• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida Teoria e pratica - sniffing, account engineering e wireshark, come funziona, cos'è?

Adenocromo

Utente Normale
Autore del topic
16 Agosto 2010
66
0
Miglior risposta
0
Buona sera,
dopo il mancato rilievo della scorsa guida - mea culpa :look: - ho pensato di lavorare su qualcos'altro, tanto per delucidarvi la memoria, e in fin dei conti spolverare anche la mia, dato che non metto mano su certi argomenti da un po'. Come mio solito le guide verranno suddivise, per il bene di tutti, in teoria e pratica, così da capirci qualcosa senza avere fin da subito il delizioso piatto già pronto.

Uno degli argomenti più tristemente discussi, e oserei dire stuprati, degli ultimi cinque anni sulla rete è stato quello dell'account engineering, che io inserirei immediatamente nel ramo del cracking, in quanto si discosta assolutamente dai più famosi social engineering e reverse engineering.

Iniziamo con la teoria. - Ci occuperemo della spiegazione "sintetica" delle varie operazioni e attacchi informatici.

"Quindi, cos'è l'account engineering? Si tratta di un attacco sociale, quindi destinato ad una determinato studio informatico, che si sofferma sui bug e sugli errori di piattaforma che sempre, o comunque spesso, il sistema tralascia. Un po' come un exploit basato sul p2p che, una volta inviato, recepisce un tot di informazioni valide a confermare che quel sito è vulnerabile a quel genere di errore.

Dove sta la differenza nell'inviare un exploit? L'unica differenza sta nel fatto che un exploit è, appunto, un semplice attacco, un cancro che una volta inviato inizia a scalfire pian piano l'intera sicurezza, al fine di confondere le tracce e mettere in evidenza alcune falle nel sistema attaccato. Mentre un attacco fondato sulla meccanica dell'account engineering è capace di usare, mediante lo studio del linguaggio usato dal provider, più attacchi contemporaneamente così da rinchiudere tutti i limiti di tempo e riuscire a scalfire le massime frange di sicurezza. Ad esempio: un exploit non riuscirebbe a conformare e incatenare la protezione che facebook ha impostato per salvaguardare le password. Mentre un attacco sociale , se ben strutturato, può bucare senza alcun dubbio la sicurezza di molte piattaforme sociali.

Funziona mediante cosa questo genere di attacco? Rispondere a questa domanda non è semplice come si pensa, in quanto un attacco simile possiede più versi di studio programmato, e più versi di studio "automatico", e premetto che esistono davvero pochi software capaci di deliziarci con interfacce sensibili ai nostri comandi, e il nostro compito è, purtroppo, quello di interagire quanto più con i comandi che con gli automi già predisposti a fare qualcosa. Questo genere di attacco funziona mediante un invio di più shellcode - qui lascia trapelare che molti di questi programmi sono scritti in assembly - che, sfruttando la capacità della ram, riescono a progettare autonomamente script incentrati ad elasticizzare la vulnerabilità del sito.

Come dovrei iniziare? Questo lo spiegherò meglio più avanti, quando parlerò della pratica , ma inizierei con l'indirizzarmi su un sito con piattaforme un po' più vecchiotte e meno aggiornate, - apache 2.1.2, freeBSD 5.0, Unix - così da avere maggiore probabilità di bucare il server. Ma sinceramente in questa guida offrirò spiegazioni pratiche su sistemi di sicurezza più odierni, senza andare a parare a vecchie guide già dapprima ricalcate su exploit e vari.

Punti di riferimento, conoscenze primarie? Come "punti di riferimento" io uso quasi sempre un wordpad aperto dove scrivo man mano i passi che faccio durante le operazioni così da non perdere il filo e se qualche volta vado in confusione torno indietro. E per le conoscenze, è ovvio che un bel po' di sapere generico in ambito informatico serva, oltre che una media comprensione dell'html.

Sniffing, cos'è? Ne parlai, anche se non profondamente, nella scorsa guida. Lo sniffing è, nell'accezione più estesa, l'operazione di intercettare mediante un sistema di controllo pacchetti (ne parleremo), il traffico di una rete o di una piattaforma susseguendosi ad una completa analisi del trasporto, al fine di introdursi nelle informazioni altrui, che siano private o meno. E' un metodo legale se usato per scopi finalizzati alla sicurezza, illegale se diventa una metodologia per scopi illegittimi."

Iniziamo con la pratica. - Ci occuperemo di, restando nei limiti legali, acciuffare dati protetti in un traffico di pacchetti.

1. Software e meccaniche. usiamo un programma già recensito nella scorsa guida, "wireshark", ottimo per lo sniffing e per la memorizzazione dei pacchetti analizzando il traffico altrui. Lo scarichiamo gratuitamente da qui:
Perfavore, Entra oppure Registrati per vedere i Link!



2. Installiamo e apriamo il software. iniziamo con il setting network, così da usare al meglio la nostra scheda di rete.
FCIinterfacelHfP.jpg

3. Impostiamo il tutto, seguendo le proporzioni della nostra scheda. Andiamo su "interface list" e poi su "options".
Come nella foto, cecchiamo le tre opzioni.
UR9Immaginek39.jpg

4. Torniamo su "interface list", dalla homepage, e cecchiamo la nostra scheda ethernet. (Quella con più pacchetti.)
Y62pacchettiEjT.jpg

6. Clicchiamo su "start" e vediamo di non confonderci. Seguendo tutto per bene si può arrivare ad una scienza esatta del traffico in rete. Troviamo "no." , che sta ad identificare il numero di aggiunta. Dopodiché troviamo "time" che azzera automaticamente i dati, proxandoli. Troviamo "source", che raggiunge l'IP dove i dati sono aggiunti. (C'è un "192.168.0.5", ossia il mio router.) Troviamo anche "destination", che specifica dove i dati sono inviati e avanti troviamo "protocol", forse la cosa più importante. Ci aiuta a capire a quale protocollo, appunto, appartiene il traffico dati. Dopodiché troviamo la lunghezza e le informazioni che al momento non servono.
8tsImmafsaginZoi.jpg

7. Filtriamo la rete. Apriamo il programma, andiamo sulla barra del cerca, in "filter" e scriviamo "http"e premiamo invio. Così da concentrare la ricerca su un unico filtro. L'http è, come sappiamo tutti, la radice di ogni piattaforma in rete.
5vBfsafazWo.jpg

8. Intercettiamo e analizziamo il traffico. Dobbiamo, prima di tutto, intervenire con una loginpage. Quindi entriamo su facebook o su youtube, inseriamo il nostro nome utente e la nostra password. Torniamo sul programma e stoppiamo il tutto.
vrQfsafajpgk9E.jpg

9. Il nostro nome utente e la nostra password. Una volta stoppata l'analisi dovremmo trovare, tra i tanti protocol http il dato che si accomuna più alla nostra operazione. Se troviamo una riga con su scritto "facebook" o anche "fb" clicchiamo col destro su "follow UDP stream". Giriamoci per bene tutto il codice e troveremo, in basso, il nostro nome utente e la nostra password. Dico "nostri" poiché intercettare il traffico altrui è illegale, ma con un po' di logica si arriva facilmente a capire come fare.
fSYudpstreamTA7.jpg

10. Limiti legali e scopi illeciti. Lo sniffing può essere usato, come ho già detto in precedenza, per scopi legittimi e scopi illeciti, questa guida è, obbligatoriamente, costretta a spiegarvi come marciare sulla retta via, poiché inserire qualcosa che superi le norme legali fungerebbe da amo per la polizia postale, o almeno penso.. ma comunque, questo è il metodo più efficace per intercettare il proprio traffico e, nella maniera più larga, il traffico altrui. Con un po' di sostanza e logica arriverete a comprendere come fare qualcos'altro, sempre restando sulla curiosità. (Come no.)

Spero vi sia stata d'aiuto... anche se non penso qualcuno leggerà 'sto mattone, com'è già capitato. :soso: Mi sono divertito, buona giornata e perdonate la confusione.
 
Ultima modifica:
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Una cosa davvero utile ;)
L'ho letta tutta anche se c'e voluto tempo per capire bene.
è tutto spiegato chiaramente e con dettagli.
Bravissimo, VOTO: 8/10
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Ti ringrazio... :smile:
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Grazie per la guida, davvero utili le varie spiegazioni..
Io ho usato per molti anni Wireshark per sniffare pacchetti per di più per giochi online..
Il server invia dei pacchetti, che a sua volta riceve.
Purtroppo, c'è stato un 'fix' su un gioco, anche se non proprio. Il server invia dei pacchetti 'errati', camuffati.
Ti faccio un esempio:
Caio vuole migliorare la sua spada. Con Wireshark, snifferebbe i pacchetti e riuscirebbe a capire se il miglioramento fallisce, oppure no.
Con questa protezione, vengono inviati dei pacchetti fasulli, in modo da rendere inabilitato Wireshark.

Dunque, volevo chiederti: E' possibile sniffare in qualche modo questi pacchetti? Un modo per togliere il camuffamento di quelli errati?

Grazie dell'eventuale risposta.
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Grazie per i complimenti, gentilissimo.
Non metto mani su certi argomenti da un po', non me ne intendo più di tanto ma penso che il meccanismo di cifratura per il viewing di pacchetti sia lo stesso usato per uno sniffing di network o di wardriving qualsiasi, e andando ad occhio, immagino che non sia solo un problema di lettura di pacchetti, ma più di un blocco consentito alle varie ricerche, in quanto sostituire la mostruosa combinazione di relativi dati ricevuti da uno sniffing qualsiasi impiegherebbe un tempo incalcolabile. Bisognerebbe quindi concentrarsi, con l'uso di sistematiche esterne, unicamente sulla relativa programmazione dei pacchetti, di quei pochi pacchetti, che manipolano la ricerca di wireshark. Solitamente basta un cifratore di codifiche a 32bit per risolvere il problema, purtroppo non posso spiegarti di più poiché sono fuori casa, magari farò una guida a tal proposito, qualcun altro disperso nei vari forum ha richiesto interventi simili. Per quanto poco ne possa sapere, magari aiuto.

Perdona se ho risposto dopo un mese e di più, non mi connettevo da un po'.

Saluti, e grazie ancora.
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Grazie della risposta.
Tranquillo, non è passato nemmeno un mese dal mio commento.

Mi farebbe piacere, se ne fossi in grado, leggere una tua guida, o meglio, un "tutorial" anche basilare, su come riusciresti a decifrare questi pacchetti errati.
Sarebbe una bella scoperta, non solo per me, ma per moltissima gente, che sta entrando ora in quest'ambito.

Riguardo al mio problema dei pacchetti (che presumo, sia una cifratura usata non solo da quella casa), puoi mandarmi un messaggio privato, e potrò fornirti, magari, qualche informazione in più, in caso ne avessi bisogno.

Saluti.
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Bravo,fantastica mi è servita molto,davvero.
Grazie, voto: 10/10.


MI
COMPLIMENTO ANCORA !
 
Riferimento: Teoria e pratica - sniffing, account engineering e wireshark, come funziona,

Sei gentilissimo, grazie. Felice che ti sia stata d'aiuto.
--------------- AGGIUNTA AL POST ---------------
Certamente, devo soltanto ripassare un po' il linguaggio, essendo passato da qualche mese, purtroppo, su debian mi trovo wireshark con implementazioni totalmente differenti da quelle preimpostate su windows. Nel frattempo puoi, e ti ringrazio, fornirmi mediante mio messaggio più requisiti, quanto meno capisco di cosa si tratta. Cercherò di metterci meno tempo possibile, se è una cosa "immediata".

Grazie ancora.
 
Ultima modifica: