Antonella Serafini: Allora, cominciamo a sfatare il mito dell’hacker criminale. Raccontaci lo scopo della nascita di zone-h .
Roberto Preatoni: zone-h sta ai black hat come don Mazzi sta alla droga. Sono tutti ragazzi molto giovani e con molto talento. Bisogna dare loro la possibilità di utilizzare in maniera lecita le loro capacità. Se viceversa li emarginassimo, continuerebbero a fare le cose sbagliate, a fare un uso sbagliato del loro talento. A differenza di chi lavora tradizionalmente nella sicurezza faccio largo uso di black hat pentiti o, meglio, riconvertiti. E la riconversione è avvenuta proprio tramite zone-h.
L’idea di “far fare i bravi” a ragazzi in gamba potrebbe suonare presuntuosa, ma zone-h è una bella palestra, dà l’opportunità di verificare le loro intenzioni. Molti vengono allontanati se si dimostrano male intenzionati. E tra questi, ovviamente, non tutti vengono riconvertiti, ed infatti il turnover degli operatori in zone-h è elevato.
AS: Tra le tue molteplici attività so che stai facendo corsi di hacking. Cosa insegni ai corsisti? Come si diventa hacker? In parole povere insegni i modi di attacco?
RP: La tipologia degli attacchi che possono essere portati a dei sistemi è vastissima, ma oltre alla pratica, noi facciamo capire che quello che va considerato è che non serve parlare di singoli attacchi o metodologie bensì bisogna insegnare gli “schemi mentali” usati dagli hackers quando approcciano un server da bucare .
Ovviamente noi facciamo vedere tantissimi esempi pratici ma lo scopo del seminario è di insegnare ad entrare in sistemi anche sconosciuti poichè si è appreso appunto il modo di pensare di un hacker. Hacker non ci si diventa, ci si nasce, ma se non lo si nasce ci si può avvicinare alla loro mentalità studiando appunto il modo in cui loro approcciano i problemi.
AS: Tu sei un “redento”?
RP: No, io non ho fatto mai il black hat. Ho 37 anni e quando io facevo qualcosa si parla di tanto tempo fa quando il crimine informatico non era nemmeno contemplato nel codice, quando internet ancora non esisteva . Hacking allora significava code cracking o nei migliori dei casi hacking di bbs.
AS: Spiega alle masse il vostro gergo. Cosa intendi per code cracking e per BBS?
RP: Allora, il code cracking è la sprotezione di programmi originali per poi rivenderli piratati. Allora era il tempo delle cassette in edicola del commodore 64. Io appunto sproteggevo quei programmi che venivano rivenduti come originali. Pirateria pura , solo che all’epoca non esisteva il reato.
Le BBS invece erano i bulletin board system e cioè il modo in cui degli appassionati si tenevano in contatto attraverso delle banche dati virtuali che erano connesse tramite rete telefonica, tutti collegati allo stesso server, nessun utente collegato direttamente.
AS: X-Box ora ha una taglia per “craccarla”. Questo per te è reato?
RP: Craccare X-Box non è un reato. Una volta che lo compri è tuo e ne fai quello che vuoi. Quando ti parlavo di persone male intenzionate, intendevo bucare server militari , governativi ecc. ecc. Insomma, cose un po’ più serie.
AS: Non credi sia importante il fine? Ti faccio un esempio: nel server del Ministero della Difesa sono nascosti dati che proverebbero scientificamente che l’uranio impoverito ha ridotto in stato pietoso i nostri militari. Eticamente trovi corretto o no, bucare queste macchine?
RP: Beh qui sfondiamo nell’ hacktivismo . Una cosa è il fine altra cosa è la legge. Purtroppo l’hacktivismo si avvale di pratiche illecite. Queste pratiche non possono essere usate neanche dall’autorità giudiziaria per ottenere materiale da assumere a prova.
Ti faccio un esempio: se mi connetto ad una qualsiasi rete P2P, con kazaa per esempio, ci metto 10 minuti ad identificare 10 pedofili italiani pero’ purtroppo il mio materiale e le mie prove non possono essere usate dall’autorità giudiziaria poichè appunto, raccolte con mezzi illeciti.
AS: Quindi…. “quando le leggi diventano ingiuste, i giusti diventano fuorilegge”! Faresti mai qualcosa di illegale a fin di bene sapendo che non ci sono mezzi alternativi per arrivare a certi scopi?
RP: Sì, lo farei, puoi anche scriverlo. Se potessi essere utile a qualche giusta causa lo farei.
AS: Ti fidi dei tuoi collaboratori?
RP: Ciecamente. Uno a caso? Goodboy. Se lo conosci è uno dei più low profile che io conosca. A lui oggi faccio fare lavori di elevatissimo profilo è una delle persone più affidabili che io conosca ed è molto giovane. Venti anni, più o meno.
AS: Cosa pensi di un deface fatto per proteste politiche?
RP: Penso che è “very effective”. Mi spiego: quando ero studente al liceo mi sono ritrovato in piazza in una manifestazione a gridare: “Yaruzelsky vaffanculo”. Dopo mezz’ora che ero fuori al freddo in piazza io ho chiesto ai miei amici: “Ma chi è Yaruzelsky?!?” Al che la polizia ha caricato ed io sono scappato perchè protestavo per una cosa che nemmeno conoscevo.
Se allora avessi avuto modo di accedere al sito web del partito politico di Yaruzelsky e, defacciandolo , appendere un proclama, la mia voce sarebbe stata udita da migliaia di persone contro le poche decine in piazza. Il tutto senza rischiare le cariche della polizia dal mio salotto con la birra nella mano destra ed il mio furetto nella sinistra;)
AS: Diciamo che la tecnologia offre alternative per manifestare
RP: ah sì, e con l’ UMTS ne vedremo delle belle.
AS: Un po’ di numeri di zone-h?
RP: Allora: 50 operatori provenienti da Italia, Pakistan, Olanda, Estonia, USA, Francia, Australia, India. Un archivio di crimini digitali di 420.000 records. Abbiamo prodotto da febbraio 2002 sino ad ora 36 advisories propri, 4600 persone in mailing list, 300.000 click al giorno.
Gli USA sono il nostro primo visitatore, anche se gli USA.gov e.mil totalizzano il 7,5% dei nostri click totali. Raccogliamo (stimo) un 95% dei defacements nel globo. Il restante 5% scappa sempre per cause diverse, tecniche e politiche.
AS: E un po’ di date?
RP: Il 2 e il 3 saremo a Roma, con un corso full immersion teorico e pratico. Non ci rivolgeremo solo a gente iperspecializzata, ma a tutti i comuni mortali. Il bello è proprio quello. Basta che tu sia un normale sysadmin. Lo scopo è di farti rendere conto con prove pratiche dei percorsi mentali degli hacker . Solo allora sarai in grado di renderti conto dello stato di vulnerabilità del tuo sistema. In ogni caso per informazioni potete sempre mandare una email sul sito di zone-h, oppure agli organizzatori del corso e poi chiedete.
Grazie mille, ci informeremo.
Da censurati.it a voi in studio:)
Antonella Serafini
di seguito il comunicato stampa di lancio del corso del 2-3 marzo 2004 “Hands on Hacking”
HANDS ON HACKING
02-03 marzo 2004
Comunicato Stampa
Uno straordinario corso di due giorni dedicato a tutti i security manager e agli amministratori di rete.
Lo scopo del corso non è solo quello di presentare passo dopo passo le tecniche solitamente usate dagli hacker ma anche quello di esporre i diversi approcci degli hacker verso la Sicurezza (pensiero laterale). Tutti gli esempi che mostreremo saranno rappresentati sia sulla piattaforma Linux che su Windows.
Il corso è rivolto a tutti gli operatori che vogliono capire e provare le tecniche usate dagli hacker. Questo corso non è rivolto solo agli amministratori di rete o ai security manager che vogliono “difendere” la propria rete aziendale dai possibili “attacchi” esterni, ma anche a giornalisti e a enti governativi. Se spesso vi chiedete “Come faranno ad entrare nei nostri sistemi?” questo è il corso che fa per voi.
Il corso è formato da una parte teorica (30%) e da una parte pratica (70%) e si terrà in una comoda aula provvista di tutti i supporti tecnici e logistici per affrontare gli argomenti trattati. In particolare ogni partecipante avrà a disposizione un computer con doppio sistema operativo (Windows/Linux) connesso in rete ed a Internet.
Il corso sarà tenuto in lingua inglese con traduzione simultanea in italiano.
Alla fine del corso verrà rilasciato a tutti i partecipanti un attestato.
ZONE – H TEAM
I relatori saranno:
SyS64738 e g00db0y sul fronte italiano e un docente russo sul fronte internazionale.
LUOGO DEL CORSO
Il seminario si terrà a Roma presso gli uffici della ConfCommercio.
ISCRIZIONE
Per partecipare al seminario è necessario compilare la scheda di partecipazione ed effettuare il pagamento. I moduli sono da richiedere presso gli uffici del Gruppo Active, in via del porto fluviale, 32
2 marzo
MATTINO (9.00-13.00)
– Introduzione generale alle problematiche relative all’hacking
– Strumenti per la raccolta di informazioni sul bersaglio (target) locali: scanners, fingerprinters etc. webobased: google, netcraft, visualroute etc.
– Raccolta informazioni su vecchie e nuove vulnerabilità
– Come proteggere la propria anonimità durante attività di hacking (shells, proxies)
– Rootkits
– Trojans
– Sessione live sulla raccolta di informazioni su vari targets
– Struttura tipica di un sito web. Enumerazione dei suoi singoli componenti e dei possibili punti vulnerabili
– Vulnerabilità in linee di comunicazione criptate (SSL)
– Vulnerabilità in firewalls e routers
– Vulnerabilità del webserver (Apache/IIS)
– Vulnerabilità a livello applicativi
– Vulnerabilità a livello database
– Cross site scripting
PoMERIGGIo (14.00-18.00)
– Cosa è un exploit?
– Introduzione all’utilizzo delle più note vulnerabilità in ambiente Linux
– SSH
– SSL
– Apache
– Altri
– Ogni studente deve passare tutti i test di live hacking (target proprietari)
3 marzo
MATTINo (9.00 – 13.00)
– Introduzione all’utilizzo delle più note vulnerabilità WINDoWS
– Frontpage extension
– Il sempre presente Unicode
– Altri
– Ogni studente deve passare tutti i test di live hacking (target proprietari)
– Attacchi ai database
– SQL injection
– URL poisoning
– Ogni studente deve passare tutti i test di live hacking (target proprietari)
PoMERIGGIo (14.00 – 18.00)
– Black box hacking session
– Hacking an unknown Windows system
– Hacking an unknown Linux system
– Hacking an unknown oS system
– Ogni studente deve passare tutti i test di live hacking (target proprietari)
– Aspetti teorici dei buffer overflow
– System patching
– Social engineering, tecniche e trappole psicologiche
– Telefonia UMTS, i pericoli e i punti deboli
Tutti i compiti di live hacking faranno parte di un concorso generale, alla fine del quale verrà proclamato il vincitore delle sessioni hacking.
Ciascuna sessione hacking rappresenta un caso reale inserito in un contesto che lega ogni esercizio di hacking con il successivo.
Al vincitore del concorso verrà assegnato un premio.
Ti potrebbe interessare
17 feb 2004