back|track~box!

boxnet1.jpgbox-est-sata-ii-35.jpg

Ciao a tutti , nei miei articoli passati vi avevo promesso di aprire un BOX , quì nel <back|track~blog

Adesso , sto cominciando l’ UPload dei miei files , e sono già disponibili dei buoni eBook , dei programmi per la sicurezza informatica in generale , ed insieme a questi anche dei programmi particolari , come una collezione di programmi del “The Hacker Choise” group , come ad esempio “Hydra” , molti network scanner , tra cui l’ottimo “Utrillo” dell’ amico Evilsocket , è presente un vasto numero di eBook scaricati in giro per la rete , e che mi fà ringraziare anche lo staff di RBT-4.net , Lordgroove di SecurityBox , il ContropotereHackingCrew e tutti coloro che oggi , hanno contribuito alla crescita culturale della mia persona , e di coloro che scrivono o scriveranno su questo blog.

senza dimenticare ovviamente il remote.exploit-team , che insieme agli admin , moderatori ed ustenti del remote-exploit.forum ha creato un Wiki pieno di informazioni dove chiunque può imparare tutto ciò di cui necessita.

Oltre al box…<back|track~box , aprirò anche un bel videopod…il <back|track~pod , (ma che fantasia eh!):) ,dove poter inserire videotutorial miei e di altre persone , che riguardano comunque la backtrack , ele sue caratteristiche , e l’ utilizzo dei suoi tool.

I libri che sto per inserire sono molti , sono libri che ho raccolto io personalmente , in giro per i siti e i blog a me più vicini.

Molti li ho scaricati io stesso , da network come ed2k , LinuxDC++ , tramite Torrent……….eccetera.

Sono molti anche i programmi , ci sono delle cose particolari , come delle vere e proprie Shell , a partire dalla più famosa C99 , fino ad arrivare alle meno conosciute , una vera e propria collezione in pratica.

Se sarà il caso , iscrivendosi al blog , istituirò una rete privata con i lettori del blog , in modo da potergli offrire anche delle vere e proprie raccolte video , come quella dei “corsi di programmazione , corso reti telematiche e fondamenti di informatica” di Uninettuno .

Questo per le grandi raccolte , altrimenti qualche video l’inserirò preossimamente , con un apposito Box per Video.

Appena posso inserisco tutti i programmi necessari per il pentesting della propria rete , e per tutti gli esperimenti , spero di riuscire presto nel farvi scaricare il più possibile , chi lo volesse a distanza di poco tempo dal <back|track~blog , si potranno scaricare i migliori eBook , basti pensare:

al grande libro di Kevin Mithnich “the art of decepting” , alla possibilità di fare il download del famoso Bruteforce , alla possibilità di scaricare interi Mega , (per ora), di wordlist.txt , wordlist che appartengono a tutte le categorie , dai nomi più comuni alle più impensate parole svedesi o giapponesi o addirittura cinesi , insomma tutto ciò che vi serve per testare la vostra sicurezza.

Se qualcuno vuole , può , inviandomi una descrizione possibilmente , chiedermi un programma in particolare , se posso lo trovo e lo inserisco nel BOX , insieme a tutti gli altri che già sto inserendo…(datemi il tempo dell’ UPload :))

Troverete molti libri sui vari tipi di linguaggi di programmazione , dal linguaggio C/C++ , al PHP , dal Java all’ AJAX e così via…raccolte di libri per lo studio approfondito , (che attualmente sto usando anchge io), del linguaggio dei database MySQL e delle connessioni , ed ovviamente tutti i libri Free che riguardano la nostra backtrack , dalla Whoppix , all’ Auditor , fino ad arrivare all’ ultima versione della backtrack , la v.2.(senza omettere ovviamente il passaggio per il *.pdf della backtrack , la v.1).

Vi chiedo solo un pò di tempo per fare in modo di ordinarli , di metterli nelle cartelle apposite , per questo ora troverete più di qualcosa , ma messa alla buona , appena ho tempo , sistemerò tutto.

Ovviamente tutto questo materiale è messo nel <back|track~box , ma non è stato inserito per far sì che chiunque voglia , possa dilettarsi nel defacing , che personalmente trovo poco decoroso per un hacker , oppure per aprirsi il THC Hydra e comunciare a scoprire le password della propria ragazza usando i files wordlist contenuti sempre nel <back|track~box, ma solo ed esclusiavamente per scopi informativo-didattici , perchè la cultura diventi libera e l’ hacking ridiventi l’ arte primaria di tutti gli appassionati , in modo che possa un giorno avvenire che i giornalisti di qualche giornale , possano parlare degli hacker nella giusta misura , e non ancora confondendoli con coloro che aprono un trojan e lo inviano senza neppure sapere come è stato costruito.

Spero che il box sia utile ed insieme coinvolgente , naturalmente richiede la vostra partecipazione edil vostro giudizio , senza contare del vostro contributo , sempre ben accetto.

OGNI ABUSO DEL MATERIALE CONTENUTO NEL “<back|track~BOX” e nel “<back|track~pod” , È DA CONSIDERARSI ESTRANEO ALLA MIA INTENZIONE E TOTALMENTE RISPONDENTE ALLA PERSONA CHE LO ATTUA.

Spero che il BOX possa interessarvi , e che non userete le “eventuali” raccolte di “SQL-Inject” , per andare in giro per la rete a fare danni , io non mi ritengo responsabile di atti criminosi compiuti da chiunque , con/attraverso il materiale contenuto nel <back|track~BOX oppure tramite l’apprendimento dai video inseriti nel <back|track~pod.

ciao , buona visione , e buon Sharing.

crack wep-64bit con la suite “Aircrack-ng”.

aircrack-ng logo

Eccoci…salve a tutti…

Prima di iniziare, qualche doverosa premessa. Un ringraziamento a br1g4nt3 per ospitarmi in questo suo interessante blog.

Quelli che seguono, ora e (spero!) più avanti nel tempo, sono miei “appunti sparsi” riguardi la backtrack, linux e la sicurezza informatica.

Non sono e non possono essere completi e perfetti anche perché non sono quello che si può’ definire un esperto nel campo… Sono un po’ curioso e navigando, leggendo (molto e purtroppo in inglese!) e provando, ho scritto queste poche righe. Le prove che seguono sono state tutte effettuate sulla mia rete domestica, alla quale sono collegati solo ed esclusivamente (spero!) computer da me utilizzati.

Ho effettuato queste prove, solo ed esclusivamente per “testare” la validità della sicurezza della mia rete wireless nell’intento di prevenire intrusioni da parte di sconosciuti. Invito i lettori di queste righe a porre la giusta attenzione sul fatto che violare reti altrui e’ cosa da NON fare….. Cominciamo? La situazione di lavoro è la seguente:

  • un modem adsl, router, wireless (lo indichero’ con AP)
  • un computer con windows2000 (Client1)
  • un computer con Ubuntu (Client2)
  • un portatile con cui effettuerò’ i miei esperimenti.

Appena ho comprato l’AP, un po’ per pigrizia, un po’ per ignoranza, non ho impostato nessun tipo di cifratura (WEP o WPA). L’unica cosa che fortunatamente ho fatto è stata quella di impostare un filtro sui MAC address dei client che si possono connettere al router tramite il wireless. Col passare del tempo, navigando e iniziando ad interessarmi alla “sicurezza informatica” ho iniziato a capire che questa scelta, anche se buona, non era però sufficiente. I dati nella mia rete, ma soprattutto “nell’aria” viaggiavano “in chiaro”.

Ho deciso quindi di attivare una cifratura WEP sul mio AP, e sui due client, con una chiave a 64 bit. Per vedere se questa mia scelta, è sufficiente a tenere lontani gli intrusi, ho deciso di utilizzare una suite che la nostra distro ci mette a disposizione.

Si tratta della suite aircrack-ng.

Un po’ di teoria, così come sono riuscito a capirla:

Ogni pacchetto WEP ha associato un vettore di inizializzazione (detto IV). Catturando un numero abbastanza consistenze di pacchetti (e quindi di vettori) è possibile effettuare su di essi un’analisi/attacco di tipo statistico per trovare la chiave WEP con cui sono stati cifrati e quindi la chiave WEP della rete sotto analisi.

La prima cosa da fare è porre la nostra scheda wireless in monitor mode.

La scheda si mette in ascolto di tutto quello che le passa intorno.

Sul Wiki di backtrack c’è un elenco di schede wireless (pci, pcmcia e usb) consigliate e le istruzioni per attivare, per ognuna di esse, il monitor mode.

La seconda cosa da fare è cambiare, con l’istruzione macchanger, il MAC address della scheda. In questa maniera l’AP non la riconosce tra quelle autorizzate e quindi a tutti gli effetti potrebbe essere la scheda di un probabile intruso. Creiamo anche una directory apposita, dove poi ci sposteremo prima di eseguire i vari comandi, poiché i comandi che seguono porteranno alla creazione di numerosi file che in seguito potremmo cancellare più velocemente proprio perché sono contenuti tutti in un’unica directory. A questo punto apriamo una shell e digitiamo airodump-ng ath1 (abbiamo eseguito airodump-ng passandogli come parametro l’interfaccia wireless che avevamo posto in monitor mode) otteniamo:

imm014.jpg

In questo caso ci viene segnalata la presenza di un solo Access point (giusto!) il cui MAC address e indicato sotto l’etichetta BSSID (00:0F:3D:??:??:??).

Ci viene anche segnalato che a questo AP sono collegati due computer client (giusto! Sono: Client1 e Client2).

Sotto l’etichetta STATION vengono indicati i due MAC address (diversi chiaramente tra loro) delle due distinte schede di rete dei due client.

In alto a sinistra notiamo l’etichetta CH seguita da un numero che cambia ciclicamente. Rappresenta il canale radio che airodump-ng sta in quel momento analizzando alla ricerca di un AP. Notiamo che l’AP sta lavorando sul canale 6 e successivamente focalizzeremo airodump-ng solo su questo canale per raccogliere solo i dati necessari.

Fermiamo ora il programma e sempre nella stessa shell lanciamo il comando:

airodump-ng -c 6 -w prova ath1

(abbiamo aggiunto il parametro -c per focalizzare il programma solo sul canale 6 ed il parametro -w per far scrivere i dati che ci interessano sul file prova , il programma creerà il file “prova-01.cap“).

Avremo una schermata molto simile alla precedente solo che il CH “non si muoverà”.

NON fermiamo il programma, che sta ascoltando e salvando i pacchetti eventualmente utili. La nostra idea è di salvare quanti più possibili pacchetti IV (il numero dei quali è indicato sotto l’etichetta #Data).

Quanti pacchetti ci servono per “trovare” una chiave WEP?

Orientativamente dai 300.000 al 1.000.000. Chiaramente sono delle cifre che devono essere utilizzate per avere l’idea dell’ordine di grandezza. Ce ne possono bastare 200.000 come ne potremmo aver bisogno di 2.000.000!

Ora o aspettiamo pazientemente per delle ore, o “aiutiamo” la rete a generare nuovi panchetti IV.

Questo e’ possibile in vari modi , vediamo quello classico e più semplice, per ora. Utilizziamo l’attacco ARP-request replay.

ARP-request replay , è un tipo di attacco pero’ che non funziona se non c’è traffico nella rete. Nella mia rete, il traffico c’è, lo sto generando apposta , e quindi lo usiamo.

A questo punto apriamo una nuova shell e digitiamo:

aireplay-ng -3 -b <MAC address dell’AP> -h <MAC address del Client> ath1

imm02.jpg

il warning che otteniamo, relativo alla differenza di MAC address tra la nostra scheda e quella del client, è del tutto ininfluente.

Molto semplicemente, ma perché così l’ho capito, il programma si mette in ascolto di un pacchetto ARP e appena lo sente lo ritrasmette all’AP. L’AP lo ritrasmette con un nuovo IV che viene catturato e così via.
Ci sono vari modi “per forzare” un primo invio, da parte dell’AP, di un pacchetto ARP, ma magari li vediamo un’altra volta.

Non appena “inizia il giro” notiamo salire il numero degli ARP request

imm032.jpg

e nell’altra shell notiamo salire il numero dei #Data.

imm042.jpg
Quando arriviamo a circa 100.000 #Data, lanciamo in una terza shell il comando

aircrack-ng -a 1 -b <MAC address dell’AP> -n 64 prova-01.cap

Con questo comando chiediamo di trovare una chiave WEP, riferita all’AP il cui MAC address indichiamo, utilizzando il file prova-01.cap (che airodump sta creando).
Man mano che il file prova-01.cap “aumenta” il programma “aircrack-ng” legge i nuovi pacchetti salvati.

Utilizzando il parametro “-n 64” forziamo aircrack-ng a lavorare solo su chiavi a 64 bit.

La mia e’ una chiave a 64 bit e quindi con circa 130’000 IV viene scoperta immediatamente.

Analizzati 400.000 / 500.000 pacchetti IV, non trovando la chiave, si dovrebbe fermare aircrack-ng e lanciarlo nuovamente senza il parametro “-n 64”.

E’ stato sviluppato un altro programma, l’ aircrack-ptw , appositamente per trovare la chiave WEP.

Abbiamo visto, nel mio caso, che con circa 130.000 pacchetti IV (catturati in circa 20 minuti) siamo riusciti ad ottenere la mia chiave WEP.

imm05.jpg

Il sistema non è proprio sicuro!

Alla prossima!

nota:

Voglio ringraziare apertamente Fedora per il suo grande contributo al <back|track~blog. Io , a conoscenza o meno , non avendo una rete wireless in casa , non avrei mai potuto realizzare un tutorial simile , per questo gli esprimo pubblicamente i miei complimenti per il suo ottimo lavoro…grazie.

*****A causa della maledetta formattazione del blog , ho docuto tagliare la parte destra delle finestre , fortunatamente non conteneva nulla di speciale.*****

Vulnerabilità in “the Gimp”

gimp.jpg

Questa è forse l’ultima cosa che avrei immaginato di scrivere , fino a quando poco fà ho aperto la sezione sicurezza del mensile “GNU/LinuxMagazine” , che naturalmente ogni mese arriva nelle mie mani. 🙂

Come spiega il titolo , è stata trovata una vulnerabilità in The Gimp , (Gnu Image Manipulation Program) , nella versione 2.2.15 del famoso , ed ormai anche di default , programma GNU/Linux per la grafica ed il fotoritocco.

The Gimp è uno dei programmi che più affascina gli utenti del pinguino , e che si evolve in maniera veloce e costante , a tal punto da poter equiparare senza alcun dubbio gli equivalenti software commerciali.

Ma passiamo ora a descrivere questa vulnerabilità.

(trovata in The Gimp 2.2.15)

La vulnerabilità è dovuta al codice stesso di The Gimp , e si tratta di una vulnerabilità di tipo “Integer Overflow” , che consente l’ attacco da remoto ed in locale , sulla macchina in cui The Gimp è inesecuzione , mettendo così ad alto rischio il sistema stesso.

La combinazione di parole “integer overflow” , (meno conosciuta della quasi omonima “buffer overflow“) , indica la possiblità di inserimento , nel programma in lavoro , di dati che sovrastano il valore massimo consentito , mandando così appunto in “overflow” il sistema.

Nella programmazione le variabili assumono determinati valori , e nei linguaggi di programmazione di tipo “C/C++” , (linguaggio in cui naturalmente è scritto The Gimp) , le variabili possono essere:

signed” , dove il semplice char , (carattere) , essendo costituito da 8 bit , può assumere un valore che va da -127 a 128 , quindi valori positivi e valori negativi ;

unsigned” dove il nostro char , potrà assumere valori da 0 a 255 , perché le unsigned sono variabili che possono assumere solo valori interi e positivi.

Per le variabili di tipo “unsigned“, il problema della vulnerabilità in overflow non sussiste , perché anche aumentando l’ input di dati oltre il valore massimo consentito , le variabili di questo tipo assegnano un valore di 1 a tutti i dati oltre il valore limite , (cioé: 255+1=256) , e quindi riducendo qualsiasi valore oltre il limite ad 1 , le unsigned tengono sempre sotto controllo il valore stesso , e di conseguenza non creano problemi di overflow.

Se prendiamo invece le variabili di tipo “signed” , (di default nei linguaggi C/C++) , il discorso è diverso , perché potendo assumere valori negativi e positivi , non hanno il beneficio delle unsigned , permettendo così l’ overflow , da remoto , e da locale.

Il codice che permette lo sfruttamento di questa vulnerabilità , si trova all’ interno di una funzione , (seek_to_and_unpack_pixeldata()) , del file “psd.c” e , almeno pubblicamente , non sono stati rilasciati degli exploit , ma in privato tutto può succedere , per questo si consiglia vivamente di fare l’ upgrade , (non ci sono fix) , alla versione 2.2.16 , specie per chi appunto importa molti file in formato *.psd.

La risposta degli sviluppatori di The Gimp quindi , non si è fatta attendere.

😉

news su: GNU/LINUX-MAGAZINE ottobre.2007(edizioni Master)

Configurare la scheda di rete in BackTrack

240.jpg

Ho già detto che sono impegnato nello studio della SQL-Injection e quindi del php e dell’ SQL in generale , ma dopo tante richieste da parte di amici e lettori , non posso fare a meno di scrivere un tutorial sul come connettere la backtrack2 ad internet utilizzando una linea ADSL.

Nella maggiorparte dei casi si tratta di aliceadsl , ed io farò riferimento a tale provider , ma in altri casi il metodo è pressoché lo stesso.

Quindi inziamo:

PROCEDIMENTO ETHERNET CON IP FISSO

  • Apritevi una konsole e digitate il comando: pppoe-setup , fatto questo date l’ invio e rispondete alle domande del sistema , la prima domanda che vi viene posta è lo username da inserire , quindi aliceadsl per gli utenti “alice”.
  • La seconda e la terza domanda riguardano il tipo di device , quindi dovete inserire la vostra interfaccia di connessione , io ad esempio uso la eth0 , ma il sistema ve la rileva di default , quindi non dovete fare altro che controllare quello che la backtrack ci indica come interfaccia di defaul tra parentesi..(eth0) e premere Invio.
  • La terza domnda che vi pone è se volete una connessione on demand , ma se volete rimanere sempre connessi , e non avere intoppi , a menoché relamente non vi serva una connessione simile , non dovete fare altro che premere Invio nuovamente.
  • La quarta domanda che vi si pone è l’inserimento dei server DNS e nel caso di aliceasdsl i server DNS sono : 212.216.112.112 , il primario , e 212.216.172.62 , il secondario. (per tutti gli utenti che non usano alice come provider , non devono fare altro che inserire gli indirizzi dei server DNS del proprio provider intenet , io ad esempio spesso e volentieri uso i server OpenDNS , am è comunque una scelta personale).
  • Fatto questo la domanda successiva riguarda l’inserimento della vostra password , che di default è aliceadsl , come lo username.
  • Una volta fatte queste operazioni , vi manca solo di inserirel’ eventuale firewall , e a vostra scelta quindi , inserite un numero , che può essere 0 , se non volete oppure 1-2 , se invece volete configurarvene uno.

Una volta eseguite queste semplici operazioni , avete configurato la vostra ADSL…..ora manca solo la navigazione naturalmente , che in backtrack2 , va configurata tramite l’ inserimento dell’ “IPaddress”

Andate quindi sul MenùStart di KDE , e nella sezione Internet , troverete un programma , l’ IPaddress appunto , per comodità , inviatelo sul pannello principale di KDE , con il tasto destro sul nome del programma nel menù—> “Add menù to main panel”.

Ora , aprite set IP address e trovere in alto alla finestra due opzioni , eth0 , per l’ Ethernet , e ppp0 , per l’ ADSL , voi nel campo ethernet , inserite come default gateway , l’ indirizzo del modem , ossia: “192.168.100.1” , una volta inserito quest’ indirizzo , date “apply” , (applica) , e chiudete la finestra. Riaprite quindi nuovamente la finestra del programma “SetIPaddress” , e stavolta nel campo ppp0 , inserite , sempre in default gateway , lo stesso valore insrito precedentemente , e quindi: “192.168.100.1” , date nuovamente apply , e poi chiudete la finestra del programma e sarete abilitati alla navigazione in internet.

Procedimento IP fisso per HD install permanente.

Per avere l’ IP fisso , o statico , in backtrack ogni volta che avviamo il sistema dobbiamo editare con le nostre informazioni il file lilo.conf in /etc/lilo.conf

All’ interno del file dovete aggiungere la seguente stringa:

“Append = nodhcp”

Fatto questo dovete editare il file /etc/rc.d/rc.inet1 ed inserirvi i valori corrispondenti alla vostra rete che potete facilmente reperire dando da konsole il comando ifconfig esempio:

ifconfig eth0 xxx.xxx.xxx.xxx netmask 255.255.255.0
route add default gateway xxx.xxx.xxx.x
echo “nameserver xxx.xxx.xxx.xxx” >> /etc/resolv.conf
if

Tutto quì , stando attenti a terminare le righe con l’ if , una volta fatte queste semplici operazioni potete navigare in internet quanto volete , sapendo sempre qual’è il vostro indirizzo IP.

PROCEDIMENTO ETHERNET CON DHCP

Per quanto riguarda il metodo DHCP , io non l’ ho provato personalmente , ma per coloro che volessero utilizzarlo , il comando da dare in Konsole , è:

dhcpcd eth0

E avrete la vostra interfaccia configurata tramite indirizzo DHCP , se ci sono problemi controllate con ifconfig , vi verrà restituita la lista delle schede riconosciute.

io personalmente non ho mai navigato in DHCP , quindi non posso dirvi il funzionamento , posso però assicurarvi che con il metodo di configurazione tramite IP fisso , la navigazione è sicura , controllata e stabile.

***

wifi-logo.jpg

PROCEDIMENTO per SCHEDE WIRELESS

Per vedere tutte le interfacce riconosciute dal sistema , innanzitutto da shell date il comando:

ifconfig

vi verrà restituita la lista e le descrizioni delle schede di rete.

facciamo l’ esempio che la vostra scheda sia riconosciuta come una ath0 (tipico per le atheros) , diamo quindi da shell il comando:

iwconfig

per essere certi che la scheda di rete sia supportata come wireless , ammettendo sempre che si tratti di una ath0 , date il comando per disattivare la scheda ethernet:

ifconfig eth0 down

Ora , per attivare la scheda di rete wireless vi basta dare il comando:

ifconfig ath0 up

Una volta dato il comando , aprite il wireless assistant , con il comando:

wlassistant

vi verrà retituita una lista di reti , tutte quelle visibili , scegliete la rete con il vostro SSID effettuate le operazioni per inserire la chiave Wep o WPA , e sarete connessi.

Per il procedimento permnente potete fare riferimento alla sezione sopra:

Procedimento IP fisso per HD install permanente.

Anche se vi anticipo che alcune schede non so il perché non accettano la procedura.

Purtroppo non tutte-tutte le schede sono supportate , ma la stragrande maggioranza vi assicuro di si , per una lista completa delle schede andate sul WIKI , e controllate sia se è supportata , sia se supporta l’ injection per fare in futuro eventuali esperimenti.

Ciao a tutti.

migliorare l’aspetto di Firefox anche in BackTrack2

ciao a tutti…

prima con Debian.sid e poi in Ubuntu , ho sempre utilizzato il “trucchetto” diFelipe Policoke per migliorare l’aspetto dei pulsanti di Firefox , che a me fanno molto comodo.

Non ci sono riuscito subito , anzi , ho fatto più di qualche tentativo prima di riuscirci , ma ora ho trovato il modo per far sì che anche chi usa backtrack possa godere degli stessi risultati.

In pratica la guida di Felipe , occupandosi di Ubuntu , sostituisce i form di Firefox , con altri form (extra). In backtrack io ho fatto la stessa procedura indicata nella sua guida , solo che invece di spostare i contenuti extra nella cartella indicata nella guida , gli ho spostati direttamente nella cartellla /usr/lib/firefox, in questo modo al rivvio seguente , quando avevo perso oramai le speranze , sono invece riuscito ad ottenere il risultato desiderato.

questo il risultato ottenuto:

firefox.jpg

per chi volesse utilizzare questo precedimento non deve fare altro che dare i seguenti comandi:

wget http://users.tkk.fi/~otsaloma/art/firefox-form-widgets.tar.gz

tar -xvzf firefox-form-widgets.tar.gz

cat firefox-form-widgets/res/forms-extra.css | tee –append /usr/lib/firefox/res/forms.css > /dev/null

cp -r firefox-form-widgets/res/form-widgets /opt/firefox/res

rm -rf firefox-form-widgets*

E tutto dovrebbe essere a posto.

Ora siccome io prima di riuscirci ho fatto vari tentativi , se qualcuno segue questa piccola guida “semi-inutile” , ed ha qualche problema , lo scriva , proveremo a mettere a posto il tutto.

😉

P.S.:

ricordatevi che sono dei form , e che ad ogni aggiornamento di FireFox molto probabilmente si dovrà ripetere la stessa procedura..

ciao a tutti!

Snort , lo sniffer.

snort_org_03.jpg


*** Snort (in basso noterete il maialino raffigurato in caratteri:)) , e’ un programma open-source per l’individuazione di intrusioni nella rete…uno sniffing , e tra i migliori in circolazione , incluso nella nostra backtrack2.

Snort supporta controlli della rete basati sull’analisi di firme, protocolli e anomalie. Questo tool e’ in grado di effettuare un’analisi real-time del traffico di rete e di individuare potenziali intrusioni basandosi su un set di regole prestabilite. Snort puo’ inoltre essere utilizzato per rilevare una gamma di attivita’ sospette, inclusi attacchi virus, scan di porte, ‘fingerprinting’ e tentativi di blocco messaggi server (SMB). Le funzionalita’ di Snort possono essere utilizzate attraverso una serie di opzioni da riga di comando che potrebbero confondere un utente alle prime armi. Comunque, e’ presente un’ottima documentazione, e ci sono diversi modi tramite i quali un nuovo utente puo’ imparare ad utlizzare nei suoi vari aspetti. Non dimentichiamo che digitando il nome del programma, in questo caso snort , da terminale seguito dall’ opzione -h , (-help) , ci verranno mostrate tutte le opzioni , le variabili richieste , ed i metodi di input , è cos’ del resto per il 90% dei tool inseriti in backtrack2

br1g4nt3@bt ~ # snort

, ,__ -*> Snort! <*-
o” )~ Version 2.6.1.2 (Build 34)
” ” By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2006 Sourcefire Inc., et al

Snort puo’ essere configurato per l’esecuzione in tre modalita’ differenti:

* Sniffer Mode – Questa modalita’ fa si che Snort legga i pacchetti trasmessi sulla rete e ne stampi i contenuti su standard output (lo shcermo).

* Packet Logger Mode – Modalita’ simile alla precedente, la differenza sostanziale e’ che in questa modalita’ i pacchetti sono salvati su disco.

*Network Intrusion Detection System (NIDS) Mode – Visti i propositi di questo tutorial, questa modalita’ e’ una fra le piu’ interessanti. La modalita’ NIDS e’ la piu’ complessa e configurabile fra le tre messe a disposizione da Snort. In questa modalita’, Snort analizza il traffico di rete concordemente con delle regole definite dall’utente, e le esegue di conseguenza

Per configurare snort , ci si serve del file Snort.conf che e’ il file di configurazione di Snort. snort.conf , contiene tutte le impostazioni necessarie all’esecuzione di Snort. Usate un editor di testo per aprire questo file di configurazione , stando naturalmente molto attenti a ciò che vi dice lo stesso file all’ interno delle help’s word , (ovvero quelle stringhe di aiuto che ci dicono come e quali dati dobbiamo inserire ) , perchè e’ una parte essenziale della modalita’ NIDS di Snort. Da questa parte che noi inseriamo manualmente , snort riesce a capire che cosa deve fare e quali device deve monitorare , sono pursempre delle stringhe , e come tali vanno trattate

Per configurare snort.conf apriamo il file in modalità testuale , e usando questo comando:

vi /etc/snort/snort.conf

(oppure come faccio sempre io , mettendo kate al posto di vi , per aprirlo in stile blocco note)

Una volta aperto il file di configurazione di snort , sostituiamo le variabili di default con le variabili riguardanti la nostra rete , ad esempio , IP pubblico , IP privato , device come può essere ath0 , eccetera…

io ad esempio ho inserito nel file di kate:

IP_82.52.xxx.xx/24 e per il dev eth0_192.168.100.1

var HOME_NET [82.52.119.96/24,192.168.100.1/24]

Tutta questa configurazione di rete va eseguita nel caso in cui vogliamo un sniffing in modalità live , che è ben supportata dal nostro snorf , altrimnti se vogliamo lasciarlo lavorare , pur sapendo di ritrovarci alla fina dello sniffing una marea di pacchetti da guardarci a vista , possiamo configurare le variabili di snort in modalità generic sniffing , che poi è solo una delle tante funzioni e si esegue inserendo nel file .conf di snort la variabile any e quindi:

IP_82.52.xxx.xx/24 e per il dev eth0_any

var HOME_NET any
var EXTERNAL_NET any

usando poi i DNS della Telecomitalia ho inserito:

var DNS_SERVERS $HOME_NET 212.216.112.112

Se stessimo lavorando da webserver potremo configurare altre opzioni , perhé è tutto previsto in snort , sia configurazione per prorocolli http , telnet , SMTP , SQL e altri…compreso il protocollo AIM

Per usare nel nostro caso lo snort e farci poi tornare la lista dei pacchetti catturati o i dati di un eventuale intrusione , aggiungiamo l’ opzione -l , che restituirà un file di log con i dati appena citati. Quindi daremo da terminale il comando:

snort -A fast -K ascii -l /var/log/snort -i eth0

dove “-A“esegue snort nella modalità live e quindi rapida , fast e con suono di alert ; “-K ascii -l” indica a snort la modalità del file log

e ” /var/log/snort -i eth0” è la directory in cui il log verrà salvato , seguito dal device “eth0″ che usiamo per lo sniffing.

Ora dopo aver lanciato da terminale il comando sopracitato , snort incomincerà a lavorare , e a catturare pacchetti dieventuali intrusioni , se abbiamo la possibilità , andiamo su di un’ altra macchina , e proviamo d immettere nell’ IP che snort sta monitorando dei pacchetti ICMP*

*piccola nota: I pacchetti ICMP sono i pacchetti appunto del protocollo ICMP, che al contrario di TCP e di UDP non hanno le porte. Il pacchetto ICMP è composto da un numero, che ne definisce il tipo , e una specie di “sottonumero” che ne contiene invece il codice.

Se qualcuno , sicuramente in modo diverso da me che lo faccio solo in rare occasioni , usa la backtrack2 in modalità virtualizzata , (ne ho già parlato in passato) , ad esempio con VMware , può benissimo uscire dalla modalità virtual e inserire pacchetti* sull’ ethernet (dev eth0) , per poi andare a controllare il file di log , che è nella directory indicata nel comando che abbiamo dato per lanciare snort.

*Lanciare pacchetti (!?)…….fate 3/4 ping sul IP dell’host e vedete se snort sta lavorando!

(Se non sapete l’IP della vostra macchina , basta dare , sempre da terminale ifconfig e potete vederlo.)

Ora da terminale , andiamo a vedere cosa ci ha restituito il nostro snort con il comando:

ls /var/log/snort

vedremo che se abbiamno configurato a dovere il file snort.conf , snort ci restituirà un messaggio log , di questo :

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

10/09-2007:00:48.824915 192.168.100.1 -> 192.168.100.18

ICMP TTL:128 TOS:0X0 ID:7631 IPLen:20 DGLen:M60

Tipe:8 Code:0 ID:512 Seq:1586 ECHO

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

È la prima volta che ho usato snort ed è andato tutto a buon fine….quindi è alla portata di tutti coloro che voglio monitorare la propria macchina. ;)

Altri videotutorial , hacking illustrati , articoli e forum su tutte le security-distro GNU/Linux potete trovarli su securitydistro.com

head3.jpg


Cappelli colorati…..o troppa insicurezza?

images.jpeg

Non poche volte sentiamo parlare di backdoor che riescono ad inoltrarsi nei server mail.

Oggi purtroppo tocca dare la parola a Google che vede un nuovo rischio per il proprio servizio di posta Gmail.

La nuova tecnica è stata scoperta da D. Petkov, un ricercatore di GNU, che dice che il backdoor si inoltra in Gmail e si attiva magicamente come filtro , in modo che tutte le informazioni vengano lette e spedite regolarmente , ma non senza essere passate per questo backdoor che reinoltra i contenuti delle mail all’ indirizzo collect@evil.com

Non molto tempo fa altri ricercatori mostrarono come tramite Google , questa volta il motore di ricerca , si possa arrivare a vedere le webcam situate in molti posti nel mondo , basta girare un pò per rendersi conto che non ci vuole molto , -(1)(2)-

Tante sono le aziende che uniscono le loro forze per aumentare la sicurezza dei loro clienti , ma ad egual misura , anzi direi addirittura superior misura , le nuove tecniche di Exploit e di altri attacchi crescono e si propagano per la rete.

Pensate voi se a scoprire le nuove tecniche di Exploit e a metterli in atto siano i “cappelli neri” , ovvero i BalckHat , sarebbe un bel problema , ma fortunatamente , anche se non sempre sono i migliori a scoprire i primi bug , e con milw0rm a disposizione , beh…èuna gran cosa.

Il problema però lo fanno nascere le persone che non si rendono conto di ciò che fanno , basti guardare al governo Tedesco , che con la sua nuova legge che proibisce tutti , o quasi , i tool per l’hacking , ha costretto tutti gli hackers tedeschi a raggirare le leggi , mettendo i domini negli Stati Uniti , basti pensare al The Hacker’s Choise team.

Ma oramai le persone conviono con l’insicurezza , usano tutti i giorni sistemi e programmi insicuri e gli esempi li abbiamo sotto gli occhi , il messanger di MSN avrà centinaia programmi correlati per il filtraggio e lo sniffing delle conversazioni tra gli utenti , e credo che la difesa ancora non possa essere indicata negli strumenti di filtraggio messi a disposizione dai vari client. Ma se un vero hacker fà del bene , si vede negare tutto il suo lavoro dal proprio governo….sembrerebbe che se i cappelli sono bianchi , alla fine i governi gli danno una bella verniciata!

Forse il fatto vero è che crediamo di fare tutto anonimamente….mettiamo la nostra sicurezza nelle mani di personale che seppur preparato , non può risolvere da solo la situazione , e una mano dobbiamo dargliela noi utenti , senza avere delle pretese di sicurezza inutili , perché la sicurezza certa , non esiste , e non esisterà mai.

Del resto se si vuole controllare il proprio garage , la propria abitazione , o il proprio negozio , in qualche server queste immagini dovranno pur passare.
L’hacker dovrebbe essere la persona che mette la conoscenza al primo posto , e non la propria fama; e questa conoscenza la condivide con gli altri , in modo che tutti possano beneficiarne , per il bene comune , e non la fama di pochi………

……sperando sempre che non passi qualche primo ministro con una bomboletta spray tra le mani.

Si avverte l’Admin , non gli si distrugge il sito!

Per una piccola parte di quest’ articolo questa fonte:

http://www.theregister.co.uk/2007/09/26/gmail_backdoor_vulnerability/