Non sempre è necessario installare o comunque scarica programmi di terze parti per raccogliere informazioni relative al sistema. Esistono applicazioni native di Windows, assai potenti, accessibili dalla famigerata linea di comando, cosa che non spaventerà di certo geek e aspiranti hacker.

Una di queste applicazioni è tasklist, programma che mostra tutti processi in esecuzione, i moduli (dll) utilizzati dai processi e i servizi in esecuzione. Permette di salvare la lista e permette anche di accedere alle informazioni sui processi in esecuzione su macchine remote (ovviamente conoscendone le credenziali). In pratica si tratta di un Windows task manager da linea di comando.

Vediamo come utilizzare tasklist. Intanto è necessario aprire il prompt dei comandi (Start->Esegui e quindi digitare cmd). Una volta aperta la maschera nera della linea di comando digitare tasklist senza parametri per mostrare tutti i processi in esecuzione:

Microsoft Windows XP  [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\Documents  and Settings\angelor>tasklist
 
Nome immagine                 PID Nome sessione    Sessione Utilizzo mem
=========================  ====== ================ ======== ============
System Idle  Process            0 Console                 0         16 K
System                          4 Console                 0        220 K
smss.exe                     1004 Console                 0        404 K
csrss.exe                    1052 Console                 0      4.416 K
winlogon.exe                 1088 Console                 0      6.968 K
services.exe                 1132 Console                 0      4.296 K
lsass.exe                    1144 Console                 0      2.884 K
svchost.exe                  1316 Console                 0      4.792 K
...

Aggiungendo /SVC si ottiene la lista dei processi ed eventualmente i servizi ad essi collegati:

C:\Documents and Settings\angelor>tasklist /SVC
 
Nome  immagine                PID Servizi
========================= ======  =============================================
System Idle  Process            0 N/D
System                         4 N/D
smss.exe                     1004 N/D
csrss.exe                   1052 N/D
winlogon.exe                 1088 N/D
services.exe                1132 Eventlog, PlugPlay
lsass.exe                    1144 PolicyAgent, ProtectedStorage, SamSs

Con l’opzione /M vengono visualizzati i processi con la lista completa dei moduli utilizzati:

C:\Documents and Settings\angelor>tasklist /M
services.exe                 1132 ntdll.dll, kernel32.dll, ADVAPI32.dll,
RPCRT4.dll, msvcrt.dll, NCObjAPI.DLL,
MSVCP60.dll, SCESRV.dll, USER32.dll,
GDI32.dll, USERENV.dll, AUTHZ.dll,
umpnpmgr.dll, WINSTA.dll, NETAPI32.dll,
ShimEng.dll, AcGenral.DLL, WINMM.dll,
ole32.dll, OLEAUT32.dll, MSACM32.dll,
VERSION.dll, SHELL32.dll, SHLWAPI.dll,
UxTheme.dll, IMM32.DLL, comctl32.dll,
comctl32.dll, secur32.dll, Apphelp.dll,
eventlog.dll, WS2_32.dll, WS2HELP.dll,
PSAPI.DLL, wtsapi32.dll

E’ possibile formattare e salvare il risultato in un file, utilizzando il simbolo di ridirezione dell’output “>”:

C:\Documents and  Settings\angelor>tasklist > processi.txt

Per accedere a un computer remoto si utilizza l’opzione /S per specificare il nome del sistema e /U e /P rispettivamente per username e password.

Insomma, per dare uno sguardo “indiscreto” a quello che avviene dietro le quinte del sistema non è sempre necessario scaricare programmi, basta un semplice comando del prompt e il gioco è fatto. Tasklist, insieme a Driverquery permette di raccogliere un bel po’ di informazioni utili in diverse occasioni, per esempio in una caccia al virus.

Segnala presso:

Andiamo nel pannello Start/Esegui e digitiamo

gpedit.msc

diamo l’ok ed entreremo nel menu “Criteri del computer locale“. Ora facciamo doppio click su (ve li dico in sequenza)

Configurazione computer

Impostazioni di windows

Impostazioni di protezione

Criteri locali

Criteri controllo

Controlla eventi di accesso

Ci si aprirà una finestra in cui potete mettere la spunta su “Operazioni riuscite“, date l’ok e chiudete tutto ora se andate in

Start / Impostazioni / Pannello di controllo / Strumenti di amministrazione / Visualizzatore Eventi

e fate doppio click su “Protezione” troverete un log in cui verranno segnati tutti gli accessi al vostro computer.

Segnala presso:

Tutto quello di cui abbiamo bisogno è:

• Un’immagine Jpg normale, che useremo come “nascondiglio” per i nostri file
• Uno o più file da nascondere
• WinRar o 7Zip per compattare i file da nascondere

Come vedete nulla di straordinario. Nell’esempio userò 7Zip che uso quotidianamente, ma dovrebbe funzionare anche WinRar. Si proceda come segue:

1.  Creare una cartella dove mettere tutti i file coinvolti nell’operazione. La chiameremo “hide”

2.  Creare l’archivio 7z (con 7Zip si possono creare anche archivi di tipo .zip) inserendogli i file da  nascondere e metterlo nella cartella creata prima. Il file zip lo chiameremo “filesegreti.zip”

3.  Prendere un’immagine Jpg e metterla nella cartella “hide”. La chiameremo “miaimmgine.jpg”

4.  Aprire il prompt dei comandi, posizionarsi nella cartella “hide” e digitare:

copy /b  miaimmagine.jpg  + filesegreti.zip nuovaimmagine.jpg

Il file Jpg (nuovaimmagine.jpg) contenente i file segreti è stato creato. L’immagine risultante è una normale immagine Jpg. Infatti, cliccandoci due volte, si aprirà normalmente con il visualizzatore di immagini di default, nel mio caso Irfanview, e apparirà come di consueto nelle anteprime.

Ma, e qui c’è la cosa interessante, se si cambia l’estensione dell’immagine, e la si modifica da .jpg a .zip, ovvero si rinomina il file in “nuovaimmagine.zip”, al doppio click non si aprirà più il visualizzatore di immagini, bensì 7Zip, mostrando l’elenco dei file contenuti nell’archivio! Rinominando di nuovo il file, facendolo tornare .jpg, l’immagine come per magia tornerà ad essere una “normalissima” immagine Jpg visualizzabile come un’immagine ordinaria.

Per aumentare la sicurezza dei dati nascosti è possibile cifrare l’archivio e proteggerlo con una password, funzionalità disponibile in 7Zip.

Segnala presso:

Nulla di magico, basta andare sul sito hoaxmail.co.uk, iscriversi gratuitamente compilando il form e il gioco è fatto. Questo servizio permette di inviare SMS a qualsiasi cellulare scegliendo il numero mittente, che apparirà sul display del destinatario!

Ho deciso di provare il servizio e ho riscontrato che funziona perfettamente anche dall’Italia. La procedure è semplicissima: si compila il modulo mettendo come numero del mittente un numero a nostro piacimento, il numero del destinatario e il testo. Come numero del mittente ho messo “31337” e l’ho inviato al mio cellulare: il messaggio è arrivato dopo pochi istanti dal numero 3931337 . E’ possibile anche scegliere di differire l’invio del messaggino.

Se l’iscrizione è gratuita, l’invio del messaggio è a pagamento. L’invio di un messaggio costa €1,35. Per ricaricare l’account (ricarica minima €1,35) si può usare Paypal.

Hoaxmail.co.uk consente anche l’invio di email con il mittente contraffatto e la possibilità di ricevere risposte all’indirizzo falso. Con l’account basic, quello gratuito, in fondo al testo dell’email apparirà  una scritta che avvisa il destinatario che l’email è stata inviata tramite hoaxmail.co.uk. Per rimuoverla è necessario passare all’account a pagamento (€3.45 al mese oppure €21.80 all’anno).

Attenzione: il gioco va bene se si usa per farsi due risate. Chi ha intenzione di farne uso fraudolento sappia che molto probabilmente si metterà in guai grossi, e la colpa non sarà nè mia nè di hoaxmail.co.uk.

Segnala presso:

Sembra macchinoso, ma si tratta di un’operazione semplice.

Cosa ci serve? Intanto l’immagine. Tutti abbiamo  sul computer una cartella contenente immagini, basta scegliere una di quelle. La scelta può cadere su quella che per qualche motivo è la più significativa, così che si possa ricordare con facilità l’origine della nostra password.

Poi serve un programma che calcoli il codice hash dell’immagine. Per chi non lo sapesse, gli hash sono la rappresentazione univoca e di lunghezza fissa di un qualsiasi file di qualsiasi tipo e dimensione. Questi numeri sono calcolati con particolari algoritmi (md5,sha1) e possono essere considerati le impronte digitali di un file.

Per calcolare l’hash dell’immagine suggerisco il programma HashMyFiles. Si tratta di una piccola utility gratuita, portatile (che quindi non necessita di installazione) che permette di calcolare l’hash di uno o più file (o intere directory) e copiarlo nella clipboard. Il programma permette anche di attivare l’opzione (Enable Explorer Context Menu) che consente di avviare HashMyFile dal menù contestuale di Explorer. In questo caso il calcolo dell’hash è ancora più semplice: basta selezionare il file di cui si vuol calcolare l’hash con il tasto destro e selezionare “HashMyFile”.

Una volta scelta l’immagine e calcolato l’hash (md5 o sha1) ci troveremo un codice esadecimale alfanumerico (l’hash appunto) di questo tipo:

be5fceaa4d194f7c7064ebb39ed6597c

Ebbene, potremmo utilizzare l’intero hash come password; oppure potremmo prendere i primi 8 caratteri (be5fceaa4), o gli ultimi 8 (9ed6597c). Oppure si potrebbe comporre una password con i primi 5 e gli ultimi 5 (be5fc6597c).

La procedura, apparantemente macchinosa, consente di creare password sicure virtualmente non craccabili. Essendo il metodo basato sul calcolo dell’hash è applicabile non solo a immagini, ma a qualsiasi tipo di file, anche mp3. Questo metodo si adatta anche ad essere portatile, in quanto immagini e programma stanno comodamente su qualsiasi chiavetta USB, senza perdere sicurezza.

Prima di concludere voglio precisare che l’immagine deve essere esattamente quella immagine! Non una simile, o la stessa immagine in formato diverso (GIF, PNG, JPG), con un diverso numero di colori,una risoluzione diversa, dimensioni diverse. Ogni minima differenza produrrà infatti un hash completamente diverso. Il file utilizzato come origine della password deve essere gelosamente backuppato e custodito in luogo sicuro.

Segnala presso:

Conoscendo il Mac Address è possibile risalire al tipo di dispositivo utilizzato dal computer remoto; insieme all’analisi del ttl icmp può servire come semplice tecnica di fingerprinting.

In una rete Tcp/Ip tutti i computer hanno un indirizzo logico, l’Ip address, formato da quattro numeri (per esempio 192.168.1.12). I computer, o meglio le inferfacce di rete, e nel caso più comune di una rete di computer, le schede Ethernet, sono dotate di un indirizzo fisico, il Mac Address, fornato da sei numeri esadecimali (per esempio, 00-01-02-AA-BB-CC). I primi tre numeri identificano il costruttore, gli ultimi tre sono diversi in ogni modello.

Associare l’indirizzo fisico (Mac) all’indirizzo logico (Ip) è compito del protocollo ARP (Address Resolution Protocol). Il sistema mantiene  una tabella di associazioni, in cui sono registrati gli indirizzi Ip ed il loro Mac corrispondente. Quando un computer deve contattare un altro computer, per sapere a quale dispositivo deve mandare i dati, cerca nella tabella ARP a quale indirizzo fisico corrisponde l’indirizzo Ip.

Veniamo allo scopo dell’articolo: scoprire il Mac Address di un computer della LAN di cui conosciamo solo l’indirizzo Ip, per esempio il router. Per farlo ci servono due tool: arp e ping.

Per prima cosa apriamo il prompt dei comandi (Start- > Esegui -> cmd.exe). Dal prompt visualizziamo la tabella arp con il comando arp -a:

C:\Documents and Settings\angelor>arp -a
Impossibile trovare voci ARP

In questo caso la tabella è vuota. Per “riempirla” basta eseguire il comando ping, usando come parametro l’indirizzo Ip noto del computer di cui vogliamo ottenere il Mac Address:

C:\Documents and Settings\angelor>ping 192.168.1.1

Esecuzione di Ping 192.168.1.1 con 32 byte di dati:

Risposta da 192.168.1.1: byte=32 durata=4ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64
Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64

A questo punto nella tabella arp dovrebbe essere presente il Mac Address associato all’indirizzo Ip 192.168.1.1:

C:\Documents and Settings\angelor>arp -a
 
Interfaccia: 192.168.1.6 --- 0x2
Indirizzo Internet    Indirizzo fisico      Tipo
192.168.1.1           00-18-f8-XX-XX-XX     dinamico

Infatti ecco il Mac Address del router: 00-18-f8-XX-XX-XX.  A Questo punto è facile risalire al costruttore del router, basta inserire l’indirizzo nella casella di ricerca del sito http://www.coffer.com/mac_find/ per scoprire che si tratta di un Linksys:

0018F8      Cisco-Linksys, LLC

Ora sappiamo che il router è un Linksys, e dando un’occhiata al ttl del ping possiamo supporre che il sistema operativo sia una versione di Linux.

Segnala presso:

Il sistema è molto semplice. Utilizzeremo due strumenti: il primo è un comando che si lancia direttamente dal prompt di dos, l’altro è semplicemente la task manager di xp (che in windows vista e windows 7 si chiama Gestione attività).
Iniziamo ad analizzare il primo strumento: il comando netstat. Entriamo nel prompt di dos e proviamo a digitare netstat -? per aprire l’help del comando. Ve lo riporto qui sotto:

Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Daniele>netstat -?

Visualizza statistiche su protocollo e connessioni di rete TCP/IP correnti.

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [intervallo]

-a Visualizza tutte le connessioni e le porte di ascolto.

-b Visualizza il file eseguibile interessato dalla creazione di ciascuna connessione o porta di ascolto. In alcuni casi, file eseguibili ospitano più componenti indipendenti. In tali casi, viene visualizzata la sequenza di componenti interessati dalla creazione della connessione o della porta di ascolto. In questo caso, il nome del file eseguibile si trova tra le parentesi [], in fondo, mentre sopra si trova il componente chiamato, e così via finché viene raggiunto TCP/IP. Nota: questa opzione può richiedere molto tempo e non riuscirà a meno che si disponga di autorizzazioni sufficienti.

-e Visualizza le statistiche Ethernet. Questa opzione può essere combinata con l’opzione -s.

-n Visualizza gli indirizzi e i numeri di porta in forma numerica.

-o Visualizza l’ID del processo di origine associato a ciascuna connessione.

-p proto Visualizza connessioni del protocollo specificato da “proto”; “proto” può essere TCP, UDP, TCPv6 o UDPv6. Se questa opzione viene usata con l’opzione -s per visualizzare le statistiche per protocollo, “proto” può essere IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP o UDPv6.

-r Visualizza la tabella di routing.

-s Visualizza le statistiche per protocollo. Per impostazione predefinita, le statistiche vengono visualizzate per IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP e UDPv6; è possibile utilizzare l’opzione -p per specificare un sottoinsieme dei valori predefiniti.

-v Quando viene utilizzato con -b, visualizza la sequenza dei componenti interessati dalla creazione della connessione o della porta di ascolto per tutti i file eseguibili.

intervallo Rivisualizza le statistiche selezionate, interrompendo per un numero di secondi pari a “intervallo” tra ogni visualizzazione.

Premere CTRL+C per fermare la visualizzazione delle statistiche. Se omesso, netstat visualizza le informazione di configurazione correnti una sola volta.

Come potete vedere ci sono moltissimi comandi con cui potrete sbizzarrirvi. Noi ne utilizzeremo tre, cioè netstat -ano con con questo comando visualizziamo contemporaneamente tutte le connessioni e le porte di ascolto, gli indirizzi e i numeri di porta in forma numerica e l’ID del processo di origine associato a ciascuna connessione. Queste sono tutte le informazioni che ci occorrono.

Lasciamo un attimo da parte il comando per fare una breve digressione sulla task manager. In questo menu vengono elencati tutti i processi attivi nel nostro computer; visti così non ci dicono molto in quanto hanno dei nomi particolari. Diciamo che dopo un po’ di pratica riuscirete a riconoscere il software aperto solo guardando il processo (per molti programmi è molto intuitivo).
Il nostro problema è quello di creare una correlazione tra il prompt di dos la task manager. Per risolverlo apriamo il menu e andiamo su Visualizza/Selezione colonne. Verrà aperto un altra finestra in cui ci sono moltissime opzioni; dobbiamo scegliere la seconda nella colonna di sinistra, cioè PID (Identific. processo). Una volta che avremo dato l’ok ci apparirà accanto a tutti i processi il numero identificativo che è lo stesso che visualizziamo con l’opzione -o di netstat.

Ora teniamo aperta la nostra task manager e andiamo nel prompt dei comandi (andando su Start/esegui e scrivendo il comando cmd) e diamo il comando netstat -ano vedrete una lista di processi in tcp e udp che verranno visualizzati con i relativi PID. Confrontando i PID con i processi potete vedere che software o che hacker o che trojan si sta connettendo con il vostro pc. Il comando vi dirà anche se la connessione è “IN ASCOLTO” (listening) o “STABILITA” (established). Nel caso il processo faccia riferimento a qualcosa di malevolo, terminatelo dalla task manager e andate a cancellare il file che l’ha fatto partire.

Grazie a questi strumenti, con un po’ di pazienza e qualche ora di esperienza non avremo più bisogno di software particolari ma riusciremo da soli a scoprire se il nostro pc è infetto. Comodo no?

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri scrittore del libro Fantasmi della rete

Segnala presso:

Usando Windows, se non facciamo attenzione, possiamo facilitare la vita agli hackers o a chiunque tenti di accendere fisicamente il nostro computer.

Tutti noi lettori di Pillolhacking, che siamo sospettosi di natura, di sicuro avremo messo una password decente nel nostro account su windows per cui se qualcuno tentasse di accendervi si troverebbe con una bella gatta da pelare. Esiste però un espediente che si può usare che ben pochi conoscono: l’utente nascosto Administrator.

Se in fase di avvio clicchiamo il tasto F8 possiamo accedere alla modalità provvisoria. Quando arriviamo alla schermata degli account troveremo un utente in più di quelli impostati da noi, cioè l’utente Administrator. Per settare la password di questo utente avremmo dovuto impostarla in fase di installazione (posso assicuravi che quasi nessuno lo fa), se non l’abbiamo fatto siamo nei guai. Questo account, infatti, può entrare con privilegi da superutente e cambiare le impostazioni degli altri account. Non serve che vi dica il seguito; il concetto è chiaro: siamo stati violati!

Il consiglio che vi do è quello di entrare a fare un giro in modalità provvisoria e, se è il caso, settare una bella password anche su questo utente. In modo da evitare di essere violati.

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri autore del libro Fantasmi della rete

Segnala presso:

Per farlo basta scaricare e utilizzare il programma Wirelesskeyview. Questo programma recupera la chiave dal servizio Wireless Zero Configuration di Xp e dal servizio WLAN AutoConfig di Vista. In entrambi i casi la chiave WEP è in chiaro; invece la chiave WPA è memorizzata in formato “leggibile” solo su Vista, non su Xp.

Utilizzando Wirelesskeyview su Xp si recupera la chiave WPA codificata tramite l’algoritmo PBKDF2. Si tratta di un algoritmo che calcola un codice (hash) derivato da reiterate operazioni eseguite su di una password e un codice aggiuntivo, il “salt” combinati tra di loro.

Nel caso del PBKDF2 applicato al WPA, la password è la chiave vera e propria; il salt è l’ESSID, l’identificativo della rete wireless. Per fare un esempio, se l’ESSID è “mywifi” e la password è “pippo”, il codice calcolato tramite PBKDF2 risulterà essere 9BEA00D070CDC6F6712A6CE941F20EB488C7156A88F43A607B6798EC113070F3. Su Xp il programma Wirelesskeyview recupera questo codice e non “pippo” come sperato.

Per risalire alla password partendo dal codice hash c’è una sola strada: il cracking. Uno strumento idoneo per questa operazione è il noto programma di password recovery Cain.

Una volta scaricato e installato, le operazioni per craccare l’hash WPA/PBKDF2 sono le seguenti:

1. Selezionare il tab “Cracker” (tra Sniffer e Traceroute)
2. Nell’elenco di sinistra, selezionare WPA-PSK Hashes
3. Cliccare con il tasto destro nello spazio centrale
4. Apparirà un menù contestuale: selezionare “Add to list”
5. Nella finestrella inserite l’hash
6. Apparirà una riga. Nella prima colonna (ESSID) ci sarà scritto: “change_me”. Selezionare la riga e col tasto destro fare apparire il menù.
7. Selezionare la voce Change ESSID
8. Mettere l’ESSID della chiave da craccare: nel nostro esempio “mywifi”.

A questo punto occorre selezionare il tipo di attacco. Per farlo selezionare di nuovo la riga col tasto destro e scegliere uno dei tre metodi di cracking a disposizione:

• Dictionary
• Brute force
• Rainbow Tables

Solo il secondo attacco assicura la riuscita del cracking: il problema principale è che potrebbe impiegare alcuni millenni (se va bene). Ma potrebbe riuscirci al primo colpo.

L’attacco Dictionary calcolerà in tempo reale l’hash PBKDF2 combinando l’ESSID con una serie di parole (un dizionario), con la speranza di indovinare quella giusta. Il programma Cain ha in dotazione un dizionario (Wordlist.txt) di oltre 7000 parole.

Le Rainbow Tables sono gigantesche tabelle di password pre-calcolate. Possono essere utili se l’ESSID è un nome comune (come il costruttore dell’Access Point, Cisco, Linksys…). In questo caso il tempo di cracking potrebbe essere sorprendentemente breve.

Se avete la necessità di recuperare la chiave WPA di una macchina con Windows Xp, il metodo è questo. Armatevi di pazienza e sperate nella fortuna: queste (pazienza e fortuna) sono le uniche due vere alleate dell’hacker in qualsiasi operazione di password cracking.

Segnala presso:

Non esistendo ancora una patch (dovrebbe essere rilasciata il 9 Giugno) Microsoft ha pubblicato alcuni metodi per mitigare il problema. Alcuni di questi sono invasivi, come la de-registrazione del componente o il blocco tramite modifica delle access-control list.

Microsoft presenta un metodo definito “chirurgico”, che disabilita solo il parsing dei file Quick Time e lascia del tutto inalterato il comportamento di Media Player e tutti gli altri programmi che fanno uso di DirectX.

Per disabilitare il parsing dei file Quick Time è necessario eliminare una chiave del registro:

HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}

Una volta rimossa la chiave non sarete più in grado di vedere nessun file in formato Quick Time. E’ una misura un po’ drastica, ma al momento è l’unico modo per aver la certezza di non subire attacchi zero day tramite questa vulnerabilità.

Per la soluzione definitiva attendiamo il patch-day del 9 Giugno.

Segnala presso: