SinFP -alternative OS fingerprinting-

***

Ciao a tutti , ecocci di nuovo a scrivere su un altro tool in BackTrack , il SinFP. utilizzato per il Network Mapping.

SinFP è un tool scritto in PERL utilizzato per l’OS fingerprinting, sia attivo che passivo.

In pratica , per coloro che ancora devono avvicinarsi alle caratteristiche di un programma come quello che stiamo per descrivervi , SinFP è uno di quei programmi inseriti in BackTrack che serve per ottenere informazioni su di un determinato host , più precisamente ci mette in condizioni di sapere il tipo di sistema operativo che gira sull’ host che si va a “scannerizzare”.

È importante dire che ci sono 2 tipi di Fingerprinting , il fingerprinting attivo , ovvero quello che viene fatto durante l’ attivita del sistema preso come esempio… …ed il fingerprinting passivo , quello che viene fatto per capire il sistema operativo di un determinato host , mentre lo stesso non è in attività , infatti , come anche in quest’ esempio fatto tramite Wireshark , ci si serve di un file catturato precedentemente con un programma di sniffing.

Secondo i fautori del tool , questo sarebbe in grado di bypassare le limitazioni del più famoso e utilizzato Nmap. Come tutti sappiamo Nmap è stato utilizzato per questo scopo da anni in modo efficiente ma , oramai, con con la presenza sempre più assidua di dispositivi di filtraggio , configurazioni PAT/NAT e altre strategie utilizzate, l’approccio utilizzato dal famoso tool nel fare OS fingerprinting sta diventando obsoleto. Dunque, detto questo, SinFP basa la sua filosofia proprio su queste limitazioni e quindi getta tra le sue basi proprio il fatto di fare OS fingerprinting in modo dissimile da Nmap e altri.

Il tool richiede dunque soltanto una porta TCP aperta che sarà l’unica responsabile del risultato ottenuto dalla scansione; SinFP invia dei pacchetti TCP standard e limita i test effettuati sul sistema da scansionare a 2-3, anche se secondo lo sviluppatore SinFP sarebbe in grado di riconoscere il sistema già al primo responso dei pacchetti TCP inviati.
Di seguito stiliamo una lista di varie caratteristiche della versione 2 del tool, molte di queste caratteristiche sono viste come confronto alla versione 1 dello stesso.
-completamente riscritto (rispetto alla 1);
-sinfp.db completamente rielaborato;
-nuovi metodi basati sul confronto tra l’invio di pacchetti e la risposta ottenuta;
-nuovi algoritmi di confronto che lavorano come un motore di ricerca;
-possibilità di cambiare un algoritmo di confronto passando al tool manualmente una
“matching mask”;
-passive OS fingerprinting molto accurato grazie ai nuovi algoritmi;
-Possibilità di inviare pacchetti P1P2P3, o solamente P1P2 o ancora solo P2;
-consente di utilizzare l’IPv6 mentre la versione 1 non lo consentiva;
-cambiamenti all’ API, non compatibili con la versione precedente;
-cambiamenti allo schema del DB, anche questa incompatibile con la versione precedente;
-Molti bug corretti;

***

La sintassi utilizzata per il corretto funzionamento del tool è la seguente:

/usr/local/sinfp/bin/sinfp.pl -i <targetIp> -p <openTcpPort>

dove:
-i istruisce il programma che in seguito sarà riportato un indirizzo ip, mentre
-p indica al tool quale porta tcp aperta utilizzare per portare a termine il fingerprinting.

Vediamo ora le opzioni che possono essere utilizzate con questo tool:
-3 -> quello di default, invia 3 pacchetti;
-2 -> invia soltanto 2 pacchetti (P1 e P2) (modo silenzioso);
-1 -> invia soltanto un pacchetto (P2) (modalità molto silenziosa);
-v -> è il verbose mode cioè il tool ci informa in tempo reale su cosa sta lavorando;
-s <file> -> è il signature file da usare;
-C -> Stampa tutte le info possibili sul sistema “vittima”;
-O -> Ci mostra invece soltanto il sistema operativo;
-V -> Ci stampa il sistema operativo e a quale famiglia appartiene la sua versione;
-H -> usa masks HEURISTIC2 per abbinare le signature (indicato per utenti avanzati)
-A <mask1,mask2,…> -> permette di utilizzare una lista personalizzata di masks
per il confronto (anche questo indicato per utenti avanzati).
Parametri specifici per modalità online:
-k -> conserva il file pcap generato;
-a -> non generare una traccia anonima del file pcap;
Parametri specifici per modalità offline:
-f <file> -> nome del file pcap da analizzare
Parametri specifici per IPv6:
-6 -> utilizza il fingerprinting IPv6 invece dell’ IPv4
-M <mac> -> MAC address sorgente da utilizzare;
-m <mac> -> MAC address vittima da utilizzare;
-4 -> questa opzione ci permette di utilizzare l’IPv4 se non va a buon fine quello
con IPv6;
Parametri specifici della modalità “attivo”:
-r <N> -> numero di prove da effettuare per ogni test (3 di default);
-t <N> -> timeout prima di considerare perduto un pacchetto (3 di default);
Parametri specifici della modalità “passivo”:
-P -> istruisce il tool di effettuare un fingerprinting passivo;
-F <filter> -> filtro pcap;

***

Vediamo ora un esempio di OS fingerprinting attivo utilizzando un ip che presenta la porta tcp 80 aperta (scan eseguito con nmap -> status open)…

bt sinfp # /usr/local/sinfp/bin/sinfp.pl -i 78.13.252.72 -p 80

P1: B11113 F0x12 W16616 O0204ffff M1412
P2: B11113 F0x12 W16944 O0204ffff010303000101080a000000000000000001010402 M1412
P3: B11021 F0x04 W0 O0 M0
IPv4: BH0FH0WH1OH0MH1/P1P2P3: Windows: Windows: 2000
IPv4: BH0FH0WH1OH0MH1/P1P2P3: Windows: Windows: XP

*** File [sinfp4-127.0.0.1.anon.pcap] generation done.
*** Please send it to sinfp@gomor.org if you think this is not
*** the good identification, or if it is a new signature.
*** In this last case, please specify `uname -a’ (or equivalent)
*** from the target host.

Come possiamo leggere dal risultato riportatoci dal nostro tool abbiamo inviato 3 pacchetti e cioè P1,P2 e P3 (come di default per giunta) e abbiamo ricevuto dunque in base a questi pacchetti 3 risposte che il tool ci ha anche stampato. Dunque in base all’abbinamento fatto da SinFP confrontando le risposte con i dati contenuti nel suo database è giunto alla conclusione che la “vittima” è dotata di un sistema della famiglia windows e. in particolare possiede o windows 2000 o windows XP.

Ora eseguiamo un’altra prova su un ip che che presenta la porta 22 aperta (come l’esempio di prima anche questo fingerprinting è di tipo attivo).

bt sinfp # /usr/local/sinfp/bin/sinfp.pl -1 -v -O -i 78.14.40.211 -p 22
DEBUG: using db: /usr/local/sinfp/bin/../db/sinfp.db
DEBUG: DescL3: dev: [ppp0]
DEBUG: DescL3: ip: [79.9.159.145]
DEBUG: DescL3: mac: [ff:ff:ff:ff:ff:ff]
DEBUG: DescL3: ip6: [::1]
DEBUG: DescL3: gatewayIp: [0.0.0.0]
DEBUG: Frame: DescL3 object created
DEBUG: Dump: will run in mode: 0
DEBUG: Dump: dev: [ppp0]
DEBUG: Dump: file: [sinfp4-78.14.40.211.22.pcap]
DEBUG: Dump: filter: [host 78.14.40.211 and host 79.9.159.145 and tcp and port 22 and (port 41568)]
DEBUG: Frame: send: l3: protocol:6, size:60, 79.9.159.145 => 78.14.40.211
DEBUG: Frame: send: l4: TCP, 41568 => 22
DEBUG: Frame: Reply received
P2: B10113 F0x12 W5792 O0204ffff0402080affffffff4445414401030300 M1412
IPv4: Linux
DEBUG: Dump: will run in mode: 1
DEBUG: Dump: will run in mode: 2

*** File [sinfp4-127.0.0.1.anon.pcap] generation done.
*** Please send it to sinfp@gomor.org if you think this is not
*** the good identification, or if it is a new signature.
*** In this last case, please specify `uname -a’ (or equivalent)
*** from the target host.
DEBUG: Dump: Frames received : 6
DEBUG: Dump: Frames dropped : 0
DEBUG: Dump: Frames if dropped: 0
DEBUG: Dump: sinfp4-78.14.40.211.22.pcap removed

In questo caso per dimostrare la funzionalità del tool abbiamo aggiunto altre opzioni nella nostra ricerca.
Cioè SinFP invierà un solo pacchetto (1), attiverà il verbose mode (-v) e ci dirà soltanto il sistema operativo identificato (-O).
Dunque leggiamo il risultato:
La porta utilizzata è la 22, il pacchetto inviato è il P2, la risposta è stampata e dunque il nostro tool l’ha associata a un sistema operativo linux (stampato alla 16° riga).

Eseguiamo una nuova prova utilizzando questa volta la tecnica del OSfingerprinting passivo e cioè mediante un file di sniffing. Il file in questione è stato editato da WireShark , tool che sicuramente molti di voi conosceranno; è bene che sappiate che quando salvate il file da Wireshark selezionate il tipo “modified tcpdump/libcap”, o almeno così ho fatto io, altrimenti il nostro tool SinFP potrebbe non leggerlo correttamente e non prenderlo come input valido.

bt sinfp # /usr/local/sinfp/bin/sinfp.pl -P -f /root/Desktop/capture.pcap

209.85.135.147:80 > 79.9.159.145:53224 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

209.85.135.147:80 > 79.9.159.145:53225 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

209.85.135.147:80 > 79.9.159.145:53226 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

209.85.135.147:80 > 79.9.159.145:53227 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

209.85.135.147:80 > 79.9.159.145:53228 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

Vediamo che il nostro tool confrontando le varie risposte con il database in suo possesso è riuscito a capire che in questo specifico caso ha avuto a che fare con sistemi dotati di distribuzioni linux e con il kernel 2.6 .

Per concludere facciamo una ulteriore prova per verificare se il nostro tool sia in grado di riconoscere sistemi della famiglia FreeBSD (visto che i riconoscimenti di linux e windows sono stati portati a termine con successo), per fare ciò utilizziamo il sito di FreeBSD e cioè http://www.freebsdfoundation.org.

Il fingerprinting che utilizzeremo sarà di tipo passivo e il file catturato è stato creato come prima da WireShark.

bt sinfp # /usr/local/sinfp/bin/sinfp.pl -P -f /root/Desktop/capture.pcap

87.13.247.89:57951 > 69.147.83.42:80 [SYN]
P2: B11110 F0x12 W5808 O0204ffff0402080affffffff0000000001030305 M1452
IPv4: unknown

69.147.83.42:80 > 87.13.247.89:57951 [SYN|ACK]
P2: B11111 F0x12 W65535 O0204ffff010303010101080affffffffffffffff04020000 M1412
IPv4: BH0FH0WH0OH0MH1/P2: BSD: FreeBSD: 6.0
IPv4: BH0FH0WH0OH0MH1/P2: BSD: FreeBSD: 6.1
IPv4: BH0FH0WH0OH0MH1/P2: BSD: FreeBSD: 6.2

87.13.247.89:60373 > 64.147.173.80:80 [SYN]
P2: B11110 F0x12 W5808 O0204ffff0402080affffffff0000000001030305 M1452
IPv4: unknown

87.13.247.89:55535 > 66.249.91.115:443 [SYN]
P2: B11110 F0x12 W5808 O0204ffff0402080affffffff0000000001030305 M1452
IPv4: unknown

64.147.173.80:80 > 87.13.247.89:60373 [SYN|ACK]
P2: B11111 F0x12 W65535 O0204ffff010303000101080a000000000000000001010402 M1300
IPv4: BH0FH0WH0OH0MH1/P2: Windows: Windows: 2000
IPv4: BH0FH0WH0OH0MH1/P2: Windows: Windows: XP

87.13.247.89:41187 > 66.211.168.209:443 [SYN]
P2: B11110 F0x12 W5808 O0204ffff0402080affffffff0000000001030305 M1452
IPv4: unknown

66.249.91.115:443 > 87.13.247.89:55535 [SYN|ACK]
P2: B11011 F0x12 W5672 O0204ffff0402080affffffffffffffff01030306 M1412
IPv4: BH1FH0WH1OH0MH1/P2: GNU/Linux: Linux: 2.6.x

66.211.168.209:443 > 87.13.247.89:41187 [SYN|ACK]
*** WARNING: not enough TCP options for P2 reply, result may be false
P2: B11011 F0x12 W8190 O0204ffff M1380
IPv4: BH0FH0WH0OH0MH1/P2: Unknown: GoogleOS: unknown

E’ chiaro che SinFP ha riconosciuto anche sistemi operativi del tipo FreeBSD e ci dice che il sistema con cui abbiamo avuto a che fare è dotato di una delle 3 versioni stampate. Gli altri risultati presenti nel report sono altri dati raccolti dallo sniffing e li ho voluti riportare perchè ho pensato sarebbe stato più opportuno pubblicare il risultato integralmente.

Come possiamo vedereSinFP ha fatto il proprio dovere davvero bene e secondo il mio modestissimo parere non è secondo davvero a nessuno, infatti SinFP in tutte le circostanze si è comportato egregiamente non manifestando alcun tipo di problema.

Ciao a tutti e alla prossima.

il nostro Addio a RetroGod…

Sono 2 giorni che questa notizia è nella nostra pagina di /news e nell’ header del nostro Chan , ma credo che sia giusto farla arrivare anche tramite RSS a tutti coloro che si interessano al nostro modesto lavoro.

***

***

Una brutta notizia che pubblichiamo ma che avremmo voluto non dare mai…

rGod è morto , quelle di seguito sono le parole che si leggono sul suo sito , scritte da un suo amico.

Ce ne rammarichiamo , sapendo che con lui è andata via la capacità e l’ abilità di un personaggio importante e unico nel suo genere , ma che soprattutto , non si è mai reso indisponibile a nessuno , mostrando apertamente tutto il suo sapere senza fare troppe giri , cosa non da poco… …se consideriamo che ci sono admin e mod che non rispondono ai pm credendosi superuomini , mentre lui da perfetto sconosciuto rispose ad una mia mail , credo che tutti dobbiamo imparare da un comportamento simile.

rGod non era solo uno dei pochi a cui poter affidare il nome di Hacker , ma quello di genio… …grande pittore e profondo scrittore non sarà il suo corpo a portare via il suo nome.

fatevi un giro nella sua home a guardare le sue tante opere

http://godr.altervista.org/

Addio rGod ,

il tuo nome non morirà mai.

brigante & BackTrack[IT]

###

I am not rgod. I’m a friend of his named Daniel.

rgod died two days ago at that hospital in Catania.

It was a surprise and a shock…to all of us who knew him.

rgod was suffering of a rare bony marrow disease, leading to paralysis during his last days.

It just took me a while to figure out how to have access to rgod’s website, searching the key on his laptop
(with permission from those close to him) to post this…

I don’t know what the future of this site will involve but I’d sure like to see these posts, and some of the
others about rgod posted across the Internet, preserved on the web indefinitely.

Just so that when folks google the name of rgod in years to come, they’ll be able to read it all.

###

AutoScan -your network monitor-

z

***

Ciao a tutti,

come potete vedere dall’immagine il tutorial di oggi riguarderà Autoscan, un tool multifunzione , potente e facile da gestire , inserito in BackTrack nella sezione del Network Mapping.

Perchè multifunzione?

Il fatto è il seguente…

In BackTrack a menochè non ci si crei un utente dopo l installazione , ci si “logga” come utente amministratore… …root , questa è una caratteristica che può causare vari problemi se si fanno degli errori , ma oltre a questo si è vulnerabili a livello di sicurezza.

Fermorestando che rimango sempre dell’opinione che la cosa migliore da fare sia crearsi un utente supplementare , Autoscan può risolvere , (almeno in parte) , anche la questione sicurezza , fungendo quindi , se impostato in maniera corretta , come un vero e proprio firewall.

Le molte funzionalità che contraddistinguono Autoscan lo inseriscono tra i livelli piu alti tra tutti i tool della sua categoria , infatti solo per aggiungere la caratteristica principale del programma , Autoscan è famoso per avere la possibilità di controllare il proprio network non solo in locale , ma anche a distanza… …anche più di un network , con predisposizione a molti apparati hardware.

Le caratteristiche di Autoscan sono molte , diamo solo per iniziare uno sguardo all’ interfaccia grafica…

***

null

***

Autoscan può controllare tutti i tipi di reti , anche quelle , naturalmente dopo una propria configurazione , protette da firewall.

Elenchiamo ora alcune principali caratteristiche di Autoscan:

–> scansione della rete in multi-thread;
–> esplorazione automatica della rete;
–> nessun sovraccarico di rete dovuto al tool;
–> utilizzo di user “agents”;

inoltre:

–>analisi automatica della rete;
–>supervisione dei dispositivi (router, server, firewall, ….)
–>supervisione dei vari servizi di rete (smtp, http, pop, …)
–>riconoscimento automatico dei vari dispositivi; è possibile aggiungere nel database , dispositivi che il tool non riconosce;
–>lo schema della scansione della rete può essere salvato in un file XML;
–>riconoscimento di vari intrusioni nella rete , (in “intruders detection mode” tutti i nuovi dispositivi aggiunti saranno considerati intrusi);
–>esplorazione del file sharing;
–>client telnet;
–>client nessus;
–>funzione “wake on” su lan;
–>non sono richiesti privilegi di root;

[COME SI PRESENTA]


L’applicazione è composta principalmente da due parti:

–> Una parte grafica che stampa i risultati e dà l’accesso all’operatore a tutte le funzionalità.
–> La parte che scansiona la rete e supervisiona i dispositivi

L’interfaccia grafica è in grado di connettere uno o più agents , (in locale o remoto) , per supervisionare contemporaneamente più reti remote , (viene impiegato un agent per ogni rete supervisionata).

[PER AGGIUNGERE NUOVE RETI]

Nella prima pagina del wizard è possibile inserire una nuova rete o riprendere la configurazione di una rete già salvata.
Creazione di una nuova rete:
-Mettere innanzitutto la spunta su “new“;
-Immettere il nome della rete nel campo apposito (siate sicuri di avere nomi differenti per ognuna delle reti da supervisionare);
-scegliere un’icona per la propria rete , tenendo in considerazione le icone adatte al tipo do rete.
-Nel campo “Private subnet” ci sono le varie reti private che in seguito saranno scansionate con Autoscan (lasciare le impostazioni di default);
-nel campo più in basso scegliere il nome dell’SNMP (se siete indecisi
lasciate quello di default);
-L’opzione riguardante “Dynamic IP” informa l’agent di
prendersi cura di eventuali cambi di IP (è quindi consigliabile
lasciare la spunta).
Per quanto riguarda invece l’utilizzo di una rete già creata in
precedenza:
-Mettete la spunta su “restore” invece che su “new”;
-Aprite il file XML salvato della vostra rete.

Nella pagina successiva si può scegliere quale rete si vuole scansionare.
-Mettete la spunta su “localhost” se state effettuando la scansione
mediante “l’agent” locale;
-Mettete invece la spunta a “connect to host” se volete connettere la
vostra macchina ad un agent remoto, in questo caso aggiungete le
informazioni nei vari campi per connettervi alla macchina remota in
cui vi sarà in esecuzione ‘autoscan-network-daemon’.

***

null

***

Nella terza pagina si potrà scegliere l’interfaccia di rete,
e in caso voi stiate eseguendo autoscan su una macchina remota, è proprio
durante questo passaggio che la vostra macchina scambia
informazioni con quella remota, in seguito a questa operazione
potrete scegliere l’interfaccia di rete

***

null

***

L’ultima pagina è soltanto un sommario dei dati inseriti dunque
cliccate su avanti.

Se volete inserire una ulteriore rete basta che clicchiate su
“add a network” e si avvierà di nuovo un wizard come quello precedente..

COME AGISCE: Autoscan scansiona permanentemente la rete , cercando nuovi dispositivi. Quando ne viene inserito uno, Autoscan identifica il dispositivo e il modello (alcuni tra i dispositivi compatibili sono: notepad,desktop, servers, switch, router, video games, telefoni su IP, telecamere di sorveglianza, fax…..) L’identificazione di un dispositivo è basata sul riconoscimento di pacchetti, infatti ogni tipo di dispositivo ha una propria caratteristica nei pacchetti e Autoscan esegue un fingerprint confrontando i dati del dispositivo con quelli contenuti nel suo database. I dispositivi che non vengono riconosciuti vengono immessi in una lista separata. L’utente dunque può aggiungere al database i propri dispositivi non riconosciuti cliccando sul dispositivo non riconosciuto e seguendo l’apposito wizard. L’utente può addirittura aggiungere icone all’interno del tool , basta che copi i file desiderati in:
/opt/AutoScan/usr/share/pixmaps/autoscan-network/Equipment/

Questo per fare in modo che tutti coloro che hanno da monitorare più reti e diverse tra loro possano facilmente conraddistinguerle.

[L’INTERFACCIA]
Durante l’analisi della rete, i dispositivi sono rappresentati nella parte sinistra della finestra. Cliccando su uno di questi dispositivi, si visualizzano le informazioni relative al dispositivo stesso e precisamente queste informazioni vengono visualizzate nella parte destra dello schermo.
Le informazioni visualizzate riguardano:

IP Address
MAC Address
marca modello e chipset del network adapter
Open ports


ed altre informazioni a carattere personale , (in cui ognuno può mettere le informazioni che vuole ad es. email, proprio nome…..).

Nella maggior parte dei casi vengono anche individuati i servizi che ascoltano sulle porte indicate, e viene riportato uno schema grafico nella finestra di destra, sotto quella con le informazioni.
La barra situata nell’angolo sinistro ci mostra la progressione della scansione in corso, inoltre essa ci mostra:

-Il numero dei dispositivi trovati;
-Il numero dei dispositivi analizzati;
-Il numero dei dispositivi che saranno scansionati;
-Percentuale della scansione corrente visualizzata nella barra di progressione.

Lo schema della nostra rete può essere visualizzato in due modi; è possibile cambiare la visualizzazione cliccando con il tasto destro del mouse sulla lista dei dispositivi.

Questi sono solo alcuni screenshot che mostrano come Autoscan monitorizzi due reti diverse , quella sul mio laptop e quella sul mio Server , dove nel primo caso ho inserito l’intrusion detection , essendo in BackTrack e non avendo ancora creato il mio secondo utente , mentre sul server è in esecuzione come monitor di rete dei servizi che vedete tramite le icone.

questi screenshot mostrano la possibilita , con un account Nessus , di testare eventualmente la rete, possibile anche comunicare tramite il protocolo Telnet ed usufruire di tool come nMap e Ping per controllare appunto le porte in modo rapido ed efficace.

nullnull

nullnull

Dalla penultima immagine potete vedere come io stia monitorando senza alcun intervento il mio laptop , il mio server e tutta la subnet ad esso collegata…

Dall’ultimo screenshot invece potete vedere come AutoScan , sempre tenendo conto di una configurazione della subnet adeguata , o come in questo caso di una possibilità di comunicazione con il server principale , ci dia la possibilità di connetterci utilizzando i tool gia presenti nel sistema , in questo caso la nostra BackTrack , che avendo Konqueror e Firefox di prima installazione , ci permette di accedere a Fpt con gli stessi tool , facendo apparire un’ opzione al passaggio del mouse.

Bene , questo è tutto , abbiamo fatto , almeno lo speriamo , una sufficiente descrizione di un ottimo programma , che permette a tutti coloro che devono garantirsi una certa sicurezza di tenere sotto controllo la prorpia rete , monitorandola con AutoScan , saremo avvertiti in tempo reale di tutto ciò di cui abbiamo bisogno.

Per riprendere il discorso dell’inizio tutorial e dell’uso in BackTrack di AutoScan come Firewall , aggiungo anche che usando AutoScan insieme a KsysGuard configurato per il network-monitoring , si ottiene un’ottima soluzione che è una barriera davvero potente e considerando l’azione che svolgono anche non invadente.

Ciao a tutti e alla prossima.

RedBaron con la partecipazione di ^RuNNeR^ e brigante~

GFI Languard

Ciao a tutti,

come da titolo oggi andrmo a drscrivere uno dei Vulneability Scanner più famosi che si vedono in rete , stiamo parlando del GFI-Languard , (attualmente alla versione 2.0) , inserito da sempre , in BackTrack nell’ apposita sezione del “Vulnerability Identification“.

GFI-Languard è un prodotto della GFI Security & Messaging Software , è molto famoso e diffuso , grazie alla sua versatilità.

In BackTrack GFI-Languard si avvia grazie all’ ausilio di Wine , infatti già dalla prima apertura del programma l’interfaccia grafica in winz style , è ampiamente riconoscibile.

Il pregio di un programma del genere è quello di racchiudere dentro di se più tools , in grado di metterci nelle migliori condizioni per fare il test delle vulnerabilità note di più domini o server , di ricercare patch mancanti eccetera…

Voglio specificare subito che GFI-Languard può essere usato per identificazione delle vulnerabilità da parte di admin e non per creare attacchi e quindi eseguire pentesting , anche se dopo una scansione effettuata si può decidere di compiere lo stesso un attacco , ma vedrete dalle righe che seguono eventuali opzioni da prendere in considerazione.

Avendo in locale il mio Server , facciamo con GFI-Languard una prova per vedere come funziona e che risultato ci fornisce.

Passiamo quindi a fare il nostro scanning , non prima naturalmente di aver messo a posto delle opzioni…

Innanzitutto bisogna selezionare l’ host da scannerizzare , che potrebbero essere anche più di uno , potremmo effettuare delle scansioni di interi network , su un intero dominio Windows ad esempio e dal risultato in basso , in formato html , riusciremo a vedere tutte le informazioni raccolte , host per host.

Nel mio caso , avendo nella mia Lan un Server all’ indirizzo 29.230.6.75 , inserirò quest’ IP nello spazio indicato in alto , tenendo conto di tenermi l’ host anche per futuri esperimenti , dandogli quindi un nome , un eventuale commento e salvando il tutto.

Ma andiamo avanti…

Nella selezione degli Alerts , l’ icona con il punto esclamativo , vengono inserite tutte quelle vulnerabilità che a noi più interessano , ma che GFI-Languard seleziona automaticamente tutte in blocco.

Questa l’interfaccia dopo la scannerizzazione del server..

***

***

Come possiamo vedere dall’ immagine , GFI-Languard ci ha restituito un ampio e dettagliato risultato , dagli header del sito che si trova sul server , all’ intero range di informazioni che il server usa per i DNS e la Subnet che uso io.

Lo scanning , bisogna dirlo , non è durato molto , ed ha restituito un buon numero di informazioni , dal MAC-Address , a tutti i servizi aperti , porta per porta , che nel nostro caso sono stati individuati:

Il servizio Samba , il webserver Apache con tipo di protocollo , (SSH – HTTP-secure) , PHP alla versione 5.2.1 , Il tipo di server WinServer2003 Spk.2 , la versione , e 5 porte aperte con tanto di servizio incluso.

La caratteristica principale di un prodotto quale GFI-Languard , è quella di evitare all’ utente di verificare servizio per servizio tutte le possibili “aperture” sconsiderate e che potrebbero causare problemi legati a vulnerabilità “note” , con un notevole risparrmio di tempo e di lavoro.

La rilevazioni che GFI-Languard tiene in considerazione principalmente sono:

Il tipo di Server , la versione ed eventuale Service Pack.—>Nel nostro caso ripeto: WinServ.2003 – Spk.2 – con il Mac-Address riportato , il nome del Workgroup ed il nome dell’ host.

Le eventuali patch di sicurezza mancanti

I punti di accesso Wireles.

Condivisioni in linea e porte aperte.

—>Nel nostro caso ha trovato: Samba , Subnet , 5 porte aperte con servizi annessi e nessun utente “loggato”

Naturalmente volendo possiamo “maneggiare” tutti i tipi di alert , solo per fare un esempio ho lasciato selezionata la spunta sul controllo CGI , (Common Gateway Interface) , perché l’ host da scannerizzare conteneva un webserver , ma nel caso sia stato una situazione diversa , per risparmio di tempo e di lettura risultato , avrei benissimo potuto togliere la spunta di selezione.

Il tutto è stato eseguito nel mio caso per la prima volta con GFI-Languard , la prossima volta potrò tenere il profilo salvato con le stesse condizioni di utilizzo.

Una caratteristica , importante , che GFI-Languard ci mette a disposizione è l’ accesso da remoto sul computer/server con delle credenziali determinate… …esempio:

***

***

Nel caso indicato in figura , possiamo vedere che le impostazioni di accesso sono quelle che GFI-Languard usa di default , ma che noi possiamo cambiare a seconda della situazione in cui ci troviamo.

Sul mio server , non posso ovviamente accedervi senza credenziali , sono nella mia subnet , abbastanza sicura , ma per accedervi devo usare username e password dell’ account administrator oppure di un utente guest o altro.

Questa particolare scelta ci permette di avere dal risultato della scansione molte cose utili in più alla scansione già effettuata in precedenza , come ad esempio il test della complessità della password usata , , per i sistemi UNIX della KEY , mettendoci in condizioni tali da poterla eventualmente cambiare.

Quando in questo caso GFI-Languard esegue una scansione , le credenziali di accesso da remoto sono quelle che caratterizzano il sistema su cui GFI-Languard è in esecuzione , intese come “default”.

Queste credenziali che GFI-Languard ci fa inserire sono , come detto sopra , salvabili all’ interno di ogni profilo , in questo modo ci possiamo connettere ad ogni server con delle credenziali diverse , ognuna contenuta in un profilo diverso, eseguibile ad ogni scansione singolarmante e tutti insieme , tanto il risultato sarà sempre descrittivo host – per – host , server per server , dominio per dominio.

GFI-Languard è un’ ottimo tool per la scansione di Servizi aperti e di Eventuali possibili falle su sistemi , ma come pentesting , (inteso come vero attacco) , bisogna rendersi conto di più fattori , come , giusto per fare qualche esempio , il fatto che GFI-Languard lascia log sui sistemi scannerizzati , avverte in modo chiaro gli admin dei ping ricevuti , non performa i ping dopo che l’ host in ricezione ha rigettato lo stesso , considerandolo down , spento… …ma non credo sia questo il suo scopo.

Per ciò per cui è stato creato , è un ottimo tool senza ombra alcuna , in caso di BUG “noti” , GFI-Languard ci fornisce addirittura la natura della patch e dove poterla reperire , questo è propriamente il suo ruolo a cui credo adempia ampiamente , pensiamo ad un admin aziendale , che deve tenere sott’ occhio una cinquantina di pc magari su più domini , non credo che sia un programma di cui si possa fare a meno.

Il mio server , creato per consentirmi di fare pentesting , quindi BUGato se preso all’ interno della mia subnet , non è stato oggetto di verifica da parte di GFI-Languard , la versione di PHP che utilizzo insieme alla versione di apache porta un BUG , (anche vecchio e molto conosciuto) , ma che non è risultato nella scansione.

Nel compenso GFI-Languard è stato in grado di enumerarmi tutta la subnet e l’ ha fatto in maniera velocissima , e soprattutto è stato in grado di riportarmi tutte le informazioni che un admin , su WinServer 2003 , avrebbe scoperto con molto più tempo e lavoro.

Un altro dei tanti ottimi prodotti inseriti in BackTrack , che usato allo scopo giusto , ci evita di spendere una granparte di tempo e fatica.

I risultati di scansione sono organizzati in categorie , e visibili comodamente all’ occhio tramite delle icone , di cui ne riporto un solo esempio:

  • Icona che indica una vulnerabilità
  • Vulnerabilità Potenziale
  • Condivisioni attive sull’ host
  • Applicazioni trovate in esecuzione
  • Schede di rete , MAC-Address , eccetera
  • Porte TCP aperte
  • Stato dell’applicazione di patch nel sistema
  • NETBIOS con name e tutto il resto
  • Computer
  • Gruppi trovati
  • Utenti
  • Utenti connessi
  • Sessioni aperte
  • Servizi
  • Processi
  • Orario da remoto

Da qui possiamo già capire che se abbiamo bisogno di scannerizzare e tenere sotto controllo 2/3 domini , GFI-Languard è quello che fa al caso nostro.

La grande veersatilità di configurazione poi di cui gode GFI-Languard è a dir poco eccezionale , secondo ogni criterio è possibile fare una configurazione diversa della nostra scansione , facendo riferimento ad una scansione predefinita con un determinato profilo salvato , GFI-Languard ci mette al corrente delle diversità tra più scansioni e lo fa con le caratteristiche di cui gode maggiormente , velocità ed efficacia di analisi settore per settore , servizio per servizio , con orario di login di eventuali utenti connessi e tutto ciò che serve ad un admin per poter tenere sotto controllo il proprio network , il tutto comodamente salvato in un file html.

***

***

Ciao a tutti e alla prossima.

Maltego

paterva1.png

Ciao a tutti,

il tutorial che scriveremo oggi riguarda il Maltego , uno srumento importante ed efficace inserito in BackTrack nella sezione dell’ “Information Gathering”.

Maltego è uno strumento di ricerca informazioni , è scritto totalmente in Java ed è il prodotto , tra i più importanti , della Paterva.

L’ idea per questo tutorial mi è venuta leggendo un thrade di dapirates sul forums.remote-exploit e che subito ha catturato il mio interesse.

Appena aperto Maltego si presenta con un interfaccia ricca di opzioni e di facile intuizione.

Molti utenti hanno avuuto leggeri problemini con Maltego , per il semplice fatto che come strumento non è disponibile nell’ immediato , ma necessita di una “chiave” di attivazione , (di tipo API) , ed essendo uno strumento della Paterva per ottenere tale chiave , (che poi ricordo dovrete mantenere) , dovrete registrarvi presso la stessa. La procedura non è complicata ed appena eseguita la registrazione e ottenuta la chiave API per Maltego , avrete a disposizione uno strumento per l’ Information Gathering davvero molto potente.

Ora , perché un utente di BackTrack dovrebbe preferire Maltego ad uno dei tanti altri strumenti a disposizione per l’ information gathering?

La risposta è semplice:

Anche quì nel nostro blog , abbiamo in passato trattato l’ utilizzo di altri strumenti per la ricerca di informazioni , ricorderete Dmitry , che è lo strumento che più utilizzo io stesso , ma Maltego ha un’ambito di lavoro in più ai soliti , pursempre ottimi , strumenti inseriti in BackTrack… …sto parlando della ricerca di informazioni dettagliate non solo su società e siti in rete , ma di persone… …e con tanto di numero telefonico ed indirizzo.

Questo appena detto non è naturalmente fattibile a tutte le ricerche , ma già che sia una cosa disponibile anche per la minoranza delle nostre ricerche beh… mi sembra già un ottimo risultato , se aggiungiamo poi che le ricerche con il passare del tempo avranno sempre più efficacia allora , non credo che si possa fare a meno di uno strumento simile.

Una caratteristica importa di Maltego è quella di poter essere configurato con più motori di ricerca whois; in BackTrack , sempre nella sezione dell’ information gathering , ci sono strumenti online , archivi dove poter fare tutte le ricerche che ci servono , sto parlando del link all’ archivio online di ripe.com di aris.com e di tutti gli altri siti inseriti come whois , questi archivi possono essere inseriti all’ interno di Maltego ed essere così sfrutatti sempre e volendo anche tutti insieme , capirete quindi il grado di importanza del tool in questione.

Appena aperto Maltego , cliccate ricorsivamente su:

Tool–>Options–>ServerAndExternalToolSettings–>Web Browsers

Se nessuno di voi ha installato altri browser come quelli contenuti nella sezione in cui ci troviamo in Maltego , potete fare un “delete” di tutti i browser al di fuori di Firefox , come nella mia situazione , anche perché è giusto che sia un solo browser ad occuparsi di tutto.

Appena fatta l’operazione di cui sopra andate in Tool–>ManageTransform , cliccate su Discover Transform e seguite i 4/5 passaggi del Transform Discovery Wizzard , semplicemente ciccando su Next.

Questo vi permetterà di ottimizzare il browser che prima abbiamo tenuto cancellando tutti gli altri.

Il fatto che tutte le icone alla sinistra dell’ interfaccia siano rosse , sta ad indicare che non siete ancora in grado di utilizzare Maltego , per farlo dovete inserire la vostra API key che prima avete ottenuto , se avete seguito quello che vi ho detto , dal sito di Paterva.

Una volta ottenuta la chiave cliccate su any transform in alto , oppure su una qualsiasi chiave “rossa” alla vostra sinistra ed in basso vi si aprirà una finestra di dialogo , dove dovrete inserire la vostra API key , una volta inserita clicca te Register , leggete ed accettate il Disclaimer e vedrete che tutte le chiavi che prima erano rosse diventeranno verdi , il ché sta a significare la vostra autorizzazione all’ uso di Maltego.

Per utilizzare Maltego ci sono vari modi , varie opzioni e metodi , io in questo tutorial userò l’opzione di ricerca informazioni su un determinato sito web…

una volta che avete fatto tutte le operazioni sopra descritte cliccate sulla linguetta “palette” alla destra dell’ interfaccia e avrete a disposizione tutte le opzioni che Maltego ci fornisce per effettuare le ricerche.

Parlando nel nostro caso di un sito web , trascinate l’ icona Website all’ interno della zona Blue , ovvero la zona di ricerca dell’ utente.

Prendiamo il classico esempio di http://www.google.com , clicchiamo 2 volte sull’ icona Website appena trasportata nella zona blue e scrivete al suo interno http://www.google.com , cliccate ancora con il tasto destro e selezionate All Transform… …dopo qualche secondo ecco il risultato ottenuto:

***

maltego13.png

***

Come possiamo vedere Maltego ha effetuato una ricerca tramite le opzioni inserite di “default” e ci ha restituito un’ accurata lista di domini e subdomini inerenti al sito http://www.google.com , con tanto di bella grafica.

La nostra ricerca si può fermare a questo punto oppure può continuare , basta usare lo stesso metodo appena descritto per ogni dominio che la ricerca con Maltego ci ha restituito…

…esempio:

clicchiamo di nuovo con il tasto destro sull’ icona di un dominio ottenuto con la ricerca appena fatta e selezionate nuovamente All Transform , il risultato si approfondirà ancora di più:

***

login3.png

***

La nostra ricerca in questo modo può arrivare fino in fondo , io ho dirottato ora la mia ricerca su blogspot di google ed ho ottenuto altri risultati…

***

login4.png

***

Tutte queste informazioni sono dovute al metodo di ricerca usato da Maltego con le opzioni inserite già di default , ma come vi ho spiegato in precedenza Maltego ci offre la possibilità di inserire altre opzioni che possono essere sfruttate dal nostro tool ogni volta insieme a quelle di default.

Durante questa ricerca , sulla destra appaiono altre notizie e sulla parte inferiore invece avremo le indicazioni in modo testuale , se vogliamo fare un’ ultima preformance della nostra ricerca possiamo vedere come Maltego ci restituisca i numeri telefonici individuati sul dominio che ci interessa , basta selezionare l’ icona del dominio ed invece di cliccare su All Transform , clicchiamo su To All Telephone Nember [Whois] e dopo qualche secondo ci ariverà il risultato.

***

tel.png

***

Tutto questo è possibile anche se selezioniamo i Nomi delle persone che ci interessano e che possono essere reperite su di un determinato dominio , le email , gli indirizzi eccetera… ….e più arrichiremo Maltego con l’ inserimento di altri strumenti di ricerca più informazioni riusciremo ad ottenere.

Ciao a tutti e alla prossima.