Oh, hacking. Giulia Sarti &co; (2nda parte)

Mi sono arrivate alcune reazioni irate allo scorso post, e quando io scrivo un post, lo leggono decine di migliaia di persone e mi arriva un feedback iroso, so di trovarmi in una “tangente del Caos” (1) e quindi so di aver toccato un nervo scoperto. Allora, adesso andiamo a fondo.

So che la merdosfera di destra si sta affannando a provare che il fatto sia irrilevante  e che gli “Hacker del PD” non hanno scaricato per uno scherzo del destino la posta inviata di nessuno dei parlamentari M5S, e allora adesso riepilogo il punto.
Ho esaminato gli headers di tutti i messaggi scaricati, ed ho visto che essenzialmente per nessun parlamentare hanno scaricato messaggi inviati. Per chi vuole sapere cosa dici, un pelo insolito. Specialmente se ha le tue credenziali.
Questo sembra essere dovuto ad una limitazione di POP3, ma la vera domanda e’ “perche’ un hacker dovrebbe essere limitato al protocollo POP3?”.
LA MIA TEORIA, IL MIO SOSPETTO, E’ CHE QUESTI SIGNORI NON ABBIANO MAI AVUTO LE CREDENZIALI DEI PARLAMENTARI, MA ABBIANO AVUTO ACCESSO AI COMPUTER DEI PARLAMENTARI STESSI, CHE SINCRONIZZAVANO LA MAIL  USANDO POP3.
Perche’, per esempio non hanno usato interfacce che lasciavano leggere anche la posta inviata, come IMAP o EWS? Ho visto da questo momento partire delle sbroccate infami , per dimostrare minchiate come “yahoo non offre IMAP” oppure che so io “hotmail si accede solo via POP3”
Da questo momento molti sbroccati DI DESTRA hanno iniziato a bombardarmi di affermazioni strane, tipo che “tu non puoi sapere quanto sia facile o difficile farlo.
Aha.
Cosi’, adesso vi mostro quanto sia difficile farlo.
Ecco qui come si accede, usando perl e CPAN, alla posta inviata di Yahoo:
31 righe di codice.
Forse con altre due per salvare su file. Funziona? Si, funziona.
Tutto qui, quello che i nostri famosi hacker non hanno saputo fare?
Ah, giusto, la Sarti. Mi dicono che accedere a hotmail usando perl sia complicatissimo, e che occorra uno studio enorme. Aha.
Complicatiiiiiiissimo, isn’t it? Rocket science, at least.
L’altra vexata quaestio e’: perche’ usare un sistema del genere, scrivendosi BEN 30 righe di codice in perl,  anziche’ un sistema come gmx? La risposta e’ semplice: gmx, per la legge tedesca, tiene i log almeno 21 giorni, dove “almeno” significa che normalmente se ne tengono ancora di piu’.
Al contrario, far girare uno script cosi’ NON LASCIA TRACCE. Andate in un cavolo di posto con una wifi , puntate su un proxy anonimizzante tra le centinaia al mondo, e ci siete.
Cosi’, vediamo cosa avrebbero – e ripeto avrebbero – fatto i nostri eroici “Hacker del PD”.
Pur potendo scaricare OGNI folder dei parlamentari, e quando dico “OGNI” intendo “anche la posta inviata” , si sono limitati alla inbox, sperando che i messaggi non fossero stati ordinati in altre cartelle , quando potevano averli tutti scrivendo una decina di righe di perl (o di python, o di qualsiasi cosa preferiate).
E per questa scelta non solo hanno perso la parte piu’ “succosa”  dei messaggi, cioe’ quelli inviati, ma hanno ANCHE messo di mezzo un ente che tiene i log degli IP con gli accessi, pronti per la polizia.
Vediamo invece la MIA teoria.
I parlamentari devono avere degli uffici con dei computer. Un servizio della camera si occupa di formattare i computer e configurarli per entrare in rete. Le macchine sono in un dominio per gestire gli accessi e hanno un’amministrazione centrale di rete.
I parlamentari arrivano, e alcuni di loro decidono di sincronizzare la loro posta scaricandola in locale. Nel fare questo, configurano i loro mac o i loro pc per scaricare la posta.  Usano POP3, perche’ e’ l’unico protocollo che sia facile da configurare sul PC, e perche’ non vogliono scriversi 20 righe di perl.
Adesso, qualcuno accede a quei computer . O lo fa via rete perche’ e’ possibile farlo, oppure entra davvero nella stanza e copia fisicamente le cartelle.
IN QUESTO CASO, E SOLO IN QUESTO CASO, IL NOSTRO HACKER HA UN LIMITE , CHE E’ LO STESSO LIMITE DEL PC CHE HA VIOLATO.
Ovviamente, il nostro hacker non vuole farsi scoprire. Cosi’, siccome l’email in locale e’ in un formato che permette di capire che il furto sia avvenuto sul computer, si crea un account su hotmail, e poi uno su gmx, ed effettua il trasbordo.
Cosi’, sembra quasi che il suo limite sia stato GMX, ma in realta’, il loro limite viene da prima, tantevvero che alcune vittime (quelle con account yahoo) non sono state fatte passare per GMX, ma hanno comunque la carenza della posta inviata.
Come ho gia’ scritto l’hacker tentera’ sempre di farvi credere di aver violato un sistema mediante qualche sofisticata tecnica, qualche expolit esotico o qualche segreto , perche’ sanno che se qualcuno andasse a verificare i log della Sarti su hotmail non troverebbe nulla: gmx ha scaricato quella roba da un altro account.
Il passaggio hotmail->gmx, e’ una pura invenzione fatta per sviare l’attenzione sul fatto che l’effrazione non ha colpito la casella di posta, ma il PC dei parlamentari.
Se dovessi dare dei consigli ai parlamentari M5S:
  1. Non portate il vostro computer personale alla camera, non collegatelo a reti della camera. Il furto probabilmente e’ avvenuto li’.
  2. Portate alla camera solo dispositivi che potete tenere addosso per tutto il tempo, come cellulari e tablet, ma solo se li tenete addosso. Non collegateli per nessun motivo alla rete della camera.

Parliamo di [email protected]

 Se e’ quello l’account. Ammesso che sia davvero stato usato quello per lo scaricamento, visto che basta un semplice comando tipo
perl -pi -e ‘s/vero/nyco12/g’ *
e in tutti i files il vero indirizzo [email protected] viene sostituito dal [email protected] Ma questo conta poco, perche’ la polizia postale potrebbe chiedere a gmx chi abbia usato il loro sistema per scaricare un GB di posta della Sarti, per dire. E’ fattibile, se gmx collabora.
Ma
Adesso andiamo al punto saliente: ho appena inviato una email a [email protected] , quello usato dagli “Hacker del PD” per trasbordare la posta.
Ovviamente e’ stato cancellato, il che significa che qualcuno, dopo aver trasbordato i dati, vi e’ acceduto via interfaccia web e ha cancellato l’account. Mossa stupida, perche’ per farlo si e’ fatto loggare una volta in piu’. Per essere hacker, non si capisce che cosa ci avrebbero rimesso a lasciar li’ la casella: cancellarla significa fare un accesso (loggato) in piu’. Un’azione sciocca e stupida, che non necessariamente cancella tracce, ma anzi lascia un accesso in piu’.

 

Sapete cosa vi dico?
Chi ha rubato quelle email non solo aveva accesso alla rete della camera e/o ai computer fisici , ma aveva la certezza che NON si sarebbe fatta alcuna richiesta a gmx.com di sapere chi e da quali IP avesse acceduto al loro sistema usandolo in quel modo.
In definitiva, cioe’, chi ha fatto questa cosa era certo sin dall’inizio che le indagini della polizia non potessero toccarlo e che gmx non sarebbe stato contattato per avere notizie. Chi sta scappando non lascia un accesso piu’ del necessario, e non c’era alcuna ragione per cui quell’account andasse chiuso, se questo costa un ulteriore accesso via web, che viene loggato.
I cosiddetti “Hacker del PD” sono persone interne alle istituzioni, il che spiega come mai siano intervenuti subito i guastatori professionisti su Twitter, e sono persone che hanno accesso (fisico o attraverso la rete della camera) ai computer dei parlamentari alla camera.
Vi da’ fastidio che lo dica, vedo.
Ed e’ proprio per questo che lo ripeto. Non hanno mai violato le caselle di posta elettronica, bensi’ i computer dei parlamentari.
Come scrivono, appunto, i bene informati giornalisti di Libero:
E se lo dicono dei giornalisti bene informati sui fatti, sara’ vero.
Uriel
(1) O avete letto “La Galassia Brucia” di Colin Kapp, oppure no. Se no, non lo capirete.