Script kiddie
Da Wikipedia, l'enciclopedia libera.
Script kiddie è un termine utilizzato ad indicare quegli individui che utilizzano sistemi, tecniche, codici e programmi ideati da altri, e che si dilettano a seguire pedissequamente le istruzioni, copiando/modificando leggermente gli script creati da altre persone, facendo intendere di essere un grande guru dell'informatica. Il termine script kiddie è stato coniato (con indicazione dispregiativa) dagli hackers, verso la fine degli anni 1990, quando la diffusione dei sistemi operativi open source e degli accessi privati ad internet iniziavano ad allargare il pubblico di persone interessate al funzionamento dei personal computer, con il conseguente aumento di persone con pochi scrupoli e imitatori in cerca di notorietà.
Indice |
[modifica] Chi è lo script kiddie
Lo script kiddie è qualcuno alla ricerca di una intrusione facile. Il loro obiettivo è quello di ottenere i privilegi di root nel modo più semplice possibile. Per ottenere ciò si concentrano su un piccolo numero di vulnerabilità, cercandole su tutta la rete. Alcuni di loro sono utenti esperti che sviluppano da soli i propri strumenti software (tools) e si lasciano dietro sofisticate ”porte di servizio” (backdoors). Altri non hanno idea di quello che stanno facendo. Comunque, a prescindere dal loro livello di preparazione, hanno una strategia comune, cercare in modo casuale vulnerabilità specifiche e sfruttare queste debolezze. Sono persone incapaci di produrre autonomamente gli strumenti adatti alle proprie attività e di capire pienamente il funzionamento di quelli che utilizzano. Si definisce tale, il ragazzino che utilizzando strumenti e software comuni nell’ambiente dell’underground attacca sistemi remoti in modo sistematico. La loro competenza è leggermente al di sopra di quella dell’utente medio. Spesso chi svolge tale attività non ha nemmeno idea di cosa stia facendo, e sicuramente non è cosciente delle conseguenze delle sue azioni. Non è il genere di hacker che esplora, ma piuttosto che utilizza quanto è già disponibile. Gli script kiddie sono la forma meno evoluta di cracker. Sono persone che non sanno programmare, ma che creano pagine HTML scadenti copiando funzioni di JavaScript da altre pagine HTML scarse. Più genericamente, uno script kiddie scrive (o più precisamente copia e incolla) un codice senza avere o desiderare un'idea di quello che il codice faccia. Una variante di script kiddie è il lamer.
[modifica] Le metodologie
La metodologia usata è semplice. Gli script kiddie esplorano Internet per una specifica vulnerabilità, quando la trovano, la sfruttano. Molti degli strumenti usati sono automatici e richiedono solo una piccola interazione. Lanciano lo strumento e poi tornano a controllare il risultato qualche giorno dopo. Non ci sono due script uguali così come non ci sono vulnerabilità uguali. Comunque molti di questi strumenti usano la stessa strategia. Per prima cosa costruiscono un archivio di indirizzi IP. Quindi li testano per una specifica vulnerabilità. Inoltre i risultati di queste operazioni sono spesso archiviati o condivisi tra diversi utenti per essere usati in un altro momento. In definitiva uno script kiddie può attaccare con successo il vostro sistema senza averlo mai esaminato prima. Gli aggressori più smaliziati, una volta compromesso il sistema piazzano trojans e backdoor. Le backdoor (porte di servizio) permettono un facile e sicuro accesso al sistema in qualsiasi momento. I trojans (cavalli di troia) rendono invisibile l’ intruso. Egli non sarà visibile in nessun log, processo di sistema o struttura file. Avrà un posto sicuro da dove potrà continuare ad esaminare la Rete. Gli script sono spesso automatici per entrare nel sistema, esistono strumenti automatici per nascondere le tracce dell’intrusione, spesso chiamati rootkit. Uno dei più comuni rootkit è lrk4. I script kiddie attaccano in ogni momento. Lavorano 24 ore al giorno. Inoltre questi attacchi sono lanciati da ovunque nel mondo.
[modifica] Gli strumenti
Gli strumenti degli script kiddie sono: trojan, zombies, script già pronti, rootkit. Gli strumenti implicati sono estremamente semplici da usare. Molti sono limitati ad un singolo fine con poche opzioni. Per primi vengono gli strumenti usati per costruire un database di indirizzi IP. Questi strumenti sono realmente casuali, in quanto esaminano indiscriminatamente Internet. Lo strumento quindi seleziona casualmente quali rete IP esaminare. Un altro strumento usa un nome di dominio. Costruisce un database di indirizziIP effettuando un trasferimento di zona del nome di dominio e di tutti i sotto domini. Alcuni utenti hanno costruito database con oltre 2milioni di indirizzi IP esaminando gli interi domini .com e .edu. una volta scoperti, gli IP vengono esaminati con strumenti atti a determinare varie vulnerabilità, quali la versione di named, il sistema operativo, o i servizi in esecuzione sul sistema. Una volta identificato il sistema vulnerabile, l’ aggressore colpisce. Le due categorie di strumenti di esplorazione sono: sscan e nmap. Sscan rappresenta lo strumento di esplorazione “tuttofare” dello script kiddie. Esso fa un test della rete per un gruppo di vulnerabilità specifiche. È configurabile, permettendo l’aggiunta di nuovi test di vulnerabilità. L’utente per usarlo deve essere root. Il risultato è un elenco di molti servizi vulnerabili. Nmap rappresenta il gruppo di strumenti “raw data”. Non dice quali vulnerabilità esistono, piuttosto dice quali porte sono aperte, cosicché l’utente può determinare l’impatto di sicurezza. Ad ogni modo è necessario avere conoscenze di rete per usarlo ed interpretare i dati.
[modifica] La minaccia
È la sezione casuale dei bersagli che rende così pericoloso lo script kiddie. I sistemi che gli script kiddie cercano sono i sistemi non protetti che sono facilmente sfruttabili, l’ intrusione facile. Tradizionalmente lo script kiddie (letteralmente ragazzino da script) non ha le capacità tecniche di un cracker esperto, ma può essere ugualmente pericoloso per il carattere sistematico su larga scala dei suoi “scan” automatizzati. Gli attacchi degli script kiddie sono innocui per sistemi correttamente configurati e gestiti, in cui sono state applicate le ultime patch di sicurezza. L'80% del traffico maligno su Internet è generato da script kiddie.
[modifica] Come proteggersi contro questa minaccia
Lo script kiddie è alla ricerca di un intrusione facile, cerca delle vulnerabilità comuni. Bisogna assicurarsi che i sistemi e le reti non siano soggetti a tali vulnerabilità. Sia www.cert.org che www.ciac.org sono eccellenti fonti riguardo le vulnerabilità più comuni. Inoltre, la lista bugtraq (tenuta a securityfocus.com) è una delle migliori fonti di informazione. Un altro modo di proteggersi è quello di eseguire solo i servizi che sono necessari. Se un servizio non è necessario si può eliminarlo. Se un servizio è necessario, assicurarsi di usare l’ultima versione. Per esempi di come fare ciò, leggete Proteggere Solaris, Proteggere Linux o Proteggere NT. I server DNS sono spesso usati per sviluppare database di sistemi che possono essere esaminati. Limitare i sistemi che possono fare trasferimenti di zona a partire dai Name Server. Registrare ogni trasferimento di zona non autorizzato e seguirlo. Controllare se i sistemi sono sotto esame. Una volta identificati, si possono tracciare questi eventi per ottenere una migliore comprensione della minaccia e poter reagire.
[modifica] Esempi famosi
Gli esempi più famosi di script kiddie includono:
- Uno script kiddie di 15 anni chiamato mafiaboy è stato arrestato in un quartiere di classe superiore a Montreal nel 2000. Utilizzando strumenti scaricati atti ad iniziare attacchi DoS (Denial of service), ha inflitto danni a siti web famosi come Yahoo!, Valletta Construction Inc, Amazon.com, eBay e CNN, causando pressappoco 1.7 miliardi di dollari di danno. È stato condannato colpevole per 55 reati criminali ed ha scontato 8 mesi in un centro di detenzione giovanile e 1 anno in libertà vigilata.
- Jeffrey Pastore di Riparo, uno studente di scuola superiore di 18 anni del Minnesota responsabile per l'utilizzo della Variante B del virus chiamato Blaster. Il programma ha fatto parte di un attacco DoS contro computer che utilizzano il sistema operativo Microsoft Windows. L'attacco ha preso la forma di un SYN flood che ha solo causato danni marginali. Egli è stato condannato a 18 mesi da scontare in prigione nel 2005.
