Hacking, (tutti) i particolari in cronaca

Chi ha attaccato il sito di Punto Informatico? Che tecnica ha utilizzato? Quale vulnerabilità di sistema è riuscito a sfruttare? Cronaca di un attacco proveniente (pare) dal Brasile


Roma – Chi ha colpito Punto Informatico? Chi ha colpito anche il sito del Ministero delle Comunicazioni e quello dell’Autorità per le TLC? Nelle ultime 24 ore abbiamo cercato di ricostruire quanto accaduto, anche per comprendere l’origine del “Grupo Sentapua” che ha firmato l’attacco al nostro sito e quelli ai due siti istituzionali.

Di informazioni su questo gruppo hacker ne abbiamo trovate pochine. Pare che fino a qualche tempo fa disponessero di un sito su www.sentapua.org e basta fare una ricerca su qualsiasi motore per individuare una serie di riferimenti, tutti facenti capo ad ambienti brasiliani. Al di là dell’analisi tecnica che, come si legge nella seconda parte di questo articolo, sembra confermarlo, gli aggressori al nostro sito e a quelli istituzionali potrebbero effettivamente essere di origine brasiliana, ipotesi sulla quale sta lavorando anche la Polizia Postale.

Di seguito diamo la cronaca dell’attacco minuto per minuto descritta da un esperto e seguita, nella pagina successiva, dall’analisi tecnica dell’aggressione.

“Dopo una prima occhiata al file di log credevo che a lavorare all’attacco fossero stati almeno in tre. Invece, analizzando i tempi con cui venivano inviati i comandi al server di Punto Informatico sembra proprio che gli hacker abbiano utilizzato uno script già pronto.

L’attacco è cominciato via WWW alle 15:41:20.

Lo script ha cercato tra i vari bug conosciuti di WindowsNT, tentando di forzare una serie di file per vedere se erano presenti e rispondevano.

Ad esempio, il primo link funzionante che hanno trovato è stato: /punto-informatico/scripts/tools/newdsn.exe. Da cui sono facilmente passati alla pagina di default di Internet Information Server (IIS) /samples/default.htm dove però l’accesso ai tools è consentito solo dal server stesso (localhost 127.0.0.1).

Senza scoraggiarsi, hanno allora provato con altre pagine e hanno trovato funzionante il link punto-informatico.it/_vti_inf.html che però non li ha portati da nessuna parte. Si tratta infatti di una pagina di info per le estensioni di FrontPage!

Lo script ha quindi setacciato altri file andando a cercare password o dati importanti per ottenere l’accesso al server. Era tutto protetto e le varie richieste hanno solo restituito errori.

Mentre era in corso la ricerca di dati sensibili sul server di Punto Informatico, gli hacker hanno cercato di capire quale fosse la pagina principale del sito provando le varie estensioni (htm,html,asp). A questo punto, sembrerebbe che gli hacker abbiano deciso di fermare lo script che non dava risultati soddisfacenti.

Non avendo altra scelta che rifugiarsi nel “fai da te”, hanno cominciato a provare link digitandoli a mano e sbagliando anche nella digitazione! Addirittura, arrivano a cercare una directory inesistente: /aaa, forse un momento di nervosismo, o di meditazione.

Come farebbe chiunque quando un programma non funziona, fanno ripartire lo script alle 15:42:40, trovando qualcosa di buono in alcuni file .htr. Il problema però è che ancora non hanno in mano nessuna password che gli conceda l’accesso al sistema. Gli hacker allora decidono di controllare se sulla macchina è installato il perl, ma non c’è e allora provano con qualcosa di più difficile… ma le difese tengono.

Fanno ancora prove, inutili. Cercano di capire come funzionano le pagine Asp presenti sulla macchina di Punto Informatico, ma non ricavano nulla di interessante. Addirittura cercano sul sito di PI il file ratingsv01.html senza esito positivo e solo perché all’interno delle pagine del quotidiano, nelle dichiarazioni di intestazione (meta-tags), hanno trovato il link a RSAC: http://www.rsac.org/ratingsv01.html.

Presumibilmente stremati, ma certo lontani dall’arrendersi, hanno cercato di accedere anche al database di “backup” di WindowsNT all’indirizzo /winnt/repair/sam._. Fino a qui, dunque, sembra soprattutto una fase di studio.

Il vero attacco parte alle 15:44:45 da un indirizzo ip differente e riconducibile a hobbiton.org un sito che offre shell gratuite. Per eseguire l’attacco hanno usato il seguente comando impartito ad una pagina disponibile con l’applicazione di esempio di IIS:
Fname=hi &Lname= |shell(“cmd+/c+ECHO +Alterado+por+Jambock +. +Grupo+Sentapua+. +sentapua@mail.ru+ ,+Amigos+: +Hadi-Cool+,+F3N1X+, +Hi-Neck+, +EPIL58+e+Kamikaze+ > C:InetPubwwwrootindex.asp”)|,

Qui la home page di Punto Informatico viene sostituita con le parole inserite nel codice riportato dal log e quindi trasmesso al server dagli hacker. Una semplicissima ed efficace funzione! Si tratta di un vecchissimo tipo di attacco che ricorda, agli addetti ai lavori, il vecchissimo phf che si utilizzava sotto linux/apache per eseguire comandi in modo non autorizzato.

Dopo essere riusciti a “fare qualcosa” ma non ancora soddisfatti, hanno cercato di entrare ancora nel server tentando di attaccare insistentemente un altro file nella directory /cgi-bin/imagemap.exe.

L’ultimo attacco, forse dopo essersi messi l’anima in pace, l’hanno scagliato alle 16:25:33, utilizzando lo stesso metodo precedente ma cambiando il testo:

Fname= hi&Lname= |shell(“cmd+/c +ECHO +I+am+ jambock,+I+ walked +modifying+ some+ Italian +sites +and+am +here+to+forgive+me +of+you+how+much+ to+the+attacks+to+the+ Italian+ domain+.+Before+ more+nothing +I+did+not+ have+politmca+ intention+to+attack+ some+sites+it. +I+am+not+ star+of+TV+to+be+ with+my+name+in+the+ top+of+sites…+E+I+thank +the+KatiaFlavia+ for+having+ opened+my+eyes. +It +forgives+for+the+bad +English+ but+English+it+is+ a+SUCKS+ and+the+USA+ is+an+EXCREMENT. +Brazilian+Hacker’s +had+been+here!+ >c:inetpubwwwrootindex.asp”)|,”

Un attacco durato 44 minuti in cui alcuni hacker hanno tentato di forzare IIS. Non sono stati registrati ulteriori danni. Gli indizi sono pochi ma riconducono a piste Sudamericane, anche se i computer utilizzati in Brasile potrebbero essere stati semplici “ponti” utilizzati per nascondere l’opera di qualche italiano! Ma.. . “C’e’ ancora qualcosa che non quadra! L’ip della macchina da cui hanno fatto le prove non è un server e fa parte del RNP (Brazilian Research Network).” (continua)


All’indomani dell’attacco al nostro server, che ha messo off-line per circa un’ora la home page di Punto Informatico, lo staff tecnico-redazionale, in particolare Stefano Tagliaferri insieme all’amico Paolo Rosi, si è cimentato nell’analisi dell’intrusione e nella ricerca dei metodi utilizzati dagli aggressori.

Sono saltate subito all’occhio le analogie con gli attacchi subiti dai due siti istituzionali dell’ Autorità per le TLC e del Ministero delle Telecomunicazioni di cui avevamo dato notizia lunedì scorso.

Entrambi i siti, come quello di Punto Informatico, utilizzano Windows NT 4.0 e Internet Information Server 4.0 e pare proprio che gli aggressori, anche in quei due casi, fossero di origine brasiliana nonché appartenenti, con ogni probabilità, allo stesso “gruppo”. Noi stessi abbiamo verificato che l’attacco che abbiamo subito proveniva effettivamente da una rete brasiliana, sebbene questo sia tutt’altro che sufficiente per affermare con sicurezza l’effettiva origine degli hacker.

Analizzando i file di log del sistema ci siamo accorti che gli hacker hanno utilizzato un programmino (una sorta di security scanner) che in automatico verificava la positività del server a decine di vulnerabilità più o meno conosciute di IIS e NT, soprattutto legate al passaggio di parametri nell’URL. L’automatismo che si celava dietro a questi tentativi era palesato dal fatto che fra uno e l’altro passavano in media dai 2 ai 5 secondi, giusto il tempo del server di elaborare la stringa di dati.

Evidentemente, dopo decine di tentativi, il bug-scanner ha finalmente trovato un varco dando modo ai nostri prodi di passare alcuni comandi dall’URL dell’HTTP e creare così sul nostro server un file DSN (Data Source Names) con un’origine dati di nome Web SQL che puntava al file foobar.mdb.

Questo piccolo database conteneva solo pochi campi e serviva soltanto come “appoggio” per sfruttare una falla di sicurezza legata alla gestione, da parte del data engine di Microsoft, della tecnologia Internet Data Connector (IDC) implementata con la libreria ISAPI chiamata HTTPODBC.DLL. Al pari della tecnologia ASP (Active Server Pages), che permette di costruire pagine Web contenenti al loro interno codice Visual Basic Script, l’interprete server-side IDC permette di inglobare nelle pagine Web script con comandi SQL che possono essere inviati attraverso il protocollo http dal Web Server al database passando per ODBC.

Facendola breve, gli hacker hanno sfruttato il fatto che sul nostro server erano (e dico “erano”!!) installati i file di esempio di IIS fra cui la Sample Guestbook Application, una piccola applicazione che dimostra le capacità di connessione remota ad un database. Per funzionare, questa rubrica utilizza alcuni file .idc (semplici file di testo contenenti la sorgente dei dati e le informazioni di login) e .htx (un tipo di file HTML contenenti le istruzioni per formattare l’output delle query effettuate nel file .idc). Inutile dire che la sorgente dei dati di questi file è la stessa creata dagli hacker nel nostro ODBC, ovvero Web SQL.

Gli hacker si sono appoggiati ad un file che sapevano trovarsi sotto /scripts/samples/, eseguendolo dall’URL e passandogli come campo dati una stringa contenente una redirezione di alcuni comandi DOS verso la shell di sistema (il command.com): in questo modo, ridirigendo ancora una volta l’output del comando ECHO verso il file ../index.asp, sono stati in grado di sovrascrivere l’home page con ciò che hanno voluto. L’operazione è addirittura avvenuta in due tempi, come confermano i file di log.

Con questo metodo, un’evidente debolezza della nostra versione di ISAPI, fortunatamente non presente in Windows 2000, gli hacker avrebbero potuto passare alla shell di sistema qualsiasi comando, anche un cattivissimo “format c:” seguito da un carattere “y” più un carriage return. Come dire: è andata bene. Fortunatamente l’intenzione di questi tizi, che in realtà si possono considerare a metà strada fra “hacker” e “cracker”, non era quella di fare grossi danni, sebbene la sospensione del servizio è pur sempre da considerarsi un danno.

Un risultato l’attacco l’ha sicuramente ottenuto, quello di svegliare il tapiro finora bellamente dormiente sulla sicurezza del nostro sito (tapiro di cui, naturalmente, non si conoscerà mai pubblicamente il nome ;).

La redazione

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti