Evoluzione dell’ hack


Dall’inizio della guerra in Iraq si è visto aumentare in modo esponenziale
il traffico internet verso siti militari e gran parte di questo traffico non
è “buono”, un’altra notizia di grande rilievo è la diffusione
dei defacement inneggianti la pace o simpatizzanti per gli iracheni.
Ho cercato di afferrare certi segnali che vengono lanciati sempre più forte
dall’underground di internet, cerco sempre di coglierne il significato.Capita
spesso ora di leggere notizie come Cracker
approfittano di una falla di Win2000
oppure Hacker
Pacifisti
che parlano di falle sfruttate prima che vengano pubblicate dalle
stesse case produttrici di sofware (i così detti 0 Days vulnerability)
e sempre più spesso si trovano siti che si apprestano a diffondere la
conoscenza dei metodi di intrusione.
Molto tempo fa esisteva gente come Kevin “Condor” Mitnick
che conoscevano molto bene il protocollo e che lo sapevano aggirare, tutto quello
che lui e gente come lui ha fatto è entrato nelle pagine della storia
dell’informatica. Oggi invece, vuoi per l’evoluzione della tecnologia vuoi per
gli amministratori poco esperti o vuoi per la diffusione dell’informazione,
attaccare e fare intrusioni è diventato piuttosto semplice (non dico
facile ma piuttosto semplice) ed adesso la figura degli attacker è entrata
nell’immaginario collettivo come elemento costante.

Il 27-03-2003 MicroSoft ha rilasciato una patch
per Win 2k, Win XP ma non per NT
dichiarandolo troppo pieno di buchi e troppo
obsoleto, consigliando di mettere tutte le macchine con NT dietro ad un firewall
quando è proprio NT ad essere (per ora) il sistema operativo M$ più
sicuro che abbiano mai prodotto (ne ho parlato anche nell’articolo Dell
utilizza NT4.0
)

Facciamo un passo indietro, come si è passati da Hacker a Cracker (darkside
hacker)? ci sarà pure un motivo per cui esistono tantissimi militanti
nella “zona defacer”, e perchè proprio i siti web vengono colpiti
con maggior violenza?
L’hacker entrava nei sistemi per gioco, per sfida, per intelletto e cercava
di non fare danni, effettuata l’intrusione avvertiva l’amministratore del buco
e spesso indicava i metodi per riparalo, la cosa sembra non esser stata apprezzata
nel corso degli anni, il più delle volte l’hacker non riceveva risposta
o magari veniva accusato di reati vari (tempo fa non regolamentati, oggi invece
esistono leggi che parlano anche di questo). L’hacker spesso era un “dio”
della rete ma socialmente poco visibile. Per combinazione di cause: le non risposte
ad un aiuto gratuito ed il bisogno di essere più visibile e riconosciuto,
l’hacker si è trasformato piano piano in cracker. Perchè avvertire
l’amministratore quando non ti rispondono e non sistemano il buco, il riconoscimento
personale era praticamente nullo, quando invece sarebbe bastata la classica
pacca sulle spalle. La visibilità ed il bisogno di essere universalmente
riconosciuti viene appagata dai defacement, se ci pensiamo un attimo, un attacker
ha troppi buoni motivi per defacciare un sito.
1- un sito è visibile da tutto il mondo, indipendentemente dalla zona
in cui risiede l’attacker.
2- Internet non dorme mai, gli amministratori invece …
3- Internet può essere anonimo e nascondere l’identità dell’attacker
4- Gli amministratori spesso sono poco incentivati a fare bene il loro lavoro
o magari sono solo troppo impegnati per poterlo fare con costanza, o magari
sono troppo poco esperti per sapere i buchi o troppo poco informati.
5- Raccogliere informazioni sulla vittima è semplicissimo (www.google.com
è lo strumento principe)
6- Il danno non è poi graivssimo, ma è sempre una bella presa
in giro per l’amministratore
Ce ne sono molti altri ma diciamo che questi sono i decisivi. Ecco quindi che
nel corso degli anni l’hacker si sposta verso internet e defaccia i siti come
se stesse cambiando canale sulla TV di casa.

Tempo fa la RIAA è stata attaccata
da ignoti, la notizia ha creato molto scalpore e molta esaltazione sorpatutto
per il metodo utilizzato per l’attacco, in pratica hanno letto il file robots.txt
che serve per indicare ai motori di ricerca cosa NON indicizzare e si presentava
così:

User-agent: *
Disallow: /temp/
Disallow: /admin/
Disallow: /cgi-bin/
Disallow: /Archive/

Ovviamente vedendo la scritta Disallow con affianco un bel /admin/ mbhè
la tentazione è fortissima. Una volta entrati in quella cartella il resto
è stato tutto abbastanza semplice. Astuzia di una persona e tutta la
RIAA ha pagato.
Inutile dire che proprio oggi stiamo scrivendo la storia del nostro domani,
abbiamo gruppi coalizzati di hacker che si ritrovano e discutono dei vari metodi
affrontati durante un’intrusione, che se ne vantino o che ne parli professionalmente
non cambia il fatto essenziale che stanno diffondendo un metodo di approccio
ad internet, che non è quello dell’utente normale ma quello del malizioso.
Ma sta cambiando anche qualche altra cosa: Chiedendo un po’ in giro cosa ne
pensa la gente degli Hacker le risposte sono tante ed alcune fanno ridere:

“Sono criminali”
“Sarebbe meglio se non esistessero”
“Non li conosco ma so che spiano la gente”

Tantissime le considerazione errate e poche quelle esatte. I media scrivono
e la gente assimila un po’ come capita. Fatto sta che comunque oggi scrivono
leggi per combattere il crimine informatico e mettono in galera dei ragazzi
di 20 anni impedendogli di utilizzzare il computer o facendoglielo utilizzare
solo sotto supervisione. Ritengo che questo non sia il metodo per combattere
la criminalità informatica.
La diffusione dell’informazione deve servire a restringere il campo di azione
dei cracker, non ad allargarlo, cioè devo essere gli amministratori ad
invertire la tendenza, loro devono far tesoro delle vulnerabilità trovate.
Infatti mi capita di trovare (ormai sempre più spesso) amministratori
che rispondo, che si dimostrano disponibili e compententi, ma sopratutto amministratori
pronti a spegnere l’incendio :-).
Riporto l’esempio di alicom
italia
che è stata attaccata con un mass defacementnel mese scorso.
Mi son preso la briga di avvertire l’amministratore, non per impicciarmi degli
affari suoi ma per segnalare semplicemente. Il tutto è successo il mese
scorso. Dall’altra parte del cavo ho trovato una persona simpatica e disponibile
che ha saputo dare spiegazione dell’accaduto (anche se non richiesta) ed esprimere
una propria opinione.
L’accaduto è degno di nota, sono ancora pochi gli amministratori come
quello di alicom italia (tal sig. Stefano Brandimarte) anche se credo che non
sia da solo, che si premurano di fare copie di backup aggiornate alla giornata,
di controllare i propri sistemi. Non facciamo cattiva pubblicità a coloro
che vengono colpiti da defacement ma rendiamo atto della loro bravura o meno
nel risolvere il problema. Può capitare a tutti di avere un buco sopratutto
quando abbiamo una server Farm molto fornita.

In definitiva, anche gli amministratori dovrebbero coalizzarsi, cioè
trovare un modo per fare massa comune contro i cracker in internet, sopratutto
perchè se un solo server viene colpito, defacciato o bucato, lo stesso
server è un pericolo per qualche altro server, non dobbiamo restare indifferenti
a quello che accade alle altre aziende, veniamo coinvolti anche se non siamo
attaccati direttamente.

Credo proprio che ci troveremo di fronte a due fronti distinti il cui unico
punto di incontro è la tecnologia, l’amministratore “ignorante”
nel senso buono, non esisterà più perchè perde di significato.
Allora e solo allora i ninja verranno allo scoperto e solo allora troveremo
ninja da entrambi i fronti.

Evoluzione dell’ hack ultima modifica: 2003-04-23T00:00:00+00:00 da Enrico

Comments are closed.