Author Archives: Andrea Giampietro

  • 0

Sito fai da te? Non Open Informatica? Ahi, ahi, ahi, ahi.

Category : News

In questo articolo vorrei brevemente spiegare la differenza nel realizzare un sito con i soliti programmi automatici oppure scegliere un professionista.

Tante sono le promesse di queste piattaforme:

  1. Tutto è facile
  2. Tutto è gratis
  3. Tutto è funzionale
  4. Il vostro sito sarà facilmente in prima pagina
  5. Voi sarete in grado di mettere contenuti con semplicità e efficaci

Purtoppo non è vero, sarà come comprare un bel cartellone e girarlo contro un muro senza che nessuno lo veda…

Insomma un vero affare, e tutto per pochi Euro, senza nessun problema, invece un professionista parte come minimo da 600 Euro, fino ad arrivare a cifre decisamente importanti, perché capita questo?

Per poter rispondere è necessario fare delle premesse.

Un sito è completamente inutile se vi trovano cercando esclusivamente il vostro nome, perché questo presuppone che tutti già vi conoscano, mentre uno degli scopi è quello di farsi conoscere attraverso il sito Web. Certo è importante che vi trovino con il nome, ma è praticamente 1% del lavoro. Per essere più chiari, se ho una pizzeria a Collegno o un negozio di cornici a Grugliasco o un E-commerce di vendita batterie auto a Torino, è importante che su google si venga trovati con i seguenti criteri di ricerca.

a) Per la pizzeria come “Pizzeria Collegno”

b) Per il negozio di cornici “Cornici Grugliasco”

c) Per il negozio di vendita batterie “Vendita batterie Torino”

Sotto trovate i risultati di una ricerca su uno qualsiasi dei siti indicati, vi incollo l’immagine di ricerca delle Batterie. Il sito è in prima pagina e vi assicuro che se cercate vendita batterie sarà la stessa cosa. Questo perchè molto lavoro è stato fatto su http://venditabatterieonline.com
venditabatterietorinoNessun Miracolo, solo una buona indicizzazione ottenuta lavorando sui contenuti, questa è una delle cose che un professionista vi può dare.

E’ inoltre molto importante che la grafica del sito sia accattivante e i contenuti siano coerenti.

Altro parametro fondamentale è l’ottimizzazione del codice, e della struttura della pagina, tutte cose che devono essere gestite da un professionista del settore.

OTTIMIZZAZIONE E STRUTTURA DEI CONTENUTI

E’ molto importante creare dei contenuti interessanti che vanno ottimizzati arricchendoli di immagini e esprimere dei concetti che richiamino il pubblico e specialmente che contengano parole chiave con cui vi interessa farvi trovare. Tutte cose che un professionista può offrirvi, con opportune analisi e sicuramente con il vostro prezioso aiuto, ma in autonomia, senza delle linee guida risulterà, tutto molto difficile per voi e quanto tempo oggettivamente potete dedicare al tutto?

I VOSTRI DATI

E i vostri dati, se avete un sito di E-Commerce a chi sono in mano? Li conoscete di persona? Come viene garantita la trasparenza?

AIUTO NON SO COME FARE

Diventa molto difficile con la vostra attività interfacciarvi con qualcuno e trasmettere il messaggio giusto ai vostri clienti, rivolgetevi a un WebMaster per lo meno della vostra regione, chiamatelo e interagite con lui, vi saprà dare i giusti consigli per ottenere il massimo dal vostro sito. E se avete qualche problema tecnico e se volete fare qualcosa di particolare sul vostro sito? Realizzare una locandina? Avete il tempo di farlo? Avete i programmi giusti per farlo ?

SE DO’ IL SITO AL WEBMASTER IO NON FACCIO NULLA??

Assolutamente no, è molto importante che ci sia la vostra costante collaborazione e vostra apertura mentale verso le nuove tecnologie per promuovere al meglio la propria attività, nessuno meglio di voi conosce il settore in cui lavorate, SCEGLIETE UN WEBMASTER vicino a voi, per potergli anche parlare di persona e discuterci per definire le migliori strategie.

Per riassumere, un banale elenco di vantaggi e svantaggi dei siti fatti da auto didatti.

SITI FATTI IN AUTONOMIA CON WIX O SIMILARI

VANTAGGI SVANTAGGI
Costano Poco all’apparenza Non vi troveranno mai con parole più generiche
Vi troveranno con il vostro nome preciso su Google Solo voi lo aggiornerete, quando avete tempo
Non avrete nessun aiuto in termini tecnici reale
Per ogni piccolo modulo aggiuntivo dovrete pagare
Non averete un rapporto diretto con il WebMaster per definire strategie di marketing reali
State pagando per tenere un soprammobile inutile
Chissà dove sono i vostri dati??

SITI FATTI DA PROFESSIONISTI

VANTAGGI SVANTAGGI
Il sito è pensato per farvi guadagnare, in quanto se non funziona disdirete il contratto, e il Webmaster ci tiene a tenere il cliente. Guadagnate voi, guadagna lui. Il costo è correlato a quanto effettivamente si decide di fare rendere il sito
Per qualsiasi problema avrete una o più persone di riferimento
 I contenuti saranno ottimizzati e adeguati alle vostre necessità
 Sarà possibile modificare praticamente qualsiasi cosa delle struttura del vostro sito
 Gli aggiornamenti, con la vostra collaborazione minima, saranno costanti
 Le ricerche saranno ottimizzate e pensate per farvi trovare realmente
 Tutti i canali di comunicazione Facebook, Twitter, Google saranno presi in considerazione.

 

Questo articolo è di parte ? Forse si, però ognuno ha il proprio lavoro, se mi improvvisassi a costruire un muro dubito che rimarrebbe su più di qualche mese ad essere ottimista, quindi preferisco chiamare un vero muratore che mi garantirà una buona struttura e qualità del muro.

Anche se ho gli attrezzi del muratore difficilmente sarò in grado di usarli.

Il senso è: rivolgetevi a professionisti per la realizzazione dei vostri siti tanti sono gli aspetti da prendere in considerazione.

Open Informatica realizza siti Web, di qualsiasi genere a Collegno, Torino, Rivoli, Grugliasco garantendo massima qualità e trasparenza, inoltre strategie di Web Marketing, Email Marketing, Seo, Sem e molto altro.

Chiama subito per un preventivo senza impegno.

Email: andrea.giampietro@openinformatica.it

Telefono: 393-1539297

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


  • 0

Traceroute e Dns con utilizzo base di Dig e Nslookup

INTRODUZIONE

Questo articolo è un estratto di un libro che avevo scritto denominato Hacking & Security,  che non ho mai pubblicato, viste le troppe tecniche di Hacking presenti, alcuni editori mi avevano detto di renderlo meno incline all’insegnamento di alcune tecniche, cosa che ho riifiutato di fare perchè dal mio punto di vista è impensabile difendere un sistema informatico se non si è in grado di attaccarlo.

Nell’aritcolo che segue non è presente nessuna tecnica particolare, ma solo l’utilizzo di strumenti comuni per fare un minimo di Information Gathering, alcune parti sono state volutamente tagliate, non è una lettura per tutti perchè contiene molti termini tecnici non espletati completamente.

Buona lettura

SINTASSI DIG

Dig è l’equivalente di Nslookup (presente in windows), anche se molto superiore, utilizzato per le query sui server Dns.

La sintassi di Dig, risulta essere molto semplice:

dig <nome_dominio>

Cosi’ facendo in automatico dig ci restituisce il record di tipo A (Host), possiamo ottenere lo stesso risultato scrivendo.

dig <nome_dominio> A

Domanda che puo’ sorgere spontanea è quella di  sapere chi manda la posta per un determinato dominio    .
La query è di una semplicità raccapricciante…
dig <nome_dominio> MX
dig giampy.it MX

Di seguito la risposta per quanto concerne un ipotetico dominio giampy.it
Il numero precedente al nome server indica la priorità, più è basso più è prioritario.
;; QUESTION SECTION:
;giampy.it.  IN MX
;; ANSWER SECTION:
giampy.it.   3600 IN MX  20 mail2.giampy.it. (Server di Posta Secondario)
giampy.it. 3600  IN MX    10 mail.giampy.it. (Server di Posta Primario)
;; Query time: 170 msec
;; SERVER: 85.40.145.182#53(85.40.145.182)  <A fianco il server che ho interrogato>
;; WHEN: Wed Jan 7 14:26:29 2009
;; MSG SIZ  rcvd: 69

Fino ad ora stiamo interrogando il nostro server dns, ossia quello configurato sul nostro sistema, non stiamo interrogando il server che gestisce per intero la zona, ossia il primario.
Quindi, come interroghiamo un server dns specifico ?
dig @<serverdns>     <nome_dominio> <tipo_di_record>
Se voglio conoscere tutti i record di un dominio , record A, record MX come faccio ?
dig @<serverdns> <nome_dominio> ANY

ESEMPIO:
dig @pippo.dns.it dominio.it ANY

Per completare il quadro della situazione possiamo provare a vedere se è possibile effettuare il trasferimento di zona. Alcuni server dns, configurati da amministratori con poca esperienza, danno la possibilità di trasferire le zone per intero anche a server/client non autorizzati, questa è una grave falla di sicurezza, in quanto da all’attaccante una visibilità che non dovrebbe avere.
Come lo facciamo il giochino? Niente di più facile:

dig @<serverdns> <nome_dominio> axfr

Ecco un esempio su un server dns configurato male:
[root@securebook ~]# dig @ns.test.it victim.it axfr
; <<>> DiG 9.5.0-P2 <<>> @ns.test.it victim.it axfr
; (1 server found)
;; global options:  printcmd
victim.it. 86400 IN  SOA ns.test.it gino.test.com. 2008062501 86400 10800 604800 86400
victim.it. 8640 IN MX  10 ns.victim.it.
victim.it.86400 IN NS  ns.test.it.
victim.it. 8640  IN  NS  ns2.birillo.it.
ftp.victim.it 8640   IN  CNAME  ns.victim.it.
mail.victim.it. 86400  IN  CNAME  ns.victim.it.
Se il server fosse stato ben configurato avreste ottenuto un messaggio del tipo:
Zone Transfer Failed.

Il vostro è a posto ?

Eseguiamo gli stessi controlli utilizzando nslookup, per brevità mi limiterò a riportare i comandi usati per fare le stesse cose che abbiamo fatto con dig.

Per abitudine io uso nslookup in modalità interattiva, i comandi sono praticamente gli stessi.

•    Scrivete nslookup (Comando utilizzabile da prompt di Dos Windows)
•    Vi ritroverete un prompt di questo tipo:
>
Interroghiamo un dominio qualsiasi direttamente dal prompt, di default verrà utilizzato il server dns che abbiamo configurato sul pc e come di consueto ci verrà restituito il record A in quanto non è stato specificato nulla quindi:

securitygiampy.altervista.org
> securitygiampy.altervista.org
Server: 85.40.145.182
Address:85.40.145.182#53
Non-authoritative answer:
Name:securitygiampy.altervista.org
Address: 78.129.205.7
Per utilizzare un server specifico è necessario dare il comando server:
> server dns.pin.it
> azienda.it

A questo punto riceverete la risposta dall’eventuale server autoritativo.

Per definire in nslookup il tipo di richiesta, dobbiamo usare la seguente sintassi:

> set querytype=MX Chiede il record MX, ossia qual’è il server di posta elettronica?
oppure

set querytipe=ANY

Riscrivere il nome del dominio  e otterrete cosi, le informazioni volute:

> dominio.it
Infine proviamo il trasferimento di zona, dal prompt digitate:
ls -d <nome_dominio>
Ora abbiamo finito con le informazioni prese a livello di dns. Esistono altri tools grafici o servizi web che permettono di ottenere le stesse informazioni, i tools che ho utilizzato sono tutti molto potenti e hanno molte altre opzioni che per brevità non ho spiegato.
Per approfondire:
man nslookup
man dig
man whois

TRACEROUTE

L’utilizzo di Traceroute (tracert in windows), vi aiuterà a capire come è strutturata la rete di un ipotetico target. Prima di parlare dell’utilizzo del traceroute è importante capire qualche concetto che non è così scontato.
La versione di traceroute presente su windows fa solo interrogazioni basandosi su ICMP, la versione di Traceroute presente su Linux di default fa scansioni di tipo UDP, la porta di partenza (come destination port) per quanto riguarda il traceroute UDP di linux è la porta 33435, che incrementa di uno ad ogni Hop.
Per chi non lo sapesse ICMP è il protocollo che viene utilizzato in fase di Ping per ottenere le classiche risposte di echo che tutti conosciamo.
Il traceroute avviene sfruttando il ttl, ogni volta che un pacchetto attraversa un router il ttl (tempo di vita del pacchetto) diminuisce di almeno un secondo , quindi viene inviata una notifica di tipo ICMP al client traceroute sullo stato di raggiungibilità  per poi passare al successivo con un TTL maggiorato.
Nelle impostazioni di default, l’incremento del TTL si ha ogni tre pacchetti inviati.
Grazie al giochetto dei TTL possiamo capire se ci sono dei PAT (Port Address Translation) o dei Firewall in un determinato contesto di rete, argomento che affronteremo nel prossimo capitolo.
Per didattica vi metto di seguito i comandi che dovete utilizzare per monitorare il funzionamento di traceroute.
In una sessione di Shell lanciate il tcpdump come sotto:

•    tcpdump -lnni eth0 host <indirizzo_ip_target>  and proto ICMP
•    es: tcpdump -lnni eth0 host 196.43.172.19 and proto ICMP

In un altra sessione lanciate il traceroute di tipo ICMP

traceroute -I <indirizzo_ip>

Potete fare la stessa cosa con il traceroute di tipo UDP , ecco di seguito i comandi da lanciare per visualizzare i pacchetti inviati e ricevuti:
•    tcpdump -lnni eth0 host <indirizzo_ip> and proto ICMP or UDP
•    tcpdump -lnni eth0 host 195.43.172.18 and proto ICMP or UDP

Il comando da lanciare per quanto riguarda il traceroute di tipo UDP è semplicemente:

traceroute <indirizzo_ip>

Se volete vedere in dettaglio la struttura del pacchetto al fondo di tcpdump, aggiungete l’opzione -vv (very verbose).
Non sempre è possibile tracciare con precisione l’andamento del pacchetto, esiste allora la possibilita di usare il traceroute in modalità TCP. Cosi’ facendo, dove sono presenti firewall o filtri, è possibile bypassare il firewall che non permette risposta a pacchetti ICMP “EchoRequest”.
Di seguito il comando: di default il traceroute TCP usa come destination-port la porta 80.
traceroute -T -p 80 <indirizzo_ip>
Eccovi il comando per monitorare:
tcpdump -lnni eth0 host 195.42.172.18 and proto TCP or ICMP
Per ora ci fermiamo qui per quanto concerne l’utilizzo di traceroute, in uno dei prossimi tutorial parleremo di come bypassare eventuali firewall e capire quando siamo in presenza di un PAT o NAT.

2.1 ANALISI CON FIREWALL E PAT

Nel capitolo precedente abbiamo parlato di come fare Information Gathering, in una delle ultime sezioni si è analizzato l’utilizzo di Traceroute, invito chi non avesse letto il capitolo di andarsi a guardarare la parte attinente a TRACEROUTE (1.3) .
In questo capitolo cercheremo di capire come comportarci se incontriamo un Firewall ,come fare a svolgere un analisi attendibile e capire se ci troviamo in una situazione di Pat quindi quali sono i servizi esposti su internet e se vengono girati a macchine all’interno. Tutti questi dati ci saranno utili per quando utilizzeremo tecniche di Banner Grabbing in fase di enumerazione dei servizi (Service Identification).
Per poter capire il tutorial come si deve dovreste avere delle conoscenze di base sul TCP/IP , sui firewall e sui tools che utilizzeremo. Darò comunque una rapida spiegazione per quanto concerne l’uso specifico dei tools e una spiegazione sommaria delle varie tipologie di Firewall.

2.2 TIPI DI FIREWALL

Esistono molti tipi di Firewall, ma tendenzialmente hanno tutti lo stesso tipo di comportamento e si appoggiano sempre alle solite basi.
Un firewall, generalmente, ha più interfacce di rete e ha delle regole  che vengono impostate con l’ausilio di interfacce Web o da linea di comando.
Il firewall più diffuso è quello di tipo Packet Filter, spesso e volentieri anche integrato sui router a basso costo, questo tipo di firewall lavora al livello 3 e 4 della pila ISO/OSI , si sta quindi parlando del livello 3 che contiene IP – ICMP – IGMP e del livello 4 che comprende TCP/UDP .
Il firewall esegue delle analisi riferendosi al tipo di protocollo, alla porta di origine o di destinazione , all’indirizzo IP di origine o di destinazione e al tipo di Flag impostato sul protocollo TCP (SYN, RST,FIN,ACK).
A questa categoria di Firewall possiamo aggiungere i firewall Stateful che funzionano con lo stesso principio, ma in più hanno la capacità di tenere traccia delle connessioni, in pratica una volta che la connessione è stata aperta o verso l’interno o verso l’esterno, vengono aperte esclusivamente e dinamicamente le porte di cui si ha bisogno per mantenere la connettività.
Altro tipo di firewall diffuso, è quello chiamato Application-Layer-Firewall, come dice la parola stessa sono firewall che lavorano sia a livello di applicazione che a livello di Protocollo, questi firewall sono in grado di analizzare il Payload del pacchetto ossia il tipo di dato contenuto, mentre i firewall sopra lavorano solo a livello di intestazione.
Esistono anche dei firewall, molto diffusi, che lavorano in entrambi i modi , ossia Packet Filter e Application Layer e altri che lavorano a livello di interfaccia di rete.

2.3 APPROCCIO PRATICO

Quando non sono presenti firewall, con un normalissimo traceroute, anche di tipo ICMP, possiamo rilevare tutti gli hop che fa il pacchetto e  avere un idea precisa della struttura della rete.
Il problema si presenta se c’è un firewall , di seguito i comandi che potete utilizzare per fare i vari tipi di Traceroute:
In una sessione lanciate il tcpdump:

tcpdump -lnni eth0 host <indirizzo_ip_target> and proto ICMP -vv
es: tcpdump -lnni eth0 host 196.43.172.19 and proto ICMP -vv
In un altra sessione lanciate il traceroute di tipo ICMP:
Traceroute -I <indirizzo_ip>

Come avrete notato, è buona norma analizzare i pacchetti che passano, grazie a tali accorgimenti è possibile monitorare quello che succede ai pacchetti inviati e ricevuti.
Il traceroute che abbiamo utilizzato è di tipo ICMP, quello usato anche da windows, per fare quello UDP  basta non mettere il -I .

Monitoriamo cosa sta succedendo:

tcpdump -lnni eth0 host <indirizzo_ip_target> and proto ICMP
es: tcpdump -lnni eth0 host 196.43.172.19 and proto ICMP

I tipi di traceroute usati fino ad ora non hanno niente di particolare, però talvolta non funzionano, in quanto i router/firewall sono configurati per non rispondere alle richieste di tipo ICMP (echo request), per bypassare questo tipo di protezione bisogna fare un traceroute di tipo TCP, ossia diretto ad una porta di destinazione specifica (di default la 80) ,è anche molto importante che in fase di trace la porta di destinazione non incrementi (come capita nel traceroute di tipo UDP) .
Nella versioni nuove di traceroute è stata implementata la funzionalità di non icremento della destination port, tempi addietro era necessario farsi un piccolo calcolo per arrivare al target con la porta esatta.
Giusto per vostra conocenza il calcolo era:

NUMERO_PORTA = TARGET_PORT – (NUM_HOPS * NUMERO_TENTATIVI) – 1

Bisognava impostare come porta di avvio  il NUMERO_PORTA per arrivare al target con quel valore specifico di porta:

traceroute -p <numeroporta> <ip>

La versione da me utilizzata, compilata per Fedora 9 è la seguente:
Modern traceroute for Linux, version 2.0.12, Sep 17 2008
Sarà possibile ottenere il risultato voluto con un minimo sforzo delle dita:
traceroute -T -p 80 <indirizzp_ip>
Eccovi il comando per monitorare:
tcpdump -lnni eth0 host <ip_destinazione> and proto TCP or ICMP
Esiste un altro programma molto potente che permette di personalizzare di fino il vostro pacchetto, il suo nome è hping, per ottenere lo stesso risultato del traceroute precedentemente utilizzato il comando è il seguente:

hping -S -T -p 80 -t 1 <indirizzo_ip-destinazione>
-S=Syn
-T = modalità Traceroute
-p 80 = porta di destinazione
-t = il ttl

Monitorando il tutto, con il comando di seguito, avrete lo stesso risultato, sia per traceroute che per Hping:
tcpdump -lni eth0 host <indirizzo_ip_destinazione> and port 80

Andiamo ora a capire quando ci troviamo di fronte a un Pat:

Facciamo un piccolo esempio, ovviamente indirizzi Ip e porte sono inventati.

Prima di tutto dobbiamo localizzare un asset (bersaglio) ,supponiamo che il bersaglio abbia Indirizzo Ip 196.43.172.19.

N.B Attenzione, da qui in poi tutte le attività potrebbero essere loggate, in merito a questo, ricordo una piccola regola “Uno scan port è legale se ad esso non è seguita un azione di Hacking”.
Per essere più pratici, per chi conoscesse nmap, se fate uno scan port di tipo Verboso è già un azione di Hacking, uno scan di tipo Syn, potrebbe essere registrato , ma non siamo ancora nell’illegalità.

Eseguiamo una scansione di tipo Syn del nostro target, con il comando nmap:

nmap -sS 196.43.172.19
Eccovi l’output restituito:
PORT  STATE  SERVICE
20/tcp  filtered ftp-data
21/tcp  open ftp
22/tcp  filtered ssh
25/tcp  open  smtp
53/tcp  open domain
80/tcp  open  http
81/tcp open hosts2-ns
110/tcp open  pop3
443/tcp  open  https
3389/tcp open  ms-term-serv
4000/tcp open  remoteanything
5003/tcp open  filemaker

Senza addentrarci nello specifico e nel banner Grabbing, a noi interessa sapere quali sono i servizi che sono su quella macchina e quali invece sono forwardati ad altre macchine sulla Intranet, questo ci puo far capire se siamo in presenza di un firewall e a costruire così la struttura della rete dell’asset.
Il modo più semplice è quello di fare un ping di tipo TCP, con il flag SYN abilitato sulla porta specifica. Per fare questo utilizzeremo HPING.
Giusto per aiutarvi a capire come trovare rapidamente le opzioni da utilizzare con HPING, considerando il numero enorme di pagine del man, vi dò un suggerimento , usate una sintassi del tipo:

hping -help|grep <opzione>

Nel nostro caso , ci serve il flag SYN abilitato e specificare una destination port:

hping -help|grep SYN
[root@securebook ~]# hping -help|grep SYN
-S –syn  set SYN flag
E per la porta ?
hping -help|grep port
[root@securebook ~]# hping -help|grep port
-z –bind bind ctrl+z to ttl (default to dst port)
–force-icmp send all icmp types (default send only supported types)
-s –baseport base source port  (default random)
-p –destport [+][+]<port> destination port(default 0) ctrl+z inc/dec
-k –keep  keep still source port

Quindi a conti fatti il comando sarà del tipo:

hping -S -p 20 <indirizzo_ip>

Per non avere miliardi di risposte limitiamo il numero di pacchetti inviati, esiste l’opzione count, quindi:

hping -S -p 20 -c 1 196.43.172.19

E intanto analizziamo i pacchetti con tcpdump:

tcpdump -lni eth0 host 196.43.172.19 and port 20

Guardate cosa succede se pingo la porta 20, di seguito entrambi gli output:

Potrebbe essere un falso positivo ?

HPING 196.43.172.19 (eth0 196.43.172.19): S set, 40 headers + 0 data bytes
— 196.43.172.19 hping statistic —
2 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

Guardate l’output TCPDUMP:

[root@securebook ~]# tcpdump -lni eth0 host 196.43.172.19 and port 20

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:16:44.506467 IP 85.40.145.178.ttc-etap > 196.43.172.19.ftp-data: S 1321834748:1321834748(0) win 512
11:16:45.506554 IP 85.40.145.178.simslink > 196.43.172.19.ftp-data: S 1124503276:1124503276(0) win 512

Due pacchetti inviati nessuna risposta, cominciate a vederci qualcosa?

Prendiamo una altra porta , ad esempio la 21, stesso comando modificando la porta e guardate cosa succede:

hping -S -p 21 -c 1 196.43.172.19

[root@securebook]#hping -S -p 21 -c 2 196.43.172.19

HPING 196.43.172.19 (eth0 196.43.172.19): S set, 40 headers + 0 data bytes
len=46 ip=196.43.172.19 ttl=52 DF id=0 sport=21 flags=SA seq=0 win=5840 rtt=63.3 ms
len=46 ip=196.43.172.19 ttl=52 DF id=0 sport=21 flags=SA seq=1 win=5840 rtt=61.9 ms
— 196.43.172.19 hping statistic —
2 packets tramitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 61.9/62.6/63.3 ms
2 Pacchetti inviati con la risposta, quindi il servizio è su, vi chiedo qui di fare caso al ttl, che ha valore 52
Vi incollo anche il tcpdump:
[root@securebook ~]#tcpdump -lni eth0 host     196.43.172.19 and port 21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:24:14.356295 IP 85.40.145.178.trc-netpoll > 196.43.172.19.ftp: S 2145887059:2145887059(0) win 512
11:24:14.426030 IP 196.43.172.19.ftp > 85.40.145.178.trc-netpoll: S 3004206934:3004206934(0) ack 2145887060 win 5840 <mss 1420>
11:24:14.426067 IP 85.40.145.178.trc-netpoll > 196.43.172.19.ftp: R 2145887060:2145887060(0) win 0
11:24:15.356327 IP 85.40.145.178.jediserver > 196.43.172.19.ftp: S 1795588005:1795588005(0) win 512
11:24:15.419184 IP 196.43.172.19.ftp > 85.40.145.178.jediserver: S 3006843387:3006843387(0) ack 1795588006 win 5840 <mss 1420>
11:24:15.419229 IP 85.40.145.178.jediserver > 196.43.172.19.ftp: R 1795588006:1795588006(0) win 0

Prendiamo un altra porta , per esempio la 4000, comando identico, cambiando di nuovo la porta:

hping -S -p 4000 -c 2 196.43.172.19

HPING 196.43.172.19 (eth0 196.43.172.19): S set, 40 headers + 0 data bytes
len=46 ip=196.43.172.19 ttl=51 DF id=0 sport=4000 flags=SA seq=0 win=5840 rtt=62.3 ms
len=46 ip=196.43.172.19 ttl=51 DF id=0 sport=4000 flags=SA seq=1 win=5840 rtt=53.1 ms

Notate di nuovo il ttl , come vedete da 52 è passato a 51, cosa significa ???

Significa che siamo in presenza di un PAT, il servizio è su un altra macchina, probabilmente sulla intranet, quindi se riuscissi in qualche modo a entrare su tale macchina sarei dentro la rete.

Se avete letto il capitolo sull’Information Gathering, avevo scritto quanto segue:
Ogni volta che un pacchetto attraversa un router o dispositivo di rete il ttl diminuisce di almeno un secondo.
E se diminuisce di più? Potrebbe semplicemente o attraversare più apparecchiature di rete oppure essere molto lento.
Un tool che vi posso consigliare per il confronto dei TTL è unicornscan, eccovi un esempio di comando:

unicornscan -mT -p 4000-5003 196.43.172.19 -r 100

Guardate che carino l’output, ottimo da mettere in un vostro script:

[root@securebook ~]# unicornscan -mT -p 4000-5005 196.43.172.19 -r 100

TCP open  terabase[ 4000]  from 196.43.172.19  ttl 51
TCP open fmpro-internal[ 5003]  from 196.43.172.19 ttl 115

Penso che tutte le opzioni siano chiare, per completezza ecco la spiegazione:
-mT Utilizza il modulo TCP
-p la destination port
-r 100 numero di pacchetti inviati al secondo

Interrompo qui il tutorial e l’estratto del libro sperando di aver chiarito un minimo alcuni concetti base sicuramente necessari per eseguire analisi più approfondite.

Andrea Giampietro


  • 0

Attenzione al nuovo Cryptolocker

Questo non vuole essere un articolo di spiegazione sul funzionamento del virus ma un piccolo tutorial su come premunirsi, una volta che avrete preso il virus nella maggior parte dei casi sarà troppo tardi, quindi meglio prevenire che curare!!! Vi voglio spaventare? Assolutamente SI, se non agite in fretta potreste perdere i vostri dati!

In seguito a svariate comunicazioni dei produttori di Antivirus è di vitale importanza, per la salvaguardia dei vostri dati, prestare attenzione al nuovo CryptoLocker :

Nome: Trojan.Win32.CryptoLocker.B
Dimensione: 761856 byte
MD5: 7f3cc059ffc6c11fe42695e5f19553ab

A) Il virus arriva come allegato email, gli allegati si presentano solitamente con i seguenti nomi:

fattura.pdf.exe

love.zip

Enel.zip

Attenzione i nomi elencati non sono gli unici, difficilmente i documenti fiscali verranno inviati compattati, con formato .zip o .rar

Quindi, evitare assolutamente di aprire email con tali allegati, evitare in generale di aprire email da mittenti sconosciuti.

Se arriva un’ email non aprire direttamente l’allegato, salvare l’allegato (SENZA APRIRLO DIRETTAMENTE) ed eseguire a prescindere una scansione con il vostro antivirus (TASTO DESTRO DEL MOUSE SUL FILE) e esegui scansione (la dicitura cambia in base al vostro prodotto antivirus)

Molte varianti del Cryptolocker sono conosciute dai più comuni antivirus, in alcuni casi, è sufficiente per riconoscere la minaccia.

B) Il virus arriva anche come Link verso siti esterni, se vedete URL strani , ossia puntamenti a domini anomali...Evitare di cliccarci sopra, in quanto vi chiedono di scaricare allegati potenzialmente pericolosi. CHI VI MANDA UN EMAIL IMPORTANTE NON VE LA FARA’ SCARICARE CHISSA’ DA DOVE!!

C) Quando lanciate un eseguibile Windows vi chiede sempre se eseguirlo, se avete cliccato su un documento che vi chiede l’esecuzione del programma, ANDATE SUBITO SU NO. Nei file PDF questo non capita, lo stesso per i file Doc.

SE PRENDETE IL VIRUS

Prima di chiamare qualsiasi tecnico, staccate immediatamente il computer dalla rete, disattivate la connessione Wireless del vostro pc e spegnetelo immediatamente, in quanto  se siete un’azienda, il medesimo fà una ricerca di file all’interno della vostra rete e ne cripta il più possibile e i medesimi saranno nel 99% dei casi irrecuperabili.

Se non farete in fretta a staccare il pc dalla rete, anche i backup saranno inutili, in quanto sono potenzialmente attaccabili

COME ME NE ACCORGO SE HO PRESO IL VIRUS?

Purtoppo è più facile di quanto ci si possa immaginare, in tante vostre cartelle troverete 4 file in formati diversi che vi spiegano come fare per decriptare i file, il metodo è quello ovviamente di pagare il riscatto in denaro richiesto, CHE NON GARANTISCE LA DECRIPTAZIONE!!

File Presenti nella cartelle Windows

HELP_DECRYPT.HTML

HELP_DECRYPT.jpg

HELP_DECRYPT

HELP_DECRYPT.txt

Visto che esistono varie versioni del virus, i nomi possono cambiare per cui fate una ricerca in windows della parola DECRYPT

Tutto quello che potevate fare è stato fatto, ora chiamate nell’immediato chi vi assiste nelle questioni informatiche.

Nei prossimi tutorial, qualche metodo per rimuoverlo…Ma il problema reale non è quello, sono i file che avete perso.

 


  • 0

Corsi di Inglese online – Quale scegliere

Comincia, con questo primo articolo, il Blog di Open Informatica, è importante informare di quello che, dal nostro umile punto di vista, sono le scelte da fare quando ci si addentra nella moltitudine di servizi online che ormai ci invadono.

Un mio cliente mi ha semplicemente chiesto, ho bisogno di migliorare e fare un corso Online di Inglese che cosa mi consigli?

Quando ci si abbona a un servizio “Continuativo” è importante non incorrere in quelle che sono “le trappole”, del rinnovo automatico del Servizio, per dirla in parole semplici. Una volta che avete pagato la prima volta, è consuetudine, ormai di molti fornitori di servizio, fare in modo che alla scadenza dello stesso subito ci si ritrovi l’abbonamento riattivato e il consueto prelievo dalla carta di credito.

Non solo dalla carta di credito: Visa, Mastercard, ecc… anche da PayPal

I servizi migliori, dal nostro punto di vista,  sono:

BABBEL

https://it.babbel.com/

ABA ENGLISH

http://www.abaenglish.com/it/corso-inglese-online/

QUALI I VANTAGGI DI BABBEL

  1. Basso costo
  2. Lezioni ben strutturate divise per argomenti e livelli
  3. Facilità nel disabilitare il rinnovo automatico dell’abbonamento, direttamente dal proprio profilo Babbel

QUALI I VANTAGGI DI ABA ENGLISH

  1. Video introduttivo per ogni corso, a seconda del livello di studio
  2. Lezioni ben strutturale divise per argomenti e livelli
  3. Insegnante online a propria disposizione a cui chiedere in caso di dubbi.

SVANTAGGI DI BABBEL

  1. Nessu insegnante dedicato a cui fare domande
  2. Nessun video introduttivo su cui fare pratica

SVANTAGGI DI ABA ENGLISH

  1. Per disdire il rinnovo automatico necessita l’invio di un email a payments@abaenglish.com , sui vari forum, parecchie lamentele di disdetta non avvenuta
  2. Costi più alti di Babbel

CONSIGLI PER RISPARMIARE

Non è detto che vada cosi’ per tutti, però sappiate che se vi registrate e non effettuate subito l’acquisto, un paio di giorni dopo, probabilmente vi arriveranno delle email che vi notificano di un’offerta, io personalmente ho acquistato il corso di 6 mesi, pagando solo 3 mesi. Quindi non abbiate fretta!!!

CONCLUSIONI

Ritengo che entrambe le piattaforme siano ben fatte, estremamente navigabili e i corsi siano ben strutturati, sia per i principianti che per chi ha già una buona conoscenza della lingua, ciò non toglie che sia una cattivissima abitudine di chi offre SERVIZI ONLINE abilitare di default il rinnovo automatico. Invito comunque tutti, qualora ne abbiate l’esigenza, a provare entrambe le piattaforme, è possibile accedere e registrarsi gratuitamente e provare le prime lezioni. A voi la scelta. OCCHIO AL RINNOVO AUTOMATICO!!!


  • 0

Power Line – Valutazione e scelta

COSA SONO E COSA SERVONO LE POWERLINE

Immaginando di rivolgersi a un pubblico che non sà esattamente di cosa si parli, cominciamo con il descrivere cosa sono e cosa servono le Powerline
Le Power Line servono  a trasformare il vostro impianto elettrico in una normalissima rete cablata. Quindi sarà possibile collegare qualsiasi dispositivo, con una scheda di rete, al vostro router o Switch.

Lo scenario tipico è del tipo in figura, dove la Powerline1 è collegata ad una presa elettrica vicino al router ed è anche collegata via cavo Ethernet al medesimo, la Powerline2 è in un altra Location ed è collegata ad un Pc, il Nas (che può contenere dati di qualsiasi tipo, fra cui film) è collegato direttamente al router.

Tutti i dispositivi potranno comunicare fra di loro senza problemi e andare su Internet se necessario, al posto di un pc potrebbe esserci una Smart TV con un cavo Ethernet attaccato alla Powerline. In un contesto di Powerline la distanza massima concessa, attualmente,  è fra i 300 e 500 Metri

powerlineconf
POWERLINE O WIRELESS

Perchè usare le Powerline piuttosto che il Wireless, ci sono molti motivi tecnici e non, per non annoiarvi troppo riporto i principali.

1)    Le Powerline non producono ulteriori campi magnetici a casa vostra.
2)    La connessione via Powerline  (se non avete interferenze importanti sull’impianto elettrico)  è più stabile e meno soggetta a interferenze, per sganciare un Wireless classico a 2.4 GHZ, basta accendere un microonde.
3)    Un Wireless N, di velocità effettiva, se collegati con un scheda che supporti tale standard arriva al massimo ad una velocità di trasferimento di 195 Mb/Secondo (MegaBit al secondo) , quindi in una condizione di Super Performance (sinceramente mai vista) si parla di 23 MB/s (MegaByte al secondo)
Parlando di performance reali, se trasferite un file un po’ grande, via Wireless N, andrete al massimo a 6MByte al secondo, provare per credere, se siete vicini al Router e non ci sono ostacoli troppo fastidiosi.
Le Power Line invece, arrivano senza grossi problemi a 500 Mb/S, in parole povere significa che arriverete sulla carta a 60 MegaByte al secondo, in realtà fra una cosa e l’altra si arriva circa, nel caso di trasferimenti File a 12 MByte al secondo.
Questo chiaramente farà la differenza se dovete guardare un file MKV in streaming da una stanza all’altra della vostra casa, maggiore di 8,5 GB , con file di dimensioni fino a 5  GB circa con il Wireless N non c’è problema.

Per vostra cultura personale incollo una tabella che vi parla delle velocità teoriche del Wireless, a cui non arriverete mai….Evito di annoiarvi ancora con conti informatici, ma per avere un idea della velocità reale in MegaByte (quelli che vi fa vedere Windows quando trasferite i file per intenderci) , dividete per 8 la velocità tipica e poi ancora  a metà se avete un router non molto performante…

Wireless

 

 

 

 

 

 

 

 

 

QUANDO NON PRENDERE LE POWER LINE

Le Powerline sono assolutamente sconsigliate in aziende o case dove l’impianto elettrico è sottoposto a grosse variazioni di tensione e c’è una distanza supoeriore ai 300 / 500 metri in linea d’aria, per fare un esempio in una carrozzeria è assolutamente sconsigliato perché, facilmente, con l’accensione di dispositivi che richiedono forti amperaggi decadono le prestazioni di rete che sfruttano l’impianto elettrico  il segnale di rete potrebbe sparire completamente. In case normali grossi problemi non ce ne sono mai.

COME ATTACCARE LE POWERLINE

Evitare assolutamente le ciabatte, diminuiscono di molto le performance degli adattatori e la velocità di trasferimento si ridurrebbe di molto. Quindi qualora sia possibile attaccatele direttamente alla presa a muro e collegate il cavo Ethernet dalla Powerline al dispositivo scelto.

CONCLUSIONI ED ESPERIENZA PERSONALE – QUALI ACQUISTARE

Per motivi  ludici, in una struttura simile a quella nella figura sopra riportata,  ho testato due marchi differenti di Powerline, nello specifico i seguenti modelli:

TP-LINK 500 Mbps TL-PA511

tplink

 

 

 

 

 

 

 

NETGEAR POWERLINE 500 XAVB5221

netgearpo

 

 

 

 

 

 

 

 

 

In termini di velocità,  assolutamente equivalenti, anche i costi praticamente gli stessi, le Powerline Tp-Link  non filtravano molto bene il segnale, portando il pc a dei fortissimi rallentamenti  (parliamo di un I7) ,  la Cpu schizzava al 100% di utilizzo per ripulire quello che rimaneva di un frame Ethernet

Con le Powerline Netgear nessun problema, segnale pulito e nessun rallentamento sul pc, quindi consiglio le seconde che sembrano avere dei filtri migliori pulendo meglio il segnale, chiaramente la situazione potrebbe cambiare con impianti elettrici differenti.

Questo articolo non vuole essere assolutamente esaustivo sulle Powerline, ma solo una base da cui partire per cominciare a informarsi su questa tecnologia, sicuramente meno dannosa del Wireless e molto performante in determinati contesti, specie domestici.


Abbonami

* Questo campo è obbligatorio

Cerca

Seguici su Facebook

Questo sito utilizza cookie a scopo tecnico, analitico e profilante anche di terze parti. Chiudendo questo banner o proseguendo nella navigazione o selezionando un elemento della pagina, l’utente presta il consenso all’uso dei cookie. Maggiori Informazioni

Cosa sono i cookie

In informatica i cookie – letteralmente “biscotto” - sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server.
Nel dettaglio, sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un Browser) e poi rimandati indietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stesso dominio web.

Tipologie di cookie

Cookie tecnici
Sono cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web, permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate o di settare alcune preferenze sul sito web e ritrovarle settate al prossimo accesso.
Senza il ricorso a tali cookie alcune operazioni sul sito potrebbero non essere possibili o potrebbero essere più complesse e meno sicure.
Cookie di profilazione
Sono cookie utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati.
Cookie di terze parti
Sono cookie installati da siti differenti da quello sul quale si sta navigando generalmente a scopo di profilazione oppure per attivare specifiche funzionalità (ad esempio i cookie installati per i social plugins).
In tali casi, tuttavia, il Titolare del trattamento dei dati personali acquisiti tramite questo sito internet è esente da qualsiasi forma di responsabilità in tal senso posto che l’operatività di tali cookies rientra nella piena ed esclusiva responsabilità di società terze.

Per garantire una maggiore trasparenza e comodità, si riportano qui di seguito gli indirizzi web delle diverse informative e delle modalità per la gestione dei cookie.
Facebook informativa: https://www.facebook.com/help/cookies/
Facebook (configurazione): accedere al proprio account. Sezione privacy.
Twitter informative: https://support.twitter.com/articles/20170514
Twitter (configurazione): https://twitter.com/settings/security
Linkedin informativa: https://www.linkedin.com/legal/cookie-policy
Linkedin (configurazione): https://www.linkedin.com/settings/
Google+ informativa: http://www.google.it/intl/it/policies/technologies/cookies/
Google+ (configurazione): http://www.google.it/intl/it/policies/technologies/managing/

Google Analytics
Il sito include anche talune componenti trasmesse da Google Analytics, un servizio di analisi del traffico web fornito da Google, Inc. (“Google”). Anche in questo caso si tratta di cookie di terze parti raccolti e gestiti in modo anonimo per monitorare e migliorare le prestazioni del sito ospite (performance cookie).
Google Analytics utilizza i “cookie” per raccogliere e analizzare in forma anonima le informazioni sui comportamenti di utilizzo del sito (compreso l’indirizzo IP dell’utente). Tali informazioni vengono raccolte da Google Analytics, che le elabora allo scopo di redigere report per gli operatori riguardanti le attività sui siti web stessi. Questo sito non utilizza (e non consente a terzi di utilizzare) lo strumento di analisi di Google per monitorare o per raccogliere informazioni personali di identificazione. Google non associa l’indirizzo IP a nessun altro dato posseduto da Google né cerca di collegare un indirizzo IP con l’identità di un utente. Google può anche comunicare queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google.
Per ulteriori informazioni, si rinvia al link di seguito indicato:
https://www.google.it/policies/privacy/partners/

Conferimento dei dati
Fatta eccezione per i cookie tecnici strettamente necessari alla normale navigazione, il conferimento dei dati è rimesso alla volontà dell’interessato che decida di navigare su questo sito dopo aver preso visione dell’informativa breve contenuta nell’apposito banner e di usufruire dei servizi che comportano l’installazione di cookie.
Chiudendo il banner o proseguendo nella navigazione o selezionando un qualsiasi elemento della pagina, l’utente presta il consenso all’utilizzo di tutti i cookie presenti sul sito (inclusi quelli di terze parti) e il suo consenso viene memorizzato in un apposito cookie tecnico in modo che il banner non venga più visualizzato durante i futuri accessi al sito.
Come disattivare i cookie
Attraverso le impostazioni del proprio Browser è possibile rifiutare tutti i cookie o permettere l’installazione di cookie provenienti solo da alcuni siti scelti. Il blocco di tutti i cookie potrebbe inficiare il corretto funzionamento di alcune funzionalità dei siti che si visitano.
Queste le istruzioni per disattivare / attivare i cookie nei principali Browser:
• Google Chrome: https://support.google.com/chrome/answer/95647?hl=it
• Mozilla Firefox: https://support.mozilla.org/it/kb/Attivare%20e%20disattivare%20i%20cookie
• Apple Safari: https://support.apple.com/kb/PH17191?locale=it_IT
• Microsoft Internet Explorer: http://windows.microsoft.com/it-it/internet-explorer/delete-manage-cookies#ie=ie-11
• Apple Safari su iOS: https://support.apple.com/it-it/HT201265
• Google Android: https://support.google.com/chrome/answer/2392971?hl=it-IT
Come cancellare i cookie
Attraverso le impostazioni del proprio Browser è possibile cancellare tutti i cookie salvati sul proprio dispositivo.
Queste le istruzioni per cancellare i cookie (o solo alcuni di essi) nei principali Browser:
• Google Chrome: https://support.google.com/chrome/answer/95647?hl=it
• Mozilla Firefox: https://support.mozilla.org/it/kb/Eliminare%20i%20cookie
• Apple Safari: https://support.apple.com/kb/PH17191?locale=it_IT
• Microsoft Internet Explorer: http://windows.microsoft.com/it-it/internet-explorer/delete-manage-cookies#ie=ie-11
• Apple Safari su iOS: https://support.apple.com/it-it/HT201265
• Google Android: https://support.google.com/chrome/answer/2392709?hl=it

Per completezza si informa l’utente che è possibile avere informazioni sui cookie archiviati sul proprio terminale e disattivarli singolarmente decidendo di accettarli solo da parte di alcune società cliccando sulla risorsa Your Online Choices raggiungibile dal seguente link: http://www.youronlinechoices.com/it/le-tue-scelte.

Chiudi