L’Etag è un identificatore univoco generato dal server quando un client richiede una risorsa. Viene utilizzato per determinare se la versione della risorsa è aggiornata, consentendo al client di recuperare la versione dalla cache e risparmiare traffico e tempo di download.

Tuttavia, l’Etag può essere utilizzato anche come strumento di tracciamento. Può contenere informazioni sul server, come l’indirizzo IP, l’ora o un hash. Ciò significa che se si richiede la stessa risorsa da diversi servizi Tor nascosti appartenenti allo stesso server, il client può ricevere lo stesso Etag, rivelando così il vero indirizzo IP del server.

Un articolo su Medium ha dimostrato come sia stato possibile rivelare l’indirizzo IP del servizio Tor utilizzato dal ransomware RagnarLocker. Utilizzando strumenti come curl e torsocks per confrontare gli Etag, è stato possibile identificare l’indirizzo IP del server. Tutti gli Etag risultavano identici e contenevano un hash dell’indirizzo IP del server, che ha permesso di determinarne l’indirizzo e la posizione reale.

Secondo lo studio, il gruppo di ransomware RagnarLocker aveva attaccato la società di videogiochi Capcom, affermando di aver rubato un terabyte di dati. Non avendo pagato il riscatto, Capcom ha visto 67 GB di dati rilasciati nel Dark Web.

Il sito contenente i dati trapelati forniva solo un collegamento e non i file stessi. Invece, è stato fornito un indirizzo Onion speciale per l’archiviazione dei file. I file sono stati divisi in più parti e inseriti in un indirizzo Onion che iniziava con “t2w…”.

Di solito, nella ricerca dell’indirizzo IP di origine di un sito nel Dark Web, vengono controllati il codice sorgente del sito, il certificato SSL, le intestazioni di risposta, ecc., al fine di ottenere informazioni univoche e servirsi di strumenti di scansione come Shodan, Censys e altri. Nel caso in questione, le intestazioni di risposta sono state controllate e analizzate nello studio, il quale ha identificato l’indirizzo IP di origine: 5.45.65.52.

Successivamente, l’indirizzo IP 5.45.65.52 è stato menzionato in un rapporto dell’intelligence dell’FBI, che affermava che tale indirizzo era stato utilizzato come server per ospitare i dati compromessi di Capcom.

Questo metodo può essere utilizzato sia dagli aggressori per deanonimizzare utenti e fornitori di servizi nascosti Tor, sia dalle forze dell’ordine nella lotta contro le attività illegali.

Tuttavia, ci sono modi per proteggersi da questa vulnerabilità, come disabilitare l’Etag sul server

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Dark web non più oscuro: scoperto un metodo per rilevare gli indirizzi IP dei server Tor anonimi sembra essere il primo su .

Consente quindi di mettersi in ascolto dei dispositivi wifi nelle vicinanze (che non sono connessi) e che cercano di utilizzare la loro cronologia di reti conosciute divulgandole nell’etere. Tutti i nomi delle reti (SSID) sono quindi facilmente rilevabili e i loro metadati utilizzati per ricerche OSINT.

Installare MACTrack

Il software è disponibile su GitHub qui: https://github.com/Cacti/plugin_mactrack

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Mactrack: Open Source Intelligence (OSINT) sfruttando i beacon wifi sembra essere il primo su .

Ho pensato quindi di scrivere una breve checklist di controllo per capire il grado di esposizione che un utente può avere dopo l’apertura di una mail sospetta o palesemente di spam.

Anzitutto bisogna precisare che non esiste alcuna possibilità di ricevere un virus, malware o ransomware semplicemente aprendo una mail ma, bisogna precisare che per “mail aperta” si intende la sola visualizzazione del testo della stessa mail su web client (es. Gmail) o programma di posta (es. Thunderbird, Outlook ecc).

Si corrono invece dei rischi notevoli qualora, in una mail sospetta si sia intrapresa una di queste azioni:

• Apertura di un allegato eseguibile con estensione tipo .ISO .EXE, .BAT, .PIF o comunque con estensione diversa da quelle comunemente inviate come un PDF o un JPEG. In questo caso molto probabilmente abbiamo dato vita all’esecuzione di un virus potenzialmente “letale” per il nostro PC o per la nostra Privacy in quanto, solitamente, con questi allegati vengono inviati virus complessi che possono prendere in ostaggio i nostri file (ransomware), spiare tutto ciò che facciamo sul PC e carpire informazioni sensibili (malware) o attivare una procedura che acquisisce la nostra rubrica mail ed utilizza il nostro client di posta per mandare a tutti i nostri contatti ulteriori mail con il virus all’interno e che avranno come mittente il nostro indirizzo di posta
• Apertura di un allegato di tipo documento di testo come .DOCX ed alla sua apertura è comparso un messaggio che richiede di consentire l’esecuzione di MACRO. In questo caso abbiamo consentito all’esecuzione di un programma che, in modo subdolo, può effettuare molteplici operazioni ai nostri danni, molte delle quali citate al punto precedente.
• Click su link nel corpo del messaggio. Se abbiamo fatto click sul link presente nel messaggio della mail sospetta, molto probabilmente siamo arrivati ad un sito che è identico ad un altro di nostra conoscenza (sito della banca o posta, provider di email e servizi vari). In questo caso siamo oggetto di attacco di tipo phishing e tutte le informazioni che inseriremo sul sito falso (credenziali, numero carta di credito ecc) saranno utilizzate dagli attaccanti contro di noi per operazioni illecite di diverso tipo.

Se hai fatto anche una di queste tre azioni presentate, il mio consiglio è:

• Scollegare immediatamente il PC dalla rete internet, meglio fisicamente qualora il collegamento sia via cavo.
• Se il computer comincia ad essere lento oppure si sentono le ventole accelerare vertiginosamente, spegnere immediatamente il PC agendo direttamente sul pulsante fisico di accensione fin quando non si spegne. Successivamente rivolgersi ad uno specialista per evitare perdita di dati.
• Se non avviane quanto discusso nel punto precedente, effettuare una scansione con un buon anti virus o un anti malware e in caso effettuare la pulizia del PC.
• Se invece ci siamo accorti di essere entrati in un sito contraffatto, cambiamo immediatamente le password delle credenziali che abbiamo inserito sul sito o, nel caso in cui abbiamo inserito i codice della carta di credito, chiamiamo immediatamente il nostro fornitore della carta e chiediamo un blocco immediato di tutte le transazioni.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Ho aperto una mail sospetta sembra essere il primo su .

Questo è un errore o meglio un avvertimento generato dal browser che ci avvisa che qualcosa non va con il certificato di sicurezza del sito che stiamo tentando di aprire.

Questo può accadere per molteplici problemi che non sono oggetto di questa trattazione mentre, vogliamo focalizzarci un metodo nascosto per aggirare il problema quando siamo sicuri che visitando il sito non avremo ripercussioni sulla sicurezza.

Fino a qualche tempo fa infatti, era possibile aggirare l’errore cliccando su “Avanzate” e poi su “Procedi al sito dominio.com”.

Ora Chrome ha inasprito la sicurezza togliendo questa possibilità che è stata però mantenuta in modo più occulto.

E’ possibile aggirare l’errore NET::ERR_CERT_INVALID quindi continuare la navigazione sul sito digitando semplicemente le stringhe: “badidea” o “thisisunsafe” .

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo NET::ERR_CERT_INVALID Badidea e thisisunsafe sembra essere il primo su .

Nella videosorveglianza digitale e, soprattutto quando parliamo del colosso Hikvision, i problemi sono più difficili. Nelle prime versioni di telecamere ad IP infatti, esisteva un tastino di reset fisico sul dispositivo che diventava fondamentale in casi di password dimentica.

Oggi invece, se si perde la password delle telecamere Hikvision, la procedure è molto onerosa in termini economici. Bisogna infatti utilizzare un software (SADP) in grado di scansionare i dispositivi sulla rete, generare un file xml con i numeri seriali degli apparati e, dopo aver pagato una somma tra i 30 e 40 € a camera, la casa produttrice ci invia delle password provvisiorie con cui accedere ai dispositivi.

Questa operazione mi è risultata molto antipatica in quanto emerge come il proprietario delle Videocamere IP Hikvision non sia proprietario a tutti gli effetti dei suoi dispositivi ma debba ricorrere alla casa madre in casi in cui si sia nelle disponibilità fisiche dell’apparato ma si sia dimenticata la password.

Come fare il reset delle IP Camera Hikvision

Dopo quanto sopra scritto, ho pensato: “Come fa Hikvision a fornirmi una password provvisoria pur non avendo accesso alle videocamere?”.

La risposta logica, pur non potendo conoscere il software che regolano le IP Camera è che queste dispongono di due credenziali di accesso:

• una fornita dal possessore in fase di prima installazione
• una a cui la telecamera possa rispondere indipendentemente dalle impostazioni dell’utente

Prendendo in analisi l’ultima opzione ho pensato che Hikvision potesse avere una backdoor ovvero una porta nascosta sui dispositivi che consentono alla casa produttrice di poter in qualche modo intervenire sui dispositivi da remoto. Questa teoria è stata supportata da un recente episodio di giornalismo investigativo del programma Report che trovate qui .

Poichè Hikvision richiede il seriale della telecamere e avverte che il reset può avvenire solo il giorno stesso della richiesta mi è venuta un’idea: “Possibile che le videocamere Hikvision abbiano una password dinamica formata da serial number e data odierna?”

Mi sono quindi messo all’opera cercando di operare su questi due fattori applicando degli algoritmi di hashing che partendo dalla stringa “Serial+Anno+Mese+Giorno” generano una password giornaliera per accedere alle IPCamera.

E’ quindi possibile effettuare il reset della password di IP Camera Hikvision utilizzando questo approccio che potete comodamente trovare in un software intuitivo qui.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Reset Password Hikvision IP Camera violando la Backdoor sembra essere il primo su .

Che cos’è un indirizzo IP (Internet Protocol)?

L’indirizzo IP è paragonato spesso alla targa delle auto in quanto rappresenta una serie di numeri che identificano una rete di Computer o un dispositivo singolo qualora parlassimo di reti locali.

Supponiamo che un computer A deve comunicare con un computer B questo avverrà perchè il computer A invierà dei pacchetti di informazioni ad un ricevente che ha come indirizzo IP unico es. 89.168.25.25.

Gli indirizzi IP vengono venduti a blocchi ai vari gestori di rete che li riutilizzo in vendita con i loro servizi. Ad esempio, una grossa azienda, può essere fornita dagli indirizzi ip:

89.168.25.0 – 89.168.25.255

Questo vuol dire che l’azienda dispone di 255 indirizzi IP anche se in realtà, il primo 89.168.25.0 e l’ultimo non sono assegnabili in quanto utilizzabili per altri scopi 89.168.25.255.

Conoscere l’indirizzo IP pubblico di un’azienda o di un ente è cosa quasi sempre facile.

Baserà quindi aprire un prompt dei comandi e digitare:

ping www.sitodaesplorare.com

Otterremo quindi delle informazioni del tipo:

root@Rugged:~# ping www.sitodaesplorare.com
PING esempio.com (195.210.124.1xx) 56(84) bytes of data.
64 bytes from opus.provider.it (195.210.124.1xx): icmp_seq=1 ttl=243 time=35.6 ms
64 bytes from opus.provider.it (195.210.124.1xx): icmp_seq=2 ttl=243 time=35.0 ms
64 bytes from opus.provider.it (195.210.124.1xx): icmp_seq=3 ttl=243 time=36.3 ms
--- esempio.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 35.035/35.678/36.359/0.541 m

Questo risultato ci dirà quale indirizzo IP corrisponde al sito che abbiamo richiesto (nell’esempio: 195.210.124.1xx ).

Adesso che abbiamo l’indirizzo IP vogliamo conoscere tutto il range affidato allo stesso blocco di indirizzi IP. A questo fine, esistono diversi metodi, ma il più semplice e intuitivo, è servirsi del sito: http://ipv4info.com/

Nell’esempio sopra, lo strumento ci dirà indirizzo IP di partenza e IP di fine del blocco che comprende l’IP che abbiamo cercato. In questo caso è un blocco di 32 indirizzi IP che appartengono ad una determinata organizzazione con una sua location.

Partendo quindi da queste informazioni, possiamo effettuare una scansione sull’intero pacchetto di IP e vedere che tipo di servizio corrisponde ad ognuno.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Trovare indirizzi IP rete locale per pentester sembra essere il primo su .

Capire quindi come viene hackerato un sito wordpress, ci aiuterà quindi a capire come difenderci adottando le giuste contromisure cercando quindi di limitare le intromissioni al sistema.

Vediamo quindi come attaccare un sito WordPress.

N1: Capiamo se il sito è realizzato con WordPress.

Come primo passaggio, dobbiamo capire se il sito Target utilizza wordpress o meno e per farlo possiamo provare a inserire la url wp-admin subito dopo il nome a dominio per verificare che ci venga restituita la pagina di login di amministrazione.

Un altro metodo più “professionale” è quello di utilizzare WpScan, applicativo pre installato su Kaly Linux.

Diamo quindi il comando

wpscan --url www.sitotarget.xxx

N2 Scoprire il nome utente di Admin con Burpsuite

Questa è una delle parti difficili ovvero scoprire il nome utente di amministrazione di WordPress. Per trovarlo utilizziamo la suite burpsuite dando come comando:

sudo burpsuite

Creiamo quindi un nuovo progetto temporaneo utilizzando i valori predefiniti Burp. Passiamo quindi alla scheda Target -> Scope e facciamo clic su Aggiungi per includere il sito target.

Successivamente, andiamo al menu Preferenze di Firefox e scorriamo fino in fondo trovando Proxy di rete. Fare clic su Impostazioni.

Selezionare quindi la Configurazione proxy manuale e inserire l’IP 127.0.0.1 e la porta 8080. Spuntare “Usa questo server proxy per tutti i protocolli”. Fare clic su OK.

Torniamo quindi su Burpsuite ed  apriamo la scheda Proxy. Ora torna alla pagina WP-Login. Immettere un nome utente e una password casuali e fare clic su Accedi. 

Dopo aver fatto clic su login, torna a Burpsuite e guarda l’output.

La parte che ci interessa sarà quella costituita da:

log=tizio&pwd=caio&wp-submit=Log+In&redirect_to=http%3A%2F%2Fsitotarget.xxx%2Fwp-admin%2F&testcookie=1

Ora abbiamo qualcosa che possiamo da dare in pasto a Hydra.

N 3 : trovare un dizionario di nomi utenti per WordPress

Ora dovremo crearci un file dizionario contenente possibili credenziali. Si può utilizzarne uno già preesistente (come questo: https://crackstation.net/crackstation-wordlist-password-cracking-dictionary.htm) o generarlo in base ad uno studio sul target.

N 4 – Bruteforcing  Usernames con Hydra

Giunti a questo punto possiamo utilizzare Hydra per effettuare un attacco bruteforcing alle credenziali WordPress.

Apriamo quindi un finestra di terminale e diamo un:

hydra -V -L dizionario.txt -p whatever 192.168.1.1 http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log:F=Invalid username'

Analizziamo il comando appena dato:

• -V – Verbose mode
• -L – Il nostro elenco nomi dizionario.txt
• -p whatever – La password, non ci interessa, perché vogliamo scoprire il nome utente
  • http -post-form – Il tipo di attacco di forza bruta che vogliamo eseguire
  • /wp-login.php – Il percorso della pagina di accesso a WordPress
  • log = ^ USER ^ & pwd = ^ PASS ^ & wp-submit = Log + In – I valori che verranno inviati al modulo, dove ^ USER ^ e ^ PASS ^ sono le variabili che verranno prese dal nostro dizionario

Lanciato il comando, Hydra comincerà il suo attacco di forza bruta su WordPress testando tutte le parole presenti nel file dizionario. Se questa è contenuta all’interno del file allora avremo trovato la nostra username.

N 5 : Attacco a forza bruta della password di WordPress

Una volta individuata la username, effettuiamo ora l’attacco a forza bruta sulla password utilizzando sempre Hydra:

wpscan --url http://sitotarget.xxxx/wp-login.php --passwords /usr/share/wordlists/password.txt.gz --usernames admin --wp-content-dir http://sitotarget.xxxx/wp-login.php

Al termine di questa operazione dovremmo aver trovato anche la password di WordPress e quindi ci sarà consentito l’accesso all’interno sistema.

Disclaimer

La guida appena mostrata è da ritenersi a puro scopo didattico effettuato su siti web di cui si dispone della proprietà.

Se non conosci WpScan, puoi trovare un articolo qui: https://simonetocco.it/penetration-testing-scann-wordpress-vulnerability/

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Attaccare un sito WordPress: Hackerare e Bucare WordPress con wpscan sembra essere il primo su .

L’applicativo che analizzeremo, si chiama LaZagne Project disponibile sia per Windows che per Linux. E’ in grado di recuperare le password memorizzate di circa 22 programmi tra cui browser, applicativi FTP, Skype, reti wireless ecc.

Questo software vi tornerà molto utile qualora abbiate perso delle password all’interno di qualche applicativo oppure nel caso in cui vi occupiate di informatica forense.

Come si Usa LaZagne Project

Anzitutto dobbiamo dotarci quindi scaricare l’applicativo ai link GitHub:

LaZagne per Windows

LaZagne per Linux

una volta scaricata la versione di nostro gradimento, dovremo eseguire il file

laZagne.exe

per la versione Windows oppure

./LaZagne-32bits

per la versione Linux.

Di default, il software stamperà a video i moduli utilizzabili specifici per ogni software di cui vogliamo trovare le password. Oppure, possiamo specificare di fare una scansione utilizzando tutti i moduli con il parametro All

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Trovare password memorizzate nel pc Windows e Linux sembra essere il primo su .

Installazione di Ghost Framework

Per installare Ghost, facciamo riferimento al repository GIT al seguente link: https://github.com/EntySec/ghost

Una volta scaricato, possiamo installare il framework con i seguenti comandi shell:

cd ghost

chmod +x install.sh

./install.sh

Avviare Ghost Framework

Dopo aver effettuato la sua installazione sarà sufficiente avviarlo utilizzando il comando:

ghost

Esempio di Accesso ad un dispositivo Android con visualizzazione come esempio della memoria interna. Disclaimer: il seguente esempio è eseguito su dispositivo di esempio. Ogni utilizzo su dispositivo senza autorizzazione è una grave violazione legale.

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Ghost Framework: accesso remoto ai dispositivi Android sembra essere il primo su .

Può essere installato sommariamente in due modi:

• remoto: inviando un SMS per adescare la vittima dove al suo interno è presente un link che rimanda all’installazione dell’applicativo.
• fisicamente: avendo lo smarphone in possesso, l’attaccante può installare direttamente il trojan all’interno del PC da monitorare

Come difendersi da Trojan Intercettazioni

Ci sono due tipi di difesa dai Trojan intercettazioni: quello preventivo e quello attivo.

• Quello preventivo consiste fondamentalmente nel corretto uso dello smartphone, ovvero, nell’evitare di cliccare su link all’interno di messaggi cui fonte non è verificata.
• Verificare se il nostro smartphone sia infetto da un trojan di intercettazioni non è certamente una cosa semplice perché questi programmi sono studiati per lavorare in background ovvero senza dare alcun segnale visivo all’utente. Inoltre alcuni trojan vengono installati a livello di root, pertanto, anche ripristinando il dispositivo non risolveremo il problema. Ci sono però dei sintomi che ci potrebbero lasciar presagire che il nostro smartphone è stato infettato:
  • Minore durata della batteria
  • Surriscaldamento del dispositivo a riposo
  • Riavvi dello smartphone senza richiesta.
  • Maggiore utilizzo della connessione dati

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Trojan Intercettazioni: come difendersi sembra essere il primo su .