Cyber crimes: strumenti e tecniche di hacking - Rivista ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
APPROFONDIMENTI
Cyber crimes:
strumenti e tecniche di hacking
Fabio Giannini
Sommario: Introduzione. – 1. Comandi e strumenti (tool) base di Windows e di
Linux. – 2. Identificare il proprietario di un Dominio.
Introduzione parla di crackers o black hat). Gli
attacchi hacker sono, quindi, una
Gli attacchi hacker sono ormai realtà con cui utenti e forze dell’or-
una persistente minaccia del mon- dine si ritrovano a dover fare i conti
do virtuale rappresentato dalla nel quotidiano. L’hacker sviluppa i
Rete. Attacchi che non vengono suoi attacchi non in maniera univo-
condotti in maniera univoca, ma ca, ma utilizzando, a seconda dei
utilizzando di volta in volta stru- casi e degli scopi, strumenti e tec-
menti e tecniche sempre più insi-
niche sempre più insidiosi.
diosi. Il termine “hacker” è, oggi,
Nel corso della storia tanto
genericamente usato sia per indi-
gli strumenti quanto le tecniche
care soggetti che utilizzano le loro
competenze informatiche a servi- di hacking si sono notevolmente
zio di aziende e istituzioni, a scopo evoluti, sì da rendere molto com-
“benevolo” (si parla di ethical ha- plesso il loro contrasto da parte
cker o white hat) sia per i cosiddet- delle autorità e degli esperti.
ti criminali informatici, ossia coloro Cosa fondamentale è capire in
che utilizzano le competenze infor- cosa si sostanzia un attacco ha-
matiche acquisite per commettere cker e quali sono le forme più uti-
reati informatici (in questo caso si lizzate dai cyber criminali.
APPROFONDIMENTI
1. Comandi e strumenti (tool)
base di Windows e di Linux
Apprendiamo i comandi princi- sulle interfacce di rete attive nel
pali che ci permetteranno di con- computer;
trollare un computer. • Route, serve per definire i per-
Comandi base sulla rete come: corsi (route) statici, cancellare i
• Ping (Packet internet grouper) è percorsi o per visualizzare lo sta-
un comando che misura il tem- to dei percorsi.
730 po, espresso in millisecondi, im- Il parametro destinazione può
piegato da uno o più pacchetti essere un indirizzo IP o un nome
ICMP a raggiungere un altro di- DNS, che indica l’apparato (o gli
spositivo di rete (attraverso una apparati, in caso di un indirizzo IP di
qualsiasi rete informatica basata broadcast) a cui inviare i pacchet-
su IP) e a ritornare indietro all’o- ti echo request. Le opzioni sono
rigine; specifiche del sistema operativo in
• Tracert, il comando è l’abbrevia- uso, ma tipicamente consentono di
tura di trace route, ci permette specificare il numero di pacchetti di
di conoscere il percorso che se- tipo echo request da inviare, la loro
guono i pacchetti a partire dall’o- lunghezza in byte, e di effettuare un
rigine, ovvero da te al computer cosiddetto flood ping in cui i pac-
destinazione. È interessante os- chetti sono inviati ripetutamente
servare che si ottengono i nomi quanto più rapidamente possibile.
dei computer attraverso i quali Tra le opzioni comunemente di-
viaggiano i pacchetti; sponibili vi sono:
• Netstat, mostra informazio- – “A” risolve gli indirizzi IP in nomi
ni sullo stato della rete e delle host;
connessioni di rete stabilite con – “N” conteggio, determina il nu-
computer remoti; mero di richieste echo da invia-
• Ipconfig, ifconfig, il comando re. Il numero predefinito è 4;
ipconfig mostra informazioni – “W” timeout, consente di rego-
lare il valore di timeout (in mil-Cyber crimes: strumenti e tecniche di hacking FABIO
GIANNINI
lisecondi). Il valore predefinito saturandolo (flood) di pacchetti di
è 1000 (corrispondente a un ti- tipo echo reply e causandone l’ir-
meout di un secondo); raggiungibilità o (in caso di modem
– “L” dimensione, consente di re- con scarsa larghezza di banda) la
golare la dimensione del pac- disconnessione della vittima da In-
chetto di ping. La dimensione ternet (questo attacco è un tipo di
predefinita è 32 byte; reflection attack). Un tipico esem-
– “F” imposta il bit di Non fram- pio di questo attacco era lo smurf.
mentazione nel pacchetto di In seguito al diffondersi di questo
ping. Per impostazione predefi- tipo di attacco negli anni novanta
nita, il pacchetto di ping consen- sono state prese precauzioni che
te la frammentazione. lo rendono difficilmente pratica-
– “T” imposta la chiamata con- bile. Una variante più semplice è il
tinua, viene eseguito il ping ping flood, che consiste nell’invio
all’host desiderato finché non a raffica di pacchetti di tipo echo
viene interrotto. request verso la vittima designata:
Può essere interrotto digitando se l’attaccante dispone di un’ampia
sulla tastiera CTRL + C ping è uno larghezza di banda può facilmente
strumento molto utile se non indi- saturare di richieste il destinatario,
spensabile, ma il fatto che la rispo- mandandogli in crisi lo stack di rete
sta a pacchetti di tipo echo request e di conseguenza il sistema opera-
avvenga in maniera automatica lo tivo della vittima, impossibilitata a
ha reso uno degli strumenti pre- ricevere e a rispondere a tutti i pac- 731
feriti per gli attacchi di tipo DoS o chetti in arrivo.
DDoS. È possibile infatti inviare ad Sistema Operativo: WINDOWS.
un gran numero di apparati di rete La maggior parte degli strumenti
dei pacchetti di tipo echo request utilizzati per studiare le reti sono
falsificando però l’indirizzo IP del comandi interni del sistema opera-
mittente (spoofato) con quello del- tivo Windows. Per questo motivo
la vittima: gli apparati di rete sa- esaminiamo come aprire una fi-
ranno portati automaticamente a nestra di comando quando utilizzi
rispondere all’indirizzo IP falsificato, Windows come sistema operativo.APPROFONDIMENTI
Sviluppiamo adesso una co- • Transport Control Protocol
noscenza di base sulle porte e sui (TCP), stabilisce una connes-
protocolli più diffusi, conosceremo sione logica tra i punti finali
un insieme di funzionalità utili che della rete;
consentono di comprendere le po- • User Datagram Protocol (UDP),
tenzialità di rete del computer. è un protocollo di trasporto non
Avremo una conoscenza di ba- basato su una connessione. In
se su: questo caso il sistema sorgente
1. I concetti delle reti i cui ele- invia i pacchetti senza avvisare
menti essenziali sono: il destinatario del loro invio;
– A. PC I protocolli del livello Internet
– B. Router sono:
– C. Hub • Internet Protocol (IP), sono gli
– D. Switch identificatori utilizzati per di-
2. Gli indirizzi IP; stinguere i dispositivi che so-
3. Le porte e i protocolli; no connessi ad una rete. Ogni
Per poter inviare informazioni dispositivo deve avere un indi-
tra due dispositivi, entrambi de- rizzo IP differente, così non ci
vono utilizzare lo stesso linguag- sono problemi di errata identifi-
gio. Questo linguaggio è chia- cazione all’interno della rete. Un
mato protocollo. I protocolli che indirizzo IP consiste in 32 bit di-
compaiono nel livello applicazio- visi in 4 ottetti separati da punti;
732 ne del TCP/IP sono: Un protocollo frequentemen-
• File Transfer Protocol (FTP), è te usato dal livello di accesso alla
utilizzato per la trasmissione di rete è:
files tra due dispositivi; • Ethernet.
• Hypertext Transfer Protocol
(HTTP), è utilizzato per tra-
durre le informazioni in pagi-
ne web. La porta più comune-
mente utilizzata è la 80;
• Simple Mail Transfer Protocol
(SMTP), è un servizio di posta
basato sul modello FTP. Trasfe-
risce posta elettronica tra due
sistemi e fornisce una notifica
della posta in arrivo. La porta più
comunemente utilizzata è la 25;
• Domain Name Service (DNS)
– fornisce un meccanismo per
associare ad un nome di domi-
nio un indirizzo IP.
I protocolli del livello di tra-
sporto sono:Cyber crimes: strumenti e tecniche di hacking FABIO
GIANNINI
2. Identificare il proprietario di
un Dominio
La prima cosa da fare è quella servizi e reti in grandi quantità, e
di esaminare il nome di dominio o sapere a quale gruppo appartie-
indirizzo IP. Utilizzando la ricerca ne un indirizzo IP e chi ha i diritti
tramite “Whois” è possibile sco- in tale gruppo, può essere molto
prire preziose informazioni, inclu- utile. Questo può aiutarvi a rica-
sa l’identità del proprietario di un vare informazioni sul server o sul
dominio e informazioni su come fornitore di servizi che il sito web
contattarlo, che possono inclu- utilizza.
733
dere indirizzo e numeri di tele- Cerchiamo informazioni sul
fono. Va sottolineato che oggi ci server cui si riferisce quel dominio.
sono così tanti nomi di dominio Verifichiamo ora se il server su
registrati che non tutti i database cui è caricato il sito web è attivo.
“Whois” contengono le informa- Il comando ping vi dirà se c’è
zioni su tutti i domini. È possibi- attualmente un computer attivo
le che si debbano esaminare più associato a quel dominio e con
database “Whois” prima di trovare quale indirizzo:
le informazioni sul dominio che vi IP. Il comando:
interessa. ping o ping .
terminare l’indirizzo IP di un do- Se l’output del comando ping
minio. L’indirizzo si può trovare indica che i pacchetti sono stati
tra le informazioni “Whois” o può ricevuti, potete desumere che il
essere necessario utilizzare una server è attivo. Un altro comando,
ricerca tramite DNS o Domain tracert (in Windows) o tracero-
Name Service (potete ricava- ute (in Linux) vi mostrerà i passi
re molte informazioni su come effettuati dalle informazioni per
scoprire l’indirizzo IP dal nome transitare dal vostro computer a
del dominio tramite un sempli- quello remoto. Tenere traccia del
ce motore di ricerca). I numeri IP percorso dei pacchetti vi darà ul-
vengono assegnati ai fornitori di teriori informazioni sui computerAPPROFONDIMENTI
della rete in cui si trova l’obiettivo un sistema osservando quali porte
del vostro percorso. Ad esempio, siano aperte e quali protocolli sia-
computer con indirizzi IP simili sa- no utilizzati. Iniziate ad esaminare
ranno parte della stessa rete. il vostro computer locale. Andate
Scegliete un nome di domi- in linea di comando o prompt di
nio valido e utilizzate la ricerca shell e mandate in esecuzione il
“Whois” per scoprire chi è il pro- programma netstat utilizzando il
prietario di quel dominio. qualificatore -a (o all): netstat –a.
Quali altre informazioni sono Il computer visualizzerà una li-
disponibili? sta di porte aperte ed alcuni servi-
Quando è stato creato tale do- zi che stanno utilizzando tali por-
minio? te:
Quando scadrà? Active Connections
Quando è stato modificato l’ul- Proto Local Address Foreign
tima volta? Address State
Effettuate un ping ad un sito TCP YourComputer: microsoft-
web valido o un indirizzo IP. Se ds YourComputer: 0 LISTENING
ottenete una risposta positiva, TCP YourComputer: 1025
effettuate un ping all’indirizzo IP YourComputer: 0 LISTENING
successivo. Questo produce una TCP YourComputer: 1030
risposta positiva? YourComputer: 0 LISTENING
Utilizzate tracert o traceroute TCP YourComputer: 5000
734 per rilevare il percorso dal vostro YourComputer: 0 LISTENING
computer locale all’indirizzo IP TCP YourComputer: netbios-
che avete usato nell’esercizio pre- ssn YourComputer: 0 LISTENING
cedente. Quanti passi sono neces- TCP YourComputer: 1110
sari? Alcuni computer elencati nel 216.239.57.147: http TIME_WAIT
percorso hanno indirizzi simili? UDP YourComputer: micro-
Potete anche determinare quali soft-ds *:*.
programmi siano in esecuzione suPuoi anche leggere
