Hacking, (tutti) i particolari in cronaca

Chi ha attaccato il sito di Punto Informatico? Che tecnica ha utilizzato? Quale vulnerabilità di sistema è riuscito a sfruttare? Cronaca di un attacco proveniente (pare) dal Brasile

Hacking, (tutti) i particolari in cronacaRoma - Chi ha colpito Punto Informatico? Chi ha colpito anche il sito del Ministero delle Comunicazioni e quello dell'Autorità per le TLC? Nelle ultime 24 ore abbiamo cercato di ricostruire quanto accaduto, anche per comprendere l'origine del "Grupo Sentapua" che ha firmato l'attacco al nostro sito e quelli ai due siti istituzionali.

Di informazioni su questo gruppo hacker ne abbiamo trovate pochine. Pare che fino a qualche tempo fa disponessero di un sito su www.sentapua.org e basta fare una ricerca su qualsiasi motore per individuare una serie di riferimenti, tutti facenti capo ad ambienti brasiliani. Al di là dell'analisi tecnica che, come si legge nella seconda parte di questo articolo, sembra confermarlo, gli aggressori al nostro sito e a quelli istituzionali potrebbero effettivamente essere di origine brasiliana, ipotesi sulla quale sta lavorando anche la Polizia Postale.

Di seguito diamo la cronaca dell'attacco minuto per minuto descritta da un esperto e seguita, nella pagina successiva, dall'analisi tecnica dell'aggressione.
"Dopo una prima occhiata al file di log credevo che a lavorare all'attacco fossero stati almeno in tre. Invece, analizzando i tempi con cui venivano inviati i comandi al server di Punto Informatico sembra proprio che gli hacker abbiano utilizzato uno script già pronto.

L'attacco è cominciato via WWW alle 15:41:20.

Lo script ha cercato tra i vari bug conosciuti di WindowsNT, tentando di forzare una serie di file per vedere se erano presenti e rispondevano.

Ad esempio, il primo link funzionante che hanno trovato è stato: /punto-informatico/scripts/tools/newdsn.exe. Da cui sono facilmente passati alla pagina di default di Internet Information Server (IIS) /samples/default.htm dove però l'accesso ai tools è consentito solo dal server stesso (localhost 127.0.0.1).

Senza scoraggiarsi, hanno allora provato con altre pagine e hanno trovato funzionante il link punto-informatico.it/_vti_inf.html che però non li ha portati da nessuna parte. Si tratta infatti di una pagina di info per le estensioni di FrontPage!

Lo script ha quindi setacciato altri file andando a cercare password o dati importanti per ottenere l'accesso al server. Era tutto protetto e le varie richieste hanno solo restituito errori.

Mentre era in corso la ricerca di dati sensibili sul server di Punto Informatico, gli hacker hanno cercato di capire quale fosse la pagina principale del sito provando le varie estensioni (htm,html,asp). A questo punto, sembrerebbe che gli hacker abbiano deciso di fermare lo script che non dava risultati soddisfacenti.

Non avendo altra scelta che rifugiarsi nel "fai da te", hanno cominciato a provare link digitandoli a mano e sbagliando anche nella digitazione! Addirittura, arrivano a cercare una directory inesistente: /aaa, forse un momento di nervosismo, o di meditazione.

Come farebbe chiunque quando un programma non funziona, fanno ripartire lo script alle 15:42:40, trovando qualcosa di buono in alcuni file .htr. Il problema però è che ancora non hanno in mano nessuna password che gli conceda l'accesso al sistema. Gli hacker allora decidono di controllare se sulla macchina è installato il perl, ma non c'è e allora provano con qualcosa di più difficile... ma le difese tengono.

Fanno ancora prove, inutili. Cercano di capire come funzionano le pagine Asp presenti sulla macchina di Punto Informatico, ma non ricavano nulla di interessante. Addirittura cercano sul sito di PI il file ratingsv01.html senza esito positivo e solo perché all'interno delle pagine del quotidiano, nelle dichiarazioni di intestazione (meta-tags), hanno trovato il link a RSAC: http://www.rsac.org/ratingsv01.html.

Presumibilmente stremati, ma certo lontani dall'arrendersi, hanno cercato di accedere anche al database di "backup" di WindowsNT all'indirizzo /winnt/repair/sam._. Fino a qui, dunque, sembra soprattutto una fase di studio.

Il vero attacco parte alle 15:44:45 da un indirizzo ip differente e riconducibile a hobbiton.org un sito che offre shell gratuite. Per eseguire l'attacco hanno usato il seguente comando impartito ad una pagina disponibile con l'applicazione di esempio di IIS:
Fname=hi &Lname= |shell("cmd+/c+ECHO +Alterado+por+Jambock +. +Grupo+Sentapua+. +sentapua@mail.ru+ ,+Amigos+: +Hadi-Cool+,+F3N1X+, +Hi-Neck+, +EPIL58+e+Kamikaze+ > C:\InetPub\wwwroot\index.asp")|,

Qui la home page di Punto Informatico viene sostituita con le parole inserite nel codice riportato dal log e quindi trasmesso al server dagli hacker. Una semplicissima ed efficace funzione! Si tratta di un vecchissimo tipo di attacco che ricorda, agli addetti ai lavori, il vecchissimo phf che si utilizzava sotto linux/apache per eseguire comandi in modo non autorizzato.

Dopo essere riusciti a "fare qualcosa" ma non ancora soddisfatti, hanno cercato di entrare ancora nel server tentando di attaccare insistentemente un altro file nella directory /cgi-bin/imagemap.exe.

L'ultimo attacco, forse dopo essersi messi l'anima in pace, l'hanno scagliato alle 16:25:33, utilizzando lo stesso metodo precedente ma cambiando il testo:

Fname= hi&Lname= |shell("cmd+/c +ECHO +I+am+ jambock,+I+ walked +modifying+ some+ Italian +sites +and+am +here+to+forgive+me +of+you+how+much+ to+the+attacks+to+the+ Italian+ domain+.+Before+ more+nothing +I+did+not+ have+politmca+ intention+to+attack+ some+sites+it. +I+am+not+ star+of+TV+to+be+ with+my+name+in+the+ top+of+sites...+E+I+thank +the+KatiaFlavia+ for+having+ opened+my+eyes. +It +forgives+for+the+bad +English+ but+English+it+is+ a+SUCKS+ and+the+USA+ is+an+EXCREMENT. +Brazilian+Hacker's +had+been+here!+ >c:\inetpub\wwwroot\index.asp")|,"

Un attacco durato 44 minuti in cui alcuni hacker hanno tentato di forzare IIS. Non sono stati registrati ulteriori danni. Gli indizi sono pochi ma riconducono a piste Sudamericane, anche se i computer utilizzati in Brasile potrebbero essere stati semplici "ponti" utilizzati per nascondere l'opera di qualche italiano! Ma.. . "C'e' ancora qualcosa che non quadra! L'ip della macchina da cui hanno fatto le prove non è un server e fa parte del RNP (Brazilian Research Network)." (continua)