Sicurezza illecita ma necessaria.
Inviato: 01/09/2014, 19:50
Due sere fa (Sabato 30 Agosto 2014) mi è venuto in mente una brutta situazione riguardo la sicurezza informatica, e ho pensato su come ci si può mettere più "al sicuro".
Non sto parlando dell'eterna lotta fra Virus e Antivirus, e nemmeno di quella fra megalomani multinazionali ingorde di dati personali contro la Privacy dell'utente.
Toglietevi pure dalla testa AdwCleaner, Combofix, Kaspersky, AdBlock plus, Flashblock e Greasemonkey, con questi software ha sempre ragione l'utente;
Io sto parlando di casi in cui l'utente non ha "legalmente ragione".
Sono andato a leggere alcune storie di persone che, con eMule o BitTorrent, si sono ritrovati la postale a casa e un sequestro di ogni dispositivo dotato di memoria di massa e processore.
(Computer, Xbox, playstation e smartphone per intenderci)
Queste persone sono dovute ricorre ad avvocati che li difendessero dall'accusa di diffusione di materiale protetto dal diritto di copyright; chi per qualche semplice canzone su BitTorrent, chi per intere librerie di film su eMule.
Dunque, parliamoci onestamente, non venite a raccontarmi che sul vostro PC non ci sta nemmeno "un 50 €" di robaccia incriminata,
tra Film in divX, BDrip, mp3, o software crackato.
Una persona di mia conoscenza una volta ha contato tutti i programmi crackati che aveva e ha cercato i costi delle licenze sommandoli uno ad uno, gli sono usciti più di 11 mila € di software illegale,
e non aveva contato film e canzoni. Per arrivare a questo "debituccio" nei confronti delle softwarehouse, ovviamente era in possesso di tutta la creative suite della Adobe, Windows 7 Ultimate, Office 2010 professional plus e 3D Studio Max 2013 della autodesk, che ai tempi, da solo, costava intorno ai 3500 €.
La polizia non è in cerca delle persone che detengono questo materiale, (dovrebbe ottenere mandati su mandati per perquisire i computer di tutti i detentori) bensì cerca di fermarne la distribuzione;
scompaiono così siti come DownloadZone e HQ-Films.
Come fermare l'altro colosso della distribuzione di materiale protetto?
Per fermare il Peer to Peer (BitTorrent, eMule, Gnutella e Direct Connect principalmente) bisogna fermare i computer con i files in condivisione.
È una cosa molto difficile scovare un pirata informatico con il computer pieno di films e canzoni, non serve un genio per abilitare la crittografia del protocollo in BitTorrent o la offuscamento del protocollo in eMule (cosa che tra l'altro fanno in pochi), in particolar modo se il traffico della sua linea ADSL è sotto controllo.
Risulta invece molto facile scovarlo se, facendo il doppio gioco, ci si connette alla rete P2P e si richiede lo scaricamento dei files incriminati.
È sufficiente aprire il programma client, scaricare un po' di films, e monitorare gli indirizzi ip a cui ci si connette mediante l'uso di semplici programmi (come CurrPorts della Nirsoft).
Che è successo allora a quei poveri ragazzi perquisiti dalla polizia?
Beh, non c'è stato molto da fare per loro, gli hanno suonato il campanello, sono entrati, hanno sequestrato i PC, i dischi fissi e anche i dischi ottici (CD e DVD);
non c'è stato tempo per loro di cancellare nulla, nemmeno una canzone.
Il giudice deciderà quanto dovranno "versare".
Voi che fareste in uno scenario simile? Vi suonano al campanello e dovete aprire, vi chiedono il vostro PC e avete in tutto 2 minuti di tempo per cancellare ogni porcheria dal computer, cosa che ovviamente non potete fare "sotto il loro naso".
Premettiamo una cosa: alla polizia postale non ci lavorano i bambini hacker lamer H4X0R ecc...
Ci lavora gente qualificata, oppure gente meno qualificata che segue comunque procedure ideate da gente qualificata, quindi state certi che...
-non vi serve avere la password sull'account di Windows per impedire che accedano ai vostri dati,
-non vi basta prendere 10GB di files eliminati e fare "svuota cestino", hanno gli strumenti adatti al recupero dei files cancellati,
-hanno tutto il tempo che vogliono per vedere ogni singolo log, ogni file temporaneo e analizzarli con cura.
Io ho pensato un po' a tutta la struttura del filesystem di un disco fisso che, per questioni di legalità, lo dichiaro come "non appartenente a me"
sulla partizione principale di questo disco fisso ci sono dei programmi coinvolti nel download "assolutamente lecito" di materiale open source, e contenuti multimediali di vari autori che... ...non ne hanno richiesto particolari tutele o diritti.
I files più importanti si trovano archiviati in una cartella cloud di un account conosciuto solo dal proprietario del computer (una cartella Dropbox che si sincronizza da sola).
I files vengono scaricati da 3 applicativi P2P (BitTorrent, eMule e Shareaza)
Sul PC è installato un server di amministrazione remota (un programma VNC che permette di controllare il PC da un altro dispositivo, come uno smartphone o un altro pc; il tutto criptato e protetto da password)
In C:\Windows\System32 sono inseriti i seguenti files:
-Eraser.dll
-Esaser.exe
-Eraserl.exe
-Erasext.dll
Sono degli eseguibili che, tramite appositi comandi, cancellano files e cartelle dal disco fisso, ne sovrascrivono i settori più volte e poi lasciano uno spazio vuoto.
Cancellare un file con questo programma significa renderlo permanentemente irrecuperabile, ne con appositi programmi, ne con microscansionatori di dischi magnetici.
Ho scritto uno script che permetterebbe a un malcapitato pirata informatico di non finire nei guai in caso di perquisizione; il file si chiama "Emergenza.bat"
Nel momento in cui lo script viene lanciato (anche da remoto tramite smartphone), vengono arrestate le seguenti applicazioni:
eMule, Shareaza, BitTorrent, dropbox, ogni applicativo Java (fra cui JDownloader nel caso in cui fosse installato), Firefox e Thunderbird.
il comando eraserl.exe come già accennato cancella in modo irreversibile i files richiesti, che sono:
1- La cartella di Dropbox (che è già al sicuro online nell'account Dropbox)
i collegamenti di autorun di Dropbox all'avvio, la cartella stessa del programma e quella dei files utente di Dropbox.
In questo modo niente e nessuno può più far riconnettere senza a Dropbox senza credenziali quel computer; anzi, nemmeno si accorgerebbero che su quel PC ci sia mai stato installato.
2- La cartella del programma di eMule, con eMule.exe e tutti i files del programma;
La cartella dei files scaricati da eMule, (quella con i files in corso o eMule\Temp, e quella dei files completati o eMule\Incoming).
Ovviamente i files che vengono scaricati non vanno perduti; vanno ordinati in base al tipo (musica, foto, video, documento) e caricati su Dropbox mano a mano che si scaricano, così nell'eventualità dell'esecuzione di "Emergenza.bat" le perdite di dati saranno ridotte al minimo. Se avete dubbi sulla sicurezza di Dropbox, si possono criptare i files con WinRAR e proteggerli con password; con una password adeguata potrebbero servire secoli alla postale per decriptarli.
Lo script di emergenza andrebbe a cancellare definitivamente anche la cartella delle impostazioni temporanee di eMule, tanto per far scomparire anche le ultime ricerche effettuate e informazioni sul nikname usato sulla rede eDonkey.
3- Shareaza, diciamo che il trattamento è lo stesso riservato a eMule.
4- BitTorrent, ogni volta che viene aperto un torrent o un magnet link, viene salvato nella cartella dei files temporanei un file torrent di backup; questo script cancella sia il programma eseguibile (BitTorrent.exe) che i torrent di backup nella cartella delle impostazioni utente (AppData)
5 -JDownloader, pressapoco come con BitTorrent.
6- Firefox, esiste un detto: "potrete anche torturarmi, ma non avrete mai la mia cronologia di navigazione!"
Cronologia a parte, su Firefox potrebbero esserci password salvate di siti pirata, link a siti particolari fra i preferiti; cancellando la cartella del profilo di Firefox restiamo comunque sul sicuro.
7- Thunderbird, potrebbe ritenersi necessario cancellare tutte le credenziali per le caselle di posta, dove possono trovarsi mail di conferma per la registrazione su siti non legali, o messaggi che possono mettere nei guai, come: "Ciao, ti passo i link per scaricare..."
Parliamo comunque di dati che non vanno persi se gli account sono configurati in IMAP.
8- Tor browser, anche su Tor ci sono dei preferiti, e solitamente chi usa Tor per navigare non vuole che si veda ciò che è stato visitato.
9- Lo script "Emergenza.bat" con i relativi programmi di rimozione sicura.
anche se questi possono venire recuperati, è sempre meglio cancellarli.
Penso che sia meglio questo che la dinamite nel PC e il detonatore alla Wile E. Coyote, metodo con meno ridondanza dei dati e un maggior costo danni in caso di emergenza.
Non sto parlando dell'eterna lotta fra Virus e Antivirus, e nemmeno di quella fra megalomani multinazionali ingorde di dati personali contro la Privacy dell'utente.
Toglietevi pure dalla testa AdwCleaner, Combofix, Kaspersky, AdBlock plus, Flashblock e Greasemonkey, con questi software ha sempre ragione l'utente;
Io sto parlando di casi in cui l'utente non ha "legalmente ragione".
Sono andato a leggere alcune storie di persone che, con eMule o BitTorrent, si sono ritrovati la postale a casa e un sequestro di ogni dispositivo dotato di memoria di massa e processore.
(Computer, Xbox, playstation e smartphone per intenderci)
Queste persone sono dovute ricorre ad avvocati che li difendessero dall'accusa di diffusione di materiale protetto dal diritto di copyright; chi per qualche semplice canzone su BitTorrent, chi per intere librerie di film su eMule.
Dunque, parliamoci onestamente, non venite a raccontarmi che sul vostro PC non ci sta nemmeno "un 50 €" di robaccia incriminata,
tra Film in divX, BDrip, mp3, o software crackato.
Una persona di mia conoscenza una volta ha contato tutti i programmi crackati che aveva e ha cercato i costi delle licenze sommandoli uno ad uno, gli sono usciti più di 11 mila € di software illegale,
e non aveva contato film e canzoni. Per arrivare a questo "debituccio" nei confronti delle softwarehouse, ovviamente era in possesso di tutta la creative suite della Adobe, Windows 7 Ultimate, Office 2010 professional plus e 3D Studio Max 2013 della autodesk, che ai tempi, da solo, costava intorno ai 3500 €.
La polizia non è in cerca delle persone che detengono questo materiale, (dovrebbe ottenere mandati su mandati per perquisire i computer di tutti i detentori) bensì cerca di fermarne la distribuzione;
scompaiono così siti come DownloadZone e HQ-Films.
Come fermare l'altro colosso della distribuzione di materiale protetto?
Per fermare il Peer to Peer (BitTorrent, eMule, Gnutella e Direct Connect principalmente) bisogna fermare i computer con i files in condivisione.
È una cosa molto difficile scovare un pirata informatico con il computer pieno di films e canzoni, non serve un genio per abilitare la crittografia del protocollo in BitTorrent o la offuscamento del protocollo in eMule (cosa che tra l'altro fanno in pochi), in particolar modo se il traffico della sua linea ADSL è sotto controllo.
Risulta invece molto facile scovarlo se, facendo il doppio gioco, ci si connette alla rete P2P e si richiede lo scaricamento dei files incriminati.
È sufficiente aprire il programma client, scaricare un po' di films, e monitorare gli indirizzi ip a cui ci si connette mediante l'uso di semplici programmi (come CurrPorts della Nirsoft).
Che è successo allora a quei poveri ragazzi perquisiti dalla polizia?
Beh, non c'è stato molto da fare per loro, gli hanno suonato il campanello, sono entrati, hanno sequestrato i PC, i dischi fissi e anche i dischi ottici (CD e DVD);
non c'è stato tempo per loro di cancellare nulla, nemmeno una canzone.
Il giudice deciderà quanto dovranno "versare".
Voi che fareste in uno scenario simile? Vi suonano al campanello e dovete aprire, vi chiedono il vostro PC e avete in tutto 2 minuti di tempo per cancellare ogni porcheria dal computer, cosa che ovviamente non potete fare "sotto il loro naso".
Premettiamo una cosa: alla polizia postale non ci lavorano i bambini hacker lamer H4X0R ecc...
Ci lavora gente qualificata, oppure gente meno qualificata che segue comunque procedure ideate da gente qualificata, quindi state certi che...
-non vi serve avere la password sull'account di Windows per impedire che accedano ai vostri dati,
-non vi basta prendere 10GB di files eliminati e fare "svuota cestino", hanno gli strumenti adatti al recupero dei files cancellati,
-hanno tutto il tempo che vogliono per vedere ogni singolo log, ogni file temporaneo e analizzarli con cura.
Io ho pensato un po' a tutta la struttura del filesystem di un disco fisso che, per questioni di legalità, lo dichiaro come "non appartenente a me"
sulla partizione principale di questo disco fisso ci sono dei programmi coinvolti nel download "assolutamente lecito" di materiale open source, e contenuti multimediali di vari autori che... ...non ne hanno richiesto particolari tutele o diritti.
I files più importanti si trovano archiviati in una cartella cloud di un account conosciuto solo dal proprietario del computer (una cartella Dropbox che si sincronizza da sola).
I files vengono scaricati da 3 applicativi P2P (BitTorrent, eMule e Shareaza)
Sul PC è installato un server di amministrazione remota (un programma VNC che permette di controllare il PC da un altro dispositivo, come uno smartphone o un altro pc; il tutto criptato e protetto da password)
In C:\Windows\System32 sono inseriti i seguenti files:
-Eraser.dll
-Esaser.exe
-Eraserl.exe
-Erasext.dll
Sono degli eseguibili che, tramite appositi comandi, cancellano files e cartelle dal disco fisso, ne sovrascrivono i settori più volte e poi lasciano uno spazio vuoto.
Cancellare un file con questo programma significa renderlo permanentemente irrecuperabile, ne con appositi programmi, ne con microscansionatori di dischi magnetici.
Ho scritto uno script che permetterebbe a un malcapitato pirata informatico di non finire nei guai in caso di perquisizione; il file si chiama "Emergenza.bat"
Codice: Seleziona tutto
taskkill /f /t /im "emule.exe"
taskkill /f /t /im "Shareaza.exe"
taskkill /f /t /im "BitTorrent.exe"
taskkill /f /t /im "dropbox.exe"
taskkill /f /t /im "javaw.exe"
taskkill /f /t /im "firefox.exe"
taskkill /f /t /im "thunderbird.exe"
C:
eraserl -silent -folder "C:\Users\Franz\AppData\Roaming\Dropbox"
eraserl -silent -folder "c:\users\Franz\Dropbox"
eraserl -silent -file "C:\Users\Franz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*"
eraserl -silent -file "C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.*"
eraserl -silent -file "C:\Users\Franz\Desktop\Dropbox.lnk"
eraserl -silent -folder "c:\users\Franz\Downloads\eMule"
eraserl -silent -folder "C:\Users\Franz\AppData\Local\eMule"
eraserl -silent -file "C:\Users\Franz\Desktop\eMule.lnk"
eraserl -silent -folder "c:\users\Franz\Downloads\Shareaza"
eraserl -silent -folder "C:\Users\Franz\AppData\Local\Shareaza"
eraserl -silent -folder "C:\Users\Franz\AppData\Roaming\Shareaza"
eraserl -silent -file "C:\Users\Franz\Desktop\Shareaza.lnk"
eraserl -silent -folder "C:\Program Files (x86)\BitTorrent"
eraserl -silent -folder "C:\Users\Franz\AppData\Roaming\BitTorrent"
eraserl -silent -file "C:\Users\Franz\Desktop\BitTorrent.lnk"
eraserl -silent -folder "C:\Program Files (x86)\JDownloader"
eraserl -silent -file "C:\Users\Franz\Desktop\JDownloader.lnk"
eraserl -silent -folder "C:\Users\Franz\AppData\Roaming\Mozilla"
eraserl -silent -folder "C:\Users\Franz\AppData\Local\Mozilla"
eraserl -silent -folder "C:\Users\Franz\AppData\Roaming\Thunderbird"
eraserl -silent -folder "C:\Users\Franz\AppData\Local\Thunderbird"
D:
eraserl -silent -folder "D:\FRANZ\PROGRAMMI\eMule"
eraserl -silent -folder "D:\FRANZ\PROGRAMMI\Shareaza"
eraserl -silent -folder "D:\FRANZ\PROGRAMMI\TOR!"
C:
DEL /f /s /q "C:\Windows\system32\eraserl.exe
DEL /f /s /q "C:\Windows\system32\eraser.dll
DEL /f /s /q "C:\Windows\system32\eraser.exe
DEL /f /s /q "C:\Windows\system32\emergenza.bat
Nel momento in cui lo script viene lanciato (anche da remoto tramite smartphone), vengono arrestate le seguenti applicazioni:
eMule, Shareaza, BitTorrent, dropbox, ogni applicativo Java (fra cui JDownloader nel caso in cui fosse installato), Firefox e Thunderbird.
il comando eraserl.exe come già accennato cancella in modo irreversibile i files richiesti, che sono:
1- La cartella di Dropbox (che è già al sicuro online nell'account Dropbox)
i collegamenti di autorun di Dropbox all'avvio, la cartella stessa del programma e quella dei files utente di Dropbox.
In questo modo niente e nessuno può più far riconnettere senza a Dropbox senza credenziali quel computer; anzi, nemmeno si accorgerebbero che su quel PC ci sia mai stato installato.
2- La cartella del programma di eMule, con eMule.exe e tutti i files del programma;
La cartella dei files scaricati da eMule, (quella con i files in corso o eMule\Temp, e quella dei files completati o eMule\Incoming).
Ovviamente i files che vengono scaricati non vanno perduti; vanno ordinati in base al tipo (musica, foto, video, documento) e caricati su Dropbox mano a mano che si scaricano, così nell'eventualità dell'esecuzione di "Emergenza.bat" le perdite di dati saranno ridotte al minimo. Se avete dubbi sulla sicurezza di Dropbox, si possono criptare i files con WinRAR e proteggerli con password; con una password adeguata potrebbero servire secoli alla postale per decriptarli.
Lo script di emergenza andrebbe a cancellare definitivamente anche la cartella delle impostazioni temporanee di eMule, tanto per far scomparire anche le ultime ricerche effettuate e informazioni sul nikname usato sulla rede eDonkey.
3- Shareaza, diciamo che il trattamento è lo stesso riservato a eMule.
4- BitTorrent, ogni volta che viene aperto un torrent o un magnet link, viene salvato nella cartella dei files temporanei un file torrent di backup; questo script cancella sia il programma eseguibile (BitTorrent.exe) che i torrent di backup nella cartella delle impostazioni utente (AppData)
5 -JDownloader, pressapoco come con BitTorrent.
6- Firefox, esiste un detto: "potrete anche torturarmi, ma non avrete mai la mia cronologia di navigazione!"
Cronologia a parte, su Firefox potrebbero esserci password salvate di siti pirata, link a siti particolari fra i preferiti; cancellando la cartella del profilo di Firefox restiamo comunque sul sicuro.
7- Thunderbird, potrebbe ritenersi necessario cancellare tutte le credenziali per le caselle di posta, dove possono trovarsi mail di conferma per la registrazione su siti non legali, o messaggi che possono mettere nei guai, come: "Ciao, ti passo i link per scaricare..."
Parliamo comunque di dati che non vanno persi se gli account sono configurati in IMAP.
8- Tor browser, anche su Tor ci sono dei preferiti, e solitamente chi usa Tor per navigare non vuole che si veda ciò che è stato visitato.
9- Lo script "Emergenza.bat" con i relativi programmi di rimozione sicura.
anche se questi possono venire recuperati, è sempre meglio cancellarli.
Penso che sia meglio questo che la dinamite nel PC e il detonatore alla Wile E. Coyote, metodo con meno ridondanza dei dati e un maggior costo danni in caso di emergenza.