Sei sulla pagina 1di 64

SHA1 È STATO

www.hackerjournal.it N.241 Febbraio

CRACKATO!!!
È un algoritmo vecchio e superato...
eppure il suo hack nasconde un pericolo

Dal 2002 tutto quello che gli altri non osano dirti

Linux nello
TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA

smartphone
Installiamo Kali su Android...
senza bisogno di root!

Usa il battito
cardiaco come
password
Chiavi d’accesso
e impronte non bastano:
ecco un progetto che rende
inespugnabili i tuoi dati

Sfida da hacker
Capture the flag
Scova bug e vulnerabilità nelle palestre online
e batti sul tempo migliaia di esperti
zetun,genio
del carding
Le avventure di un
ragazzino divenuto
Pentesting simulare le reti
Reflected Cross Site Scripting: Con GNS3 ricreiamo in laboratorio
milionario rubando come attaccare una pagina Web il network di computer e server
carte di credito grazie a un campo di input che dobbiamo colpire o proteggere
IN EDICOLA

Scansiona il QR Code

Acquistala su www.sprea.it
anche in versione digitale
EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Capture The Flag, Pentesting, pfSense,
Riccardo Meggiato, SHA-1, Andronix,
Encrypt Buddy, Cross Site Scripting,
attacchi offline alle password, Zetun,
previsioni per il 2020 e molto altro

L’
Italia alza le difese cyber. È quanto è emerso
da ITASEC 2020, la conferenza italiana
sulla cybersecurity organizzata dal Cini
Cybersecurity National Lab (tra gli altri).
Dalle parole di Angelo Tofalo, sottosegretario alla Difesa,
scopriamo infatti che il Ministero per cui lavora ha creato
il Comando delle operazioni in Rete (Cor) che coordinerà
le attività cyber del Ministero e di tutte le forze armate.
Sono previste ben 300 nuove assunzioni nel prossimo
futuro. Motivo in più per affinare le proprie capacità
e conoscenze con un bel Capture The Flag (CTF).
È l’argomento principale di questo numero: un CTF
CONTATTI
non è altro che una sfida di hacking in cui i partecipanti
passano di livello in livello trovando e sfruttando REDAZIONE
redazione@hackerjournal.it
vulnerabilità, decifrando codici, scrivendo script e tante
epabuqtewhqc@mailchuck.
altre cose belline e divertenti. Con la nostra guida com (BitMessage)
riuscirete a muovere i primi passi in questo fantastico ABBONAMENTI
mondo e sarete pronti ad affrontare le tantissime abbonamenti@hackerjournal.it
www.sprea.it/digital
competizioni che si trovano online (tutti i dettagli
ARRETRATI
a partire da pagina 12). E ovviamente non mancano arretrati@hackerjournal.it
gli altri punti forte classici: il nostro corso per pentester,
FACEBOOK
le curiosità della sezione Hackulture (con le previsioni www.facebook.com/
hackerjournal/
cyber per quest’anno) e un’intervista di Riccardo
Meggiato, uno dei più noti esperti di sicurezza italiani. SITO WEB
www.hackerjournal.it
ro sara
Il prossimo numile2
in edicola 0 marzo

SOMMARIO ABBONATI ALLA


VERSIONE DIGITALE
SOLO PER PC E MAC
A SOLI 19,90 €
DURATA ABBONAMENTO: 1 ANNO

HACKTUALITÀ
www.hackerjournal.it/abbonamenti

News
Notizie e anticipazioni dell’universo hacker...................................................................... 6

COVER STORY
Sfida da hacker: Capture the Flag!
Scova bug nelle palestre online e batti sul tempo migliaia di esperti.............. 12

Intervista | Confessioni di un pentester


Riccardo Meggiato ci spiega i lati nascosti del suo lavoro........................................20

Crittografia | SHA -1 deve morire


GnuPG, CAcert e OpenSSL a rischio per colpa di un buco nella cifratura........24

FOCUS ON...
Pentesting
DVWA,
Continuiamo a studiare > 36
r
l’applicazione creata pe
in un
imparare l’hacking Web
lizzato!
pratico ambiente virtua

M IGLIO RARE
A I U
P
TA
R
C
E
I
F
A
E R I TA!
A
LA TUA RIVIST it.ly urnal
/hackerjo
ttps:// b
Vai su h questionario
anonimo
e compila il
 4
Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”

> 28
SICUREZZA
Firewall | Alziamo le difese, parte 2
Simuliamo una rete locale da attaccare o difendere................................................28

Andronix | Kali su Android, perché no?


Trasformiamo uno smartphone senza root in una macchina da pentest.... 32

Pentesting | Cross-site scripting


Alla scoperta di un’altra vulnerabilità di DVWA............................................................ 36

GSN3
HOW TO 44

Maker e biometria | La password è il tuo battito


Encrypt Buddy, un hack che trasforma il tuo cuore nella chiave d’accesso...........44

Hacking con Kali | Craccare le password, parte 3


Come ottenere l’accesso al sistema anche da offline.............................................................. 48
dy
Encrypt Bud

HACKULTURE > 54
Zetun | La storia di giovane pirata
Un ragazzino timido di giorno, un hacker spietato di notte.................................. 54

Low tech hacking | Truffe low tech


Ecco come si fregano i dilettanti del Web.........................................................................56

2020 a rischio | Sicurezza sempre più in pericolo


Il numero di attacchi è destinato a crescere. Ecco perché..................................... 58

tt o ri , le risposte de lla redazione > 60


Le do m a n d e d e i le
POSTA
HACKTUALITÀ

NLETTUERE WS e
650 siti violati, cremones acker”
h
a processo: “non sono un
#HACKED Stefano Barca è accusato di introduzione abusiva
e danneggiamento a sistemi informatici, ora rischia 8 anni di carcere

Un 34enne di Cremona è accusato di aver violato i codici di oltre 650 siti Web,
tra cui anche quello del tribunale di Milano. L’imputato ha però negato il suo
coinvolgimento e ha chiarito di essere solo “un abile programmatore che non
per forza fa del male”. Stefano Barca ha ammesso, invece, di essere entrato
RED TEAM - DEVELOPMENT in una chat mondiale dedicata all’informatica e all’hackeraggio, perché
AND OPERATIONS interessato all’argomento. È nella stessa chat che un utente ha dichiarato
di aver colpito il sito del tribunale e sempre lì sono stati diffusi i link degli hack.
Lavorare nel Red Team di Dell’introduzione abusiva al sito del tribunale, l’imputato ha ammesso di averne
un’azienda è il sogno di molti parlato con un altro utente chiamato “Deadman” e racconta: “Lui si vantava
aspiranti hacker. Essere
all’interno della chat e ha pubblicato il link della violazione. Purtroppo non ho
autorizzati ad attaccare gli
utenti per cercare di fregarli cancellato le conversazioni, ma ho salvato questi link per poter riuscire a vederli
non ha prezzo! Per farlo però tutti. È come se un appassionato di falegnameria avesse salvato articoli
servono notevoli conoscenze sul tema”. Di link sul suo PC ne sono stati trovati 700. Ma non solo: sul computer
e qualcuno che sappia c’erano anche elenchi di titolari di carte di credito, codici di bancomat
guidare un team di questo e password. Tra le accuse contestate all’imputato c’è ora anche quella
tipo. Proprio per dare
di phishing. Scopriremo il suo destino al ritorno in aula, previsto per il 30 marzo.
indicazioni pratiche su come
funziona l’operativita di un
Red Team e su come gestirlo,
i due autori di questo volume
hanno deciso di raccontare
su carta la loro esperienza
sul campo. Ci sono piaciuti
in particolare gli esempi,
davvero utili per chi deve
costituire un nucleo
di hacker di questo tipo.
Questo volume, in inglese,
costa 18,74 € e lo trovi
su Amazon all’indirizzo
https://amzn.to/31w6wUr

 6
NEWS
Un centro di Trend Micro:
possiamo
Cybersecurity difenderci!

a Milano L a tecnologia ci offre continuamente


nuove opportunità ma ci mette anche
di fronte a rischi importanti.Eppure
#CISCO Il Cybersecurity Co-Innovation Center di Cisco è il primo dal report La nuova normalità:
tra i 12 centri eurpoei dell’azienda dedicato alla sicurezza previsioni Trend Micro sulla sicurezza
per il 2020 (scaricabile da http://bit.
Ospitato all’interno del Museo Nazionale della Scienza e della ly/2tzv0Qs) emerge anche una nota
Tecnica, nasce con l’obiettivo di seguire quattro direttrici positiva: difendersi è possibile!
principali: Research, Educate, Innovate e Connect. Per Enrico
Mercadante, South Specialist and Innovation Leader di Cisco, IL REPORT IN BREVE
l’obiettivo è quello di fare ricerca costante sulla sicurezza
ad ampio spettro, educare i cittadini, soprattutto le nuove 1) Il futuro è complesso
generazioni, illustrare gli ambiti innovativi degli strumenti di I criminali informatici non avranno
protezione e, infine, rappresentare un polo di collaborazione tra problemi ad aggirare patch
aziende, enti governativi e persone. La realizzazione del centro e configurazioni incomplete
milanese rientra nel piano triennale Digitaliani (http://bit. e approssimative; i deepfake creati
ly/2GKz8A5) elaborato dall’azienda, per cui ha investito già oltre con l’AI saranno la nuova frontiera
100 milioni di dollari. Un progetto importante, visto che i dati delle frodi aziendali e i malware
sensibili sono ormai considerati più preziosi del petrolio e l’Italia colpiranno sempre più spesso.
è una delle nazioni più colpite, sia per la forte presenza di piccole
e medie imprese, sia per la grande quantità di brevetti che le 2) Il futuro è esposto
aziende italiane possiedono. “Il compito di proteggere tutto L’IoT e il 5G faciliteranno gli attacchi
adeguatamente è complesso e coinvolge un numero molto a scopo di estorsione, spionaggio o furto;
grande di produttori e aziende, per questo nasce il nostro centro”. le infrastutture critiche saranno sempre
più vulnerabili; gli ambienti home office
rischiano di diventare una nuova via

Proteggi il cloud!!
per gli attacchi alla supply chain.

3) Il futuro è mal configurato


#NUVOLA La National Security Agency (NSA) ha pubblicato Le vulnerabilità dei container (una
nuove linee guida per la protezione dei dati archiviati nel cloud particolare forma di virtualizzazione)
saranno tra i principali problemi
Con il rilascio delle linee guida (http://bit.ly/2OcA3gx), la NSA intende di sicurezza; le piattaforme serverless
aiutare le organizzazioni a migliorare la sicurezza dei loro servizi aumenteranno la superficie di attacco
di archiviazione online. Rivolte prima di tutto alle agenzie governative, a causa di errori e bug: le piattaforme
ma applicabili anche nelle piccole realtà aziendali. Il documento cloud subiranno attacchi basati sulle loro
si concentra su quattro punti fondamentali: una panoramica dei vulnerabilità come gli SQL iniection,
componenti di base generalmente forniti dai provider di servizi cloud attraverso librerie di terze parti.
(CSP), la responsabilità condivisa, un’analisi dei principali attori delle
minacce cloud e una descrizione delle principali vulnerabilità e delle
4) Il futuro è difendibile
loro mitigazioni. Proprio la responsabilità condivisa diventa
Bisogna ridurre il gap nelle competenze
essenziale: “Le aziende devono essere consapevoli del fatto che
di cybersecurity (anche mediante
i fornitori di servizi cloud sono responsabili della loro sicurezza
e dell’infrastruttura sottostante. Ma la responsabilità della sicurezza le certificazioni) e aumentare l’attenzione
nel cloud, inclusi dati, applicazioni eccetera, è a carico delle aziende”. alla sicurezza; bisogna affidarsi a enti
esterni specializzati.

7 
HACKTUALITÀ
Il bug di sudo
LICENZA #ADMIN Un ricercatore Apple ha scoperto

ABBATTE una vulnerabilità nella utility sudo, utilizzata


dai sistemi Linux e macOS, per lanciare comandi

MICROSOFT
con privilegi elevati (root) nei sistemi coinvolti

La vulnerabilità (CVE-2019-18634) consente l’escalation


di privilegi e deriva da un problema di buffer overflow
#FUNNY   Microsoft Teams in down
effettuabile nelle versioni di sudo precedenti
per circa tre ore a causa del mancato
alla 1.8.26. Il bug può essere sfruttato quando
rinnovo di un certificato di sicurezza
l’opzione pwfeedback è abilitata nel file
di configurazione sudoers. Questa funzione

S arebbe stato un errore umano quello


che ha causato un blocco per tutti
gli utenti di Microsoft Team. I responsabili
si occupa di sostituire con degli asterischi
la password digitata dagli utenti nel terminale.
Il problema è che quando il comando è
hanno infatti dimenticato di rinnovare abilitato, può essere innescato da qualsiasi
un certificato di sicurezza. Non è però utente, anche se non ha i permessi
il primo caso in cui un’azienda scorda degli di utilizzare sudo. In caso di buffer
aggiornamenti: era già successo a Mozilla, overflow un malintenzionato
che aveva lasciato scadere i certificati potrebbe passare una serie
di comandi a sudo e quindi
usati per firmare le estensioni,
agire come amministratore.
causando enormi disagi.

C O N H A C K E R J OURNAL
A SCUOLA
#SCHOOL   Ebbene sì!
Il nostro amato HJ diventa
materiale didattico
per imparare l’arte
dell’hacking!

Succede all’ITI G.B. Lucarelli


di Benevento, dove il Professore Carlo
Mazzone ha scelto di usare la sua
collezione personale (dal primissimo
numero!) per insegnare informatica
ai suoi ragazzi. Siete il nostro orgoglio!

FOTO: la classe e il Prof. con le nostre


riviste nel loro laboratorio Linux.

 8
ABBONATI
ABBONATI SUBITO!
SUBITO!
NEWS

33 ,90€ invece
T ITA
GARAN
80€ di 46,
RO
R R I VA ENT
TI A 8 ORE
4 Potrebbero interessarti anche:

VERSIONE
DIGITALE IN Abbonamento Il mio Oggetti
Computer Idea 39,90€ Connessi
OMAGGIO! sconto del 13% 9,90€ su www.sprea.it

PERCHÉ ABBONARSI: COUPON DI ABBONAMENTO


• Prezzo della rivista bloccato per un anno
• Sicurezza di ricevere tutti i numeri Sì! Mi abbono ad Hacker Journal
Tagliare lungo la linea tratteggiata - Puoi anche fotocopiarlo per non rovinare la rivista

Riceverò 12 numeri a soli 33,90 euro anziché 46,80 euro con lo sconto del 27%

SCEGLI IL METODO PIÙ ❏ Inviate Hacker Journal al mio indirizzo:


Cognome e Nome
COMODO PER ABBONARTI:
Via N.
CHIAMACI E ATTIVEREMO INSIEME
Località
IL TUO ABBONAMENTO CAP Prov.
•TELEFONA al N. 02 87168197
Tel. email
Dal lunedì al venerdì dalle ore 9,00 alle 13,00 e dalle 14,00 alle ❏ Scelgo di pagare così:
18,00. Il costo massimo della telefonata da linea fissa è pari a Con bonifico IBAN IT40H0760101600000091540716 - intestato a Sprea S.p.A.
una normale chiamata su rete nazionale in Italia. Con il bollettino intestato a Sprea S.p.A. Via Torino 51, 20063 Cernusco S/Naviglio (MI)
conto postale N° 000091540716
•ONLINE www.hackerjournal.it/abbonamenti
Con carta di credito: Visa Diners Mastercard
•FAX invia il coupon al N. 02 56561221 Numero
•POSTA Ritaglia o fotocopia il coupon seguendo le Codice di tre cifre che appare
istruzioni a lato e inviacelo insieme alla copia della ricevuta di Scad. (mm/aa) sul retro della carta di credito
pagamento via fax o mail (abbonamenti@sprea.it). Firma
• CONTATTACI VIA WHATSAPP ❏ Regalo Hacker Journal (quindi non speditelo al mio indirizzo sopra) a:
Cognome e Nome
3206126518 (Valido solo per i messaggi) Via N.
Località CAP Prov.
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto
di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbona- Tel. email
mento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre previo suo consenso i suoi dati potranno
essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al
fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse
Il beneficiario del tuo abbonamento riceverà una mail dove gli verrà comunicato il regalo
di terzi. 2) Finalità connesse alla comunicazione dei suoi dati personali a soggetti operanti nei settori editoriale, largo
consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo,
automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e Compila, ritaglia e invia questo coupon in busta chiusa a:
2). Per tutte le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via
Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteran- Sprea S.p.A. - Servizio abbonamenti - Via Torino 51, 20063 Cernusco Sul Naviglio (MI)
no per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al confezionamento. L’elenco
aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili
potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento
oppure invialo via mail
e gratuitamente esercitare i diritti previsti dall’articolo 7 del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono
trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea Accetto di ricevere offerte promozionali e di contribuire Accetto che i miei dati vengano comunicati
SpA via Torino 51 20063 Cernusco SN (MI). con i miei dati a migliorare i servizi offerti (come specificato a soggetti terzi (come indicato al punto 2
al punto 1 dell’informativa privacy): ❏ SI ❏ NO dell’informativa privacy): ❏ SI ❏ NO

OFFERTA VALIDA SOLO PER L’ITALIA


HACKTUALITÀ
nde i nostri dati
Avast rive
#SICUREZZA  Il servizio antivirus è stato
beccato con le mani nel sacco. Ecco come

È quanto ha dimostrato il blogger Wladimir Palant:


Avast e la sua sussidiaria AVG, sono stati sorpresi
a vendere i dati dei clienti ad aziende terze sfruttando
i programmi antivirus gratuiti. Avast, infatti, quando
è attivo, raccoglie i dati relativi alla navigazione
degli utenti (dall’intera cronologia al tracking dei
comportamenti online) passandoli alla controllata
Jumpshot che, a sua volta, li mette a disposizione
di una vasta schiera di aziende. Spuntano nomi come
Google, Yelp, Microsoft, McKinsey, Pepsi, Sephora,
Home Depot, Condé Nast, Intuit e molte altre.
A oggi, gli utenti che utilizzano i servizi dell’azienda
sono più di 400 milioni, tutte potenziali vittime.
L’indagine è disponibile al link http://bit.ly/2RIqTe5.

FARHAN UL ARSH
Conspiracy to Comm AD
it Wire Fraud; Cons
Computers; Wire piracy to Gain Unau
Fraud; Unauthori thorized Access to
zed Access to Comp
uters

#NICK Farhan Arshad, Farhan Ul, Farhan Ularshad.


#DATA DI NASCITA E NAZIONALITÀ 22 luglio 1973, pakistano.
#ACCUSA Accusato di cospirazione, frode bancaria e accesso
non autorizzato a sistema informatico. Aliases: Farhan Arshad, DESCRIPTION
Farhan Ul, Farhan Ularshad
Date(s) of Birth Used:
July 22, 1973
Hair: Black Place of Birth: Karachi,
Pakistan
Height: 5'10" Eyes: Brown

Farhan Ul Arshad è ricercato per il suo presunto coinvolgimento


Sex: Male Weight: 170 pounds
Occupation: Farhan Race: White (Middle
Ul Arshad has worked Eastern)
telecommunications as a salesman and
manager. a Nationality: Pakistan
i

in un sistema internazionale che ha frodato individui, società ed enti


NCIC: W495547706

The FBI is offering


a reward of up to REWARD
$50,000 for informa

governativi, oltre che grandi società di telecomunicazioni, sia negli Stati


tion leading to the
arrest of Farhan Ul
Arshad.
Farhan Ul Arshad was
last known to be in REMARKS
and/or Pakistan. He Malaysia, but may also
speaks Urdu and English. travel to the United
Arab Emirates, Canada,

Uniti che all’estero. Tra il novembre 2008 e l’aprile 2012, è accusato


Germany, the United
Kingdom,
Farhan Ul Arshad is
wanted for his alleged CAUTION
individuals, compan involvement in an internat
ies, and government ional telecommunicat
November of 2008 entities, to include ions scheme that defraud
large telecom compan

di aver commesso truffe per un valore di 50 milioni di dollari. Il sistema


and April of 2012, Farhan ies, in both the United ed unsuspecting
ultimately defrauded Ul Arshad is alleged States and abroad.
victims of amounts to
extended into Pakistan in excess of $50 million. have compromised computer systems Between
, the Philippines, Saudi The international scheme and conducted the
Arabia, Switzerland, involved members scheme which
Spain, Singapore, Italy, of a criminal organiza
and Malaysia, among tion that
On June 29, 2012, a other nations.

ha colpito in Malesia, nelle Filippine, in Arabia Saudita, in Svizzera,


federal arrest warrant
New Jersey, after he was issued for Farhan
was indicted for Conspira Ul Arshad in the United
and Unauthorized Access cy to Commit Wire States District Court,
to Computers. Fraud; Conspiracy to District of New Jersey,
If you have any informa Gain Unauthorized Newark,
Access to Computers;
Consulate. tion concern ing this person, please Wire Fraud;
contact your local

in Spagna, a Singapore, in Pakistan e anche in Italia.


FBI office or the nearest
Field Office: Newark American Embass
y or

5 milioni di dollari di ricompensa! Se avete delle informazioni,


contattate l’ambasciata USA più vicina:
https://it.usembassy.gov/it/embassy-consulates-it/

Tutti uniti: vediamoci qui


Data Nome Luogo Sito

4 aprile 2020 Malware Analyst Conference Padova http://bit.ly/2u6wlyj

29 luglio - 2 agosto 2020 IHC 2020 Padova https://www.ihc.camp/

 10
HA C K T U A L I TA À
cover story Sfida da hacker: Capture the Flag!
Scova bug nelle palestre online e batti sul tempo migliaia di esperti............................................. 12

intervista Confessioni di un pentester


Riccardo Meggiato ci spiega i lati nascosti del suo lavoro................................................................ 20

crittografia SHA-1 deve morire


GnuPG, CAcert e OpenSSL a rischio per colpa di un buco nella cifratura..................................... 24
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a

 12
sha1 è stato

Febbraio
crackato!!!

www.hackerjour nal.it N.241


superato...
è un algoritmo vecchio e
un pericolo
eppure il suo hack nasconde

osano dirti
Dal 2002 tutto quello che gli altri non

Linux nello

ART.1 COMMA1- S /NA


smartphone

postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!

Usa il battito

S.p.A. – spedizione in abbonamento


cardiaco come
password

TARIFFA R.O.C. Poste Italiane


Chiavi d’accesso
e impronte non bastano:
rende
ecco un progetto che
inespugnabili i tuoi dati

r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
06/02/20 09:49

1
001_HJ241_cover.indd

Sfida da hacker
Capture The Flag
Scova bug e vulnerabilità nelle palestre
online e batti sul tempo migliaia di esperti

A
vete mai sentito parlare di Capture di Capture The Flag; tra queste le più
The Flag? Non ci stiamo riferendo conosciute sono Jeopardy, Boot2Root
alla versione inglese del nostro e Attack/Defense. Anche se solitamente
ruba bandiera, bensì ai CTF intesi i CTF si limitano a queste tre categorie sono
come competizioni – o giochi che dir si noti alcuni casi di formati misti, come dei
voglia – che consistono nella ricerca di una Boot2Root + Jeopardy, che non rientrano
vulnerabilità presente in sistemi e software in nessuna delle categorie sopraelencate.
messi a disposizione dagli organizzatori In questo articolo cercheremo di fare
della competizione. Un CTF si può affrontare chiarezza sulle varie tipologie di CTF,
in solitaria oppure, come capita molto vi sveleremo quali sono i principali
spesso, in team. Troviamo i CTF online, portali o raccoglitori di CTF presenti
oppure durante le manifestazioni legate in Rete e vi mostreremo alcuni esempi
al mondo della sicurezza. pratici. Buona lettura!

COME SI VINCE?
Per vincere in questo gioco è necessario
trovare e sfruttare il maggior numero di Partecipare a un CTF
falle possibili, collezionando le cosiddette è il modo migliore per
flag (bandiere) nascoste all’interno del
sistema bersagliato. Alcuni degli obiettivi
apprendere concetti
consistono, invece, nella risoluzione di come reverse engineering,
puzzle logici o nella ricerca di un modo OSINT, steganografia
efficace per riuscire ad abusare di un
sistema. Esistono diverse tipologie o analisi forense

13 
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a

Le tipologie di CTF
JEOPARDY BOOT2ROOT

È senza ombra di dubbio la tipologia di CTF


più diffusa, probabilmente perché si adatta
perfettamente alle competizioni online.
A l contrario dei
Jeopardy, i
CTF di tipo
In un CTF di tipo Jeopardy, gli organizzatori forniscono Boot2Root sono
ai partecipanti una serie di prove che, una volta omunemente
superate, consentono di ottenere le cosiddette affrontati da
“flag”, utilizzate per confermare l’avvenuto partecipanti singoli. Questi Capture The
superamento dei singoli “challenge”. Flag servono principalmente da
A ogni flag vengono assegnati un numero di punti esercitazione per coloro che vogliono
direttamente proporzionale alla difficoltà della prova cimentarsi in uno scenario simile alla
superata. Una volta trascorso il tempo prestabilito, realtà, simulando un vero e proprio
il giocatore o il team che avrà ottenuto il maggior attacco. Nei Boot2Root l’organizzatore
numero di punti, porterà a casa la vittoria. mette a disposizione una VM (virtual
Di norma, quando si tratta machine) da scaricare, per poi chiedere
di CTF Jeopardy, si preferisce ai partecipanti di accedervi con diritti da
la partecipazione a squadre, amministratore (root), sfruttandone le
piuttosto che singola, in modo vulnerabilità. Si tratta di un formato che,
da assegnare prove differenti a differenza di Jeopardy, non prevede
a ciascun membro, o a coppie, l’assegnazione di punti o scadenze
per aumentare le probabilità temporali. I Boot2Root si svolgono offline
di successo e velocizzare la e non c’è nessun vincitore, si tratta solo
risoluzione dei vari challenge. di esercitazioni fini a se stesse.

ATTACK/DEFENSE

I l terzo e ultimo formato convenzionale di CTF è Attack/Defense, ovvero attacco e difesa. In questi casi
si lavora principalmente a squadre, a ognuna delle quali viene assegnata una virtual machine
messa a disposizione dagli organizzatori. A differenza dei casi visti in precedenza, non si tratta solo
di trovare le vulnerabilità e attaccare, bensì bisogna difendere i servizi esposti ad attacchi presenti
sulle macchine virtuali senza comprometterne la disponibilità. A mettere in pericolo i suddetti servizi
sono proprio i team avversari, che, così facendo, innescano
un meccanismo di attacco e difesa all’interno
del quale ognuno dovrà contemporaneamente
attaccare e difendere le virtual machine presenti.
A ogni attacco o difesa portata a termine
con successo corrispondono dei punti calcolati
in base al numero di flag sottratte o conquistate
da uno specifico servizio. Alla fine del tempo
prestabilito, la squadra che ha portato
a casa più punti viene proclamata vincitrice.
Per organizzare questo tipo di eventi
è richiesta una certa preparazione e, trattandosi
di operazioni complesse, le competizioni
Attack/Defense vengono svolte offline.

 14
sha1 è stato

Febbraio
crackato!!!

www.hackerjour nal.it N.241


superato...
è un algoritmo vecchio e
un pericolo
eppure il suo hack nasconde

osano dirti
Dal 2002 tutto quello che gli altri non

Linux nello

ART.1 COMMA1- S /NA


smartphone

postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!

Usa il battito

S.p.A. – spedizione in abbonamento


cardiaco come
password

TARIFFA R.O.C. Poste Italiane


Chiavi d’accesso
e impronte non bastano:
rende
ecco un progetto che
inespugnabili i tuoi dati

r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito

Hack The Box


06/02/20 09:49

1
001_HJ241_cover.indd

S
iete esperti di
informatica e volete
avvicinarvi al mondo
del Capture The Flag
e magari cimentarvi in qualche
challenge? Come avrete capito,
il modo migliore per farlo ISCRIZIONE
è accedere ad Hack The Box La prima
(www.hackthebox.eu). Si tratta sfida è capire
di una piattaforma online che vi come ci si
permette di testare e migliorare iscrive ad
HTB. Quale
le vostre abilità nel Penetration
sarà mai
Testing e nel mondo della
figura #1
il codice
cybersecurity. Hack The Box d’invito?
contiene numerosi CTF che
vengono aggiornati
continuamente per consentire COME CI SI REGISTRA non è così. Vediamo passo
agli utenti iscritti di affrontare Questa procedura potrebbe per passo come procedere.
nuove sfide. Alcune di queste rivelarsi più complessa Innanzitutto dovrete accedere
simulano scenari reali, mentre di quanto credete: provando al sito https://www.hackthebox.
altre sono Capture The Flag fini a registrarvi sul sito di Hack The eu/. Scorrendo l’homepage
a sé stessi, pensati per testare Box, vi verrà richiesto un codice in basso, troverete la voce
le abilità dei partecipanti. d’invito da inserire per JOIN, cliccateci sopra.
Si tratta, a tutti gli effetti, della completare la registrazione. A questo punto si aprirà
piattaforma ideale (seppur Molti, a questo punto, la schermata di login, ma come
non l’unica) per migliorare potrebbero pensare che si tratti anticipato in precedenza
le vostre abilità e mettervi di una piattaforma esclusiva, vi verrà chiesto il codice d’invito
alla prova, soprattutto se siete magari riservata ad addetti (che per ora non avete) [figura
alle prime armi e volete ai lavori o membri di comunità #1]. Cliccate con il tasto destro
avvicinarvi a questa realtà. scientifiche, ma per fortuna sulla pagina e selezionate
la voce Ispeziona Elemento.

figura #2 Se utilizzate Chrome potete


accedere agli Strumenti
per gli sviluppatori premendo
Ctrl + Shift + i. Qui troverete
una lista di script nella sezione
Elements [figura #2].
Scorrete la lista fino a trovare
uno script che contiene la

IL PRIMO INDIZIO
La pagina di richiesta del codice
d’invito nasconde l’indirizzo di uno
script che si rivelerà molto utile...

15 
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a

SCOPRIAMO L’URL CIFRAT0


Inserendo makeInviteCode() nella
console del browser, scoviamo
le parole che andranno decifrate.

e cercate un decoder ROT13


(per esempio, potete utilizzare
il sito Web rot13.com): copiate
i dati ottenuti nel box di testo,
selezionate la voce ROT 13 (A-Z,
a-z) e infine cliccate su decode.
figura #3 Decodificando il messaggio
comparirà l’istruzione che
stringa /js/inviteapi.min.js. makeInviteCode(); vi farà ottenere il codice d’invito
Inserendo nella barra di ricerca Fatto? Allora premete il tasto tanto desiderato: per generare
del vostro browser l’URL https:// Invio. Riceverete un messaggio un codice valido per accedere
www.hackthebox.eu/js/inviteapi. di conferma (200) come ad Hack The Box dovrete
min.js, comparirà un file JS. Al mostrato in [figura #3] effettuare una richiesta di tipo
suo interno la scritta Nel nostro caso, il tipo di codifica POST /api/invite/generate.
makeInviteCode è l’indizio utile. era ROT13. A questo punto Aprite il prompt dei comandi
Ora potete tornare nella sezione dovrete decodificare (se utilizzate Windows) o il
https://www.hackthebox.eu/ il messaggio che avete ottenuto. terminale se siete su Linux
invite; aprite la console e digitate Aprite una nuova scheda o macOS e inserite il comando

Un universo in espansione
S e pensate che il Capture The Flag sia un’attività
destinata esclusivamente ad hacker intenti a
portare a casa premi e riconoscimenti, vi sbagliate.
che li vedono impegnati nella risoluzione di CTF
di vario tipo, mentre la seconda parte è dedicata
ai talk che ogni anno vengono tenuti da alcuni dei
Questa tipologia di eventi, sempre più diffusa più affermati esperti nel settore della sicurezza
a livello globale, viene utilizzata frequentemente informatica. I prossimi eventi in programma
in contesti universitari nell’ambito della ricerca; si terranno ad Amsterdam nel mese di aprile,
durante questi eventi, team appartenenti a diverse a Singapore in luglio e infine ad Abu Dhabi,
facoltà informatiche si cimentano in challenge in concomitanza con l’Expo di novembre 2020.
che li vedono competere con colleghi provenienti
da tutto il mondo. Non a caso, ogni anno, si
organizzano diverse conferenze sul tema; una
delle più importanti, che raccoglie un gran numero
di professionisti e ricercatori esperti di IT security,
è HITB Security Conference (https://conference.
hitb.org/). Nel corso della conferenza vengono
trattati e discussi principalmente argomenti
che riguardano le future minacce alla sicurezza
dei sistemi informatici mondiali. La conferenza si
divide in due tranche da due giorni ciascuna. Nella
prima parte i partecipanti si cimentano in training

 16
sha1 è stato

Febbraio
crackato!!!

www.hackerjour nal.it N.241


superato...
è un algoritmo vecchio e
un pericolo
eppure il suo hack nasconde

osano dirti
Dal 2002 tutto quello che gli altri non

Linux nello

ART.1 COMMA1- S /NA


smartphone

postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!

Usa il battito

S.p.A. – spedizione in abbonamento


cardiaco come
password

TARIFFA R.O.C. Poste Italiane


Chiavi d’accesso
e impronte non bastano:
rende
ecco un progetto che
inespugnabili i tuoi dati

r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito

SECONDA CONVERSIONE
06/02/20 09:49

1
001_HJ241_cover.indd

Dal primo indizio, cifrato con ROT13,


si passa al secondo, che usa Base64...
figura #4
e via con un’altra conversione!

visibile anche in [figura #4]:

curl -XPOST https://www.


hackthebox.eu/api/invite/
generate

In questo modo otterrete


finalmente il codice, ma si tratta
nuovamente di un codice
crittografato. Per utilizzarlo
dovrete decodificarlo, questa
volta scegliendo un decoder comando POST che avete codice. Tornate nella sezione
di tipo Base64, per esempio inserito nel box di testo, Join e inserite il codice, il gioco
https://www.base64decode.org/: premete Invio e finalmente è fatto. Ora procedete con
inserite il codice ottenuto dal otterrete il tanto agognato la registrazione e entrate.

,
Let s hack!
A
ll’interno di Hack The Queste challenges a loro volta ma niente di più). Lo scopo
Box un comodo menu sono divise per categorie. di questo tipo di sessioni
ci accompagnerà è quello di violare le macchine,
nelle varie sessioni • Machines ottenerne la flag contenuta
di hacking; in particolare Qui troviamo le macchine all’interno di un file (user.txt)
saranno due le voci da bucare. Le sfide, a differenza nella cartella /home della
su cui ci concentreremo. delle challenges, non offrono macchina. La sfida si può definire
(quasi) nessun indizio (spesso completa solo quando, oltre
• Challenges un “pizzico” di aiuto è fornito questo file, si ottengono
In questa pagina troveremo dal nome della macchina stessa, i permessi di root.
le sfide “offline”, o comunque
che non richiedono – quasi figura #5
mai – interazioni con server
della rete. Si tratta spesso
di indovinelli, file zippati,
immagini o documenti
da scaricare e da elaborare
per risolvere gli enigmi.

CERCHIAMO L’ILLUMINAZIONE
La sfida che affronterete si chiama Illumination.
Per prima cosa, scaricare un banale file Zip...
HACKTUALITÀ d a hacker
COVE R STO RY: Sfi d a

figura #6 LA CARTELLA MISTERIOSA


I creatori della challenge sono dei
furbetti... hanno salvato i dati che
ci servono in una cartella nascosta.

una difficoltà e invieremo la


nostra risposta [figura #9]. Fatto!

MACCHINE, CHE SFIDA!


Le macchine sono più incentrate
sugli attacchi APT veri e propri
e richiedono maggiori
CHALLENGE, CHE PASSIONE! conoscenze di tecniche d’attacco
La sfida su cui ci siamo $ git log e di strumenti in live. Inoltre,
concentrati è molto semplice per potervi accedere, sarà
(troverete il grado di difficoltà, Da qui verificheremo la presenza necessario collegarsi alla VPN
indicato dagli utenti stessi dell’hash in cui è contenuto il log, di Hack The Box, con cui ci verrà
che lo hanno risolto, affianco quindi lo mostreremo con: assegnato un IP e con cui
ogni nome dello stesso), potremo interagire anche con
si chiama Illumination $ git show [hash] le altre macchine [figura #10].
e al momento è una challenge Al momento la macchina più
attiva – ricordiamo che spiegare come si può vedere in [figura semplice (OpenNet) prevede un
una challenge attiva va contro #8]. Ci verrà mostrato il token grado di difficoltà molto basso,
la buona etica di HTB – tuttavia, (in formato BASE64). Utilizzando tuttavia non è stata documentata
essendo anche documentata la regola di decodifica vista nella in Rete e dunque lasceremo
ampiamente in Rete, risoluzione dell’Invite Code, al lettore la sfida. Di seguito,
ci solleveremo da questo provvederemo a decifrare però alcuni consigli (se non
peso morale. l’hash di risoluzione (in formato volete rovinarvi il gioco non
Per una maggiore “immersione” HTB{soluzione}) per poi inserirlo proseguite nella lettura).
consigliamo prima di provarci nel form della challenge. La macchina può essere violata
da soli :). Il primo indizio A questo punto inseriremo in diversi modi: nel nostro caso
che riceviamo è che il file zippato
contiene del codice scritto
da un programmatore junior
e che la risoluzione prevede
di estrarne il token. Estraendo
il file .zip riceveremo una struttura
di cartelle e alcuni file di
configurazione [figura #5],
che tuttavia tenderanno a essere
più delle false piste che altro.
La vera perla in questo challenge
è la presenza di un folder nascosto
(.git) che contiene lo storico figura #7
dei commit sul repository
che contiene il programma [figura ESTRAIAMO I DATI NASCOSTI
#6]. Per estrarre tali log useremo Con il comando git si riesce a trovare l’ennesimo codice cifrato
il comando [figura #7] che si frappone tra noi e il successo...

 18
sha1 è stato

Febbraio
crackato!!!

www.hackerjour nal.it N.241


superato...
è un algoritmo vecchio e
un pericolo
eppure il suo hack nasconde

osano dirti
Dal 2002 tutto quello che gli altri non

Linux nello

ART.1 COMMA1- S /NA


smartphone

postale – MBPA/LO-NO/125/A.P./2017-
Installiamo Kali su Android...
senza bisogno di root!

Usa il battito

S.p.A. – spedizione in abbonamento


cardiaco come
password

TARIFFA R.O.C. Poste Italiane


Chiavi d’accesso
e impronte non bastano:
rende
ecco un progetto che
inespugnabili i tuoi dati

r
Sfida da hacke
Capture the flag
Scova bug e vulnerabilit
à nelle palestre online
di esperti
e batti sul tempo migliaia
zetun,genio
del carding simulare le reti
Le avventure di un Pentesti ng ricreiamo in laboratorio
Con GNS3
ragazzino divenuto Cross Site Scripting:
Reflected
Web il network di computer e
server
milionario rubando come attaccare una pagina che dobbiamo colpire o
proteggere
grazie a un campo di input
carte di credito
06/02/20 09:49

VISUALIZZIAMO L’HASH
1
001_HJ241_cover.indd

Ancora git in nostro soccorso: con


l’opzione show troviamo il token
in Base64 che ci farà arrivare
vittoriosi al traguardo.

MISSIONE COMPIUTA!
Scovato il token, è sufficiente copiarlo
nel campo di testo della challenge,

figura #8
indicare il livello di difficoltà secondo
noi e premere Submit.

siamo riusciti ad accedervi sia


tramite un precedente attacco figura #9
(l’attaccante aveva lasciato
un telnet avviato) sia tramite
reverse shell – e da lì un Privilege
Escalation. Dato che il telnet
non sempre è presente – ogni
user può chiedere un reset della
macchina una volta risolta
– possiamo anzitutto
scannerizzare il Web host.
Con dirb, per esempio,
carichiamo una wordlist di path
utili (li troverete all’interno di una
qualunque distro di pentesting
o in Rete) fino a scoprire che
esiste un’installazione di
OpenNetAdmin (da lì, il nome figura #10
della macchina). La versione in
uso è molto vecchia e ci permette
di utilizzare un exploit che ci
permette di accedere tramite
utente www-data nella CLI
(interfaccia a caratteri) del server. DALLE CHALLENGE
Da qui in poi... in bocca al lupo! ALLE MACCHINE
Cambiamo menu del sito
e la sfida diventa
più complessa...
RISORSE
ONLINE

HTTPS://CAPTURETHEFLAG.IT/ HTTPS://CTFTIME.ORG/ HTTPS://HACK.ME/


Un sito in Italiano che raccoglie Un enorme archivio di CTF Un progetto comunitario
notizie, risorse e varie challenge e un’ottima fonte di informazioni, sponsorizzato da eLearnSecurity.
per chi desidera mettersi alla prova classifiche dei migliori team Troviamo un gran numero di
con un CTF. Ha anche un gruppo ed elenchi delle prossime sfide applicazioni Web vulnerabili,
Telegram, https://t.me/CapTheFlag. in programma in tutto il mondo. esempi di codice e molto altro.

19 
SICUREZZA

Con f e s s i o n i
di un p e n t e s t e r
i, p er m es ti er e, ce rc a di superare
a ch
Come passa la giornat delle aziende?
le difese informatiche , uno dei massimi
a R ic ca rd o M eg g ia to
Lo abbiamo chiesto security
esperti italiani di cyber
INTERVISTA

C
hi non ha mai sognato
di potersi guadagnare
da vivere violando
sistemi informatici,
bucando reti aziendali
e intrufolandosi nei Wi-Fi
aziendali? Probabilmente
questo è il sogno, nemmeno
troppo segreto, di molti lettori
di Hacker Journal: poter seguire
la propria passione,
guadagnarci e non dover
correre il rischio di finire
al gabbio per essersi infilati
là dove non si poteva.
NON BASTANO GLI STRUMENTI
Abbiamo avuto modo
Kali Linux, pur non perfetta, è un’ottima soluzione per un pentester. Ma Riccardo
di parlare con qualcuno che ci avverte: “gli strumenti non sono così importanti. Bisogna sapere cosa fare”.
questo sogno lo ha realizzato,
Riccardo Meggiato. Ho imparato a programmare materiale dalle BBS (Internet era
in linguaggio binario a 9 anni, poco sviluppato) divenni vittima di
Giornalista, pentester, per un caso fortuito. Siccome ero un banale virus. Caso volle che in
esperto di sicurezza... chi è grassottello, in classe ero piuttosto quel periodo stessi testando delle
e cosa fa Riccardo Meggiato? isolato e quindi arrivavo sempre routine che si occupavano di una
Un’ottima domanda. Non saprei ultimo a scegliere un libro dalla rudimentale modalità multiplayer
definirmi, però posso dirti una biblioteca di classe. I libri “migliori” del gioco a cui stavo lavorando.
cosa: seguo tutto ciò che mi fa venivano sempre presi dagli altri, Virus, codice, architettura delle
battere il cuore. La mia fortuna quindi me ne capitò in mano uno, reti… scoccò la scintilla.
credo che risieda nel fatto impolverato e mai letto da
che il mio cuore ha sempre nessuno, che parlava del codice Quali strumenti usi quando
battuto per attività che invece altri binario con la metafora di bruchi ti occupi di pentesting?
ripudiavano: cybersecurity, digital e mele. Non avevo ancora Adotti distribuzioni come Kali
forensics, sviluppo di videogame un computer ma mi innamorai Linux (o simili) o degli
o di software per la ricerca. della possibilità di comunicare strumenti realizzati da te?
La mia carriera è iniziata molto con appena due numeri, 0 e 1. Dirò una cosa controcorrente:
presto ed è oggi diversificata. Da lì, e faccio un salto temporale nel pentesting i tool non c’entrano
notevole, mi trovai a proprio nulla. Devi avere
Come ti sei avvicinato al programmare videogame innanzitutto molto ben chiaro
mondo della cybersecurity? e quando si trattò di scaricare cosa vuoi testare. Negli ultimi

Chi è Riccardo Meggiato?


, software
Esperto di fama internazionale nel campo delle analisi forensi su dispositivi elettronici
Tecnico d’Ufficio e Consulent e Tecnico della difesa (CTP e CTPO),
e telefonia. Consulente
ha maturato oltre 15 anni di esperienza, operando su svariati casi in Italia e all’estero.
do
Nato a Dolo (VE), nel 1976, ha iniziato a programmare a 9 anni, apprendendo e sviluppan
permesso di essere uno dei primi esperti italiani
tecniche di hacking e analisi che gli hanno
tore
nel settore della digital forensics. Autore di oltre venti libri best-seller, tra i quali: L’investiga
o; Facebook Hacking; Il Lato Oscuro della Rete; L’hacker dello smartpho ne.
informatic

21 
SICUREZZA
seguire metodologie molto
precise per non inficiare
il reperto digitale.

Come viene percepita


la cybersecurity dalle
aziende italiane? Agiscono
in maniera proattiva oppure
tendono a chiamarti
quando il danno è fatto?
Purtroppo nel 95% dei casi è la
seconda opzione. Ma ho capito che
fa parte dell’essere umano. Le
UNA MINACCIA AL SECONDO... O ANCHE PIÙ
aziende hanno l’errata percezione
Fare il pentester vuol dire, tra le altre cose, riuscire
a fare in modo che un’azienda non cada vittima che risolvere un problema costi
dei tantissimi tentativi di attacco quotidiani meno che prevenirlo, ma non
è assolutamente così. Oltre a
sistemare il danno nell’immediato,
vent’anni ho svolto pentesting e perdere il focus è elevato. Anche infatti, dovrebbero considerare
in realtà davvero molto diverse BlackArch è un ottimo progetto, le conseguenze sul breve-medio
fra loro e, benché esistano degli ma molti tool li realizziamo da noi: termine, che possono essere
standard e dei protocolli, possono essere in Python o Perl, devastanti. La colpa, però, non è
è sempre un po’ come partire ma anche in C e Assembly. solo delle aziende. Molte realtà che
da zero. Mi è capitato, per si occupano di cybersecurity, fino
esempio, di fare pentesting su Quali sono le difficoltà a oggi, si sono approfittate del loro
navi: è incredibile la quantità di del tuo lavoro dal punto ruolo e della scarsa informazione
tecnologia presente su una nave di vista legale e burocratico? per propinare listini fuori scala.
e quanta progettazione occorra In questo lavoro si ha sempre Puoi essere il consulente più bravo
per eseguire dei test efficaci per l’impressione di giocare come del mondo, ma se il preventivo
ciascuna. Solo quando ho bene battitori liberi. Le difficoltà sono mensile per la protezione costa
in mente con cosa ho a che fare, enormi e non solo tecniche. Faccio il 50% del fatturato, nessuna
quando ho sviscerato ogni un esempio: sembra assurdo, ma azienda potrà mai sostenerlo.
tecnologia, decido come agire un pentester deve tenere conto Dobbiamo venirci incontro,
e in ultima battuta, con cosa farlo. della possibilità che il cliente ma il primo passo credo
A mio modesto parere, ci si deve ti possa accusare di intrusione vada fatto proprio da chi
concentrare più sul cosa fare che informatica. Per questo è si occupa di sicurezza. E scusatemi
sullo strumento in sé. Pensiamo necessario aggiornarsi e lavorare se sono poco diplomatico,
a Kali Linux, è un insieme di tool di concerto con un ottimo legale. è una mia caratteristica.
che possono essere utilizzati Dobbiamo, inoltre, prestare
anche singolarmente, ma occorre un’attenzione maniacale In un tuo recente post su FB
conoscerli approfonditamente, per protocolli e procedure: hai scritto che l’attività
altrimenti il rischio di distrarsi nell’informatica forense occorre di pentesting nella pratica sia
molto meno eccitante di come
può apparire: puoi farci un
Per diventare un abile pentester esempio di una giornata tipica?
Diciamolo: è una palla spaventosa.
servono passione, determinazione, O meglio, lo è rispetto a ciò che si
capacità cognitive e quindi logiche immagina. Per me resta e rimane

 22
CONFESSIONI
INTERVISTA
Un hacker indiano ha sviluppato uno senza alcuna forma di protezione.
Indirizzo IP, MAC et voilà.
dei malware per smartphone più Non credo fosse un gran
evoluti che abbia visto in vita mia sistemista, a pensarci bene.
Se devo pensare a qualcuno,
eccitante come qualsiasi cosa e rinunce. E quando raggiungo un al contrario, di abile, penso a un
a cui mi dedico. Descrivere una obiettivo me ne pongo di nuovi. Gli hacker indiano che ha sviluppato
mia giornata tipo è complicato obiettivi sono tutto, nella mia vita. uno dei malware per smartphone
dato che non faccio solo il più evoluti che abbia visto
pentester, ma posso dire quali Potresti raccontarci qualche in vita mia. Solo un reverse
sono i miei personali elementi aneddoto curioso? Sei engineering lungo e tedioso
imprescindibili. Innanzitutto, incappato in qualche hacker ci permise di capire con cosa
sto attentissimo all’alimentazione. particolarmente brillante avevamo a che fare.
Questo mi consente di rimanere o, al contrario, incredibilmente
lucido in ogni momento della sprovveduto? Si parla molto di ATP: nella
giornata. Poi svolgo attività fisica Ne avrei moltissimi, ma ne scelgo tua carriera ti è capitato
ogni giorno: 45-50 minuti di uno recente. Un rapporto di avere a che fare con
palestra. Così scarico la tensione clandestino tra il manager attacchi sponsorizzati
e tengo alto il livello di endorfine, di un’azienda e una collega da governi o simili?
che contribuiscono a mantenere diventano oggetti di un maxi Negli attacchi ATP, al contrario
elevato l’ottimismo, la positività ricatto. In pratica, qualcuno di quel che si legge in giro,
e la lucidità. Dedico almeno mandava loro foto dei flirt la geolocalizzazione è davvero
un’ora, ogni giorno, a provare in ufficio (flirt spinti, diciamo), difficile da stabilire. Puntare
qualche nuova tecnica o tool. ripresi tempo addietro, e chiedeva il dito contro un paese può essere
È importante notare che quando ingenti somme per non diffondere davvero pericoloso e temo che
dico “ogni giorno” intendo sette quelle foto all’esterno. ultimamente lo si faccia troppo
giorni su sette, anche a Natale Le foto venivano inviate tramite spesso. Detto questo sì, mi è
e Ferragosto. Non perché email. Indovinate? Venivano capitato spesso di essere chiamato
sia asociale, ma perché ho degli spedite da Outlook, dal medesimo ad analizzare attacchi di questo
obiettivi da perseguire e sono ufficio. Per la precisione, tipo, ma per ovvie ragioni
obiettivi che richiedono dedizione dall’amministratore di sistema, non ne posso parlare.

Vuoi imparare? Ecco cosa fare


Quali strade consiglieresti a chi vuole intraprendere una
carriera nella cybersecurity? Dal punto di vista dei linguaggi
di programmazione, quali è fondamentale conoscere
per questo tipo di attività?
Occuparsi di cybersecurity è un po’ come fare il medico:
se non sei mosso da vera passione, rischi di fare grossi danni
o di dedicare la tua vita a compilare ricette e basta.
Capire se è la strada giusta è molto semplice: studiate, subito,
cose difficili. Provate a imparare a programmare in Assembly
e in Perl, smanettate con Debian, studiatevi come fare il reverse
engineering del firmware del vostro router. A Kali ci penserete
dopo, nel caso. Se e solo se vi appassionerete agli argomenti
più difficili, allora la cybersecurity fa per voi. E in quel caso,
tra l’altro, avrete già un’ottima base.

23 
HACKTUALITÀ

V E M O R I R E
SHA-1 DE SL po tr eb be ro es se re a rischio grazie
GnuPG, CAcert e OpenS ll ’a lg or it m o di cifratura SHA-1
op er to ne
a un nuovo baco sc

S
ecure Hash Algorithm COSA SONO LE COLLISIONI? complicata e lunga anche per gli
è un protocollo La sicurezza degli attuali elaboratori, e il fatto che a ogni
crittografico sistemi crittografici si basa hash – ogni password cifrata
sviluppato dalla NSA prevalentemente su due fattori: – corrisponda solo una parola.
nei primi anni 90 e utilizzato la complessità matematica Quando quest’ultima condizione
come standard federale negli della fattorizzazione dei non viene soddisfatta, si parla di
USA. Con il tempo si è evoluto numeri primi, un’operazione collisione hash. Praticamente,
in SHA-2 (che include quattro
varianti: SHA-224, SHA-256,
SHA-384 e SHA-512) e oggi
Google insiste per rimuovere SHA-1 dai protocolli
è ormai considerato ormai
supportati su Internet dal 2017, da quando
molto anziano. ha dimostrato le prime vulnerabilità del protocollo
Per questioni di compatibilità realizzato dalla NSA.
con i sistemi legacy, però,
non è mai stato del tutto
abbandonato e questo
rappresenta un problema
dal momento che si è rivelato
essere poco sicuro.
Il fatto che soffra di serie
vulnerabilità, in realtà, è noto
fin dal 2017, quando alcuni
ricercatori di Google
dimostrarono la prima collisione
hash, evidenziandone quindi
l’inaffidabilità, almeno sulla carta.

 24
CRITTOGRAFIA
crearne una identica,
Le applicazioni che mostravano permettendo a un attaccante di
i maggiori rischi sono state patchate violare la cifratura, a partire da
per mitigare il problema, per fortuna qualsiasi input, rendendolo di
fatto utilizzabile in un numero
per decifrare un messaggio dove dimostrano come sia molto maggiore di scenari. Oltre
c’è più di una password valida. possibile velocizzare a essere molto versatile, l’attacco
Insomma, fin dal 2017 sappiamo ulteriormente i calcoli. Il metodo descritto nello studio è
che SHA1 è bacato ma se non ha chosen-prefix che hanno relativamente economico da
ottenuto lo stato di deprecated sviluppato è molto più efficace portare avanti. Basandosi sui
è per due motivi: è poco usato rispetto a quello usato prezzi di Amazon Web Service,
(come abbiamo visto, la stessa in precedenza e offre a un gli autori stimano che usando
NSA negli anni lo ha aggiornato) potenziale attaccante un’enorme l’approccio di Google, l’attacco
e, in ogni caso, l’exploit teorico flessibilità: aggiungendo dei costerebbe fra i 110.000
reso pubblico dai ricercatori era caratteri alle hash, è possibile e i 560.000 dollari, a seconda
estremamente difficile da
mettere in pratica dal punto
di vista tecnico, a causa della
potenza di calcolo richiesta.
Il cluster usato dai ricercatori
Per Google non è stato
un grande problema
per gli esperimenti
concentrare momentaneamente Trattandosi di un progetto di ricerca finanziato dall’Università, Leurent
gli sforzi della sua enrome e Peyrin non avevano cifre enormi da investire per i loro esperimenti.
infrastruttura cloud per calcolare Invece di affidarsi a risorse di calcolo come quelle offerte da AWS,
hanno scelto di appoggiarsi a gpuservercentral.com, che mette a
9 quintilioni di hash SHA-1
disposizione cluster di GPU a un prezzo molto competitivo, 5 cent (di
(9,223,372,036,854,775,808, dollaro) per ogni CUDA core. Il sistema messo in piedi era basato su
a essere precisi), ma per un 150 computer ciascuno dotato di 6 GPU. Queste ultime erano tutte
comune attaccante ci sarebbe GeForce GTO 1060, alcune da 3 GB, altre da 6 GB. A coordinare il tutto
ci pensava un master node basato su un Core i7 e due hard disk da 2
voluto un anno intero di calcoli
TB in RAID. Fatta eccezione per il master node, che doveva essere
per un cluster di 110 GPU. potente per coordinare il lavoro del cluster, tutti gli altri nodi non
Sino al momento prima della richiedevano CPU particolarmente potenti (il carico di lavoro veniva
scoperta, l’unica alternativa gestito dalle sole GPU), tanto che si è optato per economici
era un approccio brute force. processori Pentium o Celeron con due soli core.
Il costo di un simile giocattolo? I ricercatori
Per ottenere la soluzione nello hanno negoziato un prezzo di 37.800
stesso periodo di tempo, un dollari al mese e usato il cluster
anno, sarebbero state necessarie per due mesi.
12 milioni di GPU. L’approccio di
Google, insomma, è 100.000 volte
più veloce rispetto al brute force.
Niente male come passo avanti.

2020: SHA-1 CRACCATO


VELOCEMENTE
Gaëtan Leurent e Thomas Peyrin
sono i due ricercatori che hanno Affittare un cluster di
recentemente pubblicato centinaia di GPU non
lo studio SHA-1 is a Shambles ha un costo proibitivo
(https://sha-mbles.github.io),

25 
HACKTUALITÀ
di quanto tempo si vuole Il metodo per craccare SHA-1
impiegare per portarlo a termine.
Leurent e Peyrin sono riusciti è 100.000 più veloce rispetto
a replicare i risultati spendendo a un approccio brute force
circa 75.000 dollari per il noleggio
di risorse computazionali tentare di fare un downgrade GLI HACKER POTREBBERO
in cloud. Sostengono anche del protocollo in fase di attacco, APPROFITTARNE?
che ai tempi del test, l’algoritmo forzando il più debole e quindi Gli autori della ricerca sono
non fosse ancora ottimizzato applicando questo particolare consci dell’impatto che potrebbe
al meglio. Con le loro ultime attacco. Gli autori della ricerca avere la loro scoperta e in via
modifiche il costo scenderebbe hanno naturalmente avvisato precauzionale non hanno
a 45.000 dollari. La stima è che gli sviluppatori dei software pubblicato il codice sorgente
entro il 2025, un chosen-prefix potenzialmente coinvolti, che si necessario per sfruttare l’exploit,
collision attack su SHA-1 potrebbe sono già adoperati per mettere né diffuso tutti i dettagli relativi
arrivare a costare meno di 10.000 delle pezze. I programmatori di alla loro scoperta.
dollari, arrivando davvero GnuPG lo hanno aggiornato così Questo naturalmente non
alla portata di chiunque. da non accettare alcuna forma fermerà a lungo i malviventi
creata con SHA-1 a partire che, essendone a conoscenza,
QUALI APP SONO A RISCHIO? da gennaio 2020. I responsabili faranno di tutto per riuscire
SHA-1 fortunatamente non viene di CAcert e gli sviluppatori a sfruttare la vulnerabilità
più utilizzato, pur essendo di OpenSSL invece non hanno, quanto prima. La posta in gioco
ancora disponibile come metodo al momento della stesura del resto è molto elevata: chi
alternativo per dispositivi dell’articolo, una soluzione, non sogna di compromettere
o applicazioni legacy. Per citare sebbene stiano adottando una chiave crittografica
alcune app che ancora lo contromisure. I primi hanno investendo cifre tutto sommato
prevedono, troviamo GnuPG, esplicitato l’intenzione di basse (per un’organizzazione
CaCert, OpenSSL. Potrebbero abbandonare SHA-1, mentre criminale o governativa).
non essere le uniche e alcuni i secondi stanno valutando di In ogni caso, meglio non
sistemi potrebbero ancora disabilitarlo nei casi in cui la preoccuparsi troppo nonostante
basarsi su certificati SHA-1 per sicurezza è una priorità. Non sono MD5 sia da tempo fallato,
l’handshake tramite protocolli gli unici a essere affetti dal è ancora uno standard attuale,
TLS o SSH, così come potrebbero problema e l’unica soluzione, usato pochissimo e solo
essere vulnerabili alcune chiavi a detta dei ricercatori, è quella per sistemi legacy, ma per
PGP. Il problema è che, di rimuovere del tutto il supporto quanche motivo non viene
nonostante siano supportati di questo protocollo in ogni eliminato del tutto. Possiamo
di default protocolli più recenti contesto. Esattamente quello che illuderci che sarà diverso
e sicuri, un hacker potrebbe Google consiglia, ormai dal 2017. per quanto riguarda SHA-1?

Il nuovo attacco a SHA1 è 100.000 volte più veloce (ed economico) rispetto a quelli
descritto da Google tre anni orsono. Fa impressione notare che un algoritmo come
MD5, creato nel ‘91 e ancora usato, sia craccabile in 30 secondi con uno smartphone.

 26
SICUREZZA
FIREWALL Alziamo le difese, parte 2
Impariamo a simulare una LAN da attaccare o difendere ............................................. 28

andronix Installiamo Kali su Android


Trasformiamo uno smartphone senza root in una macchina da pentest.................. 32

pentesting Cross-site scripting


Alla scoperta di un’altra vulnerabilità di DVWA................................................................... 36
SICUREZZA

SECONDA
PARTE

GLOSSARIO
LAN
DI BASE Alziamo le difese un a rete locale usando
Acronimo di Local
Im pa ria m o a si m ul are
Area Network.
tool gratito
Fa riferimento a un
contesto di rete
la virtualizzazione e un pratico

N
locale. Solitamente
la rete LAN ha el precedente articolo operativo utilizzato, nel nostro caso
un proprio schema
abbiamo installato e Microsoft Windows;
di indirizzamento
IP privato.
configurato il firewall pfSense • avviare il processo di installazione;
[figura #1]. A questo punto, • Installare tutti i componenti
WAN per rendere più realistica la nostra aggiuntivi che saranno richiesti
Sta per Wide Area simulazione, effettueremo e necessari al funzionamento
Network e si riferisce l’integrazione con un software che del software, tra cui WinPCAP,
a una rete globale
ci permetterà di realizzare scenari Wireshark e Solar – Putty;
in cui lo schema di
indirizzamento IP relativamente alle architetture di rete; il • avviare GNS3.
è quello pubblico. software in questione si chiama GNS3 Se la procedura è stata effettuata
La rete WAN più nota (www.gns3.com). L’installazione non correttamente, apparirà la schermata
è Internet. è particolarmente complessa e GNS3 iniziale dello strumento [figura #2].
è liberamente
SWITCH
Il compito di questo
utilizzabile. I passi figura #1
dispositivo è di da eseguire sono:
instradare i pacchetti • accedere al sito
all’interno della ufficiale;
stessa sottorete. • effettuare
Al suo interno è la registrazione
presente una tabella
inserendo la
(CAM Table)
che contiene propria mail;
l’associazione • scaricare il file
tra MAC Address eseguibile in base
e indirizzo IP. al sistema Interfacce di rete definite all’interno del firewall pfSense

 28
FIREWALL
figura #2
software proprio VirtualBox
e, dopo aver premuto il pulsante
Refresh dovrebbe apparire
il nome della VM GNS3
precedentemente importata.
Alla voce vCPU cores lasciamo
il valore 1, in quanto poco
significativo per la nostra
simulazione. Per la RAM size
Schermata iniziale di GNS3 a installazione completata. impostiamo 8048 MB, che è la
quantità di RAM che abbiamo
Per migliorare le performance Siamo quindi pronti a utilizzare destinato alla VM, clicchiamo
di GNS3 e aver la possibilità la macchina virtuale di GNS3 su next e poi su finish.
di simulare scenari più articolati, [figura #3]. Tale macchina non va La macchina virtuale si avvierà
è caldamente consigliato l’ausilio avviata direttamente tramite automaticamente, come si può
di una macchina virtuale di il pulsante “Start” di VirtualBox, verificare dall’interfaccia di VB.
supporto che è possibile installare bensì si torna su GNS3 e in
successivamente. Dato che noi particolare sul Setup Wizard – INTEGRIAMO TUTTO
effettueremo un’integrazione GNS3 VM accessibile dal menu Adesso che GNS3 è configurato
con il nostro firewall pfSense in alto a sinistra. A questo punto correttamente e la macchina
procederemo proprio in tal senso: si seleziona come virtualization virtuale di appoggio è in
• su Google digitare:
figura #3
“gns3 virtual machine”.
• si ha la possibilità di scaricare
la macchina virtuale per Oracle
Virtuabox, Vmware Workstation,
Fusion o ESXi;
• selezionare Oracle Virtualbox,
in quanto pfSense è già
in esecuzione proprio tramite
questo virtualizzatore;
• la VM sarà scaricata in un file Zip
che va decompresso;
Operazione di “import” della
• appena scaricata, basta macchina virtuale GNS3
effettuare un doppio click completata con successo.
e automaticamente si avvierà
Virtualbox e l’operazione
di “Import Virtual Appliance”;
• aumentare la quantità di RAM Cos’è GNS3?
in base alle risorse che si hanno
a disposizione lato “host”
(la macchina fisica), 8 GB (8048
È un software di simulazione
delle reti avanzato (www.gns3.
com). Uno dei suoi punti di forza
quest’ultimo all’interno dei nostri
progetti. All’interno della
documentazione ufficiale troviamo
MB) è un buon compromesso; è la possibilità di scaricare delle ottime guide in tal senso
delle immagini di dispositivi che ci permetteranno, in poco
• lasciare invariate le altre di terze parti e di poter così tempo, di essere padroni di
impostazioni e cliccare su rendere la simulazione ancora questo strumento. Utilissimo
“Import”; più efficace. Per esempio, anche per chi volesse cimentarsi
• attendere che il processo possiamo scaricare l’immagine nell’ottenimento della
arrivi a termine. di un router Cisco e inserire certificazione Cisco CCNA.

29 
SICUREZZA
Configuriamo la rete di test Ethernetswitch-1 (Ethernet1).

N odo CLOUD, componente


che permette l’integrazione
con il “mondo esterno”, tra cui
• Confermiamo con OK. • Nodo CLOUD (Virtualbox
Host-Only Network) <->
Due VirtualPC (VPCS) Ethernetswitch-1 (Ethernet2).
il nostro firewall pfSense.
che simuleranno dei
• Clicchiamo su All devices -> generici endpoint.
Installed Appliances -> Cloud. TEST DI FUNZIONAMENTO
• Clicchiamo su All devices -> È arrivato il momento di verificare
• Trasciniamo il nodo CLOUD Installed Appliances -> VPCS.
all’interno del progetto, se il progetto realizzato con GNS3
specificando come server
• Trasciniamo gli elementi
all’interno del progetto, e l’integrazione con il firewall
GNS3 VM. pfSense sta funzionando
specificando come server
• Confermiamo con OK. GNS3 VM. correttamente. Assicuriamoci
• Apriamo il menu contestuale di aver avviato tutti i nodi:
con il tasto destro del mouse Un switch Ethernet che
permetterà la comunicazione
se qualche nodo fosse di colore
e scegliamo Configure.
tra il firewall pfSense (tramite il rosso è necessario selezionarlo
• Spuntiamo la voce Show special
Ethernet Interfaces nodo cloud definito in precedenza) e cliccare sul pulsante verde start
e i due VirtualPC generici. posizionato nel menu in alto.
• Selezioniamo Virtualbox
Host-Only Network che non • Clicchiamo su All devices -> Perciò: controllare che tutti gli
è altro che l’interfaccia di rete Installed Appliances ->
elementi siano in esecuzione,
virtuale di VirtualBox che stiamo Ethernet switch.
altrimenti il test di funzionamento
utilizzando come rete locale (LAN) • Trasciniamo l’elemento all’interno
sul nostro firewall pfSense. del progetto, specificando come non avrà esito positivo. Il passo
server GNS3 VM. successivo è l’assegnamento
• Premiamo Add.
degli indirizzi IP dei due VirtualPC.
Dato che stiamo effettuando
Assegnamento l’integrazione con il firewall
di indirizzo IP, pfSense, tali indirizzi IP dovranno
subnetmask e appartenere alla rete locale (LAN)
default gateway gestita da quest’ultimo:
all’interno • rete LAN -> 192.168.56.0/24;
di PC-2 • indirizzo IP interfaccia LAN
del firewall -> 192.168.56.10.
li collega. Nel box Inoltre, i due VirtualPC dovranno
Configuriamo la avere come default gateway,
rete di test troviamo l’indirizzo IP dell’interfaccia interna
le istruzioni per (LAN) del firewall che è appunto
la configurazione 192.168.56.10. Tale configurazione
figura #4 di questi elementi. permette al firewall di poter
Seguiamo quelle effettuare il filtraggio e il controllo
esecuzione, possiamo avviarlo istruzioni e poi torniamo a questo dei pacchetti di rete relativamente
e procedere con la definizione punto. Ora dobbiamo mettere al nostro progetto GNS3.
di un nuovo scenario. Clicchiamo in comunicazione gli elementi Posizioniamoci sull’icona del PC-1,
su File, New blank project aggiunti finora: premiamo facciamo doppio click così da
e assegniamo un nome al nuovo sull’icona Add a Link ed avviare la console (Solar-Putty,
progetto. Gli elementi che saranno effettuiamo i collegamenti il componente precedentemente
necessari a realizzare la nostra direttamente sul progetto installato) e digitiamo
simulazione e che quindi come indicato: il seguente comando:
andranno aggiunti al progetto • PC-1 (Ethernet0) <->
sono un nodo detto CLOUD, Ethernetswitch-1 (Ethernet0). ip 192.168.56.11 255.255.255.0
due PC virtuali e uno switch che • PC-1 (Ethernet0) <-> 192.168.56.10

 30
FIREWALL
Regole di
un firewall
L a definizione di nuove
regole è uno degli aspetti
fondamentali nella gestione
di un firewall. Le regole, infatti,
permettono di filtrare il traffico
in entrata e in uscita all’interno
delle reti presenti.
Una regola si compone
dei seguenti elementi:
• Indirizzo IP sorgente.
figura #5 • Indirizzo IP destinatario.
• Porta.
efinizione di una nuova regola sul firewall pfSense. • Azione da eseguire.
Precisiamo che i firewall
Premiamo Invio e verifichiamo con inerente all’interfaccia attuali (Next Generation
il comando sh ip che i parametri esterna WAN. Firewall) permettono
siano stati effettivamente Definiamo una nuova regola ulteriori possibilità.
assegnati. Se tutto è a posto, che permette o meno il flow
posizioniamoci sull’icona del PC-2 (flusso) dei pacchetti di tipo ICMP
e ripetiamo l’operazione (Internet Control Message per confermare la definizione
precedente cambiando però Protocol). Ricordiamo che questi della nuova regola [figura #5].
l’indirizzo IP usato [figura #4]: pacchetti si generano tramite Ci manca un ultimo passo:
l’utilizzo del comando ping accedere nuovamente a GNS3,
ip 192.168.56.12 255.255.255.0 all’interno del sistema operativo nello specifico alla console di PC-1,
192.168.56.10 considerato. Perciò eliminiamo e digitare il comando
le ultime due regole presenti
Così facendo i due VirtualPC (Description: Default allow LAN ping 192.168.56.10
hanno un proprio indirizzo IP to any rule e Description:
privato appartenente alla Default allow LAN IPV6 to any In questo modo verifichiamo se
sottorete 192.168.56.0/24 che è la rule) utilizzando il tasto Delete, siamo in grado di effettuare con
stessa sottorete interna utilizzata posizioniamoci sul tab “LAN” (in successo il ping verso l’interfaccia
dal firewall pfSense; inoltre, quanto dobbiamo definire tale interna del FW. Se l’esito è
hanno come default gateway tipologia di regola) e clicchiamo positivo, modifichiamo la regola
l’indirizzo IP dell’interfaccia interna su Add per aggiungere una nuova: del firewall, questa volta
di quest’ultimo. • Action: Pass. specificando Action: Block.
Accediamo adesso all’interfaccia • Interface: LAN. Eseguendo nuovamente il ping,
di gestione del firewall pfSense, • Protocol: ICMP. per esempio dal PC-2, il comando
in particolare alla parte di Lasciamo il resto con i valori di non dovrebbe riuscire a inviare
definizione e gestione delle regole. default e salviamo le impostazioni i pacchetti verso il target. Abbiamo
Nel menu Firewall scegliamo premendo Save. Apparirà a così dimostrato che i due
Rules. Troviamo due tab: questo punto un nuovo pulsante VirtualPC sono sotto il controllo
• LAN che permette la gestione Apply Changes, premiamolo e l’azione del firewall pfSense.
e la segmentazione del
traffico inerente all’interfaccia
interna LAN;
• WAN che permette le gestione/
segmentazione del traffico

31 
HOW TO

Kali su Android.
,
PerchE no?
Per trasformare uno smartphone o un tablet Android in uno
strumento per pentester non servono più i privilegi di root...

U
sare uno smartphone da 6 pollici siamo riusciti a gestire
IN BREVE 
Android di ultima senza problemi una distro come Kali
Installiamo la distro Kali
generazione con 6 GB Linux grazie alle gesture integrate che
sul nostro smartphone
di memoria RAM permettono di usare le dita al posto
o tablet Android senza
i privilegi di root e schermo AMOLED da 6 pollici del mouse (se poi abbiamo un tablet
e oltre solo per telefonare o per e vogliamo collegarci un mouse
DIFFICOLTÀ
i social è uno spreco. Viste le sue Bluetooth tanto meglio!).
potenzialità di elaborazione,
paragonabili a quelle di un PC di fascia COSA SERVE
media, sarebbe comodo poter Per prima cosa occorrerà cercare nel
utilizzare un software di modellazione PlayStore l’app AndroNix, installarla
3D Open Source come Blender oppure e selezionare la distro che ci interessa
un ambiente di sviluppo come IntelliJ tra le otto disponibili. Siccome
IDEA. Per non parlare di tutte le app i comandi vanno inseriti in un emulatore
di hacking integrate in una distro Linux di terminale, dovremo averne uno e tra
come Kali. Tutto ciò è possibile anche i tanti il migliore resta Termux. Se,
con uno smartphone senza privilegi però, cerchiamo esperienze grafiche
di root: basterà installare AndroNix, più rilassanti, il consiglio è di installare
un emulatore di terminale e ambiente un Desktop Environment a scelta tra
Linux e un’app per il controllo remoto. Xfce, LXQt, LXDE o MATE. Una volta
configurato il sistema, potremo usare
COME FARE i classici repository e sfruttare tool
Installare una distro Linux su come Aircrack-ng o John the Ripper
un telefono Android su cui gira e Metasploit Framework
un processore di tipo ARM direttamente dallo smartphone.
(i modelli che usano quelli
con x86 dovrebbero diventare IL GRUPPO SU TELEGRAM
compatibili a breve) è tutto Per parlare con la community che cura
sommato semplice. Certo, la manutenzione dell’app Andronix,
i migliori risultati si avranno dovremo iscriverci al Gruppo AndroNix
con un tablet da 10 pollici su Telegram dove troveremo anche
e oltre, ma anche su un video e documenti relativi all’app, oltre
classico smartphone ai consigli di altri 700 appassionati.

 32
ANDRONIX
Installare Kali Linux su Android
Gratis dal Play Store Il miglior emulatore
L’app AndroNix Oltre ad AndroNix
è disponibile come è necessario avere
progetto Open un emulatore
Source sul Play di terminale
Store di Google per esegue i comandi
ed è stata a oggi necessari
scaricata più all’installazione.
di 50.000 volte. Gli sviluppatori
Gli unici due dell’app consigliano
requisiti richiesti di installare Termux
sono la presenza che è uno dei più
di una versione potenti e completi
di Android dalla disponibili sul Play
5.1 in su e di un Store. Dopo averlo
chipset ARM nel installato, consigliamo
dispositivo. Oltre, di controllare
naturalmente, la presenza
a un display di di eventuali
grandi dimensioni aggiornamenti
per facilitare inserendo
il movimento il comando
#1 sul desktop. #2 pgk upgrade.

Scegliere la distro Installazione veloce


Terminata Una volta scelta
l’installazione la distro che fa per
di AndroNix, nella noi, per installarla
homepage non dovremo fare
visualizzeremo altro che incollare
la schermata il codice che avremo
con tutte le distro copiato all’interno
di Linux disponibili. di Termux. Se
Noi naturalmente volessimo scaricare
abbiamo scelto Kali offline la distro
Linux, ma sono dovremo registrarci
disponibili anche alla versione
Manjaro, Ubuntu, Premium di AndroNix,
Debian, Parrot OS, che comunque non
Fedora e Arch costa molto, 1,99$.
Linux. Oltre Attenzione: è
a quattro versioni possibile ottenere
moddate dagli gratuitamente la
stessi sviluppatori versione Premium
e ottimizzate dando una mano a
per i dispositivi tradurre i contenuti
mobili. in italiano.
#3 #4

33 
HOW TO
Copia e incolla Un po’ di pazienza
La procedura Una volta fatto tap
necessaria su Termux, si aprirà
all’installazione della l’app e noi dovremo
distro Kali Linux tenere premuto vicino
è semplicissima. alla riga di comando
Basterà fare tap fino a quando
su Copy e poi non comparirà la voce
su Termux, Copy/Paste/More.
dopodiché Selezionando
si aprirà Paste il comando
l’emulatore di sarà inserito
terminale (che nel automaticamente.
frattempo dovremo Noi dovremo solo
avere già installato dare Enter da tastiera
sul nostro e attendere.
dispositivo). Al termine, scriviamo
Se qualcosa non ./start-kali.sh per
dovesse esserci avviare Kali in
chiaro, in fondo modalità testuale,
alla schermata c’è dopodiché torniamo
comunque il link all’app AndroNix
#5 al video tutorial.
#6 per procedere.

, ,
Con il desktop giusto e tutto piu facile
Scegliamo un DE Serve VNC Viewer
Gli smanettoni Per visualizzare
potranno cavarsela l’ambiente grafico
con l’emulatore che abbiamo
di terminale e con installato, servirà VNC
la linea di comando. Viewer. Scarichiamolo
Volendo, però, dal Play Store,
si può installare installiamolo
un Desktop e quindi registriamoci
Environment. per poter tenere
Noi abbiamo scelto in memoria i dati
Xfce, ma ce ne sono che inseriremo.
altri tre disponibili. Potremo usare
Selezioniamo quello VNC Viewer anche
che fa per noi per collegarci
facendo tap sulla a computer remoti
sua voce, passiamo sui quali girino
di nuovo a Termux Windows, Mac
e incolliamo o Linux e per
il comando che controllarne
si è copiato il funzionamento
quando abbiamo direttamente
#7 selezionato il DE. #8 dallo smartphone.

 34
ANDRONIX
Impostare VNC Scheda remota
Dopo avere Una volta inseriti
installato il DE i dati richiesti
(potrebbe essere all’interno di VNC
un’operazione Viewer, verrà creata
lunga, della durata una scheda
di più di mezz’ora, su cui dovremo fare
e richiede circa 2 GB tap per aprire
di spazio; al termine la nostra versione
scegliamo una di Kali.
password non Da qui potremo
troppo corta), scegliere il livello
dovremo collegare di resa grafica
VNC Viewer alla (se abbiamo
nostra versione di uno smartphone
Kali, esattamente non molto recente
come se fosse su sarà meglio optare
un’altra macchina. per Low) e decidere
Per farlo, basterà se vogliamo
inserire l’indirizzo che vengano
localhost:5901 aggiornati ogni volta
e il nome che i dati relativi
#9 abbiamo scelto. #10 al desktop.

Salvare la password Piccolo schermo


Visto che di solito Noi abbiamo installato
la connessione Linux Kali su uno
avviene su un smartphone con
computer remoto, schermo da 6 pollici,
non è consigliabile perciò abbiamo usato
salvare la password. spesso le dita
Nel nostro caso per muoverci sulla
però, siccome scrivania.
la connessione Il suggerimento
riguarda una comunque è quello
macchina presente di utilizzare
sul nostro device, la visualizzazione
potremo decidere orizzontale che
di salvarla, in modo permette di avere
da velocizzare a disposizione più
le operazioni di spazio sul desktop.
connessione. Prima In assoluto, la scelta
di ciò, apparirà migliore sarebbe
una finestra con le quella di lavorare
gesture necessarie su un tablet,
per muoversi così da lavorare
#11 sulla scrivania. #12 più comodamente.

E ora... buon hacking!!

35 
SICUREZZA

a vu ln er ab ili tà di DV WA: questa volta,


Un’altr
pi am o di R ef le ct ed Cross Site Scripting!
ci occu

E
ccoci tornati al penetration
test della nostra “palestra
per pentester”, costruita
sfruttando la
virtualizzazione. Da qualche figura #1
puntata abbiamo spostato
la nostra attenzione sulla
componente applicativa
del servizio Web usando Damn
Vulnerable Web Application.
Forti della piena proprietà
dell’infrastruttura testata,
abbiamo avuto la possibilità L’homepage del server Web.
di testare e sfruttare a nostro
vantaggio la vulnerabilità nota
come RCE (Remote Command dei controlli sull’input utente, di exploiting. Che si tratti di una
Execution), riuscendo a ottenere riesce a utilizzare codice lato client vulnerabilità stored o piuttosto
addirittura una shell sulla (tradizionalmente JavaScript, ma reflected, la procedura d’attacco
macchina Web Server della nostra anche altri linguaggi si prestano è tutto sommato la stessa.
palestra. In questa puntata avremo perfettamente allo scopo) per 1 L’attaccante fornisce
modo di esplorare un’altra creare un effetto malevolo di tipo all’applicazione (per esempio, nella
vulnerabilità molto diffusa permanente o temporaneo. Nel casella di testo per la ricerca di
in ambito Web, denominata primo caso, l’attacco è detto stored contenuti presente praticamente
Cross Site Scripting (XSS). XSS, mentre nel secondo (di cui ci nella totalità delle Web app) un
occuperemo in questa puntata) input malevolo, costituito da codice
VULNERABILITÀ DEL WEB è detto reflected. Entrambe le per l’esecuzione di una qualche
Si tratta di una tecnica nella quale tipologie di Cross Site Scripting, attività (per esempio, il codice
l’attaccante, facendo leva comunque, condividono – di per sé innocuo – <script
sull’assenza (o sull’inadeguatezza) le medesime cause e tecniche type=’text/javascript’>alert(‘xss’);

 36
PENETRATION TEST
</script>, che si limita a visualizzare interessante vedere l’attacco dal parte sinistra della pagina;
una finestra di dialogo a video); vivo. A tal fine occorre effettuare • selezionare il livello di sicurezza
2 L’applicazione non effettua una innanzitutto il login all’applicazione, low nell’apposito menu a tendina;
sufficiente validazione dell’input selezionando il relativo link • premere il pulsante Submit per
fornito dall’attaccante, e si limita presente sull’homepage del server confermare la scelta e verificare
a usarlo così com’è, provvedendo Web [figura #1], oppure digitando che l’indicatore del livello di
alla sua esecuzione in tempo reale nella barra degli indirizzi del sicurezza dell’applicazione
(se abbiamo una vulnerabilità browser l’URL http://www. (Security Level), ben in evidenza
di tipo reflected) oppure labpentest.hj/dvwa. Verrà nell’angolo in basso a sinistra
all’inserimento permanentemente visualizzata la schermata di login: di ciascuna pagina di DVWA,
in una delle proprie pagine come visto nelle scorse puntate, si modifichi di conseguenza.
dinamiche (XSS di tipo stored); per scoprire le credenziali da
3 A questo punto, l’attaccante utilizzare è sufficiente scorrere ESAME DELLA WEB APP
dispone di un URL, relativo a una sino al fondo la pagina (username Come di consueto, prima di
pagina della Web app vittima, admin e password password). lanciarci nell’attacco è importante
in grado di eseguire il codice Una volta completata questa dedicarsi innanzitutto allo studio
malevolo iniettato: può usarlo, operazione, possiamo selezionare della Web application. La pagina
per esempio, per rubare i cookie il livello di sicurezza desiderato relativa alla vulnerabilità è
di sessione di utenti legittimi, (iniziamo con quello più semplice raggiungibile mediante il link
assumendone l’identità. da attaccare, ovvero il livello low), reflected XSS, posto nel menu
modificando l’opzione di default di navigazione visibile a sinistra
LOGIN A DVWA che invece è high. A tal fine dell’homepage di DVWA.
Piuttosto che proseguire con è necessario: Il funzionamento sembra semplice:
la descrizione teorica della • cliccare sulla voce DVWA la pagina accetta una stringa come
vulnerabilità, è senz’altro più Security nel menu posto nella input (nelle intenzioni dello

d i t e s t c o m p l e t o
Un ambiente Rete
Internet 211.100.1.2 Target

Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1

210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web

37 
SICUREZZA
figura #2 si chiama proof-of-concept:
la dimostrazione inequivocabile
della presenza di una falla e della
possibilità di sfruttarla per scopi
illeciti, ottenuta senza ricorrere
a un vettore d’attacco in grado
di danneggiare concretamente
il bersaglio. Nel nostro caso,
possiamo utilizzare come
Inserimento dell’input proof-of-concept la stringa
nella Web application. <script>alert(“prova”);</script>
che, qualora eseguita, si limita
sviluppatore, il nome di battesimo eseguibile lato client, come a visualizzare a video una finestra
dell’utente), che utilizza per JavaScript). In assenza di filtri di dialogo contenente la stringa
presentare un messaggio di saluto specifici, quindi, potrebbe essere “prova”. Per quanto possa
personalizzato. Per esempio, se sufficiente inserire il nostro sembrare strano, si tratta di una
digitiamo nella casella di testo codice malevolo nella casella minaccia tutt’altro che innocua:
la parola prova [figura #2], di testo per vederlo eseguito un esito positivo della nostra
l’applicazione ci restituisce il dal browser degli utenti… verifica si tradurrebbe nella
messaggio Hello prova [figura possibilità di poter eseguire codice
#3]. Si tratta, potenzialmente, PROVA DI FATTIBILITÀ JavaScript arbitrario nel browser
del migliore scenario possibile Per verificarlo, non ci resta che dell’utente finale, con risultati
per sferrare un attacco XSS: l’input provare a fornire all’applicazione limitati solamente dalla creatività
utente viene passato a una pagina un vettore di attacco di per sé dell’attaccante.
del sito Web, da cui viene trasferito inoffensivo, ma in grado di Procediamo quindi a inserire
al browser dell’utente per la sua confermare l’esistenza della la stringa all’interno della casella
visualizzazione e/o esecuzione vulnerabilità. Stiamo parlando, di testo [figura #4] e clicchiamo
(qualora si tratti di codice cioè, di quella che in gergo sul pulsante Submit: al posto

DVWA, dannatamente vulnerabile!


Damn Vulnerable Web Application (http://www.dvwa. • il livello medium, al contrario, offre
co.uk/) è un’applicazione Open Source sviluppata in PHP, un’implementazione (sebbene parziale) di alcune delle
e costituisce un ottimo punto di partenza per chi volesse contromisure pensate per evitare gli attacchi diretti
apprendere le basi dell’attività di pentesting in ambiente contro la vulnerabilità, e rappresenta pertanto una sfida
Web. Consente di confrontarsi con le principali più complessa e stimolante. In questo modo
vulnerabilità rilevabili nel mondo reale, offrendo all’utente l’attaccante, nel vedere frustrati gran parte degli
un percorso di difficoltà crescente. Per ciascuna attacchi andati a segno nel livello precedente
vulnerabilità di cui è intenzionalmente affetta, DVWA (se non tutti), è costretto a ideare nuovi stratagemmi
dispone (nella versione presente nativamente nella per sfruttare la vulnerabilità, confrontandosi di
VM Metasploitable impiegata sul nostro server Web) conseguenza con situazioni e contesti più vicini a quelli
di tre diversi livelli di difficoltà, direttamente proporzionali riscontrabili nel corso di un vero penetration test;
alla complessità del relativo processo di attacco: • infine, il livello high mette in campo difese più
• il livello low consente di familiarizzare con la elaborate che, nelle intenzioni degli sviluppatori,
vulnerabilità senza alcun filtro e rappresenta il punto dovrebbero eliminare la vulnerabilità di cui sono
di partenza per i meno esperti, ai quali mette affetti i livelli precedenti. Rappresenta un esempio
a disposizione un ambiente ideale per familiarizzare di applicazione ben progettata e implementata,
con la vulnerabilità stessa, con le tecniche per rilevane dinanzi alla quale – a meno di bug non intenzionali
la presenza e, soprattutto con i pattern d’attacco; – non c’è attacco che tenga.

 38
PENETRATION TEST
figura #3 si tratta dei cosiddetti cookie di
sessione, che vengono impiegati
nell’ambito del colloquio tra client
e server. Nello specifico, il processo
per tener traccia dell’identità
di un utente a seguito del login
si compone di più fasi:
1 l’utente inserisce le proprie
L’esecuzione
credenziali nella schermata di login
del proprio compito
della Web application;
da parte della
2 la Web app verifica la correttezza
Web application.
delle suddette credenziali e, in caso
positivo, consente l’accesso,
del messaggio di saluto visto Contrariamente a quanto generando un apposito cookie
in precedenza, verrà visualizzata potremmo immaginare, di sessione che d’ora in poi
una finestra di dialogo che l’associazione non avviene tramite identificherà l’utente;
presenta, per l’appunto, il testo indirizzo IP: possiamo verificarlo 3 il cookie viene trasmesso
“prova” [figura #5]. richiedendo la visualizzazione della al browser dell’utente unitamente
pagina relativa alla vulnerabilità alla prima pagina dell’area protetta;
ATTACCARE XSS attraverso un download 4 ciascuna richiesta successiva
L’AUTENTICAZIONE manager, come wget. inviata dal browser dell’utente
Una volta provata l’esistenza della Se eseguiamo il comando contiene il cookie di sessione,
vulnerabilità, non ci resta che consentendo così al server
sfruttarla per qualcosa di più # wget http://www.labpentest. di identificare l’utente stesso
interessante che un semplice hj/dvwa senza necessità di chiedere
messaggio di prova. Le funzionalità nuovamente l’inserimento
offerte da JavaScript ci offrono che, per l’appunto, richiede delle relative credenziali.
diverse opzioni; in questa sede, la visualizzazione della pagina Trattandosi di una Web app
tuttavia, opteremo per un attacco in questione, il risultato è quello realizzata in PHP, i cookie
rivolto alla sessione utente. Come rappresentato in [figura #6]. di sessione assumono il poco
visto all’inizio di questa nostra Il server Web ci restituisce fantasioso nome di PHPSESSID:
verifica, prima ancora di iniziare l’homepage di DVWA perché, è proprio questo il valore
il solo esame della Web app, evidentemente, non ha alcuna che cercheremo di visualizzare
la prima operazione che abbiamo traccia della nostra identità con il nostro attacco.
eseguito è stato il login. Solo e pertanto ci richiede di procedere
successivamente abbiamo potuto con l’autenticazione. L’ATTACCO XSS
visualizzare le pagine per la Eccoci giunti al momento
selezione del livello di sicurezza di COOKIE DI SESSIONE dell’attacco vero e proprio.
Damn Vulnerable Web Application Possiamo quindi escludere La stringa da inserire non è molto
e quelle relative alla vulnerabilità che il metodo per l’identificazione diversa da quella utilizzata in
XSS, poste all’interno dell’area dell’utente si basi sull’indirizzo IP: precedenza: come in occasione
privata dell’applicazione. Se ci ma allora, qual è la tecnica della nostra proof-of-concept,
pensiamo bene, tuttavia, dopo impiegata? La risposta è semplice: cercheremo di visualizzare una
il login iniziale non è stato più
necessario fornire le nostre Secondo una ricerca di precisesecurity.
credenziali d’accesso: ciò significa
che la Web application “ricorda”
com, quasi il 40% di tutti i cyberattacchi
la nostra identità. Ma in che modo? del 2019 sono stati di tipo XSS

39 
SICUREZZA
figura #4 • il cookie security, con valore low,
evidentemente utilizzato dalla Web
app per tenere traccia dell’attuale
livello di sicurezza impostato;
• il cookie PHPSESSID, l’unico a cui
siamo realmente interessati, il cui
valore – come visto – identifica
la sessione dell’utente.
Un lettore particolarmente
diffidente potrebbe obiettare che
la mera visualizzazione dei cookie
di una sessione relativa al nostro
Il testo stesso utente non costituisce,
dell’attacco... in fin dei conti, un grande risultato.
In realtà le cose non stanno

figura #5
esattamente così: poter
visualizzare i cookie di sessione
mediante ricorso a Cross Site
Scripting costituisce il preludio
– come vedremo nella prossima
puntata – ad attacchi più
dirompenti, in grado di mettere
nelle mani di un attore ostile
la sessione di un utente
inconsapevole, e con essa tutti
… e il suo risultato! i suoi privilegi e le sue informazioni.

finestra di dialogo utilizzando la PHPSESSID=d6472da785b FURTO DI SESSIONE


funzione JavaScript alert(). L’unica 75ab232a732a1c09e21a0 Per adesso, possiamo
differenza sta nell’argomento accontentarci di un esempio
fornito a tale funzione: non più una Si tratta proprio dei cookie tangibile degli effetti che un attacco
stringa fissa come “prova”, quanto di sessione dell’utente. XSS è in grado di provocare.
piuttosto il valore document. Per la precisione, sono due: Ricordate l’esempio precedente
cookie, che in JavaScript
restituisce, per l’appunto, il valore
dei cookie associati al dominio
corrente. L’argomento da inserire
nella casella di testo della Web app
diventa [figura #7]
figura #6
<script>alert(document.
cookie);</script>

Come risultato, verrà visualizzata


una finestra di dialogo con un testo
un po’ oscuro [figura #8]: Senza l’invio dei cookie di sessione,
è impossibile accedere all’area protetta
security=low; della Web application attraverso wget.

 40
PENETRATION TEST
\
figura #7

Tre anni
Il testo dell’attacco per
ottenere i cookie
di galera
di sessione. Chiunque abusivamente
si introduce in un sistema
con wget? Come visto, nonostante basta istruire wget a trasmettere, informatico protetto da misure
la sessione stabilita attraverso unitamente alla richiesta della di sicurezza ovvero vi si
il browser, usando questo tool pagina, anche il valore corrente mantiene contro la volontà
non è stato possibile visualizzare le dei cookie security e PHPSESSID. espressa o tacita di chi ha il
pagine dell’area protetta della Web Possiamo specificare tali valori diritto di escluderlo, è punito
application. Il server, infatti, ci ha con l’argomento --header di wget: con la reclusione fino a 3 anni.
chiesto di effettuare nuovamente
il login, in quanto non ha # wget --header=“Cookie: Cosa significa questa frase, vista
“riconosciuto” l’accesso eseguito security=low; PHPSESSID= nell’ottica di un penetration
in precedenza tramite browser. d6472da785b75ab232a732a1c09e21a0” tester? La risposta è semplice:
Questo comportamento, che in http://www.labpentest.hj/dvwa per quanto buone possano
precedenza ci era apparso essere le vostre intenzioni, mai
contraddittorio, può essere richiede per l’appunto la eseguire un penetration test
spiegato alla luce delle conoscenze visualizzazione della stessa pagina (o anche solo una parte di esso)
appena acquisite: banalmente, che ci è stata negata in precedenza, su sistemi che non siano di
il server non ha “riconosciuto” con l’accortezza dell’invio del valore vostra proprietà, a meno che
la nostra identità perché wget non dei cookie di sessione. La pagina non disponiate di un apposito
ha provveduto a comunicargliela, scaricata coincide con quella vista permesso scritto da parte di tutti
non avendo trasmesso i cookie nel corso della verifica, un risultato i proprietari dell’infrastruttura
di sessione. Adesso che siamo di tutto rispetto, eppure gli attacchi da testare. Ovviamente, per
in possesso della corretta chiave XSS possono fare di più: per “permesso scritto” non stiamo
di lettura, non è difficile porre scoprirlo non vi resta che parlando certo di una semplice
rimedio a questo inconveniente: attendere il prossimo numero. mail (soluzione che qualcuno
potrebbe proporvi), ma piuttosto
Ecco i cookie di sessione: attacco riuscito! di un documento formale
(la cosiddetta manleva) in cui si
stabilisce, tra l’altro, quali siano
i sistemi da testare, che tipo
di test effettuare e i vincoli
a cui dovete attenervi. È questo
documento (e il rispetto dei
relativi termini) che differenzia
un penetration tester (ovvero
figura #8 un professionista) da un volgare
pirata informatico.

41 
SICUREZZA
.1 quale gateway
nsmallinux.org/ • l’indirizzo 211.100.1
all’URL http://www.dam 210.100.1.0/24
per accedere alla rete

Costruire download.htm l);


Rete: due schede di ret
e, la prima

la palestra #4
a di nome
connessa alla rete intern
“intnet”, la seconda alla rete interna Server Web
ux
di nome “intne t1”; Sistema operativo: Lin
tuito e: eseguire
L’ambiente di test è costi Configurazione di ret
una shell
(Linux 2.4 a 32 bit);
uite i seguenti comandi da RAM: 256 MB;
da macchine virtuali eseg con i privilegi di root: Disco fisso: selezionare
l’opzione
nel e esistente”,
in modalità Live (da ISO “Usa disco fisso virtual
con estensione
so no quindi scegliere il file
nostro caso). Di seguito #ifconfig eth0 up
.100.1.2 “vmdk” posto all’ int ern o de l file
ni di #ifconfig eth0 210
riassunte le impostazio netmask 255.255.2
55. 0 compresso scarica to all’ind irizzo
ione /pr cts/
creazione e di configuraz
oje
#ifconfig eth 1 up https://sourceforge.net
virtuale: .100.1.1 metasploitable/;
per ciascuna macchina #ifconfig eth1 211
55.0 Rete: una scheda di ret
e, connessa
netmask 255.255.2
v4.ip_forward=1 ern a di no me “intnet2”;
#sysctl -w net.ip alla rete int
e: eseguire
.100.1.0/24 Configurazione di ret

#1
#route add -net 212
Pentester gw 211.100.1.2 i seguenti comandi
roo
da
t:
una shell

ux con i privilegi di
Sistema operativo: Lin
(Ubuntu a
RAM: 1024 MB;
64 bit);
#3 Router
Sistema operativo: Lin
ux
#sudo ifconfig eth
255.255.255.0
0 212.100.1.2

Disco fisso: nessuno; #sudo route add def


ault gw
gere, a creazione (Other Linux - 32 bit );
Archiviazione: aggiun 212.100.1.1
ntroller IDE RAM: 256 MB;
avvenuta, un nuovo Co
alla macchina virtuale,
ins erendovi Disco fisso: nessuno;

#5
per la macchina
re all’URL Archiviazione: come
Server FTP
(da sca rica
l’ISO di Kali Linux ezi on ando l’ISO
.ka li.o rg/ do wn loa ds/); Pentester, ma sel
https://www rica re all’URL
e, con ssa
ne di Zeroshell (da sca ux
Rete: una scheda di ret et/download/); Sistema operativo: Lin
alla rete interna di nome
“intnet”; http://www.zeroshell.n (Linux 2.4 a 32 bit );
ret e, la prima
Configurazione di ret e: eseguire Rete: tre schede di RAM: 64 MB;
e “so lo host” vboxnet0
i seguenti com and i da un a shell connessa alla ret Disco fisso: nessuno;
parametri per la macchina
con i privilegi di roo t: per l’impostazione dei Archiviazione: come
restanti
di configurazione delle Backbone;
alla rete interna e, connessa
# ifconfig eth0 210
.100.1.1/24 interfacce, la seconda Rete: una scheda di ret
t1” , la ter za alla rete “intnet2”;
# route add default gw di nome “intne alla ret e intern a di no me
no me “in tne t2” ; e: eseguire
210.100.1.2 interna di Configurazione di ret
e: dall’interfaccia
Configurazione di ret i seguenti comand i da un a shell
ibil e dal browser
Web di Zeroshell (fru ep orr e sem pre

#2
ricordando di ant
indirizzo
Backbone della macchina
http://19 2.1 68.
fisi
0.7
ca,
5, pre
all’
via i privilegi di roo t:

Sistema operativo: Lin


ux rname admin
autenticazione con use #ifconfig eth0 up
(Linux 2.4 a 32 bit); ell) , im postare:
e password zerosh #ifconfig eth0 212
.100.1.3
RAM: 64 MB; .10 0.1 .2 e netmask
• l’indirizzo 211 netmas k 255.255.255.0
Disco fisso: nessuno; 5.2 55. 0 pe r l’in ter faccia ETH01;
255.25 te add default gw
per la macchina tmask # rou
Archiviazione: come • l’indirizzo 212.100.1
.1 e ne
212.100.1.1
, ma sel ezionando l’ISO r l’in ter fac cia ETH02;
Pentester 255.255.255.0 pe
scaricare
di Damn Small Linux (da

op erto ch e i com pu te r Dell erano soggetti


sc
Lo scorso maggio si è ln erab ilità ne l softw are di assistenza
a di una vu
ad attacchi RCE a caus entiv a di in st al la re ed eseguire malware
e cons
remota SupportAssist ch

 42
HOW TO
maker e biometria La password e il tuo battito
,

Encrypt Buddy, un hack che trasforma il tuo cuore nella chiave d’accesso...................................... 44

hacking con kali Craccare le password, parte 3


Come ottenere l’accesso al sistema anche da offline.................................................................................48
HOW TO

La password
E il tuo battito! , un hack che trasforma il tuo cuore
nella chiave d’accesso al PC o agli hard disk cifrati

G
arantire un accesso sicuro La normale password serve sempre,
IN BREVE 
a servizi online, hard disk ma ad essa si aggiunge una feature
Costruiamo un sistema
cifrati o altri device non è aggiuntiva (da qui il nome Buddy)
di protezione biometrico
proprio una passeggiata. che integra un ulteriore livello
basato sul cuore
Le password vengono scoperte di protezione alle altre misure
DIFFICOLTÀ
(come si può intuire seguendo gli di sicurezza messe in campo. Il tutto
articoli che siamo facendo in merito, è pensato in modo da permettere
vedi pagina 48), i sistemi biometrici il trasporto sicuro di informazioni
non sono poi così impossibili da sensibili (da qui il nome Encrypt).
hackerare… e via dicendo. Allora, Il device si collega a una porta USB
non appena abbiamo visto uno dei ed è composto da diversi dispositivi
progetti finalisti della tappa torinese elettronici, tra cui un sensore di
del Campionato Universitario impronte digitali e un sensore di
LO SCHEMA
DEL PROGETTO Makers (https://campunimakers.it/) battito cardiaco, con un programma
I ragazzi del team abbiamo pensato che, pur essendo di decriptazione incorporato che può
Inquisicion.sh sono partiti un “embrione” di progetto, possa essere eseguito su diversi sistemi
da un Arduino e da un interessare ai nostri lettori. operativi. Esso decripta le
sensore di battito cardiaco. informazioni presenti sul computer
BIOMETRIA tramite l’impronta digitale dell’utente
Stiamo parlando (usata come token) e il battito
di Encrypt cardiaco come requisito aggiuntivo,
Buddy, un distruggendo i dati in caso di accesso
meccanismo non autorizzato. Lo scopo è disporre
pensato per di un token portatile, unico per ogni
sbloccare persona, che non permetta lo sblocco
dischi cifrati, di informazioni sensibili né tramite
casseforti o repliche delle impronte né forzando
altri device. la persona stessa.

 44
MAKER E BIOMETRIA
I CAMPI DI UTILIZZO società di revisione contabile,
Il lettore si immagini il seguente
scenario: una compagnia
operazioni governative
o individui come avvocati
Team
tecnologica affida a un impiegato specializzati in brevetti, ecc… Inquisicion.sh
S
il trasporto di merci di grande copriamo chi sono i ragazzi
valore dal quartier generale MA COME FUNZIONA? del team che ha ideato
a un altro centro specializzato Ci siamo fatti spiegare il e creato questo ingegnoso hack.
in ricerca e sviluppo. funzionamento di Encrypt Buddy Adrian Sager La Ganga
La tecnologia in questione direttamente dai ragazzi Sono nato in Spagna. Fin da
è completamente nuova e che lo hanno realizzato. piccolo mi sono interessato
potrebbe dare alla compagnia «Il nostro prototipo consiste all’ottimizzazione di compiti
usando automazioni, o nel
il primato sul libero mercato. di varie parti elettroniche di mettere in pratica
Se un’azienda rivale volesse serie, le quali si sono però fantastiche idee usando
giocare sporco e cercare di rivelate inaffidabili durante algoritmi artigianali e un po’
mettere le mani su tale risorsa i test, ma che hanno funzionato d’immaginazione. Ricordo le
giornate passate con i miei amici a
non potrebbe, in quanto abbastanza bene come
giocare PvP in un server Minecraft,
il contenitore, oltre a essere compromesso per mostrare mentre io passavo tutto il tempo
bloccato in modo sicuro, la nostra idea. Inoltre, per far nella base facendo magia nera con
avrebbe bisogno che la persona funzionare il dispositivo, è stata la Redstone. Frequento il corso di
Laurea Triennale in Computer
incaricata si trovi in uno stato introdotta un’implementazione
Engineering al Politecnico di Torino.
di tranquillità. Il lettore potrebbe semplificata dell’impronta
però obiettare: “L’altra digitale come metodo di Samuel Oreste Abreu
compagnia non potrebbe autenticazione. Il circuito, Sono nato e cresciuto in
Venezuela. Il percorso in cui
estrarre le informazioni con abbastanza semplice, consiste
mi sto immergendo si basa
la forza?”. Se fosse eseguito in un sensore di battito cardiaco sulla convinzione che il
un attacco di tipo brute force, KY-039 e un Arduino che legge la ragionamento umano può
si attiverebbe il protocollo sua uscita in modo analogico essere modellato in modo
matematico e successivamente
di sicurezza andando a popolare (lettura della tensione). Il KY-039
emulato, e come tale mi si
i dati con bit casuali, rendendoli è un sensore elettronico che potrebbe chiamare accolito
così inutili. Questo dispositivo, consiste di un LED a infrarossi, o sostenitore dell’Intelligenza
inoltre, potrebbe essere usato una resistenza e un fotoresistore Artificiale Generale (AGI, vedi per
in altre aree professionali che (transistor che permette esempio https://it.wikipedia.org/
wiki/Intelligenza_artificiale_forte).
trattano dati sensibili come il passaggio di corrente in base
Frequento il corso di Laurea
a quanta luce lo colpisce)». Triennale in Computer Engineering
«Il principio di funzionamento al Politecnico di Torino.
SENSORE ECONOMICO è il seguente: il LED a infrarossi è
Jacopo Marino
Il KY-039 usato in questo prototipo alimentato e diretto esattamente Sono nato a Cuneo.
costa poco più di un euro.
contro un pezzo di plastica con Fin da piccolo ho avuto una
due terminali. Il dito dev’essere passione verso la tecnologia.
messo esattamente sotto questa Ricordo i primi tempi passati
su Internet usando un
plastica che ha, al suo interno, modem a 56K e le modifiche
un fotoresistore che, in base fatte al mio computer fisso.
a quanta luce il dito riflette, Sostenitore dell’utilizzo dei
permette un passaggio computer per migliorare la vita alle
persone e per rendere il mondo un
di corrente che porta a una
posto migliore, frequento il corso
variazione di tensione. di Laurea Triennale in Ingegneria
Il quantitativo di luce riflessa Informatica al Politecnico di Torino.

45 
HOW TO
CUORE DA MAKER
Arduino è l’anima di ogni SENZA IL TOKEN
progetto elettronico creato La scheda Arduino viene
dagli artigiani digitali associata al computer tramite
collegamento USB e ha l’obiettivo
di criptare un insieme di dati.
Nel nostro caso è stata usata
la criptazione SHA256 testata
su dei file, anche se può essere
usato direttamente su una
la differenza di potenziale partizione di un hard disk.
letta alla porta analogica Il codice del prototipo risulta
è comparata con la tensione semplice ed è stato
di riferimento della scheda, implementato con il linguaggio
cambia in ottenendo come risultato di programmazione Python.
base a come un numero compreso Il token viene trasmesso dalla
il sangue fluisce tra 0 e 1023 in base alla tensione porta seriale dell’Arduino e, una
all’interno del dito». letta). Questa informazione volta ricevuto, il programma
«Nella creazione del programma deve essere elaborata e quindi presente sul computer si
per Arduino le cose cominciano diventa necessario disporre occuperà di decriptare i dati.
a diventare complesse: di un modello matematico. Per la comunicazione seriale tra
com’è risaputo, essendo I dettagli implementativi il computer e Arduino abbiamo
un microcontrollore, ogni del codice verranno omessi, usato l’estensione pyserial 3.4,
informazione che riceve ma il flusso di lavoro eseguito mentre per la crittografia è stato
dal mondo reale è interpretata è il seguente: usato il toolkit pycrypto 2.6.1.
come digitale (nel nostro caso 1 Setup iniziale di Arduino Dopo un certo numero di
(setup del monitor seriale, tentativi errati, dipendente dalla

CAMPIONATO
attivazione delle porte digitali sicurezza voluta, il programma
e analogiche, ecc…). provvede a popolare i dati con

UNIVERSITARIO 2 Un certo numero di misure


è effettuato e successivamente
dei bit casuali, rendendoli di
fatto irrecuperabili. Ciò avviene

MAKERS ne viene calcolata la media,


in modo tale da ridurre l’errore
nel caso l’utente abbia un
numero di pulsazioni al minuto

È il primo torneo itinerante italiano


di realizzazione di progetti
dell’Internet of Things (IoT) del
di lettura (filtraggio dei dati).
3 Usando il modello sopra citato,
che differisce di molto rispetto
al suo valore a riposo; questa
mondo Maker, dedicato agli studenti
le misurazioni vengono tradotte condizione è considerata come
universitari. L’edizione 2020 partirà in un valore BPM (battiti dovuta a un possibile stato
il 6 marzo da Bari. campunimakers.it al minuto). di shock (oppure da attribuire
4 I dati ottenuti vengono a una copia del dito!). Il codice
processati dal programma si può guardare online al link
in Python (si veda il paragrafo https://gitlab.com/
successivo). adriansagerlaganga/
5 Vengono iterati i passi 2, 3 e 4. cryptobuddy.

Le password che usiamo sono uno


dei nostri talloni d’Achille in termini
di sicurezza. La biometria può aiutarci

 46
MAKER E BIOMETRIA
IL CODICE CHE DECIFRA dell’omonima libreria. filename di 32 byte uguali a 0x00
Inizialmente, si importano sarà il file codificato da decriptare. si recupera il token basato
i moduli necessari (serial – per La variabile PWDSIZE è impostata sull’impronta digitale e il battito
la comunicazione via USB con al valore 32 in quanto SHA256 cardiaco, inviato da Arduino via
Arduino, time – per controllare fa uso di 256 bit, cioè 32 byte. seriale. Quindi si usa il token per
la serializzazione del codice, pwdbytes, invece, impostato con decriptare il file con decrypt(key,
crypt – per cifrare e decifrare 32 byte uguali a 0x00, è usato per filename). Se l’impronta digitale
il filesystem) e si inizia la indicare il token. Si legge l’input non è corretta oppure il battito
comunicazione con Arduino da Arduino con arduino.read: non è giusto, i dati “decrittati”
usando la funzione Serial se si trova questa sequenza non saranno leggibili.

L’ESPERIENZA CON CAMPUNIMAKERS


A bbiamo chiesto ai tre protagonisti di questo articolo
di raccontarci com’è andata la loro esperienza alla
tappa torinese del Campionato Universitario Makers.
cardiaco avrebbe aiutato a prevenire accessi non
autorizzati. Nel caso la vittima si trovi in stato di shock,
il dispositivo da proteggere è reso inutilizzabile. Siamo
Ecco cosa ci hanno raccontato. andati avanti con la messa in opera della nostra idea
usando l’hardware fornito e un computer, una macchina
Abbiamo iniziato la giornata pronti per affrontare con sopra installato Arch Linux. Ci siamo divisi il lavoro
la sfida. Il tema di quest’anno era “Security”. Semplice, in modo tale da avere un compito a persona. A questo
no? Bene, abbiamo avuto diverse idee, ma nel momento punto, il terzo problema era ovvio: il tempo. Ad appena
in cui ci siamo trovati con l’Arduino e le sue componenti mezz’ora dalla consegna non eravamo ancora riusciti
tra le mani abbiamo iniziato a discutere quale potesse a pensare alla presentazione. Quando il tempo era finito,
essere la soluzione migliore. Il primo problema la nostra unica opzione era quella di improvvisare
da affrontare era il seguente: “Security” significava il nostro discorso. Ovviamente ciò non ha permesso
prevenire dei danni all’utente o tenere segreti i dati di trasmettere agli investitori presenti i vantaggi
sensibili di un’azienda? Subito siamo partiti dalla prima del nostro prototipo. In aggiunta, non potevamo
via e le idee sono cominciate a fluire. Un dispositivo neanche connetterci al proiettore a causa di
che permetta di chiamare aiuto autonomamente in caso incompatibilità di connettori, perciò niente slide.
di anomalie nei valori di temperatura, per esempio Alla fine, nonostante tutto, non siamo stati delusi
per evitare un incendio, poteva essere un’ottima idea, in quanto abbiamo visto sin dall’inizio il Campionato
ma esiste già. Un sensore in grado di rilevare Universitario Makers come un’opportunità per sfidare
un’intrusione sarebbe potuta essere la strada da seguire noi stessi. E così abbiamo fatto. È stato anche molto
ma, come prima, non sarebbe stato niente di originale. bello l’ambiente che si è creato con gli altri team
Oltre a ciò, avevamo un secondo problema: alcune e con gli organizzatori dell’evento, nonché questo
componenti erano più dispendiose di altre… tuffo per alcune ore in una sorta di contesto lavorativo
Per ottenere le componenti a noi necessarie avevamo quasi reale.
dei crediti utilizzabili come moneta di acquisto,
perciò dovevamo scegliere in maniera oculata
le risorse da utilizzare ed eravamo bloccati.

USARE IL BATTITO COME PASSWORD


Vedendo che non stavamo facendo progressi,
abbiamo deciso di seguire la seconda strada. L’idea
era quella di rendere sicuri dati sensibili usando
la nostra migliore arma: la conoscenza tecnica.
Così, un blocco elettronico è diventato un sensore
di impronte digitali, che a sua volta è diventato
un dispositivo USB portatile. Ma non era ancora
abbastanza originale. Nessun problema: abbiamo
subito notato che aggiungere un sensore di battito

47 
HOW TO
RTE
TERZA PA

Craccare le password!
Hai un sistema GNU/Linux e pensi che nessuno ci possa entrare?
Ecco come ottenere l’accesso al sistema anche da offline!

N
IN BREVE  ei numeri precedenti serrati) sono i tentativi di login
abbiamo approfondito effettuati, ma entrano in gioco anche
Continuiamo a
il tema degli attacchi di tipo fattori sui quali l’attaccante non ha
studiare le tecniche
e gli strumenti usati online alle password. alcun controllo, come la quantità, la
dagli hacker per Siamo passati dagli attacchi di forza qualità e la tipologie di contromisure
attaccare le nostre bruta a quelli del dizionario, sino agli adottate dal sistema target. Se questi
chiavi d’accesso attacchi di tipo password spray: inconvenienti sembrano eccessivi,
DIFFICOLTÀ tecniche diverse, caratterizzate da punti l’unica alternativa è quella di affidarsi
di forza e tempi d’esecuzione differenti. a un approccio completamente diverso.
Nonostante le diversità, tuttavia, i Stiamo parlando degli attacchi offline,
metodi visti condividono il medesimo che al contrario non richiedono ulteriori
denominatore: perché l’attacco possa interazioni con i sistemi target.
essere lanciato è necessaria Questo tipo di attacchi, infatti, si muove
un’interazione diretta con il bersaglio. in una dimensione completamente
differente, consentendo di superare
ATTACCHI OFFLINE la necessità di interrogare il sistema
Ciò si traduce in una certa “rumorosità”, target a ogni tentativo di login.
che può favorire il rilevamento
dell’attacco da parte della vittima. PREREQUISITI
Le probabilità che l’attività malevola L’idea alla base è alquanto semplice,
GLOSSARIO sia individuata, naturalmente, risultano sebbene la sua realizzazione risulti
DI BASE tanto più alte quanto maggiori (e più tutt’altro che banale: ogni sistema
CARATTERI
SPECIALI figura #1
Usati nelle parole
d’ordine per renderle
più difficili da craccare, Una porzione del file
sono i caratteri non /etc/passwd utilizzato
alfabetici, per esempio nei nostri esempi.
!, $, #, %, _, -.

WORDLIST
È un file di testo
contenente una
possibile password
per ogni riga. Questo
file viene impiegato
negli attacchi detti
“a dizionario”.

 48
HACKING CON KALI
I FILE DELLE PASSWORD
Sì, avete capito bene: sebbene
nell’accezione comune il
Una porzione del contenitore venga visto, per lo più,
file /etc/shadow come un’entità unica, nei sistemi
utilizzato nei nostri GNU/Linux le credenziali sono
esempi.
suddivise, per motivi di sicurezza,
in due diversi file. Per la precisione:
• il file /etc/passwd, accessibile
in lettura a tutti gli utenti, contiene

figura #2
le informazioni di base su ciascun
account definito nel sistema,
separate dal carattere ; (punto e
virgola). Si tratta di informazioni di
natura tecnica e “anagrafica”, che
che adotta un meccanismo In uno scenario del genere spaziano da dettagli intimamente
di autenticazione basato su possiamo far ricorso agli attacchi connessi al funzionamento del
credenziali deve necessariamente offline per garantirci di mantenere sistema (userID, tipo di shell
conservare in un apposito l’accesso anche nel caso in cui associata, percorso della home
“contenitore” (tipicamente un file la vulnerabilità sfruttata venga directory) a quelli relativi
o, nei sistemi più complessi, un patchata, o se vogliamo recuperare all’identità personale dell’utente
database) le coppie username le password attualmente in uso (i cosiddetti campi GECOS, tra
e password assegnate agli utenti. nella speranza tutt’altro che priva i quali ricordiamo il nome
Perché, allora, non impossessarsi di fondamento – che possano completo dell’utente, il suo
di questo contenitore e provare essere adottate anche in altri numero telefonico e altri recapiti);
a “recuperare” le password sistemi della medesima rete. • il file /etc/shadow contiene invece
direttamente da lì? Si tratta di un Quali che siano i nostri scopi, le password di ciascun utente,
approccio che può riservare ottimi per effettuare un attacco offline in un particolare formato offuscato
risultati, sebbene richieda come dobbiamo innanzitutto e non invertibile che avremo modo
prerequisito l’aver stabilito – in un impossessarci di quello che di approfondire nella prossima
momento precedente l’attacco abbiamo definito il contenitore puntata. È un file accessibile
vero e proprio – una connessione delle password. Nei sistemi GNU/ in lettura e scrittura solo agli utenti
con il sistema target, attraverso Linux ciò significa accedere ai due con diritti di root, i quali tuttavia
la quale esfiltrare il “contenitore” file /etc/passwd e /etc/shadow. possono limitarsi
delle password.
In altri termini, se gli attacchi

Esercitarsi in sicurezza
online sono utilizzati, per lo più,
per ottenere il primo accesso,
quelli offline consentono di
raggiungere l’obiettivo della
persistenza in un sistema al quale
P rima di iniziare le nostre
sperimentazioni, è doverosa
un’avvertenza: quelli che stiamo
attaccante. Se volete
evitare di essere
invischiati in beghe legali (di tipo
l’attaccante abbia già l’accesso. per illustrarvi sono strumenti civile o, peggio penale!) è bene fare
che, adoperati al di fuori della esperimenti unicamente su sistemi
necessaria cornice di sicurezza, di vostra proprietà, magari facendo
ATTACCHI A SISTEMI LINUX potrebbero danneggiare ricorso a una macchina virtuale
Supponiamo, per esempio, infrastrutture in esercizio o farvi (come descritto nell’articolo
di aver ottenuto i diritti di root passare per un vero e proprio sul penetration testing).
su un sistema GNU/Linux.

49 
HOW TO
figura #3
Il comando unshadow al lavoro.
e dei contesti d’uso. I valori delle
figura #4 possibili password, infatti, possono
essere recuperati da un apposito
Il risultato del dizionario (modalità wordlist),
comando
prodotti calcolando tutte le
unshadow
avviato possibili combinazioni di un certo
in figura 3. insieme di caratteri, al pari di ciò
che avviene in un attacco di forza
bruta (modalità incremental),
o ancora sfruttando le informazioni
dell’utente (username e campi
GECOS) ricavabili dal file
solamente a modificare che non a caso rientra tra gli /etc/passwd (modalità single
le password in uso, senza riuscire strumenti messi a disposizione crack). La documentazione di John
a ricavarne il valore attuale dalla distribuzione Kali Linux, che the Ripper consiglia di iniziare
(operazione resa impossibile, utilizziamo nei nostri esperimenti proprio da quest’ultima opzione,
per l’appunto, dalla tipologia quale macchina attaccante. in quanto presenta due vantaggi
di offuscamento utilizzata). Nato in ambienti UNIX, questo tool da non sottovalutare:
Per i nostri test utilizzeremo si è poi diffuso anche nei sistemi • è l’unica delle tre opzioni a
i file /etc/shadow e /etc/passwd Windows, forte di un crescente utilizzare le informazioni personali
tratti dalla macchina virtuale successo che lo ha portato di un utente per ricavare la relativa
Metasploitable2 (https:// a essere uno degli strumenti più password (quanti di voi hanno mai
sourceforge.net/projects/ utilizzati nel panorama della utilizzato come chiave d’accesso
metasploitable/), che oltre security. I motivi del suo successo il proprio nome, il proprio
a fornire un certo numero di sono probabilmente da ricercarsi username o, peggio ancora,
utenze già definite, ci garantiscono nella sua potenza e versatilità; non il proprio numero di telefono?);
di poterci esercitare senza alcun a caso questo software consente • è considerevolmente più rapida
timore delle conseguenze penali di effettuare il cracking offline delle restanti modalità, e può
previste per coloro che attaccano delle password adoperando quindi essere utilizzata per
sistemi informatici altrui, come approcci diversi, modulabili una prima “scrematura” degli
descritto nel box Esercitarsi a seconda delle esigenze account, in modo da affidare
in sicurezza.

PASSWORD CRACKER
Una volta in possesso dei due file,
la prima cosa da fare è effettuarne
una copia, che chiameremo – con
poca fantasia – shadow [figura
#1] e passwd [figura #2].
A questo punto, tutto è pronto
per il nostro attacco offline,
che effettueremo utilizzando
un tool appartenente alla classe figura #5
dei password cracker. Stiamo
parlando di John the Ripper, La modalità single crack di John the Ripper in azione.

 50
HACKING CON KALI
ATTACCHI ONLINE

Dopo aver avviato John in modalità single crack,


rimangono ancora quattro password da craccare.
figura #6 G li attacchi online, che ri-
chiedono un’interazione di-
retta con il sistema target,
si suddividono in:
alle opzioni wordlist oppure relative ad altrettanti utenti. • attacchi di forza bruta,
incremental solo le password Spesso, tuttavia, l’output del tool nei quali l’attaccante prova a
più complesse da scoprire. non è immediatamente sottoporre al sistema tutte le
comprensibile come in questo possibili combinazioni di carat-
JOHN THE RIPPER esempio. Per tale motivo, il modo teri, sino a individuare la pas-
Prima di avviare il tool in modalità migliore per conoscere gli sword di un determinato utente;
single crack, tuttavia, è necessaria account craccati con successo • attacchi a dizionario,
ancora un’ultima operazione è quello di invocare John the che ricercano la password
preliminare. John the Ripper, Ripper con l’argomento --show: dell’utente in apposite collezio-
infatti, si attende come argomento ni – i cosiddetti dizionari – co-
un singolo file, dato dalla # john --show da_craccare. struite cercando di prevedere la
combinazione degli archivi txt parole (o sequenze di caratteri)
/etc/shadow e /etc/passwd. sulle quali più spesso ricade la
Per ottenere il file in questione, In questo modo, [figura #6], scelta degli utenti;
possiamo affidarci al comando il tool ci restituisce l’elenco delle • attacchi di tipo pas-
unshadow [figura #3]: password individuate e dei relativi sword spray, in cui si ribalta
account di appartenenza, nonché il punto di vista: anziché cerca-
# unshadow passwd shadow > il numero complessivo degli re la password scelta da un cer-
da_craccare.txt account violati e di quelli per i quali to utente, si stabilisce una de-
non è stato possibile scoprire terminata password, verificando
Come possiamo notare [figura #4], la password. Nel nostro caso, se qualcuno degli utenti l’abbia
questo comando riesce ad gli account inviolati (sui quali scelta come propria.
associare ogni account utente torneremo tra poco) ammontano
presente nel file /etc/passwd con a quattro. Prima di proseguire
la relativa password (offuscata) la nostra sessione di cracking, username: una scelta banale
indicata in /etc/shadow, tuttavia, è opportuna una e del tutto sconsigliata, ma
semplificando di conseguenza riflessione sulle password difficilmente rilevabile adottando
il lavoro del password cracker. individuate, appartenenti agli esclusivamente un approccio (a
A questo punto, possiamo utenti user, postgres, msfadmin prima vista più completo) basato
finalmente chiedere a John e service. Si tratta di utenti su wordlist o sul bruteforce.
the Ripper di lavorare per i quali sono state adottate, Se infatti una password come
in modalità single crack: in maniera a dir poco sprovveduta,
password identiche al relativo Qui sfruttiamo la modalità wordlist
# john --single da_craccare. di John the Ripper.
txt

OBIETTIVO RAGGIUNTO!
Nel nostro specifico caso [figura
#5], il risultato è a dir poco
eccellente: il tool riesce infatti a
individuare ben quattro password,
figura #7
51 
HOW TO
figura #8

Nonostante i nostri tentativi, ci sono


ancora due password da individuare.

“user” può costituire una scelta venire incontro a tutte le esigenze. MIGLIORARE I RISULTATI
abbastanza inflazionata – e quindi A seconda delle nostre necessità Con gli ultimi due account violati,
suscettibile di essere inclusa in un e del contesto in cui ci muoviamo, abbiamo portato a sei il nostro
dizionario – non si può certo dire possiamo utilizzare un dizionario bottino complessivo. Rimangono
lo stesso di una password come particolarmente corposo come tuttavia ancora due password
msfadmin, che peraltro costituisce quello denominato rockyou da scoprire, come ci conferma
il bottino più prezioso della nostra (accessibile, inversione compressa, lo stesso tool [figura #8]:
sessione di cracking in quanto al percorso /usr/share/wordlists/
è relativa a un account con privilegi rockyou.txt.gz) oppure uno più # john --show da_craccare.txt
di sudo, ovvero in grado di snello e mirato, come il dizionario
effettuare operazioni con privilegi adobe_top100_pass.txt. Per il Se non vogliamo accontentarci
di amministratore. nostro prossimo test utilizzeremo dei risultati conseguiti, ci sono
una via di mezzo, la wordlist due possibili strade da seguire:
MODALITÀ WORDLIST burnett_top_1024.txt, che ricorrere nuovamente alla
In una verifica di sicurezza provvediamo innanzitutto modalità wordlist, scegliendo
o, peggio, in un attacco reale, a copiare nella directory corrente stavolta un dizionario diverso
conseguire un tale risultato o magari più corposo, oppure
costituirebbe la “pietra tombale” # cp /usr/share/wordlists/ provare la modalità incremental.
dell’attività, in quanto ci metasploit/burnett_top_1024. Se quest’ultima idea dovesse
consentirebbe di prendere il pieno txt password.txt stuzzicarvi, allora sappiate che
controllo del sistema. Nel nostro dovete armarvi di parecchia
caso, però, non vogliamo A questo punto, possiamo avviare pazienza. Per un attacco di forza
accontentarci: piuttosto, proviamo John the Ripper in modalità bruta effettuato utilizzando
a vedere se la modalità wordlist wordlist, con il comando esclusivamente caratteri alfabetici,
è in grado di migliorare il bottino il comando da eseguire è:
appena acquisito. Prima di avviare #john --wordlist=password.txt
nuovamente il tool dobbiamo da_craccare.txt # john --incremental=alpha
individuare il dizionario di da_craccare.txt
potenziali password da fornire in Il risultato, [figura #7], premia
pasto a John: la distribuzione Kali i nostri sforzi: abbiamo individuato Provate a lanciarlo prima di uscire
ci mette a disposizione, nella altre due password (nello specifico, di casa, chissà che al vostro ritorno
directory /usr/share/wordlists, 123456789 e batman) associate non troviate qualche bella
numerose wordlist in grado di agli utenti sys e klog. sorpresa…

figura #9

La modalità incremental di
John the Ripper in azione.

 52
hackerjournal.it

Il punto di riferimento per chi fa dell’hacking


una filosofia di vita
La crew di Hacker Journal ti aspetta ogni giorno sul suo nuovo sito Web, il ritrovo della sua ricca comunità
hacker. Troverai anticipazioni degli articoli, news dal mondo della (in)sicurezza, contest, offerte speciali e
un forum che vuole essere il punto di riferimento per chiunque voglia diventare un esperto di sicurezza.
In un periodo storico in cui governi e multinazionali si divertono a spiare tutto e tutti, sulle
pagine della rivista e sul suo sito scoprirai come difenderti e contrattaccare. #HJisBACK

Scopri il sito e la comunità di Hacker Journal


Forum: iscriviti subito e inizia a dialogare con la redazione e la comunità di HJ
• News: le ultime notizie su cyberintrusioni, furti
di credenziali, bug, malware e altro ancora
• Contest: metti alla prova le tue conoscenze
con i giochi e le sfide della redazione
• Collezione HJ: i vecchi numeri della rivista,
in PDF, da scaricare
• Invia un articolo: ti piace scrivere e hai un’idea
originale per un articolo? Inviacela e la valuteremo!
HACKULTURE

LA STOR I A D I Z E T U N
Ra g a zi gior no,
z i n o t i m i d o d
s p i e t a t o d i n o t t e
h a c ke r

N
icolas (nome in tutto il mondo (dall’Ucraina il codice in ‘Admin = 1’
di fantasia), in Rete al Brasile), è stato beccato per diventare amministratore”
sotto i nick “Theeeel” a Parigi nel 2007 per colpa afferma in un’intervista. Proprio
o “Zetun”, è stato uno di un piccolo, quasi irrilevante, nella chat del forum di CaraMail
dei più giovani hacker francesi dettaglio: è andato online incontra un utente chiamato
e sicuramente uno dei più abili con il suo vero indirizzo IP. Dadoo, che gli parla di carte
al mondo nella falsificazione di credito rubate e gli spiega come
di carte di credito. Parte UN RAGAZZO COME TANTI sfruttarle. Ne prende una e la usa
di un gruppo di hacker sparsi Nicolas nasce alla fine del 1989 per comprarne altre online.
e vive nella “banlieue” di Parigi.
I genitori sono due persone LA NASCITA DEL GRUPPO
IL MANIFESTO comuni: uno lavora negli affari, Comincia così a frequentare
l’altro è consulente scolastico. forum sul Dark Web come
HACKER Timido e introverso, si avvicina Mazafaka (dove vennero
al mondo hacker a soli sei anni, reindirizzati molti degli utenti attivi
N el numero 7 di Phrack (http://
phrack.org/issues/7/3.
html#article), la rivista underground
quando legge l’Hacker
Manifesto in un numero
in ShadowCrew dopo la sua
chiusura), Carder e MyBazaaar,
dedicata al mondo hacker, Loyd della rivista Phrack. Da quel tutti siti utilizzati da pirati di mezzo
Blankenship, conosciuto come The
momento il computer e mondo per i loro loschi traffici
Mentor, pubblica il suo breve saggio
intitolato The Hacker Manifesto l’hacking diventano le due cose (dalla vendita di carte false allo
(ribattezzato poi “La coscienza di un più importanti nella sua vita. smercio di droga). È lì che fa
hacker”). The Mentor lo pubblica amicizia con “Lord Kaisersose”,
dopo essere stato arrestato per una
L’HACK A CARAMAIL “Maksisk”, “Junkee Funkee”
cyberintrusione. È uno dei testi più
importanti della cultura digitale Gli anni passano e le sue e “Drondon”, tutti hacker più
underground, diventa uno dei più capacità migliorano a vista anziani di lui e che diventeranno
diffusi e importanti testi degli anni d’occhio. Un pomeriggio dopo suoi complici. Infatti, nel 2003,
Novanta per i giovani che scoprono la scuola riesce a bucare a 13 anni, quello delle carte
che con i computer si possono fare
CaraMail, un importante di credito rubate e falsificate
moltissime cose, non solo usare
Excel. Nel film del 2010, The Social servizio di Webmail francese, diventa un lavoro vero. Il gruppo
Network, che racconta la storia utilizzando un semplice è compatto e sparpagliato
di Mark Zuckerberg, un poster privilege escalation: “bastava nel mondo: smerciano decine
con il testo del manifesto
accedere al codice sorgente di migliaia di carte, ottenute
è appeso nella camera di Mark
nel dormitorio di Harvard. e quando arrivavi hackerando siti di e-commerce
all’autenticazione, cambiavi a cui sottraggono i dati dei clienti.

 54
ZETUN
numeri e ologrammi sulle carte. è protetto come il suo, e viene
Inizia così a fabbricarle lui stesso, individuato. Errore fatale: il Secret
un’attività decisamente più Service americano, che si occupa
remunerativa. Nicolas in questo di reati valutari online, da tempo
momento guadagna 50mila euro era sulle sue tracce e ora
al mese. A sedici anni ne ha già finalmente ha un IP “vero”.
messi via più di un milione, che In pochi giorni scoprono tutto
investe nella criptovaluta E-gold, su di lui e i suoi compagni.
ma la moneta digitale scoppia A giugno, con un blitz congiunto
come una bolla e lui perde tutto. franco-americano lo arrestano.
Ma non è grave perché continua
Colpiscono soprattutto utenti a guadagnare cifre folli. SALVO PERCHÉ MINORENNE
con conti gold o platinum, Rischia 14 anni di galera per aver
sia perché ritengono più facile BECCATO DALLA MADRE falsificato oltre 28mila carte di
fregare i ricchi, sia perché non Aprendo un album di fotografie, credito e rubato circa 12,5 milioni
vogliono colpire chi è povero. la madre scopre un centinaio di euro. La sua unica fortuna?
di carte. Nicolas le butta via e le Essere ancora minorenne. Gli
SHOPPING FOLLE promette di smettere, ma mente. danno 12 mesi di riformatorio
Gli affari vanno a gonfie vele Continuerà anche dopo che e l’obbligo di pagare una sanzione
e la soffitta di casa sua diventa il dirigente della sua scuola lo di 45mila euro, con la classica
un grande magazzino: televisori convoca, pregandolo di smettere, richiesta di redimersi davanti
costosissimi, tutte le console qualsiasi cosa stia facendo, perché a un giudice. “Cosa vuol fare da
sul mercato e decine di giochi, lo stanno cercando. grande?” gli chiedono al processo.
montagne di gadget e abiti firmati. “L’hacker etico”. Entrerà in una
Ma lui vuole di più: acquista online L’ERRORE FATALE scuola d’élite, studierà ingegneria
per 500 euro un enconder A maggio del 2007, a 17 anni, informatica e andrà a lavorare
MSR206, uno strumento per è a casa della sua ragazza quando prima per il ministero della
leggere e scrivere dati sulle bande si ricorda che deve chiudere una Difesa francese e poi per società
magnetiche, insieme a un attrezzo transazione da 80mila euro. di consulenza, per le quali
che permette di incidere in rilievo Lo fa dal computer di lei, che non si occupa oggi di fare pentest.

I pirati del nostro tempo


Due libri che parlano degli hacker della nostra epoca
Ci sono due libri che raccontano Glenny (autore di “McMafia”)
parte della storia di Nicolas e si intitola “DarkMarket: How
e dei suoi colleghi. Il primo Hackers Became the New
è una raccolta di saggi scientifici Mafia”. È l’unico libro che
curata da Kevin F. Steinmetz racconta seriamente la
e Matt R. Nobles che analizza contraddizione dei cybercriminali
i cambiamenti sociali che hanno nella nostra società: da un lato
portato all’emergere della vengono perseguiti in tutti i modi
criminalità digitale: si intitola possibili, dall’altra i governi
“Technocrime and cercano di sfruttare al massimo
Criminological Theory”. le loro competenze digitali.
Il secondo è stato scritto Entrambi i libri attualmente sono
dal giornalista d’inchiesta Misha disponibili solo in inglese.

55 
HACKULTURE

TRUFF E L O W T E C H
Ecco come si freganoeb
i dilettanti del W

M
achine learning, per alcuni tipi di pagamento)
blockchain, hanno innalzato notevolmente
container. il livello tecnico richiesto a chi in maniera molto diversa,
Le tecnologie vuole penetrare un sistema. sempre che venga punito.
sono diventate sempre più Ha contribuito molto anche In mancanza di strumenti
complesse e la cybersecurity il lavoro di tutti gli hacker etici e conoscenze, quindi, come
– soprattutto grazie agli e le decine di migliaia di pentest si sono organizzati?
hacker etici – ha fatto enormi che hanno condotto,
passi in avanti. Eppure, anche rafforzando e tarando in modo RITORNO AL LOW TECH
se i metodi di difesa si sono fine i sistemi di difesa. In risposta a metodi di difesa
evoluti, i criminali continuano Risultato? Per operare in Rete sempre più sofisticati,
a fregarci e per farlo usano occorrono delle competenze la mossa più efficace è tornare
le solite, vecchie truffe. molto al di sopra di quelle agli strumenti low-tech
basiche degli script kiddies. per colpire i greggi di “utonti”
CYBERDIFESE PIÙ POTENTI che pascolano in Rete.
Secondo le indagini realizzate MA IL CRIMINE NON SI FERMA Infatti, secondo il rapporto
da una società britannica Questo non è abbastanza Consumer Payments Survey
che si occupa di sicurezza per fermare i delinquenti della società britannica
per le grandi banche, c’è di Internet. Incentivati GlobalData, la tipologia
un cambiamento evidente sicuramente dal fatto di attacco perpetrata
nella scena della tecnologia. che trafugare un database ai conti online dei loro clienti
I nuovi metodi hi-tech (sistemi da un sito mal protetto è ancora è estremamente variegata
di AI per apprendere i pattern considerato un reato meno e si tratta nella maggior parte
di spesa degli utenti e bloccare grave di una rapina in banca dei casi delle solite truffe,
le transazioni fuori dal modello, e, a seconda del paese dove cioè quelle che richiedono
oppure l’uso della blockchain viene compiuto, viene punito un coinvolgimento della

 56
LOW TECH HACKING

ANCHE L’IPNOSI
ERRORI BANALI.
La sicurezza delle Tra i metodi più assurdi c’è chi
credenziali dipende usa l’ipnosi per farsi consegnare
soprattutto le credenziali di accesso oppure
dal modo per convincere gli utenti a fare
in cui vengono acquisti online. O almeno, così
conservate.
sostengono le vittime fregate
tecnologia molto limitato minaccia informatica da venditori di amuleti o altri
e che puntano tutto ma sfruttano solo la credulità porta fortuna, che in realtà
sull’ingenuità degli utenti. delle persone. Dal classico hanno acquistati dei calzini
Nigerian Scam alla truffa del riempiti di carta straccia. Altri
IL PHISHING TORNA DI MODA Tocomocho, diffusa soprattutto attacchi si basano sull’utilizzo
È il motivo per cui ingegneria in Sudamerica, che consiste nel dell’ingegneria sociale e del
sociale, phishing vecchio stile far credere alle vittime di poter pretexting: spedire SMS
e addirittura la richiesta esplicita incassare i biglietti vincenti della o email facendo finta di essere
delle credenziali di accesso alla lotteria vinti da altri. Ma ci sono l’amministratore delegato di
vittima sono tornate di moda. anche truffatori che si fingono una grande azienda che ordina
«Il paradosso dei meccanismi operatori di telefonia mobile, al “suo” direttore finanziario di
di difesa sempre più avanzati di banche, di sistemi di gestione fare con urgenza un pagamento
dei sistemi di pagamento è che dei pagamenti, e che utilizzano a una società estera
le frodi vengono effettuate con la Rete praticamente solo per
vecchi metodi low-tech», dice trovare i contatti telefonici VITTIME PER ECCELLENZA
Vlad Totia, Payments Analyst (servendosi di database Il problema, purtroppo,
di GlobalData. Ecco quindi che comprati nel Dark Web) è sempre lo stesso: non c’è
ritornano le truffe via email e per fare chiamate VoiP non alcuna blockchain che possa
che non contengono nessuna tracciabili gratuite (o quasi). bloccare la stupidità umana.

I testi sgrammaticati degli scammer


C’è un motivo se le email di scamming sono che non trovano niente di strano nell’idea che la figlia
generalmente scritte male. Ed è più semplice di un ex dittatore africano abbia bisogno di un anticipo
di quanto non sembri: i testi pieni di errori grammaticali per far uscire una fortuna da un paese devastato dalla
che paiono totalmente privi di logica vengono utilizzati rivoluzione promettendo laute ricopense a chi riuscirà
dagli scammer per preparare il mercato. Dal punto di ad aiutarla. Purtroppo, approfittarsi dei più semplici
vista di chi organizza una truffa online (come il famoso è un gioco da ragazzi per i truffatori del Web.
Nigerian Scam), mandare milioni di email non ha
un costo diretto: basta prepararne una, comprare un
database di indirizzi e poi spedirle con un paio di click.
È molto diverso, invece, gestire il flusso delle risposte:
a ognuna deve essere assegnato un “operatore” che
deve avere tempo e modo di lavorarci. È fondamentale,
quindi, filtrare subito quelle che potrebbero andare
a buon fine. Tendenzialmente, gli utenti più abili
ignorano questo tipo di messaggi, gli utenti che
rispondono, invece, sono persone che hanno poca
dimestichezza con la tecnologia e quindi nuove
potenziali vittime. Utenti ingenui, insomma,

57 
HACKULTURE

SICUREZZA
, SEMPRE

Con oltre venti miliardi


PIU A RISCHIO
di dispositivi connessi,
di attacchi è destinato quest’anno il numero
a crescere sia nel pubb
lico che nel privato

A
ncora il 2019 informatica, ma dimostra come HACKER DI STATO
non era giunto la psicosi per possibili truffe Non è certo una novità
al termine che già stia crescendo di giorno che sia in corso ormai da anni
in Rete circolava in giorno. Gli appassionati una guerra cibernetica tra
un’avvertimento, per molti di tecnologia avranno le principali nazioni di tutto
banale, ma tanto banale non certamente notato come il mondo. Un conflitto che sarà
è: ogni volta che si scrive una nell’ultimo anno praticamente fatalmente destinato a
data su un assegno o su un tutte le aziende del settore raggiungere il suo culmine
documento è meglio non informatico abbiano messo a novembre di quest’anno,
abbreviare l’anno con “20”, a punto dei programmi di Bug in occasione delle elezioni
ma inserire la cifra completa Bounty, cioè di ricompensa presidenziali americane. Infatti,
“2020”. Accorciando l’anno per chi individua bug o possibili il gruppo di hacker Shadow
chiunque potrebbe aggiungere hack di ogni tipo. Se questo Brokers (che secondo alcuni
due cifre e così retrodatare da una parte contribuisce ha forti legami con il governo
una fattura o una nota a stimolare la crescita della russo) ha dimostrato come
di pagamento. Si tratta ricerca e della divulgazione la NSA, National Security
chiaramente di una furbata etica, dall’altra mostra come Agency americana, utilizzi
innocente rispetto a una il timore per possibili intrusioni regolarmente tool hacker
qualsiasi notizia di pirateria sia ormai globale. ed exploit 0-day all’interno

  58
2020 A RISCHIO
B
GITHUB SECURITY LA
ecurity lab.github.com/
All’URL https://s
l per la verifica
troviamo CodeQL, too
nei codici sorgente.
della presenza di VCE

ha dimostrato come la maggior


parte dei siti Web delle startup
FinTech non superi i test
di conformità PCI DSS, mentre
i backend delle app mobile
hanno mostrato in oltre il 50%
dei casi grossi problemi
di privacy o gravi errori
di software e APT (Advanced l’utilizzo da parte di Trump di configurazione legati alla
Packing Tools) che gestiscono degli “esperti” di Cambridge crittografia e all’insufficiente
l’installazione di pacchetti Analytica ha, secondo alcuni rafforzamento della sicurezza
e distro Linux e Windows. esperti, spostato una grossa dei server Web. Pochi mesi fa,
Le stesse accuse di Trump, percentuale di voti e la dei cybercriminali sono riusciti
che ha deciso di mettere tecnologia dell’epoca era a dirottare 1 milione di dollari
al bando dispositivi decisamente meno avanzata da una società di venture
e infrastrutture Huawei negli rispetto a quella attuale. capital a una startup israeliana
USA, sono probabilmente semplicemente usando delle
veritiere, ma la responsabilità STARTUP SOTTO TIRO mail contraffatte e domini falsi.
dei governi nelle cyberwar Gli anni ‘20 di questo secolo Si tratta di quelli che vengono
non è certo esclusiva di quello vedranno un enorme aumento definiti attacchi BEC (Business
cinese. In questi ultimi anni delle startup FinTech che allo Email Compromise)
i progressi tecnologici hanno stesso tempo risulteranno che potrebbero non solo
permesso di ottimizzare le maggiormente vulnerabili agli esporre i dati dei clienti
tecniche di DeepFake e anche attacchi di phishing a causa ma anche compromettere
questo potrebbe rappresentare della mancanza di protocolli grandi quantità di denaro.
un grosso problema abbastanza solidi per garantire L’unica soluzione praticabile
in occasione soprattutto delle la sicurezza e la protezione rimane quella di investire
prossime elezioni americane dei dati. Un’indagine realizzata sempre maggiori risorse
di novembre. Già nel 2016 da BitDefender nel 2019 nel settore della sicurezza.

d
La minacciapiùèspintini a uticlizlozareule risorse in Rete, ma saranno sicure?
re
Gli utenti vengono semp uzioni
ispensabile che le sol
Rete. Per questo è ind oS
utilizzeranno sempre di sicurezza integrino
tecnologie di DD
I criminali informatici nacce are
ud per diffondere mi nn o come obiettivo il mitig
più spesso i servizi clo Sar an no Mitigation che ha
tip o Dis tri bu ted
le vitt im e. attacc o di
e controllare da remoto sviluppo le conseguenze di un viz io
rtic ola rm en te a ris chio le piattaforme di Denial of Service ind
irizzato verso un ser
pa e di un
e GitHub, che con tin ua
rte de ll'infrastruttura di ret
Web più popolari com ta critico facente pa evo li visto
ma nie ra impetuosa e viene usa cliente. A GitHub devon
o essern e con sap
a crescere in o bizioso
da azi en de de l cal ibr piedi un progetto am
regolarmente anche che hanno messo in già
soft, NASA, Facebook rity Lab che a oggi ha
di Go og le, Ap ple , Mi cro come il GitHub Secu iliti es
i servizi cloud legittimi rilevato oltre 100 CVE
(Common Vu lne rab
e Twitter. Abusare de ar tem a).
inali di sfuggire dal rad and Exposures, cioè le
vulnerab ilità di sis
consente ai cybercrim dp oin t e de lla
zza de gli en
delle soluzioni di sicure

59 
N E@ H AC KE RJ O U RN A L .i t
REDAZIO

REPLY
n la redazione insieme
Condividi i tuoi dubbi co rresti
menti su quello che vo
a nuove idee e suggeri al.it
vedere sulla rivista: re
dazione@hackerjourn

GLOSSARIO ATTACCHI BRUTE FORCE diffusi spiccano Hydra, John The


DI BASE Volevo capire se, vista Ripper e Hashcat che possono
la sempre maggiore presenza essere trovati facilmente con una
CRACKER dei servizi di sicurezza a ricerca mirata nel Web. Hydra
Appassionato di informatica,
doppia verifica, hanno ancora in particolare utilizza in maniera
esperto di sistemi
senso gli attacchi brute force intensiva gli attacchi a dizionario
e di sicurezza informatica
in grado di introdursi per craccare le password. attraverso moduli aggiornati
in reti di computer senza La mia intenzione è quella di frequente ed è perfetto
autorizzazione allo scopo di dimostrare a un cliente per dimostrare le potenzialità
di danneggiarle. quanto siano deboli le sue del sistema brute force
Da non confondere con
difese informatiche (ho avuto a un possibile cliente.
gli hacker che sono
contraddistinti da una modo di conoscere alcune
cultura e un’etica legata delle password che utilizza). VOGLIO FARE LA SPIA
all’idea del Software Libero Quale servizio mi consigliate Sono da sempre
di usare per la mia affascinata dal mondo delle
UDP dimostrazione? spie, soprattutto da quelle
Protocollo di rete di tipo
Renato che utilizzano la tecnologia.
connectionless molto rapido
(non c’è latenza per riordino Mi rendo conto però
e ritrasmissione dei In effetti oggi un attacco che non è possibile pubblicare
pacchetti) ed efficiente per le del tipo Forza Bruta, che un annuncio per cercare
applicazioni “leggere” o time- cerca di craccare la password una posizione di questo tipo
sensitive. Usato spesso per la di un account provando quante e per questo mi rivolgo a voi:
trasmissione di informazioni
più combinazioni di caratteri so che esiste la Polizia Postale,
audio-video in real-time
come nel caso di quelle VoIP. possibile, ha meno possibilità ma vorrei sapere quali altri
Fornisce solo i servizi base di riuscita rispetto a qualche enti governativi ricercano
del livello di trasporto. anno fa. Questo a causa dei figure di questo tipo. Spero di
nuovi standard di sicurezza dei essermi spiegata e vi ringrazio.
BOOTLOADER
server su cui vengono salvate Francesca
Programma che, nella fase
le password e grazie anche
di avvio (boot) del computer,
carica il kernel del sistema a una maggiore attenzione Nella tua lettera non hai
operativo dalla memoria da parte degli utenti finali. specificato quali sono
secondaria (come un hard Risultati leggermente migliori le tue competenze ed esperienze
disk) alla memoria primaria si ottengono con gli attacchi nel settore della sicurezza.
(generalmente la RAM),
a dizionario in cui il cracker Il nostro consiglio è quello
permettendone l’esecuzione
da parte del processore sfrutta un elenco di password di seguire prima corsi
e il conseguente avvio più deboli e diffuse, oppure un specializzati e di proporti quindi
del sistema. database specifico, comprato a una delle tante aziende
nel Dark Web. Tra i tool più di consulenza sulla sicurezza

 60
M S E N Z A R O O T
UNA NUOVA RO
Ho uno smartphone Pixel di Google che funziona benissimo
ma da qualche mese non riceve più il supporto da parte di
Google in quanto sono passati più di tre anni dalla sua presentazione.
Vorrei sapere se è possibile installare una ROM alternativa,
e se possibile aggiornata regolarmente, senza dovere per forza avere
i privilegi di root che metterebbero a rischio la sicurezza del device.
Gianni

Non è indispensabile avere i privilegi di root per installare una nuova
ROM sul proprio smartphone, quello che serve, invece, è lo sblocco del
bootloader che avviene da PC attraverso comandi ADB. Con alcuni dispositivi,
per motivi di sicurezza, lo sblocco del bootloader è vietato o comunque
difficile, nel caso dei Pixel di Google, invece, basta il classico comando
fastboot oem unlock. Occorre però prima consentire lo Sblocco OEM dalle
Opzioni Sviluppatore delle Impostazioni e attivare il Debug USB. Sbloccare
il bootloader provoca però la formattazione completa del dispositivo.

controllo del numero. Il servizio


Quasi tutti i governi del mondo
è a pagamento, i prezzi partono
pubblicano periodicamente annunci di dai 10 $ e sono accettati i bitcoin.
ricerca per esperti di sicurezza informatica.
COSA È IL DRDOS?
Sono richieste competenze di alto livello Ho letto di un attacco
effettuato con DrDos
informatica. Solo in un secondo BYPASSARE LE VERIFICHE ma non riesco a trovare info
tempo potresti provare con Esiste un modo affidabile al riguardo. Mi potete aiutare?
Polizia Postale e servizi segreti e possibilmente gratuito per Andrea
che periodicamente sono alla evitare le verifiche telefoniche
ricerca di personale. Proprio nel dirette o via SMS che vengono Un DrDOS (Distributed
2019 è stato pubblicato un bando richieste da alcuni gestori per Reflection Denial of Service)
dal Ministero della Difesa italiano registrarsi sui loro account? è un attacco rimbalzante che
per cercare figure interessate Pierpaolo sfrutta un gran numero di server
a lavorare nei servizi segreti. utilizzando il protocollo UDP
Per entrare nella Polizia Postale, Ci sono diversi servizi (User Datagram Protocol).
invece, dovrai prima superare del tipo che ti interessa, Attraverso UDP è possibile
un concorso di assunzione tra i più affidabili c’è GetSMSCode utilizzare l’indirizzo IP di una terza
generico alle Poste (https://www.getsmscode.com/) persona per far rimbalzare
e successivamente renderti che mette a disposizione numeri i pacchetti e nascondere la fonte
disponibile a incarichi telefonici temporanei cinesi (+86), dell’attacco. Grazie all’effetto
di sicurezza. In qualunque ambito cambogiani (+855), vietnamiti moltiplicatore dato dalle
comunque è indispensabile aver (+84), indonesiani (+62), filippini ritrasmissioni dei server
maturato esperienza nel settore (+63), thailandesi (+66), degli USA contattati, si entrerà in un circolo
della sicurezza e avere il maggior (+1) e di HongKong (+852), proprio vizioso che vedrà esaurirsi in
numero possibile di certificazioni. con l’obiettivo di superare il breve le risorse del bersaglio.

61 
Nel prossimo IN EDICOLA IL 20 MA
RZO
numero
Boicottiamo
Mr.Amazon si e
Google Mcoap s fatto hackerare
l’attacco
L’arte diventa hack: ec
dei 99 telefoni che ing
annano Big G l iPhone!
Fuoriuscivano grandi
quantità di dati dallo
smartphone di Jeff
Bezos... e si è scoperto
Rafforzi la Web app? che era tutta colpa
La buco lo stesstaocc! hi
re gli at
di un video
Continuiamo a studia
Cross Site Scripting

HackeriafremgaonoYouTube
gli influencer
Ecco come si

ADVERTISING, SPECIAL PROJECTS & EVENTS Direttore responsabile: Luca Sprea


Marketing: Mauro Fabbri - maurofabbri@sprea.it Distributore per l’Italia: Press-Di Distribuzione stampa e multimedia s.r.l.
Segreteria: Emanuela Mapelli - Tel. +39 0292432244 emanuelamapelli@sprea.it 20090 Segrate
Events Production: Giulia Sprea - giulia@sprea.it Distributore per l’Estero : SO.DI.P S.p.A. Via Bettola, 18 - 20092 Cinisello Balsamo (MI)
Tel. +390266030400 - Fax +390266030269 - sies@sodip.it - www.sodip.it
SERVIZIO QUALITÀ EDICOLANTI E DL Stampa: Arti Grafiche Boccia S.p.A.- Salerno
Sonia Lancellotti, Virgilio Cofano: tel. 02 92432295/440
distribuzione@sprea.it Copyright : Sprea S.p.A.
ABBONAMENTI E ARRETRATI Informativa su diritti e privacy
Abbonamenti: si sottoscrivono on-line su www.hackerjournal.it/abbonamenti La Sprea S.p.A. titolare esclusiva della testata Hacker Journal e di tutti i diritti di pubblica-
Mail: abbonamenti@hackerjournal.it zione e di diffusione in Italia. L’utilizzo da parte di terzi di testi, fotografie e disegni, anche
Fax: 02 56561221 - Tel: 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00) parziale, è vietato. L’Editore si dichiara pienamente disponibile a valutare - e se del caso
Mensile - prezzo di copertina 3,90 € Il prezzo dell’abbonamento è calcolato in modo etico perché sia un servizio regolare - le eventuali spettanze di terzi per la pubblicazione di immagini di cui non sia
www.hackerjournal.it utile e non in concorrenza sleale con la distribuzione in edicola. stato eventualmente possibile reperire la fonte. Informativa e Consenso in materia di trat-
redazione@hackerjournal.it Arretrati: si acquistano on-line su www.hackerjournal.it/arretrati tamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel vigore del D.Lgs 196/03 il Ti-
Mail: arretrati@hackerjournal.it tolare del trattamento dei dati personali, ex art. 28 D.Lgs. 196/03, è Sprea S.p.A. (di seguito
Realizzazione editoriale a cura di: Sprea S.p.A. anche “Sprea”), con sede legale in Via Torino, 51 Cernusco sul Naviglio (MI). La stessa La in-
Fax: 02 56561221 - Tel: 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
forma che i Suoi dati, eventualmente da Lei trasmessi alla Sprea, verranno raccolti, trattati
Coordinamento redazionale: Massimiliano Zagaglia www.sprea.it
e conservati nel rispetto del decreto legislativo ora enunciato anche per attività connesse
Redazione: Giorgia Avallone FOREIGN RIGHTS all’azienda. La avvisiamo, inoltre, che i Suoi dati potranno essere comunicati e/o trattati
Hanno collaborato: Stefano Novelli, Guglielmo Pensabene, Alberto Falchi, Eugenio Gabriella Re: tel . 02 92432262 - international@sprea.it (sempre nel rispetto della legge), anche all’estero, da società e/o persone che prestano
Fontana, Maurizio Russo, Antonio Dini, Adrian Sager La Ganga, Samuel Oreste Abreu, SERVIZI CENTRALIZZATI servizi in favore della Sprea. In ogni momento Lei potrà chiedere la modifica, la correzione
Jacopo Marino Art director: Silvia Taietti e/o la cancellazione dei Suoi dati ovvero esercitare tutti i diritti previsti dagli artt. 7 e ss. del
Grafici: D.Lgs. 196/03 mediante comunicazione scritta alla Sprea e/o direttamente al personale
Marcella Gavinelli, Alessandro Bisquola, Nicolò Digiuni, Tamara Bombelli, Luca Patrian Incaricato preposto al trattamento dei dati. La lettura della presente informativa deve
Coordinamento: Gabriella Re, Silvia Vitali , Ambra Palermi, Alessandra D’Emilio, intendersi quale presa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e l’invio dei Suoi
Sprea S.p.A.
Roberta Tempesta, Elisa Croce, Laura Vezzo, Laura Galimberti, Michela Lampronti, dati personali alla Sprea varrà quale consenso espresso al trattamento dei dati personali
Federica Berzioli, Francesca Sigismondi, , Tiziana Rosato, , Massimiliano Zagaglia secondo quanto sopra specificato. L’invio di materiale (testi, fotografie, disegni, etc.) alla
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
Amministrazione: Erika Colombo (responsabile), Irene Citino, Sara Palestra, Sprea S.p.A. deve intendersi quale espressa autorizzazione alla loro libera utilizzazione da
PI 12770820152- Iscrizione camera Commercio 00746350149 parte di Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo di esempio,
Per informazioni, potete contattarci allo 02 924321 Danilo Chiesa, Désirée Conti- amministrazione@sprea.it
alla pubblicazione gratuita su qualsiasi supporto cartaceo e non, su qualsiasi pubblica-
zione (anche non della Sprea S.p.A.), in qualsiasi canale di vendita e Paese del mondo.
Hacker Journal, registrata al tribunale di Milano il 27/10/2003 con il numero 601.
CDA: Luca Sprea (Presidente), Mario Sprea (Vice Presidente), Maverick Greissing,
ISSN: 1594-5774
Alessandro Agnoli Il materiale inviato alla redazione non potrà essere restituito.
IN EDICOLA

Scansiona il QR Code

Acquistala su www.sprea.it
anche in versione digitale
PU BBLICITÀ
100% INDIPENDENTE! NO

T utto quello
ch e g l i a l t r i
n o n o s a n o d i r t i !

IN QUES T O N U M E R O
INTERVISTA | Confessioni di un pentester
Abbiamo scambiato quattro chiacchiere con Riccardo Meggiato, uno
degli esperti di sicurezza più noti in Italia, per capire meglio il suo lavoro

FIREWALL | Alziamo le difese, parte seconda


Impariamo a simulare una rete locale usando il pratico tool
GNS3 e l’utilissimo virtualizzatore VirtualBox

LOW TECH HACKING | Truffe poco tecnologiche


Le cyberdifese sono sempre più robuste ed efficaci... ma ci sono
criminali poco tecnologici che riescono a fregare gli utenti meno esperti

LETTERE | Una nuova ROM senza root


Le domande dei lettori, le risposte degli esperti della redazione.
Anche online sul nostro sito: https://hackerjournal.it

HACKER JOURNAL • N. 241 • MENSILE • 3.90 €

P.I. 21-02-2020 - Febbraio