Benvenuti nel “Cimitero degli hacker falliti di WatchGuard” dove riposano gli hacker che sono stati catturati perché hanno commesso errori banali. In questo Halloween, vogliamo ricordare alcuni attacchi che hanno avuto scarso successo e il destino che è toccato a questi hacker, catturati proprio mentre stavano portanto avanti i loro crimini.
Qui giace: Lulzsec
Causa del fallimento: Non cercare neppure di nascondersi
Lance Moore, un addetto all’assistenza clienti di Convergys per AT&T a Las Cruces, New Mexico, accedeva in modo illecito a migliaia di documenti contenenti informazioni riservate usando le credenziali VPN di AT&T, per poi pubblicare queste informazioni sul sito fileape.com. Il suo errore fu quello di fare tutto mentre era ancora connesso alla rete VPN di AT&T con il suo username aziendale. Per tutto si intende anche la pubblicazione su fileape.com. AT&T lo ha identificato usando semplicemente i log di rete per vedere la sua attività.
L’hacker è stato individuato e condannato grazie ai dati di log archiviati che hanno mostrato che accedeva dove non avrebbe dovuto accedere. Per prevenire incidenti di questo tipo, bisogna accertarsi che sia impostato un login sicuro e che i dati di log vengano salvati in postazioni multiple per un facile accesso in caso di attacco. Più dei 2/3 delle violazioni viene scoperta solo dopo mesi, per questo bisogna registrare i login per un lungo periodo di tempo. Con WatchGuard Dimension la conservazione a lungo termine dei dati di log è possibile.
Qui giace: Goatse Security
Causa del fallimento: Darsi le arie per aver hackerato account iPad
Alcuni membri della “Goatse Security” volevano accedere e rubare indirizzi email per lanciare una campagna spam malevola. Inserirono numeri random di ICCID (codice identificativo unico per le schede SIM di iPad) sul sito di AT&T con uno script PHP chiamato il “mangia account di iPad 3G”, per effettuare un accesso forzato al sito fino a quando non fosse stato inserito un codice ICCID valido, rivelando così l’indirizzo e-mail associato. Riuscirono a raccogliere indirizzi e-mail di più di 100.000 persone, inclusi alcuni personaggi di spicco. Fatale per loro fu vantarsi per e-mail e chat delle loro performance anticipando una campagna di spam incentrata sugli iPad.
L’attacco ebbe successo perché i server di AT&T non erano in grado di riconoscere questo script PHP come malevolo e quindi non bloccarono i tentativi di connessione che provenivano da questo. I firewall di WatchGuard hanno numerose opzioni per limitare le connessioni e proteggere un server web ospitato localmente sulla tua rete.
Qui giace: Anonymous
Causa del fallimento: Attacchi DDoS per la libertà di parola
All’epoca in cui i sostenitori di WikiLeaks avevano l’attitudine del “o sei dentro o muori”, non apprezzavano di certo istituzioni come PayPal o Mastercard che impedivano di effettuare donazioni a WikiLeaks e alla loro causa. Con uno sforzo collaborativo, un gruppo di hacker riuniti nel gruppo Anonymous, utilizzò un Low Orbit Ion Cannon (applicazione open source che provoca un forte carico e un denial-of-service) per perpetrare un attacco DDoS ai danni di PayPal. La loro gaffe fu dimenticare di nascondere l’IP, che ha permesso alle autorità di seguire le tracce fino alla casa di ogni membro, ma solo per raccogliere ancora più prove a loro carico.
Attacchi DdoS – come quelli che hanno preso di mira PayPal e Mastercard – possono essere bloccati se un’azienda è preparata con servizi di prevenzione da attacchi DDoS come una protezione dalle minacce di default, inclusa in tutti i firewall di WatchGuard.
Qui giace: Voodoo Kobra
Causa del fallimento: Scagliarsi contro l’FBI... e vantarsene!
Scott Arciszewski ha espresso giudizi discutibili violando una sede locale dell’InfraGard, un programma supportato dall’FBI incentrato sulla prevenzione dei crimini informatici. E non ancora soddisfatto, si è preso gioco dell’FBI su Twitter utilizzando il profilo @VoodoKobra. L’FBI è riuscita a risalire al proprietario del profilo tramite una pagina utente di Wikipedia. L’FBI è poi riuscita a collegare quell’informazione con l’indirizzo IP usato nell’attacco all’InfraGard e ha seguito le tracce fino ad arrivare a un sito personale. Lo step successivo è stato andare a trovare questa persona nella camera del campus universitario in cui alloggiava.
Questo hacker aveva lasciato numerosi indizi da seguire per gli investigatori, ma senza una traccia così facile il passo successivo sarebbe stato rivedere i dati di log. Assicurarsi che il login sia impostato in modo corretto è fondamentale per un’investigazione, in particolar modo se si considera che il 68% delle violazioni di dati viene scoperto solo dopo mesi (secondo il “2018 Verizon Data Breach Investigations Report”), dunque bisognerebbe salvare i dati di log come minimo per vari mesi. Per questo WatchGuard offre il servizio Dimension per l’archiviazione dei dati log a lungo termine.
Qui giace: Boy Wizard
Causa del fallimento: Sganciare un’arma nucleare tattica sui server di Call of Duty
L’hacker di Call of Duty, minorenne senza nome, soprannominato Boy Wizard, aveva soltanto 17 anni e voleva mantenere il suo personaggio ai vertici delle classifiche, con qualsiasi mezzo. Perciò utilizzò uno strumento DDoS chiamato Phenom Booter, per lanciare un attacco DDoS contro i server del gioco, impedendo ad altri giocatori di collegarsi online. In effetti è facile mantenere il punteggio più elevato quando sei l’unico in gara! Il software poteva essere acquistato sui forum online per i giocatori di Call of Duty che volevano mettere in difficoltà gli avversari. Questo ragazzino, però, non aveva neanche provato a camuffare il suo indirizzo IP, perciò la polizia riuscì a rintracciarlo in breve tempo direttamente nella sua casa a Manchester.
L’errore di questo hacker dilettante è stato non aver camuffato il suo indirizzo IP, ma le sue vittime avrebbero potuto prevenire che il suo attacco DDoS li colpisse se fossero stati preparati. Anche se questo è stato solo un caso di spirito di competizione da videogames portato all’eccesso, gli attacchi DDoS possono colpire molte aziende e organizzazioni governative con un serio impatto sulla loro produttività. I firewall di WatchGuard offrono una protezione dalle minacce di default, che può riconoscere e prevenire gli attacchi DDoS se correttamente configurata.
Qui giace: TrainReq
Causa del fallimento: Furto degli account Myspace di celebrità
Josh Holly (in arte TrainReq) è stato arrestato nel 2011 per frode finanziaria collegata al furto di numeri di carte di credito. Aveva violato Myspace accedendo agli account email personali di Miley Cyrus e altre celebrità. Mise in atto una campagna email di spam verso i fans inconsapevoli di queste celebrità, che portò all’acquisizione di oltre 200 numeri di carte di credito. Il suo primo passo fu quello di infiltrarsi nel pannello amministratore del profilo Myspace e trovare le password in formato testo di Miley Cyrus e altri. Miley utilizzava la stessa password anche per un noto account Gmail, perciò l’hacker tentò semplicemente di loggasi a quell’account Gmail usando la password di Myspace, e funzionò! La causa del suo fallimento fu vantarsene così tanto online che l’FBI non dovette fare altro che seguire la scia delle sue briciole di pane per arrivare a casa sua, analizzare i suoi computer, e accusarlo di un serio reato di frode.
Questa storia serve a ricordarci di usare un sistema di autenticazione a più fattori (MFA) per tutti i nostri account online. Se le vittime di TrainReq avessero usato password diverse per i propri account di posta elettronica e Myspace, o avessero protetto i propri account e-mail con un’autenticazione a più fattori, l’hacker non sarebbe riuscito a usarle. Un sistema di autenticazione a più fattori come AuthPoint di WatchGuard assicura che anche in caso di furto delle password, i tuoi dati non vengano subito violati.