Anonimato in rete

CLI & BIC: Dove CLI sta per “Caller Line Identification” e BIC per “Blocco identificazione chiamante”. Chiaramente stiamo parlando del collegamento telefonico. Il primo passo verso Internet e’ la connessione dial-up con l’ISP (Internet Service Provider) Da alcuni mesi e’ disponibile anche in Italia il CLI, ovvero l’invio del numero del chiamante; questo significa che chi riceve la vostra chiamata e’ in grado di vedere in tempo reale il numero del chiamante. Per evitare che questo avvenga, e’ disponibile il “Blocco identificazione chiamente”, che disabilita (parzialmente) questa possibilita’. Mettendo il numero 1793 (o *67#) davanti al numero da chiamare, si inibisce la possibilita’ di visualizzare il nostro numero sul display del ricevente, ma non l’invio dello stesso alla centrale Telecom; questo significa che comunque sui tabulati della telco sara’ registrata la telefonata dalla vostra utenza all’ISP, quel giorno a quell’ora…

Account falsi:Scenario: voi state “hackerando” con l’account dell’abbonamento che vi hanno regalato; vi siete registrati con il vostro nome (Mario Rossi) e vi siete collegati al computer del Pentagono… il sysadmin si accorge di un ip strano collegato al sistema (il vostro ip!), esegue un traceroute sul vostro ip, prende nota del penultimo hop e si collega sulla porta 79 di quell’host (il vostro gateway): users online

mrossi@tin.it 212.216.200.123 Mezz’ora dopo l’FBI e’ a casa vostra e suona il campanello… Questa storiella ci insegna che non e’ buona abitudine hackerare con l’abbonamento che abbiamo registrato con il nostro nome e i nostri dati anagrafici. Da quando sono nati i free-internet provider (Libero,Tiscali) la situazione e’ alquanto migliorata (non che prima fosse fosse molto piu’ complicata…); si possono creare fake-account a volonta’, utilizzando un generatore di identita’(tipo quello di Cavallo de Cavallis). Naturalmente per effettuare l’abbonamento on-line, si dovranno rispettare alcune regole auree: una l’abbiamo gia’ vista, ovvero la “disabilitazione” del CLI mettendo il numero 1793 prima del numero da chiamare, l’utilizzo di proxy.

Proxy: Uno dei problemi principali del newbie e del wannabe e’ come nascondere o cambiare il proprio ip durante la navigazione o per entrare in IRC. I browser (Explorer, Netscape) prevedono l’uso di “proxy”, ovvero computer che si frappongono tra noi e il resto della rete; quando cerchiamo di recuperare una pagina sul web, il nostro browser contattera’ il proxy, e sara’ quindi quest’ultimo a “prelevare” il documento html e a inviarlo a noi; vantaggio di questa operazione e’ che l’ip loggato dal server di destinazione (dove abbiamo prelevato la pagina) sara’ quello del proxy e non il nostro. Attenzione pero’: non tutti i proxy sono anonimi. Questo significa che in alcuni casi il proxy lascia “filtrare” il nostro ip reale che restera’ nei log del server. Prima di usare un proxy, ci si doverebbe sempre assicurare che si tratta di un proxy anonimo che non rivela il nostro ip. Questo testo puo’ essere effettuato collegandosi a http://www.anonymizer.com/snoop.cgi, una pagina che fa un test sul grado di anonimato del nostro sistema. Comunque anche utilizzando un proxy anonimo non vi dovete sentire sicuri, anzi. Sarebbe opportuno concatenare due o piu’ proxy prima di collegarsi al vero obbiettivo. Come ? Innanzitutto questa tecnica funziona solo con alcuni tipi di proxy, i Delegate; quando avete trovato alcuni Delegate, dovete mettere nella barra del browser la seguente stringa: http://proxy2.url:port/-_-“>http://proxy1.url:port/-_-http://proxy2.url:port/-_- dove proxy1,proxy2 e proxy3 sono gli indirizzi dei proxy Delegate che avete trovato. Ricordate: piu’ proxy mettete, piu’ diminuiscono le probabilita’ di essere rintracciati, ma aumenta anche il tempo di latenza, rallentando la navigazione. Ma anche i proxy loggano…

Socks: Nelle reti protette da firewall gli host interni entrano in Internet attraverso un servizio speciale: Socks. Questo protocollo la cui porta di default e’ la 1080, permette alle applicazioni che lo supportano di collegarsi a Internet in modo indiretto, con il firewall che fa da tramite. Il principio e’ lo stesso del proxy per http, ma il range di applicazioni e’ piu’ vasto. In pratica ogni applicazione che supporta Socks, puo’ collegarsi a Internet tramite Socks. Il vantaggio e’ come al solito che l’ip che appare non e’ piu’ il nostro ip reale, ma quello del firewall; inoltre nuke & DoS vari del lamer di turno saranno diretti al firewall, lasciando del tutto indifferente la nostra macchina! L’utilizzo dei Socks e’ classico nel mondo di IRC, ma puo’ essere utilizzato anche con altre applicazioni; Volete proprio usare il Netbus? Ok, ma almeno non fatevi beccare subito con il vostro ip vero… usate un Socks. Volete fare del port-surfing manuale con il Telnet? Usate Socks… Certo, non tutti i programmi prevedono l’uso di Socks (per esempio, il Telnet di serie di Windows non lo supporta), ma grazie a un programma tipo SocksCap si puo’ fare in modo che TUTTI i programmi di rete (compreso il Telnet standard di Windows) possano collegarsi in modo “anonimo”. In questo modo e’ possibile anche inviare email tramite Outlook o Eudora senza la paura di esporre il nostro ip reale, ma quello per esempio di un computer del governo di Taiwan…

Wingate: Wingate e’ un porgramma per Windows che permette di collgare piu’ macchine tramite una sola connesisone Internet, tramite le funzioni di proxy http, Socks, proxy ftp, telnet… In Internet si trovano molti Wingate mal configurati che permettono l’accesso anche a utenti non autorizzati (noi!). Il meccanismo e’ quello visto il precedenza per i proxy e i Socks (ovvero l’ip che viene lasciato in giro e’quello del Wingate e non il nostro), ma ha una modalita’ di utilizzo diversa. Lanciate il Telnet e collegatevi alla porta 23 del Wingate, se tutto e’ Ok avrete un prompt del genere: Wingate> a questo punto mettete l’indirizzo dell’host al quale vi volete collegare, segutio dal numero di porta: Wingate>bill.whitehouse.gov 23 (Naturalmente sto scherzando: lasciate stare i .gov…) a questo punto il vostro ip e’ al sicuro (relativamente, come sempre). Anche nel caso dei Wingate e’ buona norma concatenare piu’ Wingate tra di loro, cosi: quando avete il prompt del Wingate (Wingate>) inserite l’indirizzo di un altro Wingate,e poi un altro… infine l’indirizzo dell’host da attaccare. Certo aumenta il lag, ma e’ sempre meglio che andare in galera…

Trovare Proxy, Socks & Wingate: Altro problema annoso del novello “hacker”: dove li trovo i proxy & i Wingate ? Esistono diversi modi per procurarsi questi indirizzi. Il piu’ immediato (e il meno redditizio) e’ quello di andare su uno di quei siti che pubblicano liste di proxy e socks (proxy4all.cgi.net, la sezione apposita in www.cyberarmy.com e altri…). Il problema e’ che questi proxy durano pochissimo o non funzionano affatto… Conviene arrangiarsi in altro modo. Procuriamoci uno scanner e lanciamolo in giro x la rete, prima o poi qualcosa troviamo. Per informazione, le porte su cui trovare qualcosa sono le seguenti: 8080 proxy http 3128 proxy http 81 proxy http 1080 Socks Un altro modo efficace x trovare Socks e’ quello di entrare in IRC e dare il comando /stats k per avere la lista dei k-line, ovvero la lista di host “bannati”. Molti host della lista saranno Socks bannati da quel server ma perfettamente funzionanti x altri scopi! Siete pigri e non avete voglia di cercare? Aspettate che i Socks vengano a voi! Lanciate il Nukenabber e navigate tranquillamente (oppure andate su un canale molto frequentato in IRC); Alla fine della serata date uno sguardo al log del Nukenabber: tra i vari tentativi di lamer con BO & Netbus, forse ci sara’ anche qualche indirizzo di Socks utilizzabile… Altre tecniche potete trovarle nel mio articolo “Gabole nella Rete”, reperibile sul mio sito e sul numero 0 di “Lightz”.

Pericoli : Per iniziare bisogna dire che NESSUNA tecnica qui esposta garantisce l’anonimato assoluto, esiste sempre un margine di pericolo. Dal momento della connessione dial-up con il provider alla connessione tramite TCP/IP in Internet, lasciamo un mare di tracce ovunque. La compagnia telefonica ha sempre e comunque il nostro vero numero, anche se usiamo il BIC. I vari proxy che usiamo molto probabilmente (anzi, sicuramente) loggano tutto il traffico, cosi’come i Socks: forse c’e’ qualche speranza con i Wingate. Assolutamente da evitare gli host “boservizzati” o cmq “trojanizzati”. Forse il metodo piu’ sicuro e’ quello di essere root su di un sistema e avere la la possibilita’ di “ripulire” per bene i log. Da non dimenticare poi la possibilita’ di mettere nei guai gli ignari possessori di host compromessi (ancora una volta: trojan e backdoor varie) o i responsabili dei sistemi che usiamo per “rimbalzare” (Wingate, proxy…).