Premessa: Come si dice prevenire è meglio che curare. Mi immagino già possibili commenti sul fatto di non saper niente dell’hacking e scriverci un’articolo, ecc… Quello che scrivo non proviene da una persona che fa o vuole o crede di essere un hacker! Ho profondo rispetto per questa arte, scienza (o come la volete chiamare) così complessa. Vorrei che il senso dell’articolo fosse inteso bene: cercare di soddisfare la curiosità di coloro che si sono posti la fatidica domanda “ma come si fa ad entrare dentro un computer?” spiegando brevemente e nel modo più semplice possibile in linea generale come avviene l’attacco da parte di un hacker.

Si possono individuare due fasi: riconoscimento e acquisizione dell’obiettivo e quella dell’attacco vero e proprio.
La fase del pre-attacco è costituita da 3 passi: footprinting, scanning, enumerazione.
Il footprinting consiste nell’ottenere più informazioni possibili sull’obiettivo, tracciare un profilo dell’infrastruttura, soprattutto dal punto di vista della sicurezza. Ciò è molto più dispendioso ed elaborato se il target ha una struttura complessa (ad esempio un computer/server di una rete aziendale) piuttosto che un normale pc casalingo connesso ad internet. Esistono due tipi di footprinting: quello passivo (l’obiettivo non ha avvisi/allarmi dell’attività svolta, es. ricerca di informazioni su internet quali ricerche Whois) e quello attivo (l’obiettivo può venire a conoscenza dell’attività svolta, come ad esempio social engineering).

Lo scanning è il passo attivo del tentativo di connettersi al sistema dell’obiettivo, ciò avviene appunto scansionando le porte dell’indirizzo IP target determinando quali servizi sono attivi (es. server web, ftp, ecc…), sistema operativo, ecc… Esistono vari tipi di tecniche di scansione che non starò qui ad elencare in quanto risulterebbero troppo “tecniche”.

Di pari passo allo scanning avviene anche l’enumerazione; il processo intrusivo per determinare account utente validi e risorse accessibili quali condivisioni.

Poi avviene l’attacco vero e proprio, qui possiamo individuare 4 fasi: accesso al sistema, scalata dei privilegi, mantenimento dell’accesso, copertura delle tracce e piazzamento backdoors.

L’accesso al sistema è la fase chiave, l’intrusore cerca di sfruttare le vulnerabilità tramite bug nel software/servizi installati nel sistema (questo processo è chiamato exploit).

Una volta ottenuto l’accesso al sistema, l’intrusore tenta la cosidetta scalata dei privilegi, ovvero ottenere il controllo completo del sistema rispetto a quello che può fare un normale utente, equivale ad ottenere diritti di amministratore.

Questa operazione è propedeutica alle fasi successive. Una volta che il sistema è definitivamente compromesso l’intrusore può fare di tutto, ad esempio installare rootkits e trojans (definiti backdoors) all’insaputa della vittima; ciò permette all’attacker di nascondere le tracce della sua attività, di mantenere nel tempo l’accesso al sistema ri-entrando nel pc della vittima in modo facile quando vuole.

Anatomia di un attacco hacker by Simo Blog

Vengono di seguito illustrati i modi con cui uno “pseudo-hacker” riesce ad impossessarsi di dati sensibili dei pc altrui in modo abbastanza facile tramite programmi gratuiti o a pagamento già preconfezionati.
Si accenna brevemente come agisce invece anche l’ “hacker serio” e le contromisure da effettuare per non diventarne vittima.

Si ipotizza uno scenario in cui il pseudo-hacker conosce qualche dato della vittima (indirizzo e-mail, contatto IM, ecc…). Il pseudo-hacker invia in modo camuffato all’ignara vittima (ad esempio nascosto all’interno di una immagine o di codice html/javascript) un programmino che, se non viene rilevato dai software anti malware, entra in esecuzione in modo “silezioso” (ovvero senza che apparentemente ce ne sia traccia) nel sistema operativo. Esistono vari programmi utilizzati per questo scopo:

- trojans (o anche detti backdoors): la parte di programma (server) installata nel pc della vittima comunica con la parte di programma (client) presente nel pc del pseudo-hacker) tramite le porte su internet (TCP/UDP). L’hacker non solo può rubare i dati del pc della vittima ma essendo questi programmi molto potenti in pratica riesce a prendere il comando del pc stesso (una sorta di controllo remoto) e fare tutto ciò che vuole

- keyloggers: programma che una volta installato nel pc della vittima registra ogni attività da tastiera e invia queste informazioni in modo silezioso al pc del “pseudo-hacker”

- programmi per spiare dati specifici del pc della vittima: ad esempio informazioni pervenute dai browser, dagli IM, ecc… anche questi inviano poi le informazioni in modo silezioso al pc “pseudo-hacker”

Se si ha un buon sistema di protezione c’è buona probabilità di intercettare questi programmi.
E’ per questo che molto spesso il pseudo-hacker ricorre all’utilizzo di altri programmi che criptano tramite particolari algoritmi il programma da inviare al pc vittima e quindi non corrispondendo più il checksum presente nei database dell’anti malware.
Come già scritto poi i pseudo-hacker utilizzano anche altri programmi per camuffare il programma malevolo all’interno di un file innocuo (immagine, mp3, ecc…) affinchè l’utente del pc vittima non possa accorgersi di esso.
Ho detto pure che alcuni di questi programmi inviano le informazioni in modo silezioso al pc “pseudo-hacker”, principalmente avviene in 3 modi:

- viene installato nel pc della vittima anche un server mail quindi le informazioni vengono inviate via email
- via ftp: le informazioni vengono immagazzinate in un server ftp di conoscenza del pseudo-hacker
- via web: le informazioni vengono inviate ad una pagina web conosciuta dal pseudo-hacker tramite tecnologie lato server (asp, php)

Alcuni programmi sono avanzati avendo delle features extra: ad esempio funzionalità stealth per la quale risultano invisibili non solo agli anti malware ma ad esempio anche nei processi in esecuzione nel sistema operativo, oppure possibilità di registrare conversazioni audio e video proveniente da webcam.

L’ “hacker serio” invece ha conoscenze molto più ampie e profonde; non utilizza e non ha bisogno di questi programmi per rubare i dati dai pc delle vittime ma studia il sistema operativo bersaglio e ne cerca di capire e trovare vulnerabilità del software, spesso scrive programmi ad hoc per sfruttare queste vulnerabilità.

Come ci si può difendere?
I consigli sempre validi rimangono quelli di essere protetti da ottimi sistemi anti malware, tenere il sistema e software sempre aggiornati, pensare bene quando si ricevono dei files!

Come un (finto) hacker ruba i dati delle sue vittime by Simo Blog

Sono stato oggetto di un attacco hacker al mio blog WordPress (che è aggiornato all’ultima versione!) sia nella parte di frontend (defacement) che nella parte backend (cambio di password della parte di amministrazione).
Fortunatamente sono riuscito a ripristinare il tutto resettando la password via database e per il frontend l’hacker aveva semplicemente “solo” alterato il file di homepage del tema da me utilizzato.
A parte questo per fortuna lo str**** non mi ha cancellato tutto dall’area di amministrazione (articoli, configurazioni plugins, ecc…), ho comunque per sicurezza sempre una copia di backup del database (anche se magari non era aggiornata ad oggi).
Ho comunque anche contattato il mio fornitore hosting chiedendogli se ha informazioni circa l’attacco.

Quello che più mi sorprende come abbiano fatto (se ci sono riusciti evidentemente non penso era un “pivello”) visto che il software su cui gira il blog, ovvero il famoso WordPress, era aggiornata all’ultima versione disponibile, quindi in teoria esente da bug di sicurezza!

Insomma da venerdì pomeriggio che ho effettuato l’ultimo accesso al blog a questa notte me lo sono trovato così di punto in bianco

Azz non si possono dormire sonni tranquilli mi viene da dire…

Il lato positivo della medaglia? Ciò mi da un’ulteriore conferma di quanto è conosciuto il mio blog (molto anche a livello internazionale scrivendo gli articoli anche in inglese).

Simo blog hackerato by Simo Blog

Ogni gruppo o comunità che si rispetti ha un proprio simbolo che lo rappresenta, ebbene sapete che anche anche la comunità hacker ne ha uno?

Esso è il Glider (aliante) del Gioco della Vita

Per saperne di più sul significato di questo simbolo nonchè chi potrebbe e chi non potrebbe usarlo e come è possibile usarlo consiglio di leggere la relativa pagina su Autistici.org nonchè le FAQ

Il glider come simbolo hacker by Simo Blog

Forum italiano sull’hacking e non solo by Simo Blog