Penetrati in un PC con Windows?

[mattemod]

Salve a tutti.

Un amico mi ha detto che gli sono entrati nel pc, ma sinceramente la storia regge poco. Essendo più esperto di Linux che di Windows ed essendo un programmatore ma non un esperto di sicurezza (anche se tra non molto dovrei seguire un paio di corsi a riguardo), non so se in realtà sia possibile una cosa simile.

Utilizza Windows XP, con tutti gli aggiornamenti di sicurezza installati; il portatile è dietro ad un router ed è protetto da Windows Firewall; si collega al router via wireless, ma il router usa WPA2 e se non erro anche un filtro MAC.
A suo dire, qualcuno gli è entrato nel pc, ha navigato con Firefox (utilizzando account su siti in cui aveva gli accessi "persistenti", come Facebook), ha accettato un contatto su Windows Live Messenger e ci ha parlato.

A favore della sua tesi posso dirvi che ho visto la cronologia della conversazione e ad occhio non sembra il suo modo di scrivere. Inoltre, non è in genere una persona che racconta cavolate simili, per cui sto cercando di credergli e capire se è possibile ciò che mi ha raccontato.
Di contro, c'è da dire che:
1) Mi sembra strano che qualcuno gli abbia forato firewall e router (con controllo remoto esterno alla LAN disattivato e username/password non di default) e sia riuscito a prendere il controllo di Windows con gli aggiornamenti di sicurezza installati solo per fare una cosa simile. Certo, nessuna macchina è impenetrabile (soprattutto con Windows) e di gente scema ce n'è a giro, ma fino a questo punto mi sembra strano!
2) Mentre succedeva tutto ciò, lui parlava con me su Skype e non ha visto Firefox né Windows Live Messenger che si aprivano e venivano utilizzati, per cui escluderei un controllo remoto tipo "Assistenza remota" di Windows (che tra l'altro è disattivata, in entrata sicuramente e in uscita non ne sono sicuro).
3) Credo abbia impostato una password per l'utente (non ne sono sicuro, per cui vedrò eventualmente d'informarmi, se l'informazione dovesse essere rilevante).
4) Non ha installato server VNC né altre applicazioni che creano reti VPN.

Detto questo, intuisco (ma ripeto, non sono ferrato in materia di sicurezza) che le uniche due possibilità sono che abbiano controllato in parallelo un'altra sessione dell'utente o che abbiano utilizzato in qualche modo quelle due applicazioni (Firefox e Windows Live Messenger) senza che venissero mostrate nella sessione che lui stava utilizzando (magari utilizzando direttamente il sistema di messaggi/eventi di sistema evitando in qualche modo di mostrare la GUI?).
Una cosa del genere è tecnicamente possibile? Se sì, potete darmi qualche spiegazione a riguardo?
Badate bene che non chiedo se sia più probabile che abbia raccontato una cavolata o che gli siano entrati nel pc, perché lo so che la più probabile è la prima, chiedo solo se è tecnicamente possibile (e quindi se la fiducia è ben riposta o no).

Grazie anticipatamente. :)
A presto!

[binarysun]

Domanda:
Sulla base di cosa dice che qualcuno ha navigato con firefox ed ha usato windows live?

[sevenjeak]

Bhe, veramente su la cronologia dei messaggi in windows live prova che il tuo amico dice il vero, quello che dici il tuo amico può essere vero come può essere anche falso.

Esistono vari modi per violare la sicurezza oltre al controllo remoto.

Mi viene da pensare solo una cosa, se quello che dice il tuo amico e vero come mai chi ha usato windows live al posto suo non si è occupato di cancellare le sue tracce, in questo caso la cronologia?

In questo caso chi e entrato nel computer o a trovato una falla nel suo firewall ( secondo me improbabile ) o si e fatto aiutare da un programma inviato da lui e aperto inconsapevolmente dal tuo amico

[binarysun]

Possibile è possibile, basterebbe un trojan sul computer, da remoto potrebbero fare quello che vogliono .

[mattemod]

Innanzitutto, grazie ad entrambi per le risposte.

Domanda:
Sulla base di cosa dice che qualcuno ha navigato con firefox ed ha usato windows live?

Su WLM ha un contatto che non ha idea di chi sia e che prima non aveva, con una cronologia di qualche giorno prima che se ne accorgesse che sicuramente non ha scritto lui.
Nella cronologia di Firefox ci sono alcuni profili su social network, siti e pagine su cui non è sicuramente andato; inoltre, su un social network (non ricordo quale, ma tanto non è importante) si è ritrovato con messaggi ed amicizie non scritti/accettate da lui.
...o almeno così dice.

Mi viene da pensare solo una cosa, se quello che dice il tuo amico e vero come mai chi ha usato windows live al posto suo non si è occupato di cancellare le sue tracce, in questo caso la cronologia?

Non saprei... magari credeva che non se n'accorgesse, boh...

In questo caso chi e entrato nel computer o a trovato una falla nel suo firewall ( secondo me improbabile ) o si e fatto aiutare da un programma inviato da lui e aperto inconsapevolmente dal tuo amico

Possibile è possibile, basterebbe un trojan sul computer, da remoto potrebbero fare quello che vogliono .

Poco probabile: è abbastanza istruito sul fatto di non aprire files che gli arrivano via email da sconosciuti, soprattutto files eseguibili, e legge la posta online, sia da Hotmail che da Gmail, quindi non avrebbero potuto sfruttare falle dell'anteprima di client come Outlook.
Inoltre, ha AVG Antivirus con un livello di controllo "paranoico" :P impostato, per cui immagino l'avrebbe identificato, se non con le definizioni virus, almeno con l'analisi euristica.


Quello che non mi torna in tutta questa storia, comunque, è il fatto che chi gli è entrato nel pc abbia usato quelle due applicazioni senza che lui se ne accorgesse. Com'è tecnicamente possibile farlo? Riuscite a spiegarmelo voi qui o avete dei link a riguardo? (son disposto anche a studiarmelo per un paio di giorni, ormai è diventata una fissazione ^^)

Grazie anticipatamente :)
A presto!

[sevenjeak]

Guarda che i file possono essere inviati anche tramite DOS.

Ad esempio: se quello che e entrato nel pc del tuo amico a trasferito tramite msn qualcosa al tuo amico può semplicemente prendere l'ip del tuo amico tramite dos o tramite uno sniffer ( visto che insieme al dato inviato viene inviato anche ip del mittente e del destinatario )

AVG potrebbe rilevare il troyan, ma potrebbe anche non rilevarlo

Cmq se non ha eliminato neanche i dati della navigazione contattando il proprio ISP puoi riuscire a farteli dare

[binarysun]

La soluzione più semplice è anche la più probabile.
O mente sapendo di mentire
O mente non sapendo di mentire (sonnnambulimo)
O qualcuno si è fatto una navigata in sua assenza.

[mattemod]

Guarda che i file possono essere inviati anche tramite DOS.

Ad esempio: se quello che e entrato nel pc del tuo amico a trasferito tramite msn qualcosa al tuo amico può semplicemente prendere l'ip del tuo amico tramite dos o tramite uno sniffer ( visto che insieme al dato inviato viene inviato anche ip del mittente e del destinatario )

AVG potrebbe rilevare il troyan, ma potrebbe anche non rilevarlo

Cmq se non ha eliminato neanche i dati della navigazione contattando il proprio ISP puoi riuscire a farteli dare

Con DOS intendi MS-DOS o DoS? Perché nel primo caso intuisco che intendi un comando tipo netstat, mentre nel primo caso non capisco (o forse non so) come un Denial of Service possa fornire un IP, dato che per attaccare l'IP devi già averlo.
Per avergli inviato un file tramite MSN doveva averlo già tra i contatti, per cui mi stai suggerendo che sia qualcuno che conosce?
Per sniffare l'IP l'attaccante avrebbe dovuto essere fisicamente nelle vicinanze (con un pc ovviamente, altrimenti sniffava altro :P) o in ascolto da qualche parte lungo il tragitto dei pacchetti.

In ogni caso, qualunque sia il modo in cui è riuscito ad ottenere accesso al pc, com'è possibile che l'attaccante abbia utilizzato quelle due applicazioni senza che lui se n'accorgesse?
1) È possibile utilizzare il bus dei messaggi/eventi per fare una cosa simile?
2) È possibile aprire in contemporanea una seconda sessione dello stesso utente su Windows? Se sì, potrebbe aver utilizzato questo metodo per agire senza essere notato, oppure qualcosa (cosa?) si sarebbe notato?

La soluzione più semplice è anche la più probabile.
O mente sapendo di mentire
O mente non sapendo di mentire (sonnnambulimo)
O qualcuno si è fatto una navigata in sua assenza.

La 3° non è possibile perché è l'unico ad utilizzare il pc, le prime 2 può darsi eheh :P
Comunque, come ho già detto, so benissimo che la cosa più probabile è che non sia vero, ma vorrei esserne sicuro ed in ogni caso vorrei cogliere l'occasione per essere più informato sull'argomento, soprattutto per poter replicare (a favore o contro che sia).

Grazie anticipatamente :)
A presto!

[binarysun]

E' possibile lanciare due windows "non modificati" contemporaneamente sullo stesso computer?
No.
E' possibile lanciare lo stesso programma due volte?
Dipende
Eseguire programmi in modo invisibile?
Si, ma non so dirti i limiti.

[sevenjeak]

Scusa la domanda, ma potresti spiegarmi la differenza tra ms-dos e dos? non sono due cose uguali?

Ovviamente il fatto che, chi ha effettuato l'accesso, era un suo contatto msn era solo un'esempio, no un suggerimento

Perchè parlate di cose cosi complicate...esiste subme, hanno mostrato anche alle iene come funziona. Lo saprebbe usare anche un bambino di cinque anni.

[binarysun]

Scusa la domanda, ma potresti spiegarmi la differenza tra ms-dos e dos? non sono due cose uguali?

msdos è un sistema operativo, DoS, è una tipologia di atacchi informatic che si basa, in soldoni, sul bloccare un servizio subissandolo di richieste.
Sniffare una comunicazione non è così semplice e di certo non basta l'IP di un computer.

Riguardo subme, esistono molti programi per la gestione remota dei computer, ma vanno installati, e se in uso te ne accorgi.
Anzi, alcuni non vanno nemmeno installati palesemente, logmein che usamo con i clienti installa un piccolo componente temporaneo da internet e da li comandiamo la macchiana del cliente.

[mattemod]

E' possibile lanciare due windows "non modificati" contemporaneamente sullo stesso computer?
No.
E' possibile lanciare lo stesso programma due volte?
Dipende
Eseguire programmi in modo invisibile?
Si, ma non so dirti i limiti.

1) Cosa intendi per "non modificati"?
2) Windows Live Messenger era sicuramente avviato in quel momento, dato che gli si apre all'avvio di Windows e non lo chiude mai. Se non erro non si può avviare più di un processo WLM in contemporanea, il che dovrebbe escludere la possibilità dell'utilizzo di un processo diverso da quello visualizzato dal mio amico... o sbaglio?
3) Avresti link riguardo l'esecuzione di programmi in modo invisibile, oppure qualche termine un po' più tecnico che possa facilitarmi la ricerca su Google?

Scusa la domanda, ma potresti spiegarmi la differenza tra ms-dos e dos? non sono due cose uguali?

Ovviamente il fatto che, chi ha effettuato l'accesso, era un suo contatto msn era solo un'esempio, no un suggerimento

Come ti ha già risposto binarysun, MS-DOS è un sistema operativo, nonché precursore di Windows (anche se viene usato in background per avviare explorer.exe, se non erro). DoS, invece, è l'acronimo di Denial of Service, ovvero un tipo di attacco che consiste nel bombardare di richieste un sistema fino a farlo bloccare/crashare/ecc.
Comunque, intuisco che intendevi MS-DOS e sì, si possono anche eseguire comandi senza la GUI di Windows, ma non credo proprio sia possibile utilizzare Firefox o WLM da riga di comando ^^

Sniffare una comunicazione non è così semplice e di certo non basta l'IP di un computer.

È da escludere lo sniffing da pc nelle vicinanze, dato che utilizza WPA2 per comunicare col router, per cui la vicinanza sarebbe abbastanza inutile, se non controproducente.
L'unico tipo di sniffing possibile è lungo il tragitto che porta ad una delle macchine destinatarie dei suoi pacchetti, il che (come dici te) non è assolutamente banale, a meno di non prendere possesso anche di una delle macchine "ponte", che è ancor meno banale.

Grazie per ora e grazie anticipatamente per le prossime risposte :)
A presto!

[sevenjeak]

Come ti ha già risposto binarysun, MS-DOS è un sistema operativo, nonché precursore di Windows (anche se viene usato in background per avviare explorer.exe, se non erro). DoS, invece, è l'acronimo di Denial of Service

Ok, pensavo solamente che intendevi dire la differenza fra sistemi operativi, visto che non ce ne.

Cmq, non so se sono io, ma la tua domanda mi pareva strana, ma i comandi dos non vengono lanciati tramite ms-dos?

[mattemod]

Cmq, non so se sono io, ma la tua domanda mi pareva strana, ma i comandi dos non vengono lanciati tramite ms-dos?

Se intendi che i comandi possono essere lanciati tramite il prompt dei comandi (cmd.exe), allora la risposta è sì, ma quella è un'interfaccia ad MS-DOS, non è l'MS-DOS di per sé ;)
Se non intendevi questo, allora scusa, non ho capito ^^

[sevenjeak]

Avevo capito che per DOS intendevi il tipo di sistema operativo, visto che il tuo amico non ha riscontrato l'effetti del Denial of service, cmq lasciamo perdere questo fatto.

Per i programmi invisibile mi viene da pensare, più ad un programma, un processo aggiunto al sistema del tuo amico. cmq dovresti aspettare la risposta di binarysun

[binarysun]

1) Cosa intendi per "non modificati"?
2) Windows Live Messenger era sicuramente avviato in quel momento, dato che gli si apre all'avvio di Windows e non lo chiude mai. Se non erro non si può avviare più di un processo WLM in contemporanea, il che dovrebbe escludere la possibilità dell'utilizzo di un processo diverso da quello visualizzato dal mio amico... o sbaglio?
3) Avresti link riguardo l'esecuzione di programmi in modo invisibile, oppure qualche termine un po' più tecnico che possa facilitarmi la ricerca su Google?

1) Infettati da virus/trojan
2) Ai tempi di msn esisteva un plugin per avviare due istanze del programma.
Non saprei come farlo con windows live, ma probabilmente è possibile.
Se però dici che il programma era in uso e loggato allora cade tutto, due sessioni dello stesso utente in contemporanea non sono sicuramente possibili.
3) Nel caso di firefox se faccio un programma che usa il "motore" di firefox genererà le stesse tracce del normale browser, e quindi lo posso fare senza interfaccia.
Altri programmi invece è possibile "nasconderli" con dei barbatrucchi.
Firefox poi si può lanciare da linea di comando e probabilmente si può anche fare in modo di salvare solo il risultato di una pagina senza mostrare nulla a video.
Ma è cmq fantascienza.

[mattemod]

1) Infettati da virus/trojan

Ah, ok. Io però intendevo due sessioni dello stesso utente, non so se intendevi anche te questo con "due windows".

2) Ai tempi di msn esisteva un plugin per avviare due istanze del programma.
Non saprei come farlo con windows live, ma probabilmente è possibile.
Se però dici che il programma era in uso e loggato allora cade tutto, due sessioni dello stesso utente in contemporanea non sono sicuramente possibili.

Non sapevo del plugin per le due istanze, ma dato che (come hai detto giustamente te) due sessioni dello stesso utente non sono possibili in parallelo, il problema non credo si ponga.

3) Nel caso di firefox se faccio un programma che usa il "motore" di firefox genererà le stesse tracce del normale browser, e quindi lo posso fare senza interfaccia.
Altri programmi invece è possibile "nasconderli" con dei barbatrucchi.
Firefox poi si può lanciare da linea di comando e probabilmente si può anche fare in modo di salvare solo il risultato di una pagina senza mostrare nulla a video.
Ma è cmq fantascienza.

In effetti non avevo pensato ad un'applicazione ad-hoc con lo stesso motore di Firefox, ma sinceramente l'intera storia diventerebbe ancora meno probabile... o no? ^^

[sevenjeak]

2) Ai tempi di msn esisteva un plugin per avviare due istanze del programma.
Non saprei come farlo con windows live, ma probabilmente è possibile.
Se però dici che il programma era in uso e loggato allora cade tutto, due sessioni dello stesso utente in contemporanea non sono sicuramente possibili.

Premetto di non utilizzare più window live, ma da quello che ricordo io, quando un'utente apriva la stessa sessione di un'altro utente quest'ultimo veniva disconnesso, lasciando il posto all'utente che si è connesso.

In questo caso l'utente che lascia il posto ad un'altro utente veniva avvertito, non saprei se ora è cosi

[mattemod]

Premetto di non utilizzare più window live, ma da quello che ricordo io, quando un'utente apriva la stessa sessione di un'altro utente quest'ultimo veniva disconnesso, lasciando il posto all'utente che si è connesso.

In questo caso l'utente che lascia il posto ad un'altro utente veniva avvertito, non saprei se ora è cosi

Sì sì, è sempre così ed a seconda di com'è impostato il client può darsi che provi a riconnettersi subito, per cui si sarebbero disconnessi a vicenda/riconnessi in continuazione.

[mattemod]

Scusate ma quanto rischia uno a fare una cosa del genere? L'ultima pena che ricordo per una cosa così poco grave (nel senso che non ha distrutto dati, soprattutto non aziendali o statali né interrotto alcun servizio) è dai 6 mesi ai 3 anni e fino a 5000€ di sanzione. Me lo confermate?

[sevenjeak]

Premetto di non sapere cosa intendi

Io credo che chi e entrato nel pc del tuo amico abbia violato anche il diritto alla privacy, oltre all'utilizzo di materiale di tersi, e quindi credo che gli spettano una sanzione che consiste nel pagamento dai 3.000 ai 5.000 €.

Nel caso i dati non siano utilizzati solo da lui, ma da un gruppo di persone, chi e entrato nel pc del tuo amico dovrebbe pagare una sanzione che va dai 5.000 ai 30.000 € come puoi anche vedere qui:

http://www.crimine.info/public/crimi...y_sanzioni.htm

[mattemod]

sevenjeak: grazie mille per il link, ho trovato quello che cercavo su quel sito ma a questa pagina:
http://www.crimine.info/public/crimi...me/615_ter.htm
la quale conferma il mio ricordo, ovvero che la pena è fino a 3 anni.
A questa immagino vadano aggiunti i 3.000-5.000€ che hai detto te.

Grazie ancora a tutti :)

[sevenjeak]

Non so se ho ben capito, ma da quello che dice il punto 2, dovrebbe pagare solo una somma di denaro, visto che nessuno dei punti, nel secondo ambito, si sono verificati

[mattemod]

1. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

Se non era questo a cui ti riferivi, non ho capito ^^

[sevenjeak]

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Veramente mi riferivo a questa, visto che non ha danneggiato il sistema, se per sistema si intende il sistema operativo o qualunque altro sistema, ma leggendo bene mi sa tanto che la reclusione ci sta in questo caso

[mattemod]

No, non ha distrutto niente, quindi non rischia la reclusione da 1 a 5 anni descritta al punto 2.
Si è però introdotto in un sistema informatico, quindi rischia la reclusione fino a 3 anni, come descritto al punto 1.