il programma netscan
adv

Furto dati: Esistono svariate tecniche di accesso fraudolento ai dispositivi informatici con obbiettivo furto dati. Esse si basano su trojan e malware, installati con applicazioni “poco affidabili”, ma anche su metodi meno invasivi come gli attacchi man-in-the-middle. Gli smartphone sono spesso i bersagli più facili

Sebbene ne utilizziamo più le applicazioni che la funzione di conversazione verbale, sovente tendiamo a considerare i nostri smartphone più come telefoni che alla stregua di computer.

Tale atteggiamento presta il fianco ad attacchi da parte di “utenti malevoli” che, sfruttando un certo livello di ingenuità dell’utilizzatore medio, possono fare breccia nelle difese del sistema e carpire i tanto bramati dati in esso custoditi.

Un esempio concreto può aiutare a comprendere come certi eventi avvengano e, magari, a rendere la minaccia più tangibile e vicina di quanto spesso la consideriamo, almeno finché non ne si diventa vittime in prima persona.

Ambientazione

Uno scenario comune vede un evento pubblico o una serata in un locale con una rete wi-fi libera, chiunque può connettersi.

Si scattano e condividono foto, si aggiorna lo stato sui social network, si chatta con gli amici, si cerca con il gps il percorso migliore per tornare a casa. Tutte queste operazioni contengono una miniera d’oro di informazioni per chi spia.

L’uomo nel mezzo

Esistono dispositivi miniaturizzati, rogue access point, già dotati di tutto il necessario per analizzare il traffico di rete. Sono, sostanzialmente, degli hot-spot che ripetono il segnale del wi-fi, sfruttano la connessione automatica dello smartphone facendo sì che questo si agganci ad essi. L’utente continuerà, così, a navigare ma il flusso dati farà una piccola deviazione, passando sotto attenti occhi indiscreti. Questi potranno, così, essere copiati per analisi future.

Wifi Pineapple è un esempio di questo tipo di apparecchiature: progettato per analisi di rete o per i così detti white hat hacker (hacker etici che studiano le debolezze dei sistemi al fine di aiutarli a diventare più sicuri), esso viene poi, come spesso accade, abusato per scopi che vanno al di là delle buone intenzioni originali.

L’attacco Man in the middle viene chiamato così proprio perché un osservatore estraneo si pone nel mezzo della connessione tra client e server e, con appositi strumenti come, ad esempio, Wireshark, può analizzare i pacchetti che vengono scambiati e magari inserirsi nel flusso.

Considerando come caso un evento di login ad una pagina web, con Wireshark è possibile filtrare i pacchetti e visualizzare quelli inerenti al protocollo http e trovare il pacchetto relativo all’evento desiderato.

Aprendo tale pacchetto, potrebbero essere visibili le credenziali precedentemente inserite. I dati possono essere in chiaro o criptati (e.g.: https) ma, se l’elemento indesiderato si è frapposto tra l’utente ed il server, proponendo le sue interfacce per farlo interagire, in ambo i casi sarà sicuramente in grado di recuperarli.

Scansione della rete

Un tool di scansione della rete può consentire di vedere i dispositivi connessi con relativi indirizzi IP, ne esistono di gratuiti come Zenmap.

Una volta individuato, in tal modo, un possibile bersaglio, magari scegliendo in base al sistema informativo utilizzato o alla marca, uno scan approfondito rivelerà informazioni più dettagliate come la versione del sistema operativo, i servizi che utilizza, etc.

Fatto ciò, è sufficiente eseguire una ricerca on-line per trovare le vulnerabilità note del sistema vittima ed eseguire quello che è chiamato exploit per accedervi. Il tutto è ampiamente documentato su internet.

Jailbreak e Root

Il jailbreak per i dispositivi Apple, così come il root per i dispositivi Android, è una procedura che consente di accedere al dispositivo con i permessi di amministrazione. Lo scopo in origine era lo “sblocco” del telefono in situazioni come l’acquisto di uno smartphone in un paese estero, oppure di un dispositivo branded, che poteva essere usato solo con la SIM card dell’operatore che l’aveva marchiato.

Attualmente si usa per lo più al fine di rimuovere le restrizioni software imposte dalle case produttrici, il tutto per consentire di installare dei software e pacchetti di terze parti non autorizzati, gratuiti, o per consentire di rimuovere applicazioni non utilizzate, presenti di default nel sistema ma che occupano solo memoria e degradano le prestazioni del prodotto.

Gli smartphone così trattati aprono alla rete delle “porte”, ossia il dispositivo, precedentemente sordo a chiamate da alcuni programmi, si mette in ascolto per accettare comunicazioni che seguono diversi protocolli, creando, così, una possibile backdoor, una debolezza di fatto che consentirà al malintenzionato di fare breccia nel sistema.

Per capire quanto questo fenomeno possa essere esteso e, quindi, la mole di dati potenzialmente a rischio, basti pensare che tale procedura è stata resa pubblica nel 2007 e, secondo Cydia, il centro di app non ufficiali più utilizzato dagli utenti Apple, solo nell’agosto dell’anno successivo già il 10% dei dispositivi iPhone ed iPod in circolazine era stato jailbroken.

Considerando il trend in crescita di tale pratica e sommando a questi i meno monitorati dispositivi Android, il totale costituisce un lauto banchetto per i ladri di dati.

SSH

Un esempio concreto di apertura all’ascolto causata dal jailbreak e del danno che ne può derivare è la porta 22 del protocollo tcp e udp: l’ssh.

Il Secure SHell è un protocollo di connessione remota cifrata che funziona tramite riga di comando, viene usato, sia per i PC che per gli smartphone, per operazioni di amministrazione.

Lo IANA, organismo che assegna gli indirizzi IP e le porte di comunicazione agli applicativi, rende noto che, per default, il servizio che accetta questo tipo di connessione è in ascolto sulla “porta” 22.

La connessione è cifrata e richiede nome utente e password per garantire l’accesso ma, anche qui, i valori di default sono noti: per iPhone l’utente è root e la password alpine.

A questo punto, a meno che l’utente sia a conoscenza del servizio attivo ed abbia cambiato la password, sempre collegandovisi via protocollo ssh, l’intruso è entrato nello smartphone come amministratore di sistema, con libero accesso a tutto il contenuto.

Conclusioni

Uno dei motti più diffusi in materia di sicurezza informatica è che non esistono sistemi sicuri; il concetto di sistema inviolabile è da associarsi a quello cinematograficamente più familiare della nave inaffondabile, in quanto, più un sistema è complesso, più è facile che ci siano errori nella sua progettazione o nel suo sviluppo.

A questo si aggiunge la capacità di chi, magari per mestiere, si occupa di informatica e vuole sfruttare le proprie competenze a scapito di utenti medi, che non sempre sono in grado di gestire regole di firewall, VPN, porte di sistema etc.

Ci sono, tuttavia, dei consigli banali, anche se restrittivi, che aiutano a proteggersi e che possono essere applicati da tutti, come:

  • evitare wi-fi aperti in luoghi pubblici
  • non usare password standard o banali
  • cambiare periodicamente le password
  • evitare di autenticarsi in portali http che inviano i dati in chiaro, a differenza degli https che li cifrano
  • evitare di forzare gli smartphone con jailbreak e root
  • evitare di installare app di nicchia e/o non certificate e mantenere i programmi installati sempre aggiornati perché, con gli aggiornamenti, spesso vengono rimossi bug di sviluppo, implementati nuovi protocolli di sicurezza e, a volte, cambiate le password di sistema note.