Layer 06

Evoluzione dell' hack

Cracker approfittano di una falla di Win2000 oppure Hacker Pacifisti che parlano di falle sfruttate prima che vengano pubblicate dalle stesse case produttrici di sofware (i così detti 0 Days vulnerability) e sempre più spesso si trovano siti che si apprestano a diffondere la conoscenza dei metodi di intrusione. Molto tempo fa esisteva gente come Kevin “Condor” Mitnick che conoscevano molto bene il protocollo e che lo sapevano aggirare, tutto quello che lui e gente come lui ha fatto è entrato nelle pagine della storia dell’informatica. Oggi invece, vuoi per l’evoluzione della tecnologia vuoi per gli amministratori poco esperti o vuoi per la diffusione dell’informazione, attaccare e fare intrusioni è diventato piuttosto semplice (non dico facile ma piuttosto semplice) ed adesso la figura degli attacker è entrata nell’immaginario collettivo come elemento costante. Il 27-03-2003 MicroSoft ha rilasciato una patch per Win 2k, Win XP ma non per NT dichiarandolo troppo pieno di buchi e troppo obsoleto, consigliando di mettere tutte le macchine con NT dietro ad un firewall quando è proprio NT ad essere (per ora) il sistema operativo M$ più sicuro che abbiano mai prodotto (ne ho parlato anche nell’articolo Dell utilizza NT4.0)

Facciamo un passo indietro, come si è passati da Hacker a Cracker (darkside hacker)? ci sarà pure un motivo per cui esistono tantissimi militanti nella “zona defacer”, e perchè proprio i siti web vengono colpiti con maggior violenza? L’hacker entrava nei sistemi per gioco, per sfida, per intelletto e cercava di non fare danni, effettuata l’intrusione avvertiva l’amministratore del buco e spesso indicava i metodi per riparalo, la cosa sembra non esser stata apprezzata nel corso degli anni, il più delle volte l’hacker non riceveva risposta o magari veniva accusato di reati vari (tempo fa non regolamentati, oggi invece esistono leggi che parlano anche di questo). L’hacker spesso era un “dio” della rete ma socialmente poco visibile. Per combinazione di cause: le non risposte ad un aiuto gratuito ed il bisogno di essere più visibile e riconosciuto, l’hacker si è trasformato piano piano in cracker. Perchè avvertire l’amministratore quando non ti rispondono e non sistemano il buco, il riconoscimento personale era praticamente nullo, quando invece sarebbe bastata la classica pacca sulle spalle. La visibilità ed il bisogno di essere universalmente riconosciuti viene appagata dai defacement, se ci pensiamo un attimo, un attacker ha troppi buoni motivi per defacciare un sito. 1- un sito è visibile da tutto il mondo, indipendentemente dalla zona in cui risiede l’attacker. 2- Internet non dorme mai, gli amministratori invece … 3- Internet può essere anonimo e nascondere l’identità dell’attacker 4- Gli amministratori spesso sono poco incentivati a fare bene il loro lavoro o magari sono solo troppo impegnati per poterlo fare con costanza, o magari sono troppo poco esperti per sapere i buchi o troppo poco informati. 5- Raccogliere informazioni sulla vittima è semplicissimo (www.google.com è lo strumento principe) 6- Il danno non è poi graivssimo, ma è sempre una bella presa in giro per l’amministratore Ce ne sono molti altri ma diciamo che questi sono i decisivi. Ecco quindi che nel corso degli anni l’hacker si sposta verso internet e defaccia i siti come se stesse cambiando canale sulla TV di casa.

Tempo fa la RIAA è stata attaccata da ignoti, la notizia ha creato molto scalpore e molta esaltazione sorpatutto per il metodo utilizzato per l’attacco, in pratica hanno letto il file robots.txt che serve per indicare ai motori di ricerca cosa NON indicizzare e si presentava così:

User-agent: * Disallow: /temp/ Disallow: /admin/ Disallow: /cgi-bin/ Disallow: /Archive/

Ovviamente vedendo la scritta Disallow con affianco un bel /admin/ mbhè la tentazione è fortissima. Una volta entrati in quella cartella il resto è stato tutto abbastanza semplice. Astuzia di una persona e tutta la RIAA ha pagato. Inutile dire che proprio oggi stiamo scrivendo la storia del nostro domani, abbiamo gruppi coalizzati di hacker che si ritrovano e discutono dei vari metodi affrontati durante un’intrusione, che se ne vantino o che ne parli professionalmente non cambia il fatto essenziale che stanno diffondendo un metodo di approccio ad internet, che non è quello dell’utente normale ma quello del malizioso. Ma sta cambiando anche qualche altra cosa: Chiedendo un po’ in giro cosa ne pensa la gente degli Hacker le risposte sono tante ed alcune fanno ridere:

“Sono criminali” “Sarebbe meglio se non esistessero” “Non li conosco ma so che spiano la gente”

Tantissime le considerazione errate e poche quelle esatte. I media scrivono e la gente assimila un po’ come capita. Fatto sta che comunque oggi scrivono leggi per combattere il crimine informatico e mettono in galera dei ragazzi di 20 anni impedendogli di utilizzzare il computer o facendoglielo utilizzare solo sotto supervisione. Ritengo che questo non sia il metodo per combattere la criminalità informatica. La diffusione dell’informazione deve servire a restringere il campo di azione dei cracker, non ad allargarlo, cioè devo essere gli amministratori ad invertire la tendenza, loro devono far tesoro delle vulnerabilità trovate. Infatti mi capita di trovare (ormai sempre più spesso) amministratori che rispondo, che si dimostrano disponibili e compententi, ma sopratutto amministratori pronti a spegnere l’incendio :-). Riporto l’esempio di alicom italia che è stata attaccata con un mass defacementnel mese scorso. Mi son preso la briga di avvertire l’amministratore, non per impicciarmi degli affari suoi ma per segnalare semplicemente. Il tutto è successo il mese scorso. Dall’altra parte del cavo ho trovato una persona simpatica e disponibile che ha saputo dare spiegazione dell’accaduto (anche se non richiesta) ed esprimere una propria opinione. L’accaduto è degno di nota, sono ancora pochi gli amministratori come quello di alicom italia (tal sig. Stefano Brandimarte) anche se credo che non sia da solo, che si premurano di fare copie di backup aggiornate alla giornata, di controllare i propri sistemi. Non facciamo cattiva pubblicità a coloro che vengono colpiti da defacement ma rendiamo atto della loro bravura o meno nel risolvere il problema. Può capitare a tutti di avere un buco sopratutto quando abbiamo una server Farm molto fornita.

In definitiva, anche gli amministratori dovrebbero coalizzarsi, cioè trovare un modo per fare massa comune contro i cracker in internet, sopratutto perchè se un solo server viene colpito, defacciato o bucato, lo stesso server è un pericolo per qualche altro server, non dobbiamo restare indifferenti a quello che accade alle altre aziende, veniamo coinvolti anche se non siamo attaccati direttamente.

Credo proprio che ci troveremo di fronte a due fronti distinti il cui unico punto di incontro è la tecnologia, l’amministratore “ignorante” nel senso buono, non esisterà più perchè perde di significato. Allora e solo allora i ninja verranno allo scoperto e solo allora troveremo ninja da entrambi i fronti.

]]>