografare i nostri file più importanti. Facile, veloce e sicuro. Sito del produttore:
Wingate Scan Consente lo scannig della terza e quarta classe di un IP, ovvero gli ultimi due gruppi di cifre a destra. File: wGate.zip Freeware
Xenu Website Links Analyzer Controlla in remoto i links di un sito e alla fine crea un report di tutti i collegamenti; ottimo per il debug di siti complessi. File: xenu.zip Freeware
File MaxCrypt_v1.10.exe
Revel Trova qualsiasi password File: revel.zip
Freeware
Freeware
http://www.kinocode.com