In questo articolo farò da esca per un attacco informatico: mi renderò vulnerabile per il solo piacere di farvi capire quanto sia facile, per alcune persone, mietere vittime nel mondo dell’informatica. La mia analisi, più che voler spiegare quali sono gli exploit usati, vuole accentrarsi su come è possibile per un “cracker” controllare migliaia di router infetti per fare…
Prefazione
All’utente medio/basso poco importa di come e perché il suo computer funzioni: basta che faccia il suo compito. Ma mentre è normale per le persone installare l’antifurto sulla propria macchina, oppure conservare la proprio pistola in un posto sicuro, quando si tratta di informatica l’unica cosa che gli interessi è che vada sul momento. Non mi va di dilungarmi troppo sull’argomento di quanto sia importante conoscere almeno l’abc della sicurezza informatica, ma leggere questo articolo forse vi farà aprire gli occhi. In questa prima parte voglio fare un pò di precisazioni su i termini stra-usati dai giornalisti in maniera poco opportuna. Naturalmente sono considerazioni personali e sintetizzate in poche righe, nulla da prendere da oro colato visto c’è gente che ha scritto libri sull’argomento senza riuscire ad mettere tutti d’accordo.
Hacker: Se per voi l’Hacker è quello che sta dietro il computer per cercarvi di fregare la password del vostro account, vi state sbagliando. Nel gergo informatico (e non solo), viene indicato come colui che si ingegna per sopperire a problemi di natura informatica e non. L’hacker è una persona etica, che difficilmente userà le sue conoscenze per recare danni e/o rubare informazioni o, ancora peggio, per lucrare infrangendo la legge. Non dico che non esistono persone che possono usare le loro conoscenze per i propri fini, ma questo esce fuori dall’etica che circonda queste persone. Per dividere le categorie, alcuni suddividono gli hacker in black hat (i cattivi) e i white hat (i buoni), ma la definizione è sempre troppo minimalistica. Ignoranza, luoghi comuni e altri fattori, fanno si che il divario tra i buoni e i cattivi sia minimale, nonostante la differenza sia enorme. Lo stesso Linus Torvalds si definisce “programmatore” se parla con i giornalisti, hacker se parla con gente competente, per evitare che la gente lo identifichi con un informatico con la benda sull’occhio. E allora i cattivi chi sono? …
Cracker: solo coloro che usano le loro conoscenze per aggirare le difese ed eludere blocchi di software/sistemi informatici. Alcuni li identificano con i black hats, ma personalmente li vedo ad un gradino inferiore. E’ come una zona di limbo tra i black hat e gli script kiddies…
Script Kiddies: sono coloro che utilizzano il codice, le scoperte e le informazioni derivati da altri per ottenere informazioni o aggirare sistemi. Molte volte non si preoccupano neanche di capire come una cosa funziona, ne tanto meno migliorarla. La scaricano, la usano e basta. Sono consoni definirsi “aquers” nelle irc chat o sugli amici su Msn.
L’attacco
Analizzando il log del mio router da un mese a questa parte, vedo continui tentativi di accesso sulla porta 23 (Telnet). Analizzando l’ip di provenienza, mi sono accorto che si trattava, per lo più, di router D-Link di ignari utenti: basta infatti inserire uno di questi ip nel proprio browser e uscirà la pagina di configurazione in router, quella pagina che di solito dovrebbe essere solo visibile all’interno della lan (da indirizzo come 192.168.0.1) e mai da remoto (con il vostro ip internet). Quindi colui o coloro che portavano avanti l’attacco si servivano sicuramente di una falla di sicurezza presente in questi router.
Quale falla? Difficile a dirsi. Perché i router sono un bel pò di tipi, e quindi credo che l’algoritmo usato dai crackers, in questo caso, faccia selezione a seconda del router trovato vulnerabile. Sicuramente interesserà delle vecchie falle nei firmware dei router, famosi in certi ambienti.
A questo punto che fare? Mi procuro un Dlink e faccio da vittima… tutto questo nella prossima parte dell’articolo…
6 comments
Comments feed for this article
Settembre 21, 2008 a 4:58 pm
anonymous
Hey sto ancora aspettando la 2° parte!
Settembre 21, 2008 a 9:10 pm
maurs
Bastava chiederla
Settembre 22, 2008 a 12:31 am
anonymous
Interessante piuttosto, molto sconcertante.
Credo che sia anche venuto il momento che gli ISP italiani incomincino ad usare la testa e a evitare di fornire in comodato d’uso gateway/modem senza fornire le istruzioni per cambiare la password di amministrazione. Be’ staremo a vedere, alla faccia del decreto Pisanu..
PS Comunque mi è poco chiaro come sia possibile modificare il filesystem senza dover riflashare il firmware..
Settembre 26, 2008 a 12:58 pm
maurs
I router alla fine sono dei sistemi *nix.
Se hanno dei bug, puoi usare questi bug per caricare sul filesystem il programma. E di exploit pubblici ce ne stanno a bizzeffe.
Settembre 26, 2008 a 5:18 pm
anonymous
Proprio cosi’ pero’ provo una certa ripugnanza per questo tipo di attacker: anche se l’Italia e’ tra i primi 5 paesi nel mondo come numero di zombie – non mi pare corretto sfruttare buchi dei modem/gateway in commodato d’uso per mettere in piedi una botnet.. vd. http://bit.ly/45S68s e http://bit.ly/3S8gnO
Il mio modo di sentire e’ che tali cose vadano segnalate a gran voce agli ISP per far loro trovare una soluzione. grazie
Settembre 26, 2008 a 5:31 pm
maurs
Visto le mie esperienze personali riguardo a libero
http://maurs.wordpress.com/2008/06/19/libero-adsl-quello-che-non-vi-dicono/
non credo che ci sia un modo per far capire loro che c’è un attacco in larga scala. Dovresti mandare a loro raccomandate, ma con la competenza che ha il reparto burocratico, mi manderebbero la polizia postale a casa.
Se io riesco a individuare il problema da privato… loro ci impiegherebbero 10 min per risolvere il problema se solo se ne preoccupassero. Ma magari il problema è proprio in alcuni vecchi router che hanno dato in comodato d’uso, e che dovrebbero sostituire, con perdita di denaro…e allora non converrebbe loro portare a galla il problema.
Gli ISP italiani sono come muri di gomma quando si tratta servizi al cliente!