14/01/2015 - E’ guerra. Guerra cibernetica tra Isis/Al-Qaeda ed i migliori hacker di Anonymous scesi in prima linea dopo la strage di Parigi. Sarebbero circa 500 i programmatori di alto profilo della comunità mondiale che si identifica sotto la sigla di Anonymous che stanno colpendo siti, canali o semplici blog legati direttamente o indirettamente alle organizzazioni terroristiche.

Scardinati, poche ore fa, i siti Kavkazcenter.com e www.profetensummah.com.

Mentre è stato smentito l’attacco informatico contro il profilo Twitter del Comando centrale Usa per la regione mediorientale, contro Anonymous sembrerebbe non esserci difesa.

Il sito ufficiale dell’organizzazione è in continuo divenire: utenti di tutto il mondo si scambiano informazioni, dettagli e procedure. Proprio l’attacco informatico è composto da tre stadi. Il primo è l’individuazione del sito sospetto. Il secondo stadio è l’identificazione del possibile bersaglio ed i collegamenti. Il terzo stadio, accertata l’affiliazione a qualche sigla terroristica, è l’attacco informatico che può essere di diversa natura.

Ma come agiscono gli hacker di Anonymous?

Ci spiega le armi della cyber-guerra l’ingegnere Francesco Benincasa, programmatore ed esperto nell’elaborazione dei dati con esperienza presso alcune delle più grandi aziende informatiche del mondo.

L'operazione #OpCharlieHebdo

Internet – spiega l’ingegner Benincasa - è un insieme di computer collegati tra loro (mediante cavi di rete, collegamenti satellitari, collegamenti wireless, dorsali oceaniche, etc…etc…). Tra questi dispositivi troviamo i nostri computer: tablet e cellulari. Poi ci sono altri computer che ospitano i vari siti web, ma anche apparecchiature il cui unico scopo è quello di smistare le comunicazioni con gli altri dispositivi. Semplificando al massimo: ogni dispositivo collegato ad internet deve avere un identificativo univoco, detto indirizzo IP (Internet Protocol).

Continua l’esperto -  “Quando, con il nostro browser navighiamo su un sito, come ad esempio www.difesaonline.it, accadono le seguenti cose: il nostro computer chiede ad alcuni server noti (i cosidetti DNS – Domain Name Service ) l’indirizzo univoco del computer che ospita il sito che ci interessa. Una volta ottenuto l’indirizzo IP del server, dal nostro computer parte la richiesta della pagina che desideriamo vedere. La richiesta della pagina passa attraverso vari dispositivi che collegano in modo indiretto il nostro computer al server del sito web”. 

Tra gli strumenti di Anonymous – continua Benincasa - il DDOS, il SQLI ed il DNS Hijacking.

Le armi della Legione, le armi di Anonymous

“DDOS è l’acronimo di Distributed Denial of Service. Il server che ospita il sito che ci interessa è in grado di gestire un certo numero di richieste di pagine al secondo. Ma cosa succederebbe se migliaia o decine di migliaia di computer contemporaneamente provassero a richiedere la stessa pagina per minuti, ore, giorni? Il server, ovviamente, non sarebbe più in grado di rispondere e inizierebbe a non rispondere più. Gli attacchi di tipo DDOS si basano proprio sul fatto di poter controllare migliaia di computer contemporaneamente al fine di far “ingolfare” il server oggetto dell’attacco”.

“Un altro tipo di attacco è l’attacco di tipo SQLI ovvero SQL Injection (SQL è il linguaggio di programmazione usato per lavorare sulle basi dati più diffuse). Molti siti web si basano su archivi che vengono interrogati mediante criteri definiti da un testo che gli utenti possono inserire direttamente nelle pagine web. Se non opportunamente controllato, questo testo potrebbe però essere utilizzato da un hacker per modificare il comportamento del programma sottostante il sito web.

Supponiamo di avere un sito che richiede l’inserimento di username e password per accedere a determinate aree del sito stesso. Un attacco di tipo SQLI consiste nello scrivere al posto del testo che definisce la username o la password, dei comandi in linguaggio SQL che se eseguiti consentono oltrepassare i controlli di identificazione previsti dal programma”.

Tra gli effetti più devastanti – spiega il programmatore - che si possono ottenere con questo tipo di attacco possiamo sicuramente considerare il furto di informazioni ed il cosiddetto website defacement, ovvero la sostituzione delle pagine originarie del sito con altre pagine inserite dall’hacker.

“L’ultimo tipo di attacco è il DNS Hijacking. Il nostro computer non conosce l’identificativo univoco dei computer che ospitano i siti web che vogliamo visitare. Questa funzione è demandata ai server gestiti da enti affidabili, come per esempio Google. Un attacco di tipo DNS Hijacking va a sostituire i server DNS degli enti affidabili con altri server DNS finti. Questo tipo di attacco si basa innanzitutto sull’infettare il computer target con un virus informatico per far utilizzare i DNS degli hacker”.

Supponiamo – ipotizza Benincasa - che l’ignaro utente decida di collegarsi al sito della sua banca. Il computer crederà di collegarsi al sito reale della banca, ma in realtà i server DNS dell’hacker lo dirottano su un sito che in tutto e per tutto emula l’aspetto del sito originario. A questo punto l’utente, inserendo la sua username e la password per accedere al suo sito non avrà fatto altro che fornire all’hacker le sue credenziali.

Il lato oscuro della rete

“Il Deep-web è quella parte di internet non accessibile dai motori di ricerca. L’esempio di più classico di deep-web sono quei siti che richiedono username e password. I motori di ricerca non sono in grado di accedervi e di indicizzarli, proprio per il fatto che non hanno le credenziali di accesso. Internet si basa su una rete di computer che colloquiano tra di loro. Non è difficile immaginare che qualche ente o istituzione governativa possa decidere di mettersi in “ascolto” sui nodi principali della rete al fine di intercettare attività sospette.

Le darknet sono reti nate con l’intento di proteggere l’identità delle persone che vi accedono. Ci sono diverse darknet e tra quelle più note non possiamo non citare quella che si basa sul programma Tor.

Quest’ultimo è un programma che garantisce l’anonimato di chi naviga grazie a sistemi di crittazione e meccanismi che impediscono l’intercettazione dei messaggi tra due computer all’interno della rete.

Questo tipo di reti, è utilizzato dagli utenti sia per protezione (magari sotto regimi dittatoriali) che per compiere attività illecite.

Franco Iacch