Home
Morpheus è un rischio sicurezza

05 Febbraio 2002

Morpheus è un rischio sicurezza

di

Discografici di tutto il mondo, vi offro una soluzione ai vostri problemi con Napster e soci. Basta cause legali costose e inefficienti. C'è un modo più semplice: assumete hacker

Mi spiego. Se si diffondesse la notizia che i programmi di condivisione di file peer to peer, come Morpheus, Gnutella e simili, sono un pericolo per la sicurezza dei loro utenti, ci sarebbe una fuga in massa dei loro utenti. Forse basterebbe diffondere la diceria, secondo la collaudata formula FUD (fear, uncertainty, doubt): instillare paura, incertezza e dubbi spesso è sufficiente a sabotare un prodotto.

Ma può darsi che una diceria non basti. Allora le case discografiche (e le case di produzione televisiva e cinematografica, visto che anche film e telefilm vengono scambiati online) potrebbero assumere esperti di sicurezza e cercare vulnerabilità nei sistemi di scambio più popolari. Una volta trovate e dimostrate, queste falle verrebbero strombazzate gratuitamente da TV e giornali, producendo un’emorragia di utenti simile a quella che colpì Napster quando si cominciò a parlare di filtri. Filtri che erano veri colabrodo, ma furono sufficienti a indurre milioni di persone a mollare Napster.

Attenzione, però, amici discografici: non vi offro gratuitamente questa soluzione. Pubblicandola qui, ne rivendico la paternità, per cui se la usate, sappiate che mi dovete una parcella. Siccome non ho grandi pretese ma vorrei fare un po’ di beneficenza, fisso la mia parcella in 1.500.000 dollari USA, regolarmente fatturabili. Che è molto meno, converrete, delle attuali parcelle dei vostri avvocati, che finora non hanno risolto nulla.

Improbabile? Certamente: la mentalità dei discografici è troppo ristretta per adottare soluzioni creative e pratiche. Preferiscono accapigliarsi con sistemi anticopia che vengono regolarmente superati, quando non vengono addirittura sconfessati dall’industria dei media (Philips, ad esempio, ritiene che i CD protetti con Cactus Data Shield non possano recare il logo “Compact Disc” perché non ne rispettano gli standard).

Eppure le vulnerabilità ci sono. Io sono un dilettante in materia, ma sfogliando la Rete ne ho trovate parecchie. Faccio un esempio con il programma di scambio file più diffuso: Morpheus.

Come probabilmente sapete, Morpheus e altri programmi simili permettono di scegliere una directory (cartella) da condividere con il resto di Internet. I dati contenuti in quella directory e nelle directory sottostanti sono visibili e scaricabili da chiunque. Inoltre, a differenza di Napster, i nuovi programmi di scambio consentono la condivisione di file di qualsiasi tipo.

Il guaio è che molti utenti, per ignoranza o sbadataggine, dicono a Morpheus di condividere la directory radice del proprio disco rigido: in altre parole, rendono visibile a Internet tutto quello che hanno nel computer. Non solo video e musica, ma documenti, programmi, password, e chi più ne ha più ne metta.

Increduli? Allora lanciate Morpheus e digitate il nome di un file sicuramente presente nella directory radice di chiunque usi Windows oppure nella directory di installazione di Windows (il mio preferito è winhlp32.exe). Se un utente condivide uno di questi file, sta condividendo tutto il proprio disco rigido. Troverete centinaia di utenti che offrono questi file e quindi, a loro insaputa, sono completamente accessibili a tutta la Rete.

E adesso viene il bello. Scegliete uno di questi utenti e scaricate il file: durante lo scaricamento, aprite una finestra DOS e digitate netstat. Otterrete un elenco di connessioni attive: quelle in cui l’indirizzo remoto termina con “:1214” sono le connessioni degli utenti di Morpheus, e la parte restante dell’indirizzo remoto è l’indirizzo IP o il nome host di ciascun utente.

Non è difficile scoprire quale delle connessioni corrisponde all’utente incauto dal quale state scaricando il file che lo etichetta come vulnerabile. Fatto questo, basta che apriate il vostro browser e immettiate “http://” seguito dall’indirizzo IP o nome host che avete scoperto e da “:1214“, e la magia si compie.

Quasi sempre, infatti, otterrete nel vostro browser l’elenco completo dei file condivisi da quell’utente, ossia l’intero contenuto del suo computer. Non vi resta che scegliere cosa prelevare. Nel mio piccolo esperimento, ho trovato i file *.pwl (password) dell’utente, i file *.url dei siti che ha visitato, i file *.doc delle poesie che ha scritto, il suo file cookies.dat, le sue foto private…

Roba da panico, vero? Controllate dunque le impostazioni del vostro programma di scambio file e assicuratevi di non avere cartelle condivise senza saperlo, come la mia povera vittima. Un metodo spiccio è inserire nelle directory che non volete condividere un file fittizio dal nome assolutamente univoco (che so, il vostro codice fiscale) e chiedere agli amici di cercare quel file attraverso il loro programma di scambio. Se lo trovano, siete nei guai; altrimenti siete a posto.

Sto facendo il lavoro sporco dei discografici, seminando angoscia e terrore? Nossignore, proprio il contrario. Vi avviso del problema, in modo che non facciate la stessa fine della mia malcapitata cavia e quindi possiate turare le falle prima che qualcuno, discografico o meno, ne approfitti proprio per sabotare Morpheus e simili.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.