CREA UNA

www.hackerjournal.it N.265 agosto/settembre

SUPER CHIAVETTA
Fai avviare da USB tutti gli strumenti e le
distribuzioni di sicurezza che ti servono

Dal 2002 tutto quello che gli altri non osano dirti

Il malware nelle
pieghe di NTFS
Il filesystem di Windows contiene
il nascondiglio perfetto per i virus

Duplica i dischi come

TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA

un esperto forense
Recupera tutti i dati, anche quelli
nascosti, senza danneggiare hard disk
e chiavette di memoria

L’anonimato
è un tuo diritto!
Esplora le tecniche migliori per nascondere il tuo
Una minaccia indirizzo IP e non farti riconoscere e spiare dal sistema
etica
Ecco com’è nato
il worm che è stato
liberato su Internet
allo scopo di
pentesting
I sistemi di autenticazione delle
telefono da hacker
La prova completa del PinePhone,
migliorare le difese Web app a volte si bucano con lo smartphone pensato per darci
dei server online un’istruzione SQL: verificalo subito! il pieno controllo sul dispositivo
 SPECIALE

IN EDICOLA
DAL 5 AGOSTO

DIVENTA UN HACKER PROVETTO

CON LE TECNICHE E I TRUCCHI SEGRETI
SVELATI DAI NOSTRI ESPERTI
Scansiona il QR Code

Acquistala su www.sprea.it/hacking
versione digitale disponibile dal 2 agosto
 EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Ventoy, kernel iOS, anonimato in Rete,
PinePhone, bug di Azure, SQL injection,
data carving, Ublock Origin, avvio
multiboot, worm etici e molto altro.

L’
argomento dell’articolo di copertina riguarda
il diritto a navigare in maniera anonima in Rete,
un diritto che ogni hacker pretende senza se
e senza ma. Il discorso è complicato: dal punto
di vista strettamente legale, l’ordinamento italiano non
riconosce un generale diritto all’anonimato, salvo norme
speciali per alcuni casi. Se però consideriamo il fatto
che la Rete è transnazionale e se guardiamo alla
Dichiarazione dei diritti di Internet, approvata nel luglio
2015 (https://bit.ly/hj265_dichiarazione), troviamo una
tutela palese dell’anonimato (articolo 10). Non stiamo
a disquisire qui sul valore legale di tale dichiarazione:
ci preme però sottolineare il fatto che in un momento
storico in cui i dati legati alla nostra persona o alle nostre
abitudini di navigazione vengono usati nei modi più CONTATTI
disparati dalle grandi aziende, dobbiamo poter avere uno
REDAZIONE
strumento per difendere la nostra identità. Questo è
redazione@hackerjournal.it
ancora più vero quando capitano cose di questo genere:
ABBONAMENTI
una corte di giustizia californiana ha ordinato a Glassdoor E ARRETRATI
abbonamenti@sprea.it
(sito in cui gli impiegati e gli ex impiegati recensiscono www.sprea.it/digital
anonimamente la propria azienda) di rivelare i nomi degli
FACEBOOK
ex lavoratori del produttore di giocattoli Zuru che hanno www.facebook.com/
hackerjournal/
espresso critiche pesanti solo perché questi impiegati non
risiedono negli USA ma in Nuova Zelanda... SITO WEB
www.hackerjournal.it
 Il prossimo num0ero sara
re
in edicola dal 2 ottob

SOMMARIO ABBONATI ALLA

VERSIONE DIGITALE
SOLO PER PC E MAC
A SOLI 19,90 €
DURATA ABBONAMENTO: 1 ANNO
www.hackerjournal.it/abbonamenti

HACKTUALITÀ
News
Notizie e anticipazioni dell’universo hacker................................................................ 06

COVER STORY
L'anonimato è un tuo diritto
Esplora le tecniche per nascondere il tuo indirizzo IP ............................................. 08

PinePhone | Smartphone da hacker!

Il test di un telefonino basato su GNU/Linux..............................................................18

Speciale | Come nascono i miei siti Web

Un pirata ti svela come crea siti Web nascosti nel Dark Web........................... 22

Vulnerabilità | Un cloud troppo condiviso

Un difetto in un servizio Azure permette l’accesso alle risorse di altri utenti... 24

NOI RISPETTIAMO L’AMBIENTE!

Hacker Journal è stato stampato
su carta certificata PEFC, proveniente
da piantumazioni a riforestazione programmata
e perciò gestite in maniera sostenibile

M IGL IORARE
A I
P
U
R
T
E
A
F
C
EI
RA
I TA!
A T UA R I V ISTA
L .ly/hackerjo
/bit
urnal
Vai su https:/questionario anonimo
e compila il
 4
 Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”

S
Kernel iO
SICUREZZA
Mela bacata | Un voucher per l’accesso al kernel iOS
Ecco come un malintenzionato usa un attacco race condition per eseguire
codice malevolo sul dispositivo dell’ignara vittima.......................................................28
Pentesting | Filtri lato client, prima parte
Aggiriamo i filtri nei form di input per attaccare al cuore le Web app....................... 32

> 28

H OW T O
Data Carving | Duplicazioni da pro 40
Creare una copia certificata di un disco per recuperare dati senza causare rotture.... 40

Online protetti | Navigazione 100% sicura

Rendi la navigazione su Internet priva di pubblicità, sicura e attenta alla privacy...46

USB Boot | La chiavetta dell’hacker

La soluzione per avere a portata di mano tutte le distro di sicurezza......................... 48
DATA CAR
Filesystem | Alla scoperta di NTFS, sesta parte VIN G
Avete mai sentito parlare di Alternate Data Streams?............................................................. 52

> 58
HACKULTURE
Worm | Ecco Hopper, il worm etico
Serve per creare pentest automatici senza causare danni alla Rete.......................... 58

tt o ri , le risposte de lla redazione > 60

Le do m a n d e d e i le
POSTA
 HACKTUALITÀ

N#SITEO WS E il p
p
ir
r o
a t
la
a d
p
is
o r
s
t
e
ie
:
r
“p
a"
r e go,

HACKING QUEST
le a
Da diversi mesi collaboriamo #VULNERABILITÀ Se hai un’auto Honda, un criminale potrebbe
con l’autore del sito Hacking
aprire le portiere e avviare il veicolo da remoto senza chiave
Quest (thehackingquest.net),
ma non abbiamo mai parlato
di questo progetto.
Nelle quattro sezioni principali
(Blog, H4ckernov3l, Tools
S econdo il team di ricercatori Kevin2600 e un esperto della società di
sicurezza informatica Star-V Lab, esiste una vulnerabilità che consente
agli aggressori di rubare il codice inviato nell’etere dal sistema remoto senza
e CTF), troviamo un gran chiave (Rke) usato in alcuni modelli di auto Honda (ma non solo) per
numero di articoli e risorse sbloccare o avviare a distanza un veicolo. Il team Kevin2600 ha
che possono farci crescere soprannominato l’attacco Rolling-PWN e ha pubblicato dei filmati che
nel nostro percorso per dimostrano l’attacco, oltre a un rapporto tecnico dettagliato sulla
diventare esperti di sicurezza.
vulnerabilità appena scoperta (https://rollingpwn.github.io/rolling-pwn/).
Oltre a riproporre tutti gli
Il National Vulnerability Database lo ha definito un “Attacco di
articoli pubblicati su HJ tratti
risincronizzazione contatore” e gli ha assegnato il CVE-2021-46145.
dai vari capitoli del libro The
Fallen Dreams (nella sezione Considerandola una grave vulnerabilità, Kevin 2600 ha rivelato di
H4ckernov3l), le pagine del identificare il bug in una “versione vulnerabile del meccanismo dei codici
sito ospitano le soluzioni mobili”, che viene utilizzata nella maggior parte delle auto Honda.
dettagliate di un paio di CTF La vulnerabilità consente a un hacker di aprire la portiera dell’auto in modo
che consigliamo a tutti di permanente e avviare il motore da una distanza considerevole.
leggere con attenzione. Anzi,
visto che è possibile scaricare
le macchine virtuali usate per
realizzare le sfide, potete
provare voi stessi a superarle!
Molto utile poi la sezione Blog,
che contiene altri articoli di
approfondimento. Infine, Tools,
con la breve descrizione di
svariati software usati dagli
esperti di sicurezza.

 6
 NEWS
Il bot social dalle CUSTODIA
ANTI CRACKER!
mani lunghe #PROTEZIONE Creata da una
startup, protegge i nostri cellulari
#ATTACCO È stato individuato un chatbot di Messenger
utilizzato per rubare dati d’accesso a Facebook

L a startup Cirotta (https://cirotta.

U na nuova campagna di phishing è stata scoperta dai ricercatori
di sicurezza di Trustwave (www.trustwave.com/en-us/).
Questa campagnia prevede l’utilizzo dei chatbot di Facebook
Messenger e ha l’obiettivo di rubare le credenziali dell’utente.
Secondo l’analisi di Trustwave di questa nuova campagna di
phishing, i chatbot impersonano il personale di assistenza clienti del
social network. Questi robot, quindi, dirottano le pagine
costringendo gli
utenti a inserire le
credenziali per quella
pagina Facebook.
I chatbot e i siti Web
dannosi sono stati
rapidamente rimossi
dopo il rapporto
di Trustwave.
com), con sede a Tel Aviv, ha
introdotto un metodo rivoluzionario
per prevenire l’hacking dei telefoni
cellulari e le violazioni della privacy
dei dati. La società ha convertito
con successo custodie per
smartphone in dispositivi di sicurezza
a tutti gli effetti. I case possono
anche impedire ai criminali
informatici di abusare dei microfoni
da remoto e bloccare il rilevamento
della posizione sovrascrivendo i dati
GPS. Non è tutto; i case anti-hacking
possono annullare il monitoraggio
delle connessioni Wi-Fi e Bluetooth
e compensare la comunicazione NFC.
Il prezzo della custodia parte da
$ 200, una cifra alta, ma che vale la
pena investire per la protezione dei

YTStealer ti frega
propri dati. Il pubblico di destinazione
dei case attualmente include

il canale!
istituzioni/funzionari della sicurezza,
del governo e dell’esercito, dirigenti
di alto profilo e VIP. Le custodie sono
disponibili in due modelli: Athena
e Universal. Athena è compatibile
con un’ampia gamma di modelli di
smartphone di fascia alta, inclusi
iPhone 12 Pro, iPhone 13 Pro,
Samsung Galaxy S22.

#MALWARE Creator YouTube in pericolo! o ulteriormente compromessi per distribuire malware

ad altri utenti. Il malware esegue prima i controlli

I
l team Intezer (www.intezer.com) ha individuato
un nuovo malware soprannominato YTStealer, che
prende di mira canali YouTube. Indipendentemente dalle
dimensioni del canale, il malware ruba i cookie di
autenticazione. Dopo aver raccolto le credenziali,
l’attaccante può, in pratica, fare quello che vuole.
Di conseguenza, gli account di alto valore vengono
solitamente messi in vendita sul Dark Web
anti-sandbox utilizzando lo strumento Open Source
Chacal (https://github.com/p3tr0v/chacal) prima
di essere eseguito nell’host. Se il dispositivo infetto
è ritenuto appropriato, YTStealer ispeziona i file
di database del browser per individuare i token di
autenticazione dei canali YouTube. Per convalidarli,
il malware avvia il browser Web in modalità headless
per mantenere l’intera operazione nascosta alla vittima.

7 
 HACKTUALITÀ im ato è un tu o diritto!
R STO RY: L’a n o n
COVE

L’anonimato
è un tuo diritto!

La guida pratica per

navigare su Internet
senza svelare
l’elemento che vi
identifica univocamente:
l’indirizzo di rete
In collaborazione con thehackingquest.net

 8
L
a seconda puntata della serie The Fallen
Dreams, tratta dall’omonimo romanzo,
pubblicata nel numero 246 di Hacker Journal,
riportava questa frase: “In alcune tribù
la rinuncia all’identità è una difesa contro
l’annientamento”. Per un hacker nascondersi
e cambiare identità diviene una necessità al fine
di non essere identificato. Il sistema così come è
congeniato, fagocita la nostra identità, immettendola
in algoritmi di profilazione e sistemi di controllo
sempre più avanzati. Le nostre stesse informazioni
vengono rigurgitate sotto i nostri stessi occhi ogni
giorno, favorendo un’unilateralità di pensiero
e controllo… e se ci riflettete, ogni volta in cui in un
sistema manca la “diversità”, il sistema non evolve:
in biologia come nella vita di tutti i giorni. Ecco che
diventa vitale allora, non solo per noi ma per tutti,
preservare ciò che ci diversifica l’uno dall’altro
e difenderlo, salvaguardando la propria individualità.
In questo articolo vedremo quindi alcuni modi
per guadagnare l’anonimità in Rete.
All’URL https://pastebin.com/pa9VaK8W
trovate alcuni acronimi che potranno tornarvi
utili per la lettura.
IP ADDRESS
L’acronimo, ormai famoso, sta per Internet
Protocol Address e costituisce l’indirizzo univoco
che identifica un dato dispositivo all’interno di una
rete di calcolatori. Viene rappresentato da una
stringa, formata da un codice numerico di quattro
campi separati da un punto. Ognuno dei quattro
campi numerici può assumere un valore da 0 a 255:
avremo quindi in totale un indirizzamento da
0.0.0.0 sino a 255.255.255.255. Ogniqualvolta
ci connettiamo a Internet, il nostro Internet Service
Tre fattori per essere anonimi in Rete
C om’è facile intuire, come prima cosa, avremo bisogno di offuscare e nascondere il nostro IP sorgente.
Per farlo, è necessario usare una combinazione di vari fattori che vedremo nel dettaglio
successivamente in questo articolo: utilizzo di una rete Wi-Fi pubblica; utilizzo della rete Tor; utilizzo di un
servizio VPN anonimo, magari pagandolo in contanti oppure con una criptovaluta anonima come Monero.
Provider (ISP) ci fornisce una “targa” univoca
con cui circolare e che ci portiamo dietro qualsiasi
cosa facciamo all’interno della Rete.
Solitamente l’ISP non si limita solo a darci
la targa, ma custodisce l’assegnamento e quindi
i log per un determinato tempo (anni).
L’indirizzo IP, rappresenta quindi la via più ovvia
per tracciare e localizzare qualcuno. Di seguito,
troviamo diversi link utili per ottenere molteplici
informazioni su uno o più IP.
• Identifichiamo il nostro IP:
- https://resolve.rs/
- https://www.dnsleaktest.com/ (in aggiunta,
possiamo ottenere ulteriori informazioni sui DNS)
• Identifichiamo il nostro IP oppure un altro
qualsiasi:
- https://resolve.rs/ip/geolocation.html
• Verifichiamo se un dato IP è stato segnalato
o marcato come sospetto:
- https://mxtoolbox.com/blacklists.aspx
- https://www.virustotal.com/gui/home/search
- https://iknowwhatyoudownload.com
- https://www.abuseipdb.com/
• Otteniamo informazioni con cui è stato
registrato un dato IP:
- https://whois.domaintools.com/
- https://centralops.net/co/
• Eseguiamo uno scan sull’IP al fine di ottenere
servizi, porte o dispositivi appartenenti al dato IP:
- https://www.shodan.io/host/[indirizzoIP]
’
• Tool per eseguire check, come block-list checker:
- https://browserleaks.com/ip
- https://www.whatismyip.com
• Vogliamo controllare/assicurarci di essere
connessi tramite rete Tor?
- https://check.torproject.org
9 
 HACKTUALITÀ im ato è un tu
R STO RY: L’a n o n
COVE
Med ia A c c e s s C o n tro l (M A C )
È
chiamato anche indirizzo fisico ed è un codice
di 48 bit assegnato in modo univoco
a una device card (una scheda circuitale),
nota come Network Interface Card (NIC)
o più semplicemente scheda di rete, che ha
il compito di trasformare in segnali elettrici
le informazioni che trasmettiamo sulla rete.
L’indirizzo fisico del NIC è il MAC Address
e ogniqualvolta un indirizzo IP viene associato
mediante il protocollo TCP/IP, il MAC Address
viene collegato all’hardware della scheda di rete.
L’indirizzo MAC è composto da sei ottetti separati
da un trattino, per esempio: be-a0-f0-7a-48-71.
Le prime sei cifre (i primi tre ottetti) del MAC,
solitamente in notazione esadecimale,
sono detti Organizationally Unique Identifier
(OUI) e identificano il produttore dell’interfaccia
di rete. Le successive cifre rappresentano il numero
di serie della scheda di rete. Se siamo a conoscenza
dell’indirizzo MAC possiamo ricercare i dettagli
relativi al produttore. Solitamente all’interno
di una distro Linux è già presente il database OUI
e per individuarlo possiamo utilizzare il comando
$ locate oui.txt
Come noterete, il file sarà presente all’interno
della directory /var/lib/ieee-data/oui.txt.
Se così non fosse, basterà scaricarlo dall’indirizzo
 10
o diritto!
http://standards-oui.ieee.org/oui/oui.txt con wget:
$ wget http://standards-oui.ieee.org/oui/
oui.txt
Il database è un file di testo che potremmo
interrogare mediante un modulo di Python3
oppure utilizzando direttamente il tool ouilookup.
Per installarlo utilizziamo il comando
$ pip3 install ouilookup
Avviamo l’interprete Python3 digitandone il nome
nel terminale ($ python3) e importiamo il nostro
modulo Ouilookup.
>>> from OuiLookup import OuiLookup
Eseguiamo il test di lookup sull’indirizzo MAC del
nostro router attingendo dal file oui.txt:
>>> OuiLookup().query(‘08:00:27:D3:34:59’)
NASCONDERE IL MAC
Le successive indicazioni risultano utili quando si
effettua la connessione da una rete Wi-Fi pubblica.
Sui sistemi Linux, per esempio, potremmo
utilizzare il tool macchanger.
1 Disattiviamo temporaneamente la nostra
figura #1
 interfaccia di rete per poter fare le modifiche.
ifconfig eth0 down
2 Eseguiamo il cambio dell’indirizzo MAC:
macchanger -m 00:d0:70:00:20:20 eth0
3 Riabilitiamo l’interfaccia eth0:
ifconfig eth0 up
Domain Name System (DNS)
figura #2
Q
uando navighiamo verso un determinato
sito Internet, per esempio https://
thehackingquest.net/, il DNS si occupa
di tradurre il nome nel corrispettivo indirizzo IP.
L’esempio ricorrente che viene fatto è quello della
guida telefonica: se vogliamo contattare il Sig.
Mario Rossi, cerchiamo nell’elenco telefonico
il numero associato al nome. In maniera analoga
i browser Web interagiscono tramite gli indirizzi IP
e interrogheranno il servizio DNS per ottenere
l’indirizzo IP del sito thehackingquest.net.
Per impostazione predefinita, in maniera analoga
all’IP, il servizio DNS viene fornito dall’ISP e
automaticamente configurato dalla rete a cui siamo
connessi. Anche per le richieste che coinvolgono
il DNS vengono registrati costantemente i log. Vale
a dire che l’ISP è a conoscenza di qualsiasi dato
4 Verifichiamo che il MAC sia
effettivamente cambiato [figura #1].
ifconfig eth0
Sui sistemi Windows potremmo:
• premere il tasto Win e cliccare su Impostazioni;
• selezionare Rete e Internet e cliccare su Wi-Fi;
• selezionare la rete a cui siamo connessi e sotto
la voce “Random hardware address” selezionare
“On/Off” oppure “Change daily”.
di navigazione effettuato online dall’utente.
Solitamente la manipolazione dei DNS permette
anche, semplicemente, di censurare la navigazione
o implementare blocchi. Se l’IP fornito dal DNS
non è quello corrispondente al sito che vogliamo
navigare, verremo reindirizzati a un’altra pagina,
arbitrariamente scelta dall’ISP. Non essendo le
richieste criptate, un potenziale malintenzionato o
l’ISP stesso potrebbero intercettare (con un attacco
denominato Man-In-The-Middle) le richieste fatte e
venire a conoscenza di cosa il corrispettivo indirizzo
IP sta navigando. Inoltre, molteplici dispositivi,
come le console per videogiochi e le Smart TV,
hanno codificato in maniera predefinita un dato
server DNS, rendendo il bypassing attraverso i
settaggi praticamente inutile. Introduciamo adesso
alcuni concetti, che ci serviranno successivamente.
11 
 HACKTUALITÀ im ato è un tu
R STO RY: L’a n o n
COVE
figura #3
HYPER TEXT TRANSFER PROTOCOL (HTTP)
È il protocollo utilizzato sul Web per la trasmissione
delle informazioni client-server [figura #2]:
• utilizza la porta 80 per la comunicazione;
• le richieste viaggiano attraverso la porta 80,
usando una sequenza di caratteri che identificano
univocamente l’indirizzo di una risorsa, conosciuto
come Uniform Resource Locator (URL);
• i dati viaggiano in chiaro.
SSL E TLS
Sono protocolli utilizzati per stabilire sessioni
criptate in una rete di computer. Il protocollo SSL
fu successivamente ribattezzato TLS nella sua
versione più recente. Viene utilizzato un file o una
password elettronica che prova l’autenticità del
dispositivo e che prende il nome di certificato
digitale. Il certificato digitale viene a sua volta
rilasciato dalla Certificate Authority, un terzo
soggetto pubblico o privato, definito “trusted”
(fidato), tramite una procedura standard.
HTTP CON SSL/TSL: HTTPS
Proviamo adesso a fare uno step in più e vediamo
come viene stabilita una sessione HTTPS.
1 Il Web server che desideriamo contattare avrà
precedentemente ottenuto un certificato digitale
valido dalla Certificate Authority. Il certificato
digitale conterrà [figura #3]:
- l’identità del sito Web, per esempio:
thehackingquest.net;
- la Certificate Authority Signature (Il Timbro di
Approvazione) che dimostra che il sito è genuino,
autenticato e la sua identità è stata verificata
e certificata;
- la Chiave Pubblica utilizzata, che rappresenterà
metà della chiave di decriptazione.
2 Il Web server contattato invierà al client il suo
 12
o diritto!
certificato di autenticità e genuinità.
3 Il client genererà a sua volta una Session Key
che verrà utilizzata in futuro per criptare l’intera
comunicazione tra client e server [figura #4].
4 A questo punto la Public Key del certificato verrà
usata per criptare la Session Key.
5 La nuova chiave così generata verrà utilizzata per
criptare la sessione client-server, dando origine a
una comunicazione di tipologia HTTPS [figura #5].
Da notare che qualsiasi comunicazione criptata
con la chiave pubblica può essere decriptata
con la chiave privata. Qualsiasi comunicazione
criptata con la chiave privata può essere
decriptata con la chiave pubblica.
ANONIMI CIFRANDO IL DNS
Una potenziale soluzione per garantirci
l’anonimato potrebbe essere quella di criptare
le richieste DNS attraverso l’HTTPS.
Questa tecnica è chiamata per l’appunto DNS over
HTTPS (DoH). Una più efficace soluzione sarebbe
utilizzare un canale criptato sfruttando il
collegamento TLS: DNS over TLS (DoT),
sostituendo il server DNS remoto con uno
“personale” hostato (magari) in un pi-hole.
Esistono due motivi, però, per cui tale soluzione
non garantisce comunque il completo anonimato.
Il primo dipende dal Server Name Indication
(SNI). Supponiamo di spedire un pacco a un dato
indirizzo: potrebbe darsi che l’indirizzo identifichi
un “condominio” e non una “singola abitazione”.
Quando l’informazione dovrà essere recapitata
a un condominio sarà necessario inserire,
oltre all’indirizzo, anche il numero
dell’appartamento in cui il destinatario alloggia.
figura #4
In caso contrario, il pacco potrebbe non essere figura #5
consegnato affatto oppure essere recapitato alla
persona sbagliata. Molti server Web sono più simili
a condomini che ad appartamenti. Se anche lo SNI
non è protetto da crittografia, i nostri sforzi per
l’anonimato potrebbero essere vanificati. I browser
che supportano l’Encrypted Client Hello (ECH),
anche conosciuto come eSNI , sono quelli basati
sull’Open Source Firefox. Ma avremo bisogno
di abilitare tale opzione (non settata di default).
Vediamo come si fa.
1 Lanciamo Firefox.
2 Nella barra degli indirizzi, digitiamo about:config
3 “Accettiamo il Rischio” e continuiamo.

figura #6
4 Clicchiamo su Show All per visualizzare l’elenco
completo della configurazione [figura #6].
5 Cerchiamo il valore network.dns.echconfig.
enabled (settato a false, di default).
6 Settiamolo a true cliccando sulle frecce a destra,
alla voce corrispondente al valore.
7 Cerchiamo il prossimo valore:
network.dns.use_https_rr_as_altsvc
8 Impostiamo anche questo valore su true
cliccando sulle frecce a destra, alla voce
corrispondente al valore.
9 Riavviamo il browser.
Un paio di note:
– è molto interessante notare come
per le piattaforme Amazon, Microsoft, – in alcuni Paesi come Russia e Cina le opzioni
Google, Apple, Reddit, YouTube, Facebook, di privacy relative a ECH/eSNI non sono consentite.
Instagram, Twitter e GitHub, ECH e eSNI Vale a dire che, se sono abilitate, non è possibile
non siano supportati; stabilire connessioni HTTPS.

Nascosti con OCSP

U
na parte del processo HTTPS TLS
è conosciuta come OCSP, un protocollo
che permette di verificare la validità
di un certificato. Diversi browser basati su Firefox
trasmettono un numero seriale del certificato
del sito Web che stiamo navigando, con una
conseguente perdita di metadati. È quindi
possibile risalire al sito di navigazione
confrontando i numeri del certificato.
Anche in questo caso, potremo garantirci
l’anonimato utilizzando i browser basati su
Firefox/Tor abilitando l’opzione OCSP stapling.
1 Lanciamo Firefox e digitiamo about:config
nella barra degli indirizzi.
2 Clicchiamo su Show All per visualizzare l’elenco
completo della configurazione.
3 Cerchiamo il valore security.ssl.enable_ocsp_
stapling (impostato a true di default).

13 
 HACKTUALITÀ im
ti a a
l to
m aè u
lw n
a tu
re tota! !
itu
cohdeirm
: L
A tt
’a neonn
COVER STORY
4 Modifichiamo il valore da true a false ulteriore contromisura non ci garantisce il
[figura #7]. completo anonimato. La sola valida alternativa è
All’URL https://bit.ly/hj265_cert trovate una lista l’utilizzo dei DNS attraverso la rete Tor: Oblivious
che spiega come i vari browser interagiscono con DNS over HTTPS (ODoH). Troviamo le istruzioni
l’OCSP. Ma, ancora una volta, l’utilizzo di questa nell’omonimo box presente in queste pagine.

figura #7

Che cos’è la rete Tor?

Il progetto Tor nacque nel 1997 allo scopo di
proteggere le comunicazioni dei servizi segreti
degli Stati Uniti. Fu portato avanti dalla DARPA
e infine sdoganato al grande pubblico attraverso
l’associazione no profit The Tor Project.
Attualmente, il principale sponsor del progetto
è l’organizzazione internazionale per la tutela dei
diritti digitali e la libertà di parola. L’effettivo scopo
di Tor è quello di salvaguardare l’anonimato degli
utenti, preservando i dati del traffico Internet
da una possibile analisi. La casualità della
distribuzione dei pacchetti attraverso un percorso
sconosciuto, passando da router a router,
stabilisce di volta in volta una comunicazione
criptata e cancella le tracce a ogni passaggio,
rendendo attacchi come il Man-in-the-Middle quasi
impossibili [figura #8]. La figura mostra uno
schema semplificato del funzionamento della rete
Tor: l’informazione parte dal nostro computer,
entra in quello che viene chiamato Entry Guard
e attraversa successivamente un certo numero
di Middle Relay(s) in maniera pseudo casuale.
Infine giunge a un Exit Relay da cui il traffico esce
in maniera non criptata verso il server di
destinazione. Durante il percorso all’interno della
rete Tor, il traffico è completamente criptato.
L’Entry Guard (o Entry Relay) conosce l’IP sorgente
dell’informazione da trasmettere, ma non conosce
che cosa state trasmettendo. L’Exit Relay può
esclusivamente leggere il traffico in chiaro (se non
è opportunamente criptato), ma non conosce chi
lo ha trasmesso.

IMPOSTARE TOR
Per scaricare il browser Tor possiamo fare
riferimento al sito ufficiale: www.torproject.org/
download/. La prima cosa che avremo bisogno
figura #8

 14
di impostare sono i livelli di security-setting,
ne esistono tre:
• Standard – tutte le funzioni vengono abilitate
(incluso JavaScript);
• Safer – JavaScript viene disabilitato sulle pagine
non HTTPS; alcuni font e simboli vengono
disabilitati; di default qualsiasi “media” viene
impostato come “click to play”;
• Safest – JavaScript viene disabilitato su tutte
Virtual P ri va te N e tw o rk (V P N )
La VPN garantisce l’anonimato ruotando il traffico
Internet attraverso una connessione criptata
su server privati. Uno dei problemi, tuttavia,
è proprio questo: chi garantisce che i “server privati”
utilizzati come ponte per ruotare il traffico siano
sicuri o che i dati non vengano venduti o passati
a terze parti? La maggior parte delle persone
ha un’idea sbagliata dei servizi “privacy-oriented”
e tende a credere che i servizi che garantiscono
delle policy di “no-logging” o “encyption” siano
Hardening Firefox
Prenderemo qui di seguito in esame le imposta-
zioni avanzate da attivare per hardenizzare (confi-
gurare in modo sicuro) il nostro browser Firefox in
favore dell’anonimato.
• Nella homepage di Firefox facciamo click su Per-
sonalizza e deselezioniamo/disattiviamo tutto.
• Apriamo le Impostazioni, spostiamoci alla voce
Ricerca e cambiamo il motore di ricerca.
• Alla voce Privacy e sicurezza:
- selezioniamo Invia sempre “Do not Track”;
- impostiamo Protezione antitracciamento
avanzata su Personalizzato;
- Cookie: seleziona tutti i cookie di terze parti
- Tracciamento Limitato/contenuto: in tutte
le finestre
- Controlla Cryptominer
- Controlla impronte digitali
• Andiamo su Credenziali e password e desele-
zioniamo Chiedi di salvare le credenziali d’ac-
le pagine; alcuni font e simboli vengono
disabilitati; di default qualsiasi “media” viene
settato come “click to play”.
Nella maggior parte dei casi l’opzione “Safer”
andrà bene. Per selezionarla basta cliccare in alto
a destra sul menu e selezionare Settings;
nella nuova finestra, a destra, cliccate sulla voce
Security and Settings; scorrete sino alla voce
Security e selezionate l’opzione Safer.
sicuri. In realtà dimenticano che tali servizi sono
orientati al business e pertanto sottostanno
alle regole del denaro e, in aggiunta, sono soggetti
alle leggi del paese in cui operano. In qualsiasi
momento le forze dell’ordine potrebbero ottenere
un mandato legale per fare irruzione nel datacenter
e ottenere i dati di cui hanno bisogno. Il modo
migliore di procedere è acquistare una VPN
utilizzando una criptovaluta (Monero), adottando
una soluzione VPN over Tor over VPN.
cesso ai siti web.
• Andiamo in Permessi, poco più in basso, e impo-
stiamo così le varie voci:
- Posizione, Fotocamera, Microfono, Notifiche, Re-
altà virtuale: spuntiamo Blocca nuove richieste…
- Riproduzione automatica: selezioniamo Disat-
tiva Audio e Video
- Controlliamo che siano attive le voci Blocca le
finestre pop-up e Avvisa se un sito web cerca di
installare un componente aggiuntivo;
• Alla voce Raccolta e utilizzo dati di Firefox di-
sattiviamo tutto.
• Alla voce Modalità solo HTTPS scegliamo l’opzio-
ne Attiva in tutte le finestre.
Fatto questo, c’è tutta una serie di impostazioni da
modificare dalla pagina di configurazione che ap-
pare digitando about:config nella barra degli URL.
Potete leggere tutte le modifiche da fare all’URL
https://pastebin.com/BB5TKUVv.
15 
 HACKTUALITÀ im
re
ti aua
l to
m
n a
s èlw
it u
o n
w
a e
tu
re bcohdeirm tota! !
itu
OR
STTO Y
RY::BL
A’a n
tt
lo cec
onn
a
COVER S
VPN OVER TOR OVER VPN essere localizzati anche se i server VPN dovessero
Una delle opzioni più importanti quando si utilizza cedere i nostri dati a terze parti. Ecco alcuni esempi
una VPN è quella del Kill Switch, che impedisce di layer VPN:
al device dove la VPN è in utilizzo di effettuare • Mullvad – https://mullvad.net/it/
connessioni nel caso in cui la VPN si interrompesse • iVPN – https://www.ivpn.net/
in maniera accidentale. • Safing – https://docs.safing.io/portmaster/install/
Usare diversi layer ci permette di aumentare linux
l’entropia fra noi e il nostro target, in modo da non • ProtonVPN – https://protonvpn.com/it/

Usiamo l’Oblivious DNS

over HTTPS over Tor
Potremmo sviluppare il nostro sistema utilizzando una
Raspberry Pi con Raspbian Lite oppure su una distro
Debian o Ubuntu. Per i nostri test utilizzeremo una di-
stro Debian.
Per prima cosa assegniamo alla macchina che farà da
server DNS un IP statico andando a editare il file “inter-
faces” che si trova nella cartella /etc/network. Usiamo
un editor di testo, nel nostro caso vim:
vim /etc/network/interfaces
Editiamo il file ipotizzando di assegnare all’interfaccia
eth0 l’indirizzo IP 192.168.0.100 e relativo gateway:
auto eth0
iface eth0 inet static
address 192.168.0.100/24
gateway 192.168.0.1
supporta i protocolli DNS cifrati. Per prima cosa, scari-
chiamo tramite wget l’ultima versione di DNSCrypt:
wget https://github.com/DNSCrypt/ dnscrypt-proxy/
releases/ download/2.0.44/dnscrypt-proxy- linux_
x86_64-2.1.1.tar.gz
Scaricato il file, estraiamolo con
sudo tar zxvf dnscrypt-proxy-linux_x86_64-2.1.1.tar.gz
-C /opt/
Per evitare di dover configurare tutto a mano, copiamo
il file di configurazione d’esempio:
sudo cp /opt/linux-x86_64/ example-dnscrypt-proxy.
toml /opt/linux-x86_64/ dnscrypt-proxy.toml

Poi installiamo Tor con
sudo apt install tor
Ora dobbiamo configurare il socks-proxy su Tor.
Per farlo editiamo il file /etc/tor/torrc. Rimuoviamo
il commento alla seguente riga (cioè cancelliamo il sim-
bolo # a inizio riga), in modo che l’opzione sia attiva:
SocksPort 9050 # Default: Bind to localhost:9050 for
local connections
Fatto? Ora installiamo DNSCrypt, abilitiamo di default al
boot e avviamolo:
sudo /opt/linux-x86_64/dnscrypt-proxy -service install
sudo systemctl enable dnscrypt-proxy
sudo systemctl start dnscrypt-proxy
Non ci resta che far puntare il nostro client al server DNS
appena creato. Per esempio, ipotizzando che il nostro
client utilizzi una distro Ubuntu, possiamo editare il file /
etc/resolv.conf impostando il seguente parametro:

Installiamo dnscrypt-proxy, un proxy per i DNS che nameserver [IP del Server DNS]

 16
hackerjournal.it

Il punto di riferimento per chi fa dell’hacking

una filosofia di vita
La crew di Hacker Journal ti aspetta ogni giorno sul suo nuovo sito Web, il ritrovo della sua ricca comunità
hacker. Troverai anticipazioni degli articoli, news dal mondo della (in)sicurezza, contest, offerte speciali e
un forum che vuole essere il punto di riferimento per chiunque voglia diventare un esperto di sicurezza.
In un periodo storico in cui governi e multinazionali si divertono a spiare tutto e tutti, sulle
pagine della rivista e sul suo sito scoprirai come difenderti e contrattaccare. #HJisBACK

Scopri il sito e la comunità di Hacker Journal

Forum: iscriviti subito e inizia a dialogare con la redazione e la comunità di HJ
• News: le ultime notizie su cyberintrusioni, furti
di credenziali, bug, malware e altro ancora
• Contest: metti alla prova le tue conoscenze
con i giochi e le sfide della redazione
• Collezione HJ: i vecchi numeri della rivista,
in PDF, da scaricare
• Invia un articolo: ti piace scrivere e hai un’idea
originale per un articolo? Inviacela e la valuteremo!
 HACKTUALITÀ
SMARTPHONE
DA HACKER!
sm artphone pensato per donare il controllo
Abbiamo provato uno
le sul dispositivo. Ecco com’è andata
tota
D
a sempre cerchiamo
un modo per avere
Linux sullo smartphone
così da avere sempre
in tasca un device rispettoso
della nostra privacy.
Nel corso degli anni, prodotti
simili hanno avuto scarsa fortuna.
Il primo che avevamo provato, per
esempio, Openmoko, non ha
avuto vita lunga ed era davvero
troppo complesso per l’utente
“normale”. Da qualche tempo
si è affacciato sul mercato un
nuovo device che, speriamo, avrà
miglior sorte: PinePhone (https://
www.pine64.org/pinephone/).
È basato su un processore ARM
Quad-Core Allwinner A64 a 1,152
 18
GHz e 3 GB di RAM e lo abbiamo
ordinato spendendo circa 247
dollari tra prezzo del telefono
e della docking station, costi
di spedizione e dazi doganali.
Lo abbiamo rivoltato come un
calzino per capirne pregi e difetti:
ecco com’è andata!
LE DISTRO DISPONIBILI
Il sistema operativo dello
smartphone, all’inizio, va installato
su una scheda microSD, per poi
essere spostato nella eMMC. Per
scoprire le distro Linux disponibili
si parte da qui: https://bit.ly/
hj265_pp_distro. Cosa vogliamo?
Dal nostro punto di vista,
il minimo sindacale: ossia
inviare/ricevere telefonate/SMS,
funzionamento di Wi-Fi e 4G,
un browser per navigare in Rete.
Se poi c’è anche uno “store”
per installare applicativi, tanto
meglio. Con questi parametri
in mente, dal sito https://xnux.
eu/p-boot-demo/ abbiamo
recuperato un’immagine
per microSD contenente ben
16 distro che abbiamo provato.
All’URL https://pastebin.com/
iEMvPqCs potete vedere il nostro
giudizio su di esse. In generale,
la maggioranza delle distro
provate era poco reattiva,
ma il problema è da ricercarsi
sicuramente nel fatto che girano
su una microSD: installando
 PINEPHONE

LA DISTRO SCELTA: MOBIAN

C
ostantemente aggiornata, Mobian è una
Debian 11 per AMD64 con interfaccia
Phosh che abbiamo installato su eMMC
per beneficiare delle sue migliori prestazioni
rispetto alla lenta microSD. È possibile
ricevere/inviare sia SMS che telefonate e
abbiamo subito installato Telegram-desktop
che non ci fa certo rimpiangere WhatsApp.
Manjaro è oggettivamente un passo avanti,
ma da vecchi debianisti che amano
“smanettare” abbiamo scelto più con il cuore
che con la testa. L’applicativo tweaks
consente ritocchi su dimensione e tipologia
dei font più altre configurazioni per migliorare
l’aspetto dell’interfaccia Phosh. Inoltre,
giocando anche sulla configurazione
del display, si può ridurre lo zoom dallo
standard 200% a 150% o 100%: bilanciando
zoom e dimensione dei font, si potrà giungere
al miglior compromesso possibile.

il sistema su eMMC i risultati sono
certamente diversi. Alcune distro,
invece, erano proprio lente,
a nostro giudizio a causa di scelte
infelici come l’uso di interfacce
grafiche pesanti (KDE) che
su hardware di questo genere
proprio non andrebbero usate.
L’INTERFACCIA PER POVERI
Sviluppata a partire dal 2018,
Phosh (fusione tra Phone e Shell)
è un’interfaccia utente progettata
espressamente per cellulari:
si tratta di un rimaneggiamento
dell’ambiente desktop GNOME
per poter funzionare su display
sensibili al tocco.
Senza fronzoli ed essenziale,
è stata adottata da molte distro
per telefonini. In poche parole:
per funzionare funziona,
ma le icone sono bruttine e l’aria
generale è un po’ trascurata. Forse
basterebbe uno sfondo colorato
al posto del “nero tenebra” per
alleggerire i toni, come fatto dalla
distro Majaro, a cui dovrebbero
ispirarsi tutti gli altri manutentori
di distro per PinePhone che hanno
scelto Phosh come interfaccia
utente. Ma passiamo ora ad altri
aspetti di questo smartphone.
LA BATTERIA
Caricato al 97% e lasciato sul
tavolo senza fare alcun tipo
di operazione, dopo due giorni
e mezzo la batteria segnava
il 27% di carica residua, cosa
che può essere considerata
un successo. Infatti per problemi
al software di gestione
dell’alimentazione e delle
ottimizzazioni nella gestione dei
consumi, solo un paio di mesi
prima la batteria sembrava
una damigiana rotta, tanto
velocemente si “svuotava”, mentre
ora si vede che il software è stato
sistemato. Resta il fatto che una
batteria da 3.000 mAh su un
hardware del genere penalizza
un po’ troppo l’autonomia
nel caso di utilizzo intenso.
LE FOTOCAMERE
Entrambe le fotocamere, frontale
da 2 MP e posteriore da 5 MP,
sono palesemente inferiori alle
pretese di ogni utente medio: la
scelta nasce evidentemente per
motivi di contenimento dei costi
e/o più probabilmente per motivi
di driver di controllo. Purtroppo
va rimarcato che le immagini sono
di bassa qualità: i colori bluastri,
metallici, irreali. L’app per scattare
le foto, all’inizio lenta oltre
l’usabilità, è migliorata con il
tempo ed è maturata, anche se
deve fare altri passi in avanti.
MODEM, IL NEMICO IN CASA
Il Quectel EG25-G è il chipset che
si occupa della comunicazione
vera e propria: Wi-Fi, Bluetooth,
fonia, dati… fa tutto lui! In realtà
è un sistema autonomo con
una propria CPU e un firmware
dedicato che è un vero e proprio
sistema operativo proprietario,
indipendente dall’hardware sul
quale è montato. Se per i chipset
Wi-Fi sono pochi i modelli gestibili
da software Open Source, per il
modem siamo in una situazione
pessima: alla data di scrittura
di questo articolo, non ci è noto
alcun software Open che possa

19 
 HACKTUALITÀ
gestirlo degnamente. Siccome
i progettisti del PinePhone sanno
che l’uso di firmware proprietari
non è una cosa buona, l’unica
soluzione è stata quella di “tagliare
il male a metà” usando dei chipset
con software proprietario ma
ingegnerizzandoli nel telefono
in modo sicuro. In altre parole, tali
periferiche non sono fisicamente
connesse a RAM e/o eMMC ma
solo alla CPU tramite connessione
seriale: in tal modo vengono
utilizzate come unità ”slave”,
agendo unicamente dietro ordine
La scheda madre nuda: a destra dell’enorme E-25 si notino i microinterruttori e i sei pad del bus
di espansione.
 20
della CPU. In questo modo
possono eseguire le attività
che gli vengono imposte essendo
impossibilitati a eseguire eventuali
azioni “maliziose”. Per il GPS,
accedere alle coordinate
geografiche è ancora macchinoso
e fattibile solo tramite riga
di comando.
SICUREZZA E
“SMANETTABILITÀ”
Tolta la cover, oltre alle due baie
sovrapposte per scheda SIM
e microSD, osserviamo uno dei
punti di forza del PinePhone: sei
microswitch che permettono di
“staccare la spina”, cioè isolare
elettricamente le due telecamere,
il microfono, l’altoparlante. Chicca
che ingolosirà i più “geek”
tra i nostri lettori, il jack audio
è convertibile in porta seriale,
per un rapido accesso di debug
e controllo a linea di comando.
Inoltre i progettisti hanno operato
per rendere facilmente accessibile
l’hardware: niente incastri, colla,
dentini di plastica che saltano, ma
solo piccole viti di fissaggio e strip
 PINEPHONE
di connessione facilmente In generale, è
manovrabili. La lista dei necessario avere
componenti e gli schemi elettrici versioni “leggere”
sono a disposizione sul sito degli applicativi,
pine64.org, permettendo quindi a compilate per
chi è capace di usare un saldatore la piattaforma
di intervenire per aggiornamenti, e non quelle
modifiche o riparazioni. Ma il fiore pensate per
all’occhiello del sistema sono sei la potenza
pin che espongono una linea I2C elaborativa di un
più l’alimentazione: questo vero Opta Core per PC.
e proprio “bus di espansione” In più di sei mesi
apre la via all’espandibilità, cioè la di utilizzo
possibilità di sviluppare hardware abbiamo notato
aggiuntivo da parte di chiunque un costante
per creare estensioni, espandendo miglioramento
quindi le possibilità d’uso del nel software:
telefono. La docking station è una autonomia della
“ciabatta” collegabile al PinePhone batteria, stabilità
tramite USB-C che permette dell’interfaccia,
di connettere un cavo Ethernet, velocizzazione
due USB 2.0 e un cavo HDMI. dei programmi.
Insomma, il PinePhone è a tutti Ma c’è ancora
gli effetti un “computer palmare molto da fare.
telefonico” rapidamente Le prestazioni
trasformabile in un desktop sono quelle
da un lato e dall’altro in una di un hardware
piattaforma “smanettabile” economico, ma il
da progettisti hardware (se cercate costo per l’utente
su GitHub “pinephone”, trovate finale è alto
più di trecento pagine con i più perché il progetto
svariati progetti). non può
beneficiare delle
PRESTAZIONI economie di scala
Se per la maggior parte delle date dalla
attività (telefonate, SMS, produzione L’interfaccia Phosh ha ancora l’aria
Telegram, ecc.) possiamo definirlo di centinaia da “Android per poveri”, ma la si può
accettabile, per la navigazione di migliaia personalizzare.
Internet non è ammissibile dover di esemplari.
aspettare 25-30 secondi tra La nota dolente è il lato software, hardware, se vi piace
il “tap” sull’icona di Firefox mediamente ancora immaturo. programmare, modificare,
e la disponibilità del browser. Vale la pena comprare questo migliorare.
Molto meglio il programma di smartphone?
navigazione di default su Mobian, Sì, ma solo se
il rapido Web, che richiede solo siete degli hacker, PinePhone nasce dagli
tre secondi per attivarsi. se volete essere
Comunque siamo ben lontani veramente padroni
stessi creatori del SBC
dall’immediatezza di Android. del vostro Pine A64 e del Pinebook

21 
 HACKTUALITÀ
“Come nascondo i miei siti Web”
Ogni giorno nascono nuovi siti pirata che offrono, gratuitamente, tera e tera di materiale protetto
da diritto d’autore! Come è possibile tutto ciò? Ecco cosa è emerso dalle nostre ricerche
S
olo in Italia esistono deci-
ne di siti pirata (e illegali)
che offrono gratuitamente
contenuti streaming di tutti i tipi:
serie, film, cartoni animati, pro-
grammi televisivi e dirette, come
partite di calcio e canali televisivi.
Dietro ogni portale di questo tipo
c’è un grande lavoro da parte di
chi li gestisce e, se fatto in maniera
scrupolosa permette al sito stesso
di non “morire” mai e rinascere
dopo l’oscuramento da parte degli
ISP (Internet service provider) e
delle forze dell’ordine.
Offrire materiale illegale in stre-
aming e gratuitamente porta le
major a chiedere provvedimenti
all’AGCOM, l'Autorità per le ga-
ranzie nelle comunicazioni, che
non molto tempo fa – per citarne
una – ha ordinato l’oscuramen-
to del dominio cb01.co ma che
successivamente, è stato riaperto
con i nuovi nomi a dominio: cb01.
movie e cb01.tel.
A questo punto, la domanda che
ci siamo posti è stata la seguente:
i pirati che gestiscono questi siti
come fanno a rimanere anonimi?
Quali servizi usano per garantire
la loro privacy? E come fanno a
rimettere in piedi i siti di strea-
ming così in fretta? Cosa ci guada-
gnano, visto che questi contenuti
vengono forniti gratuitamente?
Noi della redazione abbiamo
cercato di capire come e perché
questo Web-illegale, nonostante
abbia mille ostacoli, riesca a man-
tenersi continuamente in piedi.
Come sceglie il nome
a dominio il pirata?
Il pirata che vuole aprire un sito
Web per offrire contenuti video
“Su http://bit.ly/sitonamecheap non ci è stato richiesto nessun documento
di riconoscimento per registrare un nuovo nome a dominio”
 22
IL PIRATA SI CONFESSA
cerca un nome adatto a quest’ul-
timo, utilizzando quelli ideali
per il suo scopo, come ad esem-
pio filmeserietv.moda oppure
gratispertutti.co, formati dall’in-
sieme di parole chiave (keyword)
che gli utenti del Web inseriscono
banalmente in un motore di ricer-
ca per raggiungerli in modo più
semplice e veloce. Siti di questo
tipo sono i primi che compariran-
no quindi tra i risultati: ed ecco il
primo trucco usato dai pirati!
Dove registra
il sito Internet?
Attraverso servizi di registrazio-
ne (assolutamente legali!, ndr)
come Namecheap (http://bit.
ly/sitonamecheap) o GoDaddy
(http://bit.ly/sitogodaddy) i pirati
acquistano il dominio. È comune
la pratica di acquistare più nomi a
dominio, come ad esempio filme-
serietv.live, filmeserietv.red, ecc.,
da utilizzare come riserva in ca-
so il dominio principale venisse
oscurato dalle forze dell’ordine. La
registrazione del dominio prevede
l’inserimento, da parte del pirata, di
informazioni personali più o me-
no veritiere. In redazione abbiamo
proceduto alla registrazione di un
sito via Name Cheap: ovviamente
abbiamo inserito tutti dati reali,
ma il sito non ci ha mai richiesto di
caricare nessuna carta di identità o
patente per identificarci in maniera
univoca.
Per una privacy al top
Come ulteriore pratica di “buona
anonimizzazione” di sito e intesta-
tario dello stesso vi è poi quella di
attivare particolari servizi di terze
parti come, ad esempio, Whoi-
Ecco i dati condivisi da un sito pirata di streaming (a sinistra) e un sito
legale (a destra). Abbiamo usato un servizio Lookup che visualizza le
informazioni legate alla registrazione di un dominio Internet.
sGuard (http://bit.ly/sitowhoi-
sguard).
Chiunque può fare un controllo
comparando due siti, uno legale
e un altro non: rechiamoci su uno
dei tanti Lookup (come ad esem-
pio: http://bit.ly/sitolookup) e digi-
tando ad esempio un sito “che non
ha nulla da nascondere”, vengono
visualizzate tutte le informazioni
che lo riguardano: dominio, ser-
ver, intestatario, data di scadenza
della registrazione, ecc. Se invece
cerchiamo informazioni riguardo
a un portale illegale (che per ov-
vie ragioni, oscureremo), alla voce
Contact Information troviamo
proprio le seguenti: Organization:
WhoisGuard, Inc. e Mailing Ad-
dress: Panama, PA. Segno che
chi ha messo in piedi il sito vuole
mantenere le proprie informazioni
private. Ma di questo ne parleremo
più avanti. È opportuno comun-
que chiarire che il servizio Whoi-
sGuard non è un servizio illegale:
chiunque, per qualunque motivo,
può avere la necessità di oscurare
le proprie informazioni personali.
Come blocca
la concorrenza
Per garantire fluidità di naviga-
zione agli utenti, anonimato al
gestore del sito e filtrare attacchi
informatici provenienti da altri
pirati “concorrenti” viene in aiuto
Cloudflare (http://bit.ly/sitoclou-
dflare), servizio che in sostanza
memorizza le pagine di un sito
Web (cache) mantenendole sui
propri server per poterle servire
più velocemente al navigatore del
sito e migliorarne l’esperienza.
Il servizio viene scelto principal-
mente, per tre motivi: velocizzare
il caricamento delle pagine Web,
mantenere il livello di sicurezza
elevato (filtrando gli utenti in-
desiderati e attacchi informatici
di tipo DDOS) e perché offre un
piano base gratuito.
Anche in questo caso è impor-
tante sottolineare che il servizio
Cloudflare è assolutamente legale
e, in molte situazioni è davvero
utile. Ovviamente i pirati lo sfrut-
tano a loro vantaggio per perse-
guire i loro illeciti.
Dove nasconde i video?
Il pirata intento ad aprire un sito
Web che offre contenuti in stre-
aming, ha la possibilità di sce-
gliere il tipo di servizio hosting
da utilizzare: uno proprietario
La redazione

(Housing), l’altro di terze parti
tramite servizi di Web Hosting
Provider. Qual è la differenza tra
i due? Il primo, consente di cari-
care i contenuti sul proprio sito
per renderli visibili a tutti, quindi
su uno o più server di proprietà
del pirata stesso; in questo modo
egli ha pieno controllo sui file ma
si assume tutti i rischi in caso di
attività illecita, poiché il materiale
viene divulgato dallo stesso am-
ministratore.
Mentre scegliendo un servizio
hosting di terze parti, la ripro-
duzione di contenuti visivi viene
effettuata su piattaforme esterne,
chiamate comunemente cyber-
lockers o servizi di video hosting.
Quest’ultima scelta rappresenta
l’opzione preferita dai pirati, per
ovvi motivi legali.
Un portale streaming siffatto offre
per ogni titolo, la locandina, la
trama e altre informazioni con
tanto di collegamenti a siti di terze
parti che ospitano fisicamente il
contenuto.
Meglio hosting
o housing?
Qual è il rischio peggiore nello
scegliere l’opzione di video ho-
sting? Poniamo ad esempio che
esista un sito chiamato “A” e che
offra la visione di contenuti, e
il sito “B” è quello che ospita fi-
sicamente i video. Il rischio di
“appoggiarsi” a siti terzi da parte
di “A” è rappresentato dal fatto
Alcuni siti illegali
di streaming hanno
addirittura un canale
Telegram per facilitare
la ricerca dei film e
informare l’utente
in caso di cambio di
dominio.
che se il contenuto venisse elimi-
nato dal sito “B”, ad esempio per
problemi dovuti a violazione del
copyright, anche “A” non offrirà
più quel contenuto. Ciò implica
che il sito “A” noterà una dimi-
nuzione delle entrate monetarie
e di traffico utenti.
In questi casi l’amministratore
del sito “A” dovrà intervenire tem-
pestivamente dopo ogni segna-
lazione di broken link (link non
funzionante) da parte degli utenti.
In genere, per motivi legali, i pirati
preferiscono scegliere il servizio
di hosting così da non avere fi-
sicamente memorizzati sui loro
server i film e le serie TV di cui
non detengono i diritti di utilizzo.
C’è chi non cancella
i film neanche sotto
minaccia...
Nel caso in cui la major cinema-
tografica che detiene i diritti sui
contenuti piratati decida di far in-
tervenire l’AGCOM, quest’ultima
pretenderà la rimozione del con-
tenuto incriminato contattando
direttamente l’hosting provider
che ospita il sito.
Non è raro, però, che l’hosting pro-
vider si rifiuti di adempiere ai suoi
obblighi, ragion per cui l’AGCOM
è costretta a oscurare il portale
pirata tramite richiesta diretta
agli ISP locali (Internet Service
Provider).
Ciò accade di sovente quando gli
hosting provider contattati si tro-
Il sito vk.com è il social
network più grande
della Russia e promette
di connettere le persone
tramite semplici strumenti
tecnologici. Peccato che venga
sfruttato anche dai pirati dello
streaming che lo usano come
un gigantesco hard disk
di rete nel quale caricare
migliaia di film protetti
da diritto d’autore.
vano in nazioni in cui le leggi in
materia di copyright sono difformi
dalle nostre, come accade talvolta
in Romania, Panama, Lituania...
Quanto guadagna
il pirata?
Partiamo dal fatto che esistono
tre fonti di guadagno per questa
tipologia di siti: la prima prevede
l’inserimento di banner e popup
pubblicitari che “inondano” l’u-
tente dopo aver cliccato un link.
Molto comune poi è anche l’inse-
rimento di tasti falsi che anziché
avviare lo streaming aprono ul-
teriore pubblicità.
La seconda fonte di guadagno è
rappresentata dal far sottoscrivere
un abbonamento al fruitore del
servizio che dovrà pagare men-
silmente una esigua somma di
denaro. Quest’ultima viene ge-
neralmente utilizzata dai siti che
condividono illegalmente i flussi
video delle TV satellitari.
La terza tipologia permette di
vedere contenuti in maniera to-
talmente gratuita senza banner
e popup vari ma in questo caso il
sito contiene uno script che usa le
Vuoi scoprire quanto guadagna
approssimativamente un sito?
Punta il browser su http://bit.ly/
calcolaguadagnosito e digita il nome del
sito Web da analizzare... ne vedrai delle
belle! CNET.com, ad esempio, guadagna
più di 6.000$ al giorno!
risorse della CPU del PC dell’uten-
te al fine di minare cryptomonete.
Quest’ultima pratica è in disu-
so, a causa degli scarsi risultati:
i guadagni erano molto bassi ed
in più i visitatori lamentavano
un eccessivo sfruttamento delle
risorse hardware del proprio PC.
Per avere un’idea del guadagno,
si va a studiare il Click per Mille
SPECIALE
Questo articolo
è tratto da Win
Magazine Speciale
n.2: 116 pagine che
raccolgono un gran
numero di idee per hackerare
Windows e l’hardware, muoversi
nel Dark Web e navigare in totale
anonimato. www.sprea.it/hacking
(CPM), ossia le entrate generate
per ogni 1.000 visualizzazioni. Il
CPM varia da sito in sito e dalla
qualità del traffico ricevuto: se gli
utenti sono di origine statuniten-
se, ad esempio – quindi di fascia
medio-alta – i ricavi saranno mag-
giori da chi proviene dall’India.
Ogni visitatore che utilizza il por-
tale Web con contenuti in strea-
ming visualizza almeno uno o più
banner pubblicitari, ciò significa
avere almeno un’impression per
visitatore.
Se consideriamo le visite mensili,
la formula che stima i guadagni di
un sito Web è la seguente:
Nome_Sito = visite mensili / 1000
impressions * CPM
In ogni caso per avere le stime di
guadagno di un sito online con lo
stesso dominio da anni, possiamo
consultare SiteWorthTraffic (ht-
tp://bit.ly/calcolaguadagnosito).
Ovviamente i costi in entrata
vengono utilizzati anche per
mantenere online il portale, che
se famoso e molto utilizzato, pos-
sono arrivare anche a milioni di
dollari all’anno. Ricordi Megau-
pload? Aveva affittato 25 petabyte
di spazio su server e durante il suo
periodo di attività, lo staff pagò più
di 65 milioni di dollari a hosting
provider nei vari Paesi nel mondo!
23 
 HACKTUALITÀ
UN CLOUD
TROPPO
CONDIVISO
GLOSSARIO
DI BASE
CRON
Un “cron” è quello che su
Windows viene chiamato
“pianificatore di operazioni”.
Si tratta di uno strumento che
permette di eseguire script
su un sistema in orari
o eventi predefiniti.
Così come è utile su
una singola macchina,
può esserlo sul cloud.
JWT
I JSON Web Token sono
uno standard che ha ormai
preso molto piede per
l’autenticazione tra due
software. La comodità è data
dal fatto che le informazioni
sono trasmesse nel formato
JSON, molto facile da gestire
con qualsiasi linguaggio Web,
server o client side.
SANDBOX
Si tratta di un ambiente
di prova, per testare nuove
funzionalità senza agire sulle
applicazioni in produzione.
Ma può anche indicare
un ambiente isolato
da tutte le altre app.
 24
Un difetto nella progetta
rmette
zione di un servizio
a chiunque di ottenere
Micro soft Az ur e pe
i per l’accesso alle risorse di altri utenti
token valid
e spazio cloud
come macchine virtuali
M
icrosoft non ha una
grande reputazione
per quanto riguarda
il mondo server, prova
ne è che Windows Server e IIS sono
utilizzati su una minoranza delle
applicazioni su Internet. La sua
piattaforma cloud, però, è tra le
maggiori. Questa piattaforma, come
le concorrenti, offre un gran numero
di servizi differenti: non soltanto
macchine virtuali, ma anche storage,
container, database gestiti
e automazioni. Microsoft chiama
quest’ultimo servizio Azure
Automation e offre la possibilità
di realizzare, sostanzialmente,
dei cronjob. Si possono eseguire
porzioni di codice in una sandbox,
che non sappiamo esattamente
come funzioni (ma sembra essere
un qualche tipo di container).
Il riserbo tipico delle soluzioni closed
source ci impedisce di sapere
esattamente come sia progettata
questa soluzione ma, come spesso
accade, non ha realmente protetto
il servizio dai tentativi di forzatura.
A cura di
Luca Tringali
SANDBOX IN UNA VM CONDIVISA
Tutti i servizi possono essere
vulnerabili, alcuni però risultano
più facili da forzare e altri meno.
Certo, l’esperto di sicurezza che
ha individuato la falla in questione
sostiene di avere impiegato appena
due ore per capire come sfruttarla
per accedere ai dati di altri utenti.
Ma, almeno, Microsoft è anche stata
abbastanza rapida a risolvere il bug.
La vulnerabilità nasce proprio da
come il servizio era implementato.
Era permesso l’upload di uno script
Python o PowerShell, che veniva
poi eseguito dentro una sandbox,
la quale a sua volta si trovava in una
macchina virtuale. Il fatto è che
questo servizio poteva poi essere,
anche se in modo minimale,
controllato dall’interfaccia Web
di Azure. Quindi ci doveva essere
un qualche collegamento tra
la sandbox e l’esterno, anche se
magari nascosto. La cosa curiosa
è che non era poi così nascosto.
Navigando all’interno della sandbox,
l’esperto di sicurezza ha trovato uno
 LISTATO #1 VULNERABILITÀ
Orchestrator.Sandbox.Diagnostics
Critical: 0 : [2021-12-06T12:08:04.5527647Z] Creating asset retrieval web service.
[assetRetrievalEndpoint=http://127.0.0.1:40008]

strano file di log chiamato trace. utenti. La domanda, quindi,

log, il cui contenuto è mostrato
nel [listato #1]. Osservando
le righe del listato salta
immediatamente all’occhio un
dettaglio: il numero della porta
esposta. Quello a cui si fa
riferimento è evidentemente
un servizio HTTP che fornisce
dei file, presumibilmente riservati,
che sta in ascolto su localhost
(ma sappiamo bene che spesso
le porte dei container o delle
sandbox hanno un bind verso
l’esterno). Ma avrebbe potuto
stare in ascolto su una porta
più “normale”, invece di avere
un numero così alto e, almeno
apparentemente, così arbitrario.
Di solito, per situazioni di questo
tipo c’è una spiegazione semplice:
è stato scelto quel numero
perché, evidentemente, altri
erano già occupati. Per esempio,
impegnati in applicazioni di altri
è: quale servizio viene esposto
su queste porte?
JWT PER TUTTI
Visto che l’eseguibile (per essere
precisi, è una libreria .NET)
è presente nella macchina
accessibile dall’utente, si può
provare a ricostruire il codice e
capire cosa faccia: è un semplice
servizio che restituisce un JWT,
chiedendo alcuni argomenti.
L’unico argomento veramente
necessario è resource, il nome
della risorsa per cui si desidera
avere un token di autenticazione,
ed è arbitrario: basta indicarlo
nella chiamata HTTP e si ottiene il
token. Sostanzialmente, questo è
soltanto una sorta di “scorciatoia”
per il servizio di generazione dei
token di Azure Managed Identity.
Azure, infatti, come tutti i grandi
provider cloud, offre la possibilità
di generare dei token per
accedere alle proprie risorse, così
è possibile prepararsi degli script
per automatizzare alcune
operazioni di manutenzione.
Questi token possono essere
utilizzati per le proprie macchine
virtuali dalla console Web (basta
sostituire questo token con quello
ottenuto al momento del login
alla dashboard). Il problema è che
normalmente per ottenere un
token del genere bisognerebbe
procedere dal pannello di
amministrazione Web, quindi
passando dall’autenticazione.
Con questo servizio HTTP, invece,
basta una chiamata sulla porta
giusta per ottenere il JWT.
DOVE SONO I RISCHI?
La domanda da porsi a questo
punto è: che succede se la
chiamata viene eseguita sulla

figura #1

La funzione vulnerabile del servizio:

non richiede una verifica del richiedente,
risponde automaticamente con il token
di autenticazione.

25 
 HACKTUALITÀ
figura #2

Ora è stato introdotto un parametro per verificare che chi richiede l’autenticazione sia davvero
autorizzato a riceverla.

porta sbagliata, cioè su una porta
dedicata a un altro utente?
Qui risiede la vera e propria
vulnerabilità: la chiamata
verrebbe evasa normalmente,
fornendoci il JWT. Il problema è
che quel token sarebbe relativo
alle risorse dell’altro utente,
permettendo l’accesso alle sue
macchine virtuali e ad altri oggetti
sul suo cloud. Diventa quindi
palese che sulla stessa macchina
virtuale dedicata alle operazioni
automatizzate sono presenti
diverse sandbox, appartenenti a
diversi clienti. Ciascuna di queste
sandbox ospita un servizio HTTP
che permette agli script in essa
eseguiti di ottenere
automaticamente i token
necessari per accedere alle
risorse degli utenti. Il problema
Automation. Essendo closed
source, ed essendo Microsoft
poco propensa a rilasciare
dettagli sui propri prodotti,
non sappiamo quanto
profondamente sia stato
necessario modificare la logica
di Azure. Sappiamo, però, che
hanno impiegato quattro giorni
per introdurre un fix, che non
è comunque male come
tempistica. Ora tutti gli account
Azure sono protetti perché
per ottenere il token di
autorizzazione dal servizio HTTP
bisogna specificare il proprio
ENTITA’ DELLA
VULNERABILITA’
secret (impostato dalla
dashboard) tramite il parametro
X-IDENTITY-HEADER.
Quindi anche se le porte sono
ancora accessibili, non si può
ottenere il JWT senza farsi
identificare. Quello che non
possiamo sapere è da quanto
tempo fosse attiva questa
vulnerabilità, quindi chiunque
abbia delle macchine su Azure
e abbia utilizzato i servizi
in questione dovrebbe fare
un controllo e assicurarsi
di non avere subito accessi
non autorizzati.

è che la porta di questo servizio
è accessibile da una qualsiasi
delle sandbox presenti su quella
macchina. Quindi un utente può
ottenere dei token per l’accesso
alle risorse cloud degli altri utenti,
semplicemente provando tutte
le porte una alla volta e provando
a ottenere i JWT.
LA SOLUZIONE ADOTTATA
Il bug non è dovuto a un semplice
errore nella programmazione,
ma proprio a un difetto nella
progettazione del meccanismo
di funzionamento delle
autorizzazioni per Azure
Q
uesta vulnerabilità è piuttosto grave: basta avere un
account Azure, cosa che chiunque può ottenere, e creare
una “automation” per poter fare lo “scraping” di centinaia e
centinaia di JWT di altri utenti. E poi basta creare un altro task
in Azure Automation, che presumibilmente avrà la sandbox
su un’altra macchina virtuale, per accedere ai token di ulteriori
utenti. Chiaramente non tutti gli utenti sono vulnerabili: affinché
il proprio JWT sia accessibile in questo modo, bisogna avere
utilizzato almeno una Azure Automation e avere creato una
Azure Automation Identity con permessi di accesso alle proprie
risorse cloud (alla quale viene associato il JWT). Il problema
è che buona parte degli utenti di Azure che utilizzano la
piattaforma per qualcosa di critico avrà probabilmente questi
requisiti, perché tutte le infrastrutture importanti richiedono
qualche automazione.

 26
SICUREZZA
mela bacata Un voucher per l accesso al kernel iOS
Ecco come un malintenzionato usa un attacco race condition per eseguire codice
malevolo sul dispositivo dell’ignara vittima.......................................................................... 28

pentesting Filtri lato client, prima parte

Impariamo ad aggirare i filtri lato client per attaccare al cuore una Web app!............ 32
 SICUREZZA
Un voucher
p e r l’a c c e s s o
a l k e r n e l i O S
nz iona to us a un atta cco race condition
Ecco come un malinte l dispos itivo dell’ignara vittima
malev olo su
per eseguire codice
S
e il sistema Microsoft è
completamente closed
source, quello Apple
è almeno parzialmente
Open Source. In parte perché
alcuni componenti derivano dal
progetto GNU/Linux e da altri
progetti FOSS, in parte perché
Apple e NeXT hanno deciso di
rilasciare pubblicamente porzioni
del loro codice. Il kernel XNU è in
realtà un ibrido, sposa la filosofia
del microkernel Mach ed è in
buona parte basato sul suo codice,
ma alcune componenti sono
“copiate” dal codice di BSD. Altre
componenti, scritte interamente
da Apple, sono rimaste segrete
(come l’ambiente grafico Aqua).
Questa parziale apertura,
comunque, ci permette di capire
 28
meglio come funzioni il sistema,
nei limiti del possibile. Il fatto che il
codice sia disponibile non significa
infatti che sia anche facile da
leggere e il bug sfruttato da alcuni
malintenzionati si annida proprio
in uno dei punti più oscuri.
LA FUNZIONE DEL KERNEL
Uno dei principali compiti di un
kernel è assegnare le risorse ai vari
processi del sistema operativo.
Un meccanismo utilizzato da XNU
è quello dei voucher. Gli XNU
voucher sono abbastanza oscuri,
ben poco documentati, ma
sappiamo che si tratta di oggetti
che il kernel usa per memorizzare
riferimenti a risorse immutabili.
A livello di programmazione,
i voucher sono gestiti come un
“dizionario”, un insieme di coppie
chiave e valore. Sono “reference
counted”, un sistema efficiente
per fare riferimento più volte allo
stesso oggetto senza doverlo
copiare: basta aggiungere nella
tabella un riferimento a esso
(il meccanismo della deduplica).
Quando poi l’oggetto non serve
più a un utilizzatore, basta
cancellare il suo riferimento.
L’oggetto stesso può essere
cancellato solo quando tutti
i suoi riferimenti non esistono
più. All’URL https://pastebin.
com/5cimdzXs potete vedere
la definizione della “tabella”
dei voucher.
Quando viene creato un nuovo
voucher, viene chiamata una
serie di funzioni, tra le quali

user_data_get_value(),
che restituisce un oggetto
user_data_value_element:
struct user_data_value_element
{ la procedura di deduplica.
mach_voucher_attr_value_
reference_t e_made;
mach_voucher_attr_content_
size_t e_size;
iv_index_t
e_sum;
iv_index_t
e_hash;
queue_chain_t
e_hash_link;
uint8_t
e_data[];
};
typedef struct user_data_
value_element *user_data_
element_t
Questo oggetto è il riferimento a
un preciso voucher: se il voucher
non esiste viene proprio creato
(comando MACH_VOUCHER_
ATTR_USER_DATA_STORE).
Se invece esiste, la procedura
di deduplica si limita a trovare
il suo user_data_value_element
e incrementare il riferimento
e_made (comando MACH_
VOUCHER_ATTR_REDEEM). Fin
qui sembrerebbe tutto normale,
è una procedura abbastanza
tipica: il contatore e_made
aumenta man mano che vengono
realizzati riferimenti al voucher,
uno dopo l’altro. La funzione
host_create_mach_voucher è
quella che viene chiamata quando
è necessario fornire un voucher
(sia per la prima volta che le
successive) ed è abbastanza lunga.
Però possiamo riportare all’URL
https://pastebin.com/UqfBMKh1
un passaggio cruciale. Prima di
tutto il voucher viene allocato, poi
con un ciclo vengono creati i suoi
“attributi” (le chiavi del voucher).
Poi, se non ci sono stati errori fino
a questo punto, viene innescata
C’è solo un problema: non è
previsto alcun meccanismo di lock
per sospendere le richieste di
riferimento mentre se ne sta
elaborando una, quindi non
possiamo essere sicuri che le
richieste arrivino davvero una
dopo l’altra. È quindi possibile
una race condition, nella quale si
eseguono due chiamate a host_
create_mach_voucher (la funzione
per la creazione di un voucher)
e solo in seguito il comando
MACH_VOUCHER_ATTR_REDEEM.
In questo modo è infatti possibile
saltare un incremento di e_made.
La domanda è: questo può creare
qualche problema al resto del
codice? La prima cosa da
controllare è la funzione opposta,
quella che si occupa di liberare un
voucher. La funzione a più alto
livello è ivace_release, e chiama
una successiva funzione
ivam_release_value:
static void ivace_release(
iv_index_t key_index,
iv_index_t value_index)
{
[...]
ipc_voucher_attr_control_t
ivac;
mach_voucher_attr_value_
reference_t made;
ivac_entry_t ivace;
[...]
made = ivace->ivace_made;
ivac_unlock(ivac);
kr = (ivam->ivam_release_
value)(ivam, key, value,
made);
MELA BACATA
GLOSSARIO DI BASE
RACE CONDITION
Una race condition (“gara di
velocità”) è una situazione in cui
due “entità” possono accedere
alla stessa risorsa e se una è più
veloce dell’altra può “rompere”
la sequenza di eventi che gli
sviluppatori avevano previsto.
DEDUPLICA
Un meccanismo di deduplica è
un sistema di compressione che
aiuta a ridurre la dimensione
dei dati e a velocizzare alcune
operazioni. Quando si vuole
duplicare un oggetto, invece di
copiare i dati si crea semplicemente
un riferimento all’originale.
USE AFTER FREE
Le aree di memoria di un computer
sono riservate (segmentate) per
determinati utilizzi. Quando si
accede a una porzione di memoria
a cui non si è autorizzati, si causa
un errore di segmentazione. Se si
sovrascrive una particolare porzione
della memoria è anche possibile
indurre il sistema a eseguire del
codice in linguaggio macchina.
L’aspetto potenzialmente
pericoloso è che la funzione
ivam_release_value viene chiamata
passandole direttamente il
contatore vulnerabile alla race
condition. Il riferimento ivace_
made viene infatti passato alla
All’indirizzo https://
support.apple.com/it-it/
HT201222 trovate un
documento che mostra
gli aggiornamenti
di sicurezza rilasciati per
i prodotti Apple.
29 
 SICUREZZA
made salta un incremento
il risultato è che quando si vuole
liberare un voucher verranno
cancellati tutti i suoi riferimenti
tranne uno (quello che è “saltato”
nel contatore). Siccome un
riferimento esiste ancora, ma
ovviamente il voucher è stato
Apple ha corretto il bug evitando la possibilità di un
eliminato, abbiamo un riferimento
attacco race condition. Se non l’avete già fatto, vi
a un oggetto che non esiste più.
consigliamo di aggiornare iOS.
E il rischio è quindi quello di un use
funzione (è l’argomento sync) e queue_remove(&user_ after free, cioè di un accesso a una
confrontato con e_made: data_bucket[hash], elem, porzione di memoria che però
user_data_element_t, e_hash_ è già stata liberata. Questo può
static kern_return_t user_ link); nel “migliore” dei casi causare
data_release_value( user_data_unlock(); un kernel panic, nel peggiore
ipc_voucher_attr_manager_t kfree(elem, l’esecuzione di codice malevolo
__assert_only manager, sizeof(*elem) + elem->e_size); a livello del kernel.
mach_voucher_attr_key_t return KERN_SUCCESS;
__assert_only key, } SFERRARE L’ATTACCO DA...
mach_voucher_attr_value_ assert(sync < elem->e_ Un bug in queste profondità
handle_t value, made); del kernel potrebbe non essere
mach_voucher_attr_value_ user_data_unlock(); particolarmente pericoloso:
reference_t sync) return KERN_FAILURE; se si gestiscono correttamente
{ } i permessi è improbabile
[...] che un utente semplice (non root)
user_data_lock(); Questo meccanismo funziona solo possa innescare funzioni
if (sync == elem->e_made) se i contatori sono sincronizzati: se, del kernel delicate. In realtà,
{ a causa della race condition, e_ soprattutto nel sistema mobile iOS
(che è comunque basato sul kernel
di macOS) è possibile che
qualcuno sia riuscito a innescare
la vulnerabilità per condurre
attacchi nei confronti di utenti
ignari. Ovviamente, i possessori
di dispositivi Apple fanno bene
ad aggiornare il proprio sistema
alla versione 14.4 che porta
alcuni bug fix in grado di eliminare
la possibilità di un utilizzo dello
use after free, così da evitare
l’esecuzione remota di codice
o un eventuale kernel panic.
Il meccanismo di base è sempre
lo stesso, ma è stato inserito
un meccanismo di lock che
Il codice sorgente della definizione dei voucher Mach impedisce lo sfruttamento
pubblicato su opensource.apple.com della race condition.

 30
 ABBONATI
ALLA TUA RIVISTA PREFERITA
TE LA SPEDIAMO APPENA STAMPATA!

CONSEGNA GARANTITA ENTRO 48H

Con l’abbonamento
cartaceo la versione
digitale è in OMAGGIO!

Riceverai 12 numeri a soli

DISPONIBILE ANCHE SOLO
IN VERSIONE DIGITALE

-28% -57%
CARTACEO DIGITALE
12 numeri 12 numeri
solo 33,90€ solo 19,90€
invece di 46,80€ invece di 46,80€

Scansiona il QrCode per abbonarti oppure contattaci

Telefono online email WhatsApp
02 87168197 www.sprea.it/hackerjournal abbonamenti@sprea.it 329 3922420
Solo messaggi
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbonamento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre
previo suo consenso i suoi dati potranno essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse di terzi. 2) Finalità connesse alla comunica-
zione dei suoi dati personali a soggetti operanti nei settori editoriale, largo consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo, automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e 2). Per tutte
le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteranno per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al
confezionamento. L’elenco aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento e gratuitamente esercitare i diritti previsti dall’articolo 7
del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea SpA via Torino 51 20063 Cernusco SN (MI).
 SICUREZZA

PRIMA PARTE

Filtri
lato client i filtri lato client per
Impariamo ad aggirare Web app!
attaccare al cuore una

L
a verifica di sicurezza che
stiamo conducendo sulla
nostra “palestra per
pentester”, la rete virtuale
che utilizziamo per affinare
le nostre skill di penetration tester,
ci sta consentendo di prendere
confidenza con diverse tipologie
di tecniche e di
problematiche.
A proposito, se
volete provare a riprodurre quanto
facciamo in questa serie di articoli,
potete creare da zero la rete grazie
al PDF presente al link bit.ly/
hj_palestra. Forti della piena
proprietà dell’infrastruttura che
stiamo testando, liberi quindi da
beghe legali di qualsiasi genere,
abbiamo affrontato in questi ultimi
numeri l’attacco alla componente
applicativa della “palestra”,
con particolare riferimento
alla componente Web.
Per quanto le attività di
ricognizione e di attacco ai restanti
servizi della rete si siano rivelate
figura #1

L’homepage del server Web installato

nella nostra macchina di test.

 32
 PENETRATION TEST
La pagina iniziale di figura #2
Mutillidae, la Web
app che andrete ad
attaccare.

interessanti e stimolanti, DVWA E MUTILLIDAE per pentester” non fa eccezione,

non possiamo esimerci
dall’approfondire anche
la componente Web,
che a oggi costituisce
una percentuale rilevante
delle dotazioni informatiche
di un’organizzazione: ossia proprio
quegli asset che, come penetration
tester in erba, dovremmo
contribuire a difendere dagli
attacchi esterni.
Spesso, infatti, i server Web
aziendali ospitano molteplici
applicazioni Web, magari realizzate
per fornire – alternativamente –
specifici servizi ai dipendenti stessi
dell’azienda (gestionali interni,
portali del personale, sistemi
di supporto alle decisioni, ecc.)
oppure ai clienti (sito Web
istituzionale, ecommerce, ecc.).
In quest’ottica, la nostra “palestra
comprendendo due applicazioni
Web piuttosto “importanti” sul
proprio server Web. Stiamo
parlando di DVWA (Damn
Vulnerable Web Application)
e Mutillidae: due applicazioni
nate proprio con uno scopo
addestrativo, sebbene con
sensibilità (e scopi) differenti.
Mentre con DVWA abbiamo avuto
modo di apprendere le basi – e gli

d i t e s t c o m p l e t o
Un ambiente Rete
Internet 211.100.1.2 Target

Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1

210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web

All’URL https://bit.ly/hj_palestra
trovate le istruzioni per creare
la palestra virtuale. 33 
 SICUREZZA
La pagina di login di Mutillidae, oggetto delle nostre
attenzioni...
Il pattern d’attacco...
attacchi – delle principali
vulnerabilità presenti in ambito
Web (SQL injection, CSFR, RCE, XSS,
RFI, ecc.) concentrando le nostre
attenzioni su una vulnerabilità alla
volta (grazie alla presenza di pagine
dedicate a una singola, specifica,
vulnerabilità), con Mutillidae
ci siamo confrontati con un
approccio meno settorializzato
e più vicino a uno scenario reale:
ed è proprio questa peculiarità
che intendiamo sfruttare ancora
una volta.
FILTRAGGIO & JAVASCRIPT
Nelle puntate precedenti abbiamo
ribadito più volte l’importanza
di filtrare le informazioni inserite
 34
figura #3
figura #4
dall’utente, che devono essere
sempre e comunque considerate
inattendibili e potenzialmente
malevole. Esistono molteplici modi
di implementare questi filtri: uno
dei peggiori è quello di relegare
questo compito a meccanismi lato
client. Intendiamoci: non stiamo
dicendo che non sia opportuno
realizzare un meccanismo di
validazione dell’input utente lato
client; piuttosto, non è affatto
saggio che tali meccanismi siano
affidati esclusivamente a sistemi/
linguaggi di questo tipo, per
esempio a del codice JavaScript.
Il perché lo capiremo strada
facendo: nella sua versatilità,
infatti, Mutillidae ci mette
a disposizione più di qualche
esempio al riguardo, in cui codice
JavaScript viene impiegato nel vano
tentativo di assicurare una
protezione efficace contro diversi
tipi di vulnerabilità.
SECURITY LEVEL
Si tratta di una sorta di protezione
che, per quanto inaffidabile,
Mutillidae non implementa
al livello di sicurezza utilizzato
sin qui (il livello 0, caratterizzato
da una quasi totale assenza di
contromisure): perché i nostri
esperimenti abbiano successo,
quindi, dobbiamo innanzitutto
innalzare il livello di sicurezza della
Web app. Avviamo il browser sulla
VM “Pentester” e digitiamo l’URL
del sito Web della rete target,
ovvero http://www.labpentest.hj.
Selezioniamo quindi dalla
homepage [figura #1] il link relativo
a Mutillidae, in modo da
visualizzare la pagina principale
della Web application. Come
possiamo notare in [figura #2], il
banner della pagina ci segnala che
stiamo consultando la Web app al
security level 0: per innalzare tale
livello è sufficiente cliccare sul link
Toggle security presente nel
menu orizzontale posto proprio
al di sotto del banner.
SCHERMATA DI LOGIN
Una volta completata questa
incombenza possiamo
concentrarci sulla schermata
di login [figura #3], che a questo
punto del nostro pentest dovrebbe
sembrarci piuttosto familiare, visto
che ha costituito il bersaglio dei
dictionary attack sferrati nelle
ultime puntate. Questa volta,
tuttavia, non siamo interessati
a forzare l’autenticazione, quanto
piuttosto a verificare se la pagina
 PENETRATION TEST
sia soggetta ad attacchi di tipo SQL
Injection. In linea di massima,
figura #5
infatti, l’autenticazione a una Web
application avviene confrontando
le credenziali inserite dall’utente
con quelle contenute in un
apposito database di backend,
in cui la Web app conserva tutti
i dati necessari al proprio
funzionamento.

DATABASE & SQL

Nel caso dei database di tipo
relazionale, caratterizzati da
un’organizzazione dei dati in
tabelle, l’interrogazione dei dati
avviene attraverso il linguaggio
noto come SQL (Structured Query
Language), che per l’appunto offre
tutte le funzionalità necessarie
a creare e gestire un db, come
le primitive per l’inserimento,
l’organizzazione, la modifica e la
cancellazione dei dati, nonché – e
qui ricadiamo nell’aspetto che più
ci preme approfondire in questa
sede – la possibilità di effettuare
apposite interrogazioni per
reperire quelli di nostro interesse.
... comporta l’attivazione del filtro!
COMANDO SELECT
Come già visto per DVWA,
l’interrogazione del database
avviene mediante il comando
SQL denominato SELECT,
che prevede la sintassi
SELECT campi FROM tabella
WHERE condizione
dove:
• tabella indica il nome della
tabella del database oggetto
della ricerca;
• campi è l’elenco dei campi
da visualizzare nell’ambito
della tabella;
• condizione è il test che deve
essere eseguito su ogni riga della
tabella d’interesse, per
determinare quali soddisfino
i requisiti di ricerca.
Al netto di eventuali meccanismi
pensati per proteggere le
password conservate nel db (e per
garantire la sicurezza del processo
di autenticazione), quello che fa
Mutillidae quando premiamo

figura #6

Il menu contestuale per la visualizzazione del codice HTML della pagina.

35 
 SICUREZZA
Una porzione del codice HTML della pagina in cui
appare evidente il ricorso a JavaScript per validare
quanto inserito dall’utente.
il pulsante Login non è altro che
eseguire una query del tipo:
SELECT * FROM Utenti WHERE
username=‘hj’ AND
password=‘HackerJournal’
ipotizzando di aver inserito “hj”
quale username e “HackerJournal”
come password. Alla base della
decisione se consentire o meno
l’accesso vi è poi un banale test
che, pur spaziando tra soluzioni più
o meno elaborate a seconda delle
sensibilità degli sviluppatori, nella
sua versione base si limita a
verificare se l’output della SELECT
non restituisca alcuna ennupla: in
tal caso, verrà segnalato un errore
in fase di login (proprio perché,
se nessuna ennupla rispetta la
condizione richiesta, allora non
esiste un utente in possesso delle
credenziali fornite); viceversa sarà
consentito l’accesso.
SQL INJECTION
È proprio questo il meccanismo
in cui si inserisce l’attacco di SQL
Injection. Poiché quanto digitato
 36
figura #7SQL è opportuno inserire nella
dall’utente deve essere
necessariamente inserito
all’interno della query per poterla
eseguire (e capire se autorizzare
o meno la richiesta di
autenticazione), cosa accadrebbe
se al posto delle credenziali fosse
inserito del codice SQL? Molto
banalmente: se l’input utente
non è adeguatamente validato,
l’eventuale codice SQL ivi
contenuto sarebbe eseguito
unitamente al codice “legittimo”!
Segue che, scegliendo
opportunamente la porzione
di codice SQL di cui forzare
l’esecuzione, è possibile ottenere
molteplici effetti, che vanno dal
guadagnare l’accesso all’area
privata (senza disporre
di credenziali valide) alla
cancellazione di una o più tabelle,
sino alla completa esfiltrazione
di tutto il patrimonio informativo
contenuto nel database.
UN ESEMPIO CLASSICO
Chiarita la cornice generale,
possiamo occuparci di aspetti di
natura più concreta: quale codice
query e, soprattutto, in che modo?
Un pattern d’attacco “classico”
prevede il ricorso ai caratteri ‘--’,
che in taluni DBMS sono utilizzati
per delimitare i commenti al
codice. In questo modo è possibile
“bloccare” una porzione della
query prevista originariamente
dagli sviluppatori, che viene
considerata alla stregua di un
commento e pertanto ignorata in
sede di esecuzione. Naturalmente,
le cose non sono così lineari:
affinché tale strategia abbia
successo, è necessario che il codice
iniettato sia scelto in maniera
meticolosa. Supponiamo, per
esempio, di inserire all’interno del
campo username i caratteri ‘--’.
Che query sarebbe eseguita?
Secondo quanto abbiamo
ipotizzato prima, la query costruita
dalla Web app diventerebbe
SELECT * FROM Utenti WHERE
username=‘--’ AND password=‘’
che chiaramente non produce
l’effetto da noi desiderato,
in quanto ricerca piuttosto
un’ennupla all’interno della tabella
Utenti che abbia username pari
a ‘--’ e password vuota.
INSERIAMO IL PATTERN
Progettato il nostro attacco,
non ci resta che metterlo in pratica,
inserendo all’interno del form
di autenticazione le stringhe
[figura #4]:
• “‘ OR 1=1 --” nel campo name;
• “password” (o una qualsiasi altra
stringa a vostra scelta) nel campo
omonimo.
Se premiamo il pulsante Login,
tuttavia, le cose non vanno
esattamente come abbiamo

appena pianificato: piuttosto
che guadagnare l’accesso all’area
privata di Mutillidae, la Web
application ci restituisce un
messaggio perentorio [figura #5],
comunicandoci di aver rilevato
e bloccato “caratteri pericolosi”
(“dangerous characters detected”).
RISPOSTA (TROPPO) VELOCE
Sebbene a prima vista possa
sembrare un comportamento
desiderabile e soddisfacente,
basato su una doverosa e corretta
validazione dell’input utente, le
cose non stanno esattamente così.
Se ci soffermiamo un momento
sulle modalità in cui è avvenuta
l’interazione con la Web app, infatti,
possiamo notare come qualche
piccolo particolare stoni: in primis,
la velocità con cui Mutillidae ha
risposto al nostro input malevolo.
Per quanto si tratti di un ambiente
virtuale, in cui quello che dovrebbe
essere un routing geografico
è simulato mediante reti virtuali
definite nell’ambito del medesimo
PC, l’output della Web application
è stato praticamente istantaneo:
qualcosa che può essere ottenuto
solo ricorrendo a una tecnologia
lato client. Possiamo avere una
Il codice della funzione JavaScript di validazione.
PENETRATION TEST
conferma di questa nostra
sensazione andando ad analizzare
il codice HTML, operazione che
richiede un semplice click con il
tasto destro del mouse in qualsiasi
punto della pagina, seguito dalla
selezione della voce View Page
Source dal menu contestuale
[figura #6]. Scorrendo velocemente
il codice, non è difficile accorgerci
della presenza del parametro
onSubmit [figura #7] all’interno
del tag che implementa il form
di autenticazione...
VALIDAZIONE JAVASCRIPT
L’evento onSubmit, per l’appunto,
viene sollevato quando il form
è inviato e nel nostro specifico
caso comporta l’invocazione
della funzione JavaScript
OnSubmitFormLogin(), di cui
a questo punto non possiamo
non ispezionare il codice. Come
possiamo notare [figura #8],
la funzione si preoccupa
di verificare che:
• la lunghezza delle informazioni
inserite nei campi username
e password non sia maggiore
di 15 caratteri, al fine di
minimizzare le possibilità – per
un utente malevolo – di inserirvi
codice malevolo;
• all’interno dei suddetti campi non
siano presenti caratteri “pericolosi”,
ovvero impiegabili in un potenziale
pattern d’attacco.
Qualora si verifichi una delle due
casistiche, la funzione visualizza un
apposito alert, proprio come quello
che abbiamo avuto modo di
osservare nelle nostre prove.
AGGIRARE IL FILTRO
A prima vista, il codice di
validazione sembra effettivamente
ben scritto e non superabile,
con l’unica pecca di limitare
notevolmente i caratteri speciali
impiegabili all’interno di una
password: qualora un utente
ne scegliesse uno per le proprie
credenziali, infatti, sarebbe
successivamente impossibilitato
a effettuare il login proprio a causa
del filtro stesso. Se sorvoliamo
su questo aspetto, abbiamo
un’implementazione a prima vista
del tutto corretta... ma gli errori
logici sono solo uno dei possibili
vettori di attacco a una Web
application: per aggirare il filtro
abbiamo a disposizione ben altre
opzioni, come avrete modo di
vedere nella prossima puntata!
figura #8
37 
 SICUREZZA
.1 quale gateway
nsmallinux.org/ • l’indirizzo 211.100.1
all’URL http://www.dam 210.100.1.0/24
per accedere alla rete

Costruire download.htm l);

Rete: due schede di ret
e, la prima

la palestra #4
a di nome
connessa alla rete intern
“intnet”, la seconda alla rete interna Server Web
ux
di nome “intne t1”; Sistema operativo: Lin
tuito e: eseguire
L’ambiente di test è costi Configurazione di ret
una shell
(Linux 2.4 a 32 bit);
uite i seguenti comandi da RAM: 256 MB;
da macchine virtuali eseg con i privilegi di root: Disco fisso: selezionare
l’opzione
nel e esistente”,
in modalità Live (da ISO “Usa disco fisso virtual
con estensione
so no quindi scegliere il file
nostro caso). Di seguito #ifconfig eth0 up
.100.1.2 “vmdk” posto all’ int ern o de l file
ni di #ifconfig eth0 210
riassunte le impostazio netmask 255.255.2
55. 0 compresso scarica to all’ind irizzo
ione /pr cts/
creazione e di configuraz
oje
#ifconfig eth 1 up https://sourceforge.net
virtuale: .100.1.1 metasploitable/;
per ciascuna macchina #ifconfig eth1 211
55.0 Rete: una scheda di ret
e, connessa
netmask 255.255.2
v4.ip_forward=1 ern a di no me “intnet2”;
#sysctl -w net.ip alla rete int
e: eseguire
.100.1.0/24 Configurazione di ret

#1
#route add -net 212
Pentester gw 211.100.1.2 i seguenti comandi
roo
da
t:
una shell

ux con i privilegi di
Sistema operativo: Lin
(Ubuntu a
RAM: 1024 MB;
64 bit);
#3 Router
Sistema operativo: Lin
ux
#sudo ifconfig eth
255.255.255.0
0 212.100.1.2

Disco fisso: nessuno; #sudo route add def

ault gw
gere, a creazione (Other Linux - 32 bit );
Archiviazione: aggiun 212.100.1.1
ntroller IDE RAM: 256 MB;
avvenuta, un nuovo Co
alla macchina virtuale,
ins erendovi Disco fisso: nessuno;

#5
per la macchina
re all’URL Archiviazione: come
Server FTP
(da sca rica
l’ISO di Kali Linux ezi on ando l’ISO
.ka li.o rg/ do wn loa ds/); Pentester, ma sel
https://www rica re all’URL
e, con ssa
ne di Zeroshell (da sca ux
Rete: una scheda di ret et/download/); Sistema operativo: Lin
alla rete interna di nome
“intnet”; http://www.zeroshell.n (Linux 2.4 a 32 bit );
ret e, la prima
Configurazione di ret e: eseguire Rete: tre schede di RAM: 64 MB;
e “so lo host” vboxnet0
i seguenti com and i da un a shell connessa alla ret Disco fisso: nessuno;
parametri per la macchina
con i privilegi di roo t: per l’impostazione dei Archiviazione: come
restanti
di configurazione delle Backbone;
alla rete interna e, connessa
# ifconfig eth0 210
.100.1.1/24 interfacce, la seconda Rete: una scheda di ret
t1” , la ter za alla rete “intnet2”;
# route add default gw di nome “intne alla ret e intern a di no me
no me “in tne t2” ; e: eseguire
210.100.1.2 interna di Configurazione di ret
e: dall’interfaccia
Configurazione di ret i seguenti comand i da un a shell
ibil e dal browser
Web di Zeroshell (fru ep orr e sem pre

#2
ricordando di ant
indirizzo
Backbone della macchina
http://19 2.1 68.
fisi
0.7
ca,
5, pre
all’
via i privilegi di roo t:

Sistema operativo: Lin

ux rname admin
autenticazione con use #ifconfig eth0 up
(Linux 2.4 a 32 bit); ell) , im postare:
e password zerosh #ifconfig eth0 212
.100.1.3
RAM: 64 MB; .10 0.1 .2 e netmask
• l’indirizzo 211 netmas k 255.255.255.0
Disco fisso: nessuno; 5.2 55. 0 pe r l’in ter faccia ETH01;
255.25 te add default gw
per la macchina tmask # rou
Archiviazione: come • l’indirizzo 212.100.1
.1 e ne
212.100.1.1
, ma sel ezionando l’ISO r l’in ter fac cia ETH02;
Pentester 255.255.255.0 pe
scaricare
di Damn Small Linux (da

ica us ata pe r atta cc ar e applicazioni

cn
SQL injection è una te da taba se re lazionali sfruttando
traver so
che gestiscono dati at ntro lla no in m od o corretto l’input
e non co
il linguaggio SQL e ch

 38
HOW TO
data carving Duplicazioni da pro
Creare una copia certificata di un’unità di storage per recuperare dati senza causare rotture........... 40

online protetti Navigazione 100% sicura

Rendere la navigazione su Internet priva di pubblicità, sicura e attenta alla privacy.......................... 46

usb boot La chiavetta dell’hacker

La soluzione perfetta per avviare, da una sola pendrive, tutte le distro dedicate all’hacking..........48

filesystem Alla scoperta di NTFS, sesta parte

Avete mai sentito parlare di Alternate Data Streams?.................................................................................. 52
 HOW TO
Duplicazioni e recuperi
da veri professionisti!
Vi mostriamo come creare una copia certificata di un’unità
di storage sulla quale effettuare l’operazione di data carving
senza paura di causare rotture a catena
I
n presenza di dischi difettosi, si deve
IN BREVE 
essere consapevoli del fatto che
Vediamo come usare
non tutto potrebbe andare per
il tool PhotoRec per
recuperare file persi
il meglio nella copia rispetto ai dati
da qualunque originali contenuti nel dispositivo
supporto di che si sta tentando di copiare/salvare.
archiviazione. In questi casi – nemmeno tanto estremi
DIFFICOLTÀ come si potrebbe pensare
– il data carving potrebbe risultare
distruttivo per quei dispositivi che
hanno qualche anno sulle spalle e/o
che iniziano a presentare qualche
problema potendo indurre un rovinoso
fallimento del disco; “rotture a catena”
tali da renderlo inutilizzabile per il
recupero dei file almeno con le comuni
tecniche software ivi riportate.
In questo scenario, se si vuole quanto
meno tentare un recupero dei dati,
anche in vista di un’analisi forense,
indispensabile è l’invio nei laboratori
figura #1
Hard disk paziente e donatore in camera bianca.
 40
che possiedono la cosiddetta camera
bianca. Se possibile, conviene sempre
crearsi una copia conforme del disco
(che potrà fungere anche da backup!) e
successivamente operare sulla copia al
fine di evitare ulteriori danneggiamenti
dell’originale. Per queste operazioni
ci vengono in aiuto diversi strumenti
software, il più noto è dd (man dd per
ulteriori informazioni); in presenza
di dischi con qualche difetto è meglio
evitarlo poiché si blocca in caso di file
corrotti e più in generale di errori di
lettura sebbene, attraverso le opzioni,
sia sempre possibile istruirlo a
continuare la lettura (usando l’opzione
noerror). Comunque diversi test ne
sconsigliano l’uso. Suggerita, invece, è
una versione patchata di dd nota come
progetto dc3dd (https://sourceforge.net/
projects/dc3dd/) che include

caratteristiche molto utili
nell’analisi forense. In aggiunta
alle funzioni presenti in dd
prevede, per esempio, il calcolo
dell’hash prima o dopo la
conversione scegliendo diversi
algoritmi tra quelli supportati (e.g.
MD5, SHA-1, SHA-256 e SHA-512)
permettendo di ottemperare
a 2 delle 5 fasi del processo di
indagine forense; nello specifico
alle fasi 2 e 3 che vedono
la raccolta dell’informazione,
con la copia bit a bit, e alla
successiva conservazione
comprensiva di valore di hash.
DATA CARVING
GLOSSARIO
DI BASE
COPIA FORENSE
Nota con i nomi copia bit a bit o bit stream image, trattasi di un clone bit
a bit dell’originale e in quanto tale utilizzabile in sede giudiziaria.
SETTORI E CLUSTER
Il settore è l’unità fisica di memorizzazione, una porzione disco con
numero fisso di byte. Il cluster è l’unità minima di allocazione di spazio
disco e all’atto pratico è caratterizzato da un certo numero di settori.
CAMERA BIANCA
Quando, per vari motivi, i software forensi non garantiscono il recupero
dei dati, viene richiesto un intervento di una certa complessità e
delicatezza che si effettua nella cosiddetta camera bianca di classe 100
(o ISO 2) ovvero, in base alla normativa UNI ISO 14644-1, un luogo che
garantisce che in un metro cubo di aria siano contenute al più 100
particelle di diametro ≥0,1μ (micron, 1μ=10-6 mm), 24 di diametro ≥0,2μ,
10 di diametro ≥0,3μ e solamente 4 di diametro ≥0,5μ.

BACKUP ESTREMO SUPERBLOCCO

Si ipotizzi di voler ottenere una Contiene le informazioni relative alla configurazione del filesystem
indispensabili per il montaggio. Le informazioni sono visualizzabili con
copia bit a bit di una pendrive USB
il comando sudo dumpe2fs -h /dev/partizione dove in partizione
collegata al PC, identificata come
va inserita una delle partizioni in uso ottenute con df o findmnt -D.
sdd. Si lanci il comando seguente
da utente amministratore:
image del contenuto della FAT32), sono stati copiati
dc3dd if=/dev/sdd1 of=usb_ chiavetta USB aggiungendone il 506.846 settori per una capacità
copia_forense.img hash=sha256 file di hash con algoritmo sha256 pari a: 512 byte x 506.846
log=usb_copia_forense.log e relativo file di log. settori=259.505.152 byte
Come visibile in [figura #2] ogni / 1.048.576=247,48MiB
Come si fa con il comando dd, settore ha dimensione 512 byte (Mebibyte). Visibili anche l’hash
all’opzione if occorre passare (tipico valore per il filesystem del file e il file di log. Si osservi
il dispositivo di ingresso, nello
specifico la partizione della
chiave USB /dev/sdd1, mentre
a of occorre associare il nome del
figura #2
file immagine. Con l’opzione hash,
non presente in dd, si richiede di
eseguire il calcolo dell’hash in base
all’algoritmo scelto. Infine con
l’opzione log dovrà essere indicato
un percorso con relativo nome
del file dove si vuole venga salvato
il file di log; come per l’opzione of,
scriverne solo il nome
implicitamente comporta
il salvataggio del file nella cartella
dove si sta lanciando il comando
il quale creerà una bit stream Risultato di una bit stream image con Dc3dd.

41 
 HOW TO
Generazione hash su file txt per ogni file contenuto nell’immagine.
come l’output della shell, dopo
il lancio del comando, venga
riportato nel file di log, pertanto
non vi sarà il pericolo di perdere
informazioni se si chiude la shell
poiché potranno essere
recuperate nel file di log, valore
di hash compreso. Eloquente
il messaggio 0 bad sectors
replaced by zeros a indicare tutti
i settori integri. Creata l’immagine,
può essere montata per l’analisi
utilizzando, per esempio in GNU/
Linux, l’interfaccia di loopback che
permetterà di accedervi lavorando
così sulla copia e non sull’originale:
mount -o ro,loop -t vfat
usb_copia_forense.img
/percorso/di/mounting
laddove il percorso di montaggio
può essere una qualsiasi cartella
nella propria home. A questo
punto è possibile lavorare sulla
copia generando, per esempio,
la lista dei file presenti con
 42
figura #3
i corrispettivi valori di hash al fine
di verificarne o preservarli da
eventuali future modifiche:
find /percorso/di/mounting/
-type f -exec sha256sum {} \;
| tee sha256sum.txt
L’output verrà rediretto sulla shell
e attraverso il comando tee (man
tee) anche sul file txt [figura #3].
SOLUZIONE OPEN
Se si ha il timore che l’attività
sul disco lo possa danneggiare
definitivamente, allora lo
strumento più idoneo per creare
copie, non solo di dischi ma di
qualsiasi dispositivo a blocchi
identificato in GNU/Linux come
/dev/* (e.g. CD, DVD, penne USB,
Compact Flash, schede SD ecc.)
è GNU ddrescue (https://www.gnu.
org/software/ddrescue/), lo
strumento premium del settore.
Diverse sono le funzioni di questo
programma che fanno sì che sia
tra i preferiti nelle soluzioni Open
Source per le copie forensi.
Per esempio, si possono fare
copie dei dispositivi di
archiviazione Microsoft Windows
e macOS X perché il software
opera a livello di blocco, livello
al quale il filesystem adottato
sul dispositivo non ha alcuna
importanza. Volendo creare
un’immagine analoga a quella
vista per dc3dd, il comando per
una copia bit a bit sarà:
ddrescue -v /dev/sdd1
usb_copia_forense.img logfile
Il comando info ddrescue,
a partire dalla sezione Optical
media::Copying CD-ROMs and
DVDs e successive, fornirà un
cospicuo numero di esempi tali
da ricoprire un’ampia casistica.
Visto il numero di software a
disposizione, quale utilizzare?
Per copie di backup e forensi c’è
poco da fare: la scelta deve
(imperativo!) ricadere su GNU
ddrescue. Riguardo a dd_rescue
(leggere box Distro forensi) ha la
capacità di reindirizzare in pipe
l’output che in alcuni casi (e.g.
copie via SSH) potrebbe risultare
per certi versi insostituibile.
Per un uso “casalingo” tutti
i programmi citati vanno bene,
anche lo storico dd a patto di non
dover recuperare/fare il backup
di dischi problematici.
IL RECUPERO PER ECCELLENZA
Avendo a disposizione una copia
certificata dell’originale, su di essa
è possibile effettuare l’operazione
di data carving senza paura
di causare rotture a catena.
In queste pagine vi faremo vedere

Configurare PhotoRec mediante l’interfaccia grafica.
Tipologia e quantità di file recuperati da PhotoRec.
come usare PhotoRec (https://
www.cgsecurity.org/) tool utilizzato
in alcuni contesti anche dalle forze
dell’ordine dei Carabinieri del RIS.
Nelle distribuzioni forensi
PhotoRec è presente in maniera
predefinita, al limite va solo
aggiornato con il gestore dei
figura #4
figura #5
pacchetti (se la distribuzione non è
una Live). Nel tutorial che segue
ne verrà riportato l’uso tramite
la linea di comando con la sua
interfaccia testuale. In [figura #4]
trovate le impostazioni per
ottenere da interfaccia grafica
quanto riportato nel tutorial
mentre in [figura #5] c’è il
riassunto del risultato visibile
nell’ultimo passo del tutorial.
LA CARTELLA DI RECUPERO
Due parole occorre spenderle per
capire cosa ha copiato PhotoRec
nella cartella indicata come
destinazione. Il contenuto, visibile
in [figura #6] è caratterizzato da un
certo numero di file il cui nome
inizia con una lettera seguita da
almeno 7 cifre e, laddove presente,
dall’estensione. La lettera f indica
un file regolare, la b un file non
completamente recuperato, la t
miniature jpeg. Per esempio, la
prima immagine in [figura #6] ha
nome f0138375.jpg: trattasi di file
regolare che inizia dal settore
138375. Insieme ai file recuperati
occorre sapere che PhotoRec crea
anche un file report.xml che
aggiunge ulteriori informazioni,
come la dimensione del file; ogni
file trovato ha il suo posto nel
report tra i tag <fileobject>
</fileobject> e il numero nel
nome del file può essere ricavato
dalle informazioni contenute nel
report. Come ulteriore test, si provi
a cancellare tutto il contenuto di
una chiave USB (naturalmente
dopo aver fatto un backup del
contenuto!) e senza aggiungere file
si ripeta la procedura di ricerca
sull’intera partizione; ne scoverete
delle belle, file “cancellati” anche
settimane o mesi prima!
COME FUNZIONA
PhotoRec analizza il supporto
ignorando in toto il filesystem
permettendone così il recupero
anche quando è corrotto. Il
principio di funzionamento di
PhotoRec è presto detto. Prima
43 
 HOW TO
figura #6
DISTRO FORENSI
Tutti i tool software riportati
nell’articolo sono a corredo dei
repository di tutte le distribuzioni
come Kali Linux e Parrot OS Linux
e a maggior ragione lo saranno di
quelle distribuzioni specificatamente
dedicate alle analisi forensi, alcune
delle quali vengono riportate di
seguito. Una delle più famose è
l’Italiana Caine (Computer Aided
INvestigative Environment, https://
www.caine-live.net/). Sempre italiana,
ma ispirata alla terminologia
giapponese, Tsurugi Linux (https://
tsurugi-linux.org/) che si compone
di tre elementi: Tsurugi Lab per la
postazione desktop, Tsurugi Acquire
per l’acquisizione forense
e il pacchetto Bento caratterizzato
File recuperati da PhotoRec nel test. da centinaia di utility da utilizzarsi
sul computer target.

prova a definire la dimensione D8 FF cioè l’header di una jpeg. e dinamico (tempi di esposizioni,
del cluster il cui valore è leggibile Fanno seguito, laddove presenti, data, ecc.). A seguire i bit che
direttamente nel superblock i metadati EXIF (Exchangeable costituiscono l’immagine vera
nei filesystem ext2/3/4 o nel Image File Format), informazioni e propria fino al footer che per
VBR (Volume Boot Record) aggiuntive di tipo statico (marca un’immagine jpeg è FF D9 (non
nei filesystem FAT e NTFS. Se la e modello della fotocamera usata) visibile in figura ma presente).
lettura non è possibile a causa
di una corruzione, allora viene
effettuata una lettura settore
figura #7
dopo settore per i primi 10 file
dai quali poi calcola la dimensione
del cluster a partire dalla quale
analizzerà il dispositivo blocco
(cluster) dopo blocco. Ogni blocco
è confrontato con il database dei
file contenente i magic number e
dai quali ne distingue la tipologia
(e.g. immagine, audio, video,
documenti in vari formati ecc.).
Come dimostrazione di quanto
affermato, se provassimo ad
aprire il file recuperato, il solito
f0138375.jpg, con un editor
esadecimale come wxHexEditor
(https://www.wxhexeditor.org/)
noteremmo [figura #7] come
l’intestazione del file inizi per FF L’originale a destra. L’immagine recuperata a sinistra.

 44
 PHOTOREC ALL’OPERA SU UNA CHIAVETTA USB
#1
Lanciate PhotoRec da utente amministratore o
previo sudo per quelle distribuzioni che lo abilitano
di default. Con i tasti freccia selezionate il supporto
dal quale fare il recupero, /dev/sdd nel nostro caso,
quindi premete Invio su Proceed. Per un file .img
come quello creato da GNU ddrescue, è sufficiente
impartire sudo photorec /percorso/file.img
#3
Vista la scarsa dimensione della flash USB si può
lasciare l’elenco predefinito (praticamente quasi
tutti tra quelli supportati!). Selezionate Search e
premete Invio. Prima di eseguire la ricerca PhotoRec
chiede lumi sul tipo di filesystem utilizzato sul
supporto. Nello specifico trattasi di FAT32 pertanto
dopo aver scelto [ Other ] premete Invio.
#5
Nel nuovo passaggio viene chiesto il percorso di
destinazione dei file recuperati. Con i tasti freccia
(e Invio per entrare nelle cartelle) si può navigare
la gerarchia dei percorsi. Con il tasto C si conferma
la scelta. Mai scegliere come destinazione la stessa
partizione che si sta recuperando poiché la si
sovrascriverebbe rendendo irrecuperabili diversi file.
#2
Nella nuova schermata selezionate [USBPendrive]
seguito da Invio; se durante la formattazione della
chiave USB non è stato dato alcun nome all’etichetta
di volume, apparirà la scritta [NO NAME]. È possibile
andare in [Options] per modificare le impostazioni
predefinite così come in [File Opt] per istruire
il programma a cercare solo alcuni tipi di file.
#4
Verrà chiesto dove condurre l’analisi: sull’intera
partizione [ Whole ] oppure solo nello spazio non
allocato [ Free ]. Spostatevi su [ Free ] e premete
Invio. Se nel risultato della ricerca non sono presenti
tutti i file che vi aspettavate, potete sempre optare
per [Whole disk] nel passo 2, opzione utile
in presenza di filesystem corrotti.
#6
Parte la fase di recupero (visibile in figura) la cui
durata è funzione della dimensione della partizione
e del numero di formati di file da ricercare. Nella
prova in parola sono stati necessari una decina di
secondi e sono stati trovati 431 file. La medesima
ricerca è stata eseguita con l’interfaccia grafica
ottenendo lo stesso risultato [figura#5].
45 
 HOW TO
Navigazione
100% sicura
IN BREVE  Ecco un’estensione per
Scoprite come
utilizzare l’add-on per
browser uBlock Origin
per bloccare le
pubblicità invasive
di Internet.
DIFFICOLTÀ
GLOSSARIO
DI BASE
ADBLOCK
Un’estensione per il blocco
della pubblicità e il filtraggio
di alcuni contenuti su un
browser. Consente agli utenti
di visualizzare o meno degli
elementi della pagina.
WHITELIST
Un insieme di elementi che
hanno libero accesso a una
determinata operazione.
Nel nostro caso, un gruppo
di siti che non vengono
filtrati dall’add-on.
FILTRAGGIO COSMETICO
Un sistema di filtraggio che
blocca alcuni elementi visuali
considerati “fastidiosi”, in
genere non rilevati dai sistemi
di filtraggio.
FONT REMOTI
Con il termine Font remoti
si indicano i caratteri di terze
parti e non propri del sito
che si sta visitando.
 46
La schermata principale di uBlock Origin
racchiude alcuni strumenti utili
per ottenere una navigazione
a prova di pubblicità.
browser capace di
rendere la navigazione
su Internet davvero
migliore: priva
di pubblicità, sicura
e che strizza l’occhio
alla privacy
U
Block Origin non è solo un
potente software in grado di
fermare le pubblicità sui siti
visitati, ma un vero e proprio
sistema di filtraggio, capace di bloccare
anche JavaScript, spyware e malware.
Semplice da utilizzare, è distribuito con
licenza Open Source, è multipiattaforma
e risulta essere molto leggero in termini
di utilizzo della memoria. Sviluppato
inizialmente (e ancora sostenuto) da
Raymond Hill, si installa in pochi secondi
e consente di eseguire un filtraggio
completo delle pubblicità, bloccare
elementi multimediali pesanti
e impostare filtri personalizzati. Due le
ragioni principali che ci spingono a
usarlo: potenzialità e semplicità di
utilizzo e poi perché fa parte dell’ormai
nota “Cassetta degli attrezzi
anticensura” di cui abbiamo già scritto
nei numeri scorsi parlando della
cyberguerra di Anonymous contro
Putin. Una serie di tool utili a tutelare
la privacy e ad aggirare le limitazioni
imposte dal governo sovietico.
L’ADDON
DELLE
MERAVIGLIE
#1
#2
#3
#4
Il pulsante d’accensione e #1
spegnimento vi consente di
attivare o disattivare l’add-on e
di impostare un sito in whitelist
per la sessione di navigazione.
Al di sotto è riportato l’indirizzo
del sito che si sta visitando.
Da questo menu potete
#2
bloccare tutti i popup, gli
elementi multimediali, i font
remoti e i componenti
JavaScript. Consente, inoltre,
di abilitare/disabilitare
il filtraggio cosmetico.
#3
Questa sezione dell’add-on
riporta le statistiche dei
bloccaggi relativi al sito che
si sta navigando. È utile per
avere un quadro d’insieme
dell’efficacia del software.
I primi due pulsanti vi #4
permettono di eliminare
e scegliere un elemento
da bloccare sulla pagina.
Gli altri, invece, di entrare
nel registro delle richieste, di
segnalare un elemento alla
community online dell’add-
on e di aprire la dashboad.
 ONLINE PROTETTI
DIAMO UN TAGLIO ALLE PUBBLICITÀ DI TROPPO!
#1
Installate l’add-on collegandovi all’indirizzo https://addons.
mozilla.org/it/firefox/addon/ublock-origin/. Cliccate poi su
Aggiungi a Firefox, se navigate con il browser di Mozilla,
oppure su Aggiungi se adoperate Google Chrome,
o ancora su Ottieni per Edge. Scegliete il pulsante
Installa e aspettate qualche secondo. Un messaggio
vi avviserà che è tutto pronto.

#2
Cliccate sull’add-on appena installato. Vi si aprirà la sua
piccola schermata con tutti i comandi principali.
Selezionate il simbolo degli ingranaggi: è in basso
a destra. La scheda che apparirà è la dashboard
dell’adblock. Personalizzate a vostro piacere l’aspetto
e la privacy dalle Opzioni.

#3
Nella parte bassa della schermata, in base alle vostre
esigenze, spuntate una o più voci. C’è quella che blocca
gli elementi multimediali maggiori di 50 KB, i font remoti
e i componenti JavaScript. Questo sarà il comportamento
predefinito che ritroverete ogni volta che riaprirete
il browser.

#4
Dalle due schede di fianco potete personalizzare
le impostazioni richiamando dei filtri e delle regole:
si possono impostare filtri di terze parti e/o scriverne
ex novo. Ogni filtro va impostato su una sola riga. Se non
avete voglia di cimentarvi nella stesura dei filtri, online ne
trovate tantissimi già pronti. Basta una semplice ricerca.

#5
Se avete dei siti Web attendibili che volete escludere
dal blocco, potete creare una vostra whitelist
personalizzata. Per farlo, vi basta cliccare sull’icona
blu di spegnimento dell’add-on e ricaricare la pagina
dell’applicazione. In caso di ripensamenti, potete
riattivare il blocco semplicemente selezionando
il medesimo pulsante.

#6
uBlock Origin consente anche di ripristinare
le impostazioni di fabbrica. Sempre dalla dashboard,
selezionate la scheda Opzioni, scorrete fino in fondo
alla pagina poi cliccate il pulsante Ripristina le
impostazioni predefinite… Ora potete riconfigurare
l’add-on come meglio credete.

47 
 HOW TO
La chiavett a di boot
dell'hacker
La soluzione perfetta per avviare, da una sola pendrive,
tutte le distro GNU/Linux dedicate all’hacking
IN BREVE  accomunati dalla voglia
Creiamo una chiavetta
contenente diverse
immagini ISO da cui
eseguire il boot.
DIFFICOLTÀ
GLOSSARIO
DI BASE
SECURE BOOT
Un’importante funzionalità
di sicurezza progettata per
impedire il caricamento di
software dannoso all’avvio
del PC. Fa parte di UEFI.
PENTESTING
Simulazione di un attacco
che ha l’obiettivo di testare
la vulnerabilità di una rete.
UEFI
Acronimo di Unified
Extensible Firmware
Interface. Rappresenta
il successore del tradizionale
BIOS del computer dotato
di tutta una serie
di nuove funzionalità.
 48
T
utti gli hacker degni
di questo nome sono
di scoprire cose nuove,
sporcandosi le mani.
Ciò li porta a un lavoro di testing
certosino fatto di formattazioni/
installazioni di nuovi sistemi
operativi e/o di tool da provare
e riprovare al fine di stringere
la rosa di fuoco e individuare
quegli strumenti che per loro
sono realmente indispensabili.
A seconda delle esigenze,
infatti, può essere preferibile
usare una distro GNU/Linux
anziché un’altra, perché
ottimizzata con strumenti
idonei a raggiungere scopi
ben precisi: pentesting, cracking
Wi-Fi, computer forensics, ecc.
Poter eseguire il boot di un
sistema operativo da dischi USB
o macchine virtuali agevola
di certo queste sperimentazioni
o l’impiego di appositi software
in determinati contesti,
ma chi ha bisogno di portare
al seguito più distro GNU/Linux
cosa deve fare?
L’ipotesi di andare in giro con
decine e decine di pendrive
nella tasca dei jeans
è ovviamente da escludere!
IL TOOL DELLE MERAVIGLIE
Se vi ritrovate nello scenario
appena descritto, Ventoy
(https://www.ventoy.net)
è il software Open Source
(disponibile per Windows e Linux)
che fa al caso vostro, poiché
permette di creare una singola
unità USB avviabile per gestire
contemporaneamente più formati
immagine da cui eseguire il boot:
ISO, WIM, IMG, VHD ed EFI.
Ventoy può essere installato non
solo su pendrive USB, ma anche
su dischi meccanici (HDD) o a
stato solido (SSD) e perfino su
schede di memoria SD. Supporta
Legacy BIOS e UEFI, diverse
tipologie di partizioni come GPT
e MBR, filesystem di vario genere
tra cui FAT32, exFAT, NTFS
eccetera, nonché immagini ISO di
dimensioni superiori a 4 GB. Sono
oltre 900 i sistemi operativi testati
e funzionanti (https://www.
ventoy.net/en/isolist.html) che
spaziano da Windows a Linux,
passando per ChromeOS.
Non resta dunque che metterlo
all’opera per trasformare una
normale pendrive USB (nel nostro
caso ne abbiamo usata una
da 128 GB) in un utilissimo
dispositivo multiboot contenente

6 TOP DISTRO GNU/LINUX
PER HACKER
DISTRO DESCRIZIONE
KALI LINUX Realizzata dai creatori di
BackTrack, negli anni guadagna hj265_kali
consensi arrivando ad
affermarsi come la distribuzione
https://www.kali.org più avanzata e versatile mai
creata per il penetration testing.
Un must per ogni hacker.
TAILS Basata su Debian, Tails è il
sistema operativo che sfrutta
la rete TOR per consentire
di navigare senza censure
https://tails.boum.org o monitoraggio da parte di terzi.
CAINE Computer Aided INvestigative
Environment è una distro
italiana, basata su Ubuntu,
utilizzata da consulenti
www.caine-live.net informatici forensi e Forze
dell’Ordine nelle attività
di digital forensics
e investigazioni digitali.
BLACKARCH Distro basata su Arch Linux
per tester di penetrazione
e ricercatori di sicurezza.
Il suo repository contiene
https://blackarch.org oltre 2.000 strumenti
che è possibile installare
singolarmente o in gruppi.
PARROT SECURITY OS Basata su Debian è stata
progettata espressamente
per pentesting, vulnerability
assessment & mitigation,
https://parrotlinux.org computer forensics e altre
attività relative alla sicurezza
informatica.
PENTOO LINUX Derivata da Gentoo Linux, è
dotata di driver Wi-Fi patchati
per il packet injection, software
per il cracking GPGPU e tanti
https://www.pentoo.ch altri tool per il penetration
testing e la valutazione
della sicurezza.
le distro GNU/Linux di cui non estrema facilità e configurare
potete fare a meno. Sarà inoltre la persistenza sull’unità USB
possibile aggiornare il tutto con lanciando un apposito script:
USB BOOT
Come usare
Ventoy sotto
DOWNLOAD Windows
https://bit.ly/
Per preparare la super chiavetta
collegatevi al sito https://www.
ventoy.net/en/download.html
e scaricate il file ventoy-1.0.71-
windows.zip. Scompattatelo
in una cartella e lanciate
l’eseguibile Ventoy2Disk.exe.
Cliccate sul menu Language
https://bit.ly/
e selezionate Italian (Italiano)
hj265_tails
per visualizzare menu e funzioni
nella nostra lingua. A questo
punto inserite la chiavetta nella
porta USB del computer
e cliccate il simbolo con le due
https://bit.ly/ frecce circolari accanto allo slot
hj265_caine Dispositivo. Qualche secondo
e l’unità viene riconosciuta.
Cliccate Opzioni e
successivamente Stile tabella
partizioni. Selezionate l’item
MBR. Per avviare la creazione
della pennetta Ventoy cliccate
Installa. Un messaggio vi
https://bit.ly/ avviserà che l’unità inserita sarà
hj265_blackarch formattata e che tutti i dati in
essa presenti saranno cancellati.
Scegliete Yes per proseguire
con l’operazione. Cliccate
nuovamente Yes per andare
avanti. Attendete una manciata
di secondi e il gioco è fatto.
https://bit.ly/
Confermate con OK e chiudete
hj265_parrot
il programma.
https://bit.ly/
hj265_pentoo
in questo modo, agli avvii
successivi le modifiche apportate
saranno ancora presenti.
49 
 HOW TO
INSTALLARE VENTOY USANDO UBUNTU
PASSO 1
Download della release
Dalla pagina GitHub ufficiale di Ventoy
(https://github.com/ventoy/Ventoy/releases)
scaricate l’ultima versione -linux.tar.gz disponibile
ed estraetela. Aprite il Terminale (Ctrl+Alt+T),
digitate cd, trascinateci dentro la directory estratta
e premete Invio.
PASSO 3
Cancellazione e installazione
Sempre da Terminale date il comando sudo sh
Ventoy2Disk.sh -i /dev/sdx dove x è la lettera
associata alla vostra unità (nell’esempio sde).
Prestate attenzione: questo comando eliminerà
tutti i file in essa presenti. Confermate con y.
PASSO 5
Boot da chiavetta
Riavviate il computer, entrate nel Boot Menu
e scegliete come dispositivo la chiavetta Ventoy.
Attendete qualche secondo per visualizzare il menu
di GRUB: nella schermata Ventoy selezionate cosa
avviare e premere Invio.
 50
PASSO 2
Individuare la pendrive USB
Collegate al PC la chiavetta USB da usare con Ventoy
e date il comando sudo parted -l per visualizzare
l’elenco dei dischi interni ed esterni. Scorrete la lista
e individuate la sigla associata alla vostra unità
esterna (nell’esempio /dev/sde).
PASSO 4
Copiare le ISO
Al termine della procedura Ventoy risulterà
installato nel MBR (Master Boot Record) della
chiavetta. Con il gestore File aprite la partizione
Ventoy della chiavetta USB e trascinate al suo
interno tutte le ISO che desiderate usare.
PASSO 6
Upgrade e persistenza
Per aggiornare Ventoy a una nuova release, basterà
scaricare i relativi file, estrarli e digitare il comando
sudo sh Ventoy2Disk.sh -u /dev/sdx.
Per configurare l’unità USB persistente:
sudo ./CreatePersistentImg.sh.
 Allena tutto il tuo sapere
con un’offerta speciale!

Eventuali allegati cartacei non sono inclusi nell’abbonamento. Lo sconto è computato sul prezzo di copertina al lordo di offerte promozionali
Puoi recedere entro 14 giorni dalla ricezione del primo numero. Per maggiori informazioni visita www.abbonamenti.it/cgascienza
edicola. La presente offerta, in conformità con l’art.45 e ss. del codice del consumo, è formulata da Mondadori Scienza S.p.A.
1 ANNO - 12 NUMERI

€ 19,90
A SOLI

34
ANZICHÉ € 30,00
+ € 2,90 di spese di spedizione
per un totale di € 22,80 iva inclusa SCONTO
%

ABBONATI SUBITO!
www.abbonamenti.it/enigmistica
POSTA Spedisci il coupon in busta chiusa a: DIRECT CHANNEL S.P.A. TELEFONO Chiama il n. 02 4957 2001
Casella postale 97 - Via Dalmazia 13 - 25126 Brescia (BS) Dal lunedì al venerdì dalle ore 9,00 alle 19,00

105 11 001 105 01

La presente informativa è resa ai sensi dell’art. 13 del Regolamento EU
SPECIALE COUPON DI ABBONAMENTO 679/2016 da Mondadori Scienza S.p.A., con sede in Via Bianca di Savoia
12 - Milano, titolare del trattamento, al fine di dar corso alla tua richiesta di
abbonamento alla/e rivista prescelta. Il trattamento dei tuoi dati personali si

Sì, mi abbono per 1 anno a Focus Enigmistica (12 numeri) con lo speciale sconto del baserà giuridicamente sul rapporto contrattuale che verrà a crearsi tra te e il
titolare del trattamento e sarà condotto per l’intera durata dell’abbonamento
e/o per un ulteriore periodo di tempo previsto da eventuali obblighi di legge.
34% a soli € 19,90 + € 2,90 di spese di spedizione, per un totale di € 22,80 (IVA inclusa) Sulla base del legittimo interesse come individuato dal Regolamento EU
679/2016, il titolare, in contitolarità con tutte le società afferenti al Gruppo
invece di € 30,00. Mondadori come indicate nella versione estesa della presente informativa
(i “Contitolari”), potrà inviarti comunicazioni di marketing diretto fatta
MI ABBONO REGALO L’ABBONAMENTO INDICO QUI I DATI DELLA PERSONA salva la tua possibilità di opporsi a tale trattamento sin d’ora spuntando
A CUI REGALO L’ABBONAMENTO:
la seguente casella ❑ o in qualsiasi momento contattando il titolare e/o
INDICO QUI I MIEI DATI: da compilare in ogni caso i Contitolari. Sulla base invece del tuo consenso espresso e specifico, i
Contitolari potranno effettuare attività di marketing indiretto e di profilazione.
Cognome Cognome Il titolare del trattamento ha nominato Direct Channel S.p.A., responsabile
del trattamento per la gestione degli abbonamenti alle proprie riviste. Il DPO
Nome Nome è contattabile a dpo@mondadori.it. Potrai sempre contattare il titolare e
i Contitolari all’indirizzo e-mail privacy@mondadori.it nonché reperire la
versione completa della presente informativa con l’indicazione specifica
Indirizzo N. Indirizzo N. dei Contitolari all’interno della sezione Privacy del sito www.abbonamenti.
it, cliccando sul logo della rivista da te prescelta, dove troverai tutte le
CAP Città CAP Città informazioni sull’utilizzo dei tuoi dati personali, i canali di contatto del titolare
del trattamento e dei Contitolari nonché tutte le ulteriori informazioni previste
Offerta valida solo per l’Italia

Prov. Tel. Prov. Tel. dal Regolamento ivi inclusi i tuoi diritti, il tempo di conservazione dei dati e
le modalità per l’esercizio del diritto di revoca.
NON INVIO DENARO ORA.
Il pagamento dell’abbonamento è previsto in un’unica soluzione ❑ Rilascio ❑ Nego il consenso per le attività di marketing indiretto
E-mail con il bollettino postale che ti invieremo a casa.
È importante inserire il tuo indirizzo e-mail, per poterti inviare i dati Se preferisci pagare con Carta di Credito collegati a:
❑ Rilascio ❑ Nego il consenso per le attività di profilazione
di accesso alla copia digitale, tutte le comunicazioni relative al tuo
abbonamento e le informazioni sui pagamenti. www.abbonamenti.it/enigmistica Data • • P001
 HOW TO
Alla scoperta di NTFS!
S E STA PA
RT E
Avete mai sentito parlare di Alternate Data Streams?
P
roseguiamo il nostro
IN BREVE 
approfondimento su NTFS
Studiamo a fondo
(New Technology File System),
le caratteristiche
di uno dei filesystem
il filesystem tipico dei sistemi
più diffusi. Windows di cui, puntata dopo puntata,
DIFFICOLTÀ
abbiamo appreso le basi e i “misteri”.
Arrivati a questo punto, dovremmo
conoscere perfettamente le aree
in cui è suddivisa una partizione NTFS,
ovvero [figura #1]:
• il boot sector (che coincide
con la regione iniziale), in cui sono
memorizzate non solo le informazioni
di base sul filesystem (tra cui la
dimensione dei cluster, concetto
illustrato nel box Settori e cluster)
ma anche quelle necessarie per
il caricamento del sistema operativo
(il cosiddetto bootstrap) e per accedere
alle strutture dati utilizzate per la
gestione del filesystem stesso;
• la Master File Table (MFT), la
struttura principale di NTFS, che
possiamo immaginare come
un’enorme tabella (descritta nel
dettaglio dal box omonimo) in cui a
ogni file è associato un elemento (detto
MFT entry o file record) che tiene
traccia di tutte le relative informazioni
(come la directory di appartenenza,
figura #1
La struttura di NTFS.
In questo articolo studiamo una
caratteristica di NTFS sfruttata
spesso dai malware per nascondersi
 52
la dimensione, i flag – compreso quello
che tiene traccia dello stato di
cancellazione – e il relativo contenuto,
o quanto meno l’indirizzo dei cluster
ove tale contenuto è memorizzato);
• l’area dati, la regione del disco
che ospita i contenuti dei file residenti
nella partizione.
I TOOL
Come abbiamo rapidamente scoperto
nel corso del nostro esame, nonostante
NTFS e Windows condividano
un’origine comune, per analizzare a
fondo il filesystem non sono sufficienti
le funzionalità messe a disposizione
dal sistema operativo. Queste, infatti,
consentono solo un’interazione di base
offrendo all’utente la possibilità
di operare ad alto livello sul filesystem
senza poter interagire direttamente
sulle strutture dati utilizzate per
la gestione dei relativi contenuti.
È per questo motivo che, puntata dopo
puntata, ci siamo affidati a diversi tool
specialistici che ci hanno consentito
dapprima di esaminare “più da vicino”
le strutture dati del filesystem, quindi
di lanciarci in un’operazione di
recupero di un file cancellato.
Strumenti come NTFStool, Kape
e MFTExplorer ci hanno consentito
di prendere dimestichezza con il
filesystem, ma successivamente sono
stati sostituiti da The Sleuthkit (TSK), la
suite libera (è rilasciata sotto le licenze
“IBM Public License” e “Common Public
License”) impiegata in pianta stabile
nelle ultime puntate. Scaricabile

L’homepage di Sleuthkit.
gratuitamente dall’indirizzo Web
www.sleuthkit.org [figura #2],
Sleuthkit può essere utilizzata
in ambiente Windows senza
necessità di installazione:
è sufficiente decomprimere la
versione più recente per ritrovarsi
tutti i tool nella sottodirectory bin,
immediatamente operativi.
ADS
Si tratta di una suite di strumenti
in grado di mostrare – senza alcun
filtro – le principali strutture
del filesystem, consentendo
a un utilizzatore consapevole di
approfondire le peculiarità tipiche
di NTFS, come gli Alternate Data
Streams (ADS) oggetto di questa
puntata. Di cosa stiamo parlando?
Gli Alternate Data Streams sono
una delle funzionalità meno note
di NTFS e allo stesso tempo una di
quelle che più lo caratterizzano, in
quanto consentono di definire “un
file dentro un file”. In termini più
formali, gli ADS sono flussi di dati
alternativi, che possiamo associare
a un file in aggiunta al suo
contenuto “ordinario”.
figura #2
Come abbiamo avuto modo di
osservare nelle scorse puntate
(e come illustrato nel box Master
File Table), per NTFS un file non
è altro che un insieme di attributi:
ma nulla abbiamo detto in merito
all’unicità di tali attributi. Per
$DATA, in particolare, non sussiste
alcun obbligo di unicità all’interno
del medesimo file record: segue
che è possibile avere entry MFT
(e quindi file) con attributi $DATA
(e quindi contenuti) multipli.
L’unico requisito è rappresentato
dal fatto che a ogni attributo
$DATA aggiuntivo sia associata
un’etichetta che, utilizzata
congiuntamente al nome del file,
consenta di reperirne il relativo
contenuto.
CREARE UN ADS
Il primo passo per analizzare un
ADS sta, naturalmente, nella sua
creazione. Riprendiamo in mano
la chiavetta utilizzata nella puntata
precedente: come ricordiamo,
al momento vi è un solo file
memorizzato [figura #3], ovvero
dd.txt, contenente il manuale
FILESYSTEM
Cygwin
Linux dentro
Windows
Cygwin è una suite di tool
in grado di fornire – in ambiente
Windows – funzionalità
comparabili a quelle
di una qualsiasi distribuzione
GNU/Linux. È liberamente
scaricabile dal sito Web
del progetto (https://www.
cygwin.com/index.html)
e l’installazione non richiede
particolari accortezze:
è sufficiente accettare le scelte di
default proposte dall’interfaccia
di installazione, a eccezione
di quelle per la selezione della
tipologia di connessione (nella
stragrande maggioranza dei casi
è sufficiente optare per “direct
connection”) e del mirror da
utilizzare per il download. Una
volta completata l’installazione,
basta avviare Cygwin cliccando
sulla relativa icona presente
sul desktop per accedere
a un vero e proprio terminale
GNU/Linux implementato
in ambiente Windows!
dell’omonimo tool. Aggiungiamo
un secondo file che
denomineremo semplicemente
file-vuoto.txt: basta cliccare con il
tasto destro del mouse sull’elenco
dei file presenti nel drive e
selezionare dal menu contestuale
le voci New | Text Document.
Lasciamo il file rigorosamente
vuoto e, prima di procedere,
verifichiamo che lo sia davvero,
utilizzando il prompt dei comandi
che possiamo richiamare cliccando
sul pulsante Windows e inserendo
nella barra dei comandi la stringa
cmd. Una volta avviato,
spostiamoci sui contenuti del
53 
 HOW TO
figura #3 supporto rimovibile
con il comando

> d:

avendo cura di variare la lettera

a seconda del drive assegnato
dal vostro sistema operativo alla
chiavetta. Digitando dal prompt:

> dir

Il contenuto della nostra chiavetta USB di test. avremo modo di ottenere la

conferma della dimensione, pari
a zero, di file-vuoto.txt [figura #4].
È il momento di creare l’Alternate
figura #4 Data Stream per file-vuoto.txt:
il comando da eseguire,
in questo caso, è

> echo “il file non e’ piu’

vuoto adesso” > file-vuoto.
txt:ads.txt

che inserisce la stringa “il file non

Adesso la chiavetta contiene anche un file vuoto. e’ piu’ vuoto adesso” all’interno
dell’ADS file-vuoto.txt:ads.txt.

figura #5 Et voilà: abbiamo un file (file-

vuoto.txt) in cui è definito un ADS
(ads.txt) a cui possiamo accedere
tramite la sintassi file-vuoto.
txt:ads.txt.

COSA È CAMBIATO?
Nonostante l’aggiunta di ulteriori
byte al file – 32 per la precisione,
uno per ogni carattere della
Nonostante l’aggiunta di un ADS, la dimensione mostrata
dal sistema è sempre la stessa. stringa inserita nell’ADS –
il sistema operativo (sia attraverso
figura #6 la GUI, sia dal prompt dei comandi
- [figura #5]) continua a indicare
che la dimensione di file-vuoto.txt
è pari a zero. Questo
comportamento non deve
sorprenderci perché, come
abbiamo già avuto modo di
Ecco le partizioni montate sul sistema sottolineare, quello definito è uno
e i device file corrispondenti. stream dati aggiuntivo rispetto

 54
 FILESYSTEM
Settori e cluster
Per gestire la memorizzazione delle informazioni, i byte di cui è composto un disco sono suddivisi in settori, aree
logiche dalla dimensione omogenea. I settori, a loro volta, vengono raggruppati in cluster, in una proporzione
variabile – entro i parametri previsti dalle specifiche del filesystem – stabilita all’atto della formattazione. Il cluster
costituisce l’unità minima di allocazione: indipendentemente dalla sua reale dimensione (fosse anche un singolo
byte!) ogni file occupa almeno un cluster su disco (ed ecco la disparità, che a volte si può notare smanettando
con le proprietà di dischi, file e directory, tra le dimensioni reali del file e le dimensioni occupate su disco!).

al principale: i tool di sistema ricorrendo a Sleuthkit, con la $ cat /proc/partitions

(a meno di usare opzioni piuttosto
specifiche) si limitano invece
a consultare lo stream principale
di ciascun file (quello, non a caso,
che assumiamo implicitamente
come il “contenuto”) per indicarne
la dimensione totale.
L’introduzione dell’ADS nel file
non è stata, tuttavia, priva di
conseguenze. Contrariamente
a quanto potremmo credere,
se osserviamo con attenzione
l’output del comando dir prima
[figura #4] e dopo [figura #5]
l’operazione, non possiamo non
notare come la data di modifica
del file abbia subito un
cambiamento, incrementandosi
di 5 minuti (ovvero il tempo
intercorso tra la creazione del file
vero e proprio e l’aggiunta
dell’ADS). Se da un lato infatti
“non abbiamo toccato” lo stream
principale del file, che infatti
conseguente necessità di procedere
all’estrazione dell’immagine bit a bit per individuare il nome
della nostra chiavetta da fornire in del device associato alla
pasto ai tool della suite. A tal fine: chiavetta (nel nostro caso
• avviamo Cygwin (il tool installato è sdb1, ovvero il device
nelle precedenti puntate, secondo corrispondente al punto di
quanto riportato nell’omonimo box) mount del dispositivo, che
e utilizziamo il comando cd per per noi è D:\, [figura #6]);
spostarci nella directory che ospita • invochiamo il comando
i binari di Sleuthkit – nel nostro caso, dd per l’estrazione
essendo la directory di Sleuthkit dell’immagine, a cui
salvata direttamente sul desktop, è assegniamo il nome di
sufficiente il comando chiavettaADS.dd [figura #7]:
cd sleuthkit/bin $ dd if=/dev/sdb1
of=chiavettaADS.dd
• eseguiamo il comando
figura #7
La creazione dell’immagine della chiavetta USB.

figura #8
continua ad apparire come un file
vuoto, dall’altro l’introduzione
di un ADS ha comportato una
modifica al file stesso (o meglio al
relativo file record, con l’aggiunta
di un ulteriore header $DATA!)
che viene correttamente tracciata
nei relativi tempi di accesso.

L’IMMAGINE
Di fronte a questa considerazione,
non ci resta che “dare un’occhiata”
più approfondita al file record Per comodità, salviamo l’immagine nella
directory bin di Sleuthkit.

55 
 HOW TO

Master File Table

Gran parte del design di NTFS può essere sintetizzato con due concetti: la Master File Table e l’assunto che “ogni
oggetto è un file”. Che si tratti del boot sector, della root directory o dei metadati deputati alla gestione del filesystem
(compresa la stessa Master File Table), tutto viene rappresentato da NTFS sotto forma di file. Possiamo pensare
alla MFT come una gigantesca tabella, che associa a ciascun file presente nel filesystem un elemento detto MFT entry
o file record. Ogni file record è identificato univocamente da un apposito indice, che ne specifica la posizione
all’interno della tabella:
• il primo file record ha indice pari a 0, e contiene gli attributi relativi al file $MFT, che identifica la MFT stessa;
• il secondo (indice 1) fa riferimento al file $MFTMirr, ovvero la copia della MFT;
• il sesto (indice 5) rappresenta la root directory del filesystem (.), l’ottavo il boot record ($Boot), mentre gli elementi
dall’indice 27 in poi sono generalmente associati a file ordinari;
e ha una struttura composta da due grandi aree:
• un header iniziale contenente informazioni di carattere generale, come la dimensione effettiva e allocata su disco
o il numero di sequenza (che indica il numero di riutilizzi del file record, incrementandosi ogni volta che il file associato
viene cancellato e ricreato);
• una lista di attributi, il cui contenuto varia da attributo ad attributo.
Sono proprio gli attributi a definire il file: in NTFS, infatti, un file non è altro che un insieme di attributi. Tra questi,
è opportuno segnalare:
• $DATA, l’attributo – generalmente non residente, ovvero esterno al file record, che si limita a conservare l’indirizzo
dei cluster ove l’attributo è effettivamente memorizzato – a cui è affidato il compito di conservare il contenuto del file;
• $STANDARD_INFORMATION, l’attributo (residente, ovvero interno al file record) che memorizza le informazioni
temporali (come tempi di creazione, modifica e accesso) e i flag (quelli relativi, per esempio, ai file di sistema, read only,
nascosti o compressi) di ciascun file e directory del volume;
• $FILE_NAME (anch’esso residente), che viene utilizzato per la memorizzazione di nome e dimensione dei file
(quest’ultima distinta in dimensione reale e dimensione allocata) e per i riferimenti alla directory di appartenenza.

figura #9 SLEUTHKIT
A questo punto è tutto pronto
per la nostra indagine: avviamo
innanzitutto il comando
fls sulla chiavetta, mediante
la classica sintassi

$ ./fls chiavettaADS.dd

Il relativo output, visibile in [figura #8],

presenta una peculiarità che
non può non attirare la nostra
attenzione: ci sono infatti ben
due righe per file-vuoto.txt,
una dedicata allo stream principale
e una all’ADS che abbiamo definito
in precedenza.
Ma non finisce qui: le due righe
presentano anche indici leggermente
differenti, ovvero 39-128-1 per file-
vuoto.txt e 39-128-7 per il relativo
ADS. Come possiamo interpretare
L’output di istat, da cui appare evidente la modifica ai tempi questo comportamento del tool?
di accesso al file...

 56

… e due attributi $DATA.
Con icat possiamo ottenere i contenuti di entrambi
gli attributi $DATA.
FLS & ADS
Come abbiamo avuto modo di
ribadire nelle precedenti puntate,
gli indici dei file record sono
semplici valori numerici che ne
stabiliscono la posizione all’interno
della MFT, misurandola in termini
di offset dal primo elemento
(indice 0 per la prima entry,
1 per la seconda, 2 per la terza
e così via): per poter accedere agli
eventuali flussi aggiuntivi di dati,
tuttavia, i tool di Sleuthkit adottano
indici del formato x-y-z, in cui:
• x rappresenta l’indice numerico
vero e proprio del file record;
• y-z è la porzione dell’indice
coincidente con il codice numerico
associato all’attributo $DATA
d’interesse.
In altri termini, nel caso
di file-vuoto.txt:
• l’indice della relativa entry MFT
è 39, che infatti costituisce un
prefisso comune per entrambe
le righe evidenziate in [figura #8];
figura #10
figura #11
• l’attributo $DATA del flusso
principale è 128-1;
• l’attributo $DATA dell’ADS
appena definito è 128-7.
ISTAT
Possiamo ottenere una conferma
definitiva di queste supposizioni
utilizzando il comando istat
per visualizzare i contenuti della
entry MFT di file-vuoto.txt,
con la sintassi [figura #9]:
# ./istat.exe chiavettaADS.dd
39
Quella che ci interessa, in questo
caso, è la porzione finale
dell’output del comando, in cui
sono riportati gli attributi $DATA
associati al file. E proprio come ci
aspettavamo, in questo caso gli
attributi sono due [figura #10]:
• quello principale, caratterizzato
dall’assenza di un nome specifico,
di tipo residente e a cui non è
FILESYSTEM
associato alcun contenuto
(dimensione complessiva
pari a 0);
• l’ADS, denominato per l’appunto
ads.txt, della dimensione
di 37 byte.
Al pari di quanto visto nelle
precedenti puntate con i file privi
di questa peculiarità, possiamo
visualizzare i contenuti del file
(ADS compresi) con il comando
icat. Se utilizziamo la sintassi alla
quale siamo abituati, ovvero
# ./icat.exe chiavettaADS.dd 39
possiamo accedere ai contenuti
dello stream principale del file;
viceversa per stampare a video
i contenuti dell’ADS dobbiamo
passare al tool l’indice completo,
ovvero 39-128-7 [figura #11]:
# ./icat.exe chiavettaADS.dd
39-128-7
USI MALEVOLI
Da questa breve carrellata non
è difficile dedurre come mai
gli Alternate Data Streams
rappresentino una delle
caratteristiche meno note eppure
più demonizzate: negli anni,
il numero di utenti “ordinari”
che ne conosce l’esistenza
(e, soprattutto, ne sfrutta le
potenzialità!) è andato via via
assottigliandosi, mentre per contro
sono rimasti costanti (se non sono
addirittura incrementati) i casi
di utilizzo malevolo. Un Alternate
Data Stream è, in altri termini,
divenuto uno dei “nascondigli”
preferiti dal malware per celarsi
in un filesystem prima di iniziare
a fare danni: una ragione in più
per conoscere (e comprendere)
questa funzionalità di NTFS...
57 
 HACKULTURE
ECC O H O P P E R ,
IL WOR M E T I C O !
P
rendete uno degli
strumenti più micidiali
e pericolosi nel campo
della security e
trasformatelo in un amico che
vi permette di fare auditing dei
sistemi e scoprire debolezze e
vulnerabilità: avrete ottenuto
Hopper, il worm etico creato
da Cymulate, società di
cybersicurezza che opera
soprattutto nella protezione
dei servizi finanziari e medicali.
Hopper è uno strumento
estremamente utile perché
consente di testare
 58
il funzionamento delle difese dei
server in cui si infiltra e riporta
informazioni fondamentali su
quali sono le potenziali
debolezze e come mitigarle.
È, praticamente, un pentester
molto speciale e automatico.
COS’È UN WORM ETICO
A differenza di un worm
tradizionale, che ha come obiettivo
sia la propria diffusione che il
deploy di un payload contenente
malware, un worm etico è un virus
con funzionalità limitate. Il suo
scopo è prevenire gli attacchi degli
IL PRIMO VERO WORM
È "Creeper" del 1971:
si autoreplicava infettando
i primi computer in rete.
www.historyofinformation.
com/detail.php?entryid=2860
altri worm testando il
funzionamento delle difese
e cercando di infiltrarle senza
provocare danni. Quindi, un worm
etico usa tutte le tecniche più
sofisticate per mascherare le
proprie attività, mimetizzandole
con il normale traffico di rete. Per
esempio, è attento anche agli orari
di attività, per fare in modo che
i sistemi di sicurezza non lo traccino
sulla base di analisi statistiche.
Inoltre, il worm comunica solo con
servizi consentiti dalle reti interne,
come Slack o Fogli di Google
o altri servizi del genere, per non
generare traffico sospetto.
COM’È FATTO
Hopper (il cui nome in inglese vuol
dire “saltatore” e fa riferimento
alla capacità del worm di spostarsi
autonomamente da un nodo a un
altro della rete) è un classico worm
del tipo Command & Control con
le capacità più pericolose tipiche
di un virus che si replica da solo,
per esempio è capace di scalare
i privilegi. Il suo obiettivo, però,
è comunicare alla casa madre
quanto lontano è riuscito ad
arrivare, che difese ha superato
 WORM

p ente st a uto m a tici

Serve per crearee da nn i alla R ete:
r
ma senza crea to più potente
l’attacco simula
in circolazione
e quindi come fare a renderle
più robuste. La sua struttura è
relativamente semplice: la testa
del verme è uno stager, un
piccolo eseguibile con un payload
iniziale che serve a caricare
i moduli necessari per l’attacco.
In pratica, ci sono un primo e un
secondo stadio di payload che
assieme permettono di testare
la solidità della difesa senza
eseguire malware sulle macchine
che vengono testate. Per questo
la parte in realtà più critica
dell’attacco automatico, ovvero
l’escalation dei privilegi, è limitata
e si basa su una serie di errori di
configurazione tipici o
vulnerabilità di servizi che
vengono poi raccolte in un db
remoto e utilizzate per spingere
avanti anche le altre istanze del
worm, che è così ancora più
piccolo e difficile da rilevare.
GIOCARE A NASCONDINO
Perché un attacco di un worm
come Hopper funzioni è
necessario che sia capace di
infiltrare una rete e sfruttare delle
cattive configurazioni (dai servizi
di spooling di stampa alle Active
Directory di Windows Server).
Ma deve anche usare tecniche per
le quali la sua attività non venga
rilevata dagli antivirus che
cercano il malware anche sulla
base del comportamento
“scorretto” di software
apparentemente leciti. Hopper
è il terzo dei sei stadi dei pentest
che Cymulate vende ai suoi clienti:
dalle email contenenti malware ai
siti Web compromessi, dagli
attacchi di phishing alla resilienza
in caso di perdita di dati sino alla
resistenza del firewall. Il worm
etico è l’arma finale che secondo
i White Hat di Cymulate ha fatto
più vittime di tutti gli altri attacchi
simulati combinati.

COS’È UN WORM
U n worm è un malware automatico che si replica
rapidamente per diffondersi in altri computer. In una
rete locale, per espandersi più rapidamente, si basa sulle
falle nella sicurezza del primo computer di destinazione.
Una volta entrato in questo primo computer, che diventa
l'host, inizia a scansionare e infettare altre macchine nella
LAN. Quando il worm ha acquisito il controllo di questi nuovi
computer, continua a eseguire la scansione delle reti
collegate per cercare di infettare altri computer e usarli di
nuovo come host. Questo comportamento continua in
maniera automatica, diffondendo la minaccia in modo
esponenziale. In realtà, i worm informatici usano metodi
ricorsivi per copiare se stessi anche senza host: in questo
modo riescono a distribuirsi in base alla legge matematica
della crescita esponenziale, controllando e infettando
sempre più computer in breve tempo. Per chi si occupa di
computer forensic, un worm per essere definito tale deve
avere quattro caratteristiche: essere un software autonomo
e indipendente; deve essere tecnicamente complesso (non
bastano poche righe di codice che copiano dei bit su alcuni
settori del disco); deve contenere anche un exploit per un
attacco (è il payload); infine deve essere altamente
contagioso, cioè diffondersi velocemente tramite canali
diversi: email, cartelle condivise, pagine Web infettate.

59 
 N E@ H AC KE RJ O U RN A L .i t
REDAZIO
REPLY
DIPLOMA DI ETHICAL
HACKER
Mi sono avvicinato da poco
al settore della sicurezza
informatica aziendale, dove
ho visto buone possibilità di
impiego. Mi potete consigliare
un corso per Ethical Hacker
che possa farmi curriculum
nella ricerca di un impiego?
Paolo di identificare e ripulire
 preventivamente PDF sospetti?
Diverse università italiane,
a partire da quelle di
Milano, Genova, Torino e Roma,
offrono corsi di laurea magistrale
in sicurezza informatica e in
qualche caso anche corsi di
laurea di primo livello (post
diploma) come quello in
Sicurezza dei sistemi e delle
reti informatiche dell’Università
Statale di Milano. Per trovare
un lavoro non è comunque
indispensabile conseguire
una laurea o un master, ma
possono andare bene corsi
professionalizzanti come quello
in Cybersecurity offerto
gratuitamente dalla Regione
Friuli Venezia Giulia.
Chi poi non ha esperienza nel
settore, potrà seguire un corso
online come quello di Udemy
Da 0 ad Hacker (https://www.
udemy.com/course/da-0-ad-
hacker/) che però non servirà
molto per il tuo CV.
 60
n la redazione insieme
Condividi i tuoi dubbi co
nti su quello che vorresti
a nuove idee e suggerime it
zione@hackerjournal.
vedere sulla rivista: reda
PDF A RISCHIO due container Linux che
Sto scaricando per il mio funzionano da macchine virtuali.
corso di laurea diversi Per utilizzare DangerZone
documenti PDF, uno dei quali su computer Windows
doveva contenere un qualche o Mac bisognerà avere
worm che mi sono subito precedentemente installato
beccato e che per fortuna Docker Desktop, www.docker.
non ha fatto troppi danni. com, una macchina virtuale
È possibile che non esista Linux in grado di gestire
un qualche anitivirus in grado i container necessari al
funzionamento di DangerZone.
Luca
In realtà i classici antivirus,
naturalmente debitamente
aggiornati, dovrebbero riuscire
a identificare eventuali worm
o JavaScript contenuti nei file
PDF. Esiste però un software
Open Source dedicato come
DangerZone (https://dangerzone.
rocks), specifico per documenti
non solo PDF ma anche Office,
che non si limita a cercare
eventuali malware nei
documenti, ma li archivia in una
sandbox protetta, all’interno
della quale poi li convertirà in
sicurezza. DangerZone sfrutta
Oltre ai corsi universitari attivati da
molte facoltà, è possibile seguire corsi
professionalizzanti sulla sicurezza
offerti gratuitamente da alcune Regioni
 IN EDICOLA
DAL 20 LUGLIO

Scansiona il QR Code

Acquistala su www.sprea.it/prog
versione digitale disponibile dal 17 luglio
 Il prossimo nu mero ottobre
0
sa ra‘ in ed icola da l 2
Steganogrfera fia facile
tto per comunicare
Lo strumento pe
con le immagini
informazioni di nascosto

acking r
Console mhula tore giusto pe
Abbiamo scovato l’e
Switch nel PC
“mettere” la Nintendo

Una casa
nel Web profondo
MITRE ATT&CK
attaccanti
Tutto quello che devi sa
pere per creare Si fa un gran parlare di
agiscono,
il tuo sito Web con indiriz
zo .onion e “avversari”: ma come noscere
o a co
nel concreto? Impariam r scoprirlo!
il framework ATT&CK pe

Mensile - prezzo di copertina 3,90 €
www.hackerjournal.it - redazione@hackerjournal.it
La Divisione Informatica di Sprea edita anche:
WIN MAGAZINE ✦ LINUX PRO ✦ UBUNTU FACILE
MAC MAGAZINE✦ APP JOURNAL ✦IL MIO COMPUTER IDEA
Business Unit Manager: Massimiliano Zagaglia
Cover: Luca Patrian
Impaginazione: Alessandro Buonaiuto
Hanno collaborato: Antonio Dini, Francesco Pensabene, Maurizio Russo, Noemi Chierchia,
Roberto Premoli, Vincenzo Digilio
Servizi editoriali: Backdoor di Gianmarco Bruni
Sprea S.p.A.
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
PI 12770820152- Iscrizione camera Commercio 00746350149
Per informazioni, potete contattarci allo 02 924321
CDA: Luca Sprea (Presidente), Alessandro Agnoli (Amministratore Delegato),
Giulia Spreafico (Divisione digital), Stefano Pernarella (ADV & PR)
SERVIZIO QUALITÀ EDICOLANTI E DL Distributore per l’Estero: SO.DI.P S.p.A. Via Bettola, 18 - 20092 Cinisello Balsamo (MI)
Sonia Lancellotti, Virgilio Cofano, Luca Majocchi: Tel. 02 92432295 Tel. +390266030400 - Fax +390266030269 - sies@sodip.it - www.sodip.it
distribuzione@sprea.it 351 5582739
Stampa: Arti Grafiche Boccia S.p.A.- Via Tiberio Claudio Felice, 7- 84131 Salerno
ABBONAMENTI E ARRETRATI Copyright: Sprea S.p.A.
Abbonamenti: si sottoscrivono on-line su www.sprea.it/hackerjournal
Informativa su diritti e privacy
abbonamenti@sprea.it La Sprea S.p.A. titolare esclusiva della testata Hacker Journal e di tutti i diritti di pub-
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00) blicazione e di diffusione in Italia. L’utilizzo da parte di terzi di testi, fotografie e dise-
Il prezzo dell’abbonamento è calcolato in modo etico perché sia un servizio gni, anche parziale, è vietato. L’Editore si dichiara pienamente disponibile a valutare -
utile e non in concorrenza sleale con la distribuzione in edicola. e se del caso regolare - le eventuali spettanze di terzi per la pubblicazione di immagini
Arretrati: si acquistano on-line su www.sprea.it/arretrati di cui non sia stato eventualmente possibile reperire la fonte. Informativa e Consenso
abbonamenti@sprea.it in materia di trattamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel vigore
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00) del D.Lgs 196/03 il Titolare del trattamento dei dati personali, ex art. 28 D.Lgs. 196/03,
329 3922420 è Sprea S.p.A. (di seguito anche “Sprea”), con sede legale in Via Torino, 51 Cernusco sul
Naviglio (MI). La stessa La informa che i Suoi dati, eventualmente da Lei trasmessi
FOREIGN RIGHTS alla Sprea, verranno raccolti, trattati e conservati nel rispetto del decreto legislativo
Paolo Cionti: Tel. 02 92432252 - paolocionti@sprea.it ora enunciato anche per attività connesse all’azienda. La avvisiamo, inoltre, che i Suoi
dati potranno essere comunicati e/o trattati (sempre nel rispetto della legge), anche
all’estero, da società e/o persone che prestano servizi in favore della Sprea. In ogni
SERVIZI CENTRALIZZATI
Art director: Silvia Taietti momento Lei potrà chiedere la modifica, la correzione e/o la cancellazione dei Suoi
dati ovvero esercitare tutti i diritti previsti dagli artt. 7 e ss. del D.Lgs. 196/03 mediante
Grafici: Alessandro Bisquola, Tamara Bombelli, Nicole Bombelli, Nicolò Digiuni,
comunicazione scritta alla Sprea e/o direttamente al personale Incaricato preposto al
Marcella Gavinelli, Luca Patrian
trattamento dei dati. La lettura della presente informativa deve intendersi quale pre-
Coordinamento: Chiara Civilla, Tiziana Rosato, Roberta Tempesta, Silvia Vitali
sa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e l’invio dei Suoi dati personali alla
Amministrazione: Erika Colombo (responsabile), Silvia Biolcati, Irene Citino, Sprea varrà quale consenso espresso al trattamento dei dati personali secondo quanto
Desirée Conti, Sara Palestra - amministrazione@sprea.it sopra specificato. L’invio di materiale (testi, fotografie, disegni, etc.) alla Sprea S.p.A.
Ufficio Legale: Francesca Sigismondi deve intendersi quale espressa autorizzazione alla loro libera utilizzazione da parte di
Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo di esempio, alla
Hacker Journal, registrata al tribunale di Milano il 27/10/2003 con il numero 601. pubblicazione gratuita su qualsiasi supporto cartaceo e non, su qualsiasi pubblicazio-
ISSN 1594-5774 ne (anche non della Sprea S.p.A.), in qualsiasi canale di vendita e Paese del mondo.

ADVERTISING, SPECIAL PROJECTS & EVENTS Direttore responsabile: Luca Sprea

Segreteria: Emanuela Mapelli - Tel. 02 92432244 - emanuelamapelli@sprea.it Distributore per l’Italia: Press-Di Distribuzione stampa e multimedia s.r.l. - 20090 Segrate Il materiale inviato alla redazione non potrà essere restituito.
 IN EDICOLA
DAL 26 LUGLIO

edi67
Scansiona il QR Code

Acquistala su www.sprea.it/mototours
versione digitale disponibile dal 23 luglio
 PU BBLICITÀ
100% INDIPENDENTE! NO

T utto quello
ch e g l i a l t r i
n o n o s a n o d i r t i !

IN QUES T O N U M E R O
VULNERABILITÀ | Un cloud troppo condiviso
Un difetto nella progettazione di un servizio Microsoft Azure permette
a chiunque di ottenere token validi per l’accesso alle risorse di altri utenti

PINEPHONE | Smartphone da hacker!

Abbiamo provato uno smartphone pensato per donare
il controllo totale sul dispositivo. Ecco com’è andata

NAVIGARE SICURI | Navigazione 100% sicura

Ecco un’estensione per browser capace di rendere la navigazione
su Internet migliore: priva di pubblicità, sicura e attenta alla privacy

LETTERE | PDF a rischio

Le domande dei lettori, le risposte degli esperti della redazione.
Anche online sul nostro sito: https://hackerjournal.it

NUMERO 265 • MENSILE • 3.90 €

P.I. 09-08-2022 - Agosto/Settembre

Prezzi esteri: AUT € 7,50 - BE € 7,00 - LUX € 6,50 - F+PM € 9,50 FR + € 10,50 PM - ES € 6,00 - PT (Cont.) € 5,50 - CH Tedesca CHF 8,3 - CH Ticino CHF 7,3 - OLANDA € 7,50