Cinque postazioni dedicate e apparecchiature sofisticate per intercettare e decifrare codici misteriosi? No. Per attaccare (con successo) un computer, basta un notebook, una connessione internet, un po' di dimestichezza con l'informatica, qualche ora di tempo e, nei casi più difficili, alcune centinaia di dollari. E assumersi il rischio di essere scoperti (che nel nostro caso, a essere onesti, per fortuna non c'è). Assistiti da Antonio Forzieri, principal consultant Symantec Services Group (come dire uno che "ne capisce"), nella nostra giornata da hacker fai-da-te abbiamo verificato come sia effettivamente possibile "assaltare" una stazione informatica. Trovando tutto il necessario in rete. La (consenziente) vittima designata è l'avvocato Giambattista Causin, che per non farci mancare niente è esperto di diritto d'autore e di tematiche legate alla criminalità informatica. Dieci ore di lavoro sono state sufficienti per sottrarre importanti dati. Ecco come.
Ore 10:00 - La preparazione Il primo passo è decidere che tipo di intrusione vogliamo effettuare. Scegliamo di costruire una botnet Zeus, un famoso kit per costruirsi da soli un efficace strumento d'attacco. Sulla rete si trovano due tipi di kit, quelli gratuiti (un po' datati) e quelli a pagamento: per acquistarli può essere necessario entrare in contatto con vere e proprie organizzazioni criminali. La cifra richiesta varia tra i 700 dollari per il modulo base (ci fa spiare solo internet explorer) fino a superare i 3mila dollari (abbiamo il pieno controllo del computer attaccato). Ai nostri fini utilizzeremo il kit gratuito, perché la macchina attaccata non ha software di protezione aggiornato. Il nostro kit è composto da tre parti: un pannello di controllo (attraverso il quale verificare in seguito quali informazioni siamo riusciti a sottrarre); un builder (un file eseguibile che ci consente di costruire lo strumento di attacco vero e proprio); alcuni file di supporto. Bene. Abbiamo tutto.
Ore 11.55 - Il complice inconsapevole Per il nostro attacco, abbiamo ora bisogno di trovare un portale web che sia "vulnerabile" e che ci "ospiti" senza saperlo. Per questa operazione utilizziamo una "web shell" che permette di eseguire comandi su un server (magari quello del vostro ufficio) quasi come se fossimo seduti di fronte allo schermo. Anche le web shell si trovano già pronte online, sia gratuite sia a pagamento (il prezzo oscilla da 1 a 5 dollari). Includiamo la nostra web shell su un portale vulnerabile che già conosciamo (in ogni caso è possibile acquistare le credenziali amministrative di un portale compromesso sborsando poche decine di dollari) e installiamo il pannello di controllo.
Ore 13.30 - La configurazione In questa fase dobbiamo configurare il nostro «fulmine» con cui sferreremo l'attacco. Il kit ci fornisce un file di testo modificato grazie al quale potremo anche indicare ogni quanto tempo dovrà inviarci le informazioni. La regola è semplice: meno rumore fai (ovvero meno frequentemente trasferisci dati dal computer della vittima al tuo) meno rischi di essere scoperto. Generiamo e configuriamo tutto: raccontarlo è molto più complicato che farlo. Tutto viene portato a compimento con pochi click, seguendo passo passo le istruzioni.
Ore 15.00 - La trappola Qui, se volete, comincia la parte più divertente. Perché dobbiamo escogitare un sistema per far abboccare la nostra vittima (il nostro avvocato) e infettare il suo computer. Andremo a caccia di una componente essenziale per violare con successo un computer: l'errore umano. Qui la tecnologia può fare poco e neanche i dollari. Ci affidiamo alla statistica: i report della Symantec ci spiegano che i file di cui più si fidano gli utenti sono i Pdf. Abbiamo un grande complice: la pigrizia che spinge spesso a cliccare sui messaggi d'errore senza prestare attenzione. E la convinzione di molti utilizzatori di doversi "proteggere" poco perché «tanto sul computer non ho niente». Insomma, dobbiamo spedire un file Pdf al nostro avvocato da un indirizzo email che ritiene "sicuro", farglielo aprire, e infettare il suo computer. L'operazione avviene in due tempi. La prima è realizzare il file Pdf infetto. La seconda fase (siamo in piena "ingegneria sociale") richiede un intervento personalizzato. Inviamo una mail alla vittima in cui alleghiamo la documentazione relativa alla presentazione di una pratica (annunciata telefonicamente). Ovviamente, data la confidenzialità della documentazione, il file Pdf è protetto da password (questo ci consente di bypassare gli strumenti di rilevazione antivirus). Invieremo la password con una seconda mail. Ora non sapremo mai se l'avvocato Causin si sarebbe comportato allo stesso modo se non avesse saputo della simulazione. Fatto sta che dopo aver avuto accesso al file Pdf, non siamo entrati in possesso del suo computer.
Ore 16.00-18.30 - L'attesa e il bottino Ci mettiamo in ascolto. Abbiamo indicato al nostro amico Zeus di inviarci i dati ogni dieci minuti. Aspettiamo. I primi ad arrivare sono le credenziali per accedere a facebook e gmail (c'è proprio tutto, ve l'assicuro). A fine giornata anche alcuni dati più sensibili: numero di carta di credito e relativi codici di sicurezza. Che cosa ne facciamo? Non potendo utilizzare altrimenti i nostri dati (proprio con lui, poi, non sarebbe il caso) proviamo a vedere che mercato c'è per un'eventuale vendita. Molti cracker utilizzano i canali dei server Irc (le chat, praticamente). Sono canali che hanno una limitata visibilità in rete perché non vengono indicizzati dai motori di ricerca come google. Ovviamente, hanno un tasso di natalità e mortalità elevatissimo, con un tempo di vita medio per canale che va da pochi mesi a qualche giorno. Le schermate sono un po' d'altri tempi, colori sgargianti e scritte che si ripetono sullo schermo pubblicizzando elenchi pieni zeppi di email per spam, numeri e credenziali di conti correnti e molto altro. Per fortuna, sono degli altri, perché noi, sul nostro computer, non abbiamo niente.