Sentiamo parlare di
hacking ogni giorno, ma ci sono individui davvero vulnerabili? Sophie
Curtis si è offerta volontaria per scoprirlo
Che tu sia una nazione o un cittadino, la cyber security è
in continua crescita: nuovi attacchi o violazioni di dati emergono ogni giorno e
le informazioni personali vengono esposte o perse, dai dati bancari alle foto
private. Ma la minaccia di essere hackerato è qualcosa di cui abbiamo veramente
paura? E se qualcuno entrasse nel tuo computer, cosa potrebbero essere capaci
di fare con le informazioni che trovano?
Durante l’estate ho deciso testare su me stessa. Sono
entrata in contatto con l’ “ethical” hacker (hacker etico) John Yeo, che lavora
per la ditta di cybersecurity Trustwave e gli ho chiesto di hackerarmi.
Il lavoro di un ethical hacker è quello d eseguire test di
“penetrazione” per le compagnie. Ciò significa che assume il ruolo di un vero
hacker e usa gli stessi strumenti che
veri hacker usano per cercare di entrare nei sistemi dei computer di una
compagnia per identificare le vulnerabilità. L’ethical hacker espone ala
compagnia quello che ha trovato così che le vulnerabilità vengano sistemate
rima che un vero hacker le scopra e le sfrutti.
Hackerare una persona è diverso e John mi ha avvisata che il
tentativo potrebbe non avere successo. Sapevo che stava arrivando quindi ci
sarebbe stata più attenzione nell’aprire mail sospette. Mi ha anche spiegato
che la maggior parte degli hacker “libererebbe i cani” e attaccherebbe più
persone in una sola volta piuttosto che attaccarne una sola, per avere più
possibilità di successo. Tuttavia, ha detto che lo avrebbe fatto.
Il 24 luglio ho firmato un’esenzione in cui dichiaravo che
l’hackeraggio si sarebbe svolto a mio rischio e che sarei stata l’unica
responsabile per qualsiasi danno. Dopo di ché, tutto si è svolto
tranquillamente e io ho condotto la mia vita normalmente; John e il suo team di
ethical hacker negli SpiderLabs della Trustwave hanno iniziato a cercare su
Internet qualsiasi informazione potessero trovare su di me.
Ciò voleva dire identificare ogni account di social network,
ogni account mail e ogni servizio online a cui ero iscritta. Non c’è stato
alcun tentativo di irrompere in uno qualsiasi di questi account, inizialmente,
ma semplicemente di trarre più informazioni possibili e ricostruire u profilo
di chi ero.
Avendo scritto molto sulla cyber security negli ultimi anni,
sono contenta di dire che molti dei miei account sono protetti. Il mio Facebook
ha alte impostazioni di sicurezza: quasi niente è visibile a chi non è nella
lista degli amici e nessuno che non sia almeno “l’amico di un amico” può
inviarmi una richiesta.
Ciò significa che gli hacker avevano poche speranze di
arrivare a me in quel modo. La maggior parte poteva scoprire i nomi dei
componenti della mia famiglia e del mio fidanzato, così come la scuola,
‘università e le compagnie per cui ho lavorato in passato.
Ma poi hanno usato un particolare sito di alberi genealogici
per verificare i miei dati di nascita, inclusi la data del mio compleanno, il
nome di mia madre e il nome di mio padre e anche il mio nome completo.
Sono riusciti a scoprire il mio indirizzo mail di lavoro
attraverso Twitter, così come alcune mie recenti localizzazioni e il nome di
una serata sociale insieme ad altri giornalisti. Dagli oggetti sullo sfondo in
una delle foto che avevo postato su Twitter, sono stati capaci di scoprire
quale cellulare usavo e il fatto che il mio ragazzo era abituato a fumare
sigarette fai-da-te (era in una vecchia foto), così come il fatto che gli piace
andare in bici.
Benché questi dettagli sembravano essere senza conseguenze,
hanno tutti aiutato gli hacker a costruire un profilo di chi sono così che
quando sarebbe arrivato il momento di lanciare un attacco, lo avrebbero potuto
rendere il più personale possibile.
La prima volta che gli ethical hacker hanno cercato di
entrare in contatto con me, era il 9 settembre. Ho ricevuto una mail da un
account chiamato “Ricardo Almeida” in cui chiedeva di incontrarci durante la
settimana. Ho ignorato la richiesta; tuttavia, approcciare un giornalista in
quel modo ha buona possibilità di riuscita.
Non di meno, più tardi ho scoperto che la mail conteneva una
piccola immagine (1px per 1px). Questo è stato il primo tentativo del’hacker di
lasciare un’impronta nel mio computer. Lo scopo era quello di identificare
quale sistema operativo era supportato dal computer, così come quale browser
usavo, quali applicazioni avevo e quale software di sicurezza proteggeva il mio
dispositivo.
Normalmente, quando una mail contiene un’immagine, il mail
client del ricevente deve contattare il server mail del mittente per avere
l’immagine. È stata questa l’occasione in cui gli hacker avrebbero potuto porre
un’impronta sul mio computer. Tuttavia, Gmail lavora diversamente: è Google che
contatta il server mail e recupera l’immagine. È stato, quindi, un tentativo
senza successo.
Il tentativo successivo c’è stato il 12 settembre. Questa
volta gli hacker hanno creato una mail che appariva come una richiesta, da un
altro giornalista del Telegraph, di connettersi a Linkedin.
Ammetto che Linkedin è uno dei social network in cui accetto
richieste anche se non conosco le persone che le inviano. Senza pensarci, ho
cliccato “conferma di conoscere Rachel”. Non la conosco, perché non esiste. Mi
sono comportata nello stesso modo di milioni di altre persone ogni giorno. La
richiesta è tornata agli hacker e loro hanno potuto lasciare un’impronta sul
computer.
Più tardi ho scoperto che, se anche avessi cliccato
“cancella”, sarebbero stati capaci di lasciare l’impronta nel computer nello
stesso modo. Tutto quello che dovevo fare era interagire con la mail.
Gli ethical hacker non erano pronti a lanciare il ro
attacco. Avevano raccolto abbastanza informazioni su di me da risorse pubbliche
e avevano un profilo sul mio computer così sapevano come costruire il malware
che poi lo avrebbe infettato.
Visto quel che sapevano, potevano andare sul personale
usando le informazioni sulla mia famiglia o sul mio fidanzato. Invece, decisero
di fare appello al mio istinto di giornalista.
Hanno creato una mail, che ho ricevuto il 30 settembre, dove dichiaravano
si essere membri di un gruppo attivista mondiale che aveva ottenuto dati
confidenziali dal governo del Regno Unito. Dissero di stare lavorando con
alcuni giornali di Stati Uniti, Germania, Italia, Francia, Brasile, Argentina e
Sudafrica per rubare documenti e mi invitavano a diventare un canale rimario
per la divulgazione pubblica di The Telegraph.
Si riferivano alla mail di Ricardo Almeida, dichiarando che
fosse l’alias di uno dei loro collaboratori. Dissero anche che i documenti
sarebbero stati rilasciati il 3 ottobre 2014, dando un certo senso di urgenza.
Dissero di aver allegato un piccolo estratto del documento, il
quale era compresso e crittato con una potente password rispettivamente per
ridurre la dimensione del file e aumentare la sicurezza della loro
comunicazione. Aggiunsero che, se accettavo di pubblicare un articolo in
accordo con la loro data di rilascio mondiale, mi avrebbero inviato il
documento completo con i relativi file.
L’allegato sembrava essere un .rar file che necessitava, da
parte mia, il download d uno strumento chiamato WinRAR per scaricare i file.
Includevano anche brevi istruzioni per fare il download del file su Windows.
Quando ho ricevuto la mail, la campanella si allarme ha
suonato. La storia sembrava messa su e il fatto che fosse un rar file mi
insospettiva. Tuttavia, l’enfasi del mittente sul bisogno di sicurezza sembrava
corrispondere con quello che avevo sentito da collaboratori in passato e una
arte di me pensava che se fosse stato reale e lo avessi ignorato me ne sarei
pentita.
Decisi di aprire l’allegato sul mio laptop a casa piuttosto
che rischiare che un hacker entrasse nel corporate network del Telegraph.
Quella sera, quando andai a casa, scaricai WinRAR (un programma perfettamente
legale) sul mio laptop Windows e scaricai l’allegato. Quando cercai di aprirlo,
sembrava non aprirsi ma era troppo tardi: erano entrati nel computer e avevano impiantato
un “remote access trojan” (trojan di accesso remoto).
Windows Defender sul mio computer, stavolta, andò in tilt e
iniziò a invadermi con messaggi di errore. Certo, realizzai cosa era successo e
iniziai una scansione virus. Un paio di file vennero segnalati, così li
cancellai ma non fece alcuna differenza.
Per provare di essere entrati, gli hacker fecero uno
screenshot del mio account Gmail che n quel momento era aperto.
Inoltre, accesero la webcam e scattarono una foto di me.
Da quel momento, gli hacker avevano completo controllo
amministrativo del mio laptop. Non solo potevano vedere tutto ciò che facevo
sul computer ma controllavano anche il computer: aprivano applicazioni,
browser, scaricavano cookies, controllavano la fotocamera e il microfono ecc.
Poiché erano ethical hacker, a questo punto si fermarono.
Per un vero hacker, questo sarebbe stato solamente l’inizio. Avrebbero potuto
controllare il mio computer per giorni o settimane, guardando tutto ciò che
facevo: potevano installare un keylogger
registrare ogni password digitata su ogni sito che visitavo; potevano
leggere le mie mail e ricavarne copie del mio passaporto che avevo inviato al
mio avvocato quando comprai un appartamento l’anno scorso; potevano osservarmi
mentre ero connessa al mio computer di lavoro tramite il network e controllavo
i file al suo interno.
Anche se riavviavo il computer, cosa che feci, il malware
che avevano installato avrebbe richiamato i sistemi degli hacker una volta
riacceso, dandogli controllo remoto ancora una volta.
Non c’è bisogno di dire che mi sentii abbastanza stupida
quando rincontrai John questa settimana. Mi parlò di ciò che avevano fatto. Mi
rassicurò che sono abbastanza difficile da attaccare.
Nella maggior parte dei casi, mi disse, gli hacker sono
stati capaci di raccogliere dati personali sui propri obiettivi durante le fasi
iniziali, prendendo dati dai social network. Non sono stati capaci di ottenere
il mio indirizzo mail, solo quello di lavoro, che avevo condiviso con alcune
persone su Twitter, e non hanno potuto avvicinarsi al mio account Facebook,
dove si trova la maggior parte dei miei dati personali.
Ciò non cambia il fatto che io, che dovrei conoscere bene la
situazione, sono stata hackerata. È una storia mitigata solamente dal fatto che
è apparentemente qualcosa che potrebbe succedere a ognuno di noi con quel poco
che può veramente essere fatto per prevenirlo.
Leggi i cinque passi di Trustwave per mantenere la
sicurezza online
- Così come alcuni commentatori dalla mente più tecnica hanno dedotto, quello che sembrava essere un .rar fil era, di fatto, un file .exe mascherato da file .rar. Il malware era, quindi, designato per non essere identificato da nessun programma antivirus mainstream
- John Yeo spiega: “Il malware era d’abitudine eseguibile con numerosi meccanismi opposti “reverse-back” che offrivano accesso remoto su qualsiasi sistema. C’erano tre meccanismi diversi di connect-back dentro per migliorare la probabilità di stabilire un canale di comando/controllo dal computer della vittima
- “Il malware eseguibile aveva l’icona cambiata per sembrare un PDF con un lungo nome per camuffare la sua vera natura”
- Il malware era “impacchettato” per aiutare ad evitare di essere trovato e, quando veniva eseguito, un innocuo messaggio mostrava un errore che suggeriva che il PDF era corrotto; nel frattempo il remote access trojan stabiliva un canale di controllo/comando nel nostro sistema.
- “Finalmente, il malware è stato inviato dentro a un archivio di RAR crittati per assicurare che sia arrivato nel recipiente previsto, il fatto che sia crittato lega col pretesto del bisogno di proteggere una perdita degna di nota”
Fonte: The Telegraph
http://www.telegraph.co.uk/technology/internet-security/11153381/How-hackers-took-over-my-computer.html
Nessun commento:
Posta un commento