[AGGIORNATO x3] “Europei 2012 Hacker” – Il Fake Video con i risultati della Finale e Semifinali

In questo ore diversi Quotidiani Online (Il Fatto Quotidiano, Fanta Gazzetta,  ecc ecc) e su Facebook rimbalza un video dove un presunto Hacker dimostra di aver violato un server Ucraino contenente tutti i risultati delle partite, anticipando il risultato della Finale e Semifinali degli Europei di Calcio 2012.

Il server è stato veramente compromesso? NO!

Vediamo ora gli espedienti che sono stati sfruttati per creare questo Fake Video dal Hacker, di seguito tre screenshot principali per determinare la bufala!

Questa primo screenshot tratto ad un minuto e sei secondi ritrae un tentativo di connessione all’indirizzo 40.35.623.33 dal quale riceve una risposta negativa di “not known”, poi ritenta a 40.35.624.33 e la connessione avviene regolarmente come vedremo dal successivo screeshot.

Notate nulla di strano?

L’indirizzo IP 40.35.624.33 non è valido in quanto non rispetta le caratteristiche di un indirizzo di rete IP v4.

Ogni indirizzo IP è costituto da quattro gruppi da 8 bit separati ciascuno da un punto, pertanto con 8 bit è possibile ottenere solo indirizzi IP avente valore massimo di 255 (Otto bit valorizzati a 1) e non 624 come riportato nel video. Per il valore 624 servirebbero 10 bit.

Pochi secondi dopo si evince un’altra anomalia, l’utente si collega ad presunto server SSH il quale li da il benvenuto con una vistosa scritta “Uefa 2012” al quanto pacchiana, ma principalmente ci interessa l’indirizzo IP dell’ultimo accesso ovvero 192.168.1.5.

Questo indizio ci permette di capire che l’ultimo utente che si è collegato apparteneva alla rete locale del server essendo un indirizzo di classe C riservato come previsto dalla rfc1918.

Chi sarà questo 192.168.1.5?

Il terzo minuto ci svela chi fosse quell’utente!

L’utente con il semplice comando exit si scollega dalla macchina attraverso SSH e il server riporta la dicitura “Connection to 192.168.1.5 closed.” bingo!

L’indirizzo IP 192.168.1.5 è quindi appartenente al nostro presunto Hacker che ha girato questo Fake Video.

Questa indicazione è molto importante perché ci fa capire che il server “violato” non è in Ucraina ma all’interno della stessa rete dell’utente altrimenti al posto dell’indirizzo IP locale sarebbe apparso l’indirizzo WAN.

Conclusioni

L’utente si collega ad un demone SSH presente su un’altra macchina della propria rete locale, con molta probabilità ha editato il file host della macchina con Ubuntu dirottando tutte le connessioni per l’IP 40.35.624.33 verso una macchina presente nella propria rete nella quale ha caricato i finti pronostici delle partite di calcio!

[AGGIORNAMENTO]

L’utente ha dichiarato pubblicamente, tramite un altro video, che si tratta di un Fake!

  • Pingback: Sfondoni di informatica e hardware - Pagina 522()

  • Bella spiegazione… Ma quando dici:
    L’indirizzo IP 192.168.1.5 è quindi appartenente al nostro presunto Hacker che ha girato questo Fake Video.
    ok, ma che te ne fai del sui ip locale ? Nulla … per il resto ok 🙂 interessante

    • Ciao Hackme, ho aggiornato le ultime indicazioni per capire meglio cosa intuisco attraverso l’IP locale. Spero ti sia più chiaro il meccanismo.
      Andrea