Interviste/Wappi.com l'ho hackato così

Parla l'hacker del gruppo Dutch Threat, il primo ad aver bucato un sito dedicato al Wireless Application Protocol. Lo ha fatto, dice, perché WAP non è un ambiente sicuro

Interviste/Wappi.com l'ho hackato cosìWeb - Nei giorni scorsi si è verificato quello che è stato considerato il primo hacking contro un sito WAP (Wireless Application Protocol); Stand By è riuscito ad ottenere una intervista con il membro del gruppo hacker olandese "Dutch Threat", De Meestervervalser, che ha "bucato" Wappi.com.

D: Hai colpito tu www.wappi.com? Perché lo hai fatto e come definiresti la tua azione?
R: Non è molto che colpisco siti internet. In precedenza l'ho fatto per catturare l'attenzione di chi li gestisce. Se trovo un webserver con dei problemi scrivo sempre all'amministratore. La maggior parte delle volte mi contattano e mi chiedono informazioni sui problemi che ho rilevato, e su come risolverli. Qualche volta non mi contattano e si limitano a risolvere i problemi che ho evidenziato.
In altri casi, quando hanno ignorato la mia email o quando mi hanno aggredito o trattato male, in genere ho fatto aspettare qualche settimana e poi ho colpito. Ho pensato che questo fosse il modo per svegliarli, nella speranza che in futuro sarebbero stati più attenti ai loro problemi di sicurezza.

D: Che risultati ottieni con questo "sistema"?
R: In realtà ho scoperto che colpire le pagine web non serve, perché dopo l'attacco i siti si limitano a chiudere il varco che ho utilizzato per colpirli, senza indagare sugli altri problemi di sicurezza.
Secondo me, se non vogliono consulenza gratuita allora vuol dire che non interessa loro alcunché dei problemi di sicurezza. Vuol dire che non vogliono avere un sistema sicuro. Ecco perché mi sono fermato: ora mi limito ad inviare una email segnalando i problemi e non mi fermo a vedere cosa fanno delle mie segnalazioni.
D: Perché allora hai colpito www.Wappi.com?
R: Circa due settimane fa ho mandato una email all'amministratore del WAPserver per riferirgli un problema di configurazione. La risposta è stata: "Occupati degli affari tuoi". E la mail conteneva anche un insulto, "ragazzino stupido e idiota". In realtà io mi ero occupato degli affari miei, mi ero preoccupato per i loro clienti (quelli che pagano per avere domini, per avere servizi di server) e non sono stupido.
Inoltre è venuto il tempo che la gente si svegli: il WAP è diventato molto popolare. La gente lo può usare per molti generi di transazione, ma un server WAP non è più sicuro di quanto possa esserlo un webserver.
In realtà per un utente WAP è molto più difficile che per utente Web capire se si sta connettendo al server a cui voleva connettersi oppure no. Si possono simulare dei server WAP, e si può comprometterne il funzionamento, con la stessa facilità di quanto si può fare con un server Web.
Volevo che la gente lo sapesse. Inoltre nessuno aveva mai colpito un server WAP prima di adesso, cosicché in molti ritenevano WAP un ambiente sicuro.

D: Perché hai lasciato una firma dopo l'attacco? Volevi dare un segnale? Lasciare una traccia?
R: L'ho fatto per far sapere all'amministratore di sistema chi è stato a bucare il suo server, così gli toccherà rimangiarsi l'email che mi ha mandato. E l'ho fatto anche per le persone che ci tengono a sapere se le loro transazioni via WAP sono sicure o no.

D: Sul piano tecnico, come sei entrato su quel server?
R: Ho usato una combinazione di elementi, che ho potuto utilizzare grazie ad una serie di errori di configurazione sul loro server, che fa girare Apache JavaServer su WindowsNT.

D: Ci puoi parlare di Dutch Threat? Fai parte di questa "hacking community"? Ho visto che alcuni siti in passato sono stati bucati da Dutch Threat, come dreamsdate4u.com, www.ndn.co.jp ed altri. Dutch Threat è un gruppo, quanti membri ha?
R: DutchThreat è un gruppo di persone interessate all'aspetto sicurezza. Si potrebbe definire un gruppo di hacker e phreaker. A tutti noi piace scovare e risolvere problemi software e hardware. Sistemare un problema è più divertente (e normalmente più difficile) che individuare le vulnerabilità di un sistema.
Il gruppo è formato da 8 membri, alcuni dei quali più attivi di altri.

D: Quindi questa non è la tua prima azione di hacking...
R: No.

D: Pensi di poterti definire "un hacker"?
R: Nella mia definizione del termine "hacker", io sono un hacker. Ma sono anche un cracker. Se trovo delle vulnerabilità su un sistema particolare, le sperimento su macchine in rete con le stesse specifiche che ho utilizzato per test in locale, per provare che si tratta effettivamente di bug.
Se trovo delle configurazioni errate su una macchina in rete, cerco di entrare su quella macchina prima di avvertire l'amministratore del sistema per verificare se il problema ci sia davvero. Ecco perché sono anche un cracker.

D: Come definiresti il termine "hacking"?
R: Una persona che sviluppa il proprio software o ambiente operativo, o qualcuno che cerca di migliorare i sistemi esistenti. Non sempre ha a che fare con la sicurezza, anche se invece è così la maggior parte delle volte.
Un cracker è invece qualcuno che entra o danneggia dei server, e può anche essere un hacker.
Poi c'è lo scriptkiddy, ovvero qualcuno che colpisce dei server ma utilizza tecniche, tool e strategie sviluppati da altri.

D: Hai ricevuto qualche plauso della comunità hacker per l'hacking su www.Wappi.com? Hai cercato questo plauso? Ti interessa ottenerlo?
R: Alcuni hacker e cracker mi hanno scritto. Tutti hanno pensato che sia stata un'ottima idea sollevare maggiore attenzione sui problemi di sicurezza in ambito WAP.

D: Temi di poter essere individuato e arrestato?
R: No. Chi gestisce la macchina non si è preso le sue responsabilità, in realtà è lui il responsabile. Non è stato fatto alcun danno, ho soltanto salvato i file modificati e il loro servizio è rimasto attivo. Credo che perderebbero se mi denunciassero.
Se sono "intelligenti", aspetteranno invece che qualcun altro entri nei loro sistemi e faccia bei danni, così da poterlo denunciare.
Io avrei potuto accedere anche al servizio di mail ma non ci ho neppure guardato dentro. Poiché non hanno ancora riconfigurato la sicurezza del server, anche le mail dei loro clienti possono essere lette pressoché da chiunque.. Spero che i loro clienti li denuncino per questo.

D: Perché hai accettato questa intervista?
R: L'ho fatto per la stessa ragione per cui ho bucato quel server: per ottenere maggiore attenzione sui problemi di sicurezza legati al WAP e ad internet in generale

Intervista a cura di Paolo De Andreis