[bglug] Phishing tramite un modem Alice.

Emiliano Vavassori syntaxerrormmm@gmail.com
Gio 19 Set 2013 01:58:37 CEST


Il 19 settembre 2013 00:37, OLCapo <olcapo@noterdemadu.com> ha scritto:
> A me sta cosa mi sembra mooolto sempliciotta, a mio modo di vedere le cose con IP non si può stabilire chi o cosa a fatto... o no? Ci devono essere prove più precise, cosa ne dite?

Purtroppo, i legislatori (non solo italiani) su questo punto non
vedono molto più lontano. A loro è sufficiente verificare che il
traffico "malevolo" provenga da un indirizzo IP in un dato momento e
quale utente (di provider di connettività) era "connesso" a
quell'indirizzo IP nell'arco temporale di tale traffico (i provider
hanno i log degli accessi ai loro servizi di connettività) per
incastrare l'intestatario di quel contratto. È responsabilità
dell'intestatario mettere in sicurezza la propria rete, installando
sistemi hardware/software per prevenire l'uso illecito della propria
linea.

A mio modo di vedere (ma non sono un esperto forense né di sicurezza),
è sufficiente che il tuo amico si sia preso un trojan e può avere la
rete più protetta, criptata e con dispositivi superaccessoriati, a
livello enterprise e aggiornatissimi che è fo****o comunque.

Un trojan è un software che di norma si collega in autonomia (quindi,
la connessione è uscente: una cosa che difficilmente i firewall/router
casalinghi bloccano) a un canale IRC. Un insieme di computer infetti,
raggiungibili tipicamente su un canale IRC, è definito "botnet"; le
botnet sono spesso organizzate e gestite da cracker, i quali possono
impartire comandi di attacco (di diverso tipo, anche se di solito si
limitano a dDoS) a multipli PC infetti, tutti collegati alla stessa
botnet (perché tutti presenti nel canale IRC). L'attacco di fatto
origina dallo "zombie" (è come tecnicamente viene definito il PC
infetto parte di una botnet); quindi per chiudere il cerchio, dalla
connettività del tuo amico.

Un altro "scenario" è quello per cui, anche se ha una password di
amministrazione del router di Alice supermegarobustissima e
lunghissima, se la password di protezione WiFi e il protocollo di
criptazione del segnale wireless non sono eccezionalmente robusti (es:
password 0123456789 con protocollo di criptazione WEP a 40 bit) e la
sua rete wireless è stata "crackata" (nel senso che hanno indovinato o
trovato con bruteforce tutti i parametri per l'autenticazione alla
parte wireless) tutto il traffico che origina dal PC "illecito" è come
se originasse dall'indirizzo IP del tuo amico.

L'unica (abbastanza labile) speranza che vedo è:
* Dimostrare che c'era un PC infetto nella rete del tuo amico (magari,
nemmeno di proprietà sua);
* Dimostrare che è stata "crackata" la rete (a livello di wireless o a
livello di accesso amministrativo al router di Alice).

Nel primo caso penso che il tuo amico si terrà la denuncia (ripeto,
credo che sia responsabilità dell'intestatario della linea mettere in
sicurezza la propria connettività e questa situazione si configura
come "negligenza"; potrete comunque verificare questa cosa nel
contratto di fornitura del servizio di connettività). In entrambi i
casi hai bisogno di prove per dimostrarlo: un tecnico forense potrebbe
aiutarti, ma le speranze sono poche (soprattutto per il secondo
punto). Meglio sentire direttamente un avvocato specialista.

E d'altronde, "la Legge non ammette ignoranza": quindi è assolutamente
inutile dire, se fosse questo il caso, che non si sapeva di dover
cambiare la password di default dei router Alice.

Che palle, però.
-- 
Emiliano Giovanni Vavassori - syntaxerrormmm@gmail.com
Web - http://syntaxerrormmm.zapto.org/


Maggiori informazioni sulla lista bglug