Arrestato hacker siciliano che ha bucato i sistemi del ministero della Giustizia

[bonzoxxx]

Quote:

Originariamente inviato da Piedone1113

Non so come funzionano da voi, ma in genere le WiFi free offrono traffico su 80 443 e qualche volta le porte dei server di posta.... ( almeno quelle da me definite) senza considerare che prefirisci usare luoghi pieni di videosorveglianza !!!

Molto meglio rimbalzare tra vpn e VM in giro per il mondo ( secondo la mia opinione) in fondo il targhet è l'ultimo gradino da salire, perchè facilitare le cose...

sinceramente non ho mai controllato che porte siano aperte in uscita nelle reti wifi che ci sono qui, ma si vedrai saranno quelle.
Rimbalzare qui e la aiuta molto ovviamente, cosi come aiuta fare poco rumore e limitare le incursioni e il loro tempo.

Quote:

Originariamente inviato da DelusoDaTiscali

Spero che abbiano licenziato...

...il responsabile della sicurezza di quei sistemi!

Dipende, magari il responsabile IT è uno bravo e sa fare il suo lavoro, ma se un sistema da una vulnerabilità non patchata dal produttore e il black hat di turno la trova e la sfrutta, il responsabile IT non ci può fare nulla.
Per dirti, amministro un sistema che è sotto attacco brute force da mesi, ho proposto di cambiare il FW la cui vulnerabilità non può essere patchata (si potrebbe, ma il produttore ha messo il sistema AoL) per cui, almeno per il momento, ho dovuto mettere in piedi misure di mitigation cosi che gli attacchi vadano a vuoto.

La cyber o un mondo estremamente complesso, io ci sono entrato da un po e mi sono reso conto che ho ancora molto, ma moltissimo da imparare.

[alien321]

Quote:

Originariamente inviato da destroyer85

Di solito non sono mai complottaro ma a me sembra una grande operazione di marketing di cui però mi sfugge il senso.
Lo penso perché non ci sono dei veri dettagli ma delle generiche operazioni che questo avrebbe eseguito.
Forse vogliono scoraggiare qualcuno facendo vedere che anche uno molto capace alla fine è stato arrestato.

Esatto, quando si sente che 1 sola persona fa tutte quelle cose, è tutto marketing.

Se una singola persona riesce a fare tutto quello che ha fatto quel tipo, stai sicuro che in Italia non viene beccato.

Se leggi cose del tipo:

Quote:

"celava la sua attività illecita dietro ben 4 livelli di anonimizzazione e cifratura"

Ok allora come lo avete preso?

Quote:

entrava all'interno dei sistemi critici mediante tecniche diverse

Quote:

preso il controllo di store sul dark web, drenandone i proventi

Quote:

"controllare" la propria posizione con la giustizia essendo stato colpito da un'indagine della Guardia di Finanza

Quote:

L'uomo era finito nel mirino per la gestione di un black market illegale

Quote:

malware inoculato proprio a Napoli sui PC di due dipendenti del ministero

Una persone di 24 da sola fa tutte queste cose? Non ci credo nemmeno se lo vedo, stiamo parlando
di uno che Gestisce un hidden serivce su TOR, fa campagne di phishing, ruba da account Bitcoin e hackera
i sistemi di giustizia perche è sotto indagine della GDF? E inocula malware nelle infrastrutture? Tutto via VPN e
server esteri?

Se fosse vero allora non sarebbe mai stato preso dai servizi italiani, ci voleva come minimo l'interpol o FBI

[alien321]

Quote:

Originariamente inviato da Piedone1113

Sicuro?
Confondi forse l'esposizione con la comprensione...

No no, confermo pure io hai idee veramente confuse.

Quote:

Il collegamento è visibile ( da tutti e ci sono i log dell'ISP o da chiunque stia monitorando il servizio VPN).

Sai ragionando al contrario, se l'ISP non sa chi sono come può sapere che mi collego in VPN?
Dovrebbe monitorare TUTTE le connessioni di quel provider VPN per TUTTI gli utenti italiani,
cosa illegale

Quote:

Quello che non può essere visto sono i dati ( ma la connessione https fa la stessa cosa...)

Non ci sei nemmeno vicino, una VPN non funziona in questa mania,

Tu ti colleghi al provider VPN e poi da li partono le connessioni a chi vuoi tu, l'isp non sa nemmeno che ti colleghi
in vpn dato ci sono decine di provider vpn diversi con altrettanti entry pont differenti e non si possono monitorare
tutti per tutti gli utenti italiani.

Quote:

La difficoltà sta nel capire chi ha avuto accesso alla risorsa dato che l'indirizzo del pacchetto è sempre del server vpn.
E qui inizia la triangolazione:
SE al server vpn sono connessi 100 utenti nel momento di accesso alla risorsa ( è un numero basso volutamente) chi ha fatto la richiesta è da cercare nella lista monitorata.

Qui cominciano le cazzate UFO, non puoi sapere chi è collegato a un provider VPN, serve la collaborazione del provider VPN, e cosa
monitori? Tutti gli IP italiani? Stai ragionando al contrario dai per scontato di sapere gia chi devi monitorare. Ma non lo sai !
Quello che sta descrivendo è un tipo di timing attack ma non funziona in questo caso

Quote:

La volta successiva ad inviare pacchetti ci saranno sempre connessi 100 utenti al server vpn, ma una parte di essi sarà differente, quindi la lista si restringe a 80 indirizzi.

E come capisci che sono differenti? Non hai basi per stabilirlo

Quote:

Va per logica che più richieste ci sono più si restringono i possibili indirizzi attenzionati ( che non devono essere per forza criminali ma anche comuni dissidenti politici)

Questo in Italia non può funzionare, è il metodo usato dalla cina, ma loro hanno un "firewall nazionale" e totale assenza di leggi che vietano il controllo globale.

Quote:

Il fatto che i dati viaggiano in vpn è ininfluente dato che sono in chiaro in destinazione.

Che non serve a nulla per identificare la sorgente

Quote:

L'importante è risalire a chi invia realmente la richiesta.
Questa è una tecnica usata spesso, ma se dall'altro lato trovi un attaccante pronto a reagire puoi ritrovarti il tuo sistema compromesso e ti rintracciano molto prima.

È usata spesso ma non per deanonimizzare le VPN ma per bloccate TOR, e funziona solo se si hai controllo
di un NODO TOR, cosa che non puoi fare con una VPN

[Piedone1113]

Quote:

Originariamente inviato da alien321

No no, confermo pure io hai idee veramente confuse.



Sai ragionando al contrario, se l'ISP non sa chi sono come può sapere che mi collego in VPN?
Dovrebbe monitorare TUTTE le connessioni di quel provider VPN per TUTTI gli utenti italiani,
cosa illegale



Non ci sei nemmeno vicino, una VPN non funziona in questa mania,

Tu ti colleghi al provider VPN e poi da li partono le connessioni a chi vuoi tu, l'isp non sa nemmeno che ti colleghi
in vpn dato ci sono decine di provider vpn diversi con altrettanti entry pont differenti e non si possono monitorare
tutti per tutti gli utenti italiani.



Qui cominciano le cazzate UFO, non puoi sapere chi è collegato a un provider VPN, serve la collaborazione del provider VPN, e cosa
monitori? Tutti gli IP italiani? Stai ragionando al contrario dai per scontato di sapere gia chi devi monitorare. Ma non lo sai !
Quello che sta descrivendo è un tipo di timing attack ma non funziona in questo caso



E come capisci che sono differenti? Non hai basi per stabilirlo



Questo in Italia non può funzionare, è il metodo usato dalla cina, ma loro hanno un "firewall nazionale" e totale assenza di leggi che vietano il controllo globale.



Che non serve a nulla per identificare la sorgente



È usata spesso ma non per deanonimizzare le VPN ma per bloccate TOR, e funziona solo se si hai controllo
di un NODO TOR, cosa che non puoi fare con una VPN

Mi sa che le idee confuse non sono le mie: se hai un link diretto ( rame, fibra, un tuo satellite, segnali di fumo) al Server VPN hai ragione, non puoi essere mappato, altrimenti devi passare da almeno 4 nodi di rete per uscire dall'Italia.
Anche un semplice dslam ha i log di connessione con l'obbligo di essere conservati per un anno.
Spiegami come faresti ad aprire un collegamento verso un Server VPN o verso un nodo TOR se gli apparati di rete non sono in grado di inoltrare il pacchetto se non può interpretare lheader del pacchetto di inoltro.
Perché tutta l'infrastruttura deve poter leggere l'indirizzo di destinazione altrimenti non processano proprio la richiesta e nei casi peggiori ti tagliano pure il link.

[destroyer85]

Una volta che hai stabilito il tunnel il massimo che un ISP può vedere è stai facendo traffico verso il server VPN. Quello che succede dopo solo il provider VPN lo può sapere.
È interessante vedere come, nonostante la martellante campagna di NordVPN ad usare un'inutile VPN (se non per roba pirata), qualcuno non abbia ancora idea di come funzioni.

[EMAXTREME]

Quote:

Originariamente inviato da bonzoxxx

Seriamente, vorrei sapere di più come uno che usa una VPN, magari tunnelizzata dentro un'altra o più, possa essere rintracciato.

vi state completamente dimenticando che il tizio in questione si è fatto sgamare perchè ficcava costantemente il naso dentro i server della postale, ci hanno messo 1 anno per beccarlo perchè a furia di andare e venire qualche traccia (anche bella grossa) l'ha lasciata, sottovalutando le loro competenze oltretutto.
non gli bastava il social engineering pure il malware gli doveva buttare, chiaro segno che ha sottovalutato l'intero dipartimento, scarsa lungimiranza, da che mondo e mondo qualche bravo paladino skillato lo trovi sempre che spera di far carriera, non sono tutti raccomandati, ok magari 9 su 10 si ma ne basta uno per scovare la magagna, il resto è fare gioco di squadra, non hai bisogno di scienziati della nasa e guardacaso lo han preso, mica così fessi quelli della postale a quanto sembra neh ?

ma secondo te, se uno ha la coda di paglia e con tecniche di social engineering a cadenza regolare fa delle query tipo "ma pinco pallino è indagato ?" tu cosa penseresti per prima cosa ?
nel corso di quell'anno avran tirato su anche dei ghost log e fatto un check delle voci mancanti, capirai che ci vuole.

la ciliegina sulla torta è stato il malware ad hoc, ma vogliamo sparare sulla croce rossa ? già con le numerose ricerche gli ha regalato nome e cognome, anche fosse che utilizzava (supponiamo) una rete di casa non intestata a lui era comunque già registrato come volto tramite carta di identità, anche senza particolari sofismi prima o poi lo sgamavano, si fosse fatto il suo bel market nel deep web senza punzecchiare col bastoncino la postale la avrebbe fatta franca.

quando si fanno ste porcate la prima cosa da cui dover stare alla larga sono proprio le connesioni cablate, vallo a trovare un tizio a caso in mezzo al nulla che si collega usando uno smartphone con rom customizzata a dovere ed un dispositivo che falsifica la posizione gps senza manomettere l'hardware del telefono con pure una sim intestata a pinco pallino, si riducono a setacciare kilometri quadrati di boschi e radure per cercare una antennina camuffata da ramoscello ?

te la faccio più semplice dai, se vengo a casa tua di nascosto anche col volto coperto facendo in modo che nessuno sappia niente ma ti lascio un ricordino sul divano, ma scommetti che lo scopri che sono stato io ?
poteva stare anche dietro 50 vpn/proxy ma a quel punto non servivano più a nulla, avevano già volto, nome e cognome, era solo questione di raccogliere le prove e inchiodarlo con le mani nella marmellata. (sistema carta e penna e riunioni senza dispositivi elettronici)

[DelusoDaTiscali]

Quote:

Originariamente inviato da bonzoxxx

... La cyber o un mondo estremamente complesso, ...

Stiamo parlando del sistema giudiziario, il "nocciolo duro" di ciò che chiamiamo Stato, e succede proprio mentre si spinge l'acceleratore sulla digitalizzazione.

In caso di conflitto siamo a c*lo scoperto, questo è inaccettabile, se per evitarlo bisogna tornare comunicare con i pizzini lo si faccia.

[andbad]

Quote:

Originariamente inviato da Piedone1113

Anche un semplice dslam ha i log di connessione con l'obbligo di essere conservati per un anno.

Lavoro in un ISP e log di quel tipo non esistono. Ci sono i log PPP, che collegano IP a utenza, ma ci fai nulla se non hai l'IP.

Solo l'autorità giudiziaria può disporre il monitoraggio di una connessione (in vent'anni non è mai capitato sui dati, solo sul VoIP).

By(t)e

[andbad]

Quote:

Originariamente inviato da alien321

Esatto, quando si sente che 1 sola persona fa tutte quelle cose, è tutto marketing.

Se una singola persona riesce a fare tutto quello che ha fatto quel tipo, stai sicuro che in Italia non viene beccato.

Se leggi cose del tipo:



Ok allora come lo avete preso?











Una persone di 24 da sola fa tutte queste cose? Non ci credo nemmeno se lo vedo, stiamo parlando
di uno che Gestisce un hidden serivce su TOR, fa campagne di phishing, ruba da account Bitcoin e hackera
i sistemi di giustizia perche è sotto indagine della GDF? E inocula malware nelle infrastrutture? Tutto via VPN e
server esteri?

Se fosse vero allora non sarebbe mai stato preso dai servizi italiani, ci voleva come minimo l'interpol o FBI

Bisogna sempre fare la tara ai comunicati stampa. Un po' come il milione di manifestanti che per la DIGOS sono 200 malcontati.

Così il Comandante si fa bello, gli arriva la promozione e se al processo viene fuori che il tizio aveva a malapena scaricato un film su torrent chissene.



By(t)e

[Wrib]

Quote:

Originariamente inviato da Cfranco

Intanto i 3 milioni sono quelli che gli hanno sequestrato, bisogna vedere quelli che è riuscito a non farsi sequestrare ...
Poi per quel reato lì è già tanto se si fa 6 mesi dentro, poi magari gli daranno un paio d' anni ai domiciliari, se sono molto severi

Quesi sempre quando arrestano dei pirati informatici si legge "sequestrati tot euro in bitcoin".

Ora, uno che ha tutte queste competenze se vuole cifra i wallet dei suoi bitcoin in modo che siano impossibili da sequestrare, difficilmente lascia un wallet in chiaro (o cifrato con chiave debole e/o algoritmo bucato) sul desktop del pc di casa. Quindi potrei ipotizzare che:

1) ne abbia molti di più cifrati e segreti e i 3 milioni in chiaro fossero uno specchieto per allodole nel caso fosse stato arrestato facendo credere agli inquirenti di avergli sequestrato tutto ma avendone altri pronti per quando uscirà di galera.

2) li avrà avuti cfirati e gli avranno detto: se ci consegni i fondi avrai meno anni di galera o qualcosa del genere

3) li avrà avuti cfirati e gli avranno detto: se non ci consegni i fondi useremo questa grossa chiave inglese sulla tua testa

[andbad]

Quote:

Originariamente inviato da Wrib

Quesi sempre quando arrestano dei pirati informatici si legge "sequestrati tot euro in bitcoin".

Ora, uno che ha tutte queste competenze se vuole cifra i wallet dei suoi bitcoin in modo che siano impossibili da sequestrare, difficilmente lascia un wallet in chiaro (o cifrato con chiave debole e/o algoritmo bucato) sul desktop del pc di casa. Quindi potrei ipotizzare che:

1) ne abbia molti di più cifrati e segreti e i 3 milioni in chiaro fossero uno specchieto per allodole nel caso fosse stato arrestato facendo credere agli inquirenti di avergli sequestrato tutto ma avendone altri pronti per quando uscirà di galera.

2) li avrà avuti cfirati e gli avranno detto: se ci consegni i fondi avrai meno anni di galera o qualcosa del genere

3) li avrà avuti cfirati e gli avranno detto: se non ci consegni i fondi useremo questa grossa chiave inglese sulla tua testa

Probabilmente quei 3 milioni nemmeno sono suoi.

By(t)e

[Piedone1113]

Quote:

Originariamente inviato da andbad

Lavoro in un ISP e log di quel tipo non esistono. Ci sono i log PPP, che collegano IP a utenza, ma ci fai nulla se non hai l'IP.

Solo l'autorità giudiziaria può disporre il monitoraggio di una connessione (in vent'anni non è mai capitato sui dati, solo sul VoIP).

By(t)e

Difatti un dslam fa i log delle connessioni PPP, ma i nas di zona conservano i log di connessione ( e lasciamo perdere i log delle query dns che servono solo per gente normale) e sono disponibili per un anno solo all'autorità competente.
Ma non è una mia supposizione, ma derivante dalle leggi antiterrorismo varate da anni ormai.
L'anonimato in rete è una chimera ( come per le reti Tor), quello che varia è la sola complessità del percorso per risalire alla persona fisica.
Gia solo il fatto di obbligo per tutti i servizi di wifi free ( pubblico o privato che sia) di dover avere un registro di log con corrispendenza univoca tra utente ed indirizzo IP dovrebbe far riflettere.

[bonzoxxx]

Io sono connesso ora al wifi free.
Mi ha chiesto una mail senza neanche chiedermi l'autenticazione (ma non sono in Italia).
Il dispositivo ha MAC dinamico, sto usando Nord VPN (vabbè sorvoliamo, ma per quello che mi serve, roba lecita, va bene), come fanno a capire che io sono io se instauro una connessione da qualche parte, se l'IP nell'header è del server VPN?

[andbad]

Quote:

Originariamente inviato da Piedone1113

Difatti un dslam fa i log delle connessioni PPP, ma i nas di zona conservano i log di connessione ( e lasciamo perdere i log delle query dns che servono solo per gente normale) e sono disponibili per un anno solo all'autorità competente.
Ma non è una mia supposizione, ma derivante dalle leggi antiterrorismo varate da anni ormai.
L'anonimato in rete è una chimera ( come per le reti Tor), quello che varia è la sola complessità del percorso per risalire alla persona fisica.
Gia solo il fatto di obbligo per tutti i servizi di wifi free ( pubblico o privato che sia) di dover avere un registro di log con corrispendenza univoca tra utente ed indirizzo IP dovrebbe far riflettere.

Non so cosa intendi con "nas di zona" ma ti assicuro che lato provider non ci sono log che riguardano cosa passa sulla sua rete. Se poi un PM chiede di fare una intercettazione, è un altro discorso, ma in quel caso sai già quale IP attenzionare.

Quello che dici tu è una sorveglianza di massa del traffico, ovvero il Great Firewall cinese, e da noi non esiste.

By(t)e

[nebuk]

Quote:

Originariamente inviato da cignox1

Quello che invece sorprende sempre me é che gente con tali capacitá e competenze, pur potendo accedere a lavori straordinariamente ben pagati, o fare consulenza etc, si rovina la vita in questo modo. Ma perché?
Mah?

Perché si è preso 3 milioni, qua al max senza referenze pregresse si prendeva un contratto da stagista

[andbad]

Quote:

Originariamente inviato da bonzoxxx

Io sono connesso ora al wifi free.
Mi ha chiesto una mail senza neanche chiedermi l'autenticazione (ma non sono in Italia).
Il dispositivo ha MAC dinamico, sto usando Nord VPN (vabbè sorvoliamo, ma per quello che mi serve, roba lecita, va bene), come fanno a capire che io sono io se instauro una connessione da qualche parte, se l'IP nell'header è del server VPN?

Molto difficile ma non impossibile, IMHO (e con tanti se).
Contattano NordVPN e gli chiedono i log. Da quelli risalgono all'IP, sul router identificano l'AP e così circoscrivono l'area geografica.
Poi sorvegliano il sito e quando rilevano un accesso ad una determinata risorsa (sempre con l'aiuto della VPN) osservano chi è in quel posto (triangolando il segnale wireless puoi anche identificare la posizione, se non in vista).

Un po' fantascientifico, ma possibile in teoria.

By(t)e

[nebuk]

Quote:

Originariamente inviato da andbad

Molto difficile ma non impossibile, IMHO (e con tanti se).
Contattano NordVPN e gli chiedono i log. Da quelli risalgono all'IP, sul router identificano l'AP e così circoscrivono l'area geografica.
Poi sorvegliano il sito e quando rilevano un accesso ad una determinata risorsa (sempre con l'aiuto della VPN) osservano chi è in quel posto (triangolando il segnale wireless puoi anche identificare la posizione, se non in vista).

Un po' fantascientifico, ma possibile in teoria.

By(t)e

Quello si, però NordVPN lo contatti dopo che ti è arrivata la denuncia ed hai già scoperto che usa NordVPN.. nel frattempo magari il tizio ha già fatto quello che doveva fare o si è spostato da un'altra parte.

[bonzoxxx]

Quote:

Originariamente inviato da andbad

Molto difficile ma non impossibile, IMHO (e con tanti se).
Contattano NordVPN e gli chiedono i log. Da quelli risalgono all'IP, sul router identificano l'AP e così circoscrivono l'area geografica.
Poi sorvegliano il sito e quando rilevano un accesso ad una determinata risorsa (sempre con l'aiuto della VPN) osservano chi è in quel posto (triangolando il segnale wireless puoi anche identificare la posizione, se non in vista).

Un po' fantascientifico, ma possibile in teoria.
By(t)e

Si, poi mettiamoci anche le telecamere di sorveglianza che controllano chi si aggira da quelle parti con un dispositivo in mano. È un'ipotesi concreta.
]

Quote:

Originariamente inviato da nebuk

Quello si, però NordVPN lo contatti dopo che ti è arrivata la denuncia ed hai già scoperto che usa NordVPN.. nel frattempo magari il tizio ha già fatto quello che doveva fare o si è spostato da un'altra parte.

Vero, infatti quello è importantissimo, tant'è che la fase di pianificazione è lunga, ma "l'attacco" vero e proprio dura poco ed è atto, il più delle volte, a settare persistenza sul sistema. Poi silenzio per un certo tempo, poi piano piano, con le dovute cautele, si entra e si fanno cose.

[Piedone1113]

Quote:

Originariamente inviato da andbad

Non so cosa intendi con "nas di zona" ma ti assicuro che lato provider non ci sono log che riguardano cosa passa sulla sua rete. Se poi un PM chiede di fare una intercettazione, è un altro discorso, ma in quel caso sai già quale IP attenzionare.

Quello che dici tu è una sorveglianza di massa del traffico, ovvero il Great Firewall cinese, e da noi non esiste.

By(t)e

Non ci sono i log di cosa passa sulla rete, ma ci sono i log di chi passa per la rete, e sono due cose diverse e ben distinte.
Lato provider non sanno cosa stai facendo ( a meno di intercettazione) ma sanno benissimo chi ha avuto accesso da dove e dove ha puntato ( ed il MAT serve a far funzionare la rete beninteso).
Conservare tali log oltre ad essere obbligatorio ( per legge) non violano nessuna disposizione del gdpr dato che da soli non offrono una corrispondenza univoca tra chi fa la richiesta e l'indirizzo.
Ti dirò di più, fino al 2022 gli ISP conservavano i log fino a 6 anni, mentre adesso il limite dovrebbe essere 1 anno ( salvo rinvii delle attuazioni del Garante della privacy che reputava tale limite di tempo, pur se conforme alle direttive europee, esagerato).
Qua non si tratta di sorveglianza di massa, come da molti indicata, ma di prevenzione dei reati.
Il fatto poi che in nessun modo gli isp debbano ( teoricamente) incrociare i dati dell'utenza con quello dell'accesso garantisce la riservatezza della cosa.
Lavorando per un ISP dovresti sapere poi come funziona l'inoltro dei pacchetti fino alla dorsale e quanti salti tra i vari router sono necessari (in media) per uscire fuori dall'Italia.

[Piedone1113]

Quote:

Originariamente inviato da bonzoxxx

Io sono connesso ora al wifi free.
Mi ha chiesto una mail senza neanche chiedermi l'autenticazione (ma non sono in Italia).
Il dispositivo ha MAC dinamico, sto usando Nord VPN (vabbè sorvoliamo, ma per quello che mi serve, roba lecita, va bene), come fanno a capire che io sono io se instauro una connessione da qualche parte, se l'IP nell'header è del server VPN?

Ti hanno chiesto l'email senza conferma di avvenuta registrazione?
Strano ( e si rischia di andare nel penale).
Diversamente se hai dovuto validare da email i modi per risale a te ci sono.

Vedo sempre più spesso wifi free in Italia che ti fanno accedere con spid ( e la non serve modificare il Mac)
Molte reti free poi ( tipo wifi free italia) dopo aver fatto l'accesso per la prima volta ( con spid) ti rilasciano un token che verrà usato nei successivi accessi ( anche da AP diversi in diverse località) con una validità fino a 3 mesi.

Vogliamo credere che tale sistema non conservi i log?
O che siano illegali?
Liberissimi di crederlo, ma la realtà è spesso molto diversa da quello che vogliamo vedere.