†..:[CryptoBlog]:..†

Nuove procedure di ottimizzazione

ICQ — Tue, 06 Oct 2009 17:23:31 +0200

Creo questo post per poter scrivere un paio di cose su come eseguire ottimizzazioni mirate al miglioramento sostanziale delle prestazioni del sistema, in modo da renderlo più performante.
L'ottimizzazione può interessare diversi settori del computer: può essere eseguita sulle reti, sul registro del sistema, su hard drive o componenti hardware in generale... Nel seguito descriverò alcune procedure sicure atte a questi scopi.

L'OTTIMIZZAZIONE COME MEZZO DI RISPARMIO MNEMONICO
Spessissimo nasce la necessità di dover operare sui sistemi che gestiscono le informazioni in transito all'interno dell'elaboratore, in modo da settarli e "dirgli" in che modo devono gestire il dispendio di memoria utilizzata nei processi di elaborazione. In poche parole, ogniqualvolta apriamo un programma, modifichiamo un file o cose del genere, la CPU viene utilizzata in maniera più o meno massiccia.. e questo è più che ovvio, d'altronde, ma la problematica nasce quando molteplici applicazioni vengono aperte contemporaneamente, e questo accade spesso quando si avvia il sistema. Il sistema operativo, infatti, ha come una lista di programmi che sa di dover avviare subito dopo che il sistema stesso s'è avviato (gli avvii automatici): saper gestire questa lista sta a significare usare intelligentemente la CPU in modo da non sovraccaricarla troppo e permettere che i tempi di accensione e "stabilizzazione" del sistema siano molto più brevi.

A tal proposito esistono numerosi tool che svolgono efficacemente queste funzioni. Andiamo dal conosciuto e classico CCleaner fino alle utility internet dei programmi Glary Utilities o TuneUp Utilities.

CCleaner all'apertura si presenta con molteplici voci ognuna delle quali abilita/disabilita un settore da analizzare per due scopi in particolare:

pulizia del disco;
riparazione del registro

Durante la prima operazione, CCleaner scandaglia l'HD alla ricerca di link orfani, file superflui, cookie e così via dicendo, riportando accuratamente posizione e peso del file. Il peso complessivo dei file, e quindi la memoria ricavabile dall'eliminazione di questi file, riportata nella parte alta dello spazio in bianco. Nella seconda voce, la procedura cambia e stavolta è mirata verso il registro di sistema. La seconda funzione, infatti, ci permette di andare rapidamente alla ricerca di chiavi di registro obsolete che potrebbero solo compromettere la stabilità del sistema. Ogni volta che CCleaner trova un errore, prima di correggerlo ci chiede sempre se si vuol effettuare una copia di backup (inutile a parer mio).

Ma possiamo anche ricorrere ad un tipo di programma che ci permette di chiudere temporaneamente delle applicazioni in modo da risparmiare memoria, utilizzandola magari per un processo che ne impiega molta di più. Il programma in questione si chiama GameBooster, e come il nome stesso dice è mirato soprattutto durante l'attività di gaming, ma può essere tranquillamente utilizzata anche in altri ambiti.

Aperto il programma, avremo davanti due pulsanti: Gaming Mode e Normal Mode. Selezionando la modalità Gioco potremo scegliere quali servizi tenere attivi e quali no. Non appena il programma fa il suo dovere, tutte le applicazioni ritenute momentaneamente inutili vengono chiuse e possono essere riaperte SOLO quando clicchiamo su Normal Mode. La stessa cosa vale anche quando dobbiamo chiudere GameBooster: esso non può essere terminato se prima non si passa alla modalità normale. Una volta in funzione, il programma può essere tranquillamente nascosto nella system tray. Come si può dedurre immediatamente, GameBooster si rivela molto utile soprattutto ed innanzitutto per i PC ormai non più performanti.

OTTIMIZZAZIONE SENZA PROGRAMMI
Ma molti penseranno: io non mi fido di questi programmi, ma posso comunque ottenere un'ottimizzazione come si deve senza installare qualcosa? Fortunatamente sì, ma ovviamente il lavoro è maggiorato. Vi elenco alcune chicche davvero interessanti,

PROTEZIONE DELL'AUTOEXEC.BAT - per chi ha dimestichezza con MS-DOS sa che questo file è sicuramente il file di batch più famoso ed importante. Autoexec.bat, infatti, è il gestore degli avvii automatici, in un certo senso, e proteggerlo significa molto. Teoricamente, basterebbe fare un bel rinomina al regedit per risolvere la questione sicurezza legata al registro di sistema, ma questo non è sicuramente il sistema più adatto per chi non è proprio un esperto. La cosa, secondo me, più giusta da fare è fare una copia del file COMMAND.COM. Ecco cosa occorre fare:

aprire una finestra di MS-DOS (Start - Esegui - CMD);
inserire il comando "edit /75 %comspec%" (senza virgolette): vi appariranno dei simboli apparentemente senza significato, ma a noi interessa solamente andare a cercare la voce autoexec.bat, ricorrendo allo strumento Trova del menu Cerca;
una volta trovata la scritta, modifichiamola rinominandola a nostro piacimento; infine salviamo il tutto;
dopodiché dovete modificare il nome del file autoexec.bat, situato nella directory principale del sistema, con lo stesso nome inserito precedentemente in MS-DOS.

Continua...

Pubblicato da ICQ | Commenti

Tag: ottimizzazione, ccleaner, tuneup utilities, gamebooster, glary utilities, autoexecbat, commandcom

Uso di Network Monitor con Windows Server 2003

ICQ — Wed, 24 Jun 2009 09:15:05 +0200

Prima di incominciare, elenco quelli che sono i punti principali da seguire prima di iniziare qualsiasi attività; dobbiamo, infatti:

avere due computer connessi fisicamente in Rete;
aver eseguito un’installazione di Microsoft Windows Server 2003 con le impostazioni predefinite su entrambi i computer. I computer dovrebbero essere chiamati Computer1 e Computer2;
avere assegnato a Computer1 un indirizzo statico di 192.168.0.1/24;
avere configurato Computer2 in modo da ottenere automaticamente un indirizzo;
avere assegnato a Computer2 un indirizzo di configurazione alternativo a 192.168.0.2/24.

ANALISI DEL TRAFFICO

Per analizzare il traffico di rete, occorre utilizzare un analizzatore di protocolli come Network Monitor. È possibile installare Network Monitor utilizzando l’Aggiunta guidata componenti di Windows. Questa procedura guidata è disponibile tramite lo schermo di benvenuto in Microsoft Windows Server 2003 oppure tramite lo strumento Installazione applicazioni nel Pannello di controllo.

Una versione compatibile con Windows 2000 e Windows XP la si può trovare QUI.

Network Monitor è uno strumento di analisi del traffico basato su software che consente a un utente di eseguire le seguenti operazioni:

acquisire i frame direttamente dalla rete;
visualizzare e il filtrare i frame acquisiti, subito dopo l’acquisizione oppure in un momento successivo;
modificare i frame acquisiti e trasmetterli sulla rete (solo la versione completa);
acquisire i frame da un computer remoto (solo la versione completa).

Ad esempio, un amministratore di rete potrebbe utilizzare Network Monitor per diagnosticare i problemi relativi all’hardware ed al software quando il server non può comunicare con altri computer. I frame acquisiti da Network Monitor possono essere salvati su un file e riesaminati per un’analisi successiva. Gli sviluppatori di applicazioni di rete possono anche utilizzare Network Monitor per controllare ed eseguire il debug delle applicazioni di rete mentre vengono sviluppate. Per quanto riguarda Windows Server 2003, sono disponibili due versioni di Network Monitor: la versione di base fornita con Windows Server 2003 e la versione completa fornita con Microsoft Systems Management Server.

La tabella sottostante riassume le differenze fra le due versioni dello strumento Network Monitor.

FUNZIONE
NETWORK MONITOR (VERSIONE BASE)
NETWORK MONITOR (VERSIONE COMPLETA)

Acquisizione locale
Solo verso e dal computer
che esegue Network Monitor
Tutte le periferiche sull'intero segmento di rete

Acquisizione remota
Non disponibile
Sì

Individuazione degli utenti principali della lunghezza di banda della rete
Non disponibile
Sì

Individuazione del protocollo che impiega la maggior parte della larghezza di banda
Non disponibile
Sì

Individuazione delle periferiche router
Non disponibile
Sì

Risoluzione di un nome di periferica
in un indirizzo MAC (Media Access
Control)
Non disponibile
Sì

Modifica e ritrasmissione del traffico di rete
Non disponibile
Sì

Network Monitor è costituito da uno strumento di amministrazione denominato Network Monitor e da un agente denominato Driver di Network Monitor. Entrambi i componenti devono essere installati per consentire di acquisire, visualizzare ed analizzare i frame di rete.
Per installare Network Monitor, seguire la seguente procedura:

aprire Installazione applicazioni nel Pannello di controllo;
aprire Installazione applicazioni nel Pannello di controllo e fare clic su Installazione componenti di Windows per avviare l’Aggiunta guidata componenti di Windows;
nella prima pagina di Aggiunta guidata componenti di Windows, selezionare Strumenti di gestione e controllo e quindi fare clic su Dettagli. (Non selezionare la casella di controllo Strumenti di gestione e controllo);
nella finestra Strumenti di gestione e controllo, selezionare la casella di controllo Strumenti di Network Monitor e quindi fare clic su OK;
in Aggiunta guidata componenti di Windows fare clic su Avanti. Se vengono richiesti file aggiuntivi, inserire il CD di Windows Server 2003 oppure digitare il percorso dei file in rete;
al termine dell’installazione, fare clic su Fine.

Per installare, invece, i driver di Network Monitor seguiamo un'altra procedura:

aprire Connessioni di rete;
nella finestra Connessioni di rete, fare clic con il pulsante destro del mouse sulla connessione
di rete per cui si desidera installare e abilitare il Driver di Network Monitor e quindi fare clic su Proprietà;
nella finestra di dialogo Proprietà connessione alla rete locale (LAN), fare clic su Installa;
nella finestra di dialogo Selezione tipo di componente di rete, selezionare Protocollo
e quindi fare clic su Aggiungi;
nella finestra di dialogo Selezione protocollo di rete fare clic su Driver di Network Monitor, quindi scegliere OK;
se vengono richiesti file aggiuntivi, inserire il CD di Windows Server 2003 oppure digitare il percorso dei file in rete.

FUNZIONAMENTO DI NETWORK MONITOR
Network Monitor tiene traccia del flusso di dati della rete, che è costituito da tutte le informazioni trasferite su una rete in un momento specifico. Prima della trasmissione, il software di rete divide le informazioni in segmenti più piccoli (frame), ognuno dei quali contiene:

l’indirizzo di origine del computer che ha inviato il messaggio;
l’indirizzo di destinazione del computer che ha ricevuto il frame;
le informazioni di intestazione di ogni protocollo utilizzato per inviare il frame;
i dati (o una parte di essi) che vengono inviati al computer di destinazione.

Con la versione Windows Server 2003 di Network Monitor è possibile copiare su un buffer i frame originati da o inviati al computer locale. Il processo tramite cui Network Monitor copia i frame viene detto acquisizione di dati. La quantità di informazioni che Network Monitor è in grado di acquisire è limitata solo dalla quantità di memoria disponibile sul sistema. Tuttavia, di solito è necessario acquisire solo un piccolo sottoinsieme dei frame trasferiti in rete. Per isolare un sottoinsieme di frame è possibile progettare un filtro di acquisizione, che funziona in modo analogo a una query di un database, per isolare le informazioni specificate. È possibile filtrare i frame in base agli indirizzi di origine e destinazione, i protocolli di livello di interfaccia di rete, i protocolli di livello Internet, i protocolli di livello di trasporto, le proprietà dei protocolli e l’offset del motivo.

Per quanto riguarda le funzioni offerte dal programma, vediamo di sintetizzarle in maniera abbastanza chiara:

RIQUADRO
DESCRIZIONE

Diagramma
Visualizza l’attività corrente come un insieme di grafici a barre che indicano le seguenti informazioni di stato:

Percentuale di utilizzo della rete,
Frame per secondo,
Byte per secondo,
Broadcast per secondo e Multicast per secondo durante il processo di acquisizione.

Statistiche sessione
Visualizza un riepilogo delle conversazioni tra due host ed indica quale host avvia broadcast e multicast.

Statistiche stazione
Visualizza un riepilogo del numero totale di frame iniziati da un host, del numero di frame e byte inviati e ricevuti e del numero di frame broadcast e multicast iniziati.

Statistiche totali
Visualizza le statistiche per il traffico rilevato sull’intera rete, le statistiche per i frame acquisiti, le statistiche di utilizzo per secondo e le statistiche della scheda di rete.

ACQUISIZIONE DATI
Per iniziare ad acquisire i dati in Network Monitor, selezionare Avvia dal menu Acquisizione. In alternativa, per avviare un’acquisizione è anche possibile premere F10 o fare clic sul pulsante Avvia acquisizione sulla barra degli strumenti. Il pulsante Avvia acquisizione è indicato dal simbolo di riproduzione. Quando vengono acquisiti i pacchetti, i nuovi dati vengono registrati nei riquadri della finestra Acquisizione. Per interrompere l’acquisizione, selezionare Interrompi dal menu Acquisizione. In alternativa, per interrompere un’acquisizione è anche possibile premere F11 o fare clic sul pulsante Interrompi acquisizione nella barra degli strumenti. Per visualizzare un’acquisizione, selezionare Visualizza dati acquisiti dal menu Acquisizione. In alternativa, per visualizzare un’acquisizione è anche possibile premere F12 o fare clic sul pulsante Visualizza dati acquisiti nella barra degli strumenti. È anche possibile interrompere e visualizzare i dati in un unico passaggio. Per eseguire questa operazione, dal menu Acquisizione è possibile selezionare Interrompi e visualizza durante l’acquisizione dei dati. In alternativa, per interrompere l’acquisizione e visualizzare i risultati immediatamente, è anche possibile premere Maiusc+F11 o fare clic sul pulsante Termina e visualizza acquisizione nella barra degli strumenti. Il pulsante Termina e visualizza
acquisizione è indicato da una combinazione fra il simbolo di interruzione e il simbolo
con gli occhiali.

ANALISI DATI ACQUISITI
Quando si sceglie di visualizzare un’acquisizione, viene visualizzata la finestra di visualizzazione dei frame, che mostra il riquadro Riepilogo. Il riquadro Riepilogo visualizza tutti i frame acquisiti in sequenza. Facendo doppio clic su qualsiasi frame nel riquadro Riepilogo, è possibile passare dal riquadro Riepilogo originale alla visualizzazione a triplo riquadro, che include il riquadro Riepilogo, il riquadro dei dettagli ed il riquadro Esadecimale (esad.).

Vediamo di analizzare i tre riquadri.
Riquadro Riepilogo - Il riquadro Riepilogo elenca tutti i frame inclusi nell’attuale visualizzazione dei dati acquisiti. Quando un frame è evidenziato nel riquadro Riepilogo, Network Monitor visualizza il contenuto del frame nel riquadro dei dettagli e nel riquadro Esadecimale. È possibile ordinare (facendo clic col mouse), spostare e ridimensionare le seguenti nove colonne nel riquadro Riepilogo:

Frame - I Tutti i frame acquisiti durante una sessione di acquisizione sono numerati in base all’ordine di acquisizione. Il numero dei frame, che inizia con 1, viene visualizzato in questa colonna. Tenere presente che i frame possono essere ricevuti in un ordine diverso da quello in cui sono inviati;
Ora - Nella colonna viene visualizzata l’ora di acquisizione relativamente all’inizio del processo. La colonna può essere configurata in modo da visualizzare l’ora del giorno in cui il frame è stato acquisito o il tempo trascorso dall’acquisizione del frame precedente;
Indirizzi MAC origine - Nella colonna viene visualizzato l’indirizzo hardware del computer che ha inviato il frame o il router che l’ha inoltrato;
Indirizzi MAC destinazione - Nella colonna viene visualizzato l’indirizzo hardware del computer di destinazione;
Protocollo - Nella colonna viene visualizzato il protocollo di livello più elevato che Network Monitor possa riconoscere all’interno del frame;
Descrizione - Nella colonna si trova un riepilogo del contenuto del frame. Le informazioni di riepilogo illustrano il primo e l’ultimo protocollo utilizzati in quel frame o una selezione automatica;
Altri indirizzi origine - Nella colonna viene visualizzato un indirizzo di identificazione aggiuntivo per il creatore del frame, diverso dall’indirizzo MAC. Tale indirizzo potrebbe essere costituito da un indirizzo Internet Protocol (IP) o da un indirizzo Internetwork Packet Exchange (IPX);
Altri indirizzi destinazione - La colonna è identica alla colonna Altri indirizzi origine ma fornisce la destinazione del frame invece dell’origine del frame;
Tipo altri indirizzi - La colonna specifica quale tipo di indirizzi è visualizzato nelle due colonne precedenti (ad esempio, se i campi di Altri indirizzi origine e di Altri indirizzi destinazione visualizzano indirizzi IP o IPX).

Riquadro dei dettagli - Nel riquadro dei dettagli vengono visualizzate le informazioni sul protocollo relative al frame attualmente evidenziato nel riquadro Riepilogo. Quando un frame contiene diversi livelli di protocollo, il riquadro dei dettagli visualizza il primo di livello più esterno. Quando si seleziona un protocollo nel riquadro dei dettagli, le stringhe esadecimali associate sono evidenziate nel riquadro Esadecimale.
Riquadro Esadecimale - Il riquadro Esadecimale visualizza il contenuto del frame selezionato in formato esadecimale. Quando vengono selezionate le informazioni nel riquadro dei dettagli, i dati esadecimali corrispondenti vengono visualizzati evidenziati nel riquadro Esadecimale. Quest’area può essere utile, ad esempio, agli sviluppatori che hanno bisogno di determinare informazioni precise relative a un protocollo di applicazione di rete.

Pubblicato da ICQ | Commenti

Tag: windows server 2003, frame, network monitor, traffico rete

Sicurezza in rete: rompere una chiave WEP

ICQ — Tue, 26 May 2009 17:28:33 +0200

Il Wired Equivalent Privacy (WEP) è parte dello standard IEEE 802.11 (ratificato nel 1999) e in particolare è quella parte dello standard che specifica il protocollo utilizzato per rendere sicure le trasmissioni radio delle reti Wi-Fi. WEP è stato progettato per fornire una sicurezza comparabile a quelle delle normali LAN basate su cavo. Seri difetti sono stati scoperti nella particolare implementazione dell'algoritmo crittografico utilizzato per rendere sicure le comunicazioni. Questo ha reso necessario una revisione del WEP che adesso viene considerato un sottoinsieme del più sicuro standard Wi-Fi Protected Access (WPA) rilasciato nel 2003 e facente parte dell'IEEE 802.11i (conosciuto come WPA2) definito nel giugno del 2004. Il WEP viene ritenuto il minimo indispensabile per impedire a un utente casuale di accedere alla rete locale.
(Da Wikipedia)

Di cosa abbiamo bisogno per poter rompere una chiave WEP? Ci sarà sufficiente un equipaggiamento del genere:

Hardware:
Wireless Access Point: questo è l’obiettivo dell’attacco e può essere di qualunque marca e modello, basta che stia trasmettendo pacchetti cifrati con WEP a 40 o 104 bit. Nel nostro caso è stato usato un Netgear WGT624 v2;

Target Client : è il computer che sta dialogando con l’access point. Anche in questo caso non è importante la marca o il modello di scheda Wireless utilizzata, inoltre non è importante il sistema operativo utilizzato per effettuare la comunicazione. Nel nostro caso è stato usato un portatile Dell con wireless integrato;

Sniffing Client : è il computer che si occuperà di sniffare il traffico della rete. In questo caso il computer dovrà montare Linux (poiché i relativi software open source utilizzati sono nativi di Linux) e la scheda wireless utilizzata dovrà supportare la modalità Monitor, ovvero la modalità utilizzata per captare i pacchetti, nonché la capacità di fare packet injection. A questo scopo consiglio di usare schede wireless basate sul chipset PRISM 2 che è supportato da tutti i programmi usati;

Attacking Client: è il computer che si occuperà di “stimolare” la rete a produrre traffico utile per la decodifica della chiave. La stimolazione, come vedremo, verrà effettuata con attacchi di tipo Packet Injection, la scheda Wireless dovrà quindi supportare tale modalità o non potrà inviare pacchetti verso la rete quando si trova in Monitor Mode. In generale vanno bene tutte le schede che si basano sui Chipset PRISM 2, PrismGT (FullMAC), Atheros, RTL8180 e Ralink.

Software:
La procedura di WEP Cracking richiede diversi pacchetti software. Questi per fortuna sono tutti open source, funzionano sotto Linux e in alcuni casi esistono delle versioni per Windows. Per gli utenti Windows è possibile inoltre, in alcuni casi, utilizzare un emulatore di ambiente Linux chiamato Cygwin. Risulta molto interessante la soluzione proposta da Remote-exploit.org. In questo sito è possibile trovare una versione di Linux di tipo LIVE (ovvero che parte da cd senza installare nulla) chiamata un tempo Auditor Security Collection LIVE CD ed ora conosciuta come BackTrack che contiene tutti i programmi necessari già preinstallati (e molto altro). Durante il boot questa distribuzione di Linux è in grado di trovare e configurare molte schede Wireless. Una volta scaricata l’ultima versione si dovrà masterizzare l’immagine su CD, usando programmi come Nero o CDBurnerXP (free), e avviare la macchina usando il CD come disco di boot. Avremo bisogno di un CD per ogni computer. Il resto della guida procede dando per scontato
che si sta utilizzando tale distribuzione nelle proprie macchine. In ogni caso la lista dettagliata dei software necessari è la seguente:

1. Pacchetto “Aircrack” , comprende:
m Airdump – Uno sniffer
m Aireplay - Un software per il packet injection
m Aircrack – Cracker per chiavi statiche WEP e WPA-PSK
m Airdecap – Decifra file catturati

2. Pacchetto “Wireless Tool”. Questo è un pacchetto che contiene una serie di programmi di gestione delle reti wireless e normalmente è già presente in molte distribuzioni Linux. Comprende:
m iwconfig – Per manipolare i parametri wireless di base della propria scheda
m iwlist – Esegue uno scanning per determinare frequenze, bit-rate, chiavi, ecc
m iwspy – Per verificare la qualità del collegamento
m iwpriv – Permette di manipolare le Wireless Extension specifiche del driver
m ifrename - Permette di rinominare le interfacce

3. Kismet - è un software in grado di funzionare come sniffer e Intrusion Detection System per reti Wireless. Kismet funziona con tutte le schede wireless che supportino la modalità raw monitoring (rfmon) ed è in grado di sniffare reti 802.11b\a\g.

PROCEDURA:
É importante preparare il proprio “laboratorio” per la pratica che andremo a eseguire, infatti bisogna prevenire possibili effetti collaterali che potrebbero danneggiare gli altri Access Point a noi vicini. Nella seconda parte ad esempio verrà descritto un modo per scollegare i client dal proprio Access Point e non vogliamo che ciò vada a danneggiare il lavoro di qualcuno. Se ci si trova in un complesso di uffici, un palazzo o altri posti con molte reti wireless sarebbe prudente aspettare la notte quando le reti sono poco usate.

Il primo passo è collegare e configurare la rete wireless che vogliamo violare. Se l’operazione di WEP Cracking è fatta a scopi didattici, ovvero è possibile accedere ad AP e TC bisogna verificare che:

L’access point sia acceso e sia stata abilitata la codifica WEP con chiave a 64 bit. (Inizialmente è consigliabile utilizzare una chiave a 64 bit per poi passare ad una da 128 bit);
Il TC sia acceso e connesso all’AP. In questo caso, se possibile, è consigliabile far comunicare il Target Client con l’Access Point sotto Windows XP poiché tutte le procedure di configurazione sono molto semplificate rispetto a Linux. Verificare quindi, cliccando 2 volte sull’icona di stato in basso a destra che il PC sia connesso;
Avviare entrambi i computer SC e AC utilizzando la distribuzione Auditor Linux come disco di boot. (Per il boot da cd bisogna accedere al bios ed indicare il lettore CD\DVD come prima unità di avvio). Naturalmente al momento dell’accensione le schede wireless devono essere preventivamente inserite ed accese;
Una volta avviato il sistema operativo per verificare che le schede di rete siano state riconosciute e configurate è possibile usare il comando iwconfig, un programma che fa parte del dei “wireless tools”. Inserendo il comando, se tutto va bene verrà rilevata la scheda wireless, altrimenti dovremo andare a scaricare i driver opportuni.

Attacco "Zero Knwoledge"
Finora abbiamo descritto i passaggi tenendo conto che l’attacco che vogliamo eseguire sia a scopi didattici, è quindi sia possibile accedere alle macchine da attaccare. Nella realtà se si vuole penetrare in una rete Wireless non è possibile accedere all’hardware, quindi alcune delle informazioni necessarie su questi vanno ricercate con metodi alternativi. Quando si vuole effettuare una attacco di questo tipo, senza conoscere niente a priori della rete, si parla di attacco “Zero Knowledge”, mentre se l’attaccante già conosce le informazioni necessariesi parla di attacco “Full Knowledge”. Assumendo di voler procedere ad un attacco del primo tipo vediamo di cosa abbiamo bisogno e quindi come ottenerlo. Sono necessari:

MAC Address dell’Access Point
MAC Address del Target Client
Channel - Canale di comunicazione dell’AP

Per reperire queste informazioni è sufficiente utilizzare Kismet, uno scanner di reti wireless che permette di trovare le reti presenti nel punto dove ci troviamo. Kismet è anche uno sniffer in grado di catturate traffico ma ci sono tool come airodump (una parte di Aircrack) che lavorano meglio dal punto di vista del WEP Cracking.
Kismet ci sarà utile per verificare che le schede di rete stiano lavorando bene e per ricavare alcune informazioni interessanti sulla rete wireless.

Nella prima schermata vengono visualizzate tutte le reti Wireless trovate, il canale di comunicazione, il numero di pacchetti, i canali analizzati, etc. Premere "c" per ordinarle per canale. Ora è possibile scorrere le reti con le frecce direzionali, quindi posizionarsi sulla rete che si vuole crackare e premere Invio. Si aprirà una schermata dove è possibile trovare delle informazioni interessanti come BSSID\MAC (il MAC dell’AP) e Channel, che corrispondono a una buona parte delle informazioni che erano necessarie.
Come ultima informazione abbiamo ancora bisogno dell’indirizzo MAC del Target Client. Questo si ricava facilmente sempre con Kismet, infatti dal menù principale basta posizionarsi sulla rete che ci interessa e premere Shift-C. In questa nuova schermata viene visualizzata la lista degli indirizzi MAC dei client associati alla rete, ovvero quello del TC.

Attacco alla rete
Arrivati a questo punto ci troviamo nella seguente situazione:

Le schede Wireless di TC, SC, AC sono accese e funzionati
L’AP sta comunicando con il suo client
software “aircrack” e “wireless tool” sono installati
Le informazioni necessarie sono state appuntate

Possiamo iniziare l’attacco.
L'idea base è catturare quanto più traffico cifrato possibile attraverso lo sniffer airodump. Ogni pacchetto dati WEP ha associato il suo Vettore di Inizializzazione (IV): quando sono stati catturati abbastanza pacchetti, eseguiremo aircrack sul file di cattura che procederà ad una serie di attacchi statistici con lo scopo di recuperare la chiave WEP. Il numero di IV richiesti dipende dalla lunghezza della chiave WEP e dalla fortuna. Di solito, una chiave WEP da 40 bit si può crackare con 200.000 IV, e una chiave WEP da 104 bit con 500.000 IV ma esistono casi in cui possono essere necessari anche 2 milioni di IV. In generale non c'è modo di sapere quanto è lunga una chiave WEP: questa informazione è segreta e non viene diffusa, nè nelle frame di gestione nè in quelle dati; quindi, airodump non può indicare la lunghezza della chiave. Per risolvere il problema l’unica cosa da fare è eseguire aircrack due volte: quando si hanno 200.000 IV, lanciamo aircrack con l'opzione "-n 64" (la sintassi verrà introdotta in seguito) per crackare la chiave a 40 bit. Quindi se non si trova la chiave, rilanciare aircrack (senza l'opzione -n) per crackare la chiave a 104 bit.

Come procederemo?

Avvieremo lo sniffer airodump sul SC.
Avvieremo aireplay sull’AC per stimolare la rete a produrre velocemente IV.
Quando avremo un numero sufficiente di pacchetti catturati avviamo aircrack che, lavorando sui file di cattura generati da airodump, tenta di recuperare la chiave WEP.

Nello Sniffing Client apriamo una shell e digitiamo i seguenti comandi:

N
COMANDO

1
iwconfig wlan0 mode monitor

2
iwconfig wlan0 channel 11

3
mkdir cap

4
cd cap

5
airodump wlan0 cap 11

Con il commando 1 stiamo abilitando la modalità monitor della scheda wireless. Sostituire “wlan0” con il nome della propria interfaccia se necessario (Il nome dell’interfaccia è visualizzato con il comando iwconfig senza parametri). Il comando 2 serve a posizionare la scheda sul canale di trasmissione dell’AP. Sostituire 11 con il canale ricavato nelle precedenti attività preliminari. Con il comando 5 si avvia lo sniffer utilizzando l’interfaccia wlan0 ascoltando il canale 11 e il file di cattura avrà il prefisso “cap”.
Durante lo sniffing della rete il nostro obiettivo è catturare quanti più IVs possibile. La velocità con cui vengono letti i IVs cambia a seconda dell’uso che si sta facendo della rete. I pacchetti “beacons” invece non sono utili per crackare WEP in quanto non sono cifrati. Indicativamente, come già accennato, avremo bisogno da 50.000 a 200.000 IVs per decifrare una chiave da 64 bit (40 + 24 dell’IV) e da 200.000 a 700.000 per decifrare una chiave da 128 bit (104 + 24 dell’IV). Arrivati a questo punto ci saremo resi conto che non è affatto facile accumulare IVs con un utilizzo normale della rete, anche se i client della rete stanno eseguendo dei download molto lunghi. Senza ulteriori accorgimenti sono necessarie molte ore se non giorni per accumulare un numero sufficiente di IVs per eseguire aircrack con successo. Fortunatamente esistono molti tool progettati appositamente per velocizzare la ricezione di IVs. Vediamo quali sono.

É giunto il momento di utilizzare l’Attacking Client. Con questo PC in pratica andremo a “stimolare” la rete a produrre più velocemente i IVs. La tecnica utilizzata è quella di forzare la de-autenticazione del Target Client nella rete. Infatti, appena questo se ne accorgerà non farà altro che provare a ri-autenticarsi e durante la ri-autenticazione verranno generati molti IVs. Questo processo viene comunemente chiamato
deauth-attack e viene implementato da aireplay. Vediamo quali sono gli attacchi che aireplay è in grado di eseguire.

aireplay
Se il driver della scheda Wireless ha la patch corretta, aireplay può iniettare pacchetti raw 802.11 in Monitor mode ed effettuare quindi 5 attacchi diversi di tipo Packet Injection. Di questi 5 noi utilizzeremo il numero 0 e 2.

Attacco 0 – Deautentication
Questo attacco è utile soprattutto per recuperare un ESSID nascosto (non annunciato) e per catturare gli handshakes WPA forzando i client a ri-autenticarsi. Può anche essere usato, come faremo, per generare richieste ARP come fanno i client Windows a volte quando vuotano la ARP cache in fase di disconnessione. Ovviamente, questo attacco è inutile se non ci sono client associati.

Attacco 1 – Autenticazione falsa
Questo attacco serve solo quando abbiamo bisogno di un MAC address associato per gli attacchi 2, 3, 4
(ovvero opzione -h) e in questo momento non ci sono altri client associati. In genere è meglio usare il MAC address di un client vero negli attacchi 2, 3 e 4. L'attacco con falsa autenticazione NON genera
ARP requests. Ricordo inoltre, che gli attacchi successivi funzioneranno meglio se si modifica il MAC address della scheda, cosi che spedisca ACKs correttamente.

Attacco 2 – Replay interattivo di pacchetti
Questo attacco permette di scegliere un pacchetto specifico per il replay; a volte dà risultati migliori dell'attacco 3 (ARP reinjection automatica).

Attacco 3 – ARP-request reinjection
Serve per eseguire l’attacco ARP-request replay ed è il più efficace nel generare nuovi IVs. Abbiamo solo bisogno del MAC address di un client associato, o di un MAC falso dall'attacco "attacco 1". Può darsi che sia necessario aspettare un paio di minuti, o anche di più, fino a vedere una ARP request; questo attacco non funziona se non c'è traffico. Ricordiamo che il protocollo ARP (Address Resolution Protocol) fornisce la "mappatura" tra l'indirizzo IP a 32bit (4byte) di un calcolatore e il suo MAC address, l'indirizzo fisico a 48bit (6 byte). ARP è un protocollo di servizio, utilizzato in una rete di calcolatori che usa il protocollo di rete IP sopra una rete di livello datalink che supporta il servizio di broadcast. Per inviare un pacchetto IP a un calcolatore della stessa sottorete necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il mac address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. Se il pacchetto deve essere inviato a un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il mac address del gateway. In ogni calcolatore, il protocollo ARP tiene traccia delle risposte ottenute in una apposita cache, per evitare di utilizzare ARP prima di inviare ciascun pacchetto. Le voci della cache ARP vengono cancellate dopo un certo tempo di inutilizzo.

Attacco 4 - KoreK's "chopchop" (CRC prediction)
Questo attacco, quando funziona, può decifrare un pacchetto dati WEP senza conoscere la chiave. Può
anche funzionare con uno WEP dinamico. Questo attacco non recupera la chiave WEP, ma
semplicemente recupera il plaintext. Tuttavia, la maggior parte degli access point non è vulnerabile.
Questo attacco richiede almeno un pacchetto dati WEP.

Deauth-Attack
Per procedere con la forzatura della de-autenticazione del TC digitare i seguenti comandi:
iwconfig wlan0 mode monitor
aireplay -0 5 –a <MAC del AP> -c <MAC del TC> wlan0

Il primo comando serve per far passare la scheda in monitor mode.

Il secondo comando invia 5 segnali di de-autenticazione.

Dopo aver ricevuto questo segnale il Target Client tenta di ri-associarsi all’AP inviando una gran quantità di dati. In pochi secondi sarà possibile vedere con airodump, che è ancora in esecuzione, un incremento di 100-200 IVs. Questo incremento, pur essendo interessante, non permette un avanzamento apprezzabile della quantità di IVs richiesta. Ma si può fare di più?

Esistono ulteriori strumenti che interferiscono più seriamente con il normale funzionamento della rete wireless e permettono di collezionare tutti gli IVs che occorrono in pochissimo tempo. Questo tipo di attacco è chiamato replay attack. In questo attacco viene catturato un pacchetto generato dal Target Client e viene replicato più e più volte. Inoltre, utilizzando la tecnica dello spoofing, (l’invio di pacchetti facendo credere all'host di destinazione che il pacchetto provenga da un'altra sorgente) la rete crederà che il pacchetto provenga da un client valido. Quello di cui abbiamo bisogno è catturare un pacchetto che sia stato generato dal deauth attack e avviare il replay attack usando proprio quel pacchetto. Un perfetto candidato per la cattura sono gli Address Resolution Protocol (ARP), i pacchetti che sono inviati durante la fase di riautenticazione, poiché sono molto piccoli (68 Byte) e hanno un formato semplice. Passiamo a vedere la procedura da eseguire.

Per prima cosa riavviamo le AC e SC in modo da avere le macchine pulite. Ora nella AC dobbiamo avviare aireplay nella modalità 2 ovvero “Replay interattivo di pacchetti” in modo che appena abbia sniffato un pacchetto ARP inizi a replicarlo. Per eseguire questa operazione dobbiamo digitare:

aireplay -2 -b <MAC dell’AP> -d <MAC di destinazione dei pacchetti> -m 68 -n 68 -p
0841 -h <MAC dell’TC> wlan0

A questo punto avviamo aireplay nel SC in modo che venga forzata la de-autenticazione dei client (aireplay in modalità 0) così da generare pacchetti ARP necessari all’ AC. Per fare ciò dobbiamo digitare i seguenti comandi

iwconfig wlan0 mode monitor
aireplay -0 5 –a <MAC del AP> -c <MAC del TC> wlan0

Ora dovremo ricorrere a tutta la nostra abilità manuale e coordinatoria perché non appena il AC avrà captato un pacchetto ARP dobbiamo velocemente nell’ordine:

In AC -> Indicare ad aireplay di iniziare la replicazione (ovvero premere ‘y’) come è possibile
vedere nella figura precedente.
In SC -> Chiudere aireplay per terminare il deauth-attack (ctrl-c)
In SC -> Avviare airodump per iniziare lo sniffing dei pacchetti

Dopo che abbiamo avviato airodump potremo vedere che il contatore di IVs aumenta alla velocità di circa 200 IV\sec

Dopo che avremo catturato un numero sufficiente di IVs, mentre airodump continua a sniffare, avviamo aircrack che procederà alla decodifica della chiave. Il comando che dobbiamo digitare è:

aircrack –f 2 –m <MAC dell’AP> -n <dim della chiave> cap*.cap

Se durante l’esecuzione di aircrack terminiamo il programma con ctrl-c oppure il programma termina senza successo, quando verrà riavviato procederà alla decodifica del file utilizzando solo le informazioni che airodump ha aggiunto nel frattempo.

PRESTAZIONI
Aircrack come avremo notato non ha bisogno di accedere alla rete wireless. Questo software lavora sul file di cattura *.cap quindi in teoria può essere eseguito su un server collegato in rete e che, presumibilmente, dispone di un processore molto più veloce del portatile utilizzato per lo sniffing. Ad esempio è possibile sfruttare i nuovi processori multi core aggiungendo ad aircrack l’opzione –p e sfruttando così la potenza dei core paralleli. Potrebbe essere utile quindi copiare i file *.cap su una penna USB per essere trasportati sul server.
Per fare questo basta digitare i seguenti comandi:

mkdir /mnt/usb

mount –t vfat /dev/uba1 /mnt/usb

cp cap/cap*.cap /mnt/usb

umount /mnt/usb

Se tutto va bene il tempo necessario a rompere una chiave da 64 bit è circa 5 minuti nei casi più fortunati. Alcune volte sono sufficienti 25.000 IVs altre volte ne servono 200.000. Stesso discorso vale per le chiavi a 128 bit, il numero di IVs necessari va da 200.000 a 700.000 Da notare infine che l’uso di un attacco attivo con Packet Injection per aumentare la velocità di accumulo del IVs incrementa di molto le probabilità di essere rilevati.

Pubblicato da ICQ | Commenti

Tag: wireless, kismet, sniffing, backtrack, aircrack, wep , access point, cygwin, zero knowledge, full knowledge, deauth-attack

Difesa da Adware e Spyware

ICQ — Tue, 28 Apr 2009 18:24:15 +0200

La privacy in Rete è sempre stato un concetto assai… relativo, vista la struttura stessa di Internet, che rende le nostre macchine assai vulnerabili alle tante minacce che vi imperversano.
Una di queste minacce – seppur non si tratti di un fenomeno estremamente dannoso – consiste nei programmi detti “Spyware”, utilizzati da webmaster (non da me, sia chiaro) più o meno impiccioni che cercano di carpire più informazioni possibili riguardo le nostre navigazioni e i nostri interessi.
Il software si installa generalmente senza preavviso, attraverso programmi scaricati dalla Rete che lo contengono. Durante la navigazione lo spyware trasmette ad alcuni siti, l’elenco delle pagine Web visitate, tracciando così un profilo delle nostre abitudini. Gli effetti, oltre all’evidente violazione della privacy, possono essere ben più deleteri: si tratta pur sempre di una falla nel nostro sistema di sicurezza!.Possiamo correre ai ripari utilizzando il noto Ad-Aware di Lavasoft che compie una dettagliata analisi sul sistema individuando e depennando gli intrusi e Spybot - Search and Destroy.

ANALISI DI AD-AWARE SE PERSONAL
Se ci rechiamo in QUESTA PAGINA possiamo avviare il download del programma in questione. Avviata l'installazione, effettuiamo prima di tutto un aggiornamento delle definizioni, attraverso il programma Update nella home, successivamente, sempre dalla home, clicchiamo su Scan Now: adesso potremo scegliere di effettuare differenti tipi di scansione; si va da quella più rapida, a quella completa e a quella personalizzata (in quest'ultima, saremo noi a scegliere quali zone del nostro sistema analizzare). Per sicurezza, avviamo una scansione completa del sistema.

Non appena il programma avrà terminato la scansione, il quadro risultante potrà essere piuttosto variegato: il programma, infatti, non solo rileva le eventuali minacce vere e proprie, ma anche tutti quei file che possono essere eliminati dal sistema in quanto superflui (tra questi, rientrano i cookie, che consiglio di eliminare definitivamente per questioni di sicurezza. Attraverso questi, infatti, vengono memorizzate tutte le password digitate, e ciò li rende dei file molto delicati). Tuttavia, non dobbiamo aver timore di nulla: Ad-Aware crea sempre dei backup in modo da ripristinare lo status precedente alla scansione.

ANALISI DI SPYBOT - SEARCH AND DESTROY
Spybot - Search and Destroy si specializza principalmente nel rilevamento e conseguente rimozione degli spyware (programmi "spia" capaci di carpire informazioni sensibili). Lo si può scaricare direttamente da QUI.

Avviandone l'installazione, lo stesso programma ci guiderà in quelle che sono le operazioni principali da effettuare:

copia di backup;
aggiornamenti delle definizioni
immunizzazione

Quest'ultima fase si rileva molto utile, in quanto consente di rendere maggiormente protetti tutti i file che, appunto, richiedono un grado di difesa maggiore rispetto ad altri (e qui rientrano, dunque, file di sistema, di configurazione e così via discorrendo). Consiglio di effettuare un'immunizzazione ogniqualvolta di effettua un aggiornamento e subito dopo aver effettuato una scansione completa del sistema.

Pubblicato da ICQ | Commenti

Tag: spyware, spybot, ad-aware, spybot - s&d

Masterizzare DVD senza PC

ICQ — Tue, 07 Apr 2009 14:26:02 +0200

La realizzazione di un DVD video è un’operazione molto complessa, che richiede alcune conoscenze informatiche. Una prima possibilità per creare un DVD è quella di acquisire su PC il nostro filmato impiegando una scheda di acquisizione e, dopo aver fatto le modifiche opportune (taglio di scene, inserimento di titoli e musica), procedere con la conversione del filmato in MPG2, formato standard supportato dai DVD. Infine, abbiamo bisogno di un di un software di authoring e di un masterizzatore interno per creare la struttura del DVD e per masterizzare il supporto. La tecnica appena vista risulta essere completa ma elaborata. Se non vogliamo eseguire operazioni di editing sulle immagini registrate, ma non per questo rinunciare ai vantaggi offerti dal DVD, allora possiamo pensare di acquistare un videoregistratore DVD. Quello che verrà presentato in questa guida è il DVD videorecorder presentato da Samsung.

Il grosso vantaggio offerto da questo dispositivo è quello che può fare a meno del PC per creare un DVD video. Se siamo in possesso di una videocamera, digitale o analogica, possiamo collegarla direttamente al DVD Recorder per avviare la registrazione dei filmati su DVD-RAM o DVD-R. Il supporto ottenuto può essere tranquillamente riprodotto su computer (dotato di lettore DVD) o su qualsiasi player DVD da tavolo, compatibile con gli standard DVD-R e DVD-RAM. L’unità è dotata di ingressi digitali e analogici per consentire il collegamento di dispositivi muniti di uscite FireWire, S-VHS e Composito. Gli amanti della televisione digitale possono utilizzare questo dispositivo per archiviare i programmi preferiti direttamente su supporto digitale.

PROCEDURA DI INSTALLAZIONE

Se siamo degli appassionati di videoediting e disponiamo di una scheda dedicata all’acquisizione video (dotata di ingessi e uscite digitali e analogiche) possiamo riversare i nostri progetti direttamente su DVD. Le uniche operazioni da compiere riguardano i collegamenti scheda acquisizione-DVD recorder ed alcuni settaggi da operare su quest’ultimo. Innanzitutto, se vogliamo effettuare un collegamento in digitale, dobbiamo munirci di un cavo FireWire a 4 poli;
per selezionare ed attivare una particolare voce del menu occorre collegare un televisore al DVD-R3000. Per il collegamento possiamo utilizzare la presa scart AV1(TV) o le uscite S-Video e Composito presenti sul retro del dispositivo. Al masterizzatore possiamo collegare un ricevitore satellitare o ricevitore digitale mediante la presa scart a 21 poli AV2(Decoder);
il DVD-R3000 è dotato di un ingresso digitale FireWire presente sul pannello frontale del dispositivo. Dopo aver collegato il cavetto FireWire inseriamo il disco (DVD-RAM o DVD-R) e selezioniamo la modalità di registrazione utilizzando il pulsante REC Mode presente sul pannello frontale. Usiamo i pulsanti Channel per selezionare la sorgente DV in ingresso (controllare che sul di display venga mostrata la scritta DV). Siamo pronti per premere il tasto Rec per avviare la registrazione, non prima di aver messo in play il filmato da riversare. Premere Stop (sul pannello o da telecomando) per bloccare la masterizzazione;
disponendo di una videocamera digitale possiamo collegarla direttamente al DVD Recorder (tramite cavo IEEE 1394 a 4 pin) per riversare il contenuto della videocassetta miniDV direttamente su DVD. Per avviare la registrazione in automatico dobbiamo premere il tasto Top Window e utilizzare i tasti freccia per selezionare la voce DV Auto Rec; al termine premiamo Enter. La fase di masterizzazione viene avviata: per arrestarla manualmente premere il tasto Stop. Quando la registrazione si arresta appare una schermata dalla quale occorre premere il tasto Enter per terminare la registrazione automatica e per aggiungere il filmato ad una play list.

MODALITA' D IREGISTRAZIONE
Il dispositivo permette di impostare ben quatto modalità di registrazione:
XP: permette di registrare fino ad un’ora di video con qualità elevata;
SP: tale modalità permette di registrare fino a due ore di filmati;
LP: le ore di registrazione sono ben quattro, chiaramente diminuisce la qualità;
EP: possibilità di archiviare fino a sei ore di video non tenendo conto della qualità delle immagini.
I tempi sopra riportati si riferiscono all’impiego di supporti DVD-RAM e DVD-R da 4,7 GB.

Pubblicato da ICQ | Commenti

Tag: masterizzazione, samsung dvd-r3000, masterizzare dvd senza pc

Targus Defcon Authenticator

ICQ — Sun, 08 Mar 2009 20:44:02 +0100

Sin dagli inizi dei tempi, l'uomo ha sempre avuto la necessità di preservare la sicurezza dei propri dati sensibili. Basti pensare alle informazioni circa il proprio conto corrente, che in mano sbagliate, possono causare tanti problemi.

Telematicamente parlando intervengono le password che, in maniera più o meno intensa, ci difendono da attacchi informatici quali il phishing (il carpire i dati sensibili al fine di utilizzarli per atti illegali). La sicurezza dei dati in funzione della password, in un certo senso, è direttamente proporzionale alla complessità della password: più è complicata la password, e più si è certi di essere più immuni da attacchi informatici (ovviamente questa non è l'unica precauzione da attuare).

Oggi esistono dei dispositivi elettronici, di cui molti notebook sono dotati, ossia i sensori biometrici; tra questi c'è un modello, in particolare, che merita particolare attenzione: il Targus Defcon Authenticator. Questi dispositivi ovviano ad un fastidioso problema: password complicata e sicura = password criptica e difficile da ricordare. Molto spesso, infatti, capita di dimenticare una password (per la posta elettronica, per un servizio Web...) e spesso ci si ritrova a doverne chiedere un'altra attraverso sistemi appositi. Con il Targus Defcon Authenticator potremo memorizzare tutte le nostre password e, al posto di inserirle via tastiera, potremo utilizzare questo efficace dispositivo.

PROCEDURA DI INSTALLAZIONE

Prima di passare al collegamento del Defcon Authenticator, si deve installare il software OmniPass presente sul CD-Rom allegato. Per farlo basta eseguire il file Setup.exe presente nella directory principale e seguire le istruzioni passo passo che compaiono sullo schermo;
dopo aver installato il software OmniPass, riavviamo il computer e colleghiamo il rilevatore di impronte digitali ad una porta USB libera. Il sistema rileverà la nuova periferica e avvierà la procedura per il riconoscimento automatico del Defcon Authenticator;
una volta installato, il software OmniPass creerà un’icona a forma di chiave nella barra in basso a destra di Windows: clicchiamoci due volte col tasto sinistro del mouse per avviare il software e selezioniamo Add New User per far aprire la schermata relativa alla creazione di un nuovo utente;
adesso avete due possibilità di scelta: la prima (…an existing Windows Logon Account) permette di usare la stessa username e password con la quale si accede a Windows, mentre la seconda (Create a New User Name e Password...) la userete negli altri casi e vi consente di creare un nuovo utente che esisterà solo in Omnipass e non ha nulla a che fare con gli utenti di Windows;
dopo aver scelto una username e una password clicchiamo sul pulsante Avanti per accedere alla schermata News User Wizard, relativa all’impostazione dell’impronta digitale. Quest’ultima sostituirà la classica password per l’accesso al sistema col software OmniPass e fornirà un sistema di sicurezza migliore e più pratico. Non ci resta che scegliere il dito della mano da utilizzare per il riconoscimento;
la prima cosa da fare è scegliere quale dito preferiamo usare per l’impronta digitale. Selezioniamo quindi, Enroll Selected Finger e poggiamo il dito sul Defcon Authenticator: affinché l'impronta sia memorizzata correttamente, è necessario ripetere l’operazione tre o quattro volte;
il sensore posto sul Defcon non è di tipo ottico e sfrutta la tecnologia messa a punto da AuthenTec chiamata Truprint: questo lo rende molto sensibile, e il riconoscimento dell’impronta avviene in modo perfetto anche in condizioni estreme come dita sporche o umide;
dalla schermata principale di OmniPass andiamo in Settings per configurare il tipo di accesso a Windows che desideriamo impostare. Selezionando la terza opzione, ogni volta che si avvia il computer, verrà chiesta l’autenticazione attraverso l’impronta o la password che si è precedentemente impostata;
quando avvieremo la prossima volta il computer, al caricamento del sistema operativo apparirà una schermata che ci consentirà di effettuare il riconoscimento: potremo entrare immettendo la password o l’impronta del nostro dito. Una schermata apparirà anche quando desideriamo modificare le Preferenze in OmniPass;
ogni volta che accederemo ad un servizio che richiede una password di riconoscimento (come i servizi su Internet), potremo aggiungerla al database di OmniPass in modo che la prossima volta non dovremo ricordarla e basterà usare l’impronta del dito. Per farlo basta cliccare col tasto destro del mouse sull’icona a chiave e scegliere Remember Password;
OmniPass permette anche di proteggere i dati criptandoli. Per farlo basta esplorare le Risorse del computer e trovare la cartella o i file che desideriamo rendere inaccessibili, cliccarci sopra col tasto destro del mouse e scegliere OmniPass Encrypt File(s): i dati protetti saranno identificati da un’icona a forma di lucchetto;
una volta criptati i file, sarà possibile visualizzarli, solo se in possesso della password o dell’impronta digitale giusta. Per renderli di nuovo accessibili, basta cliccarci sopra due volte per aprire la schermata del riconoscimento dell’utente, posizionare il dito sul Defcon ed il gioco è fatto.

Pubblicato da ICQ | Commenti

Tag: password, targus defcon authenticator, sensore biometrico, sicurezza password, omnipass

TheRat.b: analisi e prevenzione del keylogger

ICQ — Sun, 15 Feb 2009 11:32:08 +0100

Dal punto di vista tecnico, gestire la sicurezza di un sistema salvaguardandolo da qualsiasi intrusione è diventato un compito estremamente difficile. Anche se i software di sicurezza hanno ormai raggiunto livelli di protezione decisamente elevati, la loro efficacia si riduce notevolmente di fronte a nuovi malware come il virus TheRat.B, che combina oltre alle funzioni di trojan anche quella di keylogger. Quest’ultimo termine, coniato ai tempi del vecchio sistema operativo MS-DOS, indica la caratteristica di base di un software capace di registrare in un file di testo con estensione .log tutti i tasti premuti durante l’utilizzo del computer. Per questo motivo, tali strumenti il più delle volte venivano utilizzati quando si aveva il sospetto che il proprio computer fosse usato da persone non autorizzate. Con l’avvento di Internet, la destinazione d’uso dei keylogger è stata completamente stravolta. Oggi sono in grado non soltanto di registrare le battute da tastiera, ma eseguono anche istantanee dello schermo per mostrare ad eventuali malintenzionati le finestre relative ai software in esecuzione sul PC. Ed inoltre, intercettano informazioni sensibili come password e numeri di carte di credito che poi inviano, tramite posta elettronica, ai loro stessi creatori.

TheRat.b si veicola attraverso e-mail infette o spacciandosi per altri software scaricabili dalla Rete e racchiude tutte le caratteristiche tipiche di un keylogger con in più la particolarità di registrare tutte le attività Internet degli utenti utilizzando una libreria DLL, reghnd32.dll, che crea all’interno della directory d’installazione di Windows. Il virus ha inoltre la capacità di accedere alla chiave del registro di Windows HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\SPW in cui vengono memorizzate le parole d’accesso dei moduli di auto completamento dei form on-line (numeri di carte di credito, password ecc.). Una volta installato, oltre alla DLL, The-Rat.b deposita nell’hard disk della vittima il file socketime.exe che è, in realtà, una copia di se stesso, e il file 32therat.log che gli servirà invece per memorizzare tutte le informazioni carpite all’utente. Per assicurarsi, poi, la sua esecuzione ad ogni avvio di Windows, individua la chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe modificandola in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe socketime.exe. Quest’operazione gli consente, tra l’altro, di rendersi completamente invisibile tra i processi in esecuzione sul computer ed elencati nella finestra del task manager di Windows (accessibile premendo i tasti Ctrl+Alt+Canc). Tutte le informazioni ottenute vengono quindi spedite periodicamente allo stesso creatore del malware utilizzando
un indirizzo e-mail specifico.

COME SNIDARE THERAT.B
Nonostante tutti i metodi di mimetizzazione adottati da TheRat.b, è comunque possibile accorgersi dell’avvenuta infezione e debellarla. In primo luogo, va sottolineato che i keylogger sono normali programmi, così come lo sono le applicazioni che utilizziamo quotidianamente. Pertanto, devono necessariamente lasciare qualche traccia sul sistema. Per rilevare la loro presenza, però, l’unica soluzione è rappresentata dai sistemi di rimozione che si combinano con i tradizionali antivirus e con le tecnologie TruPrevent che permettono di eliminare eventuali infezioni e attacchi da virus sconosciuti. Solo adottando queste contromisure potremo finalmente mettere al sicuro i nostri dati personali.

PROCEDURA DI ELIMINAZIONE

Se il nostro antivirus non fornisce i risultati sperati, proviamo ad eseguire un controllo dell’hard disk via Internet utilizzando il servizio gratuito Totalscan di Panda Software. Questo scanner, infatti, oltre ad eliminare le minacce già riconosciute, è in grado di identificare anche quelle non ancora classificate grazie alla tecnologia TruPrevent. Così come tutti gli antivirus on-line, Totalscan non deve essere installato sul PC, ma opera direttamente da una finestra del browser tramite un controllo ActiveX;
Per avviare lo scanner e usufruire di tutte le sue funzionalità, occorre effettuare una registrazione gratuita. La procedura da seguire è molto semplice: basta aprire la pagina Web raggiungibile all’indirizzo http://www.pandasecurity.com/activescan/index/ e fare clic su Analizza Ora;

Tutti i tool di scansione on-line devono installare sul PC, per poter funzionare, un controllo ActiveX. Dal momento che Windows XP con Service Pack 2 blocca per sicurezza queste procedure, è indispensabile abilitarle temporaneamente per far partire il download e la successiva installazione automatica del componente aggiuntivo del browser. Avviando la scansione del sistema, verrà visualizzato un avviso di protezione in cui ci verrà chiesto d’installare il controllo ActiveX certificato
da Panda che permetterà l’esecuzione del tool. Ovviamente, confermiamo la sua installazione. Ricordiamoci che il nuovo componente potrà essere installato solamente se utilizziamo Internet Explorer. Per proseguire, accediamo al menu Strumenti/Opzioni Internet/Protezione del browser, clicchiamo sul pulsante Livello personalizzato e poi su Attiva nelle prime tre voci che riguardano il download degli ActiveX;
Torniamo alla pagina Web di gestione di Totalscan. L'analisi del sistema verrà preceduta da un'installazione dei vari componenti di Totalscan e da un aggiornamento. Successivamente verrà avviata la scansione vera e propria;
Ultimata la scansione del sistema, verrà visualizzato un report con tutti i malware trovati e organizzanti in base al livello di pericolosità, tra cui dovrebbe esserci anche TheRat.b. Per procedere con la rimozione, disinfettiamo e al termine chiudiamo l’interfaccia di Totalscan. Per completare la pulizia del sistema da tutte le tracce lasciate dal virus, accediamo al menu Strumenti/
Opzioni Internet di Internet Explorer, spostiamoci nel tab Generale e clicchiamo prima su Elimina Coockie e poi su Elimina file, specificando nella finestra cheappare di eliminare anche il contenuto non in linea;
Per aumentare il livello di sicurezza, cancelliamo tutte le informazioni memorizzate da IE e utilizzate per il completamento automatico dei form on-line. Accediamo al menu Strumenti/Opzioni Internet e apriamo il tab Contenuto. Nella sezione Informazioni personali clicchiamo su Completamento automatico: nella schermata che appare, scegliamo di cancellare la cronologia sia dei moduli che delle password tramite i due appositi pulsanti. Un ultimo accorgimento, consiste nel cambiare
tutte le password dei servizi cui siamo iscritti, per bloccare accessi non autorizzati a persone entrate in possesso dei nostri dati. E, ovviamente, comunicare immediatamente alla nostra banca il probabile furto del numero di carta di credito.

Pubblicato da ICQ | Commenti (1)

Tag: password, trojan, activex, theratb, keylogger, totalscan

Tastiera e mouse a portata di pantalone

ICQ — Mon, 02 Feb 2009 18:09:33 +0100

Quanti di voi in auto, in autobus, in metropolitana non hanno potuto utilizzare il PC perchè troppo scomodo o troppo ingombrante?

I pantaloni con tastiera integrata nel tessuto e un mouse a sostituzione della classica catenella sono nati per ovviare a questo limite. Disegnati dallo stilista Erik De Nijs, si pongono al confine tra moda e utilità.

Avrete inoltre la possibilità di usare comodamente (forse) il PC anche sdraiati sul letto o sul sofà, ascoltando la vostra musica preferita tramite una piccola cassa acustica cucita nel pantalone.

Dato che il prodotto è sicuramente orientabile verso un pubblico di giovanissimi, si è deciso di non trascurare la componente tipicamente ludica tramite l’integrazione di un joystick.

“Unire l’utile al dilettevole”. Questo avrà pensato De Nijs quando realizzava questo capo stravagante, e possiamo sicuramente affermare che è riuscito nell’intento. Voi sareste disposti ad acquistare un capo di questo genere? Ciò che incuriosisce di più è: “come faranno ora le mamme a lavare questi pantaloni?"

FONTE: http://www.oneluxury.it/02/02/2009/tastiera-e-mouse-a-portata-di-pantalone/

Pubblicato da ICQ | Commenti

Falsi keygen

ICQ — Mon, 12 Jan 2009 09:30:50 +0100

L’adozione di soluzioni sempre più sofisticate, che permettono di creare barriere protettive contro intrusioni non autorizzate e furti di dati sensibili, è stata da sempre la priorità assoluta per i programmatori e gli sviluppatori di software. Tali sistemi di sicurezza vengono ora messi a rischio dall’enorme diffusione del file sharing. Il motivo è presto detto. Lo sviluppo informatico e sociale e la nascita di programmi per la libera condivisione di file tra utenti di tutto il mondo, come ad esempio eMule, ha dato l’occasione giusta ai creatori di malware per studiare attentamente i gusti e le abitudini degli utenti e mettere così a segno, con estrema
precisione, le loro opere criminose.

Sono molti gli utenti che utilizzano eMule per scaricare dalla Rete software illegale e relativi keygen, cioè i generatori automatici di chiavi o codici di registrazione che permettono la loro attivazione. Tale pratica, oltre che violare il copyright, risulta molto pericolosa per la sicurezza del sistema: non si ha mai la certezza, infatti, che il file appena scaricato non contenga in realtà software maligno come trojan, virus e malware in genere. Proprio come nel caso di Archivarius, un’insidiosa backdoor che si diffonde sui canali di file sharing pronta ad installarsi di nascosto sui nostri computer e consentire l’accesso non autorizzato a malintenzionati intenti a rubare informazioni personali.

ANALISI DEL VIRUS
Una delle caratteristiche principali di questa nuova minaccia è il suo difficile riconoscimento preventivo, per via dell’infinita varietà di nomi attribuiti all’archivio compresso in formato .rar con cui viene diffuso il finto keygen. L’unica certezza è che il contenuto dell’archivio sarà sempre un file eseguibile dal nome Installer-Crack-Keygen.exe che rappresenta il trojan vero e proprio. Una volta avviato, il trojan crea due file WinSecure.exe e NTSpool.exe nella cartella C:\WINDOWS\System32. Quindi aggiunge due chiavi al registro di configurazione di Windows in modo da garantire l’esecuzione dei due file automaticamente ad ogni avvio di sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run“NTSpool.exe” = “c:\windows\system32\NTSpool.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run “WinSecure.exe” = “c:\windows\system32\WinSecure.exe”

Il file eseguibile WinSecure.exe altro non è che una copia fedele del trojan originale. Il file NTSpool.exe si occupa, invece, di aprire alcune porte di comunicazione (in gergo chiamate backdoor) per consentire possibili intrusioni da parte di malintenzionati nel computer vittima. Lo scopo dell’infezione è quello di creare una rete di computer zombie controllati da remoto ad insaputa dell’utente per mettere a segno un nuovo attacco. Il virus crea quindi nella directory Incoming di eMule una serie di archivi con estensione RAR di uguale contenuto e dimensione, ma con un’enorme quantità di varianti di nomi che richiamano quelli dei software commerciali più diffusi e al cui interno dovrebbero trovarsi i rispettivi keygen. In realtà sono copie del virus che, trovandosi nella cartella di condivisione del client P2P, vengono immediatamente messe in Rete dall’utente senza che lui si accorga di nulla, avviando un’infezione a tappeto di migliaia di altri sistemi.

PROCEDURA DI ELIMINAZIONE

Consiglio, come sempre, di disabilitare il Ripristino configurazione di sistema: tale funzione può permettere infatti che copie infette del virus rimangano insediate nel nostro sistema. Seguiamo la procedura: Start - Impostazioni - Pannello di Controllo - Sistema e spostiamoci sul tab Ripristino configurazione di sistema e mettiamo il segno di spunta su Disattiva Ripristino configurazione di sistema. Infine applichiamo le modifiche;
Dal momento che la rimozione dal sistema di Worm.Archivarius potrebbe risultare difficoltosa con i
normali software antivirus, ci avverremo del metodo manuale e del tool gratuito The Avenger scaricabile gratuitamente da http://swandog46.geekstogo.com/avenger.zip. Una volta scaricato l’archivio compresso scompattiamolo in una cartella dell’hard disk (ad esempio C:\Avenger) è avviamolo e confermiamo on OK al messaggio visualizzato. Come tutti i tool che hanno compiti di pulizia e da utilizzarsi con una certa cautela dal momento che potrebbe creare, per un suo errato uso, mal funzionamenti al sistema operativo;
The Avenger permette di rimuovere quei file che risultano bloccati in quanto in esecuzione all’avvio del sistema e ciò è possibile seguendo due strade: la prima con la creazione di uno script ad hoc, utile nel caso di processi di rimozioni particolarmente lunghi, la seconda caricando uno script da un URL, mentre la terza di inserire in tempo reale i percorsi e i file da eliminare, sistema che utilizzeremo dal momento che dovremmo rimuovere soltanto due file;
Nella schermata principale noteremo un’ampia area di immissione testo, questa servirà per inserire i comandi necessari a rimuovere i file principali di Worm.Archivarius. Inseriamo quindi le seguenti informazioni con gli opportuni adattamenti:
Folders to delete:
%SystemDrive%:\WINDOWS\System32\NTSpool.exe
%SystemDrive%:\WINDOWS\System32\WinSecure.exe
Dobbiamo fare attenzione a non dimenticare di sostituire la voce %SystemDrive% (compresi i %) con la lettera del disco (Drive) dove è installato il nostro sistema operativo (solitamente C:). Verifichiamo che il risultato sia simile a quello riportato in figura. Dopo aver verificato che tutta le digitazioni sia corretta, togliamo la spunta alla voce Scan for rootkits e clicchiamo Execute per avviare la scansione. Al termine The Avenger ci avviserà che per completare l’operazione di pulitura sarà necessario confermare il riavvio del nostro computer in modo da cancellare definitivamente i file;
Riavviato il sistema occupiamoci di eliminare dal registro di sistema le due voci create da Worm.Archivarius. Avviamo l’editor del registro da Start/Esegui digitiamo Regedit e confermiamo con OK. Nella schermata che verrà mostrata a video utilizziamo la colonna di sinistra per navigare fra le chiavi fino ad arrivare al seguente percorso:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Nella finestra di destra troveremo quindi le voci: ”NTSpool.exe” = “c:\windows\system32\NTSpool.exe” ”WinSecure.exe” = “c:\windows\system32\WinSecure.exe” Selezioniamole e con il tasto destro del mouse clicchiamoci sopra e scegliamo Elimina dal menu contestuale che apparirà. Se tali voci sono le uniche presenti nella chiave in questione, possiamo eliminare direttamente la sottochiave run. Fatto ciò chiudiamo il registro di sistema;
Le ultime operazioni da compiere, per il completamento della bonifica del sistema, consiste nel rimuovere i restanti file di Worm.Archivarius. Tramite Risorse del computer andiamo quindi nella cartella dove è stato scompattato l’archivio infetto e rimuoviamo quest’ultimo insieme al file Installer-Crack-Keygen.exe. Fatto ciò spostiamoci nella cartella Incoming di eMule e cancelliamo tutti gli archivi .rar creati dal trojan, possiamo facilmente riconoscerli in quanto contengono riferimenti a keygen e crack e hanno tutti eguale dimensione di 1.120 KB.

Pubblicato da ICQ | Commenti

Tag: worm, avenger, archivarius

Le immagini BMP

ICQ — Mon, 22 Dec 2008 09:16:25 +0100

Uno dei formati di immagine più diffusi è quello BMP (Bitmap) e deve la sua popolarità alla semplicità con cui è possibile creare e gestire dei file di questo tipo: un'immagine BMP è infatti una matrice di dimensioni ben precise dove ogni pixel descrive il colore di quel punto con un dettaglio che dipende dal numero di bit impiegati.

CARATTERISTICHE DEL FORMATO BMP
Le caratteristiche fondamentali di un'immagine BMP sono rappresentate dalla sua risoluzione e dalla sua profondità. La prima equivale al numero di pixel per pollice (dpi, ossia dot per inch) visualizzati e non va confusa con la dimensione dell'immagine, anch'essa espressa in pixel (ad esempio 800x600); la seconda rappresenta il numero di bit impiegati per rappresentare i colori di ciascun pixel. Nelle immagini a colori i pixel contengono il livello di intensità dei colori stessi, secondo il modello utilizzato: il più diffuso in ambito informatico è quello RGB (Red, Green, Blue), basato su tre colori ed utilizzato anche da monitor e schede video. In ambito tipografico/fotografico viene spesso impiegato invece quello a quadricromia CMYK (Ciano, Magenta, Yellow, BlacK).

I LIMITI DEL FORMATO
Alcune limitazioni Pensando alle bitmap come a immagini alle quali venga applicata una griglia con celle quadrate, appare evidente che una trama più fitta consente di definire in maniera più precisa i colori da rappresentare, garantendo una resa migliore. Questa caratteristica dei file BMP limita però le possibilità di manipolazione: a causa della loro struttura, infatti, uno zoom può degradare la qualità dell'immagine, visto che il numero di pixel utilizzati non risulta più sufficiente per descrivere correttamente il punto. Per aggirare il problema, molti software di manipolazione operano un processo chiamato interpolazione, nel quale vengono aggiunti pixel fittizi per mantenere una profondità adeguata.

ALTRE INFORMAZIONI SUL FORMATO
Oltre ad essere usate in campo “fotografico”, le immagini Bitmap sono state alla base delle librerie grafiche utilizzate da Windows per disegnare le finestre e gli altri elementi dell'interfaccia: solo a partire da XP è stato introdotto il supporto a formati compressi come PNG e JPEG. Nonostante il massiccio utilizzo di immagini all'interno di siti Web, le immagini bitmap sono rimaste escluse da questo settore sia a causa della dimensione più grande dei file creati rispetto a quelli compressi, sia per la mancanza di supporto all'animazione (presente invece nel formato GIF).

Pubblicato da ICQ | Commenti (1)

Tag: bmp , immagini bmp, bitmap