Hanno scelto con cura il periodo in cui colpire, e poi si sono scatenati contro alcuni dei più noti esperti di sicurezza (a loro volta hacker convertitisi al business delle consulenze) mettendone alla berlina le presunte competenze nel campo della sicurezza informatica . Sono hacker “black hat”, ed è appunto in prossimità della conferenza Black Hat di Las Vegas che hanno fatto cadere il loro maglio nei confronti di gente del calibro di Dan Kaminsky (noto per il suo lavoro sulla vulnerabilità dei server DNS ) e nientemeno che Kevin Mitnick , l’hacker statunitense più famoso (e processato) di sempre.
Per dimostrare il risultato delle loro gesta, gli ignoti cracker hanno distribuito un file di testo da 1 Megabyte e 29mila linee sulle mailing list dedicata alla sicurezza, sostenendo di essere riusciti a penetrare sistemi che si sarebbero creduti a prova di attacco. In quel file si è trovato effettivamente di tutto, e sempre a riguardo di Kaminsky il bottino comprende ricerche riservate su vulnerabilità di sicurezza ignote, comunicazioni personali in forma di email e instant messaging, nonché le password usate dall’esperto nella configurazione del suo sito (attualmente offline).
Per quanto riguarda Mitnick, poi, il consulente conferma che qualcuno ha fatto breccia nel suo sito dopo aver ottenuto l’accesso “root” alle macchine utilizzate dal suo host. In questo caso gli autori sarebbero però rimasti a bocca asciutta, avendo Mitnick l’abitudine di lasciare opportunamente fuori da Internet qualsiasi informazione sensibile o comunque riservata .
L’ex-ricercato numero 1 dell’FBI parla di “illusione di un senso di invulnerabilità” in riferimento alla debacle subita da Kaminsky, dicendosi “sorpreso che altri mantengano le proprie email e i dati di lavoro su un host aperto a Internet”. Tra i pezzi forti svelati dal crack c’è uno script in Perl per sfruttare il baco del DNS scoperto da Kamisky, e altro materiale dal valore persino superiore potrebbe emergere dal “carteggio” considerando che il ricercatore utilizzava attivamente i server del suo host come archivio di informazioni sensibili.
Per quanto riguarda il vettore specifico che ha permesso di mettere a segno gli attacchi, l’ipotesi al momento più accreditata parla di una possibile vulnerabilità zero-day in WordPress , software di blogging e CMS ampiamente utilizzato dagli individui e dalle organizzazioni interessate dall’accaduto. “È solo commedia”, commenta poi Kaminsky, raggiunto dalla notizia del crack mentre si stava preparando per una presentazione sui problemi di cifratura dello standard X.509.
A ulteriore riprova che la sicurezza in rete è una chimera irraggiungibile arriva anche la notizia dell’ennesima vulnerabilità di alto profilo presente nelle infrastrutture basilari di Internet, nella fattispecie nell’implementazione quasi standard per server DNS Bind 9 soggetta ad attacchi di tipo DoS nonostante il supporto a protocolli di sicurezza avanzati come DNSSEC (DNS Security Extensions).
“Un exploit remoto attivo è attualmente in circolazione”, conferma l’ Internet Systems Consortium che si occupa di supportare il succitato standard Bind, e gli amministratori di server sono caldamente incoraggiati ad aggiornare il sistema alle versioni 9.4.3-P3, 9.5.1-P3 o 9.6.1-P1 per mitigare (ma non inibire completamente) gli effetti pratici della minaccia.
Alfonso Maruccia