Ai miei tempi si dormiva con la porta aperta

Dite la verità, avete mai sentito dire questa frase da qualche anziano signore, magari da vostro nonno?

Beh, se vi capitasse l'occasione di risentirla sappiate che potrete rispondere tranquillamente: "Anche oggi, nell'era di internet, la gente lascia tranquillamente la porta aperta".

Lo ammetto, si tratta del solito trucchetto linguistico usato come pretesto per trovare un buon titolo a questo mio nuovo post, in realtà naturalmente le porte aperte non sono quelle delle nostre case di cemento, bensì quelle del nostro rifugio di silicio, il nostro computer.

La BBC ha fatto una prova, ha lasciato un computer con Windows XP, preparato con una configurazione di default, ovvero quella utilizzata dalla maggior parte degli utenti, e lo ha collegato in internet per studiare la frequenza con cui questo computer veniva sottoposto a tentativi d'attacco da parte di programmi maliziosi, cavalli di troia, virus, spam bot, ottenendo tra l'altro risultati davvero sorprendenti.

A dire il vero io in questa indagine della BBC non ho trovato niente di nuovo, in realtà che Windows Xp sia un colabrodo è cosa risaputa, la storiella dei computer che a causa di Windows XP sono diventati "zombie" ed infettano la rete ed altri computer la sa anche il mio cuginetto di 10 anni, inoltre che ci siano troppi computer lasciati senza alcun tipo di protezione lo sanno anche i sassi; Mi correggo, direi che si tratta di cose risapute da chi, nel bene o nel male, è uno del mestiere o è comunque un utente smaliziato, l'utente normale invece sente parlare o legge spesso di queste cose, ma in realtà non non se ne preoccupa affatto e non fa niente per tutelare se stesso, il suo computer e soprattutto i computer degli altri, i quali sono esposti a rischi anche per colpa del suo comportamento negligente.

Il problema di fondo è una scarsa sensibilità su temi invece importanti quali la sicurezza e la protezione dei dati personali, in realtà se quell'utente "distratto" si soffermasse, anche solo un attimo, a pensare all'idea che "qualcun altro" possa avere il controllo del suo computer, possa utilizzarlo per pratiche non del tutto legali ed abbia accesso a "tutte le sue cose", forse inizierebbe a riconsiderare il suo punto di vista sulla faccenda.

D'altronde non conosco persone che per abitudine lasciano le chiavi di casa davanti alla porta, lo sportello della macchina aperto (magari con le chiavi sul quadro), che regalino in giro fotocopie della loro carta di credito e che raccontino a qualsiasi sconosciuto i fatti propri e degli altri.
Se incontrassimo una persona del genere nella vita di tutti i giorni diremmo che "gli manca qualche rotella" o che non è una persona "civile", eppure gli stessi comportamenti superficiali si ripetono ogni giorno su internet nell'indifferenza di tutti, conosco davvero tanti individui che, in buona sostanza, su internet adottano comportamenti pericolosi ed irresponsabili, che nella vita reale non adotterebbero mai, lasciando di fatto il loro computer in balia di qualunque malintenzionato.

Oggi la situazione è "leggermente migliorata" grazie anche al service pack 2 fornito dalla Microsoft ai suoi utenti registrati; Questo pack contiene, tra le altre cose, anche un firewall che ha "raddrizzato un pò" la situazione, anche se di certo non l'ha risolta.

Io invito le persone che ne "sanno un po' di più" a spiegare quali siano i comportamenti "errati" alle persone che invece sono meno smaliziate, inizierei a discutere della fondamentale importanza, se si usa Windows, di un buon firewall e di un buon antivirus, di quali siano comportamenti da "seguire" ed i comportamenti "da evitare", dell'uso di filtri antispam nella posta (per evitare di "cliccare" su qualsiasi cosa si trovi nella "posta in arrivo"), e di tante altre "piccole cose", che nel loro piccolo potrebbero aiutare a migliorare la sicurezza globale di internet.

Intanto, giusto per capire "di cosa stiamo parlando", diamo un'occhiata ai numeri che l'esperimento della BBC ha rivelato:

Se ogni ora uno scassinatore girasse intorno alla tua casa e manovrasse i lucchetti alle porte ed alle finestre per vedere se può riuscire ad entrare, sarebbe il caso di spostarsi in un luogo dove c'è un vicinato più tranquillo.

Ma mentre siamo tutti consapevoli che questo non dovrebbe accadere alla tua casa, probabilmente la stessa cosa sta accadendo a qualsiasi PC tu stia collegando alla rete.

Una ricerca del sito web di BBC News ha calcolato la scala dei pericoli che si pongono davanti all'utente medio della rete.

Per mezzo di un computer che funge da "honeypot" la BBC ha regolarmente tenuto traccia di tutti i potenziali attacchi via rete che ogni giorno colpiscono un PC con windows.

Traffico degli attacchi

Gli honeypots sono strumenti di informatica forense e sono diventati indispensabili per gli esperti in sicurezza dediti al monitoraggio del crimine on line. Essi sono utilizzati per raccogliere dati statistici sui tipi di attacco più popolari, per ottenere copie di programmi maligni, che sono i veicoli degli attacchi, e per ottenere una dettagliata conoscenza di come questi attacchi funzionano.

I software maligni che rastrellano il web confondono gli honeypots con i normali PC, per loro non c'è differenza, ma in realtà queste macchine utilizzano in background una serie di tools che tengono traccia di tutto quello che avviene all'interno del computer, quindi anche di tutti gli attacchi che il computer subisce dall'esterno.

Forse un'indicatore di quanto siano utili questi tools è dimostrato dal fatto che gli attacchi più sofisticati utilizzano programmi maligni in grado di riconoscere se il computer che hanno violato è un honeypot.

L'honeypot preparato dalla BBC era un PC standard sul quale girava un Windows Xp Pro reso il più sicuro possibile. Su questo PC è stato istallato un software chiamato VMWare che consente di "ospitare" al suo interno un altro "pc virtuale". Attraverso VMWare abbiamo installato un copia non protetta di Windows XP Home, configurata come un normale pc domestico.

VMWare è utile perché consente di mettere in pausa il "PC virtuale" e di tornare indietro ad una configurazione precedente. Questo si è dimostrato essenziale quando è stato necessario recuperare il sistema operativo dopo un attacco o un'infezione.

Questa macchina ospite, una volta armata del software forense, è diventata l'honeypot.

Quando abbiamo collegato questa macchina alla rete essa è stata, in media, colpita da un potenziale attacco ogni 15 minuti. Nessuno di questi attacchi è stato sollecitato da noi, noi ci siamo soltanto limitati a collegare la macchina ad internet, e questo è stato sufficiente a renderla un'obiettivo. Il più veloce di tutti è stato un attacco impressionante durato pochissimi secondi, e non sono mai passati più di 15 minuti, prima che l'honeypot ne registrasse uno nuovo.

La maggior parte di questi attacchi erano soltanto fastidi. Molti erano annunci di falsi prodotti di sicurezza che sfruttavano le vulnerabilità di Windows Messenger per far apparire messaggi di pop-up. Altri erano creati in modo da sembrare avvisi di sicurezza sfruttati per convincere le persone a scaricare file maligni.

Problemi seri

Tuttavia, almeno una volta ogni ora, in media, l'honeypot della BBC è stato colpito da un'attacco che avrebbe potuto rendere inutilizzabile il computer non protetto, oppure trasformare il computer stesso in una piattaforma per attaccare altri PC.

Molti di questi attacchi provenivano da worms come SQL.Slammer e MS.Blaster, entrambi apparsi per la prima volta nel 2003. Queste piattole allagano le connessioni di rete alla continua ricerca di nuove vittime, e rendono le macchine che li ospitano instabili.

Non si riesce di eliminarli perché questi worm fanno continuamente la scansione della rete e riescono a trovare in continuazione una nuova macchina vulnerabile da infettare a da usare come ospite alla ricerca di ulteriori computer vulnerabili.

Il loro impatto oggi è stato limitato perché Windows ora è fornito di un suo firewall abilitato di default e da patch pre-installate che bloccano l'attacco di questi due worm. Recentemente la Microsoft ha dichiarato di star ripulendo ogni giorno centinaia di PC colpiti da altre macchine infette.

Molti di questi worm furono lanciati da vari pc attraverso il network di una società Francese, ma altri provenivano addirittura da computer situati in Cina.

Ci sono stati anche molti tentativi di sondare l'honeypot della BBC per verificare quanto esso fosse vulnerabile. Una macchina craccata che si trovava in Brasile, così come gli uffici di una società di consulenza e contabilità situati in Indiana, hanno effettuato dei "port scan" sull'honeypot della BBC per verificare se ottenevano risposte che avrebbero rivelato la presenza di vulnerabilità.

Attraverso l'honeypot siamo stati in grado di vedere queste macchine mandare dati di test in sequenza alle porte fisiche, o alle porte virtuali sulla rete, che il PC aveva aperte.

Più raramente, una volta al giorno in media, sono arrivati attacchi via rete che cercavano di prendere il controllo dell'honeypot e consegnarlo nelle mani di un cracker.

Anche questi attacchi sono arrivati da tutto il mondo - molti ovviamente da altre macchine a loro volta craccate. L'honeypot della BBC è stato attaccato da un PC che si trovava nella sede di un'associazione umanitaria cinese, da un server Taiwanese e da molti computer situati in America Latina.

Attraverso il software forense installato sull'honeypot abbiamo potuto vedere i pacchetti trappola che questi bugs cercavano di far digerire al nostro povero computer che fungeva da esca.

Utilizzando particolari pacchetti dati, gli attaccanti sperano di far si che il PC avvii comandi che consegnino il controllo della macchina a qualcun altro.

Attraverso questo sistema i cracker entrano in possesso di computer da usare come botnet. Ovvero un grosso numero di macchine craccate poste sotto il controllo di un unico hacker maligno.

I botnet sono popolari per i crimini informatici perché possono essere sfruttati per svariati scopi. Ad esempio i computer resi "schiavi" e trasformati in bot possono essere usati per inviare e-mail a scopo di spam o di phising.

Oppure possono diventare il veicolo per un nuovo attacco di virus, o ancora possono essere trasformati in sistemi di memorizzazione dati distrubiti (su più macchine), per conservare una serie di dati illegali. Gli spammer, le bande dedite al phising e altri delinquenti, spesso affittano botnet per utilizzarli poi nei loro sporchi affari.

Troppo spesso un computer è finito sotto il controllo di qualcun altro, è stato installato in esso un keylogger per catturare informazioni su tutto quello che il vero proprietario fa - come ad esempio il login al suo conto bancario on-line.

Queste informazioni rubate vengono spesso vendute ad altri, in quanto sono pochi coloro che hanno i collegamenti criminali in grado di riciclare denaro rubato.

Martedì racconteremo quello che è successo quando abbiamo lasciato che l'honeypot fosse infettato da spyware, adware, virus e altri programmi maligni.

Fonte (inglese): BBC NEWS

La seconda parte, se mi ricorderò (o se me lo ricordate voi ) la vedremo in un futuro post.

EDIT: Qui potete leggere la seconda parte dell'articolo.

Leggi anche:

1. Ai miei tempi si dormiva con la porta aperta: parte 2
2. I miei primi sei mesi in compagnia di un pinguino (Kubuntu)
3. Red Hat sbatte la porta in faccia a Microsoft
4. Motorola produce cellulari con sistema operativo Linux, non compatibili con Linux!
5. Proprio vero che i tempi sono cambiati (in peggio).