Académique Documents
Professionnel Documents
Culture Documents
E7 ,70
I N F O R M A T I C A F A C I L E
PC Guide
V i d e o
LTRE O OFWARE
S
SUL CD
1 GIORNO
Non confondere Hacker e Cracker Come difendersi - Aspetti legali
40
2 GIORNO
Com fatta una rete - Siti fantasma Individuare il bersaglio: Neotrace Trovare il numero di porta: portscan
HACKER
La guida pratica per difendersi dai pirati informatici imparando dalle loro tecniche di attacco
IL MONDO DEGLI
Tipologie di attacco
Danni limitati: e-mail anonime - I Nuke Danni di media portata: Il File System - Sproteggere programmi Intercettazioni di rete wireless Virus - Lo Sniffing Danni gravi: Sproteggere programmi IP Spoofing - Attacchi DoS Lo Smurf - Attacchi DDoS
3 GIORNO
4 GIORNO
5 GIORNO
Come difendersi
Precauzioni contro i danni limitati: E-mail anonime: metodi di difesa PGP e la crittografia della posta elettronica I Nuke: metodi di difesa Precauzioni contro i danni di media portata: Quale sistema operativo per essere sicuri? Intercettazioni wireless: metodo di difesa Antivirus, Symantec Norton Antivirus 2003 Avast! Buchi di IIS: metodo di difesa Lo sniffing: metodo di difesa Precauzioni contro i danni gravi: IP Spoofing: metodi di difesa HTTPS e siti sicuri Che cos' un firewall e a cosa serve? ZoneAlarm - Attacchi DoS: metodi di difesa Lo Smurf: metodi di difesa
6 GIORNO
7 GIORNO
Anno V N.ro 3 (24) - Periodicit bimestrale Reg. Trib. di CS n.ro 620 del 17 settembre 1998 - Codice ISSN 1592-8845 e-mail: pcvideoguide@edmaster.it - www.edmaster.it/pcvideoguide Direttore Editoriale: Massimo Sesti Direttore Responsabile: Vincenzo De Napoli Realizzato da: Studio Infolab Informatica Responsabile Marketing: Antonio Meduri Responsabili Editoriale: Gianmarco Bruni Redazione: Carmelo Ramundo Collaboratori: Maurizio Barbato Segreteria di redazione: Veronica Longo REALIZZAZIONE GRAFICA CROMATIKA S.r.l. Responsabile Grafico: Paolo Cristiano Coord. Tecnico: Giancarlo Sicilia Impaginazione elettronica: Nuccia Marra
Certificato UNI EN ISO 14001 N. 9191 CRMT
Rispettare luomo e lambiente in cui esso vive e lavora una parte di tutto ci che facciamo e di ogni decisione che prendiamo per assicurare che le nostre operazioni siano basate sul continuo miglioramento delle performance ambientali e sulla prevenzione dellinquinamento
PUBBLICIT Edizioni Master - Via Cesare Correnti, 1 - 20123 Milano Tel. 02 8321612 - Fax 02 8321754 - e-mail: advertising@edmaster.it Coordinamento vendite: Digitstaff s.l. Agenti di Vendita: Cornelio Morari, Serenella Scarpa Segreteria Ufficio Vendite: Daisy Zonato EDITORE EDIZIONI MASTER S.R.L. Sede di Milano: Via Cesare Correnti, 1 - 20123 Milano - Tel. 02 8321482 Fax 02 8321699 Sede di Rende: C.da Lecco N 64 - Zona industriale Amministratore Unico: Massimo Sesti ARRETRATI Costo arretrati (a copia): il doppio del prezzo di copertina + C 5,32 spese (spedizione con corriere) (Prima di inviare i pagamenti, verificare la disponibilit delle copie arretrate al num. Telef. 028321482) La richiesta contenente i Vs. dati anagrafici e il nome della rivista, dovr essere inviata via fax al num. 028321699, oppure via posta a EDIZIONI MASTER S.r.l. via Cesare Correnti, 1 - 20123 Milano, dopo avere effettuato il pagamento, secondo le modalit di seguito elencate: cc/p n.16821878 o vaglia postale (inviando copia della ricevuta del versamento insieme alla richiesta); assegno bancario non trasferibile (da inviarsi in busta chiusa insieme alla richiesta); carta di credito, circuito VISA, CARTASI, MASTERCARD/EUROCARD, (inviando la Vs. autorizzazione, il numero della carta, la data di scadenza e la Vs. sottoscrizione insieme alla richiesta). SOSTITUZIONE CD-ROM: Inviare il CD-Rom difettoso in busta chiusa a: Edizioni Master - Servizio Clienti - Via Cesare Correnti, 1 - 20123 Milano ASSISTENZA TECNICA: e-mail: pcvideoguide@edmaster.it
Servizio abbonati
"
Stampa rivista: AGEM- SS 640 Caltanissetta Stampa CD-Rom: Multimedia Press - C.da Molina - Orsomarso (CS) Distributore esclusivo per lItalia: Parrini & C. s.p.a. - Via Vitorchiaro, 81 - Roma Finito di stampare Maggio 2003
EDIZIONI MASTER edita: Idea Web, Go!OnLine Internet Magazine, Win Magazine, Quale Computer, DVD Magazine, Office Magazine, ioProgrammo, Linux Magazine, Discovery DVD, Softline Software World, <tag/>, MPC, Computer Games Gold, inDVD, I Fantastici CD-Rom, I Corsi di Win Magazine, PC VideoGuide, Le Collection.
Nessuna parte del prodotto pu essere in alcun modo riprodotta senza autorizzazione scritta della Edizioni Master. Manoscritti e foto originali, anche se non pubblicati, non si restituiscono. I contributi editoriali (di qualsiasi tipo), anche se non utilizzati, non si restituiscono. Non si assume alcuna responsabilit per eventuali errori od omissioni di qualunque tipo. Nom i e marchi protetti sono citati senza indicare i relativi brevetti. La Edizioni Master non si assume alcuna responsabilit per danni o altro derivanti da virus informatici non riconosciuti dagli antivirus ufficiali allatto della masterizzazione del supporto.
www.itportal.it
I N F O R M A T I C A
F A C I L E
PC Guide
V i d e o
Il mondo degli
HACKER
Sommario
GUIDA AL CD-ROM
Introduzione . . . . . . . . . . . . . . . . . . . . . . .pag. 10 Utilizza della videoguida . . . . . . . . . . . . . 13 Danni di media portata . . . . . . . . . . . . .pag. 33
Il File System . . . . . . . . . . . . . . . . . . . . . . . . FAT 16/32 . . . . . . . . . . . . . . . . . . . . . . . . . . . NTFS e vari file system con diritti . . . . . . Sproteggere programmi . . . . . . . . . . . . . . Intercettazioni di rete wireless . . . . . . . . . Virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipi di virus . . . . . . . . . . . . . . . . . . . . . . . . . I buchi di IIS . . . . . . . . . . . . . . . . . . . . . . . . Lo Sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . Sproteggere programmi . . . . . . . . . . . . . . IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . DNS Spoofing . . . . . . . . . . . . . . . . . . . . . . . Attacchi DoS . . . . . . . . . . . . . . . . . . . . . . . . Lo Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . Attacchi DDoS . . . . . . . . . . . . . . . . . . . . . . 33 33 34 34 35 36 36 38 38 39 39 39 40 40 40
1 GIORNO:
Danni gravi . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2 GIORNO:
4 GIORNO:
3 GIORNO:
TIPOLOGIE DI ATTACCO
Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . 32 Danni limitati . . . . . . . . . . . . . . . . . . . . . . . . 32
e-mail anonime . . . . . . . . . . . . . . . . . . . . . e-mail camuffate . . . . . . . . . . . . . . . . . . . . I Nuke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nuke da chat . . . . . . . . . . . . . . . . . . . . . . . 32 32 32 33
5 GIORNO:
Sommario
Creare virus . . . . . . . . . . . . . . . . . . . . . . .pag. 51 Sfruttare i buchi IIS . . . . . . . . . . . . . . . . . . 52 Effettuare lo Sniffing . . . . . . . . . . . . . . . . . 53 Intercettare reti wireless . . . . . . . . . . . . . . 53
Firewall Hardware . . . . . . . . . . . . . . . . . .pag. 80 Attacchi DoS: metodi di difesa . . . . . . . . . 80 Lo Smurf: metodi di difesa . . . . . . . . . . . . 80 Attacchi DDoS: metodi di difesa . . . . . . . 80
7 GIORNO:
6 GIORNO:
COME DIFENDERSI
Precauzioni contro i danni limitati . . . . 50
E-mail anonime: metodi di difesa . . . . . . E-mail camuffate: metodi di difesa . . . . PGP e la crittografia della posta elettronica I Nuke: metodi di difesa . . . . . . . . . . . . . . 50 50 50 66
Il software sul CD . . . . . . . . . . . . . . . . . . . . 89
89 89 90 90 91 91 92 95
Guida al CD
Introduzione Utilizzo della Videoguida
10
Introduzione
Questa videoguida si rivolge a chi vuole saperne di pi sugli hackers ed il loro mondo. In seguito allavvento di Internet il fenomeno hacker (e il suo lato oscuro: i crakers) riguarda tutti noi; ogni qual volta ci connettiamo ad Internet siamo esposti ad intrusioni o attacchi da parte di hackers e crakers; la posta elettronica pu essere veicolo di virus e trojans Come orientarsi? come comportarsi? come difendersi? La videoguida esamina in modo chiaro e organico tutte le problematiche e cerca di fornire tutte le risposte. Nelle varie sezioni vedremo quali sono le insidie, come i pirati cercano di attaccarci, quali sono i loro metodi; e, naturalmente, vedremo quali sono gli accorgimenti da utilizzare per difenderci. Esamineremo da vicino una rete locale e la rete Internet, vedremo come vengono realizzate le protezioni dei software e come i pirati riescano a superarle. Vengono esaminate le differenze fra virus e trojan, vedremo come agiscono e come funzionano; alcuni tutorial su antivirus e firewall vi consentiranno di prendere confidenza con questi indispensabili strumenti software. Una sezione storica ripercorre le tappe del fenomeno hacker dalla sua nascita ad oggi, comprenderemo la filo-
sofia degli hacker e conosceremo i pi famosi e le loro gesta. Per capire qual il limite, cosa legale e cosa non lo , abbiamo inserito un estratto della legislazione attinente agli argomenti trattati. Una vasta selezione di siti web, suddivisi per argomento, vi permetter di approfondire gli argomenti di vostro interesse. Al termine della videoguida termini come: nuke, sniffing, smurfing, spoofing non avranno pi segreti per voi! La voce dello speaker legger i testi permettendoti di concentrarti su quanto accade sul video. Per consolidare lapprendimento ti verr richiesto di interagire con il computer, compiendo operazioni in ambienti software simulati. La videoguida include una serie di utili funzioni: Un glossario di termini informatici. Segnalibri: per registrare le posizioni di tuo interesse e tornarci rapidamente. La funzione trova ti consente di ricercare rapidamente un argomento. Nella finestra Annotazioni potrai immettere osservazioni personali. Nel CD trovi una raccolta di programmi utili per lo studio, la sperimentazione, linformazione. Buon divertimento!
Guida al CD
11
Argomenti
Le sette giornate della videoguida hanno i seguenti titoli: Chi sono gli Hackers? Rete: luogo di attacco Tipologie di attacco Metodi di attacco di base Metodi di attacco di medio e alto livello Come difendersi Risorse dal web
32 MByte di RAM Windows 95 - 98 - NT - Me - 2000 - XP Mouse Microsoft compatibile Scheda grafica con risoluzione SVGA 800x600 16,8 milioni di colori Cd-Rom 24X Scheda Audio Altoparlanti Non viene richiesto spazio su Hard Disk.
Configurazione minima
La configurazione minima di cui il computer deve essere dotato per utilizzare questa videoguida la seguente: PC IBM compatibile Processore Pentium 133 Mhz
12
Passo 1 Cliccare con il pulsante destro del mouse sullicona Risorse del Computer presente sul desktop
pi accanto a CD-ROM, quindi fare clic con il pulsante destro del mouse sulla periferica desiderata e scegliere Propriet.
Note Per visualizzare la finestra di dialogo Propriet Sistema, anche possibile fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo e infine fare doppio clic sull'icona Sistema. Questa impostazione valida per tutti i tipi di CD, inclusi quelli di giochi, multimediali e audio. Per impedire la riproduzione automatica di un CD, deselezionare la casella di controllo Notifica inserimento automatico oppure tenere premuto MAIUSC mentre si inserisce il CD. Se durante la consultazione della videoguida non
si riesce a sentire la voce narrante le cause possono essere molteplici, controllare i seguenti punti: Il pulsante Audio deve mostrare la scritta Audio ON Il lettore di CD-ROM deve avere una velocit di lettura almeno pari a quella indicata al punto Configurazione minima. La quantit di memoria o le risorse del sistema potrebbero essere insufficienti, controllare che i requisiti del computer soddisfino quanto richiesto al punto Configurazione minima.
Guida al CD
13
In generale: Animazioni a scatti, assenza di voce, esecuzione lenta; sono tutti sintomi di un computer non adeguato o di mancanza di risorse. Provare a riavviare Windows e, senza aprire altre applicazioni, avviare la videoguida. Qualora un testo non dovesse essere pronunciato (pu capitare!) si provi a premere il pulsante Indietro per riprovare.
Quando vi trovate allinterno di una sezione, utilizzate i pulsanti Avanti per passare alla parte successiva, il pulsante Indietro per tornare a quella precedente. Quando viene richiesta unazione da parte vostra potete scegliere se compiere lazione oppure procedere utilizzando il pulsante Avanti. Per spostarsi fra gli argomenti si utilizza il pulsante Menu che mostra il menu principale. Durante lo svolgimento della sezione potete consultare il Glossario utilizzando il pulsante apposito. Il pulsante Trova permette di ricercare e saltare rapidamente allargomento desiderato. Sono disponibili Segnalibri per annotazioni personali o memorizzare posizioni allinterno della videoguida.
14
Per disattivare il parlato si utilizza il pulsante Audio, facendo clic su di esso la scritta del pulsante passa da Audio ON a Audio OFF, naturalmente possibile riattivare laudio con un altro clic sul pulsante.
Importante: In qualsiasi momento possibile terminare la consultazione della videoguida premendo il tasto Esc; non viene richiesta conferma e lapplicazione viene chiusa.
Giorno
16
Introduzione
Spesso capita di sentire la parola Hacker associata ad eventi di natura illegale, alla pirateria informatica o a veri e propri attacchi su reti: l'uso di questo termine solitamente improprio. Con lo sviluppo delle tecnologie informatiche, molti utenti hanno cominciato a utilizzare i PC come vere e proprie casseforti che racchiudono dati importantissimi se non vitali. Di conseguenza qualche malintenzionato ha intuito la possibilit di appropriarsi "con la forza" di queste risorse; praticamente si parla di ladri informatici. Occorre per precisare che si tratta di Cracker, non Hacker.
quali amano spesso scherzare con le competenze acquisite nella ricerche informatiche. Un cosiddetto Hacker semplicemente un appassionato di informatica e in quanto tale, ama studiare ed esercitarsi su tutto ci che riguarda il mondo dei computer senza creare danni e cercando di non lasciare tracce sul suo percorso; per esempio un hacker solito entrare in un sito protetto per testare le sue conoscenze e, una volta entrato, lo abbandona senza modificare nulla o al massimo lasciando un commento sulla vulnerabilit dello stesso. Tuttaltra cosa il Cracker; fondamentalmente si tratta di un Hacker negativo; anch'esso necessariamente un appassionato di informatica, ma utilizza le sue conoscenze per attuare piani distruttivi o cercare di impossessarsi di informazioni segrete. Il Cracker interessato a scoprire informazioni che possono arrecargli un utile: ad esempio le password di accesso alle banche On-line. A volte le azioni del Cracker hanno il solo scopo di arrecare danni come, ad esempio, bloccare importanti siti web. Un Cracker non opera necessariamente solo su reti telematiche: una delle attivit preferite quella di sbloccare i programmi protetti utilizzando o creando
17
informatici un computer che non ha collegamento ad Internet e che non utilizza risorse esterne
appositi programmi di sprotezione. Se la sprotezione (in gergo Crack) del programma ha successo il Cracker potr utilizzarlo senza doverlo acquistare. Oltre ad Hacker e Cracker esistono i Phreakers. La parola Phreaking deriva dall'unione di Phone + Hacking, si tratta dunque di persone dedite alla ricerca di sistemi per telefonare, inviare SMS o ricaricare i telefoni a scrocco. Sono tutte attivit illegali, tuttavia nei loro siti possibile trovare interessanti informazioni circa le frodi che le compagnie telefoniche operano a nostro danno.
intrusione, il floppy che inseriamo nel drive, le e-mail che riceviamo, persino semplici documenti di Word o Excel potrebbero contenere virus. I rischi che corriamo sono di diverso tipo: Le intrusioni: quando siamo connessi ad Internet, o in rete locale, un malintenzionato in grado di curiosare nel nostro computer; oltre a curiosare il malintenzionato in grado di cancellare i nostri file o copiarli sul suo computer. I virus: le azioni nocive che un virus pu intraprendere sono molto varie: si va da semplici malfunzionamenti dello schermo alla perdita totale di tutti i dati del nostro disco fisso. Alcuni virus si attivano in date precise (generalmente il compleanno del creatore del virus), altri sono sempre attivi; alcuni provocano effetti facilmente visibili (messaggi, anomalie sullo schermo), altri operano in silenzio. Particolarmente maliziosi alcuni virus che si trasmettono per e-mail: frugano fra i nostri messaggi e li inviano a nominativi scelti a caso nella rubrica; immaginiamo se il messaggio in cui si parla male del nostro capoufficio dovesse venire rinviato proprio al capoufficio! Lunico computer veramente al sicuro da ogni attacco deve essere privo di connessioni con la rete locale o con Internet, deve utilizzare esclusivamente software originale di produttori noti, nel computer non deve mai essere inserito un floppy o un CD-ROM proveniente dallesterno con tutte queste limitazioni il computer sar sicuro, ma anche praticamente inutile.
Esempi storici
Negli anni 50 i computer erano appena nati ma gi cera chi si dava da fare per duplicare i programmi, come gli studenti del M.I.T. (Massachussetts Institute of Technology), i quali probabilmente furono i primi Hacker. Uno dei primi esempi di Phreaking rappresentato da S. Nelson, uno studente del M.I.T. che nel 1963 aveva programmato un computer PDP-1 per fargli emettere un tono con la frequenza adatta per effettuare telefonate gratis. Anche durante gli anni '70, ci sono stati degli episodi storici riguardanti le linee telefoniche: nel 1971 tale John Draper riusciva a telefonare gratis utilizzando un fischietto reperibile come omaggio nella confezione dei cereali Captain Crunch, dopo quel episodio il suo soprannome divenne, inevitabilmente, Captain Crunch. E' comunque dall'inizio degli anni '80 che ci sono state
18
le azioni pi eclatanti e legate al mondo dell'informatica vera e propria. Il caso pi rilevante stato quello relativo alla vicenda di Kevin Mitnick, detto il Condor. Non c' sito che lui, tra il 1981 e il 1995 non abbia violato: dai primi esperimenti ai sistemi Cosmos della Pacific Bell, passando per le pi grandi multinazionali delle comunicazioni quali Motorola, Nokia, Fujitsu, Sun Microsystem, Novell, Nec, oltre ai sistemi VAX della Digital, che erano dichiarati praticamente inviolabili. Il Condor viene pi volte arrestato per pirateria informatica; tuttavia tutte le sue intrusioni non hanno mai prodotto danni: Kevin ha sempre agito senza ne divulgare, ne distruggere i materiali esaminati o copiati. Nonostante non abbia mai prodotto seri danni, il Condor viene arrestato per evitare che altri, magari meno buoni, seguissero il suo esempio. Altri esempi di hacker buoni sono stati tutti i promotori dell'Open Source, da Richard Stallman a Linus Torvalds, il primo stato il fondatore della GNU, mentre il secondo ha sviluppato il sistema operativo gratuito Linux. Da notare che la Apple stata creata da un Hacker e un buon manager. Anche Bill Gates ha cominciato come Hacker ma ha drasticamente cambiato rotta... Un altro esempio recente che pu essere ricondotto allattivit di Hacking stato Napster. Nel 1999 uno studente statunitense di nome Swan Fanning ha deciso di dare l'opportunit a chiunque di scambiare file musicali compressi, i famosi mp3,
attraverso Internet. E' sufficiente possedere un PC e un collegamento alla rete delle reti per trovare il programma napster e condividere i file con tutti gli altri utenti della comunit. Napster utilizzava la tecnica del peer to peer per consentire ai suoi utilizzatori di scambiarsi file musicali. In parole povere il donatore di file musicali mette a disposizione il proprio Hard disk a tutti gli altri utenti di Napster; chi desidera un brano non deve far altro che copiarlo dallHard Disk del donatore al proprio. Questa tecnica si differenzia dal normale Download in cui il file da scaricare risiede in un sito web.
Come difendersi
Nelle prossime sezioni impareremo a comportarci per evitare gli attacchi classici, o comunque a non lasciare il nostro PC con la porta aperta e le nostre informazioni in bella mostra. E' fondamentale cominciare a pensare come un Hacker, invece di continuare a utilizzare il PC ignorando il problema. Dobbiamo ricordare due principi fondamentali della materia: 1 l'unico computer al sicuro da attacchi informatici un computer che non ha collegamento ad internet e che non utilizza risorse esterne; 2 non dobbiamo pensare che certe cose accadano solo e sempre negli USA o comunque agli "altri". Detto ci, inutile allarmarsi o precipitarsi ad acquistare antivirus, firewall e tutto ci che viene pubblicizzato: dobbiamo soltanto utilizzare il nostro PC con una nuova coscienza del problema, cercando di evitare le azioni pi compromettenti: ad esempio utilizzare il servizio di posta elettronica senza neppure un semplice antivirus.
Aspetti legali
Dopo questa presentazione prendiamo nota degli aspetti legali della faccenda! Molte delle attivit prima citate sono illegali e perseguite con tenacia dai rappresentanti della legge. In particolare, non legale: - Accedere abusivamente ad un sistema informatico o telematico - Detenere e diffondere abusivamente codici di
Figura 1.3 - Molte attivit sono illegali e perseguite con tenacia dai rappresentanti della legge.
19
Figura 1.4 - Se durante la nostra navigazione incontriamo messaggi ambigui come questo, pensiamoci prima di applicare le tecniche illustrate nel sito!
accesso a sistemi informatici o telematici Violare, sottrarre o sopprimere corrispondenza privata (email incluse) Danneggiare sistemi informatici e telematici Diffondere programmi diretti a danneggiare o interrompere un sistema informatico Duplicare e diffondere software protetto da Copyright
Art. 615 ter c.p. - Accesso abusivo ad un sistema informatico o telematico. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volont espressa o tacita di chi ha il diritto di escluderlo, punito con la reclusione fino a tre anni. La pena della reclusione da uno a cinque anni: 1 se il fatto commesso da un Pubblico Ufficiale o da un incaricato di un pubblico servizio, con abuso di poteri, o con la violazione di doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualit di operatore di sistema; 2 se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero palesemente armato; 3 se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui al comma primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanit o alla protezione civile o comunque di interesse pubblico, la pena rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto punibile a querela della persona offesa; negli altri casi si procede d'ufficio.
20
Art. 615 quater c.p. - Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici. Chiunque, al fine di procurare a s o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre talune delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617quater. Art. 616 - (Violazione, sottrazione e soppressione di corrispondenza). Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, punito, se il fatto non preveduto dalla legge come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da lire sessantamila a un milione. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un pi grave reato, con la reclusione fino a tre anni. Il delitto punibile a querela della persona offesa. Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza. Art. 392 codice penale - (Esercizio arbitrario della proprie ragioni con violenza sulle cose) Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da s medesimo, mediante violenza sulle cose, punito, a querela della persona offesa, con la multa fino a lire un milione.
Agli effetti della legge penale, si ha "violenza sulle cose" allorch la cosa viene danneggiata o trasformata, o ne mutata la destinazione. Si ha, altres, violenza sulle o cose allorch un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico. Art. 635-bis codice penale - (Danneggiamento di sistemi informatici e telematici). Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, punito, salvo che il fatto costituisca pi grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o pi delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto commesso con abuso della qualit di operatore del sistema, la pena e della reclusione da uno a quattro anni. Art. 615-quinquies codice penale - (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico). Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, punito con la reclusione sino a due anni e con la multa sino a lire venti milioni. Art. 420 codice penale - (Attentato ad impianti di pubblica utilit) Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilit, punito, salvo che il fatto costituisca pi grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilit , ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il
21
danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena della reclusione da tre a otto anni. Art. 640-ter codice penale - (Frode informatica). Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalit su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a s o ad altri un ingiusto profitto con altrui danno, punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. Art. 171-bis 1 Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Societ italiana degli autori ed editori (SIAE), soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni. La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto di rilevante gravit. 2 Chiunque, al fine di trarne profitto, su supporti non contrassegnati SIAE riproduce, trasferisce su altro supporto, distribuisce, comunica, presenta o dimostra in pubblico il contenuto di una banca di dati in violazione delle disposizioni di cui agli articoli 64-quinquies e 64-sexies, ovvero esegue l'estrazione o il reimpiego della banca di dati in violazione delle disposizioni di cui agli articoli 102-bis e 102-ter, ovvero distribuisce, vende o concede in locazione una banca di dati, soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire
trenta milioni. La pena non inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto di rilevante gravit. Art. 171-ter 1 punito, se il fatto commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire chiunque a fini di lucro: a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un'opera dell'ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; b) abusivamente riproduce, trasmette o diffonde in pubblico, con qualsiasi procedimento, opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammaticomusicali, ovvero multimediali, anche se inserite in opere collettive o composite o banche dati; c) pur non avendo concorso alla duplicazione o riproduzione, introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, pone in commercio, concede in noleggio o comunque cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della televisione con qualsiasi procedimento, trasmette a mezzo della radio, fa ascoltare in pubblico le duplicazioni o riproduzioni abusive di cui alle lettere a) e b); d) detiene per la vendita o la distribuzione, pone in commercio, vende, noleggia, cede a qualsiasi titolo, proietta in pubblico, trasmette a mezzo della radio o della televisione con qualsiasi procedimento, videocassette, musicassette, qualsiasi supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive o sequenze di immagini in movimento, od altro supporto per il quale prescritta, ai sensi della presente legge, l'apposizione di contrassegno da parte della Societ italiana degli autori ed editori (SIAE), privi
22
del contrassegno medesimo o dotati di contrassegno contraffatto o alterato ovvero produce, utilizza, importa, detiene per la vendita, pone in commercio, vende, noleggia o cede a qualsiasi titolo sistemi atti ad eludere, a decodificare o a rimuovere le misure di protezione del diritto d'autore o dei diritti connessi; e) in assenza di accordo con il legittimo distributore, ritrasmette o diffonde con qualsiasi mezzo un servizio criptato ricevuto per mezzo di apparati o parti di apparati atti alla decodificazione di trasmissioni ad accesso condizionato; f) introduce nel territorio dello Stato, detiene per la vendita o la distribuzione, distribuisce, vende, concede in noleggio, cede a qualsiasi titolo, promuove commercialmente, installa dispositivi o elementi di decodificazione speciale che consentono l'accesso ad un servizio criptato senza il pagamento del canone dovuto. 2 E' punito con la reclusione da uno a quattro anni e con la multa da cinque a trenta milioni di lire chiunque: a) riproduce, duplica, trasmette o diffonde abusivamente, vende o pone altrimenti in commercio, cede a qualsiasi titolo o importa abusivamente oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi; b) esercitando in forma imprenditoriale attivit di riproduzione, distribuzione; vendita o commercializzazione, importazione di opere tutelate dal diritto d'autore e da diritti connessi, si rende colpevole dei fatti previsti dal comma 1; c) promuove o organizza le attivit illecite di cui al comma 1. 3 La pena diminuita se il fatto di particolare tenuit. 4 La condanna per uno dei reati previsti nel comma 1 comporta: a) l'applicazione delle pene accessorie di cui agli articoli 30 e 32-bis del codice penale; b) la pubblicazione della sentenza in uno o pi quotidiani, di cui almeno uno a diffusione nazionale, e in uno o pi periodici specializzati; c) la sospensione per un periodo di un anno della
concessione o autorizzazione di diffusione radiotelevisiva per l'esercizio dell'attivit produttiva o commerciale. 5 Gli importi derivanti dall'applicazione delle sanzioni pecuniarie previste dai precedenti commi sono versati all'Ente nazionale di previdenza ed assistenza per i pittori e scultori, musicisti, scrittori ed autori drammatici. E' stato pubblicato nel supplemento ordinario n.61 alla Gazzetta Ufficiale n. 87 del 14 aprile 2003, il decreto legislativo n.68 del 9 aprile 2003 con l'attuazione della direttiva 2001/29/Ce sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella societ dell'informazione. Il decreto modifica e rinnova in numerosi punti la legge sul diritto d'autore, la n.633 del 1941, per adeguarla alle innovazioni tecnologiche e ai sempre nuovi sfruttamenti delle opere dell'ingegno. Il decreto include pure una sezione dedicata allaggiornamento della legge 5 Febbraio 1992, n.93. Le modifiche riguardano le norme a favore delle imprese fonografiche ed i compensi per le riproduzioni private senza scopo di lucro. Nel complesso, e per quanto riguarda largomento della videoguida, risultano pi severe le sanzioni per la duplicazione illegale di opere dellingegno (quindi anche il software) a scopo di lucro. Sul CD trovi il testo integrale del decreto.
Giorno
24
Una panoramica
Gli Hacker, come abbiamo visto precedentemente, cercano fondamentalmente di effettuare delle intrusioni al fine di impossessarsi di informazioni a loro utili, oppure di distruggerne delle altre: vediamo insieme quali sono le tecniche pi utilizzate. Il primo passo da compiere per impossessarsi di informazioni altrui quello di ottenere i dati anagrafici della possibile vittima. Secondo statistiche della VISA la maggior parte delle password impostate dagli utenti il proprio nome, cognome o data di nascita; indovinare la password dunque semplice in una gran quantit di casi. Ottenuta la password possibile accedere alle informazioni riservate del proprietario. Esiste una categoria di software, gli Spyware, specializzati nellottenere informazioni. Gli spyware sono piccoli programmi nascosti che inviano particolari informazioni ad un determinato sito; spesso queste applicazioni sono associate a programmi demo o versioni gratuite e non vengono segnalate dal sistema. Per esempio, quando installiamo Kazaa nel nostro PC viene inserito anche un piccolissimo programma che per Windows non esiste nemmeno ma che, nel momento in cui ci connettiamo ad internet spedisce ad un determinato indirizzo web una serie molto vasta di informazioni sulle nostre ricerche, i file scaricati, i programmi installati e altro.
Questo succede anche programmi e sistemi famosi ed insospettabili. Ad esempio, durante laggiornamento di Windows Update viene inviato alla Microsoft una specie di radiografia del Sistema: il tutto ancora riconosciuto dalle leggi come legale! Lanalisi della rete unaltra tecnica divisa in diverse sottocategorie con il fine di appropriarsi di dati importanti di altri utenti.
un piccolissimo programma che nel momento in cui ci connettiamo ad internet spedisce ad un determinato indirizzo web una serie di informazioni sulle nostre ricerche, i file scaricati, i programmi installati e altro.
Il termine tecnico Sniffer, ossia annusatore. In pratica lhacker, mediante vari stratagemmi si apposta in rete e intercetta i messaggi che la attraversano, ne esegue delle copie e ricava le informazioni che gli interessano. Un esempio tipico la posta elettronica; supponiamo che lutente Mario spedisca una mail allutente Carlo. Il malfattore si frappone fra i due utenti e riesce a ricavare lidentit degli host comunicanti, la frequenza e la dimensione dei messaggi. A questo punto, pu eseguire una impersonificazione o masquerade. Questa tecnica pu essere utile per accedere ad un determinato servizio con il nome dellutente da cui ha prelevato login e password. Pu addirittura modificare i messaggi spediti direttamente dallutente originale per maggiorare ad esempio una richiesta di denaro e farne versare una parte su un altro conto come se lavesse versato il
25
proprietario. Pu anche cancellare i messaggi che lutente spedisce. Facciamo un esempio: Immaginiamo un ipotetico utente Carlo che, allinterno di una grossa rete aziendale, richieda alla sezione amministrativa 1000 euro per acquisti. Il disonesto dipendente Mario intercetta il messaggio di richiesta e, con lutilizzo di particolari programmi da lui creati e una scheda di rete utilizzata in modalit promiscua, riesce a duplicare il messaggio intercettato; questo messaggio viene anchesso inviato allamministrazione che si occuper di eseguire il pagamento delle due richieste; un primo versamento verr effettuato a Carlo, mentre il secondo verr effettuato allindirizzo che Mario specifica nella richiesta. Il secondo messaggio viene ritenuto valido poich lesatta copia delloriginale salvo la fondamentale modifca eseguita da Mario. Lutente Carlo riceve normalmente i suoi 1000 euro e non ha quindi sentore di nulla; daltro canto lamministrazione ritiene lecita la seconda richiesta di ver-
samento poich Carlo abilitato a tale operazione. E quasi superfluo dire che i Virus sono tra le applicazioni preferite dagli Hacker. Anche in questo caso si tratta di programmi costruiti artigianalmente da esperti che, per, hanno fondamentalmente un ruolo distruttivo e apparentemente immotivato in quanto non fanno nientaltro che compromettere uno o pi sistemi operativi. E anche possibile avere a che fare con i Cookies. A differenza dei virus e degli spyware, i cookies non sono dei programmi, ma dei file di testo contenuti nel nostro PC e servono a ricavare informazioni durante la navigazione in Internet.
Figura 2.3 - Una rete di computer si basa sul collegamento di due o pi computer.
26
degli spyware, non sono dei programmi, ma dei file di testo contenuti nel nostro PC, servono a ricavare informazioni durante la navigazione in Internet.
Una rete di computer paragonabile alle rete telefonica. Il telefono nato per permettere ai vari utenti di comunicare tra loro a distanza; costituita da una rete di cavi che consente di trasmettere un segnale da un apparecchio allaltro; occorrono quindi tre elementi fondamentali: due o pi apparecchi telefonici, uno o pi cavi che siano collegati agli apparecchi e un generatore di tensione che permetta la trasmissione dei segnali. A questo punto non ci resta che assegnare degli indirizzi ai vari apparecchi per poterli chiamare digitando solitamente il numero di telefono e avviare la comunicazione. In modo simile funziona la rete tra computer. Invece dellapparecchio telefonico abbiamo un computer con una scheda di rete, i cavi sono molto simili a quelli telefonici e la tensione per trasmettere i messaggi viene generata dai computer stessi. Lunica differenza fondamentale tra il telefono e una rete di
computer che tutti i messaggi inviati dai computer vengono suddivisi in cosiddetti pacchetti. Internet altro non che la connessione di pi reti, estesa sino a coprire tutto il globo. Il principio su cui si basa una rete, sia di tipo casalingo che Internet, la possibilit di poter inviare dati da un computer ad un altro, a prescindere dal tipo di macchina o dal sistema operativo su essa installato, o dalla posizione geografica. Tutto questo possibile seguendo delle particolari regole o Protocolli definiti dallente di certificazione degli standard a livello mondiale ISO: si tratta in pratica di seguire le regole del modello ISO/OSI. Questo documento suddiviso in sette livelli e specifica tutte le caratteristiche da seguire per collegare due o pi computer tra loro rendendoli compatibili con il resto del mondo. I sette livelli analizzano e descrivono in modo dettagliato il funzionamento di una rete standard, dal livello fisico il primo, a quello delle applicazioni, il settimo. Seguendo questo principio subito chiaro che chi conosce bene il modello ISO/OSI in grado poterne sfruttare appieno le caratteristiche pi nascoste ed anche le sue debolezze. Tralasciando lanalisi nel dettaglio del modello ISO/OSI in quanto si tratta di regole che devono essere rispettate da tutti i produttori di software e hardware mondiali, passiamo ad analizzare alcune caratteristiche della rete, come, ad esempio, gli indirizzi.
Gli indirizzi IP
Per poter spedire una lettera nel mondo reale, dobbiamo disporre dei seguenti requisiti fondamentali: la lettera in un formato leggibile, un servizio pubblico o privato che si occupi di recapitare la lettera e gli indirizzi del destinatario e del mittente. Nell informatica, la lettera da considerare come un insieme di dati suddivisi in Pacchetti; il servizio di recapito la rete; gli indirizzi sono detti indirizzi IP. Si tratta di normali indirizzi ma, con un formato diverso da quello che utilizziamo per spedire cartoline o pacchi regalo; questi indirizzi sono costituiti da quattro cifre separate da un punto, ad esempio 192.168.0.250. Per poter vedere quale il nostro indirizzo IP quan-
in modo dettagliato il funzionamento di una rete standard, dal livello fisico il primo, a quello delle applicazioni, il settimo.
27
do siamo collegati alla rete locale o ad Internet, sufficiente utilizzare il Prompt dei comandi e digitare il comando ipconfig del sistema operativo se questo Windows NT, Windows 2000, Windows XP oppure winipcfg su windows 95 o Windows 98.
Lindirizzo IP, come caratteristica fondamentale, deve essere necessariamente univoco: cio ogni macchina collegata ad Internet deve avere un indirizzo diverso da tutte le altre in quel momento collegate. Questo significa che esiste un ente che gestisce gli indirizzi IP di tutte le reti da cui costituita Internet a livello mondiale: questo ente si chiama InterNick. Per comprendere come diventa possibile questa operazione sufficiente pensare a cosa facciamo normalmente per connetterci ad Internet.
Ci rivolgiamo ad un ISP ed accettiamo un contratto di account con i relativi dati da esso forniti, in seguito possiamo collegarci alla rete e il gioco fatto. Un ISP un Internet Service Provider, ossia Libero, Tiscali, Tin.it ecc. e si occupa di fornire una serie di servizi, tra cui assegnare un indirizzo IP ogni volta che ci colleghiamo in rete. Questo significa che i Provider comperano una serie di indirizzi IP e li mettono a disposizione dei loro utenti in modo dinamico, cio assegnano il primo indirizzo disponibile allutente che si collega in un determinato momento permettendo cos lutilizzo della rete senza dover eseguire procedure troppo costose o complicate. Attraverso un indirizzo IP possibile spedire e-mail o riceverle, oppure collegarsi ai vari siti, anchessi infatti sono messi a disposizione su particolari computer detti server con un indirizzo IP. Questo purtroppo, uno dei principi su cui si basano gli attacchi degli Hacker; se possibile conoscere lindirizzo di un determinato utente collegato ad Internet anche possibile tentare di effettuare unintrusione.
Siti fantasma
Sempre trattando gli indirizzi IP possibile cadere in alcuni tranelli. Sar capitato a tutti di visitare alcuni siti, cliccare su un determinato link e finire su un sito che, al posto di un normale indirizzo testuale, riportano, nella barra degli indirizzi, un numero: lindirizzo IP. Gli hacker utilizzano questo sistema per esporre i loro siti fantasma, utilizzando un indirizzo provvisorio e difficilmente rintracciabile; infatti possibile che poche ore dopo lo stesso indirizzo risulti non disponibile. Questa tecnica utile per mostrare siti illegali o contenuti particolarmente scabrosi la cui visione deve essere riservata ad un cerchia ristretta di persone. In pratica il malintenzionato crea un sito e configura il proprio computer affinch agisca da server; si accerta che ci sia al momento sulla rete un indirizzo IP libero e lo utilizza momentaneamente senza comprarlo e renderlo ufficiale.
28
A questo punto comunica ai diretti interessati che il sito disponibile per pochissimo tempo al determinato indirizzo IP recuperato. Gli utenti potranno visitare il sito digitando tale indirizzo nella barra degli indirizzi di Internet Explorer. Superato il tempo stabilito, sufficiente disabilitare o disconnettere il server provvisorio per far svanire nel nulla sito e contenuti.
Siti particolari
Esistono dei siti specializzati per Hacker, che offrono tutte le informazioni per attaccare reti o programmi, per compiere atti illegali come eludere le protezioni dei programmi dimostrativi: uno di questi siti Astalavista. Evidentemente, in alcuni stati non esistono ancora leggi che vietano la pubblicazione di siti che contengano tali informazioni, necessario prestare molta attenzione, nel nostro Paese infatti, tali leggi esistono e sono anche piuttosto severe. La maggior parte di questi siti web si propongono come siti divulgativi e dotati di un motore di ricerca. Nonostante queste caratteristiche simili a quelle di un comunissimo portale, il tipo di contenuti, dedicati allhackeraggio ed al cracking, li rendono portali alquanto atipici. Il motore di ricerca interno consente di raggiungere un gran numero di siti dai contenuti semi-illegali o addirittura illegali; fra questi alcuni sono gestiti direttamente da Astalavista. La maggior parte dei siti underground ubicata in nazioni che non hanno ancora una precisa regolamentazione su Internet; ad esempio la Russia e alcuni paesi dellest europeo.
Se abbiamo un sito Web, potremmo essere attaccati da un Hacker con un semplice stratagemma: anzich digitare il prefisso HTTP, utilizzato dal browser per caricare pagine Web, esso digita FTP seguito dallo stesso indirizzo. In questo caso, se non esistono protezioni al server, lhacker ha la possibilit di impossessarsi di tutte le informazioni contenute nel sito, pu anche modificarle o cancellarle. Supponiamo quindi di voler ottenere informazioni da un sito. Digitando lindirizzo, il browser imposta automaticamente il prefisso http e ci permette di visualizzare le pagine web e collegarci ad eventuali link in esse contenuti. Se desideriamo invece vedere leffettivo contenuto del sito, ad esempio le cartelle che contengono le foto, vecchi documenti non pi utilizzati o materiale riservato, possiamo tentare lutilizzo del programma di trasferimento file inglobato in Internet Explorer stesso. Per eseguire tale operazione sufficiente scrivere in luogo di http://indirizzo, ftp://indirizzo: in molti casi loperazione ha successo e ci viene mostrata la struttura del sito stesso, come se fosse una normale cartella del nostro PC. Questo avviene perch solitamente concesso di accedere a determinati server web come ospiti e ci viene automaticamente assegnato un login anonimo. Teniamo presente che non tutti i siti concedono laccesso cos facilmente, ci potrebbe venire richiesta una password o del tutto negato laccesso.
HTTP o FTP?
Quando digitiamo un indirizzo testuale nella barra degli indirizzi di Internet Explorer o, di qualsiasi altro browser, un apposito database chiamato DNS automaticamente converte lindirizzo da noi digitato in indirizzo IP del relativo sito e permette di poterlo visualizzare. Noi ne vediamo soltanto una piccola parte o comunque la parte che il creatore del sito vuole che sia disponibile al pubblico.
29
Figura 2.8 - In questo esempio possiamo notare che Neotrace ha individuato automaticamente lindirizzo
IP (216.239.33.99), la citt in cui situato con tanto di latitudine e longitudine terrestre e la ditta intestataria del sito: la Google Inc. con indirizzo compreso.
lindirizzo desiderato e premere il pulsante Go per avviare la ricerca. Supponiamo di voler avere informazioni su un sito molto comune: ad esempio www.google.com. E sufficiente attivare la connessione Internet ed iniziare la procedura. Inseriamo lesatto indirizzo nel campo Target. Dopo alcuni secondi sar possibile visualizzare graficamente il percorso eseguito dal nostro segnale di prova; in poche parole il programma manda dei segnali allindirizzo specificato e raccoglie le relative informazioni. Possiamo inoltre visualizzare tutti i nodi che il segnale ha dovuto attraversare per raggiungere la meta. Ad ogni nodo corrisponde un router che si occupa di instradare il segnale ed possibile avere informazioni dettagliate anche su di essi. Sempre riguardo i nodi attraversati, esiste unop-
segnale ha dovuto attraversare per raggiungere la meta. Ad ogni nodo corrisponde un router che si occupa di instradare il segnale ed possibile avere informazioni dettagliate anche su di essi.
30
zione che permette una visualizzazione semigrafica; ricordiamo per che i router aggiornano continuamente le loro tabelle di instradamento, quindi possibile che lo schema cambi di ricerca in ricerca. E possibile inoltre selezionare un determinato nodo e ottenere tutte le informazioni necessarie.
nota (well-known) per visualizzare le pagine web. Nel caso in cui ci fossero ulteriori porte aperte sarebbe possibile utilizzare i necessari attrezzi per effettuare un attacco.
Figura 2.10 - Essendo Google un sito sicuro, risulta che lunica porta disponibile la porta 80 ossia la porta ben nota (well-known) per visualizzare le pagine web.
Giorno
Tipologie di attacco
Danni limitati
e-mail anonime e-mail camuffate I Nuke Nuke da chat
Danni gravi
Sproteggere programmi IP Spoofing DNS Spoofing Attacchi DoS Lo Smurf Attacchi DDoS
32
Introduzione
In questa sezione esamineremo alcuni fra i pi diffusi metodi di attacco, iniziando dai metodi che causano meno danni sino a quelli che comportano delle conseguenze pi gravi. Inizieremo spiegando che significa spedire una email anonima e gli attacchi eseguibili da chat, vedremo in seguito gli attacchi resi possibili dai difetti dei vari file system, infine ci occuperemo dei veri propri attacchi a server tramite tecniche sofisticate.
e-mail camuffate
I m e s s a g g i d i p o s t a e l e t t ronica camuffati sono c o n c e t t u a l m e n t e s i m i l i a l l e e m a i l a n o n i m e , i l p i ra t a ,i n s e r i s c en e lc a m p o m i t t e n t e u nn o m ea n o i n o t o , i n t a l e m a n i e ra noi riceviamo un messaggio da una persona conosciuta e siamo d i s p o s t iap re s t a r v if e d e . E v e n t u a l in o s t re r i s p o s t ea lm e s s a g g i op e r v e r ranno a lm i t t e n t e re a l m e n t ee s i s t e n t e ,n o na lp i ra t a . T a l i m e s s a g g i p o s s o n o c a u s a re g ra v i s s i m i d a n n i , non tanto al computer, q u a n t oa is o g g e t t iac u is i r i f e r i s c el am a i l
Danni limitati
e-mail anonime
Gli Hacker/Cracker, con le loro conoscenze, possono oltrepassare frontiere per noi invalicabili; ad esempio possono inviare e-mail anonime cio con il mittente nascosto. La ricezione di un messaggio anonimo non , informaticamente parlando un grave danno, tutto dipende tuttavia dal suo contenuto e soprattutto dal fatto che non possibile identificare il mittente.
I Nuke
Ora, osserviamo alcuni degli innumerevoli buchi di Microsoft Windows. Uno dei metodi con cui gli Hacker ci possono attaccare sfruttando questi buchi il cosiddetto nuke. Si tratta di piccoli programmi che sfruttano, ad esempio, alcune cattive implementazioni del protocollo TCP/IP, ossia le regole su cui si basa la
33
trasmissione dei dati in rete. Attraverso lutilizzo di questi programmi possibile resettare il sistema completamente, oppure provocare il blocco delle attivit: il famigerato schermo blu. Una delle operazioni che pu compiere il nuke far credere al nostro sistema operativo che i pacchetti che riceviamo provengano dal nostro stesso indirizzo IP; il sistema cos impazzisce. Un altro esempio il bombardamento assillante di un determinato indirizzo finch questo non si blocca. Fortunatamente i nuke non sono infallibili e, spesso non funzionano su tutte le macchine a cui vengono rivolti.
bombardando lindirizzo IP, o ancora inviando alla macchina una serie di pacchetti non validi o frammentati: il crash di sistema, in ogni caso, garantito.
gestire i file.
Nuke da Chat
Una delle situazioni in cui pi facile incappare in un nuke durante la navigazione allinterno di una chat. Durante una connessione ad una chat possibile che un malfattore riesca a scoprire il nostro indirizzo IP: questo dato gli sufficiente per poterci disconnettere dal servizio. Esistono diversi metodi per attuare questa tecnica tra cui Dos, ICMP, SsPing o ICMP Nuke; anche questi metodi di attacco utilizzano i vari punti deboli di Windows, cercando di scovare porte aperte, oppure
FAT 16/32
I lF i l eS y s t e mp i v e c c h i oes e m p l i c e ,f ra q u e l l i t u t t o ra u t i l i z z a t i s u n o r m a l i P C c a s a l i n g h i, i l F AT 3 2 .I n f a t t iq u e l l os uc u is ib a s a Windows 98. E m o l t o s e m p l i c e a c c e d e re ad una determinata c a r t e l l a ,t e n t a re d iu t i l i z z a re u nf i l eac u is t a t o i m p o s t a t ou np e r m e s s od is o l al e t t u ra ,a n a l i z z a r n e l ep ro p r i e t e re n d e r l ol i b e ro d ao g n i re s t r i z i o n e .
34
un file il file system che se ne accorge e non permette lesecuzione delle operazioni. Oltre ai vari sistemi Windows da segnalare lambiente Unix e Linux, da cui proviene questo tipo di gestione dei dati. Anche se tali sistemi operativi hanno file system diversi (ext3, Raiser FS, ecc.), il funzionamento non differisce dai precedenti esposti.
Sproteggere programmi
I programmi commerciali sono, generalmente, protetti. Le protezioni non consentono a chi non ha acquistato il programma di utilizzarlo. Appare evidente che una Software-house, per realizzare il proprio giusto profitto, debba proteggersi dalle copie abusive. Una delle grandi passioni dei Cracker consiste nella sprotezione dei programmi, la protezione dalla copia viene vista come una sfida intellettuale che deve essere vinta ad ogni costo. I tipi di protezione utilizzati sono molto vari e altrettanto lo sono i metodi per aggirare la protezione. Una prima grande categoria di protezione riguarda la quella del supporto: i dischi di distribuzione (Floppy o CD) possono essere marchiati in modo non riproducibile, effettuando la copia di uno di questi supporti ci troviamo in possesso di un disco
35
solo apparentemente identico alloriginale, in realt il programma di setup non individua sul disco copiato il marchio originale (che pu essere un errore provocato ad arte o informazioni scritte in luoghi del disco non raggiungibili) e rifiuta di installarsi. Questi metodi di protezione sono assai validi, anche se non perfettamente legali; la legge italiana consente, infatti, la copia del supporto originale a scopo di backup e ci risulta impossibile se il disco originale protetto. La grande diffusione di Software distribuito per mezzo di Internet ha comunque reso quasi obsoleti questi metodi, poich non vi alcun supporto di distribuzione. Laltra grande categoria di protezioni si basa sui codici di attivazione, detti anche numeri seriali o serial number. Lutente effettua il download della versione dimostrativa dal sito del produttore, se decide lacquisto si registra via Internet e riceve, dopo aver effettuato il pagamento, il codice di attivazione che trasforma la versione dimostrativa in quella funzionante a tutti gli effetti. Quasi tutti i programmi, oggi, sono disponibili in versione dimostrativa gratuita. Queste sono largamente sufficienti per valutare le caratteristiche di un programma e decidere se fa o meno al caso nostro. Non esiste, dunque, alcun buon motivo per violare la protezione dei programmi. Tuttavia in rete si possono trovare i numeri di codice per attivare le applicazioni o anche le intere applicazioni sprotette. Per sproteggere lapplicazione si pu agire in diversi modi: ottenere da qualcuno lapplicazione e quindi ricercare in rete un numero di attivazione valido scaricare dalla rete lintera applicazione incluso il codice di attivazione ricercare sulla rete un programma di sprotezione per la versione dimostrativa in nostro possesso, in modo che continui a funzionare allinfinito.
Figura 3.7 - Come i virus dellinfluenza o altre infezioni, i virus informatici si infiltrano in un sistema e cercano di riprodursi: la maggior parte delle volte ci riescono!
Tale attivit illegale e, anche noi, utilizzando un programma crackato diventiamo colpevoli agli occhi della legge.
36
gemmi, entrare nella nostra rete e compiere le sue malefatte senza essere facilmente scoperto.
Virus
Vediamo ora nel dettaglio le varie tipologie di virus e come possono creare danni al nostro sistema, se non vengono intercettati in tempo da adeguate misure di protezione. Come i virus dellinfluenza o altre infezioni, i virus informatici si infiltrano in un sistema e cercano di riprodursi: la maggior parte delle volte ci riescono! E bene quindi adottare dei sistemi per prevenirli anzich curarli. La maniera pi semplice per prevenirli dunque conoscerli, anche se la materia sta diventando, con il passare del tempo, molto complessa. Con levoluzione della tecnologia anche gli Hacker hanno progredito di pari passo; oggi in circolazione possiamo trovare diverse migliaia di virus sparsi qua e la in rete o nascosti in floppy e CD. Come abbiamo detto pi volte, il virus non altro che un programma, ossia una sequenza di istruzioni che possono essere comprese ed eseguite da un
determinato tipo di computer: molto probabilmente anche dal nostro PC. Lobiettivo principale del virus riprodursi e diffondersi. Per raggiungere questo scopo il virus utilizza ogni mezzo di trasporto; altri programmi eseguibili, Hard disk o anche documenti di testo contenenti delle macro istruzioni. I virus hanno per bisogno di un computer per poter funzionare e, in particolare, il computer deve essere acceso; inoltre i virus non funzionano su tutti i sistemi operativi: ci sono virus per Windows, per Linux ecc.
Tipi di virus
Vediamo quindi quali sono i tipi di virus pi comuni. ATTENZIONE: La conoscenza dei virus da considerarsi sempre in fase di aggiornamento, quindi bene rimanere sempre in contatto con fonti che ci comunichino tutte le novit del settore, per non andare incontro a brutte sorprese. I virus pi comuni tendono ad infettare i file: in pratica questi si accodano a programmi eseguibili
Figura 3.8 - Sul sito Microsoft.com esiste unampia zona riguardante la Sicurezza e la Privacy.
37
che hanno normalmente estensioni tipo .exe o .com e, oltre ad infettare leseguibile, si riproducono allinterno dei file che questultimo modifica o crea. Per accertare linfezione possibile analizzare le dimensioni dei file inspiegabilmente aumentate; questa operazione per quasi impossibile da fare manualmente: alcuni antivirus utilizzano questo metodo per monitorare i nostri documenti. Ci sono poi virus che si nascondono nella partizione di avvio dei dischi, sia rigidi che floppy; ad ogni avvio del PC vengono lette queste partizioni e vengono quindi avviati i virus. Questo tipo di infezione molto pi pericolosa della precedente perch il virus viene scritto in linguaggio macchina e pu funzionare su qualunque PC, a prescindere dal sistema operativo: i pi famigerati sono stati Stoned e Form. Esistono poi virus meno comuni forse ancora pi temibili. Virus Multipartito: questi agenti virali combinano le due tipologie precedenti e possono infettare sia programmi che partizioni di avvio.
Virus Companion: per ragioni storiche in MSDOS, in caso di due programmi con un nome identico nella stessa directory luno con estensione exe e laltro con estensione .com, viene eseguito prima il com dellexe. Questi virus si sostituiscono quindi ad un normale programma utilizzando questo metodo: ad esempio supponiamo di avere leseguibile di Microsoft Word, Word.EXE. Il virus crea un file chiamato Word.COM e, quando avviamo Word, viene eseguito questultimo che, invece di avviare il programma di scrittura documenti di testo, infetter il nostro Hard disk con cloni di se stesso, magari con nomi di altri programmi presenti. Virus del File System: esistono anche file che possono infettare direttamente lindice del disco o FAT. La differenza fondamentale da quelli visti prima che questo tipo di virus non colpisce direttamente i file, ma solo i loro nomi contenuti nellindice. Cavalli di Troia o Troiani (Trojans): questo tipo di virus ha il suo punto di forza nello sfruttare lin-
38
ganno per compiere la sua missione. Sono programmi apparentemente innocui e, il pi delle volte utilizzano nomi di programmi famosi come ad esempio pkzip82.exe, il noto programma per la compressione dei file: una volta eseguito cancella tutti i dati del disco. Prendono il nome dal famoso cavallo dono descritto da Omero. Lunico rimedio per non incappare in questo tranello scaricare i programmi che ci servono soltanto dai siti ufficiali. Active X e Applet Java: possibile incappare in virus anche durante la semplice navigazione in rete, senza bisogno di dover scaricare o eseguire nessun programma. Per quanto riguarda le applet Java di per se non possono contenere codice infetto, ma possono avviare ed eseguire programmi che invece lo sono, semplicemente visitando una pagina web. Active X invece molto pericoloso, nonostante si tratti di un ambiente di programmazione che non stato realizzato per creare virus. In entrambi i casi possibile prendere provvedimenti impostando Internet Explorer in modo adeguato. Macro: possibile inoltre imbattersi in virus contenuti nelle cosiddette Macro, ad esempio utilizzando programmi molto popolari come Word ed Excel di Microsoft. Come molti sapranno, le macro automatizzano operazioni frequenti utilizzando un linguaggio di programmazione, appare chiaro come allinterno delle macro si possa inserire codice dannoso. Quando il documento viene aperto ed eseguita una macro il virus libero di compiere le sue malefatte.
sufficiente connettersi al sito ufficiale della Microsoft ed eseguire una ricerca inserendo le parole chiave IIS bug. Si ottengono centinaia di link a pagine che illustrano sia i problemi che le eventuali soluzioni. Sempre sul sito Microsoft.com esiste unampia zona riguardante la Sicurezza e la Privacy. Avvisiamo gli utenti che frequente perdersi allinterno di pagine e pagine quasi completamente scritte in inglese. In ogni caso, possibile in questa parte del gigantesco sito, ottenere informazioni circa un particolare bug, scegliendo dallelenco lapplicazione che lo contiene. Nel nostro esempio tentiamo di cercare la parola bug riguardante IIS 6.0. I risultati non mancheranno! Consigliamo lo studio di queste pagine perch sia da amministratore di rete, che da Hacker, occorre conoscere a fondo lapplicazione su cui intendiamo lavorare. Se, ci troviamo dalla parte lesa, nel senso che abbiamo in mano la gestione di una macchina su cui gira IIS, opportuno frequentare assiduamente queste pagine ed effettuare il download dei vari Service Pack per avere la massima sicurezza disponibile fornita da Microsoft.
Lo Sniffing
Scendendo leggermente nel dettaglio del funzionamento di una re t e l o c a l e E t h e r n e t , p o s s i b i l e c o n s t a t a re c h e t u t t e l e i n f o r m a z i o n i vengono tra s m e t t ei ng r u p p id e n o m i n a t ip a c c h e t t i . Q u e s t i p a c c h e t t i , s e c o n d o l e re g o l e d e l m o d e l l o ISO/OSI, contengono tutta una serie di i n f o r m a z i o n ic h e re n d o n op o s s i b i l el at ra s m i s s i o n e s t e s s a ,o l t re a c o n t e n e re i d a t id at rasmettere e f f e t t i v a m e n t e . T r a queste informazioni, che non vengono re s e n o t e a l l u t e n t e f i n a l e , c i s o n o d u e p a r t i d e l p a c c h e t t oc h ec o n t e n g o n oid a t id e l l i n d i r i z z oI P della macchina mittente e della macchina r i c e v e n t e . lp a c c h e t t ov i e n ec o s t ra s m e s s os u l l a re t eat u t t el e m a c c h i n ec o n n e s s e ,s o l ol am a c c h i n ad e s t i n a t a r i a d e lm e s s a g g i oi ng ra d od il e g g e re l ei n f o r m a z i o n i ,
I Buchi di IIS
Il server di Microsoft Internet Information Server da tempo noto per le sue falle o bachi; quindi una delle aspirazioni di un Hacker cercare nuovi modi per violarlo. La lista dei bug riconosciuti praticamente infinita e puntualmente aggiornata. I metodi utilizzati sono i pi disparati, dalla scansione delle varie porte scoperte alla manomissione delle informazioni riguardanti la posta elettronica. Per ottenere unesauriente lista di problemi noti
39
Danni gravi
Sproteggere programmi
I lC ra c k e r r i c e rc a l a s f i d a , l e p ro t e z i o n i d e i p ro g rammi rappresentano dunque una sfida i r re s i s t i b i l e . S p roteggere p ro g rammi pro t e t t i c o n m e t o d i d i p ro t e z i o n e d e l s u p p o r t o d i f f i c o l t o s o e p o c o s t i m o l a n t e s u l p i a n o i n t e l l e t t u a l e . V i c e v e rs al a s p ro t e z i o n ed ia p p l i c a z i o n ic h er i c h i e d o n oc o d i c id i a t t i v a z i o n eu n i m p re s ad i f f i c i l een o na l l ap o r t a t a d it u t t i . U n od e is i s t e m iu t i l i z z a t id a lC ra c k e rq u e l l od i m o d i f i c a re d i re t t a m e n t ei lp ro g ramma eseguibile; u t i l i z z a n d o p a r t i c o l a r i p ro g rammi, detti d i s a s s e m b l a t o r i , s e g u e i l f l u s s o d e l p ro g ramma, t ro v a t oi lp u n t oo v ev i e n ec o n t ro l l a t oi lc o d i c ed i a t t i v a z i o n e a p p o r t a l e m o d i f i c h e n e c e s s a r i e p e r i g n o ra re l ar i c h i e s t a . A l t r i s i s t e m i c o m p o r t a n o l i n d o v i n a re l a l g o r i t m o per la composizione del numero s e r i a l e ;s o v e n t e questi numeri vengono cre a t i b a s a n d o s i s u c a ra t t e r i s t i c h ed e ln o s t ro computer, a de s e m p i oi l n o m e d e l l u t e n t e ; i n a l c u n i c a s i a s s a i f a c i l e i n d o v i n a re c o m ea g i s c ei lm e c c a n i s m od ic o d i f i c a . I p ro g rammi che indovinano il codice di a t t i v a z i o n ev e n g o n od e t t i Keygen.
Ao n o rd e lv e ro o c c o r red i re c h el es o f t w a re-house non sembra s ii m p e g n i n om o l t on e l l ap ro t e z i o n e d e i p ro g ra m m i , e f f e t t i v a m e n t e l a d i f f u s i o n e d i c o p i ea b u s i v e ,c o m es iv e r i f i c a t oi na l c u n ic a s i p u f a v o r i re l ev e n d i t e ;u nc a s op e rt u t t iA u t o C a d d e l l aA u t o D e s k ,i lp ro g ramma stato facilmente c o p i a b i l ep e rc i rc au nd e c e n n i os i n oad i v e n i re u n o s t a n d a rd ,p o il ac a s ap roduttrice ha bruscamente c a m b i a t o p o l i t i c a , i l p ro g ramma divenuto p ro t e t t i s s i m oei n c o p i a b i l e ,c h il ov o l e v ad o v e v a p a g a r l o ;i nt a lm o d ol aA u t o d e s ks ip ro c u ra t a g ro s s ip ro f i t t i . Ci teniamo comunque a ribadire c h el ac o p i ad i Software i l l e g a l e e , a n c h e n o i , u t i l i z z a n d o u n p ro g ramma copiato diventiamo colpevoli agli occhi d e l l al e g g e .
IP Spoofing
Questo tipo di operazione consente di modificare leffettivo valore del campo indirizzo di un pacchetto IP. In poche parole, tutti i pacchetti che invieremo in rete, avranno un mittente diverso dal nostro. Questa tecnica utilissima per compiere qualsiasi tipo di operazione in rete mantenendo lassoluto anonimato, addirittura possibile utilizzare lindirizzo di un altro utente, probabilmente cacciandolo nei guai. Uno dei problemi che si riscontrano utilizzando questo metodo limpossibilit di utilizzare la rete per avere delle risposte, oltre a non poter utilizzare praticamente nessun tipo di applicazione di rete, sempre a causa del dato manomesso.
DNS Spoofing
Con DNS Spoofing si intende la modifica con intenti maliziosi del database contenuto su un server DNS. Un server DNS altro non che un normale computer che contiene un database con due campi, il primo costituito da un indirizzo IP, nel secondo campo viene posto lindirizzo testuale del relativo indirizzo IP, nel momento in cui digitiamo lindirizzo testuale, il nostro Browser consulta il server DNS presso il nostro provider il quale ci permette di accedere al sito individuato dallindirizzo IP contenuto nel DNS.
di numeri seriali.
40
Il server DNS contengono infiniti indirizzi e relativi IP, sufficiente per un malintenzionato alterare il database, ad esempio un Craker pu connettersi ad un server DNS, sostituire il database con una copia modificata; supponiamo che nel database sia contenuto lindirizzo di un importante sito il Cracker sostituisce il reale IP del sito con uno fasullo, ad esempio 0.0.0.0 Tutti gli utenti che digiteranno lindirizzo testuale riceveranno in risposta lavviso pagina non trovata.
Attacchi DoS
Gli attacchi DoS non devono essere confusi con attacchi provocati dello storico sistema operativo di casa Microsoft, la sigla indica negazioni dei sistemi di servizio: Denial of Service. Si tratta in effetti di attacchi eseguiti attraverso gli ormai noti nuke e altre applicazioni simili. Fondamentalmente gli attacchi vengono rivolti, nel caso di Windows, a determinate porte scoperte. Queste porte sono solitamente riservate per gli ODB ossia gli Out of Band. Attraverso queste porte possibile inviare messaggi ODB che possono, ad esempio, avviare il reset della macchina o il reboot immediato provocando danni facilmente immaginabili. Anche questi attacchi possono partire da una connessione ad una chat. E possibile inoltre che a compiere un attacco DoS possa essere il MOD di una chat: il suo moderatore. Spesso le chat vengono frequentate da persone che non rispettano il galateo della rete, la Netiquette, e utilizzano Nickname offensivi o si comportano in modo intollerabile: con i permessi di superuser, il moderatore di una chat pu espellere tali personaggi dal proprio servizio.
Attacchi DDoS
Gli attacchi DDoS (Distributed Denial of Services attack) non sono altro che levoluzione dei DoS, ma allennesima potenza. Questo tipo di attacco ha messo in ginocchio, allinizio del 2000, interi portali quali Yahoo, CNN, EBay e Amazon. Come i loro progenitori, gli attacchi DDoS saturano di richieste il servizio fino a bloccarlo.
Lo Smurf
Un altro tipo di attacco DoS il cosiddetto Smurf, ossia lesaurimento della banda messa a disposizione dellutente vittima. Ad esempio: il bombardamento di una macchina con infiniti segnali di Ping, magari utilizzando alcune connessioni di rete amministrate in modo superficiale. Attraverso questo sistema lutente preso di mira viene praticamente isolato da Internet.
Giorno
42
menu Esegui e digitando: telnet. Qui di seguito descriveremo la versione di telnet presente nelle versioni di Windows 95, 98 e ME. Avviato il programma ci troviamo di fronte ad uninterfaccia ridotta allessenziale, composta dalla barra dei menu e dalla casella dedicata allimmissione dei comandi e alla visualizzazione delle risposte del server.
lindirizzo del server SMTP al quale ci vogliamo connettere, lindirizzo di posta elettronica in uscita (SMTP) di tin.it out.virgilio.it: lo vediamo nel campo Nome Host; il secondo parametro si chiama porta e serve per specificare il tipo di servizio cui collegarci
fronte ad uninterfaccia ridotta allessenziale, composta dalla barra dei menu e dalla casella dedicata allimmissione dei comandi e alla visualizzazione delle risposte del server
Per quanto semplice, Telnet, consente un minimo di personalizzazione per lavorare pi comodamente. Per impostazione predefinita il programma non mostra ci che viene digitato, conviene modificare tale impostazione: la possibilit di visualizzare il testo digitato viene definita: Eco. Per attivare lopzione Eco locale, necessario selezionare la voce Preferenze allinterno del menu Terminale e attivare lopzione Eco locale poi, confermare la scelta con lapposito pulsante OK. Quindi forniamo le impostazioni per la connessione remota, ossia a distanza: selezioniamo la voce Sistema Remoto allinterno del menu Connetti; dalla finestra di dialogo Connetti imposteremo i parametri fondamentali per la connessione.
43
dialogo Connetti riguarda il tipo di terminale da utilizzare; modificando il tipo di terminale potremmo avere una visualizzazione a colori, scegliere fra differenti tipi di cursore o di carattere. Scegliamo di mantenere limpostazione predefinita: vt100. Infine, per connetterci al server, necessario premere il pulsante Connetti. Se la connessione riuscita, viene mostrata a video la risposta del server: il numero 220 indica il saluto, seguito dal nome del server.
viene mostrata a video la risposta del server: il numero 220 indica il saluto, seguito dal nome del server
Il primo parametro necessario lindirizzo del server SMTP al quale ci vogliamo connettere. Ad esempio lindirizzo di posta elettronica in uscita del provider tin.it out.virgilio.it: lo digitiamo nel campo Nome Host. Il secondo parametro si chiama porta e specifica il tipo di servizio cui collegarci. Su un computer, o su un server, alle varie applicazioni viene assegnato un numero di identificazione: questi numeri vengono detti porte o port; per esempio la porta predefinita delle pagine Web la porta 80. Quando, con Internet Explorer, digitiamo un indirizzo Web mandiamo un segnale di richiesta ad un determinato server, questo rinvia la richiesta ad unapplicazione impostata per rispondere su quella porta: solitamente si tratta del software che gestisce il Server Web. Probabilmente lo stesso server offre anche un servizio FTP, SMTP o Telnet, quindi, secondo il numero di porta dirige le richieste ai rispettivi servizi. Il caso che stiamo analizzando, lievemente ambiguo: Telnet usa solitamente la porta 23, tuttavia lo stiamo utilizzando per connetterci ad un servizio SMTP che usa la porta 25; perci inseriremo 25 nella casella Porta. Lultima impostazione possibile nella finestra di
La prima cosa da fare rispondere al saluto del server digitando il comando HELO oppure EHLO seguito dal nome del nostro dominio di appartenenza; abbastanza semplice intuire che potremmo anche mentire... In effetti noi utilizzeremo lo stesso nome del server cui siamo connessi; risulter quindi una lettera scritta dal server stesso. Ogni comando deve essere seguito dalla pressione del tasto Invio per inviare il comando al server che risponder sulla riga successiva. Dopo aver scritto EHLO seguito dal nome del dominio del server, otteniamo in risposta una riga che inizia con 250, questo il codice che indica che il comando stato eseguito senza errori. Dopo queste operazioni preliminari, possiamo cominciare a scrivere la nostra mail digitando MAIL
44
FROM e aggiungendo il nostro indirizzo e-mail fra parentesi angolate. Lintenzione quella di scrivere una lettera anonima, quindi NON immetteremo il nostro reale indirizzo, bens uno di fantasia.
Aprendo questo messaggio con Outlook Express vedremo visualizzati questi testi nei campi: A: Da: e Oggetto: Infine abbiamo scritto il testo vero e proprio del messaggio: Questa lettera ha un mittente immaginario. Per concludere il messaggio e spedirlo occorre un particolare comando: al termine del testo occorre premere Invio quindi digitare un solo punto; unulteriore pressione del tasto Invio chiude e spedisce la mail. Se loperazione ha avuto esito positivo il server risponder con un 250 seguito da Mail accepted. Potremmo ora scrivere un nuovo messaggio, oppure disconnetterci dal server. Se vogliamo spedire una nuova mail dovremo ricominciare scrivendo MAIL FROM: ecc. mentre per disconnetterci utilizzeremo il comando QUIT.
Figura 4.5 - Loperazione ha avuto esito positivo, il server ha risposto con un 250 seguito da Mail accepted
Anche in questo caso, la risposta del server inizia con il numero 250 ad indicare che lazione ha avuto esito positivo. E la volta di indicare il Ricevente, per farlo si utilizza il comando RCPT TO: seguito dallindirizzo e-mail del destinatario racchiuso tra parentesi angolate. Se non abbiamo commesso errori proseguiamo, tenendo conto che non possiamo cancellare il testo inserito in Telnet o Hyperterminal: lunico rimedio premere Invio e riscrivere nuovamente il codice. Terminata lintestazione del messaggio possiamo inserire il corpo vero e proprio, cio il testo. Il comando che indica linizio del corpo del messaggio : DATA senza nessun parametro aggiuntivo. Oltre al testo possiamo inserire: mittente, destinatario e oggetto del messaggio; quanto digitato apparir nei rispettivi campi del messaggio mostrato dal programma di gestione della posta elettronica. Noi abbiamo inserito quanto segue: To: utente inesistente From: utente anonimo Subject: Lettera anonima
scaricato la posta da Internet, vedremo che la nostra mail giunta a destinazione e i campi da noi precedentemente compilati vengono visualizzati in modo corretto
Supponiamo di poter vedere il PC del destinatario: dopo aver avviato Outlook Express e scaricato la posta da Internet, vedremo che la nostra mail giunta a destinazione e i campi da noi precedentemente compilati vengono visualizzati in modo corretto. Nel campo Da: viene visualizzato il testo che avevamo inserito dopo lopzione To:, mentre loggetto corrisponde al testo inserito dopo l opzione Subject:. Analizziamo pi a fondo il messaggio per verificare se, in qualche modo, presenti differenze rispetto
45
In questa sezione troveremo numerose informazioni apparentemente incomprensibili; concentrando lattenzione su alcuni particolari possiamo riconoscere lindirizzo del server SMTP.
serito correttamente nellapposito spazio e tutto fa pensare che si tratti di una normale e-mail
alle e-mail inviate normalmente. Aprendo, con un doppio clic, il messaggio tutto appare normale. Approfondiamo le nostre ricerche analizzando i dati realmente importanti; questo, servir quando vorremo assicurarci della reale provenienza di mail sospette.
merose informazioni apparentemente incomprensibili; concentrando lattenzione su alcuni particolari possiamo riconoscere lindirizzo del server SMTP
Se vogliamo analizzare il testo che viene effettivamente spedito attraverso la rete dobbiamo cliccare il pulsante Messaggio Originale. Nella finestra Messaggio originale, possiamo vedere il vero indirizzo e-mail del mittente, nonostante sia, in questo caso, fasullo.
sualizzare informazioni molto generiche riguardo le dimensioni e le varie date di invio e ricezione della mail
Con un clic destro del mouse sul messaggio facciamo apparire il menu di scelta rapida e scegliamo la voce Propriet. Nel pannello che appare possiamo visualizzare informazioni generiche riguardo le dimensioni e le date di invio e ricezione della mail; volendo scendere pi a fondo utilizziamo la linguetta Dettagli.
possiamo vedere il vero indirizzo e-mail del mittente, nonostante sia, in questo caso, fasullo. Qui, appaiono tutti i dati relativi sia al mittente che al destinatario, anche se sappiamo che sono stati camuffati o utilizzati in maniera impropria
46
Qui, appaiono tutti i dati relativi sia al mittente che al destinatario, anche se sappiamo che sono stati camuffati o utilizzati in maniera impropria. Occorre fare una precisazione: anche se abbiamo visto nel dettaglio la possibilit di inviare una mail anonima senza la possibilit di risalire al mittente, questo non completamente vero. Se dovessimo spedire una lettera che provochi danni seri, il destinatario o le autorit di competenza potrebbero in ogni caso risalire al mittente reale; il sistema utilizzato non ci consente di camuffare il nostro indirizzo IP. Quando ci connettiamo alla rete il nostro provider ci assegna un indirizzo IP, ci indispensabile per poter far parte di una rete; sottolineiamo il fatto che lindirizzo deve essere assolutamente univoco, cio ogni computer in rete deve avere un indirizzo IP diverso dagli altri. Un tecnico esperto, conoscendo lindirizzo IP, pu facilmente risalire al provider e quindi a noi.
Per semplificare le complesse operazioni necessarie a mutare lidentit del PC si trovano in rete programmi che sono in grado di farlo automaticamente; molto spesso questi programmi offrono pi di una funzione e sono in grado di essere daiuto al pirata in una variet di situazioni. Uno di questi toolkit Divine Intervention. Come tutti i programmi di questo tipo anche Divine Intervention ha uninterfaccia semplificata e dai colori particolarmente cupi; tutte le spiegazioni sono ovviamente in inglese. Il pirata deve innanzitutto recuperare, come abbiamo visto pi volte, lindirizzo IP del computer che vuole attaccare. I luoghi virtuali pi frequentati dai malfattori sono solitamente IRC e ICQ; questi pro-
47
grammi per frequentare le rispettive Chat Line mostrano lindirizzo IP dellutente che si vuole colpire. Vale la pena ricordare che lindirizzo IP di quasi tutti gli utenti di Internet dinamico, il che significa che lo stesso utente non avr lo stesso indirizzo ogni volta che si connette. Vediamo quindi come possibile, per un Hacker/Cracker eseguire un Nuking verso un altro utente. La funzione di Divine Intervention utilizzata per questo scopo posta sotto la voce Retribution e si chiama FyRE. Dopo aver avviato Divine Intervention, il malintenzionato, deve inserire nellapposito campo lindirizzo IP del malcapitato, il numero di porta da attaccare direttamente, e un eventuale messaggio. A questo punto sufficiente premere il pulsante Nukeem! per dare inizio al bombardamento. I risultati di queste operazioni possono essere i pi
disparati: dallo schermo blu di Windows, alla disconnessione da Internet, al riavvio forzato di Windows stesso; dipende semplicemente dal sistema operativo che installato sulla macchina bersaglio, dalle configurazioni di sistema e, molto importante, da eventuali sistemi di protezione installati e configurati. FyRE un ODB nuker. In pratica sfrutta una falla di Windows 95 e NT, provocando il reset del sistema operativo spedendo dati ODB (Out of Band) tramite la porta NetBios (139 per Win95 e 135 per WinNT). Teniamo conto che esistono gi da tempo apposite pezze per questo tipo di falle.
Figura 4.12 - Bombardando di pacchetti dati un indirizzo IP spesso si ottiene il blocco del computer
48
Questo programma permette agli hackers/crackers di eseguire nuke da chat, nel caso specifico di utenti IRC. E possibile quindi, per un malintenzionato, disconnettere un altro utente collegato al servizio di chat line. E teoricamente possibile, disconnettere un utente dalla connessione ad Internet; occorre per conoscere gli esatti dati di tale utente. Per espellere (kickare) un utente da una chat IRC, il malintenzionato o il moderatore della chat, deve inserire lindirizzo IP dellindesiderato nella casella Client e lesatto indirizzo del Server IRC (che solitamente irc.qualcosa.net). Infine occorre impostare un intervallo di porte da tentare durante lattacco. Un altro parametro personalizzabile il numero di pacchetti dati da inviare in un determinato lasso di tempo: occorre sperimentare diverse soluzioni fino a raggiungere quella ottimale.
Figura 4.13 - Sempre utilizzando Divine Intervention, alla voce Retribution, esiste unapplicazione chiamata BRiMSTONE che consente di disconnettere un altro utente collegato al servizio di chat line
Giorno
50
Una persona acquista il programma e ne mette a disposizione di tutti il numero di codice, in molti casi questo semplice sistema funziona; nei casi in cui, invece, il numero di codice viene generato in base alle caratteristiche del computer su cui viene installata lapplicazione, occorre ricorrere ad unaltra categoria di sprotezioni: i KeyGen. I generatori di codici (KeyGen) sono dei programmi che si occupano di creare il numero seriale adatto ad
un determinato programma. Facciamo un esempio: una hacker scarica la versione demo di un programma e desidera utilizzarlo anche dopo la scadenza; dovr cercare sulla rete un sito ove viene offerto il KeyGen adatto allapplicazione, scaricarlo ed eseguirlo. Il programma fornir un codice di accesso valido che il pirata utilizzer per ingannare il programma dimostrativo trasformandolo nella versione completa. In luogo dei KeyGen il pirata potr utilizzare le Patch, anche questi sono programmi che si trovano nei meandri del Web, occorre scaricare quella adatta per il software desiderato ed eseguirla. Le Patch funzionano in modi diversi: possono modificare leseguibile del programma in modo da invalidarne le routine di controllo, o agire sul registro di Windows modificandone dei valori. In ogni caso lo scopo quello di ottenere, partendo dalla versione dimostrativa, un programma completo e senza limitazioni. Ancora pi esplicitamente alcuni siti offrono il programma completo, gi crackato, e perfettamente funzionante, il disonesto non dovr fare altro che scaricarlo e installarlo sul suo computer. Questa categoria di applicazioni protette prende, in genere, il nome di Appz. Ribadiamo che questo modo di ottenere applicazioni sprotette non soltanto illegale, ma anche lontano anni luce dalletica Hacker o anche cracker.
51
esperto utilizzer la stessa grafica e lo stesso stile delle mail che il vero staff invia agli utenti. Un altro metodo quello di tentare attacchi cosiddetti di "forza bruta". Si tratta, in pratica, di utilizzare appositi programmi illegali che effettuano innumerevoli tentativi di login al servizio di posta elettronica della vittima sfruttando database di possibili password. Uno di questi programmi Brutus. Questo sfrutta database, trovati in rete o creati dallo stesso hacker, che contengono l'intero dizionario di una o pi lingue ed eseguono un tentativo di login per ogni parola contenuta nel dizionario fino a trovare quella giusta. La buona riuscita di tale operazione dipende fondamentalmente dalla scaltrezza dell'utente a cui viene rivolto l'attacco.
Figura 5.4 - I craker sono interessatissimi a conoscere il contenuto della nostra posta elettronica
Per avere accesso a tali informazioni occorre per conoscere due dati essenziali: nome dell'account di posta elettronica e relativa password. Per quanto concerne il nome account questo noto a priori, in quanto il craker conosce l'indirizzo che vuole crackare; non rimane che individuare la relativa password. Il metodo pi semplice utilizzato dai pirati creare un indirizzo di posta elettronica sullo stesso server della vittima facendo credere ad essa di appartenere allo staff. In pratica se la vittima possiede un indirizzo tipo carlo@azienda.it, il cracker pu creare un proprio account, facendo molta attenzione a non lasciare tracce, come ad esempio staffAmministrazione@azienda.it; a questo punto, utilizzando la mail del finto staff spedisce una lettera che richiede la password per motivi di aggiornamento dei database utenti, arricchendo il tutto con mille formalit per dare al messaggio un aspetto ufficiale. Solitamente un utente poco esperto risponde alla mail senza insospettirsi e il gioco fatto. Tutto si basa sulla credibilit del messaggio, un craker
La maggior parte degli utenti normali utilizza password ovvie, ad esempio la password dellindirizzo carlo@azienda.it quasi sicuramente carlo; il cracker utilizza il nome, cognome, data di nascita e nome login come primi tentativi da affidare a Brutus e molto spesso si impossessa di tutta la posta della vittima in pochi secondi.
Creare virus
La creazione di un virus funzionante non impresa da poco, occorre conoscere uno o pi linguaggi di
52
programmazione, conoscere e saper sfruttare le falle dei sistemi operativi e, inoltre, sopravvivere agli antivirus! Purtroppo, ultimamente, la creazione di virus viene molto facilitata da appositi programmi reperibili in rete. Chiunque ormai, utilizzando questi generatori di virus, ne pu creare uno senza possedere conoscenza alcuna. Peggio ancora, in rete facilissimo reperire i codici sorgenti di numerosi virus, in alcuni casi sufficiente modificare il codice per ritrovarsi con un virus nuovo di zecca che, per qualche tempo, potrebbe ingannare gli anti-virus.
Figura 5.7 - Il generatore di Trojan VbsWg
in tal caso il messaggio da mostratre nel campo oggetto del messaggio. E possibile indicare se linfezione deve esser propagata in un particolare giorno dellanno, inoltre il Worm cos generato in grado, secondo lautore, di scaricare ed eseguire un programma.
Per i crakers pi pigri esiste lalternativa di scaricare un virus gi pronto e diffonderlo; certo, i vecchi virus sono noti agli antivirus e non hanno alcuna probabilit di passarla liscia; tuttavia, incredibilmente, sono ancora molti i computer connessi in rete che non fanno uso di antivirus; anche questi vecchi virus hanno, dunque, probabilit di sopravvivere e diffondersi. Esistono poi, tutta una serie di programmi di contorno che aiutano nel compito di creare virus, uno di questi SubSeven nella versione 2.2 Un altro esempio di programma per creare virus e Trojan Vbswg, un generatore di Worm molto semplice da usare, presenta una serie di opzioni che consentono di personalizzare i Worm preconfezionati. E possibile assegnare un nome al Worm, inserire il proprio nome, decidere quando il Worm deve essere avviato (alla partenza di Windows oppure no), se deve utilizzare la posta elettronica per la diffusione, e,
Come molti sapranno IIS (Il server di Microsoft: Internet Information Server) una fonte inesauribile di spunti per gli hackers e crackers, poich racchiude diverse applicazioni da violare e consente di raggiungere risultati molto interessanti per i craker.
quantit di risultati, non appena una falla viene scoperta Microsoft si affretta ad approntare un rimedio
53
Ad esempio, attraverso l'utilizzo di appositi comandi possibile visualizzare il codice di pagine ASP ed avere accesso a informazioni riservate di siti web dinamici: ad esempio la posizione esatta del database con i nomi e le password degli utenti che hanno accesso alle zone riservate del sito. Esistono comandi che visualizzano il contenuto della cartella scripts CGI del server attaccato: anche in questo caso il pirata ottiene tutte le informazioni necessarie per attaccare il server IIS o il sito. La lotta fra attaccanti e difensori si evolve quotidianamente, non appena un pirata scova una falla per penetrare nel server, i difensori escogitano un rimedio (una Patch) per impedire laccesso in futuro. Molto spesso quando vengono rese pubbliche, da parte degli hackers, le procedure o i programmi per bucare IIS, Microsoft ha gi pronto un rimedio. Occorre quindi essere un vero hacker per poter attuare un solido attacco a IIS o applicazioni simili, tipo Apache ecc.
stemi operativi Windows 2000 o superiori (XP). Luso del programma abbastanza semplice, il malintenzionato deve inserire nell'apposito campo l'indirizzo IP della macchina di cui vuole analizzare il transito dei pacchetti-dati, quindi avviare il programma. I pacchetti-dati vengono quindi analizzati dal PC dell'hacker, ed possibile analizzare il contenuto degli stessi grazie al visualizzatore dei dati. Solitamente il contenuto che desta maggiormente linteresse dei pirati il testo, ma sappiamo benissimo che, attraverso la rete, possibile inviare qualsiasi tipo di documento: immagine, audio, filmato; il programma offre quindi la possibilit di visualizzare il solo testo, oppure lintero contenuto in notazione decimale o esadecimale. Lhacker pazientemente spia il transito dei dati alla ricerca di un messaggio interessante: una password o informazioni di valore.
Uno di questi programmi di decrittazione NetworkActive Sniffer. Questa applicazione utilizzata dagli hackers sia in rete locale che Internet, ma funziona soltanto su si-
una realt sempre pi diffusa nella vita quotidiana di molte aziende e abitazioni
54
"attrezzi": una scheda di rete wireless, possibilmente montata su un computer portatile, un programma di diagnostica per wireless, come ad esempio NetStumbler. A questo punto sufficiente situarsi vicino a uffici o abitazioni ove sono in funzione reti wireless e avviare il programma. Una volta rilevato un segnale IEEE802.11b, ossia un segnale che utilizza il protocollo di comunicazione per reti wireless, NetStumbler consente di ottenere quasi tutte le informazioni necessarie per penetrare nella rete. Tra queste informazioni possibile ottenere l'indirizzo MAC (un numero identificativo della scheda) dellacces point, il dispositivo che gestisce la rete wireless. Lhacker ottiene, inoltre, il Ssid, un parametro utile per accedere ad una rete wireless, una sorta di password utilizzta per comunicare con laccess point. Ottenute queste informazioni chiunque in grado di utilizzare la rete locale Wireless come un utente accreditato pur rimanendo anonimo. Dobbiamo aggiungere, inoltre, che la maggior parte degli utenti wireless hanno poca dimestichezza con questa nuova tecnologia, e tendono a sottovalutare i problemi di sicurezza di questo standard;
ad esempio trascurano il posizionamento dell'Access Point ponendolo, magari, vicino a finestre; quindi possibile che i segnali vengano propagati all'esterno dell'edificio e siano alla portata di chiunque; inoltre la maggior parte delle volte viene abilitato il Dhcp, ossia l'applicazione che permette di assegnare un indirizzo IP dinamico ad ogni nuovo elemento della rete che si connette: quindi facile che un malfattore ottenga un valido indirizzo IP anche se non dovrebbe far parte della rete.
55
Inoltre occorre sapere che le routine di controllo vengono, per sicurezza, richiamate da punti diversi del programma, quindi non bisogna commettere lerrore di eliminare la chiamata alla routine ma agire direttamente sulla routine stessa. Tutto questo comporta la conoscenza delle tecniche di programmazione: variabili, routine, scelte condizionali Molti crakers possiedono queste conoscenze, che non sono difficili da acquisire con un po di passione; tutto si pu dire degli Hackers/Crakers tranne che non siano appassionati! A scopo di studio abbiamo inserito nel Cd che accompagna la Videoguida un tipico tutorial trovato in rete, abbiamo modificato il nome del programma vittima e poche altre cose. Vediamo adesso, pi in generale, quali tipo di protezioni esistono e come i pirati le aggirano. Programmi con NAG SCREEN Se il programma possiede delle schermate di avviso (nag screen) il Craker le toglier. Per eliminarle occorre trovare la chiamata alla routine che le richiama ed eliminare il salto alla routine. Programmi con NAG SCREEN e Numero di Registrazione Numerosi programmi danno la possibilit di annullare il Nag Screen inserendo un codice di registrazione del prodotto. In questo caso non sar necessario disabilitare il nag screen, baster inserire un codice di registrazione. Il pirata trover e modificher la routine in modo che faccia funzionare il programma solamente se il numero di registrazione errato, semplicemente invertendo un confronto. A questo punto il programma funzioner con qualunque numero inserito... tranne quello vero! Programmi con Funzioni Disabilitate Per prima cosa, il craker deve verificare se le funzioni sono solamente disabilitate, oppure se non sono nemmeno implementate nel programma in questo caso chiaro che non vi nulla da fare. Nel primo caso, invece, il craker deve trovare la procedura che decide se abilitare o meno le funzioni. Di solito queste funzioni leggono dei flag scritti da
qualche parte nel registro di configurazione o nei propri file, li confrontano e decidono se abilitare le funzioni. Trovando la procedura di controllo, e modificando i flag letti, si avranno a disposizione tutte le funzioni desiderate. Programmi Trial a Tempo I programmi denominati "Try&Buy" sono programmi completi che dopo un certo lasso di tempo smettono di funzionare. Alcuni dopo un certo numero di giorni dall'installazione, altri dopo una certa data. I primi, scrivono in qualche zona dell'Hard Disk un valore che aumenta di giorno in giorno, e che quando supera un certo valore, blocca il programma. Per scoprire il file in cui viene scritto il valore possibile utilizzare un monitor di Interrupt, oppure un registry tracker per scoprire in quali punti del registro il programma scrive. In alternativa, come nei casi precedenti, il pirata dovr trovare la funzione di controllo e disattivarla.
Effettuare lo Spoofing
L'IP spoofing una tecnica molto utilizzata dagli Hackers per mascherare la propria identit, in particolare per quanto riguarda l'indirizzo IP. Dopo aver eseguito l'IP spoofing, possibile eseguire qualsiasi tipo di attacco, dal DDoS alla navigazione in aree controllate senza lasciare tracce che riconducano direttamente all'hacker. In rete possibile trovare applicazioni che permettono di settare la scheda di rete in modo promiscuo, e quindi eseguire lo sniffing di informazioni altrui, spedire pacchetti di dati che abbiano un indirizzo IP diverso da quello vero; ovviamente non si possono avere informazioni sulle azioni eseguite perch ogni eventuale risposta viene inviata allindirizzo spoofato, tuttavia lHacker pu rimanere nellanonimato. LIp spoofing pu venire realizzato in diversi modi, dipendenti specialmente dal programma utilizzato; non si pu quindi indicare una procedura valida per ogni occasione. Solitamente lhacker si autocostruisce un programma ad hoc; questo richiede competenze approfondite di programmazione e ottima conoscenza delle reti.
56
In sostanza il nucleo del problema consiste nel modificare il mittente di ogni pacchetto dati che viene inviato in modo che contenga lindirizzo del mittente falso o spoofato. Sussiste per il fatto che in rete non ci possono essere due indirizzi IP identici; quindi opportuno procurarsi un altro programma che si occupa di analizzare la rete e fornire un elenco degli indirizzi al momento non utilizzati, cosicch se ne possa utilizzare uno per compiere lazione desiderata. Tra i programmi da utilizzare in queste due fasi possiamo trovare WinDump e WinPcap anche se abbastanza difficile trovarli e utilzzarli.
Creare Trojan
Per capire grossomodo come fanno i pirati a creare virus e trojan vediamo come si pu realizzare, in poche righe, un semplicissimo programma che viene eseguito allinsaputa dellutente. Premettiamo che, rispetto alle sofisticate doti dei virus veri quello che qui vedremo solo un gioco da bambini, anzi non lo si pu neppure definire virus, in quanto gli manca la capacit di trasmettersi e replicarsi. LMS-DOS (MicroSoft Disk-Operating-System) il sistema operativo che ha preceduto Windows, di questo vetusto sistema operativo restano ancora tracce in Windows, esiste infatti ancora il file AUTOEXEC.BAT; questo file viene esaminato ad ogni
avvio del computer e, se contiene dei comandi, questi vengono eseguiti. Il file AUTOEXEC.BAT pu contenere uno o pi comandi DOS con i quali si pu fare di tutto: copiare file, creare directory, eliminare file, avviare programmi eseguibili (con estensione EXE oppure COM); anche possibile lanciare altri file di comandi DOS con estensione .BAT. Ai tempi del DOS il file Autoexec era molto conosciuto, le nuove generazioni di utenti, che hanno utilizzato solo Windows, ne ignorano a volte lesistenza. Come per tutte le loro azioni dannose i pirati cercano di sfruttare i punti deboli: le falle dei sistemi operativi e lignoranza degli utenti. Unavvertenza, il file Autoexec.bat, pur essendo ancora presente, non viene pi eseguito sotto WindowsXP o quelle versioni di Windows che utilizzano il file system NTFS in luogo di FAT 16/32, per cui gli ospiti indesiderati non possono utilizzare questo sistema per introdursi nel nostro computer. Costruiamo insieme questo programmino di prova. Innanzitutto facciamo una copia di riserva del file Autoexec.bat, quindi utilizzando il blocco note apriamo il file per modificarlo. Senza toccare nulla delle righe precedenti inseriamo quanto segue:
@echo pause Buon compleanno!
Il comando @echo mostra sullo schermo la frase che lo segue, in questo caso Buon compleanno! Il comando pause impone una pausa, necessario altrimenti il testo scivolerebbe via velocemente e lutente non farebbe in tempo a vederlo; per proseguire occorre premere un tasto qualunque. Questo un simpatico modo di augurare buon compleanno a qualcuno, tuttavia un pirata potrebbe inserire comandi ben pi pericolosi, ad esempio impedire lavvio di Windows o, addirittura, formattare lintero disco fisso! Per rendere il cosiddetto virus meno visibile possibile trasformare un file .BAT in un file .EXE, a questo scopo viene utilizzato il programma Bat2EXE che, come dice il nome, esegue questa operazione. Ci che alcuni di voi si chiederanno: come fa il pirata a sostituire il mio file Autoexec con quello modificato?
57
I metodi possono essere molti, quello forse pi semplice di zipparlo insieme ad un programma freeware, durante loperazione di decompressione il vostro file Autoexec andr a sostituire quello originale; questo il comportamento tipico dei Trojans che vengono introdotti nel sistema di soppiatto, durante linstallazione di programmi che sono solamente specchietti per le allodole. Un metodo pi efficace consiste nellinviare un file VbScript come allegato di posta elettronica; il programma VbScript si occupa di copiare il file Autoexec nella root del disco C: Per rendere meno evidente la presenza dello Script il Pirata pu utilizzare il metodo della doppia estensione per camuffarlo; il metodo consiste semplicemente nel dotare il file di due estensioni, ad esempio Prova.doc.vbs, in tal modo Windows mostrer solo la prima estensione ed il file sembrer un documento Word. Questo trucco non funzioner se lutente ha scelto di mostare le estensioni dei file
Figura 5.15 - Attivando la visualizzazione delle estensioni scopriamo che si tratta della calcolatrice di Windows
(cosa che consigliamo caldamente a tutti). Sempre con VbScript possibile aprire il file autoexec del computer, aggiungere uno o pi righe e salvarlo cos modificato. Con Javascript possibile, in modo pi complesso, ingannare il meccanismo che scrive nella cache di Internet Explorer in modo che il file venga posto sul disco fisso ove desideriamo noi.
58
care lutente hanno il compito quello di assorbire tutte le risorse della CPU con compiti semplicissimi, ma ripetuti allinfinito
Supponiamo quindi che l'attacco sia stata programmato per una determinata ora di un determinato giorno. Scoccata l'ora stabilita, tutti i crakers, da computer diversi, avviano un attacco DoS. Il server attaccato risponde alle chiamate degli utenti, ma deve anche far fronte alla valanga di attacchi DoS; a seconda del livello di sicurezza del server stesso e della sua potenza, il server supporter e processer un numero limitato di risposte, dopodich rimarr fuori servizio e dovr essere riavviato, negando per alcuni momenti il servizio ai visitatori. Se, oltre a questi attacchi, i crakers riuscissero a inserire un piccolo programma all'interno del server, che riesca a "succhiarne" la potenza della CPU, questo server potrebbe avere seri problemi per pi ore; almeno fino a quando l'amministratore non riuscir a scovare e neutralizzare il programma. Ovviamente i malfattori devono fare attenzione a non lasciare tracce perch questi attacchi sono punibili dalla legge.
Esistono anche applicazioni molto pi complesse, che permettono addirittura di esaurire le risorse del computer attaccato. Alcuni craker utilizzano semplici programmi autocostruiti che possono essere inseriti in normali e-mail e, considerato che non sono virus, passano inosservati al controllo anti-virus. Questo tipo di programmi, una volta posti nell'hard disk, vengono richiamati ad ogni avvio; il loro compito quello di assorbire tutte le risorse della CPU con compiti semplicissimi, ma ripetuti allinfinito. Creare questi programmi richiede una certa abilit e un po di fantasia da parte del programmatore.
I craker, dunque, prima di sferrare lattacco mascherano il loro indirizzo IP attraverso la tecnica dell'IP spoofing; oppure utilizzano una lunga lista di proxy server attraverso i quali far rimbalzare i loro segnali e quindi far perdere eventuali tracce.
Giorno
Come difendersi
Precauzioni contro i danni limitati
E-mail anonime: metodi di difesa E-mail camuffate: metodi di difesa PGP e la crittografia della posta elettronica I Nuke: metodi di difesa
60
gratuiti e, quindi, l'esempio che abbiamo analizzato nel giorno 4, non funziona su tutti i server SMTP. In passato le protezioni dei server erano meno rigorose e si correva il rischio effettivo di ricevere mail anonime, oggi invece con l'evoluzione di Internet, si corre fondamentalmente meno rischio da questo punto di vista.
Per difendersi dalle mail anonime ci sono ben poche soluzioni; infatti esse non possono essere evitate se non rivolgendosi a specifici provider (a pagamento), che si occupino di filtrare la posta che ci arriva. Tuttavia, ormai da tempo, questo problema stato preso in considerazione anche dai provider
Uno dei sistemi con cui sventare queste minacce sono le norme del buon senso, in caso di messaggi sospetti conviene accertarsi della loro autenticit avendo un colloquio con il presunto mittente. Unaltra tecnica pratica quella di impostare il client di posta elettronica in modo che avvisi dell'avvenuta ricezione del messaggio; in tal modo almeno il mittente avr sentore che sta accadendo qualcosa di anormale, infatti ricever l'avviso di ricezione di un messaggio che non ha mai inviato.
61
curezza nell'atto di ricevere messaggi di posta elettronica. Esistono da tempo una serie di programmi che servono a crittografare le e-mail e, inoltre, consentono di avere pi sicurezze sul mittente: uno di questi programmi PGP. Nonostante questo tipo di software sia stato concepito per evitare che occhi indiscreti scrutino le mail che inviamo e riceviamo, chi vuole spedire mail crittografate deve iscriversi al servizio ed obbligato a disporre di una casella di posta elettronica funzionante. PGP pu essere utilizzato se dobbiamo spedire dati o interi documenti con la sicurezza che non possano essere decifrati dai vari malintenzionati appostati in rete. Questo programma Open Source ed quindi disponibile in versione freeware all'indirizzo www.pgpi.org non necessita quindi di alcuna licenza. PGP utilizza due chiavi virtuali. Una chiave privata mentre l'altra pubblica e viene generata direttamente sul nostro computer al momento dell'installazione in maniera univoca, tutte e due le chiavi sono uniche e possono essere utilizzate solo dall'effettivo possessore di entrambe tramite password. Dopo esserci procurati una copia di PGP possiamo installarlo e avviarne la configurazione. La prima operazione da eseguire la creazione del nostro paio di chiavi o key pair. Il pulsante Avanti consente di passare alla finestra successiva.
Figura 6.4 - In questa finestra, come primo dato inseriremo il nome intero dell'utente. Questo sar il nome di riconoscimento delle nostre chiavi, sia quella pubblica che quella privata
Il nome intero dell'utente il primo dato da inserire. Questo sar il nome di riconoscimento delle nostre chiavi, sia quella pubblica che quella privata. Dobbiamo quindi inserire il nostro indirizzo e-mail, i messaggi degli altri utenti perverranno all'indirizzo indicato.
Figura 6.5 - Qui inseriamo il nostro indirizzo e-mail, i messaggi degli altri utenti perverranno all'indirizzo indicato
Figura 6.3 - Il programma PGP, da qui daremo inizio alla creazione del nostro paio di chiavi o Key pair
A questo punto dobbiamo inserire una Passphrase ossia una frase che permetter di accedere al servizio una sorta di password con pi parole. Deselezioniamo Hide Typing.
62
Inseriamo quindi una frase a nostro piacere molto utile inserire una frase che possiamo ricordare facilmente per far fronte a problemi di memoria! Mentre inseriamo il testo, viene automaticamente valutata la sicurezza della passphrase da un apposito cursore pi lunga la frase e pi sar sicura.
La configurazione terminata e il programma contiene tutte le informazioni necessarie per creare messaggi crittografati, quindi premiamo il pulsante Fine. Effettuato il riavvio, possiamo aprire il programma vero e proprio ed analizzarne i due aspetti, per il momento, pi importanti PGP Tools e PGP Keys. PGP Tools costituito da una piccola finestra nella quale possibile gestire le operazioni di codifica e decodifica dei vari messaggi, mentre PGP Keys praticamente il nostro portachiavi. Come potremo vedere, l'utente precedentemente creato stato inserito nel nostro portachiavi locale.
Come spesso accade durante l'inserimento delle password, anche in questo caso, occorre digitare nuovamente la frase facendo attenzione che sia identica a quella precedentemente inserita. E' possibile nascondere entrambe le frasi. Selezioniamo Hide Typing e le chiavi vengono quindi create.
Figura 6.8 - Ecco PGP Tools, costituito da una piccola finestra nella quale possibile gestire le operazioni di Codifica e decodifica dei vari messaggi, mentre PGP Keys praticamente il nostro portachiavi. Osserviamo che l'utente precedentemente creato stato inserito nel nostro portachiavi locale
Ora, clicchiamo il segno + per espandere la visualizzazione nelle specifiche dell'utente e vedremo la chiave pubblica e quella privata. Occorre tuttavia inserire la chiave pubblica su un apposito server on-line per renderla effettivamente pubblica. Dopo aver effettuato la connessione ad Internet, dobbiamo scegliere la chiave da pubblicare sul server. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Send To > nome del server Il programma provveder a spedire la nostra chiave pubblica al server selezionato e manda un avviso se
63
Figura 6.11 - Abbiamo premuto il pulsante Search ed il nome stato trovato; successivamente questa operazione potrebbe essere necessaria per trovare la chiave pubblica dell'utente al quale vogliamo spedire una e-mail crittografata
l'operazione si svolta in modo corretto. E' possibile che alcuni server al momento non rispondano, in questo caso, si pu provare a spedire ad un altro server.
Per avviare la ricerca occorre, naturalmente, essere connessi ad Internet. Premiamo il pulsante Search e dopo alcuni istanti il nome sar trovato; successivamente questa operazione potrebbe essere necessaria per trovare la chiave pubblica dell'utente al quale vogliamo spedire una e-mail crittografata. Dobbiamo innanzitutto procurarci la sua chiave pubblica cercando sul server con lo stesso strumento con cui ci siamo accertati che la nostra chiave fosse presente on-line. Supponiamo inoltre che il suddetto utente si chiami Utente Destinatario inseriamo il suo nome nel-
Figura 6.10 - Abbiamo eseguito un clic destro sulla chiave desiderata e selezionato la voce Send To> nome del server
Dopo alcuni minuti sar possibile verificare la presenza della nostra chiave pubblica effettuando una ricerca sul server prima specificato. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Search, avremo una finestra che permette di effettuare le nostre ricerche sui server gestiti dai realizzatori di PGP. Dopo aver selezionato il server a cui abbiamo inviato la nostra chiave pubblica, possiamo effettuare la ricerca inserendo il nome dell'utente.
sulla chiave desiderata e selezioniamo la voce Search. Anche se non compare alcun avviso, la chiave stata correttamente importata nel nostro portachiavi locale
64
l'apposito campo e avviamo la ricerca. Premiamo il pulsante Search. Una volta individuato l'utente possiamo scaricare la sua chiave pubblica e controllare che l'indirizzo e-mail corrisponda con quello dell'utente di destinazione dell'e-mail. Eseguiamo un clic destro sulla chiave desiderata e selezioniamo la voce Search. Anche se non compare alcun avviso, la chiave stata correttamente importata nel nostro portachiavi locale. Possiamo ora creare un messaggio e spedirlo a questo utente. Utilizzando un qualsiasi editor di testo scriviamo un breve messaggio di prova da spedire. Per poter crittografare un messaggio, con PGP, occorre selezionare un file o anche utilizzare il contenuto degli appunti di Windows; nel nostro esempio, essendo un brevissimo messaggio, possiamo utilizzare gli appunti. All'interno dell'editor di testi occorre selezionare il testo che vogliamo crittografare. Inseriamo quindi il testo selezionato negli appunti di Windows nessun messaggio verr visualizzato! Premiamo la combinazioni di tasti sulla tastiera Ctrl + c poi, utilizzando PGP Tools, andremo a crittografare il messaggio. Premiamo il pulsante Encrypt and Sign Viene aperta automaticamente una finestra in cui possibile selezionare un file nel nostro esempio uti-
lizzeremo l'opzione Clipboard per recuperare il messaggio contenuto negli appunti. Ora, premiamo il pulsante Clipboard, anche in questo caso non vengono riportati messaggi. In pratica avvenuta la crittografia degli appunti ed essi sono stati sostituiti dal nuovo messaggio di fondamentale importanza non copiare o tagliare nulla prima di aver incollato gli appunti in un editor di testi o nel corpo di una e-mail. Potremmo perdere il messaggio criptato.
Figura 6.14 - Anche qui, non vengono riportati messaggi. In pratica avvenuta la crittografia degli appunti ed essi sono stati sostituiti dal nuovo messaggio di fondamentale importanza non copiare o tagliare nulla prima di aver incollato gli appunti in un editor di testi o nel corpo di una e-mail
and Sign ed abbiamo una finestra in cui possibile selezionare un file nel nostro esempio utilizzeremo l'opzione Clipboard per recuperare il messaggio contenuto negli appunti
La finestra che ci propone PGP di importanza fondamentale per la buona riuscita della crittografia dobbiamo selezionare la chiave pubblica dell'utente a cui vogliamo spedire il messaggio. Si tratta della chiave che abbiamo cercato sul server di PGP e aggiunto nel nostro portachiavi. Nella parte alta della finestra vengono elencate tutte le chiavi pubbliche di altri utenti che abbiamo scaricato dal server; nella parte bassa troviamo il collegamento alla nostra chiave privata. Occorre selezionare e trascinare la chiave desiderata nella parte bassa in modo da poterla accoppiare alla nostra. Ricordiamo che il messaggio sempre inserito negli appunti di Windows e sta per essere codificato. Per motivi di sicurezza dobbiamo inserire la nostra Passphrase, scrivendola senza visualizzare i caratteri e confermiamo con il pulsante OK. Il messaggio quindi crittografato e pronto per essere utilizzato; per spedirlo al destinatario, possiamo utilizzare la posta elettronica.
65
Figura 6.15 - Abbiamo selezionato e trascinato la chiave desiderata nella parte bassa, ora accoppiata alla nostra
Nel corpo della mail che abbiamo creato possiamo finalmente incollare il contenuto dei nostri appunti crittografati. Per fare questo, utilizziamo la combinazioni di tasti sulla tastiera Ctrl + v. Finalmente possiamo vedere il risultato delle nostre pene.
decriptare il messaggio, utilizziamo il terzo pulsante da destra Decrypt/Verify. Anche in questo caso utilizziamo il messaggio contenuto negli appunti e scegliamo quindi Clipboard
mente occorre cliccare in corrispondenza del testo ---BEGIN PGP MESSAGE --- sino al messaggio simile di chiusura quindi rilasciare il pulsante sinistro del mouse, quando il testo risulta selezionato, premiamo la combinazioni di tasti sulla tastiera Ctrl+c. Sempre utilizzando PGP potremo decriptare il messaggio, utilizziamo il terzo pulsante da destra Decrypt/Verify. Anche in questo caso utilizziamo il messaggio contenuto negli appunti e scegliamo quindi Clipboard.
Figura 6.16 - Ed ecco il risultato delle nostre pene, sembra alquanto difficile comprendere il messaggio che abbiamo scritto inizialmente
Oltre al messaggio crittografato, inseriremo l'indirizzo del mittente e l'oggetto. L'e-mail sar quindi una normalissima lettera di posta elettronica e potremo spedirla come tutte le altre. Premiamo il pulsante Invia. Vediamo ora quali operazioni sono necessarie per decriptare il messaggio. Una volta aperta l'e-mail dovremo selezionare il testo in essa contenuto e copiarlo negli appunti. Per selezionare il corpo del messaggio corretta-
vedere da chi stato spedito il messaggio e con che chiavi pubbliche per decriptare il messaggio deve inserire la propria Passphrase
66
L'utente destinatario pu quindi vedere da chi stato spedito il messaggio e con che chiavi pubbliche. Per decriptare il messaggio deve inserire la propria Passphrase. Dopo aver confermato con il pulsante Ok, automaticamente PGP aprir una sua finestra in cui verr visualizzato il corpo del messaggio inizialmente scritto quindi criptato e decriptato dall'utente finale.
non conosciamo, non rispondiamo. Un buon firewall facilmente reperibile Zone Alarm.
Ok, PGP aprir una finestra in cui verr visualizzato il corpo del messaggio inizialmente scritto quindi criptato e decriptato dall'utente finale
67
zioni affascinante anche per un ossevatore distaccato. I programmi sono molto spesso protetti per mezzo di numeri seriali sempre pi lunghi e complicati; oppure con la protezione dei supporti, ad esempio CD impossibili da copiare, o con le chiavi hardware. La protezione mediante chiavi Hardware consiste nell'allegare al programma una chiave, normalmente USB, senza l'inserimento della quale il programma non si avvia: ovviamente per ogni copia venduta del software ci sar un'unica chiave. Vediamo come i programmatori cercano di risolvere il problema del reverse engineering e la decompilazione a scopo disonesto. Un sistema quello di far s che il programma si autocontrolli, verificando se qualche byte di s stesso non sia stato modificato; questo compito si pu svolgere verificando il CRC (una somma di controllo) originale con quello verificato all'avvio dell'applicazione, se non coincidono qualcosa stato modificato e il programma non si avvia; questo metodo ottimo ma purtroppo non funziona nel caso delle sprotezioni mediante KeyGen che non alterano il programma ma si limitano a fornire un corretto codice di accesso. In compenso creare un KeyGen pi difficile che modificare il programma. I programmatori pi esperti cercano in ogni modo di impedire che i loro programmi vengano crackati. Per questo inventano numerose tecniche. Una delle pi semplici la tecnica "Jungle". Viene spesso usata, poich di facile realizzazione, e poich spinge il cracker ad arrendersi. Questa tecnica, non mirata ad impedire di crackare il programma, pi che altro cerca di far desistere il cracker facendolo impazzire in una "giungla" (da qui il nome) di call e jump. Praticamente, il programma pu richiamare anche 15 o16 call in 4 o 5 librerie differenti prima di arrivare al punto in cui compare la protezione. L'unico modo che ha il pirata per superare questo ostacolo avere un mucchio di tempo, pazienza e determinazione. Un altro modo per proteggere i programmi il file packing/crypting. Esistono vari programmi che compattano i file eseguibili (Pklite, WWpack,diet, ecc..). Ma possono essere facilmente decompattati per ritornare al file eseguibile originale. Le versioni
commerciali di questi programmi forniscono la possibilit di renderli "unextractable", criptando il file. Esistono anche molti altri programmi che cryptano i file rendendoli inestraibili, oppure indebuggabili. Un metodo molto raffinato di impedire il debug quello di rivolgere il debug contro s stesso, ci spieghiamo meglio: un debugger pu funzionare grazie a due ruotine implementate direttamente nella CPU, queste routine vengono dette 'Interrupt'. Gli interrupt usati specificamente per il debugging sono il numero 1 (single stepping) e il numero 3 (breakpoint). Il programmatore, utilizzando tecniche a basso livello, inserisce nel programma numerose chiamate agli Interrupt 1 e 3, questo fa impazzire il debugger e spesso ne causa la terminazione.
68
umano, mentre gli antivirus sono da considerare come i rimedi, o meglio, le medicine che utilizziamo una volta che ci siamo accertati della presenza di uninfezione. La prima cosa da fare prestare molta attenzione a ci che facciamo: non aprire file la cui provenienza dubbia, prestare la massima attenzione alla gestione della posta elettronica, utilizzare solo programmi di cui conosciamo gli autori o che siano almeno rintracciabili; infine navigare in Internet prestando attenzione alle pagine visitate e leggendo bene il contenuto delle varie finestre di avvertimento che possiamo incontrare. Per avere un valido aiuto in tutte queste operazioni, possiamo avvalerci degli antivirus, ma dobbiamo installare e imparare ad usare questi programmi prima che il virus si sia manifestato nel nostro sistema; mai installare un antivirus dopo aver riscontrato delle anomalie al sistema e avere la quasi certezza della presenza di un agente infetto. Lantivirus andrebbe quindi installato appena dopo linstallazione del sistema operativo; il tutto prima di connettersi ad Internet o leggere file che non siano quelli di installazione.
sempre pi spesso ad Internet, sono diventati indispensabili. Non esistono o comunque non conviene utilizzare antivirus per infezioni specifiche. Possiamo dividere questi programmi in due fasce: a pagamento o gratuiti. Le versioni a pagamento sono generalmente disponibili, in versione demo, nel sito del produttore; questo ci consente di provare il prodotto prima di decidere se acquistarlo. Acquistando il prodotto avremo diritto agli aggiornamenti gratuiti. Proprio gli aggiornamenti sono di fondamentale importanza in quanto l'evoluzione dei virus continua ed estremamente veloce.
Antivirus
Per difenderci dai virus esiste una vasta gamma di programmi detti, ovviamente, antivirus. Questi programmi, con la necessit di connettersi
procedura di installazione
mere i file che costituiranno il programma: inizia quindi la fase di installazione, configurazione e avvio del programma vero e proprio. Durante l'installazione di qualsiasi programma sempre consigliabile chiudere tutte le altre applicazioni! Ora proseguiamo e premiamo il pulsante Next. Nonostante si tratti di una versione di valutazione, dovremo comunque accettare i termini della licen-
69
za dell'antivirus: se non accettiamo non potremo installare il programma; E' opportuno leggere attentamente la licenza e selezioniamo I accept the license agreement e proseguiamo con il pulsante Next. Nella fase successiva, possiamo scegliere la directory di destinazione del programma: si consiglia di utilizzare quella predefinita e proseguire. Se, siamo certi delle impostazioni effettuate, possiamo continuare e installare il programma, in caso contrario, dopo aver letto il riassunto qui presentato, possiamo tornare indietro e modificarle.
Figura 6.23 - Questa prima pagina della
configurazione dove possibile leggere il file ReadMe che il documento in cui risiedono tutte le informazioni sul prodotto che abbiamo installato
la directory di destinazione del programma: si consiglia di utilizzare quella predefinita e proseguire. Se, siamo certi delle impostazioni effettuate, possiamo continuare e installare il programma, in caso contrario, dopo aver letto il riassunto presentato, possiamo tornare indietro e modificarle
questa fase, se non siamo gi registrati viene chiesto di farlo. Viene proposto quindi di collaborare con la Symantec: registrando il prodotto potremo ricevere notizie sugli aggiornamenti dell'antivirus e le segnalazioni dei nuovi virus in circolazione. Cos facendo aiuteremo gli sviluppatori del prodotto; questa fase facoltativa. Nella fase successiva, viene ricordato che abbiamo installato una versione a periodo limitato e che, una volta terminato questo periodo, saremo costretti a disinstallarlo o comperarlo. Proseguiamo dove possiamo scegliere quali proces-
Proseguiamo; se l'installazione ha avuto buon fine comincia la fase di configurazione o setup vera e propria del programma. Nella prima pagina della configurazione possibile leggere il file ReadMe, ossia il documento in cui risiedono tutte le informazioni sul prodotto che abbiamo installato. Vedremo il programma in fase di avvio per la prima volta e, la procedura guidata consente di eseguire le operazioni fondamentali del programma. Portiamoci alla fase successiva con il pulsante Next. In
successo
70
registrazione, se non siamo gi registrati viene chiesto di farlo, inoltre viene proposto quindi di collaborare con la Symantec: registrando il prodotto potremo ricevere notizie sugli aggiornamenti dell'antivirus e le segnalazioni dei nuovi virus in circolazione
che restano per utilizzare il programma: possiamo scegliere se acquistarlo o continuare con la versione Trialware
si, o Task, vogliamo che il programma esegua per noi: il primo processo permette di ottenere gli aggiornamenti da Internet. Il secondo processo comporta il controllo dei dischi rigidi per rilevare la presenza di eventuali virus; l'ultimo processo permette di impostare la scansione automatica settimanale. E passiamo alla fase successiva, dove viene ricordato il numero dei giorni che restano per utilizzare il programma: possiamo scegliere se acquistarlo o continuare con la versione Trialware o versione di prova.
Noi scegliamo il pulsante Trialware, la configurazione terminer con un ulteriore Sommario delle impostazioni. Il programma viene quindi avviato: la prima operazione che esegue il controllo dei dischi per creare un database di informazioni sul numero di file presenti e l'eventuale presenza di file infetti.
il controllo dei dischi per creare un database di informazioni sul numero di file presenti e l'eventuale presenza di file infetti
Figura 6.26 - In questa fase, possiamo scegliere quali processi, o Task, vogliamo che il programma esegua per noi: il primo processo permette di ottenere gli aggiornamenti da Internet
Dopo qualche minuto viene mostrato il risultato dello Scan: nel nostro esempio, fortunatamente non sono stati rilevati file infetti; in caso contrario potremo scegliere di pulire il nostro disco cancellando o isolando i virus. Una volta terminata la procedura di installazione e configurazione, possibile avviare e utilizzare Nor-
71
esempio, non sono stati rilevati file infetti; in caso contrario potremo scegliere di pulire il nostro disco cancellando o isolando i virus
ci troviamo in un questa sezione, dove avremo la possibilit di visualizzare i Rapporti di Norton Antivirus
ton Antivirus. Selezioniamo Scan for Viruses e ci troveremo in una sezione dove possibile avviare lo Scan manualmente, selezionando i dispositivi desiderati. Selezioniamo il pulsante Reports e ci troviamo in un altra sezione, dove avremo la possibilit di visualizzare i Rapporti di Norton Antivirus.
Questo semplice programma disponibile in rete all'indirizzo www.avast.com e, dopo un periodo di circa 90 giorni, pu essere utilizzato inserendo un codice di licenza gratuita richiesta direttamente in rete al precedente indirizzo. Linstallazione si esegue come per lAntivirus Norton. Al termine dell'installazione, viene richiesto di prestare particolare attenzione alla protezione della posta elettronica. E' vivamente consigliato chiudere eventuali programmi di gestione della posta elettronica, ad esempio Outlook Express. Nella finestra Basic Settings possiamo impostare i settaggi base della protezione: possibile scegliere se proteggere automaticamente tutti i nostri account di posta, non proteggerli, oppure scegliere manualmente i vari account.
ci troviamo in una sezione dove possibile avviare lo Scan manualmente, selezionando i dispositivi desiderati
Le sezioni sono: File messi nella cosidetta quarantena. Enciclopedia dei virus disponibile su Internet Il resoconto delle attivit Lista dei virus.
Avast!
Esistono anche antivirus gratuiti come, ad esempio, Avast Antivirus.
Figura 6.32 - Esistono anche antivirus gratuiti come, ad
72
Figura 6.33 - Il programma offre la possibilit di raffinare le ricerche attraverso gli appositi pulsanti standard comuni a tutti gli antivirus se non vengono rilevati file infetti
In caso di dubbi possibile consultare una dettagliata guida sul programma e sui virus conosciuti... In ogni momento, che sia terminato o no il periodo di prova, possibile richiedere il codice di registrazione del programma al sito www.avast.com, inserendo i nostri dati fondamentali. Una volta inseriti i dati e dopo averli inviati, viene comunicata l'avvenuta spedizione degli stessi; siamo quindi invitati a controllare la nostra casella di posta elettronica per scaricare il numero di licenza.
In caso di dubbio consigliabile scegliere la prima opzione: proteggere tutti gli account. Nella finestra che segue necessario specificare il server che utilizziamo normalmente per spedire la nostra posta (SMTP) e quello che utilizziamo per riceverla (POP3). Termina cos la configurazione di Avast riguardante la protezione della posta elettronica. Questo semplice programma disponibile in rete all'indirizzo www.avast.com Una volta avviato il programma, viene richiesto il codice di attivazione gratuito, oppure la facolt di valutare il programma in versione demo: nel nostro esempio sceglieremo Demo. La prima operazione che Avast esegue automaticamente lo Scan dei nostri dischi rigidi alla ricerca di eventuali virus. Terminata questa operazione, se non vengono rilevati file infetti, il programma offre la possibilit di raffinare le ricerche attraverso gli appositi pulsanti standard comuni a tutti gli antivirus.
giunta dopo pochi secondi dalla spedizione ed sufficiente eseguire un Copia/incolla dal corpo della mail all'apposito campo del programma per rendere il programma completamente funzionante: il tutto gratuitamente
Nel nostro esempio l'e-mail della Avast giunta dopo pochi secondi dalla spedizione ed sufficiente eseguire un Copia/incolla dal corpo della mail all'apposito campo del programma per rendere il programma completamente funzionante: il tutto gratuitamente. Terminiamo ricordando che, ogni qualvolta ci connettiamo ad Internet, Avast controlla automaticamente sul proprio sito se ci sono degli aggiornamenti ed eventualmente li scarica: quando viene eseguita tale operazione ne veniamo informati da una piccola finestra.
il periodo di prova, possibile richiedere il codice di registrazione del programma al sito www.avast.com, inserendo i nostri dati fondamentali
Se abbiamo dei problemi di sicurezza con IIS o altri tipi di server dobbiamo tenere in considerazione la constante consultazione del sito della casa madre di produzione del nostro server: nel caso di IIS il
73
sito Microsoft.com. Ogni giorno vengono pubblicati centinaia di articoli su come stato bucato un server e, successivamente, come stata creata la cosiddetta "pezza" per ovviare tale problema. Periodicamente, per, tutte le pezze o patch vengono conglobate in un unico aggiornamento di sistema, nel caso di Windows chiamato Service Pack, che gratuitamente scaricabile dal sito ufficiale e si occupa di porre rimedio ai problemi pi volte riscontrati dai vari utenti e da coloro che testano i programmi per la casa produttrice stessa.
diante tecniche di IP Spoofing o simili, di un sito illegale fingendo di essere i gestori del sito e in questo modo smascherare gli utenti del sito indagato. Per questo ed altri motivi stato implementato il protocollo HTTPS che garantisce lautenticit del sito che stiamo visitando.
74
Se non utilizzassimo un firewall ci troveremmo nella situazione in cui uno sconosciuto potrebbe facilmente farsi passare per qualcun altro: come accade quando un venditore ambulante desidera introdursi in un condominio e, rispondendo al citofono, si qualifica come il postino.
HTTP. Quando visualizziamo le pagine web ci colleghiamo al server utilizzando il normale protocollo HTTP, se le pagine sono protette da intercettazioni si utilizza l'HTTPS ossia HTTP Sicuro (Secure Hyprtext Transfer Protocol). Come abbiamo pi volte ribadito, uno dei problemi pi gravi della rete l'anonimato. Per risolvere questo problema nato il sistema di certificazione e firme digitali; questo sistema ci permette di avere una specie di passaporto che identifica gli utenti e anche coloro che offrono il servizio. Se abbiamo avuto a che fare con siti che contengono informazioni di rilevante importanza, ad esempio le banche, avremo notato che l'accesso avviene dopo severi controlli. In alcuni casi necessario disporre di un certificato per poter accedere a determinati servizi; questo certificato deve essere obbligatoriamente rilasciato da una Certification Authority. Esistono quindi delle societ alle quali possiamo richiedere, a pagamento, una certificazione al fine di assicurare ai nostri clienti di essere effettivamente chi diciamo di essere. Gli utenti del nostro sito avranno la certezza che quello che stanno visitando un sito che rispetta le norme internazionali sulla sicurezza. Esiste quindi la Firma Digitale; non si tratta della riproduzione grafica della nostra firma su carta, ma la fusione di un documento con la firma digitale stessa; questa tecnica abbastanza difficile da contraffare e quindi molto sicura. In pratica viene creata una nuova firma per ogni documento creato dall'applicazione stessa: ad esempio la posta elettronica.
75
Per poterci attaccare, un malintenzionato deve conoscere, innanzitutto, l'indirizzo IP che ci stato assegnato dal nostro provider o, nel caso in cui facciamo parte di una rete locale (LAN) da un apposito server che assegna indirizzi locali chiamato DHCP. E' possibile, addirittura, che abbiamo un indirizzo IP statico, sia in Internet che in una LAN. Se il malintenzionato ci ha localizzati, pu cercare di accedere al nostro sistema con diversi stratagemmi: uno dei quali tentare a valicare le varie porte del nostro PC. Le porte, dall'inglese Port, non sono porte fisiche del PC, bens dei canali virtuali messi a disposizione dal sistema operativo per convogliare le varie informazioni provenienti dalla rete ai rispettivi applicativi. Quando digitiamo un indirizzo Web, mandiamo la richiesta di una determinata pagina ad un server, il quale richiede la nostra pagina sulla porta 80: cio quella destinata al protocollo HTTP per le pagine HTML. Il firewall quindi, se configurato in modo corretto, blocca tutti i tentativi di connessione da parte di altri PC sulle porte che solitamente noi non utilizziamo. Rimane a questo punto l'arduo compito di configurare correttamente il firewall; questo tipo di programma ci permette inoltre di scegliere quali macchine possono collegarsi alla nostra, anche in questo caso basandosi sul loro indirizzo IP.
ZoneAlarm
Il firewall pi semplice da utilizzare e pi facile da reperire senza dubbio Zone Alarm, disponibile sia in versione gratuita che a pagamento.
aggiornamenti del programma o comunque novit, viene richiesto di inserire i nostri dati: comprensivi di indirizzo e-mail; verranno spedite via posta elettronica delle segnalazioni periodiche. Dopo aver accettato i termini della licenza possiamo avviare l'installazione vera e propria.
Questo programma gratuito per l'utilizzo casalingo ed facilmente reperibile su riviste di informatica o in rete. Dopo averlo scaricato sul nostro PC possiamo avviare l'eseguibile e iniziare l'installazione. Come in molti altri programmi gratuiti ci viene richiesto di inserire i nostri dati per inviarci segnalazioni periodiche; possiamo tuttavia scegliere di non
Figura 6.36 - Allinizio dellinstallazione di Zone Alarm, viene richiesta la cartella di destinazione in cui risieder il programma sul nostro computer: utilizziamo il percorso predefinito dal programma stesso
76
Figura 6.41 - Il programma: Zone Alarm Figura 6.39 - Qui si compila un modulo che servir alla Zone Labs per eseguire ricerche e statistiche sulla diffusione del prodotto. Dobbiamo selezionare il tipo di connessione utilizzata per connetterci ad Internet: nel nostro esempio utilizziamo una connessione attraverso un semplice modem
ZoneAlarm, intelligentemente, al primo avvio presenta un tutorial che consente di apprendere le principali funzioni e risponde a molte delle domande pi comuni.
ricevere tali segnalazioni. Dobbiamo quindi selezionare il tipo di connessione utilizzata per connetterci ad Internet: nel nostro esempio utilizziamo una connessione attraverso un semplice modem casalingo. Il programma di installazione di ZoneAlarm ci richiede di indicare il tipo di rete utilizzata e da quanti computer composta, con ci l'installazione termina.
Figura 6.42 - In questa sezione, possiamo scegliere se vogliamo essere avvertiti ogni volta che ZoneAlarm blocca qualche tentativo di connessione al nostro computer o meno; nel nostro esempio lasciamo l'impostazione predefinita, cio essere avvertiti
Figura 6.40 - Dalla lista a discesa del primo gruppo, selezioniamo Modem/Dial-up, specificato il livello di conoscenza che abbiamo riguardo le reti; e, scelto: Advanced. Abbiamo specificato quanti computer possediamo all'interno della nostra rete locale: e selezionato da due a quattro. Anche l'ultimo campo stato completato, abbiamo selezionato Family PC. L'installazione terminata
Vengono poste domande sul tipo di impostazioni da scegliere, ogni scelta chiaramente spiegata, purtroppo, per, solo in inglese. Ci verr chiesto di scegliere se desideriamo essere avvisati ad ogni tentativo di intrusione e di indicare quali programmi sono autorizzati ad accedere alla rete. Il tutorial prosegue cercando di rispondere alle domande pi comuni: Quando ZoneAlarm inizia la protezione? In che modo ZoneAlarm mi protegge? Quali saranno i segnali che ZoneAlarm utilizzer per avvertirmi?
77
che il programma possa avere accesso alla rete in modo automatico oppure se preferiamo decidere al primo utilizzo. Noi lasciamo invariata la selezione predefinita
tre risposte
Come devo utilizzare gli avvertimenti di Program Alerts? Dovrei dare un'occhiata a More Info? Come devo utilizzare gli avvertimenti del Firewall? Cosa sono le 'Zones'? Come devo utilizzare il Bloccaggio Internet?
Selezionando la voce Firewall possiamo impostare i livelli di sicurezza in modo da rendere il nostro computer pi o meno protetto; la Internet Zone Security gestisce i nostri contatti con Internet ed consigliabile utilizzare il livello HIGH, infatti proprio da Internet che possono provenire gli attacchi.
domanda: Quando ZoneAlarm inizia la protezione? Una volta avviato, il programma funziona sempre e viene automaticamente caricato ad ogni avvio di Windows
Dopo questa lunga introduzione compare l'interfaccia vera e propria del programma: troviamo un sunto delle funzioni del programma, il resoconto dei tentativi di intrusione, e quali sono i programmi autorizzati a connettersi ad internet.
78
un'intrusione; possiamo decidere di non ricevere lavvertimento, in ogni caso l'intrusione viene bloccata!
La Trusted Zone Security, invece, la nostra rete locale possiamo decidere di permettere l'accesso al nostro computer a tutti gli altri utenti o solo alcuni di essi; la settiamo quindi su medium che ci permetter comunque di controllare i movimenti da parte degli altri computer. La voce Program Control, permette di controllare i programmi che tentano di connettersi automaticamente alla rete nel momento in cui abbiamo accesso ad Internet; selezionando Medium, verranno notificate tali richieste, saremo noi a decidere chi pu connettersi e chi no. Selezionando la voce Alerts & Logs ci viene chiesto se desideriamo essere avvertiti ogni volta che ZoneAlarm esegue un'operazione; i primi tempi
meglio impostare su On l'opzione Show all alerts in quanto potremo renderci conto dell'effettivo beneficio che il programma pu darci. L'ultima voce presente, E-mail Protection, riguarda l'attivazione del controllo delle e-mail in entrata; esse potrebbero contenere virus o stralci di codice che potrebbero consentire un'infiltrazione; anche questo parametro va settato su On.
Figura 6.51 - Ed ecco l'interfaccia di Zone Alarm . Questa pagina che troviamo all'avvio del programma, contiene un riassunto delle potenzialit del programma, tra cui un resoconto delle intrusioni bloccate, il numero dei programmi che sono abilitati a connettersi ad internet e le e-mail sospette intercettate
in due categorie le informazioni che giungono al nostro computer: quelle sconosciute, che arrivano da Internet; e quelle di fonte conosciuta, provenienti dalla rete locale
Dopo aver esplorato le funzionalit possiamo iniziare a configurare il nostro firewall secondo le nostre esigenze. In questa esercitazione supponiamo di avere, collegati alla nostra macchina ( di nome UNO), altri due
79
computer che al momento non possono pi accedere ai nostri dati perch bloccati da ZoneAlarm. I nomi dei computer collegati sono DUE e TRE. Se, proviamo ad utilizzare il computer UNO e cerchiamo di accedere al DUE, notiamo che sul computer UNO la rete non viene pi visualizzata, mentre sul DUE appare il primo segnale di avvertimento di ZoneAlarm. Ricordiamo che premendo OK non acconsentiamo al computer DUE di avere accesso al nostro, semplicemente chiudiamo la finestra di avvertimento. Vediamo com' possibile permettere a DUE e TRE di accedere al nostro computer quali utenti fidati. Dal pannello Firewall dobbiamo selezionare Zone. In questo pannello di ZoneAlarm, possiamo inserire l'indirizzo IP dei computer ai quali vogliamo concedere l'ingresso: inseriamo quindi l'indirizzo IP del computer DUE. Premiamo Add.
Figura 6.53 - Come possiamo vedere, le nostre modifiche sono state inserite nella tabella dei permessi di accesso; il pulsante Apply rende effettive le impostazioni
Vedremo anche che, nella pagina Overview vengono segnalati i tentativi di intrusione da parte del computer di Paolo prima della sua abilitazione.
Figura 6.52 - Dal pannello Firewall dobbiamo selezionare Zone Figura 6.54 - Osserviamo come vengono segnalati i tentativi di intrusione da parte del computer di Paolo prima della sua abilitazione
Non resta che scrivere l'indirizzo IP esatto del computer DUE: cio 123.123.123.1. Oltre all'indirizzo IP possiamo inserire una breve descrizione per poter in seguito riconoscere a prima vista i vari computer della rete che avremo inserito; nel nostro esempio scriveremo Paolo [Amministratore] poich l'utente del computer si chiama Paolo e ricopre il ruolo di amministratore simbolico della nostra rete locale, confermiamo con il pulsante OK. Le nostre modifiche saranno inserite nella tabella dei permessi di accesso; utilizzando il pulsante Apply possiamo rendere effettive le nostre impostazioni.
Possiamo quindi minimizzare ZoneAlarm utilizzando l'apposito pulsante in basso a destra, oppure riducendolo a icona sulla barra di stato di Windows. In questo caso verremo avvertiti che sar possibile gestire ZoneAlarm direttamente cliccando la sua icona con il tasto destro del mouse. Da questo momento ZoneAlarm si avvier automaticamente ogni volta che accenderemo il nostro computer.
80
Notiamo che conviene installare ZoneAlarm su ogni computer della rete locale per aumentare il livello di protezione dei nostri documenti e della nostra privacy.
Firewall Hardware
Esistono inoltre i firewall Hardware, praticamente sono dei piccoli computer che svolgono lo stesso compito dei loro colleghi software con qualche specializzazione in pi. E' anche possibile utilizzare dei normali router come firewall, semplicemente modificando le tabelle di instradamento e vietando l'accesso all'interno della rete locale a macchine con determinati indirizzi IP. Per questioni di costo e di competenze necessarie, lutilizzo di tali apparecchi consigliabile a persone esperte e nel caso di una effettiva necessit di protezione: grandi reti, portali, server contenenti dati di vitale importanza.
attacco possiamo immaginare il signor Carlo in attesa di un importante telefonata di lavoro, il malintenzionato Mario gli telefona, Carlo lo prega di lasciare la linea libera e riattacca. Mario continua a telefonare, Carlo riappende immediatamente tuttavia non potr ricevere l'importante comunicazione attesa.
Giorno
Il software sul CD
Antivirus Firewall Diagnostica della rete Controllo del percorso dei dati Sicurezza E-mail Difesa Attacco
82
Siti Proibiti
I crackers pubblicano alcuni risultati delle loro ricerche su siti Internet facilmente riconoscibili ma spesso poco trasparenti in quanto frequentemente infrangono tutte le regole del galateo della rete, la netiquette: vengono aperte svariate finestre, spesso a pieno schermo, che si rifiutano di chiudersi o che si riaprono appena chiuse. Alcuni crackers intercettano gli utenti che si collegano a siti a pagamento e ne ottengono login e password; le informazioni cos ottenute vengono pubblicate in apposite sezioni di alcuni siti underground. Utilizzando queste password chiunque pu accedere quindi ai siti a pagamento. La maggior parte delle informazioni per laccesso in aree riservate che si trovano in rete si riferiscono quasi sempre a siti pornografici. Lutilizzo di login e password cos ottenute sconsigliato, qualcuno utilizzando lo stesso sistema, potrebbe intercettarci e prendere provvedimenti... Se intendete visitare questi siti, per rendervi conto della reale quantit di informazioni che vengono
sottratte quotidianamente, potete partire da Astalavista. Occorre fare per un po pi di attenzione navigando su questi siti particolari: spesso vi verr richiesto di installare applicazioni o di impostare la pagina web visitata come pagina di default del browser; considerando il bombardamento di finestre e finestrine occorre evitare le distrazioni, installate solo ci che ritenete necessario e ignorate tutte le altre offerte. Alcuni dei programmi che verr richiesto di installare potrebbero contenere virus o spyware. Una delle insidie cui si va incontro quella del cambio di connessione ad opera di programmi detti dialers. Questi programmi possono, anche allinsaputa dellutente, terminare la connessione con il nostro abituale provider e connettersi ad un altro numero telefonico a pagamento. Lintestatario del numero intascher i proventi delle telefonate e a noi.. non rester che pagare una salata bolletta! Ti mostriamo le schermate di alcuni di questi siti:
83
Figura 7.6 - Nei siti di dubbia reputazione viene Figura 7.4 - Qui potremmo scaricare il crack per
una applicazione!
Siti consigliati
La Rete, anche in questo caso, una fonte inesauribile di informazioni e, visto che stiamo parlando di coloro che l'hanno creata, possiamo visitare alcuni dei tanti siti per conoscere gli eventi pi importanti di questa rete divenuta per molti uno stile di vita.
Lamerone
Un altro sito in italiano che analizza il fenomeno
Hacking, consente di ottenere informazioni sulla storia e lattualit del movimento Hacker
84
Hacking, consente di ottenere informazioni sulla storia e lattualit del movimento Hacker
http://www.lamerone.net
questo un sito imperdibile per ogni Hacker (o aspirante tale). Notizie, Download, e-zines, tutorial.. vi si trova proprio di tutto.
http://www.bismark.it
Ilsoftware
Questo sito in italiano, oltre a contenere interessanti articoli ci offre una gran quantit di software da scaricare. Un sito eccellente per le informazioni contenute e la chiarezza dell'esposizione impossibile non visitarlo.
http://www.ilsoftware.it
Figura 7.9 - Il sito di riferimento dellHacker italiano
InsomniaCrew
Qui troverai molte informazioni che riguardano hacking, security e cracking, messe a disposizione da una delle migliori crew dell'underground italiano, attraverso tutorial, guide, script, programmi e notizie.
http://www.insomniacrew.org/
Figura 7.8 - Su questo sito italiano presente una ricca e ben commentata raccolta di software da scaricare
BladeXpewrience
Un sito generico e un po disordinato con alcune sezioni dedicate agli Hacker
http://www.bladexperience.com
Hacker Alliance
Un altro sito molto ricco di contenuti: forum, download, link, news.
http://www.hackeralliance.net
Figura 7.10 - Un sito chiaro e molto ben fatto, interessante per le informazioni contenute
Bismark
Il primo network security Underground italiano Con una grafica chiaramente ispirata ad Astalavista
85
Hacker Net
Qui disponibile un forum che promette risposte alle vostre domande, Hacker esperti vi daranno consigli. Una sezione illustra le basi dellHacking, Cracking, Phreaking.
http://www.hackernet.tk
Il manifesto Hackers!
http://guide.supereva.it/hackers/interventi/2000/06/5131.shtml
documentazione visitate i siti indicati, esaminate con particolare attenzione gli aspetti legali!
Figura 7.11 - Un sito dedicato alla comunicazione e scambio di informazioni fra Hacker e derivati
Storia dellHacking
Filibertomaida
Qui possiamo trovare una storia degli Hacker
http://www.filibertomaida.it
Onda quadra
Il battito cardiaco del cyberspace. Una rivista che si rivolge anche agli Hacker. Inusualmente chiede di registrarsi strano per un sito Hacker! Lo scopo di OndaQuadra e' quello di spiegare quali sono e come avvengono le tecniche di intrusione al fine di far comprendere come sia possibile difendersi da esse, rendere piu' sicura la propria box e in generale approfondire le proprie conoscenze in campo informatico.
http://www.ondaquadra.org
Mondo IRC
Un sito non specificamente dedicato allhackeraggio ma che contiene informazion interessanti.
http://www.mondoirc.net
Giunone
Un portale con una sezione dedicata allHacking, ma vi possiamo anche trovare News e risorse gratuite.
http://www.giunone.com
Documentazione
Discussione sulle diverse categorie di pirati informatici.
http://www.lamerone.net/raoul/23_ao_categorie.php
Le pene inflitte all'Hacker David Mitnick per i suoi reati sono pesantissime e le imposizioni fuori dall'ordinario.
http://www.lamerone.net/raoul/25_ao_nonpuo.php
86
Un pagina in cui si dimostra che non tutto il Phreaking viene per nuocere...
http://www.khet.net/gmc/docs/museum/apple_startup.html
Sicurezza
Figura 7.13 - Il mitico Captain Crunch, il pi famoso
dei Phreacker
Una pagina utile per apprendere le elementari norme di sicurezza sulla posta elettronica.
http://www.lamerone.net/raoul/01_my_origini.php http://www.lamerone.net/raoul/21_ao_mail.php
Articolo sugli attacchi Distributed Denial of Services: come funzionano e come difendersi da essi.
http://www.pippo.com/attacks.html
ti/2000/10/13661.shtml
Nuke e Firewall
Phreaking
Articoli, guide e tutorial
http://www.emulhack.com/directory/phreaking/pages/guide_localizzate.asp
http://guide.supereva.it/hackers/interventi/2000/07/8536.shtml
Qualche consiglio per chi intende viaggiare nei bassifondi della rete
http://guide.supereva.it/hackers/interventi/2000/12/23152.shtml
87
Virus
Esauriente e completa Storia dei virus
http://www.areacom.it/area/homepage/omega/comp/hyst.htm
Un sito essenziale per essere sempre aggiorntai: novit, documentazione, nuove tecnologie
http://www.viruslist.com/eng/index.html
Come difendersi
Un bellarticolo sulle tipologie di virus e su come difendersi.
http://www.ilsoftware.it/articoli.asp?ID=679
CD-ROM
88
Tutorial
Come impossessarsi della password dei forum
http://www.eternity6.altervista.org/hacking/guide/passforum.html
Come creare un semplice virus che si pone in Autoexec.bat ... certo nulla di sofisticato!
http://www.eternity6.altervista.org/hacking/virus/sorgenti/acquario.txt
Come scaricare comunque i filmati dai siti, anche quando lo scaricamento non consentito.
http://www.eternity6.altervista.org/hacking/guide/videohack.html
89
Questo sito prometteva lo scaricamento di numerosi tutorials ma.. sono stati cancellati!
http://www.fuckinworld.org/software.asp
Antivirus
Avast!4 Un antivirus gratuito e potente che protegge il tuo computer da virus e worm. File: setupeng.exe
Figura 7.20 - La home page del sito di Avast! Figura 7.19 - Chi desidera approfondire le tecniche
Cracking
http://neworder.box.sk/codebox.links.php?&key=cracktut
AVG 6.0 Grisoft presenta questo antivirus di uso semplice ma con potenti funzioni, oltretutto gratuito. File: avg6375fu_free.exe Freeware
Un esempio di crack
http://newdata.box.sk/raven/3dcrack.txt
Il software sul CD
Nel CD-Rom trovi tutte le applicazioni utilizzate in questa videoguida e tanto altro ancora. Abbiamo incluso numerosi antivirus, programmi per la creazione di firme digitali, firewall e utilit per il controllo dello stato della rete.
Firewall
Tyni Personal Firewall 4.5 Questo firewall in grado di bloccare efficacemente lintrusione di Trojans. File: tpf45.exe Trial 30 giorni
90
ZoneAlarm 3.7 Un firewall software che consente di bloccare le intrusioni nella nostra rete. File: zaSetup_37_159.exe Freeware
Figura 7.21 - Zone Alarm un firewall software che permette di bloccare in automatico qualsiasi acceso indesiderato al nostro PC
91
leffettivo percorso dei pacchetti dati trasmessi su Internet. File: visual route.exe Demo a 15 gg.
Sicurezza
TFak 5.0 Ricerca eventuali Trojan e spyware presenti nel computer, ne consente la rimozione. Tra le sue funzioni anche la scansione delle porte segnalando quelle aperte. Sito del produttore:
http://www.kryptocrew.de/snakebyte/tfak.html
Figura 7.25 - TFak un programma che permette di ricercare, sul proprio personal computer, la presenza di eventuali trojan virus
file:TFAK5.zip Freeware
Email
Spam Punisher 2.4 Questo programma, non solo controlla lo spam, ma passa al contrattacco preparando, in modo automatico,
file: SpamPunisherSetup.exe Shareware Spam Terminator 2.3c Il nome dice tutto: questo programma gratuito (in italia-
Figura 7.24 - MailWasher un programma, completamente gratuito, che permette di controllare le intestazioni dei messaggi di posta elettronica
92
no) consente di azzerare il noioso fenomeno dello spam. Sito del produttore:
http://www.sertel.net/terminator/default.asp
File term23c.exe Freeware MailWasher 2.0.40 Semplice ma utilissimo MailWasher un programma gratuito che ci offre lanteprima delle intestazioni dei messaggi di posta elettronica, a noi decidere se scaricarli oppure no. Sito del produttore:
http://www.mailwasher.net
Aspy Aspy mostra lelenco delle applicazioni che vengono eseguite durante l'avvio di Windows od in fase di login. Vengono controllate tutte le aree critiche che potrebbero avviare eventuali virus, il programma consente di disabilitare le applicazioni sospette. Sito del produttore:
http://aka.com.ua/home.htm
File aspy.zip Freeware HFNetChk 3.3.2 HFNetCHk utilizza la riga di comandi DOS per verificare il livello di sicurezza del sistema; controlla le patch, service pack, aggiornamenti. Compatibile con Windows NT/2000/XP. Emette un esauriente rapporto sulo stato attuale e consiglia quali patch installare. Sito del produttore:
http://support.microsoft.com/default.aspx?scid=kb;E N-US;q303215
file MailWasherFree.exe Freeware EmC 8.17 EmC (Email Control), un programma anti-spam che ci aiuta a tenere sotto controllo il proliferare di messaggi indesiderati. Sito del produttore: http://www.emc50.com file EmC817.exe Freeware
File Nshc332.exe Freeware Proport 2.01 Un programma che controlla lo stato delle porte del computer quando la connessione Internet attiva. Segnala la presenza di trojan e di intrusioni, riporta lIP da cui partito lattacco, consentendo di prendere provvedimenti. Sito del produttore: http://www.tdupage.com/ File proport.zip Freeware StartPage Guard 2.5 StartPage Guard (SPG) controlla che non vengano apportate modifiche alla pagina di default di avvio del browser. Sito del produttore:
http://www.pjwalczak.com/spguard/
Difesa
SecureIT Pro 4.70 Questo programma consente di bloccare il computer quando ci assentiamo, vengono disabilitate le combinazioni di tasti, come CTRL+ALT+DEL, ALT+TAB, che consentono di passare da unapplicazione allaltra o resettare il computer. Sito del produttore:
http://homepages.ihug.com.au/~ipex/secureitpro/secureitpro.htm
File secureitpro470.zip Freeware Baseline Security Analyzer (MBSA) 1.1 Un diagnostico per Windows 2000, sviluppato direttamente da Microsoft. Effettua laggiornamento del sistema dal punto di vista della sicurezza. Sito del produttore:
http://support.microsoft.com/default.aspx?scid=kb;e n-us;320454
File spgsetup.exe Freeware ExeLock Express 1.01a Un programma per la compressione, la crittografia e la protezione di file e documenti. ExeLock Express
93
Figura 7.26 - Aspy un programma che permette di visualizzare, in un'unica finestra, tutte le applicazioni che vengono eseguite durante l'avvio di Windows od in fase di login
consente di proteggere con password differenti qualsiasi file eseguibile, le persone non autorizzate non potranno in alcun modo utilizzare i nostri programmi. Sito del produttore:
http://www.stratusburg.com
NetworkActiv Sniffer (PIAFCTM) 1.5.2 NetworkActiv Sniffer analizza i pacchetti dati e consente di effettuare ricerche sul contenuto; in aggiunta possibile filtrare i dati in modo da ricevere i pacchetti cui si effettivamente interessati. Sito del produttore:
http://www.networkactiv.com
File ExeLockX.exe Freeware Angry IP Scanner 2.14 Uno scanner di indirizzi IP, verifica se un determinato IP in uso al momento o se, viceversa, libero. Riporta informazioni su un IP in uso: nome del computer, gruppo di lavoro, utente, indirizzo MAC. Sito del produttore:
http://www.angryziber.com/ipscan/
File NetworkActivPIAFCTMv1.5.exe Freeware SpySites SpySites possiede una lista di siti scorretti che violano la privacy dellutente, lelenco dei siti comprende circa 1500 nomi e altri possono essere aggiunti dallutente. Sito del produttore:
http://camtech2000.net/Pages/SpySites_Program.html
94
XP-AntiSpy 3.71 Un programma semplice e leggero per disattivare alcune funzionalit di comunicazione incluse in Windows XP e in Windows 2000; come, ad esempio, laggiornamento automatico e le connessioni indesiderate. Sito del produttore:
http://www.xp-antispy.de/news-e.htm
File tracksrevealer.zip Freeware Dekart Private Disk Light Dekart Private Disk consente di creare, su qualunque unit disco, unarea privata e sicura ove salvare i propri dati personali, nessun estraneo potr accedervi. Sito del produttore: http://www.dekart.com File PrvDiskLight.exe Freeware BFacs 2.13 BFacs labbreviazione di Blowfish Advanced CS: permette di crittografare i dati del vostro disco fisso, possibile cifrare un file o intere cartelle. E open source e viene fornito il codice sorgente. Sito del produttore:
http://web.bsn.ch/lasse/bfacs.htm
File XPAntiSpy3-Italian.zip Freeware MRU Blaster Questo programma protegge la vostra privacy ripulendo il computer dalle informazioni relative ai file aperti di recente, siti web visitati, ricerche effettuate in Internet eccetera. Sito del produttore:
http://www.wilderssecurity.com/mrublaster.html
File mrublastersetup.exe Freeware XPdite XPdite corregge una falla di Windows XP che, se sfruttata, permette di cancellare file ed intere cartelle presenti sul disco fisso dell'utente. Il programma rimpiazza i file in modo da correggere il problema. Sito del produttore: http://grc.com File XPdite.exe Freeware SpyBot-S&D 1.2 SpyBot consente di scovare e rimuovere tutti gli SpyWare ed i Keyloggers. Indispensabile per un anavigazione serena. Sito del produttore:
http://spybot.safer-networking.de/index.php?lang= it&page=news
File bfacs213.zip Freeware Eraser 5.6 Un programma per la sicurezza: elimina i file in modo pi sicuro dei metodi normalmente utilizzati dal File System; i dati cos cancellati non possono venir recuperati in alcun modo, neppure da tecnici esperti. Sito del produttore:
http://www.heidi.ie/eraser/
File Eraser56Setup.zip Freeware File Shredder 5.5 File Shredder un programma simile al precedente: elimina in modo totale e irrecuperabile le informazioni che desiderate vengano cancellate. Sito del produttore:
http://www.handybits.com
File spybotsd12.exe Freeware TracksRevealer TracksRevealer tiene traccia di tutti i siti Internet visitati in precedenza, dei documenti aperti eccetera. In sostanza memorizza tutto quanto stato fatto sul computer in vostra assenza; il report pu essere esportato per essere consultato e stampato
95
blemino nella gestione dei sockets. La Microsoft ha rilasciato una serie di patch che permettono di correggere un problema nella gestione dei sockets. La patch valida per Windows 95-98. Per linstallazione seguite queste istruzioni: 1 Lanciate wsockupd.exe e riavviate il sistema 2 Installate msdun.exe e riavviate il sistema Questo installara l'upgrade del Dial-Up Networking Program 3 Installate vtcpup.exe e riavviate il sistema Questo serve per proteggervi dal Winnuke 4 Installare vipup.exe e riavviate il sistema Questo vi protegge dagli attacchi SSping/Jolt. File: wsockupd.exe msdun.exe vtcpup.exe vipup.exe Freeware Disk Cleaner 1.4.1 Disk Cleaner un piccolo programma, semplicissimo da usare, che elimina i lfile temporanei e comunque inutili; il loro accumulo rallenta il sistema e ingombra inutilmente il disco fisso. Sito del produttore:
http://home.student.utwente.nl/r.j.moerland/
WinPatrol 5.0.2.2 Un programma gratuito per tenere traccia e verificare quali modifiche vengono apportate al sistema durante linstallazione di un programma; un grosso aiuto per ripristinare le condizioni precedenti allinstallazione. Sito del produttore:
http://www.winpatrol.com/
File wpsetup.exe Freeware CountDown 6.2 Un programma che tiene sotto controllo la spesa telefonica, consente un efficace controllo della redirezione. Sito del produttore:
http://www.farmax.it/countdown/
Attacco
ICMP Watch Un semplicissimo firewall progettato per parare gli attacchi da ICMP. Semplice da usare risulta comunque molto efficace. File: icmpwatch.zip Freeware Wingate Scan Consente lo scannig della terza e quarta classe di un IP, ovvero gli ultimi due gruppi di cifre a destra. File: wGate.zip Freeware Xenu Website Links Analyzer Controlla in remoto i links di un sito e alla fine crea un report di tutti i collegamenti; ottimo per il debug di siti complessi. File: xenu.zip Freeware Revel Trova qualsiasi password File: revel.zip Freeware
File dclean141_all.zip Freeware Oubliette 1.7 Si fa presto a dire password come ricordarle tutte? Oubliette ne consente una facile e sicura gestione. Sito del produttore:
http://freeware.tranglos.com
File oubsetup_17.exe Freeware MaxCrypt 1.1 Utile programma per crittografare i nostri file pi importanti. Facile, veloce e sicuro. Sito del produttore:
http://www.kinocode.com
96
Passcova Scova password File: passcova.zip Freeware ExcelCrack Specializzato nello scovare le password di Excel File: excelcrack.zip Freeware Aportstandita Un Port scanner in italiano File: aportscandita.zip Freeware