QUANTO E FACILE
Uno strumento di attacco informatico molto famoso è il DoS (Denial of Service), ovvero il rendere in qualche modo inattivo un servizio realizzato dalla vittima. Per esempio, è possibile “mandare giù’ un sito Web bloccando l’accesso da parte degli utenti, con conseguenze anche economiche a causa della perdita di visite e clic (il sito può vendere meno pubblicità). Ci si potrebbe chiedere, però, quale profitto un malintenzionato possa ottenere da un attacco Denial of Service. Un DoS consiste nel saturare un certo sito di richieste in modo da non renderlo raggiungibile (un po’come quando abbiamo due computer in casa che stanno caricando un filmato su YouTube o scaricando dal file sharing e notiamo che il terzo computer non riesce nemmeno ad aprire una pagina Web). È, fondamentalmente, puro vandalismo e non si può ottenere un profitto da un attacco DoS. Almeno non direttamente. Un attacco di questo tipo può mettere fuori uso grandi reti di computer e per tale motivo viene spesso usato per danneggiare un’azienda o, a volte, un intero paese dittatoriale. Qualche anno fa alcuni membri di Anonymous avevano minacciato la Corea del Nord suggerendo che se il paese dovesse avviare una guerra atomica, allora i cracker manderanno in tilt i principali server nordcoreani, paralizzando di fatto tutte le comunicazioni del paese. Ci sono anche diversi casi, più o meno ufficiali, in cui Cina e Stati Uniti si sono scontrati su campi di battaglia telematici. Insomma, se abbiamo assistito alla guerra di posizione e alla guerra fredda, ora stiamo assistendo alla guerra informatica!
L’era della cyber guerra
Possiamo dire che dal punto di vista storico, probabilmente il 1900 verrà ricordato proprio come il secolo che ha portato alla modifica dei conflitti da guerre di campo a episodi di trincea, conflitti “freddi’e infine telematici. Del resto ricordiamo che l’informatica è nata con le guerre, per la precisione con la seconda guerra mondiale, perché gli inglesi avevano bisogno di calcolatori potenti per decifrare le comunicazioni segrete tedesche. Tornando alla
questione del DoS, come riesce il pirata ad eseguire un attacco di questo tipo? La realizzazione è a dir poco banale: basta inviare molti pacchetti Internet al server che si vuole mandare in tilt Esistono diversi modi per farlo, ma il più facile di tutti è usare dei pacchetti ICMP (quelli inviati dal comando ping per controllare che un sito esista). È un metodo molto comodo perché il comando ping esiste sia su sistemi Windows sia Unix, e quindi il cracker può essere certo di trovarlo sul sistema infettato. Se il pirata ha attaccato un sistema Windows userà uno script batch di questo tipo:
- Beginning
ping -n 1 www.sitovittima.it GOTO Beginning
Se invece ha infettato un sistema Unix, potrà sfruttare questo altro script:
while true do
ping-cl www.sitovittima.it done
In entrambi i casi verrà eseguito un ciclo infinito che ad ogni iterazione invia un pacchetto ICMP.
Un DoS distribuito
Bisogna comunque considerare che ormai i moderni server Web sono in grado di gestire molte più richieste di quante un singolo computer sia in grado di rivolgergli. Per questo motivo il pirata usa una botnet in questo modo avrà tanti computer a disposizione per inviare richieste al server che vuole mettere KO. Questa tecnica viene detta Distributed Denial of Service (DDoS), ovvero negazione del servizio distribuita. Il DDoS ha anche un altro vantaggio per il criminale: se le forze dell’ordine dovessero riuscire a identificare gli indirizzi IP dai quali è partito l’attacco, non sarebbero comunque in grado di capire quale di questi è il vero cracker e quali invece sono solo ignare vittime della botnet
IL GRIMALDELLO VIRTUALE PREFERITO DAI PIRATI
Per un “professionista” che voglia davvero lanciare un attacco DoS o DDoS lo strumento più affidabile è probabilmente il programma TorSHammer . Il vantaggio di questo tool è la sua capacità di lavorare attraverso la rete Tor, rendendo dunque più difficile l’individuazione dei computer
TorSHammer può essere installato, senza eccessive difficoltà, anche sui computer di una botnet ed è capace di inviare molti pacchetti. È importante sapere che gli attacchi DoS sono molto rischiosi per un pirata, sia perché possono risultare poco fruttuosi se i pacchetti inviati non sono abbastanza.
sia perché è piuttosto facile per le vittime e per gli operatori telefonici individuare il responsabile dell’attacco. Soprattutto se si usano strumenti privi di ogni protezione come i programmi LOIC, HOIC, e XOIX. TorSHammer è l’unico, tra i vari programmi per il DoS, che offre una minima forma di protezione per il pirata.
Che cos’è una botnet…
Ecco perché, sempre più spesso, le cronache parlano di botnet, cioè delle reti di computer controllati da un malintenzionato. Quello che succede, in pratica, è che il pirata ottiene il controllo completo sui PC che è riuscito ad infettare con un particolare malware di sua invenzione (chiamato “programma bot“) e può inviare loro dei comandi oppure ottenere da essi informazioni.
Gli obiettivi possono essere fondamentalmente due: il primo è riuscire a rubare dati sensibili (numeri di carte di credito, password, ecc..) dai suoi bot (detti anche zombie o slave). In questo caso vengono infettati pochi bot per volta, per comodità del pirata (che è anche detto botma-ster).
L’altro obiettivo può essere quello di sfruttare tanti computer bot per eseguire operazioni illegali in modo da amplificare l’effetto: è il caso, ad esempio, del Denial of Service subito da Spamhouse (se ad inviare pacchetti fosse stato un solo computer non ci sarebbero stati problemi).
La costruzione della botnet avviene in due fasi: una preparativa e una pratica. In quella preparativa, il cracker scrive un programma che gli consente di avere il controllo su un computer qualsiasi: questo programma bot deve poter comunicare con il pirata (e viceversa), quindi la soluzione migliore è usare una rete IRC.
E’ una chat molto facile da usare, quindi il cracker può decidere di collegarsi al programma bot tramite IRC come se si trattasse di una normale persona. Successivamente deve fare in modo che il programma si installi nel computer di una vittima (per esempio inviandoglielo via e-mail come allegato).
Infine può avviare contemporaneamente i programmi DOS su tutti i PC della botnet e dare così il via al suo attacco verso il server vittima.