Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Manuale
Difensivo
W. BRIAN P. LOSITO
Copyright © 2016 Walter Brian Picciuti Losito
Tutti i diritti riservati.
ISBN: 153772052X
ISBN-13: 978-1537720524
DEDICA
Ai compagni di avventura che mi hanno tenuto
compagnia nei momenti bui, alle nostre infinite notti
passate al pc, ad amici e nemici che hanno contribuito a rendere l’esperienza
indimenticabile
Declinazione Di Responsabilità
Prolusione
Capitolo 1: Chi È L’Hacker Davvero?
Capitolo 2: Nella Mente Di Un Hacker
Capitolo 3: Vari Tipi Di Malware E Come Funzionano
Capitolo 4: Il Funzionamento Degli Antivirus
Capitolo 5: In Che Modo Gli Hacker Scavalcano Gli Antivirus
Capitolo 6: Canali Di Distribuzione Più Utilizzati
Capitolo 7: Adottare Misure Proattive e Retroattive Per Proteggersi Da
Infezioni
Capitolo 8: Ripulire il Computer Da Malware
Capitolo 9: Operazione Honeypots
Capitolo 10: In Che Modo Rintracciare L’Hacker
Capitolo 11: Come Ti Rubano La Password
Capitolo 12: Anonimato E Protezione Dati Sensibili
Capitolo 13: Pericoli Delle Reti Wi-Fi Che Non Ti Aspetti
Capitolo 14: DeepWeb, DarkNet e Bitcoin
Parole Finali
Pagina lasciata bianca di proposito
Prolusione
Prima di buttarci a capofitto nella materia, vorrei spendere due parole per
farti capire meglio la mia storia e perché questo sarà il libro più pratico ed
efficacie che leggerai.
Non posso rivelare nomi o dati specifici per ovvie ragioni, in questi anni
stiamo osservando il declino della privacy, quando ho iniziato, l’hacking era
molto più difficile, non c’erano tutte queste informazioni, inoltre i social
network permettono a chi è del “mestiere” di studiare la potenziale “vittima”
pianificare e lanciare un attacco.
Sono fiero del mio passato, non è stato tutto rosa e fiori, ma ora
posseggo delle capacità e delle conoscenze che mi permettono di proteggere
le mie informazioni, famiglia e lavoro da attacchi di malintenzionati, ed è
questo quello che questo manuale vuole essere, un approccio senza fronzoli
alla sicurezza, informazioni pratiche che puoi applicare per rendere più sicuro
il tuo ambiente di lavoro o pc personale, sono sicuro che appena completerai
questa breve lettura, sarai in grado di proteggere la tua famiglia e te stesso da
intrusioni e violazioni della privacy indesiderate.
Buona lettura
Capitolo 1: Chi È L’Hacker Davvero?
Questi sono i cattivi, in genere sono quelli responsabili del 99% degli attacchi
da cui imparerai a difenderti, distruggono i sistemi ai quali hanno accesso per
divertimento o soddisfazione personali, purtroppo nelle comunità
underground sono considerati “fighi” quindi chiunque si avvicini al mondo
del hacking viene in qualche modo influenzato ad agire come loro.
Ci sono molti black hat in passato che hanno compiuto imprese a dir
poco straordinarie, come Gary McKinnon che ha perpetrato il più grande
attacco militare nella storia penetrando in più di 95 computer della NASA,
rendendo inutilizzabili 2,000 computer del distretto militare degli USA ed
infine reso 300 computer del USA Navy inoperabili.
Entrambi questi hacker sono stati piegati dal sistema giudiziario, Gary
McKinnon ha subito un grave crollo psicologico, mentre Jonathan James si è
suicidato a 25 anni, perché appunto terrorizzato dal sistema giudiziario.
Ci sono persone che pensano che questi due individui si sono meritati la
loro sorte, perché hanno infranto la legge, è un’opinione e come tale va
rispettata, ma personalmente io sono di un altro parere.
Credo che hacker di questo calibro, che compiono imprese così fuori dal
comune, debbano essere aiutate e indirizzate verso qualcosa di produttivo,
immagina se queste due persone avessero avuto una guida che li avesse
indirizzati verso qualcosa di positivo e avessero sfruttato il loro talento in
modo legale cosa avrebbero potuto offrire all’umanità.
Ce ne sono stati molti come questi due, ci tengo a specificare però che
parlo solo di una cerchia ristretta di black hat, l’hacker che ruba, il comune
ladro informatico deve pagare per i suoi crimini.
Per me i veri black hat, sono quelli di cui non conosciamo l’esistenza,
tutti i migliori hacker e le loro imprese le conosciamo al giorno d’oggi perché
sono stati presi, mentre ci sono black hat eccezionali che agiscono
indisturbati, magari hanno eccelso più degli hacker famosi che conosciamo
oggi, ciò vuol dire che non sono stati solo dei geni con il computer, ma anche
estremamente furbi.
Per farla breve, questa persona affermava di aver violato 10,000 conti
correnti ed ogni mese prelevava un 1 dollaro da ognuno, cosa decisamente
più furba di rubare 10,000 dollari da un solo conto, azione che
metaforicamente hanno fatto tutti quelli che sono stati presi.
Esistono veri e propri mercati dove persone del genere scambiano foto e
video delle proprie vittime, ed in casi estremi, vendono l’accesso al computer
del malcapitato ad altri hacker, per permettere anche a loro di condividere
l’esperienza.
Questi sono gli “eroi” della rete, spendono il proprio tempo cercando
vulnerabilità nei sistemi più utilizzati per rendere il web più sicuro per tutti,
sono spesso rivali dei Black Hat in quanto cercano di batterli sul tempo
scoprendo prima gli exploit e notificandoli prontamente al gestore della
piattaforma, lavorando con lui per risolvere il bug, ed infine rilasciare la
vulnerabilità.
Arricchirsi
Prima che entrasse nel canale, sapevo che lui era solito scansionare i
computer delle vittime con l’obiettivo di cercare immagini di carte d’identità,
patenti bollette telefoniche e altri documenti, con l’intento di chiedere prestiti,
creare carte di credito a nome della vittima in modo da usarle per attività
fraudolente e rimanere anonimo, ogni cosa illecita che richiedesse documenti
ufficiali, lui la faceva.
Insomma era un puro black hat, quando entrò in chat esordì scrivendo
se a qualcuno interessava sapere come aveva guadagnato 2,000 euro in 20
minuti, il nostro gruppo era formato da adolescenti, massimo 16 anni, lui era
molto più grande ma acconsentimmo, la curiosità era troppa.
Aveva inserito questo exploit in una decina di siti per scambi di coppie,
una volta avuto accesso a una quantità esponenziale di macchine, programmò
uno script in python per ricercare e salvare su un VPS anonimo tutti i file
presenti nei pc delle vittime che riguardassero foto pornografiche della
coppia.
Nella mia ingenuità di un tempo non riuscivo a capirne il senso, come
può una persona fare molti soldi rubando immagini e video privati di una
ignara coppia, la risposta non ha tardato ad arrivare, tutti i file venivano
catalogati e venduti a vari siti per adulti che accettavano contenuti amatoriali,
e veniva pagato profumatamente.
I miei amici erano al corrente che il computer era la mia unica fede,
quindi qualsiasi cosa succedesse ai loro computer, ero sempre in prima linea,
non perché volessi starci, spesso mi ci mettevano loro.
Ora fin quando è una persona esperta a gestire la situazione, che non è
coinvolta in modo personale con la vittima, va tutto bene, ma cosa succede
quando ad effettuare un’intrusione è una persona che la prende sul personale
e che non è istruita propriamente?
Ho sempre rifiutato questo genere di richieste, ma non potevo
persuadere i miei amici a rinunciare e spegnere il fuoco della vendetta, quindi
spesso e volentieri mi chiedevano dei consigli, volevano che gli spiegassi
tutto in 5 minuti, cosa naturalmente non possibile, quindi sentivano quello
che volevano sentire e si cimentavano nell’impresa.
C’è un episodio in particolare che ogni tanto torna vivido nella mia
mente, prima ho detto che se qualcuno hackera una vittima verso la quale
prova astio, molto probabilmente andrà tutto male, ed è esattamente quello
che è successo.
La sera seguente venne a lamentarsi nel gruppo, dicendo che ora che
aveva accesso al suo pc gliel’avrebbe fatta pagare.
È importante sottolineare che solo una piccola parte dei Black Hat
possiede le conoscenze necessarie per essere chiamati Hacker, in genere la
maggior parte delle persone che si diverte ad entrare in un sistema e
distruggere oppure rubare carte di credito da un computer e prosciugare un
conto vengono chiamati in gergo come ho detto prima “Script Kiddies”.
“Un altro è stato preso oggi, è su tutti i giornali. "Adolescente arrestato per
crimine informatico", "Hacker arrestato Per Manomissione Bancaria" ...
Il mio è un mondo che inizia con la scuola ... Sono più sveglio di molti altri
ragazzi, quello che ci insegnano mi annoia ...
Sono nelle scuole medie o superiori. Ho ascoltato gli insegnanti spiegare per
quindici volte come ridurre una frazione. Lo capisco. "No, Prof. Smith, io
non mostro il mio lavoro. L'ho fatto nella mia testa ..."
E poi è successo ... una porta si è aperta su un mondo ... correndo attraverso
le linee telefoniche come l'eroina nelle vene di un drogato, un impulso
elettronico è stato spedito, un rifugio dalle incompetenze che giorno per
giorno viene ricercata ... un rifugio è stato trovato. "Questo è ... questo è il
posto dove appartengo ..." Conosco tutti qui ... anche se non li ho mai
incontrati, mai parlato con loro, ... li conosco tutti ...
Dannato Ragazzo. Sempre Attaccato Alla Linea Telefonica. Sono tutti uguali
...
Puoi scommetterci il culo che siamo tutti uguali ... siamo stati nutriti con
cibo per bambini a scuola quando abbiamo fame di bistecca ... i pezzi di
carne che avete lasciato cadere erano premasticati e senza sapore. Noi
siamo stati dominati da sadici, ignorati e apatici. I pochi che avevano
qualcosa da insegnare, purtroppo sono come gocce d'acqua nel deserto.
Questo testo fu scritto da The Mentor nel 1989 poco dopo il suo arresto.
Molti ormai utilizzano il touch screen ogni giorno della loro vita, ma chi
ne conosce davvero il funzionamento, tutti ascoltano la musica, ma cosa c’è
dietro l’algoritmo di compressione mp3?
Ora dopo aver chiarito la differenza tra tutti i tipi di Hacker e spogliato di
questo titolo chi non lo è, possiamo concentrarci su tutto quello che devi
sapere.
Capitolo 3: Vari Tipi Di Malware E Come
Funzionano
Il tuo pc può essere attaccato da vari tipi di Malware, ognuno con uno scopo
diverso, probabilmente avrai già sentito questi termini in giro ma non ti sei
mai soffermato a capire davvero cosa facciano e quali siano le differenze,
questa sezione ti darà un quadro completo della situazione, iniziamo:
Virus
Un virus non è altro che un codice maligno che viene unito ad un programma
o file per essere eseguito, così come le infezioni umane, il virus può variare in
severità, nella maggior parte dei casi non si tratta quasi mai di problemi seri,
in altri invece può compromettere hardware, software (L’antivirus stesso) o
file vari, in più ha la capacità di moltiplicarsi infettando altri file exe.
Uno dei virus più famosi negli ultimi anni è “ILOVEYOU”, fu uno dei
primi virus che ebbi la possibilità di analizzare e ammirarne la potenza
distruttiva, fece 10 biliardi di danni in tutto il suo ciclo di vita.
Si presentava in una email dove faceva credere alla vittima che qualcuno
avesse scritto una lettera d’amore indirizzata a lui, una volta aperto,
danneggiava alcuni file di Windows rendendo impossibile il boot del sistema,
in più, corrompeva alcuni file word, inserendo alcune referenze ai Simpson,
inoltre si auto inviava a tutto i contatti di Outlook, una bella gatta da pelare.
Worm
Mydoom fu uno dei Worm che non si possono dimenticare, non venne
allegato a nessun Malware ma la sua distruzione fu comunque notevole, ben
38,5 bilioni di danni e alcune varianti del Worm sono attive ancora oggi.
Questo tipo di Malware viene utilizzato dagli hacker per infettare la macchina
e mostrare al malcapitato della pubblicità invasiva, non causano grandi danni
ma possono essere molto fastidiosi perché quasi sempre il loro bersaglio
primario è il browser predefinito.
Shareacash è uno dei tanti siti dove è possibile essere pagati per il
numero di download che si genera, questo tipo di servizio si chiama Pay Per
Download, ed è possibile guadagnare da $1 a $20 in base alla tipologia di
traffico che viene inviato.
3000 * $8 = $24,0000
Visto che questo tipo di attività non sono tollerate dai gestori di questo
tipo di siti, nel 90% dei casi prima o poi l’account del hacker viene terminato
ed è costretto a passare ad un altro servizio o creare una seconda identità
falsa.
Inoltre sono classificati come Adware anche i plug-in del browser che
aggiungono informazioni o risultati alla ricerca di Google, molto spesso per
rimuoverli basta disabilitare il plug-in, mentre in altri casi può essere un
problema molto più serio.
Dico hacker serio, perché in genere chi è alle prime armi può divertirsi a
spegnere il computer, aprire il vano CD e tutte queste stupidaggini, se si
comporta in questo modo sarà facile per noi identificare l’infezione e
rimuoverla, questo lo vedremo più avanti.
Una volta che il server viene eseguito, il computer della vittima genera
una connessione in uscita e si collega immediatamente al client, scavalcando
antivirus e firewall, dopodiché l’Hacker può fare tutto quello che vuole,
mentre la vittima non ne ha nessuna idea.
Uno dei lati negativi di questo sistema, è che non c’era nessuno tipo di
avviso, era necessario controllare spesso il file di testo per vedere se il server
aveva fatto il suo lavoro
Una delle cose più scoccianti per gli hacker, è che anni fa non tutti
rimanevano 24 ore su 24 su internet, quindi la vittima si collegava per
qualche minuto e poi terminava la sessione, l’hacker in quel limitato lasso di
tempo, doveva trovare tutte le informazioni possibili, in più all’epoca c’era il
56k, quindi internet era molto lento, di conseguenza i trojan a volte si
bloccavano e non erano sempre stabili come adesso, inoltre era impossibile
scaricare qualsiasi tipo di file.
Come sono i Trojan adesso
- Email
- Spazio Web FTP
- File PHP
Molte volte mi sono trovato presso gli uffici delle poste a chiedere
informazioni, chiuso in una stanza con la consulente, che durante il colloquio
si alzava e andava a fare le fotocopie lasciando il computer completamente
incustodito.
Gli hacker data questa crescente difficoltà hanno creato dei Bitcoin
Miner, ossia un Malware che una volta installato sul computer della vittima,
utilizza la potenza del suo computer per minare Bitcoin 24 ore su 24.
Se per esempio l’Hacker avesse installato il Bitcoin Miner a 2,000
persone, approssimativamente guadagnerebbe €100 euro al giorno in Bitcoin,
questo calcolo è estremamente relativo, dipende tutto dalla potenza del
computer delle persone infettate.
È possibile per l’hacker minare anche altre valute digitali, che essendo
meno utilizzate è più facile ricavarne profitto da meno persone infettate.
Questo tipo di Malware ha visto la sua esplosione nel 2013 ed è previsto che
la minaccia continuerà ad espandersi fino al 2017, il suo obiettivo è criptare i
file all’interno del computer e indurre il proprietario a pagare per riavere i
suoi file indietro e poter usare di nuovo il computer, non consiglio
assolutamente di pagare, anche perché molti che l’hanno fatto, non hanno
comunque ricevuto i loro file indietro.
Questi sono un tipo di Malware molto comune, il loro unico scopo è rubare
tutte le password salvate nel tuo computer e inviarle via email o caricarle
sullo spazio FTP dell’hacker, in genere vengono rubate tutte le password che
scegliamo di far ricordare al browser, spuntando la casella “Ricorda la
Password”, questo è un esempio di Stealer:
Questo è il tipo di strumento che utilizzano gli hacker, in questo caso gli
Anonymous per crashare e mandare offline i server, è possibile definire una
botnet come un punto dove convergono tutte le vittime che l’hacker può
gestire comodamente con un pannello, viene spesso associato ad altri
Malware per aumentarne la distribuzione, vengono definiti spesso come
trojan più sofisticati.
Sono disponibili sul mercato due tipi di Botnet, quella IRC e quella
http:
IRC: Gli hacker sfruttano il server del protocollo per chattare IRC e lo
utilizzano come punto di ritrovo per tutte le vittime, utilizza un pannello GUI
o un cmd per lanciare gli attacchi.
Si stima che nei suoi anni di gloria, ossia tra il 2008 e il 2009, sono stati
infettati oltre 7 milioni di computer, tra cui varie agenzie governative come il
Ministro della Difesa U.K, Navi da guerra e sottomarini della Royal Navy e
alcune sezioni dell’ambasciata militare Francese.
Questo tipo di Malware sta per diventare molto famoso, non è ancora molto
utilizzato perché non ci sono ancora moltissime persone che acquistano e
detengono Bitcoin o altre forme di moneta digitale.
Questo tipo di Stealer sarà il più pericoloso tra 10-15 anni, quando le
persone inizieranno ad usare frequentemente questo tipo di valuta, per adesso
i vari wallet online non hanno efficaci contromisure per contrastare questo
fenomeno, forse in futuro.
Questi sono tutti i tipi di Malware che gli hacker utilizzano per
danneggiare, espandersi, estorcere ed avere accesso a più sistemi possibile, in
questi anni mi sono sempre tenuto al corrente di tutte le nuove tattiche, per il
semplice motivo che mi guadagno da vivere lavorando online, devo essere
sempre preparato a qualsiasi evenienza, e anche tu dovresti, anche se usi il
computer come passatempo.
C’è una diceria ormai conosciuta un po’ da tutti, le aziende che vendono
antivirus pagano hacker esterni per creare virus, diffonderli e dare loro il
sorgente per identificarlo prima della concorrenza, così facendo si
posizionano sul mercato come primi ad aver scoperto il Malware e
mantengono vivo il mercato della paura, niente di tutto questo è confermato.
C’è da dire che gli AV sono dotati di uno strumento che si chiama
dissembler, che analizza il Malware provando vari metodi di decriptaggio,
una volta che il codice del Malware viene alla luce, l’hacker deve cambiare
metodo di criptaggio e ridistribuirlo.
Tralasciando gli 0-Day, ogni Malware prima o poi diventa visibile, non
importa quanto sofisticato e protetto possa essere.
Crypter
Esistono due tipi di criptaggi, uno Runtime ed uno Scantime, per una
precisione maggiore:
Se non hai mai visto un Crypter, sono più o meno così, differenziano
tutti in GUI (grafica) ma fanno la stessa cosa:
Neanche i Crypter sono immuni agli occhi degli antivirus, difatti
possono passare diversi mesi prima che il file criptato diventi visibile, ma alla
fine tutti i file maligni come detto prima vengono scoperti.
Cambio Di Icona
Questo metodo non è molto usato perché è molto complesso ma allo stesso
tempo è 90 volte più efficace di un semplice cambio di icona, ma come
funziona?
Per fare questo l’hacker utilizza un Hex editor, se vuoi scoprire di che
programma si tratta, è lo stesso che ho usato prima per mostrarti le stringhe:
Se credevi che i virus fossero solo in formato exe ora non è più così, nelle
comunità underground esistono degli exploit che possono utilizzare un file
word o pdf per creare un downloader che una volta che il documento viene
aperto e la macro eseguita, scarica il file maligno sul sistema.
Questo tipo di file sono invisibili agli occhi degli AV e una volta
cliccati aprono il documento di testo ma allo stesso tempo utilizzando le
macro, piazzano un file eseguibile in una cartella scelta al momento della
creazione del Malware e il sistema viene infettato.
Parlando della versione DOC, questo tipo di strategia funziona per tutti i
sistemi operativi Windows e su tutte le versioni di Microsoft Office fino alla
2016.
Se hai un dubbio su un file doc o pdf che hai ricevuto da una fonte
ignota, o anche nota, più avanti vedrai come potrai aprirlo senza mettere a
rischio il tuo sistema, se vuoi già avere uno strato di protezione, ti basta
bloccare l’esecuzione delle macro sul pacchetto Office.
RootKit
Per chi crede che Windows sia l’unico che può essere colpito da un
Rootkit, basti pensare che il primo è stato sviluppato per il sistema operativo
Linux ed esistono anche per MacOsx, di fatto il primo Rootkit ad essere
sviluppato per quest’ultimo risale al 2009.
Ora che abbiamo visto come possono gli hacker scavalcare le nostre
protezioni è il momento di vedere come e dove distribuiscono i vari tipi di
Malware che abbiamo visto prima.
Prima di tutto una cosa fondamentale da comprendere è che nel 90% dei
casi, non è possibile essere infettati se non si esegue il programma contenente
il virus, nessun Malware può auto eseguirsi, a meno che l’hacker non utilizzi
un Exploit del browser, o abbia accesso diretto al pc e inserisca una chiavetta
USB eseguendone automaticamente il contenuto all’interno
Youtube
Ebbene sì, Youtube è uno dei vettori preferiti dagli hacker per infettare le loro
vittime, in pratica creano un video di 30-40 secondi per adescare le persone e
convincerle a scaricare per esempio un crack di un programma a pagamento
come Photoshop con dentro un Malware, visto che i computer da infettare più
ambiti sono quelli potenti, in genere cercano di mirare alle persone con un PC
da Gaming, in modo da poter rivendere gli account delle vittime, e utilizzare
la loro potenza per massimizzare i profitti tramite un miner di bitcoin.
Questo è uno dei metodi più scelti perché è possibile scegliere il tipo di
vittime da infettare in base ai propri scopi, esistono molti forum che vengono
frequentati da imprenditori, bersagli interessanti per chiunque voglia
effettuare operazioni fraudolente.
Java Drive Applet
Una volta cliccato avvia, l’applet scarica ed esegue un file exe (criptato)
sul pc della vittima e lo infetta con il Malware senza che l’utente abbia
scaricato apparentemente niente, spesso gli hacker utilizzano questa tattica
assieme alle live webcam, per esempio:
Il secondo metodo utilizza l’applet java drive che abbiamo visto prima,
in pratica l’hacker crea una pagina Facebook fasulla dove condivide notizie
di dubbia provenienza, come ipotetiche foto pornografiche di una show girl
famosa, in modo che la persona incuriosita clicchi sul link, accetti l’applet per
visionare le foto o il video e viene infettata.
Dato che il 35% di tutto il traffico mondiale proviene dalla pirateria, gli
hacker la utilizzano per aumentare i loro profitti, e questo numero è destinato
ad aumentare in futuro.
Tempo fa era uno dei metodi più utilizzati da chi voleva iniziare a
mietere qualche vittima ma non sapeva dove iniziare, visto che ci sono
centinaia di persone che ogni giorno scaricano materiale protetto da copyright
illegalmente, non è difficile ottenere 20-30 vittime al giorno solamente
condividendo qualche programma infetto.
Email
Le email sono il vettore preferito per chi cerca di infettare aziende o privati,
l’email permette al malintenzionato di crearsi un’immagine e rendersi
convincente agli occhi del lettore, molti credono che un virus possa essere
solo formato eseguibile, ma prima abbiamo visto che non è sempre così
Questi non sono gli unici canali di distribuzione ma già stare attenti a
questi significa ridurre al minimo il rischio di infezioni, molto spesso gli
hacker creano dei veri e propri programmi con tanto di sito web ufficiale per
far passare il loro Malware come più naturale possibile, stare attenti a cosa si
clicca o scarica può fare una grossa differenza.
Capitolo 7: Adottare Misure Proattive e Retroattive
Per Proteggersi Da Infezioni
Tutto quello che un hacker deve fare, è utilizzare i regsvr32 per lanciare
un remote file inclusion, dove scarica un file maligno dalla rete e lo esegue,
questo è il proof of concept da utilizzare nella shell o cmd:
https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302
Adesso non ci resta altro da fare che creare un secondo admin nel
sistema o reimpostare la password di uno di quelli già in essere, un hacker in
genere sceglierà sempre di crearne un altro al posto di cambiare la password
ad uno già presente in quanto metterebbe in allarme il reparto IT all’istante.
Per creare un altro account, possiamo sia avviare il programma
“compmgmt.msc” da scrivere direttamente nel cmd e si aprirà questo
programma, dopo di che non bisogna fare altro che cliccare su “Local User
and Groups” ed aggiungere direttamente l’account manualmente.
Qui puoi trovare una lista completa di comandi per compiere operazioni
più complesse:
https://technet.microsoft.com/en-us/library/cc771865(v=ws.11).aspx
Come secondo attacco, troviamo i DMA attacks che sono attacchi con
obiettivo la memoria della macchina, funzionano su tutti i sistemi operativi,
ossia Linux, MacOs e ovviamente Windows.
Molti credono che il firewall sia importante, la triste verità è che ogni
Malware che si rispetti ha inserita una speciale funzione per Bypassarli, in
genere non consiglio di installare un Firewal, se avessimo da proteggere
informazioni molti importante come misura precauzionale extra, consiglierei
l’uso di un Firewall hardware.
Ho aperto uno dei file che abbiamo visto prima su Youtube, quando
l’ho aperto è comparsa un’applicazione fantoccio di Steam che mi ha
addirittura consegnato una chiave per scaricare un gioco gratis (chiaramente
non funzionante) e ha decriptato ed estratto un file exe nella cartella temp, da
qui possiamo capire che il file che abbiamo aperto è un Malware, non è
assolutamente normale per un file lecito, droppare file eseguibili di punto in
bianco…più avanti mostrerò come è possibile analizzare il Malware e
rintracciare l’hacker che l’ha distribuito.
Per chi fa davvero sul serio e ci tiene alla propria sicurezza, questa è la
quinta contromisura, mi sento di consigliare questo programma che ti
permette di tenere sotto controllo i tuoi processi attivi e avviare solo quelli da
fonti conosciute e sicure, il suo nome è “NoVirusThanks EXE Radar Pro” ed
è possibile usufruire di una versione di prova per 30 giorni, dopodiché il
costo del software è $19,99, ma a mio avviso li vale tutti.
Link: http://www.novirusthanks.org/products/exe-radar-pro/
Esistono molti provider che offrono servizi del genere online, come
alternativa gratuita consiglio openvpn.net, ma in genere io utilizzo solo
servizi a pagamento che garantiscono anonimato e un forte algoritmo per la
cifratura.
Per finire, ecco un elenco di cose da non fare e da fare, se ti atterrai alle
istruzioni, posso garantirti che le possibilità di prendere un qualsiasi tipo di
Malware sul tuo PC si ridurranno all’1%.
Nessuno può garantire al 100% la sicurezza del tuo sistema, domani gli
Hacker potrebbero trovare una vulnerabilità in Google Chrome o Firefox che
permette di scaricare ed eseguire un file automaticamente, con un Rootkit che
Bypassa tutte le protezioni e si nasconde nel sistema.
Il 99% degli attacchi degli Hacker è User Spot, ossia ha effetto solo se
l’utente clicca un file infetto, quindi dobbiamo essere in grado di riconoscere
l’infezione appena si presenta.
“Apri percorso file”, una volta visto il file, terminarlo sul Task Manger
ed eliminarlo.
Una volta fatta questa operazione, c’è ancora una piccola cosa che
dobbiamo eliminare, ogni Malware si inserisce negli avvii automatici per
essere eseguiti nuovamente al riavvio del sistema, molti posseggono una
funzionalità che si chiama persistenza, ossia se eliminiamo prima l’avvio
automatico, il Malware la ricreerà per potersi riavviare nuovamente, ecco
perché conviene eliminare prima l’exe.
Se non sei pratico probabilmente quasi la metà dei processi che vedrai ti
sembreranno nuovi, per questo ti consiglio di utilizzare un programma come
HijackThis che scansiona automaticamente i tuoi processi attivi e altri
parametri, generando poi un file log che puoi analizzare.
Una volta scansionato il sistema e generato il file di log, non dovrai
analizzarlo tu, ma copiarlo e incollarlo dentro la casella su:
http://www.hijackthis.de/it.
Una volta inseriti i dati che ti verranno consegnati a fine scansione,
clicca analizza e verrai portato su una pagina dove sarà analizzato ogni
processo e vedrai praticamente quali rappresentano una minaccia e di
conseguenza da eliminare.
Questo è uno di quegli argomenti che avrei voluto conoscere anni fa, gli
Honeypots nacquero nel 1990 come tecnica di spionaggio, allora erano solo
per uso militare e non furono divulgati al pubblico fino al 1998 dove venne
rilasciata la prima applicazione commerciale di nome CyberCop.
Il principio degli Honeypot si basa sul fatto che è più semplice catturare
una falena utilizzando una luce al neon che un retino, detto in modo
specifico, gli Honeypot non sono altro che sistemi presenti all’interno o
all’esterno di una rete locale messi lì apposta per essere attaccata e registrare
ogni azioni compiuta dall’hacker.
Production Honeypots
Research Honeypots
Basarsi solo su di loro per una buona difesa è da pazzi, inoltre non
possono proteggere l’azienda quando un virus utilizza un programma benigno
per camuffarsi e far passare dati tramite la rete.
Stendendo un velo pietoso sui firewall, è il momento di descrivere tutti i
componenti di questo specifico Honeypot, come prima cosa, quando un
hacker bypassa il firewall e arriva all’Honeypot, la prima cosa che si attiva è
l’unità di monitoraggio, che si occupa di stabilire il metodo utilizzato
dall’hacker per penetrare nel network, la tipologia di pacchetti e il tipo di dati
contenuto, ossia l’attacco che sta lanciando o ha lanciato verso l’Honeypot, in
più registra tutti i file che sono stati modificati, i tasti che sono stati premuti e
via dicendo.
Come ultima sezione troviamo l’unita di log, una volta che l’attacco è
stato sventato e l’hacker scacciato, gli amministratori di sistema possono
analizzare il tutto accedendo all’unità di log, controllare eventuali bug
utilizzati dal malintenzionato per penetrare nel network e correggere
prontamente i bug, quest’ultima è la cosa più importante che un Honeypot ha
da offrire, la possibilità di essere serviti su un piatto d’argento i punti deboli
della propria azienda dovrebbe far gola a molte aziende, peccato che davvero
pochi li utilizzano seriamente.
Valhala Honeypot
Per chiudere, è possibile anche attivare honeypot per server php o mysql
per proteggere al meglio le tue proprietà web, questi meravigliosi alleati sono
una manna dal cielo per gli amministratori di sistemi, tutti dovrebbero
utilizzarli ed imparare a farne il loro migliore alleato.
Capitolo 10: In Che Modo Rintracciare L’Hacker
Ora che abbiamo chiarito il fattore difesa, quando abbiamo l’eseguibile con
allegato il codice maligno abbiamo due scelte, possiamo eliminarlo, oppure
provare a rintracciare l’hacker ed eventualmente denunciarlo o qualsiasi cosa
si abbia in mente di fare.
In genere chi infetta con il Malware non sono hacker di alto livello, anzi
non dovrebbero neanche essere chiamati hacker ma per convenienza è meglio
chiamarli così, comunque i meno esperti utilizzeranno il proprio indirizzo
email o lo spazio web personale per ricevere i log, chi è alle prime armi
spesso non realizza in cosa si sta cacciando.
I contenuti che possiamo sniffare sono i dati del server FTP che usa
l’hacker per conservare i log delle sue vittime.
Dopo aver installato tutti i driver necessari, non ci resta che aprire il
programma e cliccare sul tasto “capture” in alto a destra, il programma
inizierà a collezionare i pacchetti che passano per la tua rete locale e la
schermata apparirà più o meno così:
Dopo aver cliccato il tasto capture, l’ultimo passo da fare è scrivere
“ftp” nella casella “Filter”, facendo così il programma mostrerà solo i
pacchetti che contengono quella specifica parola, possiamo lasciarlo aperto
qualche ora e se abbiamo avuto fortuna, vedremo una cosa simile a questa:
Una volta che abbiamo rintracciato il nome del server FTP possiamo
contattare l’hosting di appartenenza per segnalare l’accaduto.
Molti hacker alle prime armi come detto prima non prendono molto
seriamente la sicurezza, quindi è possibile trovare uno spazio web intestato ad
una persona reale.
I Malware non sono l’unico metodo che utilizzano gli Hacker per accedere ai
tuoi dati personali, le password sono l’unica forma di sicurezza che protegge i
tuoi dati da occhi indiscreti, e ci sono svariati modi per chi ne ha le
conoscenze di entrarne in possesso, in questa sezione analizzeremo due
metodi più efficaci utilizzati dagli hacker.
Pen Testers – Se gli hacker lo fanno per diletto, i Pen tester lo fanno per
lavoro, è loro compito penetrare nel sistema del loro datore di lavoro, per
istruire gli impiegati a non rilasciare informazioni sensibili sull’azienda.
Governi – Qui parliamo dei maestri assoluti, nessuno è più bravo dei governi
a dare l’illusione al popolo di avere il controllo, Edward Bernays, il padre
delle pubbliche relazioni e nipote di Freud, manipolava le masse tramite il
subconscio, in un suo scritto, sostenne che le persone devono essere
manipolate dai governi, perché la stessa manipolazione è un elemento chiave
per far funzionare la democrazia.
Ci sono due distinti metodi per mettere in pratica questo tipo di attacco,
nel primo caso l’hacker non ha in mente un bersaglio preciso, quindi utilizza
dei programmi che raccolgono tutti gli username di una piattaforma, detti
username scraper, una volta raccolti, lì associano a delle password generiche
e iniziano il processo di cracking, la velocità e l’efficacia del processo
dipende molto dalla qualità della lista che si è procurato ma soprattutto dalla
velocità della macchina.
Questa operazione viene ripetuta per ogni parola che l’hacker ha scelto,
ciò vuol dire che se ci limitiamo a scegliere password che le persone possono
individuare studiando la nostra persona, anche se abbiamo preso precauzione
utilizzando numeri, maiuscole e caratteri speciali, alla fine l’hacker se
persevera riuscirà ad ottenere la password.
Per ovviare a questo problema non dobbiamo fare altro che scegliere
una password più complessa e meno prevedibile, molti scelgono una
password semplice perché hanno paura di dimenticarla, a questo proposito ti
consiglio di scaricare LastPass, un programma che ti permette di gestire tutte
le tue password con una sola Master Password, dopo averla inserita il
programma compilerà automaticamente tutti i campi che necessitano la
password.
Sono quelle mail che ogni tanto arrivano e ti dicono di aggiornare le tue
informazioni bancarie o che la tua password di Facebook è stata
compromessa, nel 99% di questi non dobbiamo preoccuparci in quanto sono
creati da hacker con poca esperienza e l’utente può facilmente riconoscere
attraverso errori di vario tipo, il sito fasullo o errori grammaticali.
Se hai scelto di provare questo script per scopi didattici e caricarlo nel
tuo server locale, i file che a questo punto abbiamo accumulato nella cartella
sono:
Il prossimo passo che l’hacker deve fare per avere una pagina phishing
funzionante è editare il link del bottone “Accedi” e sostituirlo con il proprio
file PHP, prima di tutto dobbiamo aprire il nostro file HTML e cercare la
parola “action” sostituire il link presente all’interno con il nostro file php e
cambiare il comando del tag method da “post” a “get”.
L’ultimo passo da fare per l’hacker è caricare i file presso uno spazio
web e impostare i permessi affinché lo script funzioni a dovere, ossia 777 per
il file di testo.
Ora sai praticamente come fanno gli hacker a creare pagine phishing,
questo è il metodo migliore, alcuni hacker alle prime armi non arrivano a
questi livelli, basta guardare le pagine phishing che utilizzano…almeno
quelle che arrivano nella mia posta elettronica sono sempre poco credibili.
google.com/landing/2step/
Per gli altri fornitori dovrebbe essere più o meno la stessa cosa, naviga
tra le impostazioni e controlla se c’è qualche strumento come quello sopra
che può aiutare a rendere più sicuro il tuo account.
La tua password può essere rubata anche da persone che hanno accesso
alla tua rete Wi-Fi in un modo abbastanza semplice (per chi lo sa fare).
Tra poco scoprirai perché devi fare sempre attenzione a qualsiasi
“ospite” fai collegare anche volontariamente sulla tua rete Wi-Fi o alla
password da impostare per ottenere un livello di sicurezza ottimale.
Capitolo 12: Anonimato E Protezione Dati Sensibili
Questo è uno dei temi caldi del momento, non solo i malintenzionati ma
tutti vogliono capire come restare anonimi per riconquistare un briciolo di
privacy, la buona notizia è che alcuni metodi utilizzati dagli hacker, possono
applicarsi benissimo sia all'utente medio che quello un po’ più navigato.
Un’altra cosa che è bene nascondere è il Referrer Url, ossia il sito da cui
si è partiti per arrivare al sito target, per esempio, directorybanke.it a
Bankpincopallo.it, quindi può essere utilizzato per tracciare i movimenti di
qualsiasi persona su internet, per firefox c'è una semplice soluzione per
nascondere questo parametro, basta digitare nella barra degli indirizzi
"about:config" e cercare "network.http.sendRefererHeader", una volta
trovato, impostare il valore su 0 ed il gioco è fatto, mentre se si vuole
installare un plug-in, basta cercare RefControl, ultimamente alcuni siti stanno
utilizzando la tecnologia HTML5 Canvas per tracciare a marchiare il tuo
browser con un numero identificativo unico, come un impronta digitale, a
questo c’è un esenzione sperimentale che blocca questo di nome
CanvasBlocker
Come ultima cosa ci sono i cookie, che servono per tracciare la tua
attività, spesso quando vai su un sito per acquistare qualcosa e poi vedi quella
stessa pubblicità dappertutto, sono proprio loro, possiamo disabilitarli, ma
presto noteremo che non ci sarà possibile avere accesso ad alcuni siti, molti
utilizzano l'eliminazione automatica dei cookie appena si termina la sessione,
ma pochi sanno che esistono dei cookie "a lungo termine" che non vengono
cancellati con questa procedura, per ovviare a questo problema, basta
scaricare l'esenzione "BetterPrivacy" e il problema è risolto.
• HTTPS Everywhere
• Privacy Badger
• µMatrix
La connessione in genere passa per tre nodi, ma non è una regola fissa,
in realtà a volte sono anche quattro o cinque, ad ogni nodo la connessione
viene criptata con una chiave diversa ogni volta e viene decodificata al nodo
d’uscita in modo che il server onion possa comprendere la richiesta, come
vediamo in questo diagramma sotto:
Decifrare questi dati può richiedere anni, alla fine tutte le forme di
sicurezza possono essere nullificate, la debolezza di Tor sta nei suoi nodi e
nei vari passaggi, il messaggio viene criptato completamente quando arriva
verso la fine del nodo, come può qualcuno intercettare la nostra connessione
o tracciare proprio la nostra richiesta tra milioni di altre?
In realtà ci sono dei metodi per tracciare il nostro uso di Tor, mettiamo
il caso che le autorità competenti ti stanno tenendo d’occhio da un po’, con
un furgoncino sono parcheggiati sotto casa tua, e dopo aver violato la tua rete
Wi-Fi ora stanno sniffando tutte le tue comunicazioni, se stai utilizzando Tor
non riceveranno altro che dati incomprensibili, quindi aspetteranno un tuo
passo falso per procurarsi un mandato, entrare in casa tua e sequestrare tutto
quello che gli possa sembrare incriminante, ovviamente il tuo computer o
laptop è la prima cosa che guarderanno.
Utilizzeranno vari tools e strategie che non tratterò in questo libro.
Avendo appurato l’uso di Tor si può proseguire a copiare tutti i dati per
poi analizzarli, tra i dati sensibili che si possono recuperare troviamo:
• TORBROWSERINSTALL-(Versione)-(Hash Indirizzo).pf
• TOR.EXE-(Hash Indirizzo).pf
• START TOR BROWSER.EXE-(Path Hash).pf
Questi file se analizzati con specifici programmi adatti allo scopo, come
Internet Evidence Finder, possono svelare la data di installazione, la prima
esecuzione di Tor, l’ultima esecuzione ed il numero di esecuzioni totali.
Per esempio, visitiamo un sito non per forza sulla rete Tor, quando
finiamo di caricare la pagina, un codice javascript si esegue e da istruzioni al
browser di ricaricare la pagina ogni 30 secondi, dato che Tor è spesso lento,
molti lo disabilitano momentaneamente per caricare la pagina, appena
succede il browser aggiorna la pagina, e il server cattura il tuo vero ip.
Tor è formato da tanti volontari che mettono a disposizione risorse per far
crescere la rete, tutti possono oggi creare un server e metterlo a disposizione
della rete, e fin quando sono persone affidabili, non c’è nessun problema, ma
cosa succede quando un malintenzionato crea un server Tor con l’unico
scopo di scoprire informazioni? L’exit Snooping.
Proxy Anonimo: Questo invece come si evince dal nome, nasconde il tuo
indirizzo ip, l'unico problema è che rende noto al server che stai utilizzando
un proxy, e questo può causare tutta una serie di problemi, come
l'impossibilità di caricare alcune pagine, o l'amministratore del server può
semplicemente bandire l'ip.
Spesso questo tipo di VPN sono lenti e tracciano ogni piccola azione
che fai, quindi se ti interessa almeno un minimo della tua privacy, ti
sconsiglio caldamente di utilizzarli.
Dato che il VPN passa i dati della tua connessione tramite un server si può
erroneamente pensare che rallenti la connessione, in realtà non è sempre così.
Anche qui non sono d’accordo, i VPN non sono nati per permettere alle
persone di compiere azioni illegali e farla franca, ma bensì di bypassare
restrizioni geografiche e poter accedere a siti web che nel tuo paese non sono
accessibili, come per esempio qualche mese fa, Netflix non era disponibile in
Italia e chi voleva usufruire del servizio doveva munirsi di un VPN.
https://ita.privateinternetaccess.com
Ora dobbiamo identificare tutti gli host presenti sulla nostra rete locale,
per fare questo si preme la freccia blue e selezionare “All hosts in my subnet”
Una volta che ha acquisito gli ip collegati alla rete, può identificare i
vari computer collegati alla rete cliccando “Resolve HostName” sull’ip,
il prossimo passo è quello di lanciare un APR Posioning, verso uno
specifico computer o vari, prima di cliccare ok, bisogna aprire
WireShark.
Aperto WireShark, dobbiamo impostare questo comando nella tabella
filter “http.cookie”, appena i cookie sono raccolti, è possibile interrompere il
processo:
user=25425420;
pass=14254520;
id=205001;
Una volta recuperate questi dati, l’Hacker deve aprire lo strumento per
gestire I cookie, sostituire i dati suoi a quelli della vittima e ricaricare la
pagina, se tutto è riuscito, ora l’Hacker starà scrutando Facebook in cerca di
informazioni sensibili.
• cloudcracker.com
• crackstation.net
Mi sono sentito di fare questa distinzione, perché ogni volta che si parla
di deep web, c’è sempre questo velo di ignoranza dato dalla pesante
disinformazione presente in rete, di solito le immagini che ci sono online,
descrivono il deep web in questo modo:
C’è più internet in quello che non vediamo che in quello che vediamo,
infatti la portata del deep web si aggira intorno al 95% di tutti i contenuti
internet presenti online, oltre 7.5 petabytes di informazioni nascoste, mentre
il dark web comprende solamente lo 0.03% di tutte le risorse internet che
ammontano ad un misero 20 terabytes di informazioni.
Anche se 0.03% può sembrare davvero poco per il dark web, basta
pensare che un Marketplace di droghe illegali “Silk Road” ha fatturato in 2
anni più di 1 bilione di euro, è un risultato impressionante se calcoliamo la
quantità di persone che accede al dark web ed il mercato di nicchia.
Voglio specificare che non è detto che sul dark web tutto quello che si
vende o compra debba essere illegale, ma è sempre meglio tutelarsi e
rimanere il più anonimi possibile per evitare problemi in futuro.
Andando avanti nel tempo, per la precisione nel 2013, avevo ancora un
portafoglio di Bitcoin, non li utilizzavo più dato che ormai ero
completamente fuori dal giro, non sapevo davvero che uso farne finché di
punto in bianco il 30 novembre ricevo una telefonata, è il mio ex compagno
del team, che mi chiese se avessi ancora i miei Bitcoin, io gli dissi di sì,
quindi lui mi consigliò di controllarne il valore, quando lo vidi mi prese un
colpo, 1 BTC era arrivato a valere più di 1000 USD, fu così che mi interessai
di nuovo a questo tipo i tecnologia e iniziai studiarne meglio il
funzionamento, l’anonimato e alcuni metodi per proteggerli.
Siamo giunti alla fine, in questo libro ho voluto portarti dietro le quinte e farti
scoprire tutti i trucchi che gli hacker usano OGGI per entrare nel tuo
computer e come puoi appunto difenderti in modo efficace utilizzando le
strategie e le conoscenze possedute da tutte le aziende che hanno a cuore la
sicurezza dei loro dati.
Tu, non potrai più essere raggirato così, ora sai che niente è come
sembra e che gli antivirus non possono proteggerti, ogni volta che starai per
aprire un file, fermati a riflettere prima a cosa potrebbe essere, anche se non
sembra nulla di pericoloso.
Se vuoi reperire i programmi citati nel libro per testare la sicurezza del
tuo sistema o azienda simulando un attacco, devi sapere che alcune delle
risorse citate sono a pagamento, sconsiglio sempre di utilizzare per i tuoi
acquisti carta di credito o conto Paypal in quanto sono tracciabili, utilizza i
Bitcoin per fare questo tipo di acquisti.