Come gli hacker hanno preso controllo per mio computer

Sentiamo parlare di  hacking ogni giorno, ma ci sono individui davvero vulnerabili? Sophie Curtis si è offerta volontaria per scoprirlo

Che tu sia una nazione o un cittadino, la cyber security è in continua crescita: nuovi attacchi o violazioni di dati emergono ogni giorno e le informazioni personali vengono esposte o perse, dai dati bancari alle foto private. Ma la minaccia di essere hackerato è qualcosa di cui abbiamo veramente paura? E se qualcuno entrasse nel tuo computer, cosa potrebbero essere capaci di fare con le informazioni che trovano?

Durante l’estate ho deciso testare su me stessa. Sono entrata in contatto con l’ “ethical” hacker (hacker etico) John Yeo, che lavora per la ditta di cybersecurity Trustwave e gli ho chiesto di hackerarmi.

Il lavoro di un ethical hacker è quello d eseguire test di “penetrazione” per le compagnie. Ciò significa che assume il ruolo di un vero hacker e usa gli stessi strumenti che  veri hacker usano per cercare di entrare nei sistemi dei computer di una compagnia per identificare le vulnerabilità. L’ethical hacker espone ala compagnia quello che ha trovato così che le vulnerabilità vengano sistemate rima che un vero hacker le scopra e le sfrutti.

Hackerare una persona è diverso e John mi ha avvisata che il tentativo potrebbe non avere successo. Sapevo che stava arrivando quindi ci sarebbe stata più attenzione nell’aprire mail sospette. Mi ha anche spiegato che la maggior parte degli hacker “libererebbe i cani” e attaccherebbe più persone in una sola volta piuttosto che attaccarne una sola, per avere più possibilità di successo. Tuttavia, ha detto che lo avrebbe fatto.

Il 24 luglio ho firmato un’esenzione in cui dichiaravo che l’hackeraggio si sarebbe svolto a mio rischio e che sarei stata l’unica responsabile per qualsiasi danno. Dopo di ché, tutto si è svolto tranquillamente e io ho condotto la mia vita normalmente; John e il suo team di ethical hacker negli SpiderLabs della Trustwave hanno iniziato a cercare su Internet qualsiasi informazione potessero trovare su di me.

Ciò voleva dire identificare ogni account di social network, ogni account mail e ogni servizio online a cui ero iscritta. Non c’è stato alcun tentativo di irrompere in uno qualsiasi di questi account, inizialmente, ma semplicemente di trarre più informazioni possibili e ricostruire u profilo di chi ero.

Avendo scritto molto sulla cyber security negli ultimi anni, sono contenta di dire che molti dei miei account sono protetti. Il mio Facebook ha alte impostazioni di sicurezza: quasi niente è visibile a chi non è nella lista degli amici e nessuno che non sia almeno “l’amico di un amico” può inviarmi una richiesta.

Ciò significa che gli hacker avevano poche speranze di arrivare a me in quel modo. La maggior parte poteva scoprire i nomi dei componenti della mia famiglia e del mio fidanzato, così come la scuola, ‘università e le compagnie per cui ho lavorato in passato.

Ma poi hanno usato un particolare sito di alberi genealogici per verificare i miei dati di nascita, inclusi la data del mio compleanno, il nome di mia madre e il nome di mio padre e anche il mio nome completo.

Sono riusciti a scoprire il mio indirizzo mail di lavoro attraverso Twitter, così come alcune mie recenti localizzazioni e il nome di una serata sociale insieme ad altri giornalisti. Dagli oggetti sullo sfondo in una delle foto che avevo postato su Twitter, sono stati capaci di scoprire quale cellulare usavo e il fatto che il mio ragazzo era abituato a fumare sigarette fai-da-te (era in una vecchia foto), così come il fatto che gli piace andare in bici.

Benché questi dettagli sembravano essere senza conseguenze, hanno tutti aiutato gli hacker a costruire un profilo di chi sono così che quando sarebbe arrivato il momento di lanciare un attacco, lo avrebbero potuto rendere il più personale possibile.

La prima volta che gli ethical hacker hanno cercato di entrare in contatto con me, era il 9 settembre. Ho ricevuto una mail da un account chiamato “Ricardo Almeida” in cui chiedeva di incontrarci durante la settimana. Ho ignorato la richiesta; tuttavia, approcciare un giornalista in quel modo ha buona possibilità di riuscita.

Non di meno, più tardi ho scoperto che la mail conteneva una piccola immagine (1px per 1px). Questo è stato il primo tentativo del’hacker di lasciare un’impronta nel mio computer. Lo scopo era quello di identificare quale sistema operativo era supportato dal computer, così come quale browser usavo, quali applicazioni avevo e quale software di sicurezza proteggeva il mio dispositivo.

Normalmente, quando una mail contiene un’immagine, il mail client del ricevente deve contattare il server mail del mittente per avere l’immagine. È stata questa l’occasione in cui gli hacker avrebbero potuto porre un’impronta sul mio computer. Tuttavia, Gmail lavora diversamente: è Google che contatta il server mail e recupera l’immagine. È stato, quindi, un tentativo senza successo.

Il tentativo successivo c’è stato il 12 settembre. Questa volta gli hacker hanno creato una mail che appariva come una richiesta, da un altro giornalista del Telegraph, di connettersi a Linkedin.

Ammetto che Linkedin è uno dei social network in cui accetto richieste anche se non conosco le persone che le inviano. Senza pensarci, ho cliccato “conferma di conoscere Rachel”. Non la conosco, perché non esiste. Mi sono comportata nello stesso modo di milioni di altre persone ogni giorno. La richiesta è tornata agli hacker e loro hanno potuto lasciare un’impronta sul computer.

Più tardi ho scoperto che, se anche avessi cliccato “cancella”, sarebbero stati capaci di lasciare l’impronta nel computer nello stesso modo. Tutto quello che dovevo fare era interagire con la mail.

Gli ethical hacker non erano pronti a lanciare il ro attacco. Avevano raccolto abbastanza informazioni su di me da risorse pubbliche e avevano un profilo sul mio computer così sapevano come costruire il malware che poi lo avrebbe infettato.

Visto quel che sapevano, potevano andare sul personale usando le informazioni sulla mia famiglia o sul mio fidanzato. Invece, decisero di fare appello al mio istinto di giornalista.

Hanno creato una mail, che ho  ricevuto il 30 settembre, dove dichiaravano si essere membri di un gruppo attivista mondiale che aveva ottenuto dati confidenziali dal governo del Regno Unito. Dissero di stare lavorando con alcuni giornali di Stati Uniti, Germania, Italia, Francia, Brasile, Argentina e Sudafrica per rubare documenti e mi invitavano a diventare un canale rimario per la divulgazione pubblica di The Telegraph.

Si riferivano alla mail di Ricardo Almeida, dichiarando che fosse l’alias di uno dei loro collaboratori. Dissero anche che i documenti sarebbero stati rilasciati il 3 ottobre 2014, dando un certo senso di urgenza.

Dissero di aver allegato un piccolo estratto del documento, il quale era compresso e crittato con una potente password rispettivamente per ridurre la dimensione del file e aumentare la sicurezza della loro comunicazione. Aggiunsero che, se accettavo di pubblicare un articolo in accordo con la loro data di rilascio mondiale, mi avrebbero inviato il documento completo con i relativi file.

L’allegato sembrava essere un .rar file che necessitava, da parte mia, il download d uno strumento chiamato WinRAR per scaricare i file. Includevano anche brevi istruzioni per fare il download del file su Windows.

Quando ho ricevuto la mail, la campanella si allarme ha suonato. La storia sembrava messa su e il fatto che fosse un rar file mi insospettiva. Tuttavia, l’enfasi del mittente sul bisogno di sicurezza sembrava corrispondere con quello che avevo sentito da collaboratori in passato e una arte di me pensava che se fosse stato reale e lo avessi ignorato me ne sarei pentita.

Decisi di aprire l’allegato sul mio laptop a casa piuttosto che rischiare che un hacker entrasse nel corporate network del Telegraph. Quella sera, quando andai a casa, scaricai WinRAR (un programma perfettamente legale) sul mio laptop Windows e scaricai l’allegato. Quando cercai di aprirlo, sembrava non aprirsi ma era troppo tardi: erano entrati nel computer e avevano impiantato un “remote access trojan” (trojan di accesso remoto).

Windows Defender sul mio computer, stavolta, andò in tilt e iniziò a invadermi con messaggi di errore. Certo, realizzai cosa era successo e iniziai una scansione virus. Un paio di file vennero segnalati, così li cancellai ma non fece alcuna differenza.

Per provare di essere entrati, gli hacker fecero uno screenshot del mio account Gmail che n quel momento era aperto.

Inoltre, accesero la webcam e scattarono una foto di me.

Da quel momento, gli hacker avevano completo controllo amministrativo del mio laptop. Non solo potevano vedere tutto ciò che facevo sul computer ma controllavano anche il computer: aprivano applicazioni, browser, scaricavano cookies, controllavano la fotocamera e il microfono ecc.

Poiché erano ethical hacker, a questo punto si fermarono. Per un vero hacker, questo sarebbe stato solamente l’inizio. Avrebbero potuto controllare il mio computer per giorni o settimane, guardando tutto ciò che facevo: potevano installare un keylogger  registrare ogni password digitata su ogni sito che visitavo; potevano leggere le mie mail e ricavarne copie del mio passaporto che avevo inviato al mio avvocato quando comprai un appartamento l’anno scorso; potevano osservarmi mentre ero connessa al mio computer di lavoro tramite il network e controllavo i file al suo interno.

Anche se riavviavo il computer, cosa che feci, il malware che avevano installato avrebbe richiamato i sistemi degli hacker una volta riacceso, dandogli controllo remoto ancora una volta.

Non c’è bisogno di dire che mi sentii abbastanza stupida quando rincontrai John questa settimana. Mi parlò di ciò che avevano fatto. Mi rassicurò che sono abbastanza difficile da attaccare.

Nella maggior parte dei casi, mi disse, gli hacker sono stati capaci di raccogliere dati personali sui propri obiettivi durante le fasi iniziali, prendendo dati dai social network. Non sono stati capaci di ottenere il mio indirizzo mail, solo quello di lavoro, che avevo condiviso con alcune persone su Twitter, e non hanno potuto avvicinarsi al mio account Facebook, dove si trova la maggior parte dei miei dati personali.

Ciò non cambia il fatto che io, che dovrei conoscere bene la situazione, sono stata hackerata. È una storia mitigata solamente dal fatto che è apparentemente qualcosa che potrebbe succedere a ognuno di noi con quel poco che può veramente essere fatto per prevenirlo.

Leggi i cinque passi di Trustwave per mantenere la sicurezza online

• Così come alcuni commentatori dalla mente più tecnica hanno dedotto, quello che sembrava essere un .rar fil era, di fatto, un file .exe mascherato da file .rar. Il malware era, quindi, designato per non essere identificato da nessun programma antivirus mainstream
• John Yeo spiega: “Il malware era d’abitudine eseguibile con numerosi meccanismi opposti “reverse-back” che offrivano accesso remoto su qualsiasi sistema. C’erano tre meccanismi diversi di connect-back dentro per migliorare la probabilità di stabilire un canale di comando/controllo dal computer della vittima
• “Il malware eseguibile aveva l’icona cambiata per sembrare un PDF con un lungo nome per camuffare la sua vera natura”
• Il malware era “impacchettato” per aiutare ad evitare di essere trovato e, quando veniva eseguito, un innocuo messaggio mostrava un errore che suggeriva che il PDF era corrotto; nel frattempo il remote access trojan stabiliva un canale di controllo/comando nel nostro sistema.
• “Finalmente, il malware è stato inviato dentro a un archivio di RAR crittati per assicurare che sia arrivato nel recipiente previsto, il fatto che sia crittato lega col pretesto del bisogno di proteggere una perdita degna di nota”

Fonte: The Telegraph

http://www.telegraph.co.uk/technology/internet-security/11153381/How-hackers-took-over-my-computer.html