FAQ

1) Posso risalire all’identità di una persona conoscendo il suo indirizzo IP?

Per ovvi motivi di privacy non è normalmente possibile risalire all’identità di un utente semplicemente partendo dal suo indirizzo IP. Al massimo è possibile ottenere informazioni circa il provider utilizzato e l’area geografica di appartenenza (con un margine d’errore molto grande). Per condurre analisi di questo tipo ci si può servire di strumenti quali il WHOIS, ilTRACEROUTE ed il VISUALROUTE, disponibili anche sulla pagina “ANONIMATO” di questo sito.
Il discorso assume un andamento del tutto diverso se si hanno i diritti di accesso (in modo più o meno lecito) ai databases dei provider. In tal caso è possibile controllare con massima precisione i tabulati in cui sono schematizzate le corrispondenze IP-NUMERO TELEFONICO, e quindi è possibile risalire ad indirizzo, nome e cognome dell’intestatario di quel particolare numero telefonico. Importante osservare che quei codici (tipo *67#), che alcuni antepongono al numero del destinatario, non assicurano alcuna forma di anonimato sui tabulati telefonici. Quindi le Forze dell’Ordine, in caso di gravi e comprovati abusi, possono risalire con precisione all’autore del crimine informatico.

 

2) E’ possibile recuperare la password smarrita della propria email o trovare quella di un’altra persona?

E’ possibile effettuare vari tipi di attacchi remoti sul server di posta, ma la probabilità che questi vadano a buon fine dipende principalmente dal tipo di password scelta dall’utente. Servendosi di semplici applicazioni che “testano” automaticamente una serie di password, si cerca di trovare quella corretta.
In un primo momento si tentano tutte le parole contenute in un dizionario, attacco che può essere compiuto in tempi abbastanza brevi (qualche giorno al massimo). Per questo motivo si sconsiglia vivamente di scegliere come password un termine contenuto nei dizionari, un nome di persona, una città o simili. In genere una persona con un minimo di esperienza nel campo della sicurezza informatica evita di scegliere password di questo tipo. Successivamente si passa ad un “Brute Force Attack”, cioè si tentano tutte le possibili combinazioni di lettere e numeri, fissando a priori la lunghezza della chiave; si tentano cioè tutte le combinazioni di parole composte da 5 caratteri, poi da 6, da 7 e così via. Naturalmente all’aumentare del numero di caratteri aumenta esponenzialmente il tempo richiesto per l’attacco. Nella realtà risulta praticamente impossibile effettuare un brute force attack remoto di questo tipo al di sopra dei 7 caratteri. Quindi una buona password dovrebbe contenere lettere e numeri senza alcun significato, e dovrebbe essere composta da almeno 8 caratteri.
Il discorso cambia radicalmente nel caso in cui si hanno i diritti di accesso al server come amministratori, in modo più o meno lecito. In tal caso non esiste il problema della password, si è già in grado di manipolare una casella di posta elettronica bypassando il controllo della password.

 

3) E’ possibile che il computer, a mia insaputa, effettui una connessione telefonica internazionale che graverà sulla mia bolletta?

Sì, è possobile, ma solo se si è fatto un uso non accorto del computer. Il problema, detto anche modem hijacking, consiste nel disconnettere il computer dal provider locale e connetterlo ad un provider di un’altra nazione o continente. Tutto ciò avviene solitamente ad insaputa del navigatore. Le cause sono di vario tipo. Per esempio alcuni siti pornografici offrono il loro contenuto solo a chi accetta di scaricare un “piccolo programmino” apparentemente innocuo. In realtà si tratta di un file eseguibile che genera una connessione intercontinentale estremamente costosa. Ma un utente poco accorto si renderà conto dell’accaduto solo quando riceverà la bolletta telefonica. Oltre che per la pornografia, lo stesso discorso vale per la maggior parte di siti che offrono loghi e suonerie per cellulari a patto che si scarichi un file di connessione. Uno stupido pirata informatico potrebbe accedere ad un pc poco protetto, manipolare i parametri di connessione e far collegare la vittima a qualche provider dall’altra parte del mondo.
In generale è possibile proteggersi da questi problemi evitando di scaricare materiale da siti poco affidabili, eliminando a priori allegati di posta sospetti anche se inviati da mittenti conosciuti (potrebbero essere infetti anche loro). Bisogna poi evitare di ricevere files da sconosciuti durante le discussioni in chat; se il computer dovesse all’improvviso disconnettersi e tentare di riconnettersi alla rete allora….meglio controllare il numero che sta tentando di comporre: potrebbe essere semplicemente caduta la linea, ma questo è anche uno dei principali sintomi da modem hijacking. Infine un buon antivirus ed un firewall ridurrebbero drasticamente la probabilità di restare vittime di questi stupidi giochetti. Se poi si sceglie Linux al posto di altri sistemi operativi…è molto meglio.

 

4) Ho dimenticato la password del BIOS del mio PC, quindi non posso più neppure accenderlo. Come faccio? Esiste un modo per recuperarla?

Esistono molti programmi che consentono di leggere e modificare li contenuto della memoria CMOS, aggirando eventuali password. Ma, ovviamente, questi programmi sono utilizzabili solo se il sistema è già avviato, quindi non sono di alcuna utilità nel caso in cui si vuole avviare una macchina spenta. In tal caso esiste un’altra soluzione, molto più efficace: staccare per qualche secondo la batteria tampone della scheda madre, resettando così completamente il BIOS. La scheda madre del vostro PC dovrebbe inoltre essere dotata di un ponticello che può essere opportunamente utilizzato per resettare le impostazioni del BIOS, quindi anche la password. Consultate il manuale della vostra scheda madre per maggiori dettagli. In alcuni casi poi, trovandosi davanti un computer di qualche anno fa, è possibile sfruttare alcune passwords standard che, a prescindere dalla parola chiave impostata dall’utente, consentono di aggirare il problema. Le più famose sono catalogate nella pagina di Tonycrypt dedicata alle passwords, nella sezione “sicurezza”.

 

5) Cosa è il Bo?

Il BO, acronimo di Back Orifice, è un trojan che consente intrusioni nei pc di utenti Windows. Si tratta di un’applicazione composta da una parte detta server (che va installata sul computer della vittima) e da una parte detta client che permette di gestire la vittima. Il Bo consente a questo punto di esplorare i dati della vittima, di manometterli, di eseguire programmi sul PC della vittima e molte altre cose simili. Per esempio il Bo consente anche di conoscere eventuali password digitate attraverso la tastiera (funzione svolta dal file windll.dll).Il Bo si trasmette in genere attraverso un programma chiamato SilkRope, capace di “fondere” due programmi. In tal modo il server Bo viene inserito all’interno di un altro programma apparentemente innocuo, che l’ignaro utente apre senza accorgersi dell’inganno; ecco perchè si parla di Cavallo di Troia.
Per capire se sul proprio pc è in esecuzione il server Bo non è sufficiente analizare i processi in corso (per esempio attraverso il noto CTRL-ALT-DEL). Il Bo è stato costruito in modo tale da non essere individuato con queste tecniche. Sarà invece necessario aprire il prompt di ms-dos e digitare “netstat -na”; saranno così mostrate tutte le connessioni aperte in quell’istante. Se fra esse ce n’e’ una sulla porta 31337, allora siete infetti dal Bo. Questo non è comunque tutto: il Bo consente, se opportunamente configurato, di operare su qualunque porta, quindi non è sempre facile individuarlo.
Per eliminare il Bo dal proprio pc è opportuno cancellare il file ” .exe” (lo spazio è proprio il nome del file) e “windll.dll”. Bisogna poi monitorare i programmi lanciato all’avvio, aprendo il registro di sistema e cercando le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Da qui bisogna cancellare quelle applicazione sospette o comunque di natura poco chiara. Ma attenzione nel maneggiare il registro di sistema. Prima di farlo sarebbe opportuno creare una copia dell’originale, da poter ripristinare in caso di necessità.
In generale è possibile prevenire la contaminazione da Bo server utilizzando un antivirus aggiornato ed un buon firewall (ne esistono tanti assolutamente gratuiti e molto efficienti); se poi si preferisce il sistema Linux al Windows…il livello di sicurezza è molto più alto.