Intervista a Roberto Preatoni, webmaster del sito sulla sicurezza Zone-H

Antonella Serafini: Allora, cominciamo a sfatare il mitodell'hacker criminale. Raccontaci lo scopo della nascitadi zone-h.
Roberto Preatoni: zone-h sta ai black hat come don Mazzi staalla droga. Sono tutti ragazzi molto giovani e con moltotalento. Bisogna dare loro la possibilità diutilizzare in maniera lecita le lorocapacità. Se viceversa li emarginassimo,continuerebbero a fare le cose sbagliate, a fare un usosbagliato del loro talento. A differenza di chi lavoratradizionalmente nella sicurezza faccio largo uso di blackhat pentiti o, meglio, riconvertiti. E lariconversione è avvenuta proprio tramite zone-h.
L'idea di "far fare i bravi" a ragazzi ingamba potrebbe suonare presuntuosa, ma zone-h è unabella palestra, dà l'opportunità diverificare le loro intenzioni. Molti vengono allontanati sesi dimostrano male intenzionati. E tra questi, ovviamente,non tutti vengono riconvertiti, ed infatti il turnover deglioperatori in zone-h è elevato.

AS: Tra le tue molteplici attività so che staifacendo corsi di hacking. Cosa insegni ai corsisti? Come sidiventa hacker? In parole povere insegni i modi diattacco?
RP: La tipologia degli attacchi che possono essere portati adei sistemi è vastissima, ma oltre alla pratica, noifacciamo capire che quello che va considerato è chenon serve parlare di singoli attacchi o metodologiebensì bisogna insegnare gli "schemi mentali"usati dagli hackers quando approcciano un server dabucare.
Ovviamente noi facciamo vedere tantissimi esempi pratici malo scopo del seminario è di insegnare ad entrare insistemi anche sconosciuti poichè si è appresoappunto il modo di pensare di un hacker. Hacker non ci sidiventa, ci si nasce, ma se non lo si nasce ci si puòavvicinare alla loro mentalità studiando appunto ilmodo in cui loro approcciano i problemi.

AS: Tu sei un "redento"?
RP: No, io non hofatto mai il black hat. Ho 37 anni e quando io facevoqualcosa si parla di tanto tempo fa quando il crimineinformatico non era nemmeno contemplato nel codice, quandointernet ancora non esisteva. Hacking allorasignificava code cracking o nei migliori dei casi hacking dibbs.

AS: Spiega alle masse il vostro gergo. Cosa intendi percode cracking e per BBS?
RP: Allora, il code cracking è la sprotezione diprogrammi originali per poi rivenderli piratati. Allora erail tempo delle cassette in edicola del commodore 64. Ioappunto sproteggevo quei programmi che venivano rivenduticome originali. Pirateria pura, solo cheall'epoca non esisteva il reato.
Le BBS invece erano i bulletin board system e cioè ilmodo in cui degli appassionati si tenevano in contattoattraverso delle banche dati virtuali che erano connessetramite rete telefonica, tutti collegati allo stesso server,nessun utente collegato direttamente.

AS: X-Box ora ha una taglia per "craccarla".Questo per te è reato?
RP: Craccare X-Box non è un reato. Una volta che locompri è tuo e ne fai quello che vuoi. Quando tiparlavo di persone male intenzionate, intendevobucare server militari, governativi ecc.ecc. Insomma, cose un po' più serie.  

AS: Non credi sia importante il fine? Ti faccio unesempio: nel server del Ministero della Difesa sono nascostidati che proverebbero scientificamente che l'uranioimpoverito ha ridotto in stato pietoso i nostri militari.Eticamente trovi corretto o no, bucare questemacchine?
RP: Beh qui sfondiamo nell'hacktivismo.Una cosa è il fine altra cosa è la legge.Purtroppo l'hacktivismo si avvale di pratiche illecite.Queste pratiche non possono essere usate neanchedall'autorità giudiziaria per ottenere materialeda assumere a prova.
Ti faccio un esempio: se mi connetto ad una qualsiasi reteP2P, con kazaa per esempio, ci metto 10 minuti adidentificare 10 pedofili italiani pero' purtroppo il miomateriale e le mie prove non possono essereusate dall'autorità giudiziariapoichè appunto, raccolte con mezzi illeciti.

AS: Quindi.... "quando le leggi diventano ingiuste,i giusti diventano fuorilegge"! Faresti mai qualcosa diillegale a fin di bene sapendo che non ci sono mezzialternativi per arrivare a certi scopi?
RP: Sì, lo farei, puoi anche scriverlo. Se potessiessere utile a qualche giusta causa lo farei.

AS: Ti fidi dei tuoi collaboratori?
RP: Ciecamente. Uno a caso? Goodboy. Se lo conosci èuno dei più low profile che io conosca. A lui oggifaccio fare lavori di elevatissimo profilo è una dellepersone più affidabili che io conosca ed èmolto giovane. Venti anni, più o meno.

AS: Cosa pensi di un deface fatto per protestepolitiche?
RP: Penso che è "very effective". Mispiego: quando ero studente al liceo mi sono ritrovato inpiazza in una manifestazione a gridare: "Yaruzelskyvaffanculo". Dopo mezz'ora che ero fuori al freddoin piazza io ho chiesto ai miei amici: "Ma chi èYaruzelsky?!?" Al che la polizia ha caricato ed io sonoscappato perchè protestavo per una cosa che nemmenoconoscevo.
Se allora avessi avuto modo di accedere al sito web delpartito politico di Yaruzelsky e,defacciandolo, appendere un proclama, la miavoce sarebbe stata udita da migliaia di persone contro lepoche decine in piazza. Il tutto senza rischiare le carichedella polizia dal mio salotto con la birra nella mano destraed il mio furetto nella sinistra;)

AS: Diciamo che la tecnologia offre alternative permanifestare
RP: ah sì, e con l'UMTS nevedremo delle belle.

AS: Un po' di numeri di zone-h?
RP: Allora: 50 operatori provenienti da Italia, Pakistan,Olanda, Estonia, USA, Francia, Australia, India. Un archiviodi crimini digitali di 420.000 records.Abbiamo prodotto da febbraio 2002 sino ad ora 36 advisoriespropri, 4600 persone in mailing list, 300.000 click algiorno.
Gli USA sono il nostro primo visitatore, anche se gliUSA.gov e.mil totalizzano il 7,5% dei nostri click totali.Raccogliamo (stimo) un 95% dei defacements nel globo. Ilrestante 5% scappa sempre per cause diverse, tecniche epolitiche.

AS: E un po' di date?
RP: Il 2 e il 3 saremo a Roma, con un corso full immersionteorico e pratico. Non ci rivolgeremo solo a genteiperspecializzata, ma a tutti i comuni mortali. Il belloè proprio quello. Basta che tu sia un normalesysadmin. Lo scopo è di farti rendere conto con provepratiche dei percorsi mentali degli hacker.Solo allora sarai in grado di renderti conto dello stato divulnerabilità del tuo sistema. In ogni caso perinformazioni potete sempre mandare una email sul sito dizone-h, oppure agli organizzatori del corso e poi chiedete.

Grazie mille, ci informeremo.
Da censurati.it a voi in studio:)

Antonella Serafini

di seguito il comunicato stampa di lancio del corso del2-3 marzo 2004 "Hands on Hacking"

HANDS ON HACKING
02-03 marzo 2004

Comunicato Stampa
Uno straordinario corso di due giorni dedicato a tutti isecurity manager e agli amministratori di rete.
Lo scopo del corso non è solo quello di presentarepasso dopo passo le tecniche solitamente usate dagli hackerma anche quello di esporre i diversi approcci degli hackerverso la Sicurezza (pensiero laterale). Tutti gli esempi chemostreremo saranno rappresentati sia sulla piattaforma Linuxche su Windows.

Il corso è rivolto a tutti gli operatori che voglionocapire e provare le tecniche usate dagli hacker. Questo corsonon è rivolto solo agli amministratori di rete o aisecurity manager che vogliono "difendere" lapropria rete aziendale dai possibili "attacchi"esterni, ma anche a giornalisti e a enti governativi. Sespesso vi chiedete "Come faranno ad entrare nei nostrisistemi?" questo è il corso che fa per voi.

Il corso è formato da una parte teorica (30%) e da unaparte pratica (70%) e si terrà in una comoda aulaprovvista di tutti i supporti tecnici e logistici peraffrontare gli argomenti trattati. In particolare ognipartecipante avrà a disposizione un computer condoppio sistema operativo (Windows/Linux) connesso in rete eda Internet.

Il corso sarà tenuto in lingua inglese con traduzionesimultanea in italiano.
Alla fine del corso verrà rilasciato a tutti ipartecipanti un attestato.

ZONE - H TEAM
I relatori saranno:
SyS64738 e g00db0y sul fronte italiano e un docente russosul fronte internazionale.

LUOGO DEL CORSO
Il seminario si terrà a Roma presso gli uffici dellaConfCommercio.

ISCRIZIONE
Per partecipare al seminario è necessario compilarela scheda di partecipazione ed effettuare il pagamento. Imoduli sono da richiedere presso gli uffici del GruppoActive, in via del porto fluviale, 32

2 marzo

MATTINO (9.00-13.00)
- Introduzione generale alle problematiche relativeall'hacking
- Strumenti per la raccolta di informazioni sul bersaglio(target) locali: scanners, fingerprinters etc. webobased:google, netcraft, visualroute etc.
- Raccolta informazioni su vecchie e nuovevulnerabilità
- Come proteggere la propria anonimità duranteattività di hacking (shells, proxies)
- Rootkits
- Trojans
- Sessione live sulla raccolta di informazioni su varitargets
- Struttura tipica di un sito web. Enumerazione dei suoisingoli componenti e dei possibili punti vulnerabili
- Vulnerabilità in linee di comunicazione criptate(SSL)
- Vulnerabilità in firewalls e routers
- Vulnerabilità del webserver (Apache/IIS)
- Vulnerabilità a livello applicativi
- Vulnerabilità a livello database
- Cross site scripting

PoMERIGGIo (14.00-18.00)
- Cosa è un exploit?
- Introduzione all'utilizzo delle più notevulnerabilità in ambiente Linux
- SSH
- SSL
- Apache
- Altri
- Ogni studente deve passare tutti i test di live hacking(target proprietari)

3 marzo

MATTINo (9.00 - 13.00)
- Introduzione all'utilizzo delle più notevulnerabilità WINDoWS
- Frontpage extension
- Il sempre presente Unicode
- Altri
- Ogni studente deve passare tutti i test di live hacking(target proprietari)
- Attacchi ai database
- SQL injection
- URL poisoning
- Ogni studente deve passare tutti i test di live hacking(target proprietari)

PoMERIGGIo (14.00 - 18.00)
- Black box hacking session
- Hacking an unknown Windows system
- Hacking an unknown Linux system
- Hacking an unknown oS system
- Ogni studente deve passare tutti i test di live hacking(target proprietari)
- Aspetti teorici dei buffer overflow
- System patching
- Social engineering, tecniche e trappole psicologiche
- Telefonia UMTS, i pericoli e i punti deboli

Tutti i compiti di live hacking faranno parte di un concorsogenerale, alla fine del quale verrà proclamato ilvincitore delle sessioni hacking.
Ciascuna sessione hacking rappresenta un caso reale inseritoin un contesto che lega ogni esercizio di hacking con ilsuccessivo.
Al vincitore del concorso verrà assegnato un premio.



Ti potrebbe interessare anche

commenta la notizia