Come ho hackerato i PC della scuola quando avevo 17 anni

A diciassette anni ero uno dei classici ragazzini nerd, che viveva la sua vita tra scuola, videogames, pc, skateboard e break dance. E mi interessavo già da tempo alle prime tecniche di Hacking.

Avevo già all'attivo un po' di sitarelli creati low budget per amici di famiglia e un sito personale di anime & manga. Ricordo che la prima pagina web la creai intorno ai tredici anni, grazie a un libro intitolato "Impara l'HTML in 24 ore". Iniziai così la mia carriera che mi ha portato oggi a lavorare nel favoloso e ricco di opportunità campo dello sviluppo web.

Tornando nel lontano 2007, ricordo che uno dei miei progetti scolastici fu quello di studiare un sistema di salvataggio di dati di accesso di utenti ignari per diverimento. Alla fine non feci assolutamente nulla con i dati raccolti, se non verificare quante persone erano solite utilizzare la parola "password" come password.

È davvero così semplice rubare i dati di qualcuno? Purtroppo la risposta è sì.

Le tecniche per accedere/scoprire/rubare i dati di altre persone sono varie; molto spesso si basano su concetti molto semplici e di facile attuazione. Nella realtà che viviamo, per fortuna è quasi impossibile prendere possesso di queste informazioni se non si ha un buon background di competenze tecniche, faccia tosta, voglia di scoprire anche una buona dose di palle.

Un libro interessante sull'argomento è "L'arte dell'inganno" di Kevin D. Mitnick, un famosissimo hacker attivo dagli anni '80 in poi, arrestato per vari crimini informatici, furti, accessi illegati nei server del governo americano, oggi è un imprenditore che ha collaborato come consulente in grosse agenzie di sicurezza e banche.

Faccio una piccola premessa: quasi tutte le tecniche o le procedure volte al danneggiamento di altre persone o cose, sono illegali. Pertanto le prossime righe non servono come stimolo nel riprodurre questi step. Lo scopo è quello di farvi aprire gli occhi su quali pericoli potreste incontrare nella vostra quotidianità, come utenti del web.

Per il mio progetto applicai la tecnica dello Web Spoofing, ovvero quello di far credere alla vittima di essere collegato al vero server mentre nella realtà si trovava su di un server malevolo, nel mio caso uno specifico PC dell'aula computer. Come prima cosa installai Apache web server e utilizzai PHP come linguaggio di scripting. L'intento era quello clonare l'homepage di Facebook. A quel tempo non esisteva un protocollo di connessione sicura come oggi (identificata dal lucchetto che vedete nella barra dell'indirizzo del vostro browser); fu molto semplice creare una pagina identica a quella reale, semplicemente copiandone il sorgente HTML e incorporando tutte le risorse esterne (immagini, script in JS e i fogli di stile).

Modificai quindi la destinazione della pagina di accesso verso uno script in PHP, con il quale recuperavo sia l'email del malcapitato che la sua password, per poi salvarle su di un semplice file di testo. Dopo questi semplici passaggi, il sistema restituiva all'ignara vittima un messaggio di errore tecnico preso direttamente da Facebook che recitava : "Ops, c'è stato un problema tecnico durante l'accesso. Ti invitiamo a riprovare più tardi.". La piattaforma era così pronta per essere utilizzata.

Mancava soltanto l'ultimo step: manomettere gli altri PC dell'aula in modo da veicolare gli accessi al sito www.facebook.com verso il server interno in LAN. Chiesi al prof di laboratorio la password di root dei vari PC (che ovviamente era la stessa per tutte e 9 le postazioni) con la scusa di applicare alcuni aggiornamenti software dei pacchetti del sistema operativo. Dopo aver ottenuto i permessi di root, modificai il file host di ogni postazione aggiungendo una semplice riga in questo formato:

192.168.0.105 www.facebook.com facebook.com

Stop. Da quel momento in poi dovevo solamente attendere gli ignari studenti delle lezioni di informatica pratica e il loro desiderio di cazzeggiare su Facebook.

Le cose sono nel frattempo cambiate. Io stesso sono cambiato e i sistemi di controllo sono migliorati ed evoluti.

Da consulente informatico, il mio scopo è quello di informare le persone sui pericoli di una scorretta gestione dei propri dati e di istruirle su come invece prevenire gli attacchi ed evitare di cadere vittima nelle trappole di truffatori e cracker informatici (questi cracker purtroppo non si mangiano).

Nelle prossime settimane tratterò più nel dettaglio la questione di sicurezza informatica, illustrerò le problematiche più comuni e fornirò soluzioni semplici che vi aiuteranno a non prendere virus, malware o inculature indesiderate di qualsiasi tipo (es. furti di denaro o peggio ancora di identità).