Il Mercato del crimine nel web
Siamo quasi alla fine della 4^ era industriale e il mondo ormai da un po’ gira intorno al web. Internet ci consente di essere interconnessi sia per sviluppare i nostri business sia per relazionarci con amici e parenti in giro per il mondo. Sempre grazie ad internet siamo in grado di effettuare operazioni a cuore aperto con il paziente in Sud Africa ed il chirurgo che si trova nello stesso momento al Polo Nord. La finanza mondiale poggia la propria capacità di processo dei dati sulle reti telematiche. Insomma, ormai senza la cibernetica non possiamo più vivere.
Questo però pone dei quesiti. I sistemi che utilizziamo sono sicuri? Direi abbastanza. E le aziende e le persone che utilizzano il web ed internet? Direi proprio di no. Direi anche che per la maggior parte del genere umano, la tecnologia è solo uno strumento utile al raggiungimento di determinati obbiettivi ma che se dovessimo chiedere a qualcuno cosa sia un attacco DDoS (Distributed Denial of Service), quasi nessuno saprebbe rispondere.
Questo ci porta ad un’altra domanda; sappiamo usare in modo corretto la tecnologia? Più o meno stessa risposta. No. Ma allora cosa è necessario sapere per gestire un sistema di sicurezza valido o almeno difficile da penetrare? La parola magica è “chiave di accesso” altrimenti detta “password” o “parola d’ordine”. Se io ho la tua password ti rubo i tuoi dati e ci faccio quello che voglio. In pratica mi impossesso della tua vita.
Uno dei sistemi utilizzati per attaccare le password è il famoso tool di Kali Linux, “John The Ripper” per attaccare le password di Windows. Ovviamente appropriarsi di file SAM, contenente le password di accesso degli utenti per un determinato PC, costituisce reato per cui mi limiterò a dare alcune semplici indicazioni solo allo scopo di far emergere come sia relativamente semplice raggiungere lo scopo.
Basta creare un file winhash.txt in una cartella e copiare al suo interno il contenuto del file SAM relativo ad un utente X. Aprendo una shell e digitiamo alcuni comandi che non riporto per questioni legali, indico a John con quale formato ho fornito l’hash della password e per velocizzare la ricerca, fornisco a John il dizionario, specificando l’opzione “wordlist”.
In pochi minuti, John mostrerà la password del malcapitato utente X e da questo momento, potrò accedere al PC del malcapitato utilizzando la sua password, senza destare sospetti e potrò tentare una scalata di privilegi per compromettere definitivamente il PC. Molti utenti utilizzano, per pigrizia, la stessa password per diversi servizi.
Anche in ambiente Windows, è bene quindi evitare di utilizzare password semplici e di lasciare il PC senza averlo precedentemente bloccato. Tra le altre cose, sia per il file SHADOW sia per il file SAM non c’è modo, se non con una attenta analisi forense, di accorgersi degli accessi fraudolenti effettuati con le nostre credenziali, perché si vedono a tutti gli effetti come accessi leciti dell’utenza.
Ovviamente non esiste solo il John The Ripper, e alcuni tool inclusi in Kali Linux, permettono di risalire alla password degli utenti Linux partendo dal suo hash memorizzato nel file shadow, che si trova nella cartella etc.
Un altro strumento pericoloso per l’attacco alle password è Hydra utile ad attacchi online. Il tool Hydra è in grado di effettuare un attacco a dizionario tra i PC di una rete e supporta il cracking delle password su oltre 40 servizi tra cui Desktop Remoto (RDP) e Condivisione di File e Stampanti tramite Samba (SMB). I servizi ovviamente devono essere attivi e configurati sul PC da colpire ma per tutti i tool elencati vale un principio, l’anello debole di qualsiasi sistema di sicurezza è costituito dalle persone che lo gestiscono.
Un buon sistema per risolvere la questione password è di utilizzare dei generatori di password che si possono trovare sul web. Un altro dei talloni di Achille nella gestione dei dati è la copia backup utile a non perdere le foto di famiglia o il libro che stiamo scrivendo. Direi che l’utilizzo delle “chiavette” sia l’ultima cosa da fare perché veicolo di virus e facilmente copiabili. Una soluzione potrebbe essere l’utilizzo di un file server fatto in casa, ovvero un sistema in grado di consentire l’accesso e la gestione remota di file, più sicuro del tradizionale “hard disk portatile di backup”.
Ma vediamo quale è l’ultima frontiera delle hackering stategy. Anche in questo caso, credo di non rivelare nulla che non sia abbondantemente conosciuto ma utile a comprendere, qualora fosse necessario, lo stato dell’arte nella cyber security.
Parliamo quindi degli attacchi DDos su ordinazione. Questa è la nuova frontiera delle vendette contro gli ex datori di lavoro. Sono infatti in aumento i casi che vedono dipendenti licenziati assumere hacker o esperti di sicurezza informatica per “punire” chi li ha allontanati. Praticamente, anche se l’informatica ti sembra una fetta di carne non ti preoccupare, basta rivolgersi ai servizi DDoS for hire, disponibili nella rete “open” cioè non nel deep web.
Un attacco DDoS (Distributed Denial of Service) è uno degli strumenti più popolari nell’arsenale dei criminali informatici. Quasi chiunque può essere vittima di un attacco DDoS. Sono relativamente economici e facili da organizzare e possono essere molto efficaci se non esiste una protezione affidabile. L’ordine di un attacco DDoS viene solitamente eseguito utilizzando un servizio web completo, dove non esiste contatto diretto tra l’organizzatore e il cliente. Alcuni sviluppatori offrono persino punti bonus per ogni attacco condotto usando il loro servizio. In altre parole, i criminali informatici hanno i propri programmi di fidelizzazione e assistenza clienti.
I clienti di questi servizi comprendono perfettamente i vantaggi degli attacchi DDoS e quanto possono essere efficaci. Il costo di un attacco di cinque minuti su un grande negozio online è di circa 5 dollari. La vittima, tuttavia, può perdere molto di più perché i potenziali clienti non possono più effettuare ordini. Immaginiamo quanti clienti perde un negozio online se un attacco dura tutto il giorno. Allo stesso tempo, i criminali informatici continuano a cercare modi nuovi e meno costosi per organizzare le botnet. A questo proposito, l’Internet delle cose rende la vita più facile per loro.
Una delle tendenze attuali è l’infezione dei dispositivi IoT come telecamere CCTV, sistemi DVR, elettrodomestici “intelligenti”, ecc. e visto che esistono dispositivi IoT vulnerabili, i criminali informatici sono in grado di sfruttarli. Va notato che gli attacchi DDoS e, in particolare, i DDoS ransomware si sono già trasformati in attività ad alto margine dove la redditività di un attacco può superare il 95%. e il fatto che i proprietari di siti online siano spesso disposti a pagare un riscatto senza nemmeno verificare se gli aggressori possano effettivamente effettuare un attacco (cosa che altri truffatori hanno già rilevato) aggiunge ancora più benzina al fuoco. Tutto ciò suggerisce che il costo medio degli attacchi DDoS nel prossimo futuro diminuirà, mentre la loro frequenza aumenterà.
A cura di: Giuseppe Spadafora
Docente Formatore in Security Management presso il KHC, Cyber expert ISO27001