Lungo è assai meglio, imposta una password di almeno 16 caratteri
4/21/2013
Comunicare sicuri
Ogni canale di comunicazione che conosciamo è soggetto ad intercettazioni e registrazione delle conversazioni per eventuali consulti al momento e nel futuro prossimo. Ci sono però canali che offrono una maggior garanzia di riservatezza, come ad esempio la crypto.cat, una chat crittografata disponibile per più piattaforme oltre ai dispositivi mobile. Il suo utilizzo è semplicissimo, su Android e dispositivi a cui si accede non si deve far altro che digitare a caso e il più velocemente possibile caratteri della tastiera per creare l'hash di quella che poi sarà la chiave, quindi digitare un nome stanza che non deve avere lettere maiuscole, scegliere un nikname o lasciare quello assegnato e vi ritrovate nella stanza, a quel punto non vi rimane che avvisare le persone con cui volete parlare nella stanza ed è fatta. Alla chiusura della conversazione non sarà possibile recuperare quanto digitato e sul server saranno cancellate in un ora tutte le tracce della conversazione stessa. Al momento è il modo più sicuro per comunicare senza il rischio di venir intercettati, sebbene crypto.cat ha dovuto vedersela con varie controversie ne è comunque uscita vincitrice e continua ad offrire il suo servizio. È un progetto open source, quindi completamente libera e trasparente. Crypto.cat è usata da giornalisti per garantirsi la riservatezza e che le notizie non siano recuperate da terzi o concorrenza, ma non è nemmeno da considerarsi la bacchetta magica e quindi bisogna fare attenzione in quanto l'IP non viene mascherato, anche se è possibile usarla attraverso le reti TOR per mascherare il proprio indirizzo IP, non offre nessuna garanzia per i keylogger e quindi se è presente un keylogger hardware o software in una macchina non viene rilevato ed è in grado di registrare comunque i caratteri digitati sulla tastiera. Come per tutto il resto anche le persone inaffidabili non garantiscono la vostra riservatezza, quindi fate attenzione con chi scegliete di condividere i vostri fatti personali anche attraverso crypto.cat in quanto spesso è utilizzata per manipolare la fiducia delle persone invitandole ad una conversazione sicura solo per ottenere informazioni più approfondite per poi tradire la vostra fiducia. Crypto.cat è disponibile come estensione nel browser come ad esempio ADDON per Firefox o aggiungendolo su Google-browser e su Saphari e come app su MacStore. Non mi rimane che invitarvi a saperne di più sul progetto visitando il Sito crypto.cat.
4/03/2013
Testiamo la sicurezza delle reti Wi-Fi nel modo più semplice
La procedura seguente indica i passaggi per attaccare le reti Wireless per il solo scopo di testare la sicurezza della propria rete wireless. Ogni uso improprio di questa procedura viola la legge.
Le reti Wireless che oggi conosciamo bene nascono con una struttura fragile, infatti la prima cifratura WEP che usavano faceva acqua da tutte le parti ed era possibile bucarle in meno di 60 secondi. Con il tempo si è corsi al riparo rafforzando le WEP con versioni più robuste, la WPA che per l'appunto è una WEP modificata e le WPA2 che offrono maggiore sicurezza. Visto che le WEP si stanno via via estinguendo con la sostituzione dei modem/router e aggiornamenti firmware ci concentreremo sulle reti WPA e WPA2 per un resoconto delle impostazioni sulla nostra rete. Dobbiamo dire che alcuni strumenti che conosciamo come WPATester non sono altro che calcolatrici di una formula specifica che in base all'anno di produzione, MAC Address del dispositivo ed ESSID mostrano la key predefinita, quindi non dobbiamo assolutamente lasciare questa phassphrase ma sostituirla con un altra che sceglieremo accuratamente, magari inserendo più caratteri tra maiuscole e minuscole e simboli vari per rendere il compito davvero arduo. Detto questo possiamo cominciare. La prima cosa che ci occorre sono gli strumenti necessari per eseguire i test, quindi kismet e aicrack-ng per primi, se volete usarli nella vostra distribuzione Linux preferita sappiate che kismet necessita (spesso)di una configurazione in manuale visto che non viene inserita di default l'interfaccia di rete wireless. L'alternativa è scaricarsi un distribuzione LIVE che è sviluppata appositamente per questi test ed altre analisi di rete, ce ne sono varie, la più nota è forse la backtrack-linux che comprende anche un interfaccia grafica per aircrack-ng, Gerix, realizzata con BUC (Basta Un Clic). La suite aircrack-ng è disponibile anche per Windows ma leggetevi bene il Wiki per l'installazione in quanto necessita di componenti aggiuntivi, inoltre ricordate che Windows supporta solo un sottoinsieme limitato di comandi. Possiamo cominciare. Nel crack di una rete WPA e WPA2 è più semplice la fprocedura di sniffing, mentre la fase del cracking è un pò più difficile e fortunosa, del resto dobbiamo servirci di un bruteforce attack con dizionario. Quello che dobbiamo fare è catturare il famoso handhake, quando è catturato possiamo dedicarci al crack anche se offline, quindi con comodo. Il resto dipende tutto dai dizionari e la validità di questi, oppure, sempre con un file dizionazio specifico di lettere, numeri e caratteri di ogni tipo e presenti sulla tastiera, farsi aiutare da jhon the ripper in combinazione con cowpatty, cosa che vedremo più avanti. Quindi il primo passaggio è la cattura di handhake, che non dovete certo dare per scontato al primo tentativo perché questo famoso handhake è semplicemente un "file" di dati di comunicazione tra il client ed il punto di accesso, per cui dobbiamo aspettare tutto il tempo necessario per far si che qualche client esegua la connessione per poter essere certi di avere a disposizione un handhake valido per proseguire. Questa fase in genere è molto lunga, vuoi che non ci sono client che si collegano da giorni o per variabili che fanno parte della procedura, come ad esempio la distanza dalla rete e quindi la potenza del segnale, ma nel nostro test in casa propria questo problema non esiste e ci basterà far collegare un laptop per almeno 3 volte per far si che questo handhake sia catturato al più presto, nel totale non fermate la cattura se non ci sono almeno 50000 (cinquantamila) pacchetti catturati. Detto cosa ci serve possiamo procedere, quindi giocando a fare gli hacker lanceremo kismet per identificare la rete che ci interessa, almeno per ciò che riguardano dati importanti, l'indirizzo MAC (MAC Address) del punto di accesso (il nostro router in questo caso), il canale di trasmissione e la modalità (802.11 b/g/n), un attenzione anche alla velocità di trasmissione dati che ci servirà per aggiustare i settaggi. Con i dati riscontrati da kismet abbiamo cosi identificato e messo a nudo il nostro bersaglio, quindi passiamo alla fase successiva. Dobbiamo ora impostare la nostra interfaccia di rete Wireless in monitor mode (promiscua), quindi cominciamo a lanciare da terminale (ma potete farlo anche da Gerix), il comando:
airmon-ng stop wlan0
quindi rilanciarlo in monitor mode, dobbiamo ipostare anche il canale e quindi supponiamo che sia il canale 6:
airmon-ng start wlan0 6
a questo punto siamo pronti per lanciarsi nella cattura dati handhake, ma è possibile, prima di questo, "affinare" in base al rate e modalità di trasmissione, per cui dopo aver preso nota della velocità di trasmissione, supponendo il rate sia 54M, possiamo dargli:
iwconfig wlan0 rate 54M
mentre per la modalità (volendo) dipende se si tratta di 802.11 b, 802.11 g e cosi via, il valore specifico, quindi 1 se b, 2 se g, mentre se vogliamo lasciarlo in automatico imposteremo 0, come da esempio:
iwpriv wlan0 mode 0
se la cattura non si dimostra performante possiamo abbassare il rate fino al valorew minimo di 1M:
iwconfig wlan0 rate 1M
non ci rimane quindi che lanciare il comando che metterà in ascolto la trasmissione dati e la cattura dei nostri dati handshake che andremo a scrivere in testhandshake per l'analisi successiva:
airodump-ng --bssid 00:AB:XX:XX:XX:XX --channel 6 -w testhandshake wlan0
come vediamo, airodump richiede alcuni parametri che sono --bssid corrispondente al Mac address (che nell'esempio ho inserito con XX al posto di numeri e lettere, ma voi dovrete mettere ciò che ricontrate) dell'obbiettivo, --channel che è ovviamente il canale e -w che indica la scrittura sul file testhandshake.
Non ci rimane quindi che aspettare, nel frattempo possiamo scollegare e ricollegare un nostro laptop per accelerare la cattura dei pacchetti (visto che testiamo la nostra rete) o se vogliamo "giocare" all'hacker lasciare che qualcuno in casa si colleghi per usare un altro comando chiamato aireplay per scollegarlo in modo di effettuare nuovamente l'accesso, cosi:
aireplay-ng -0 1 -a 00:AB:XX:XX:XX:XX -c 00:CD:XX:XX:XX:XX wlan0
nell'esempio il primo MAC è quello del bersaglio (AP), mentre il secondo MAC è quello del client collegato e che vogliamo disconnettere.
-0 sta per modalità --deauth ed il numero che segue (1), è il numero di pacchetti di de-autenticazione, possiamo anche cambiare questo numero a nostra scelta con 2, 3, 4 e cosi via, ma senza esagerare. A questo punto dobbiamo solo aspettare e aspettare, fin quando nella finestra di airodump non viene visualizzato:
WPA HANDSHAKE
siamo quindi arrivati alla fine, abbiamo catturato gli handshake e non ci rimane che darli in pasto al crack che possiamo eseguire con:
aircrack-ng -w wordlist.txt -b 00:AB:XX:XX:XX:XX testhandshake.cap
dove ovviamente wordlist è il file testo (possiamo aggiungere il percorso se si trova in altra cartella) ed il MAC è quello dell AP obbiettivo.
Non vi resta che aspettare ed avere fortuna, naturalmente nella wordlist che avrete preparato o scaricato potete aggiungere la vostra key per vedere il tempo che impiega nel verificarla oppure scaricarne varie per vedere se già presente, alcune wordlist sono di volumi enormi e inimmaginabili ve lo assicuro. Un alternativa è, come annunciato all'inizio, usare john the ripper in combinazione con coWPAtty, l'output del primo diventerà l'input del secondo (qui si usa un pipe ;)). Ma di questo ne parleremo un altra volta, se non volete aspettare consultate la guida QUI. Un ottimo forum e wiki riguardo l'uso degli strumenti delle suite è il seguente airodump.net, mentre un metodo alternativo e oggetto di discussione lo potete trovare in questo PDF. La procedura indicata è semplificata e potete provarla per provare la robustezza delle vostre reti senza fili. Ricordate che siete sempre e solo voi i responsabili delle vostre azioni. Buona giornata a tutti.
Le reti Wireless che oggi conosciamo bene nascono con una struttura fragile, infatti la prima cifratura WEP che usavano faceva acqua da tutte le parti ed era possibile bucarle in meno di 60 secondi. Con il tempo si è corsi al riparo rafforzando le WEP con versioni più robuste, la WPA che per l'appunto è una WEP modificata e le WPA2 che offrono maggiore sicurezza. Visto che le WEP si stanno via via estinguendo con la sostituzione dei modem/router e aggiornamenti firmware ci concentreremo sulle reti WPA e WPA2 per un resoconto delle impostazioni sulla nostra rete. Dobbiamo dire che alcuni strumenti che conosciamo come WPATester non sono altro che calcolatrici di una formula specifica che in base all'anno di produzione, MAC Address del dispositivo ed ESSID mostrano la key predefinita, quindi non dobbiamo assolutamente lasciare questa phassphrase ma sostituirla con un altra che sceglieremo accuratamente, magari inserendo più caratteri tra maiuscole e minuscole e simboli vari per rendere il compito davvero arduo. Detto questo possiamo cominciare. La prima cosa che ci occorre sono gli strumenti necessari per eseguire i test, quindi kismet e aicrack-ng per primi, se volete usarli nella vostra distribuzione Linux preferita sappiate che kismet necessita (spesso)di una configurazione in manuale visto che non viene inserita di default l'interfaccia di rete wireless. L'alternativa è scaricarsi un distribuzione LIVE che è sviluppata appositamente per questi test ed altre analisi di rete, ce ne sono varie, la più nota è forse la backtrack-linux che comprende anche un interfaccia grafica per aircrack-ng, Gerix, realizzata con BUC (Basta Un Clic). La suite aircrack-ng è disponibile anche per Windows ma leggetevi bene il Wiki per l'installazione in quanto necessita di componenti aggiuntivi, inoltre ricordate che Windows supporta solo un sottoinsieme limitato di comandi. Possiamo cominciare. Nel crack di una rete WPA e WPA2 è più semplice la fprocedura di sniffing, mentre la fase del cracking è un pò più difficile e fortunosa, del resto dobbiamo servirci di un bruteforce attack con dizionario. Quello che dobbiamo fare è catturare il famoso handhake, quando è catturato possiamo dedicarci al crack anche se offline, quindi con comodo. Il resto dipende tutto dai dizionari e la validità di questi, oppure, sempre con un file dizionazio specifico di lettere, numeri e caratteri di ogni tipo e presenti sulla tastiera, farsi aiutare da jhon the ripper in combinazione con cowpatty, cosa che vedremo più avanti. Quindi il primo passaggio è la cattura di handhake, che non dovete certo dare per scontato al primo tentativo perché questo famoso handhake è semplicemente un "file" di dati di comunicazione tra il client ed il punto di accesso, per cui dobbiamo aspettare tutto il tempo necessario per far si che qualche client esegua la connessione per poter essere certi di avere a disposizione un handhake valido per proseguire. Questa fase in genere è molto lunga, vuoi che non ci sono client che si collegano da giorni o per variabili che fanno parte della procedura, come ad esempio la distanza dalla rete e quindi la potenza del segnale, ma nel nostro test in casa propria questo problema non esiste e ci basterà far collegare un laptop per almeno 3 volte per far si che questo handhake sia catturato al più presto, nel totale non fermate la cattura se non ci sono almeno 50000 (cinquantamila) pacchetti catturati. Detto cosa ci serve possiamo procedere, quindi giocando a fare gli hacker lanceremo kismet per identificare la rete che ci interessa, almeno per ciò che riguardano dati importanti, l'indirizzo MAC (MAC Address) del punto di accesso (il nostro router in questo caso), il canale di trasmissione e la modalità (802.11 b/g/n), un attenzione anche alla velocità di trasmissione dati che ci servirà per aggiustare i settaggi. Con i dati riscontrati da kismet abbiamo cosi identificato e messo a nudo il nostro bersaglio, quindi passiamo alla fase successiva. Dobbiamo ora impostare la nostra interfaccia di rete Wireless in monitor mode (promiscua), quindi cominciamo a lanciare da terminale (ma potete farlo anche da Gerix), il comando:
airmon-ng stop wlan0
quindi rilanciarlo in monitor mode, dobbiamo ipostare anche il canale e quindi supponiamo che sia il canale 6:
airmon-ng start wlan0 6
a questo punto siamo pronti per lanciarsi nella cattura dati handhake, ma è possibile, prima di questo, "affinare" in base al rate e modalità di trasmissione, per cui dopo aver preso nota della velocità di trasmissione, supponendo il rate sia 54M, possiamo dargli:
iwconfig wlan0 rate 54M
mentre per la modalità (volendo) dipende se si tratta di 802.11 b, 802.11 g e cosi via, il valore specifico, quindi 1 se b, 2 se g, mentre se vogliamo lasciarlo in automatico imposteremo 0, come da esempio:
iwpriv wlan0 mode 0
se la cattura non si dimostra performante possiamo abbassare il rate fino al valorew minimo di 1M:
iwconfig wlan0 rate 1M
non ci rimane quindi che lanciare il comando che metterà in ascolto la trasmissione dati e la cattura dei nostri dati handshake che andremo a scrivere in testhandshake per l'analisi successiva:
airodump-ng --bssid 00:AB:XX:XX:XX:XX --channel 6 -w testhandshake wlan0
come vediamo, airodump richiede alcuni parametri che sono --bssid corrispondente al Mac address (che nell'esempio ho inserito con XX al posto di numeri e lettere, ma voi dovrete mettere ciò che ricontrate) dell'obbiettivo, --channel che è ovviamente il canale e -w che indica la scrittura sul file testhandshake.
Non ci rimane quindi che aspettare, nel frattempo possiamo scollegare e ricollegare un nostro laptop per accelerare la cattura dei pacchetti (visto che testiamo la nostra rete) o se vogliamo "giocare" all'hacker lasciare che qualcuno in casa si colleghi per usare un altro comando chiamato aireplay per scollegarlo in modo di effettuare nuovamente l'accesso, cosi:
aireplay-ng -0 1 -a 00:AB:XX:XX:XX:XX -c 00:CD:XX:XX:XX:XX wlan0
nell'esempio il primo MAC è quello del bersaglio (AP), mentre il secondo MAC è quello del client collegato e che vogliamo disconnettere.
-0 sta per modalità --deauth ed il numero che segue (1), è il numero di pacchetti di de-autenticazione, possiamo anche cambiare questo numero a nostra scelta con 2, 3, 4 e cosi via, ma senza esagerare. A questo punto dobbiamo solo aspettare e aspettare, fin quando nella finestra di airodump non viene visualizzato:
WPA HANDSHAKE
siamo quindi arrivati alla fine, abbiamo catturato gli handshake e non ci rimane che darli in pasto al crack che possiamo eseguire con:
aircrack-ng -w wordlist.txt -b 00:AB:XX:XX:XX:XX testhandshake.cap
dove ovviamente wordlist è il file testo (possiamo aggiungere il percorso se si trova in altra cartella) ed il MAC è quello dell AP obbiettivo.
Non vi resta che aspettare ed avere fortuna, naturalmente nella wordlist che avrete preparato o scaricato potete aggiungere la vostra key per vedere il tempo che impiega nel verificarla oppure scaricarne varie per vedere se già presente, alcune wordlist sono di volumi enormi e inimmaginabili ve lo assicuro. Un alternativa è, come annunciato all'inizio, usare john the ripper in combinazione con coWPAtty, l'output del primo diventerà l'input del secondo (qui si usa un pipe ;)). Ma di questo ne parleremo un altra volta, se non volete aspettare consultate la guida QUI. Un ottimo forum e wiki riguardo l'uso degli strumenti delle suite è il seguente airodump.net, mentre un metodo alternativo e oggetto di discussione lo potete trovare in questo PDF. La procedura indicata è semplificata e potete provarla per provare la robustezza delle vostre reti senza fili. Ricordate che siete sempre e solo voi i responsabili delle vostre azioni. Buona giornata a tutti.
4/02/2013
Quando si subisce un attacco di Hacker
Prima o poi un Sistema sarà oggetto di un attacco da parte di un hacker. Questo accade a tutti, vuoi che si è usato per un breve periodo software con alcuni problemi, vuoi che durante la nostra assenza è stata scoperta una nuova falla e non eravamo presenti perché in viaggio o in ferie. Oppure sono stati fornite credenziali di accesso ad un sostituto o amico a cui il proprio sistema è visitato, o lo è stato in quel periodo, da un hacker che ha trovato cosi il punto di accesso al primo sistema. Nonostante ci si auguri che queste visite non accadono spesso ecco alcuni consigli utili per monitorare e tenere sotto controllo la situazione.
Rimozione della pagina Web
Molti hacker principianti o che vogliono dimostrare ad amici la loro visita ad un sito Web, oppure solo per annunciare il proprio attacco, si divertono a cambiare il contenuto della pagina, in genere la home perché si nota prima, lasciando un riconoscimento del proprio passaggio oppure opinioni personali in merito al sito preso di mira, in questo caso motivati da un idea condivisa come abbiamo visto nei recenti Defacing di personaggi politici nei propri portali. Se uno o più hacker desiderano mantenere l'accesso, raramente annunciano in questo o altro modo il loro passaggio o presenza.
Diminuzione drastica dello spazio disco - Warez
Un hacker usa spesso sistemi degli altri per memorizzare warez (versioni illegali o cracked di software commerciale), tool di hacking, materiale pornografico o altri file che vogliono avere a disposizione o che intendono condividere con altri. Quando questo succede notiamo che lo spazio libero disco diminuisce velocemente, l'uso di df indicherà in questo caso l'uso corrente del disco.
Uso elevato della rete
Se l'attività appare elevata anche quando non stiamo svolgendo attività, qualcuno potrebbe usare il sistema per vedere file, come appena detto nella voce precedente, o per attaccare altri sistemi in rete. Verificare in questo caso con netstat -na oppure l'output di lsof per visualizzare quali connessioni esistono.
Contattare altri amministratori
Se il sistema è usato per attaccare altri sistemi, gli amministratori che sono sotto attacco possono contattare altri amministratori per farlo sapere. Questa sarebbe una buona idea, peccato solo che spesso cercando di avvisarli lo stesso amministratore che ne riceve l'avviso pensa si tratti dell'hacker stesso.
Interfacce di rete promiscue
Se gli hacker vogliono rimanere in ascolto delle reti in cui è connesso il computer, installeranno l'interfaccia in modalità promiscua, cioè per la cattura di tutti i pacchetti. Molto utile è esaminare le interfacce di rete con ifconfig -a e osservare nell'output se è presente PROMISC.
File di log annullati o troncati
Un hacker esperto è in grado di rimuovere singole righe dai file di log che mostreranno il suo accesso non autorizzato, mentre uno meno esperto può solo cancellare completamente i file. Di conseguenza, i file di log in cui mancheranno segmenti di tempo o sono cancellati in modo sospetto possono essere stati manomessi. Un buon metodo per verificare questi log mancanti è registrare i log in server aggiuntivi, per esempio tramite syslog, con cui poi è possibile fare un confronto.
Monomissione dei file utmp wtmp
Un hacker potrebbe cancellare le voci di login dai file utmp e wtmp con tools come wipe che svolge tale funzione velocemente o rimuovere completamente tali file per nascondere che si sono connessi. Se si notano dei troncamenti alla fine dei file è probabile che l'hacker abbia semplicemente cancellato il file. Strumenti come chklastlog e chkwtmp verificano questi file alla ricerca di segnali di manomissione.
Nuovi utenti di sistema
La presenza di nuovi utenti nel file delle password è un evidente segno che qualcuno ha compromesso il sistema, è probabile si tratti di un principiante che non pensa di poter essere scoperto. Spesso usano username simili agli utenti esistenti per nascondersi meglio, come lpr al posto di lp oppure uuupc1 o per i più temerari, nomi che fanno parte del gergo hacker come t00r, 0wn3d e simili.
Strani processi in esecuzione
Se si notano processi in esecuzione che non sono stati avviati e che non fanno parte del sistema è possibile che appartengono ad un hacker... voi che dite? Molti programmi saranno eseguiti con cron, perciò sarà necessario verificare il processo sospetto e vedere se non fa parte del sistema. Ad esempio, slocate è spesso fonte di preoccupazioni, poiché usa molte risorse di CPU e di disco nonostante sia una risorsa di sistema legittima, sebbene opzionale.
Uso di CPU senza spiegazioni
Gli hacker evoluti possono nascondere i loro processi o assegnare nomi di programmi di sistema legittimi come cron, inetd o slocate. Se il sistema mostra un elevato uso della CPU o se, semplicemente, sembra lento, la causa potrebbe essere l'hacker. Spesso usano programmi di verifica delle password, che sono generalmente molto pesanti per le CPU, alleggerendo cosi i propri sistemi.
Gli utenti locali non dispongono più degli account remoti
Un hacker si sposterà spesso seguendo gli utenti via via che accedono da un sistema al successivo. Accedendo al primo sistema, l'hacker potrebbe osservare le connessioni in uscita e compromettere l'account in un nuovo sistema, pertanto, un attacco di un utente in un sistema esterno può significare che l sistema diventerà presto un target o che è stato già oggetto di un attacco. In generale quando un account è compromesso, si consiglia di verificare la sicurezza di tutti gli altri account e modificare le password durante il processo.
Le cose sembrano strane
La maggior parte degli attacchi sono stati scoperti quando l'amministratore ha pensato che qualcosa non andava e ha iniziato la ricerca. A volte vengono fuori problemi non legati all'hacking, come dischi difettosi, memorie non funzionanti o modifiche di rete non annunciate, ma spesso ci si accorge che il sistema è stato visitato da un hacker. È importante identificare la causa di un comportamento anomalo del sistema.
Per finire
Dopo aver verificato un intrusione non rimane che correre ai ripari. Le opinioni come i metodi a questo punto si dividono e non sono applicabili ad ogni sistema, per cui si deve analizzare caso per caso la situazione. Su una cosa ci si mette tutti nella stessa posizione, identificare la falla e correggerla nel più breve tempo possibile, questo però potrebbe far si che il tempo impiegato non sia poi cosi breve per cui le operazioni anche in questo caso variano. Non rimane quindi che mettersi al lavoro e sperare di risolvere nel migliore dei modi.
4/01/2013
La prima cosa che cede in un sistema IT è l'uomo
La prima cosa che cede in un sistema IT è l'uomo. Non serve che l'utente sentendosi vittima di Virus e Malware migra da Windows a Linux perché più sicuro come sistema, perché quindi nonChrome OS visto che ne è reduce vincitore dell'evento organizzato per tentare di "bucare" il sistema. Le tecnologie migliorano sotto ogni aspetto, offrono stabilità e miglior sicurezza con il tempo. Oggi tanti utenti usano Linux per vari motivi, ma nonostante questo è pur sempre l'uomo che fa si che sia più o meno sicuro. Parliamoci chiaro, il sistema sicuro è quello spento, inaccessibile fisicamente e non in rete, per il resto diciamo pure che rendiamo le cose difficili ai ficcanaso in modo di poterli tenere alla larga il più non posso. Certo che che se uno proprio deve e vuole, sarà una dura lotta, ma fatta di vittorie e sconfitte fin quando non si convincerà a tentare altrove.Chi non ha mai allineato un proprio dispositivo ad una rete aperta? Questa non sempre è pubblica, ma ignorata perché magari non abbiamo dispositivi per utilizzarla e ci colleghiamo in Ethernet (spero) visto che in USB sarebbe davvero uno spreco. Ecco, queste reti ignorate sono punti di accesso per chi le conosce bene, addirittura squadre girano tra i quartieri cercando AP liberi o poco protetti. Le protezioni sul wireless sono diverse, qualcuno preferisce rendere invisibile l'ESSID credendo che se il segnale non compare non può venir sfruttato. Altri ancora utilizzano protocolli di protezione semplici, visto che facendo un giro ho notato che su ogni 4 reti Wireless, due sono WPA2 una è WPA ed una è WEP ...e una rete WEP si cracca in un minuto. In tal caso consiglio a tutti di verificare l'età del proprio modem/router, quindi cambiarlo o farlo sostituire se in comodato o aggiornare il firmware se consente di aggiungere protocolli di cifratura più sicuri. Per quanto riguarda la sicurezza vedremo come si comporta un potenziale aggressore, indipendentemente dal tipo di accesso, quindi tutelarsi prendendo ogni eventuale contromisura a questo tipo di attacchi. Non prolunghiamoci in discorsi tecnici se prima non abbiamo ben chiaro dove si trova il punto più debole del Sistema, l'uomo. Infatti è grazie a questo che la maggior parte degli attacchi e intrusioni varie riscuotono successo, l'uomo nella sua buona fede o scarse conoscenze è il primo a cadere nella manipolazione di individui creativi e privi di scrupoli, l'uomo che cade vittima di tecniche, possiamo definirle proprio cosi, veri e propri studi di Ingegneria Sociale di cui solo la fantasia impone dei limiti, e come ben sappiamo, ciò che possiamo immaginare diventa possibile. Adesso però dobbiamo capire come comportarsi di fronte a casi simili, abbiamo la possibilità di conoscere queste tecniche descritte un due suoi libri da Kevin Mitnik "L'Arte dell'inganno" (Felrtinelli 2003) e "L'Arte dell'intrusione" (Feltrinelli 2006), per i cineasti consiglio la visione del Film "Takedown", più noto come Hackers 2. Le tecniche di Ingegneria Sociale sono varie, da una semplice conversazione telefonica al frugare nei cestini delle carta in cerca di informazioni, da un occhiata alle icone del desktop di un impiegato per vedere il software che usa o da una fotografia scattata da un cellulare per catturare una schermata ricca d'informazioni sensibili, queste ed altre ancora, alcune nemmeno immaginabili sono documenti importantissimi per un manipolatore sociale. Anche quando una tecnica di Phishing va a centro è opera di vulnerabilità dell'uomo, questo perché allarmato dalla mail ricevuta in merito al proprio conto o carta di credito, esegue subito l'accesso cliccando nel link associato e quindi inserendo le proprie credenziali di accesso e conto, ricevendo poi un messaggio di conferma che tutto è a posto mentre è proprio in quel momento che dovrebbe allarmarsi. La stessa cosa avviene anche con l'installazione di Trojan e malware in genere, questi nel 99% dei casi sono installati con il consenso dell'utente vittima. Le escamotage sono in agguato ogni giorno, una tecnica di manipolazione frequente ed in uso tutt'oggi è un offerta di lavoro che arriva da aziende straniere che non intendono aprire agenzie in Italia perché costose ma che vogliono espandersi, i settori sono vari e sempre difficili da verificare. Questi offrono un lavoro a dir poco allettante, uno stipendio che parte da 200 euro più incentivi, e già dallo stipendio fisso ci si deve fare qualche domanda, ma qualcuno ci cade sempre, magari spinto dal bisogno di reperire denaro per pagare l'affitto. La legge Italiana è molto chiara su determinati lavori, non è cosa per tutti ma richiede determinati requisiti, in particolare quando si eseguono transazioni (perché è di questo che si tratta). Infatti la vittima non deve far altro che dare le proprie coordinate bancarie o aprire un conto corrente, quindi nel giro di uno o due giorni dovrà prelevare la somma meno la percentuale dovuta ed eseguire la spedizione del denaro tramite Western Union e simili, in nominativi residenti all'estero, quindi non rintracciabili dalla Polizia Postale Italiana. Nel giro di una settimana verrete denunciati perché l'azienda o nominativo a cui vengono prelevati i soldi inoltra denuncia e sarete quindi i primi ad essere interrogati, potete dire che ignoravate il tutto e che era un lavoro, ma alla fine sarete incriminati per complicità. Se ricevete offerte simili controllate a dovere, non lasciatevi ingannare ne accecare dal bisogno di un lavoro perché le conseguenze non ve le raccomando. Quindi nel caso valutaste un offerta fate attenzione alla mail di riferimento, spesso gmail o di altri provvider, mentre su aziende serie questa è sempre del dominio interessato. Anche la sola mail non basta, cercate ogni informazione possibile, fate il whois dell'indirizzo aziendale, questo deve corrispondere, se localizzato negli USA ed il whois indica un azienda in Russia o altro paese non fidatevi. Ma torniamo al Social-engineering, trovate dettagli e informazioni su Internet, oppure visitate il sito social-engineer, magari trovate anche qualche informazione divertente come un manuale per farsi consegnare la Pizza a casa GRATIS. Per il momento ci salutiamo, spero di aver reso l'idea di quello che significa il titolo di questo post. La parte più debole e vulnerabile di un sistema è l'uomo che si trova tra la sedia e la tastiera, stessa cosa che molti amministratori di sistema dicono degli errori più comuni. La manipolazione è un Arte, ricordatelo sempre.... e non lo dico io ma Arthur Schopenhauer e da altri prima di lui che l'applicavano, Schopenhauer lo ha poi scritto in una sua Opera. Molto utile è saper riconoscere un tentativo di ingegneria sociale, questo PDF descrive vari metodi e relaziona il punto debole della struttura a quanto già detto, ma non solo, conoscere queste e altre tecniche fa si che possiamo prevedere un eventuale tentativo e accorgendosi del fatto possiamo respingerlo, sperando di averlo fatto in tempo.... buona lettura.
Iscriviti a:
Post (Atom)