Penetrati in un PC con Windows?

[mattemod]

Salve a tutti.

Un amico mi ha detto che gli sono entrati nel pc, ma sinceramente la storia regge poco. Essendo più esperto di Linux che di Windows ed essendo un programmatore ma non un esperto di sicurezza (anche se tra non molto dovrei seguire un paio di corsi a riguardo), non so se in realtà sia possibile una cosa simile.

Utilizza Windows XP, con tutti gli aggiornamenti di sicurezza installati; il portatile è dietro ad un router ed è protetto da Windows Firewall; si collega al router via wireless, ma il router usa WPA2 e se non erro anche un filtro MAC.
A suo dire, qualcuno gli è entrato nel pc, ha navigato con Firefox (utilizzando account su siti in cui aveva gli accessi "persistenti", come Facebook), ha accettato un contatto su Windows Live Messenger e ci ha parlato.

A favore della sua tesi posso dirvi che ho visto la cronologia della conversazione e ad occhio non sembra il suo modo di scrivere. Inoltre, non è in genere una persona che racconta cavolate simili, per cui sto cercando di credergli e capire se è possibile ciò che mi ha raccontato.
Di contro, c'è da dire che:
1) Mi sembra strano che qualcuno gli abbia forato firewall e router (con controllo remoto esterno alla LAN disattivato e username/password non di default) e sia riuscito a prendere il controllo di Windows con gli aggiornamenti di sicurezza installati solo per fare una cosa simile. Certo, nessuna macchina è impenetrabile (soprattutto con Windows) e di gente scema ce n'è a giro, ma fino a questo punto mi sembra strano!
2) Mentre succedeva tutto ciò, lui parlava con me su Skype e non ha visto Firefox né Windows Live Messenger che si aprivano e venivano utilizzati, per cui escluderei un controllo remoto tipo "Assistenza remota" di Windows (che tra l'altro è disattivata, in entrata sicuramente e in uscita non ne sono sicuro).
3) Credo abbia impostato una password per l'utente (non ne sono sicuro, per cui vedrò eventualmente d'informarmi, se l'informazione dovesse essere rilevante).
4) Non ha installato server VNC né altre applicazioni che creano reti VPN.

Detto questo, intuisco (ma ripeto, non sono ferrato in materia di sicurezza) che le uniche due possibilità sono che abbiano controllato in parallelo un'altra sessione dell'utente o che abbiano utilizzato in qualche modo quelle due applicazioni (Firefox e Windows Live Messenger) senza che venissero mostrate nella sessione che lui stava utilizzando (magari utilizzando direttamente il sistema di messaggi/eventi di sistema evitando in qualche modo di mostrare la GUI?).
Una cosa del genere è tecnicamente possibile? Se sì, potete darmi qualche spiegazione a riguardo?
Badate bene che non chiedo se sia più probabile che abbia raccontato una cavolata o che gli siano entrati nel pc, perché lo so che la più probabile è la prima, chiedo solo se è tecnicamente possibile (e quindi se la fiducia è ben riposta o no).

Grazie anticipatamente.
A presto!

[MatCap83]

Trojan è la risposta , preso attraverso una mail (e ovviamente relativo allegato) che il tuo amico ha ricevuto, o tramite programmi scaricati con p2p, o comunque software pirata/crack/warez. Ti rispondo ai quattro punti che hai detto:

1) nel caso di un trojan la connessione viene stabilita dall'interno del pc, e quindi in questo modo viene bypassato sia il firewall del sistema operativo (o comunque quello installato sull'host tipo zonealarm e compagnia) che quello del router.
2) l'attaccante può eseguire una serie di operazioni (avvio webcam, controllo partizioni e file/directory, ...) senza che l'utente se ne accorga
3) in XP la password se non erro serve quasi unicamente per l'accesso al sistema, e quindi come protezione da attacchi locali (se un attaccante vuole accedere al sistema dalla postazione stessa). Questo è diverso in Linux, poiché per installare software vengono richiesti i privilegi di root, e quindi la password.
4) non è necessario avere vnc installato...

Qualche settimana fa Le Iene hanno trasmesso un servizio in cui facevano vedere in che modo un attaccante potrebbe penetrare in un pc e cosa potrebbe poi fare. Ho scritto un articolo a riguardo sul mio blog, se ti interessa dagli un'occhiata...

http://matteocappelli.wordpress.com/...ricolo-hacker/

[mattemod]

Originariamente inviato da MatCap83
Trojan è la risposta , preso attraverso una mail (e ovviamente relativo allegato) che il tuo amico ha ricevuto, o tramite programmi scaricati con p2p, o comunque software pirata/crack/warez. Ti rispondo ai quattro punti che hai detto:

Ti fermo subito: è vero che è l'ipotesi più semplice e probabile, ma la possibilità che abbia preso un trojan è veramente bassa, dal momento che:
1) non usa client di posta ma legge le email online (su Hotmail e Gmail, che hanno i filtri anti-spam e bloccano contenuti da sconosciuti... e Hotmail se non erro ha anche l'anti-virus per gli allegati), per cui non possono aver sfruttato l'anteprima/apertura del messaggio
2) l'ho istruito ^^ a non aprire email provenienti da sconosciuti né tanto meno con allegati ed ancor meno ad aprire tali allegati
3) non scarica praticamente niente e sicuramente nessun crack/warez
4) ha AVG Antivirus configurato in "modalità paranoica" da me ^^ per cui immagino avrebbe identificato il trojan, se non con le definizioni virus, almeno con l'analisi euristica; credo abbia anche in scheduling l'analisi settimanale del pc
5) è l'unica persona ad usare il pc

Originariamente inviato da MatCap83
1) nel caso di un trojan la connessione viene stabilita dall'interno del pc, e quindi in questo modo viene bypassato sia il firewall del sistema operativo (o comunque quello installato sull'host tipo zonealarm e compagnia) che quello del router.
2) l'attaccante può eseguire una serie di operazioni (avvio webcam, controllo partizioni e file/directory, ...) senza che l'utente se ne accorga
3) in XP la password se non erro serve quasi unicamente per l'accesso al sistema, e quindi come protezione da attacchi locali (se un attaccante vuole accedere al sistema dalla postazione stessa). Questo è diverso in Linux, poiché per installare software vengono richiesti i privilegi di root, e quindi la password.
4) non è necessario avere vnc installato...

Qualche settimana fa Le Iene hanno trasmesso un servizio in cui facevano vedere in che modo un attaccante potrebbe penetrare in un pc e cosa potrebbe poi fare. Ho scritto un articolo a riguardo sul mio blog, se ti interessa dagli un'occhiata...

http://matteocappelli.wordpress.com/...ricolo-hacker/

Ho letto l'articolo, poi vedrò anche il video de Le Iene. Intanto ti posso assicurare che rispetta tutte quelle linee guida di base. In più, ti posso assicurare che non è il classico utonto con zero difese: un po' ha buon senso di suo, un po' l'ho informato io a dovere.

In ogni caso, io mi concentrerei sulla tua risposta al punto 2.
Com'è possibile fare ciò? Nel senso, in che modo (tecnicamente parlando) è possibile che lui (persona fisicamente al pc) non si accorga delle operazioni eseguite dall'attaccante? Cosa può aver sfruttato l'attaccante per eseguire le operazioni? È possibile avviare una sessione in parallelo dello stesso utente ed utilizzare quella in modo che la persona fisicamente al pc non s'accorga delle operazioni dell'attaccante?
Se la risposta fosse troppo lunga per essere scritta qui, accetto volentieri anche link da "studiare"

Grazie per ora e grazie anticipatamente per la risposta
A presto!

[ngiolix]

hai controllato desktop remoto?

[MatCap83]

Originariamente inviato da mattemod
In ogni caso, io mi concentrerei sulla tua risposta al punto 2.
Com'è possibile fare ciò? Nel senso, in che modo (tecnicamente parlando) è possibile che lui (persona fisicamente al pc) non si accorga delle operazioni eseguite dall'attaccante? Cosa può aver sfruttato l'attaccante per eseguire le operazioni? È possibile avviare una sessione in parallelo dello stesso utente ed utilizzare quella in modo che la persona fisicamente al pc non s'accorga delle operazioni dell'attaccante?
Se la risposta fosse troppo lunga per essere scritta qui, accetto volentieri anche link da "studiare"

Grazie per ora e grazie anticipatamente per la risposta
A presto!

Se è vero tutto quello che hai detto allora è da escludere quello che ho detto e sinceramente mi sembra alquanto strano che qualcuno sia riuscito a penetrare dentro al pc di questo tuo amico! Pensavo al massimo a qualche "vicino" che avesse crakkato la rete wireless, ma anche lì hai detto che c'è una WPA2, quindi bella robusta... fosse stata WEP o WPA poteva anche essere.
Riguardo alle domande, di software per il penetration testing ne esistono tanti. Il più famoso, solo di nome, è il subme:

http://www.subme.it/index.htm

Se ti interessa Linux, nel mese di aprile sulla rivista Linux Magazine l'articolo principale trattava di hacking di un sistema: studio di un bersaglio, ricerca delle vulnerabilità, penetrazione, privilege escalation,... Molto interessante !

[mattemod]

Originariamente inviato da ngiolix
hai controllato desktop remoto?

"Assistenza remota" è disattivato sicuramente in ingresso, non sono sicuro se anche in uscita. In ogni caso, l'assistenza remota permette di controllare la sessione corrente, per cui avrebbe visto il mouse muoversi e lavorare coi due programmi, cosa che non è accaduta.

Originariamente inviato da MatCap83
Se è vero tutto quello che hai detto allora è da escludere quello che ho detto e sinceramente mi sembra alquanto strano che qualcuno sia riuscito a penetrare dentro al pc di questo tuo amico! Pensavo al massimo a qualche "vicino" che avesse crakkato la rete wireless, ma anche lì hai detto che c'è una WPA2, quindi bella robusta... fosse stata WEP o WPA poteva anche essere.
Riguardo alle domande, di software per il penetration testing ne esistono tanti. Il più famoso, solo di nome, è il subme:

http://www.subme.it/index.htm

Se ti interessa Linux, nel mese di aprile sulla rivista Linux Magazine l'articolo principale trattava di hacking di un sistema: studio di un bersaglio, ricerca delle vulnerabilità, penetrazione, privilege escalation,... Molto interessante !

Non sono solo interessato a Linux, lo uso quotidianamente al posto di Windows che tengo solo per programmi (e giochi, lo ammetto :P) che non girano sotto Linux (o che non girano bene con Wine).
Per quanto riguarda l'articolo, ti ringrazio per avermelo detto, così vedo se in edicola trovo il numero di aprile Linux Magazine

Per quanto riguarda la prima parte della risposta, penso anch'io che sia molto difficile, infatti ho scritto qui per sapere quanto lo fosse o se fosse proprio impossibile, anche se d'impossibile non c'è quasi niente.

[HeeroYui]

dipende mattemod da molte cose..., non ci sono solo le tecniche che avete accennato o quella del video delle iene, quella diciamo è solo la punta.... le piu semplici, a naso in base a le poche cose che ci hai detto ti direi ad esempio che recentemente è stata scoperta o meglio è stata portata alla luce(girava da parecchio tempo tra l'altro...) una bella falla propio riguardante facebook, potrebbe anche aver usato quella strada l'hacker ad esempio o craccato l'account di messenger giusto per divertirsi e non centra nulla il suo pc...se il tuo amico ha controllato bene tutto e non ha rilevato nulla consiglierei di formattare giusto per stare tranquilli alla luce di questi fatti, poi come dire... fate come volete,alla prossima ciao

[mattemod]

Originariamente inviato da HeeroYui
dipende mattemod da molte cose..., non ci sono solo le tecniche che avete accennato o quella del video delle iene, quella diciamo è solo la punta.... le piu semplici, a naso in base a le poche cose che ci hai detto ti direi ad esempio che recentemente è stata scoperta o meglio è stata portata alla luce(girava da parecchio tempo tra l'altro...) una bella falla propio riguardante facebook, potrebbe anche aver usato quella strada l'hacker ad esempio o craccato l'account di messenger giusto per divertirsi e non centra nulla il suo pc...se il tuo amico ha controllato bene tutto e non ha rilevato nulla consiglierei di formattare giusto per stare tranquilli alla luce di questi fatti, poi come dire... fate come volete,alla prossima ciao

So benissimo che sono le più semplici, infatti non vi peritate a darmi informazioni più "complesse", anzi, ben vengano! Non sarò (ancora) un esperto di sicurezza, ma sono pur sempre un informatico
La falla di FB non la conosco, a meno che non sia quel'XSS rimasta aperta per 4 mesi ed ora risolta.
Crackare l'account di MSN non credo sarebbe tornato molto utile, dal momento che le conversazioni rimarrebbero sul pc su cui è stato eseguito il client e che (che io sappia) non è possibile ottenere l'accesso al pc di un utente semplicemente ottenendo i dati dell'account.

Per quanto riguarda la formattazione, certo, su quello non c'è dubbio, volevo solo sapere:
1) se i metodi per entrare in un pc con quella configurazione erano troppo pochi e di nicchia, ergo mi sta dicendo una ca****a
2) quali potessero essere i modi, in modo da aumentare la protezione ed evitare che ricapitasse
Credo di aver inquadrato entrambi i punti, per cui grazie a tutti

Se avete qualcos'altro da aggiungere, però, vi sarei ovviamente grato se lo faceste
Ciao

[HeeroYui]

mattemod rispondiamo sul vago in quanto te non ci hai dato molti dati da poter commentare, e purtroppo non siamo profeti o indivini..., ripeto se vuoi toglierti ogni dubbio formatta e a pc pulito installa un firewall con Hips e un ids oltre al resto, tutto qui , magari chiudi anche qualche servizio che il tuo amico non utilizza, questi sono argomenti ampiamente trattati qui sul forum quotidianamente.... se hai tempo e voglia consulta meglio le vecchie discussioni e troverai molti tips utili......salutoni.

[MatCap83]

Originariamente inviato da HeeroYui
mattemod rispondiamo sul vago in quanto te non ci hai dato molti dati da poter commentare, e purtroppo non siamo profeti o indivini..., ripeto se vuoi toglierti ogni dubbio formatta e a pc pulito installa un firewall con Hips e un ids [...]

Un ids su un sistema di un semplice utente mi sembra alquanto inutile, considerando il tempo e le conoscenze necessarie alla corretta configurazione...