.::Hacking Oggi::.
I
ripetuti attacchi cui sono stati soggetti molti famosi siti in tutto
il mondo sono sicuramente una dimostrazione di quanti abili hackers
ci sono in circolazione. Dai vari attacchi come il DoS (Denial of Service),
al vero e proprio rapimento dei domini, tutto sta a dimostrare come
ci sia gente in grado di fare letteralmente qualsiasi cosa, una volta
che sia connesso in rete. Ma è realmente così difficile assaltare un
sito qualunque? Possiamo dire di si, almeno per la maggior parte di
siti, ma per molti altri l'uso poco consapevole delle tecnologie relative
al Web, dà un grosso aiuto anche al principiante alle prime armi che
prova a giocare all'hacker.
E chi mai di voi immagina che uno degli strumenti migliori per questi
hacker possa essere un motore di ricerca? Prendendo ad esempio Hotbot
e andando nella sezione "advanced research", basta specificare
come file da ricercare "user" (o altre parole chiave), e ".dat"
come estensione e con un po' di fortuna si potrà raggiungere un qualche
file con i dati degli utenti dei siti peggio amministrati, raccogliendo
le loro login e password. Quale è infatti la difficoltà nell'usare una
ricerca avanzata con un qualsiasi search engine? Non è infatti difficile
pensare che anche un ragazzino di 14 anni potrebbe recuperare le informazioni
necessarie per hackerare qualche sito, avendo a disposizione in questo
modo le Shell necessarie per portare avanti attacchi ben più seri.
La cosa veramente preoccupante è che questo è uno degli aspetti meno
gravi. Con un po' più di fortuna, si potrebbe perfino mettere le mani
su qualche simpatico file contenente i dati anagrafici e magari i codici
delle carte di credito di negozi on-line, infatti quelli meno sofisticati
memorizzano questi dati degli acquirenti in file Database, o addirittura
in file di testo, per utilizarli in seguito al fine di completare gli
ordini. Il problema però è che se questi file non sono registrati al
di fuori della directory contenente il sito Web, possono tranquillamente
essere indicizzati da un motore di ricerca e linkati direttamente. Anche
l'utilizzo dell'espediente diffusissimo come il file "robot.txt"
che contiene la lista di file e directory da non indicizzare è facilmente
raggiungibile, semplicemente cercandolo (magari all'indirizzo www.ulr.ext/robot.txt)
e leggendone il contenuto si avrà la directory con i dati che interessano,
e se magari questa non è protetta da lettura...immaginate voi.
E' quindi intuibile che il gioco non è troppo complesso, e anche che
i motori di ricerca che ora consentono di effettuare operazioni decisamente
sofisticate, danno una grossa mano. Il problema quindi non risiede tanto
nello strumento, quanto nella diffusione stessa del Web: una informazione
è infatti facilmente reperibile, ma solo se lasciata sotto gli
occhi di tutti. Il recente boom di siti amatoriali e di provider più
o meno competenti e di siti di e-commerce non sempre professionali,
mette in campo operatori poco preparati e, cosa ancor più grave, per
nulla consapevoli delle conseguenze derivate dalle teconologie di cui
fanno utilizzo. A questo punto viene infatti da chiedersi a cosa servono
vari Firewall e politiche relative alla sicurezza quando chi opera nel
Web non conosce nemmeno la portata di una tecnologia che ormai non possiamo
nemmeno più definire nuova. Nuovi, certamente, sono invece i comportamenti che sfruttano le superficialità nell'utilizzo di uno strumento che solo negli ultimi anni è diventato così diffuso da interessare non solo i tecnici e gli appassionati, ma anche una schiera di persone che nel Web cercano una visibilità o un guadagno, senza preoccuparsi troppo di quello che succederà. |