78

Pensate che nel mondo dell’underground digitale sia tutto rose fi ori ed

Anonymous? Vi sbagliate. Il tempo degli hackers etici, dei white hat, della “brava gente” che debuggava e bucava per la gloria e per la sicurezza intrinseca dei sistemi, ormai, è un periodo lontano. Da quando la tecnologia è diventata parte preponderante della nostra vita, e di conseguenza di tutti i sistemi che la governano, una nuova schiera di sedicenti hackers si fa sempre più avanti. E di conseguenza la comunità degli “smanettoni” prontamente reagisce mettendo in pratica rappresaglie contro chi li rappresenta malamente.È il caso di Srblche (http://srblche.com/).

Lega NerdÈ un volgare Social Blog scritto da nerd che tratta di tutto ciò che importa veramente nella vita: La Figa, il Computer, Sheldon Cooper e il numero 42. Lega Nerd è uno dei principali punti di riferimento della cultura nerd / geek in Italia. Lega Nerd non ha un tema preciso, ma tratta ogni argomento e novità potenzialmente interessante e curioso. Il nostro pubblico è composto da “nerd” o più semplicemente da persone curiose che hanno voglia di scoprire e imparare sempre cose nuove. Gli articoli vengono scritti direttamente dai nostri lettori: Lega Nerd è un blog scritto in crowdsourcing, in cui cioé è la stessa comunità degli utenti che produce il contenuto. Lega Nerd è poi Social Blog, cioè un blog che mette a disposizione dei propri lettori tutta una serie di funzionalità sociali al � ne di stimolare l’uso della piattaforma creando quindi una comunità più unita, attiva e partecipante alle attività comuni.

P

LEG

A N

ER

D

PRIMA DI TUTTO LA LEZIONE CHE I

D33DS HANNO VOLUTO INSEGNARE AL LORO “COLLEGA” E’ CHE

NON C’E’ ONORE NEL RUBARE DATI PER POI

RIVENDERLI. SOLO VERGOGNA. E CHE

SECONDARIAMENTE, CHIUNQUE PUO’ ESSERE

BUCATO, A PRESCINDERE DALLA SUA BRAVURA.

HACKERS CHE HACKERANO GLI HACKERS

79

Premessa: come sono andati i fattiA gennaio di quest’anno, un sedicente hacker di nome Srblche (ma che furbamente si spacciava per security researcher) ha pubblicato una lista online di decine di siti governativi e militari da lui bucati e ai quali ha ottenuto accesso, fornendo anche una lista di credenziali di prova e il livello di accesso da lui raggiunto su tale sistema. Tra questi dati fi gurano anche accesso a siti del nostro Governo, tanto per dirne una. Inutile dire che la cosa ha provocato la reazione di molti (fi gura 1).Poco dopo la pubblicazione sul suo sito di tutta questa mole di dati, non pago, ha deciso di mettere in vendita anche delle personally identifi able information (PII) reperite dai suddetti siti, per poche sterle al chilo, e in più, dopo aver “fatto mostra” delle informazioni in suo possesso, ha blindato il suo

sito, richiedendo il pagamento di un “fee” per accedere e visualizzare tali informazioni (a casa mia questo non si chiama hacking, si chiama terrorismo e lucro su furti d’informazioni personali).

Rappresaglia: alias chi semina vento raccoglie tempestaQuesto modo di comportarsi non è per niente piaciuto ai d33ds (sito attualmente offl ine) che, rimboccatesi digitalmente le maniche hanno deciso di prendere di mira una volta per tutte il briccone che vendeva informazioni riservate, estirpando una volta per tutte questo losco traffi co. E fu così che riuscirono a bucare il suo blog. Su Pastebin (http://pastebin.com/wtQGsHrX) hanno pubblicato un sunto di come siano riusciti a portare a termine l’hack e di come abbiano potuto esprimere la loro opinione a riguardo

dell’attività di Srblche: “Anyone willing to pay for this service must be as stupid as he is”.Non paghi di questo (ricordiamoci che i d33ds sono gli stessi simpaticoni che hanno bucato RankMyHack.com) hanno deciso di creare un sito mirror dove venivano esposti tutti i dati che Srblche aveva messo sotto password (e a pagamento) ma sopratutto hanno deciso di rendere pubbliche le credenziali di accesso di Srblche stesso al suo sito (fi gura 2).Riporto la divertente hint presa dalla fonte originale: hint: it’s not Ilovetofuallthetime.Pare che l’intrusione al blog di Srblche sia avvenuta perché il sito girava su una piattaforma di hosting shared, sulla quale erano in funzione servizi vulnerabili. Il gruppo non ha attaccato il blog direttamente, quindi, ma ha sfruttato una falla ambientale per poter poi arrivare a metterci le mani sopra. RankMyHack è stato colpito nello stesso modo a suo tempo.

EpilogoQual è la morale di questa faida tra black hat and white hat? Prima di tutto la lezione che i d33ds hanno voluto insegnare al loro “collega” è che non c’è onore nel rubare dati per poi rivenderli. Solo vergogna. E che secondariamente, chiunque può essere bucato, a prescindere dalla sua bravura. Lezione che ogni bravo hackers, security manager o sistemista dovrebbe tenere SEMPRE a mente.

Eagle 1leganerd.com/people/eagle1

RIS

OR

SE

Anonima HackerChi è Anonymous? Anonymous è uno pseudonimo dietro cui si celano gruppi di hacker che riescono ad organizzarsi tra di loro per e� ettuare attacchi di dimensioni maggiori rispetto a quelle (normalmente) raggiungibili dal gruppo singolo (ad onor del vero si deve anche evidenziare, però, che il principale tipo di attacco perpetrato da Anonymous è, generalmente, il DoS o il DDoS).

(autore: SIPRONUNCIAAIGOR)

Cattivi Vs CattiviAnonymous ha messo in campo una sua divisione (Anonymous Analytics) composta da cervelloni non solo informatici, ma anche analisti di mercato, avvocati e ricercatori per compiere attacchi a grosse entità/aziende e comprendere i dati che si ottengono per analizzarli e redigere documenti (anonanalytics.com/pdf/Chaoda.pdf).

(autore: SIPRONUNCIAAIGOR)

Cappelli neriUn black hat (altrimenti detto cracker) è un hacker malintenzionato. Il termine è spesso usato nel campo della sicurezza informatica e dai programmatori per indicare una persona dalle grandi capacità informatiche, ma con � ni illeciti. Solitamente il black hat sfrutta a proprio vantaggio la conoscenza di exploit e vulnerabilità scoperte, non rivelandola al pubblico o al proprietario per correzioni.

(tratto da: Wikipedia)