NIkoTheWall attacchi al PC: in cosa consistono?

ATTACCHI AL PC

Rischi della posta elettronica

I virus informatici sono una delle più grosse preoccupazioni per chiunque navighi la Rete. Il pericolo di essere contagiati da un'epidemia informatica girando su Internet è concreto ma non bisogna cadere vittime dell'isteria da virus. E' importante sapere quali sono le zone o le operazioni a rischio e quali invece non costituiscono alcun pericolo.
Uno dei veicoli con cui è possibile propagare i virus via Internet è la posta elettronica. Anche qui però vi sono delle distinzioni da fare. Ti sarà forse capitato di ricevere una e-mail del tipo: "Se ricevete un messaggio il cui titolo è: Hai vinto 100 milioni, non apritelo, contiene un virus". Questo tipo di messaggi sono delle bufale colossali. E' importante sapere infatti che all'interno del testo di una email non è possibile inserire codici maligni o comandi occulti che scatenino un'epidemia informatica sul tuo Pc. Il testo di un messaggio di posta elettronica quindi è assolutamente privo di rischi. Questo significa che aprire un messaggio di posta elettronica non può in alcun modo danneggiare il tuo Pc.
Bisogna invece stare attenti agli allegati. Un file allegato a una mail, come qualsiasi altro file, può effettivamente contenere un virus. Anche in questo caso però il semplice fatto di ricevere un file infetto non vuol dire che il computer sia ormai contagiato. Un virus, perché si attivi, deve essere "eseguito". Questo significa che finché non apri il file in questione il tuo computer non può subire dei danni.
Le forma più comune di virus trasmessi tramite gli allegati sono i Macro Virus. Questa tipologia di virus viene realizzata tramite il linguaggio Macro di Microsoft Word (WordBasic). Questo linguaggio permette di creare dei piccoli codici (macro) per eseguire una serie di comandi. Se per esempio intendi inserire un'immagine con la tua foto in tutte le pagine di un documento puoi fare una macro che faccia quest'operazione in modo automatico. Sfortunatamente questo linguaggio può anche essere utilizzato per creare dei virus.
Generalmente una macro è parte di un documento di Word o di Excel quindi anche un Macro Virus è parte integrante di un documento di questo tipo. Ogni volta che apri una file di Word o Excel ti viene segnalata la presenza di una macro. Se puoi riporre piena fiducia in chi ti ha inviato il documento puoi aprirlo senza preoccupazione. Altrimenti occorre sempre fare una certa attenzione.
Comunque sono frequenti anche altre tipologie di virus informatici, in quanto sono facilissimi da creare tramite generatori di virus (disponibile), inizialmente creati solo per testare l'efficacia degli antivirus; se volete provarli visitate Astalavista e nel campo della ricerca mettete virus generator e vedrete che esistono moltissimi programmi che generano i virus, eseguito uno di questi generatori (attenzione a non eseguire i virus, molti generatori hanno nella propria directory alcuni esempi di virus già funzionanti se vengono eseguiti) vi verrà chiesto come deve comportarsi il virus, a che giorno deve attivarsi, quali file infettare, e molte altre opzioni.

Trovare l'indirizzo IP di un computer connesso ad Internet

I metodi per ottenere il vostro indirizzo IP sono molti, i più comuni sono due:

Tramite un programma per chattare (ad esempio con IRC), quando inviate una immagine, un programma o qualunque file rendete visibile il vostro indirizzo IP direttamente dal programma per chattare. Ad esempio con IRC basta cliccare con il bottone destro del mouse sul nome della persona a cui si vogliono fare le cattiverie ed andare sulla voce get URL e sarà fornito l'IP di quella persona (il formato degli indirizzi IP è xxx.xxx.xxx.xxx dove ogni xxx è un numero compreso tra 0 e 255. Con ICQ saper il vostro IP è facile basta vedere su MORE INFORMATION di un utente, nel caso abbiate occultato il vostro IP esiste un programma ad hoc per ICQ detto ICQ IP SNIFFER che mostra comunque il vostro indirizzo IP, altro programma che mostra l'IP di un utente connesso ad ICQ è SubSeven (disponibile) il quale sfrutta anche il server del netbus 1,7.

Se volete colpire un utente del suo stesso provider basta che vi colleghiate ad internet più volte e ad ogni connessione lanciate il programma fornito con Windows 95/98 chiamato Winipcfg.exe, il quale fornirà l'indirizzo IP del computer dell'hacker connesso ad internet, l'hacker a questo punto si segna i campi fissi che assegna il server, in genere sono i primi tre (o i primi due se il provider è molto grande) in questo modo gli basta fare una scansione dei vari indirizzi inserendo consecutivamente i campi non fissi fino a trovare un computer infettato (il Netbus fa la scansione automatica inserendogli la gamma di indirizzi da scandire).

Altro modo per ottenere l'IP è creando un sito un po' malvagio che cattura i vostri dati; in genere catturare i vostri dati serve solo per le statistiche dei visitatori, un esempio di ciò è nella mia pagina di ingresso del mio sito dove i vostri dati vendono trattati solo a scopo informativo.

Alcune volte gli hackers vedono gli indirizzi IP degli utenti collegati ad un provider e vedono quali campi degli indirizzi IP sono univoci per tutte le persone collegate ad un certo provider (ad esempio IOL ha come campi univoci 212.52.6x.xxx 212.52.7x.xxx, oppure TIN 212.216.xxx.xxx, si possono riconoscere facilmente cliccando sull'icona descritto al punto precedente); in questo modo se l'hacker conosce con quale provider vi collegate dovrà fare una scansione di pochi indirizzi IP per ritrovarvi (Netbus fa la scansione automatica degli indirizzi IP), si deve fare una scansione ogni volta che il computer infetto si ricollega ad internet in quanto ad ogni connessione ad internet al computer infetto viene fornito un indirizzo IP diverso.

Altro modo (per hackers esperti) è quello di utilizzare programmi per la gestione avanzata degli indirizzi IP come Netlab il quale riesce ad individuare anche la lista degli utenti collegati ad un provider, non basta, con questo programma un hackers può dirvi anche il vostro indirizzo di casa.

Altri programmi per intercettare una persona sono forniti gratuitamente con il Dos (e quindi anche con il Windows) e sono tracert e netstat.

Esistono comunque molti altri metodiche sfruttano bug (errori) di sistema dei server, bug dei firewall o programmi specifici, esiste un sito che vi spiega come fare.
Tramite il vostro indirizzo IP chiunque può sapere con quale provider vi collegate e addirittura la posizione geografica del server con cui siete collegati ad internet in quel momento, un programma in grado di fare ciò è Visual route.

Catturare la password di un computer

Per catturare la password di un computer ci sono due metodi usati dagli hacker ed entrambi utilizzano programmi di log, questi programmi di log possono essere programmi scaricati dalla posta elettronica, programmi scaricati da una pagina web o programmi inseriti da un hacker tramite la condivisione di file e stampanti di Windows se è attivata.
Il primo metodo è un programma che cattura tutto ciò che si scrive dalla tastiera, quindi appena si inserisce una password verrà registrata; sfortunatamente per gli hacker riconoscere tra tutti i dati immessi dove è la password è difficile, esistono però dei programmi che filtrano i dati e tirano fuori la password (ma non funzionano sempre).
Il secondo metodo più utilizzato è quello di copiare il campo di immissione di una password, ciò succede quando si riavvia il computer e viene richiesta la password, la si inserite come sempre ma una volta inserita nonostante il malcapitato sia certo di non aver sbagliato a digitarla, il computer dice "password errata", riscrive la password e questa volta però viene accettata; in questo caso quando ha inserito la prima password non ha fatto altro che "passarla" in chiaro all'hacker, infatti la prima schermata che compare non era del windows ma di un programma di log che cattura la password e la inserisce in un file che verrà inviato all'haker appena vi collegherete in internet, alla seconda schermata dell'inserimento della password il programma ha finito l'esecuzione, quindi non c'è nessuna traccia del programma che ha catturato la password perciò non c'è più traccia dell'hacker.
Se sul computer remoto è stato installato un programma server di un qualunque back door (Master's Paradise, Netbus...) all'hacker gli basta eseguire il programma regedit.exe fornito con il Windows e fare la ricerca (con trova) sulla parola chiave password, fatto ciò si avrà tutte le sue password (anche di programmi che non centrano nulla con Internet) e possono cambiarla a loro piacimento.

Esistono programmi per craccare (rompere, trovare) le password, come azpr programma che serve per trovare le password di file zippati, altri programmi li trovate sul sito MATRIX

VIRUS DI RETE

I Virus di rete sono virus potentissimi e intelligenti, capaci di diffondersi solo quando la rete ha poco traffico (decidendo da soli). Per essere infettati da questi virus è facile infatti diversamente dai virus normali che DEVONO essere eseguiti per infettare il sistema, questa tipologia di virus si installa da sola quando dove e perchè vuole decidendo da solo, anche lasciare semplicemente il computer connesso alla rete (come internet) senza neanche sfiorare ne tastiera ne mouse si può essere infettati da questo virus, quindi anche non ricevere file da sconosciuti non ci rende al sicuro da contagi. Uno di questi virus si chiama Remote Explorer , ha dimensione 125Kb (invece di qualche manciata di byte come i virus normali) ed è stato fatto con 50.000 righe di codice in C, si pensa più di 200 ore di lavoro, infetta reti che utilizzano Windows NT ma si installa anche in Windows 95/98, in Windows 95/98 però non è in grado di espletare bene le sue funzioni in quanto non può propagarsi ma rende inutilizzabili tutta una serie di documenti programmi e pagine web perdendo il loro contenuto (potrebbero fare una nuova versione del virus che attacca anche Windows 95/98 o anche Unix, Linux...); questo virus non danneggia il sistema: non cancella file, non formatta nulla ma si limita a comprimere e criptare file ascii (American Standard Code International Interchange) e i file html (Hyper Text Markup Language), quindi rende impossibile la navigazione nella rete, si attiva dalle 15:00 del sabato fino alle 6:00 del lunedì successivo; quando infetta un sistema questo virus si rinomina copiandosi in un file nella directory dei driver chiamato IE403R.SYS e una dll necessria per per il processo di infezione. Il virus infetta i file in directory casuali con nome prestabilito in base a dei criteri stabiliti dal virus.
I vostri computer potrebbero aver preso un virus senza neanche accorgersene.
Ci sono altri virus di rete tra cui un di questi si chiama Happy99 , e a dire la verità non è proprio un virus bensì un programma worm (letteralmente verme), che colpisce solo i computer con sistema operativo Windows installando una copia di se stesso nella cartella System e modificando la libreria di sistema WSOCK3.DLL, che gestisce le connessioni a Internet in Windows 95 e 98.

Uno degli effetti di Happy99 è che ogni volta che spedite un messaggio di posta elettronica, lui ne cancella il testo e allega una copia di se stesso al messaggio: il tutto senza che voi possiate accorgervene (in compenso se ne accorge chi riceve il vostro messaggio con annesso il regalo).
Naturalmente il virus infetta il vostro computer solo se eseguite l'allegato: quindi se non avete mai aperto un file chiamato Happy99.exe arrivato via email, che una volta aperto mostra una bella finestra con dei fuochi di artificio e gli auguri per il nuovo anno, non dovete preoccuparvi. Per altre tipologie di virus visitate il sito di How della TIN nello speciale per i virus.

FLOOD

I programmi di flood sono programmi che in intervalli di tempo definiti dall'hacker richiamano continuamente una operazione, vi chiederete come può essere devastante tutto ciò? Immaginate che questo programma richiami continuamente una pagina di un sito internet con intervalli di pochi millisecondi, dopo pochi istanti il server che contiene quella pagina si sovraccaricherebbe subito occultando il sito a chiunque volesse accedere con il messaggio di errore SERVER TOO BUSY, cioè viene buttato fuori da internet un intero sito o addirittura tutti i siti residenti dentro il server. Programmi che generano traffico fasullo ne esistono molti come click 2.2, questo programma funziona su internet su rete locale su reti connesse ad internet e sul computer stesso.

NUKE

NUKE ovvero mandare in crash (blocco irreversibile con schermata blu) il Windows.
Quante volte avete detto le parolacce a Bill Gates ogni volta che vi si blocca il computer quando siete connessi ad internet? Io tante, comunque al 80% dei casi non se lo meritava!
Se utilizzate IRC (Internet Relay Chat) oppure ICQ, invece, il problema che potete incontrare è chiamato WinNuke. WinNuke è un programma creato appositamente da alcuni abili e subdoli programmatori in modo da sfruttare un baco, un errore di Windows.
Su IRC e ICQ convivono chatters tranquilli, utenti che chiacchierano (chat significa proprio chiacchierare) amabilmente nei canali. Ma si possono incontrare persone meno tranquille che usano far rispettare le regole non-scritte di IRC e ICQ in maniera anche brutale. Uno di questi sistemi è proprio il nuking, il far esplodere le connessioni di chi trasgredisce queste regole o - semplicemente - non è gradito. Il nuking consiste nel lanciare a un utente un particolare pacchetto di dati che riesce a fare impazzire il sistema operativo di chi riceve questo messaggio. Windows impazzisce, bloccandosi irrimediabilmente e mostrando a video la tanto odiata videata blu con la scritta Fatal Exception OE, errore fatale. L'unica soluzione è spegnere il computer e riaccenderlo, non c'è altra soluzione.

Il nuking in dettaglio
Quando siete connessi a IRC chiunque sia dotato di una minima conoscenza del sistema di chatting può conoscere il vostro indirizzo IP dinamico (con ICQ anche se occultate il vostro IP esiste ICQ ip sniffer che trova comunque il vostro IP). Una volta trovato si usa un programmino chiamato appunto WinNuke (ma ne esistono mille varianti) che invia un particolare codice verso di voi, indirizzandolo alla porta del NetBios, la numero 139 (una porta è un passaggio virtuale della vostra connessione verso Internet). Si tratta di un errore nell'implementazione di Microsoft del protocollo TCP/IP, il linguaggio che consente al computer di comunicare con Internet.
Quando il vostro Pc riceve questo codice attraverso quella particolare porta impazzisce. Si blocca, il video diventa blu, e non si può fare altro che spegnere e riaccendere. Nessun danno permanente, solo la spiacevolezza di vedere chiusa la propria connessione e resettate tutte le operazioni in atto. Il protagonista storico di questa storia, WinNuke, è un programmino creato ad-hoc per polverizzare il sistema. Ormai ne esistono mille varianti, tra le quali una chiamata Liquidn divenuta famosa grazie anche alla scritta che riporta sull'interfaccia: Who Do You Want To Nuke Today (chi vuoi polverizzare oggi), con esplicito riferimento allo slogan di Microsoft: Where Do You Want to Go Today (Dove vuoi andare oggi?).

Rendersi invisibili su Internet.