[Guida-Parte 2] Come diventare Hackers

[Hg_Snake]

Disclaimer
***
Ogni modifica fatta al sistema, riguardante la configurazione hardware e/o software, è ESCLUSIVAMENTE a rischio e pericolo del lettore di questa FAQ, come pure la responsabilità delle conseguenze di tali modifiche (dato che non posso conoscere le infinite varianti dei sistemi in uso e relative necessità di configurazione, in particolare riguardo la rete eventualmente installata). Se il computer da riconfigurare e/o ripristinare non è il proprio, avvertire il
proprietario/responsabile per essere autorizzati a metterci le mani.
Questo riguarda soprattutto macchine usate in ambito lavorativo e/o accademico, ma anche più semplicemente il computer non proprio ma del fratello/cugino/amico/fidanzata/...
Precisazione importante: in questo documento sono citati numerosi programmi (free/share/commerciali). Il fatto che un programma venga citato nel testo della risposta a una FAQ non implica necessariamente il suo uso da
parte mia: Security FAQ raccoglie gli interventi più interessanti del newsgroup it.comp.sicurezza.varie e del suo fratello più giovane it.comp.sicurezza.windows, tentando di dare al tutto una forma più organica possibile. Pertanto
non posso assicurare di essere in grado di rispondere a quesiti specifici riguardanti questo o quel programma (per esempio la configurazione del firewall X o del server della backdoor Y).

***
Legal disclaimer

***
LO SCOPO DI QUESTO DOCUMENTO È DI RACCOGLIERE I CONCETTI DI BASE PER DIFENDERSI DALLE
INTRUSIONI TELEMATICHE E NON DI INCORAGGIARE LE INTRUSIONI STESSE. SI RICORDA CHE L'USO DI
PROGRAMMI CONCEPITI PER DANNEGGIARE L'OPERATIVITÀ DI ATTREZZATURE INFORMATICHE È UN
REATO, E CHE LE AZIONI DENOMINATE "MAILBOMBING", "NUKE", "FLOOD", "DoS", "BOSERVIZZARE" E
PROBABILMENTE ALTRE ANCORA SONO ILLEGALI, ANCHE SE COMPIUTE A SCOPO DIFENSIVO.
SI SCORAGGIANO QUINDI CON MASSIMA DECISIONE LE SUDDETTE PRATICHE, MENTRE È SEMPRE
POSSIBILE COMPIERE ESPERIMENTI SU AUTORIZZAZIONE DEI GESTORI DEL SISTEMA UTILIZZATO A
TALE SCOPO, DOPO AVER IN VIA PREVENTIVA INFORMATO I GESTORI STESSI DELLA FINALITÀ DELLE
PROVE ESEGUITE, DEI RELATIVI PERICOLI E AVER PRESO TUTTE LE PRECAUZIONI POSSIBILI PER NON
RENDERE IL SISTEMA VULNERABILE DALL'ESTERNO. LO SCOPO ESCLUSIVO DI "ATTACCHI"
CONTROLLATI E AUTORIZZATI È QUELLO DI ACQUISIRE INFORMAZIONI SUL LORO FUNZIONAMENTO AL
FINE DI POTER PREVENIRE GLI ATTACCHI STESSI CON PIÙ EFFICACIA.

Scoprire trojan in generale.

Un metodo applicabile a questo tipo di trojan client-server è quello di installare il client e di provare a contattare il server, dando l'indirizzo IP 127.0.0.1, che corrisponde appunto alla macchina locale (localhost). Se il client ottiene una risposta, avete trovato il server che andrà rimosso prontamente.

Ma cosa può passare da 'ste benedette porte?

Le porte comunemente utilizzate sono elencate alla faq [A03], mentre altre sulle quali si verificano spesso degli attacchi sono riportate alla faq [C04-W]. È importante però sapere che il tipo di attacco che si può condurre (e quindi i pericoli che si corrono) su una porta aperta dipende da cosa risiede su quella porta, cioè dal server in ascolto su di essa. Non bisogna però farsi prendere dalla frenesia di chiudere tutte le porte. Infatti, se una porta è aperta è (normalmente) perchè ci deve passare qualche dato "legittimo", come la porta 80 su macchine che ospitano un server web. In generale, prima di chiudere una porta bisogna sapere perchè sia aperta; per esempio, il famigerato ICQ apre una porta per ogni comunicazione che ha in corso, e queste non cadono nell'intervallo WKP, formato dalle porte <1024. È possibile rendersene conto aprendo una shell MS-DOS con ICQ attivo e scrivendo il comando "netstat -na" (senza virgolette) che mostrerà tutte le porte attive e l'indirizzo remoto a cui sono connesse, oltre allo stato della connessione ("netstat /?" per avere tutte le opzioni).

Può un intruso conoscere quello che scrivo sulla tastiera?

Sì .
Per far questo però è necessario che l'intruso riesca a far eseguire sul computer da spiare un "server" che intercetti la tastiera e memorizzi i tasti a mano a mano che vengono premuti, e a intervalli più o meno regolari (o a ogni connessione) li invii al "pirata", per esempio alla sua e-mail. La regola è quindi sempre un controllo assiduo di quello che gira sul proprio computer, con il programma AVP System Watcher ([Solo per utenti registrati. ]) o anche il WinTop dei Kernel Toys (se si usa Windows 9x). Se sul computer è stato installato il server di Back Orifice, tale funzione è svolta dal file windll.dll (fra le altre).

È possibile che qualcuno riesca a navigare "sembrando me"?

È in effetti possibile. Questi simpaticoni cercano di connettersi alla porta 1080, dove potrebbe esserci in ascolto un proxy socket. Se riesce nell'intento il tuo computer può essere usato dall'attaccante come proxy im modo che il suo computer venga "nascosto" all'esterno e tutte le operazioni che compirà risulteranno effettuate dal computer attaccato.

È vulnerabile una macchina su cui gira un X-server?

X-Window, l'ambiente grafico degli Unix, si basa sul paradigma client/ server.
Se su un server Unix gira un programma grafico, questo è il CLIENT di X, e X stesso può produrre l'output su una qualunque altra macchina collegata al server. Tali macchine sono di solito i client, e perchè quest'architettura funzioni esse devono avere in esecuzione un X SERVER (quindi si ha in questo caso un'inversione dei ruoli, con il client che offre un servizio al server - spiegazione terra terra, ma spero che me la passiate). Le comunicazioni fra l'X client (il programma in esecuzione sul server) e l'X server (programma che riceve le richieste dal programma client e le traduce in operazioni grafiche sulla propria macchina, che può essere Unix, Windows o qualunque altra), si svolgono attraverso la posta 6000 TCP.

La lunga introduzione serviva a spiegare perchè X-Window può essere un punto delicato per la sicurezza di un sistema, quando invece si occupa di primitive grafiche che (apparentemente, almeno in questo caso) con le reti non c'entrano niente. Il punto è che se la porta 6000 del client (su cui ricordiamo che gira l'X SERVER) è aperta verso la rete per i traffici client/server di X, e non è protetta, da qualunque macchina della rete si può trasmettere e operare sulla macchina che ha l'X SERVER stesso.
Se quindi sul proprio computer è installato un X server, anche la porta 6000 TCP va controllata. Attenzione: non è detto che le finestre generate da un X server si possano distinguere visivamente da quelle di Windows (tipo "Ma sul mio computer io non vedo le tipiche finestre 'tipo X', ma solo normali finestre Windows, quindi non dovrei avere un X server"). Infatti esistono implementazioni X per Windows che utilizzano le comuni API Windows per la manipolazione dell'interfaccia. Quindi questo non vuol dire necessariamente che non sia X.
Inoltre non è neanche necessario che l'attacco che parte da un altro client passi attraverso il server Unix. Infatti queste connessioni possono passare direttamente da una macchina all'altra. Se la porta 6000 accetta connessioni da ogni dove basta, da qualunque macchina, dare un comando seguito da (sotto Unix) "-display ip_macchina" per farlo apparire lì . Inoltre il server Unix non ha alcun "potere di veto".

Questo dipende invece dall'X server che gira sulla macchina (magari Windows) attaccata. Bisogna cercare i settaggi di quest'ultimo relativi alla porta o se è disponibile qualcosa simile a xhost, un comando che sotto Unix regola gli accessi alla 6000 con autenticazione basata su IP. Per controllare la vulnerabilità del proprio X server bisogna tentare di aprire delle connessioni sulla porta 6000: questo si ottiene lanciando da qualche altra macchina un processo che abbia display sul computer da testare. Se l'esperimento riesce, vuol dire che la porta 6000 della macchina controllata è accessibile da fuori.


È possibile che un trojan/virus effettui telefonate a mia insaputa?

Sì e no.
Nel senso che è ovviamente possibile utilizzare le funzioni API di Accesso Remoto per creare nuove connessioni e/o comporre numeri di telefono via software, ma nella maggior parte dei casi responsabili di questo comportamento sono dei programmi scaricabili da alcuni tipi di siti (erotici, ma non solo - vedi archivi .mp3 ecc.) che promettono una maggiore velocità di accesso e di download dai rispettivi siti se utilizzati per la connessione al posto dell'Accesso Remoto standard, nonchè una presunta "gratuità" dei servizi così utilizzati. Questi programmi non sono altro che dei "dialer", cioè software "di chiamata": in pratica compongono un numero telefonico, di solito intercontinentale, sostituendosi ad Accesso Remoto o cambiano le impostazioni di Accesso Remoto in modo che non venga più chiamato il provider locale ma il suddetto numero intercontinentale. La gratuità del programma e dei servizi relativi, nonchè le virgolette che ho usato nel paragrafo precedente, si spiegano con il fatto che questi siti si pagano indirettamente tramite una percentuale sul traffico generato sulla linea utilizzata, che la locale compagnia telefonica accredita appunto ai gestori del sito (in pratica, il meccanismo dei 144 e 166 italiani). È sbagliato utilizzare il termine "virus" per questi programmi così come è sbagliato pretendere che gli antivirus vengano istruiti per riconoscerli, perchè non si tratta di virus, ma di applicazioni utente perfettamente "legittime" (anche se al limite della truffa) e di solito scaricate e installate volontariamente dalle vittime. L'unico modo
ragionevole per non trovarsi nelle condizioni di pagare bollette di milioni è quello anzitutto di non scaricarli/installarli (pare logico, no?), poi quello di controllare la cartella di Accesso Remoto e le proprietà delle connessioni esistenti AL PRIMO DUBBIO.

Utili accorgimenti sono quelli di non azzerare del tutto il volume del modem in modo da accorgersi subito se il numero composto è più lungo o comunque diverso dal solito (fidatevi, dopo poche connessioni la sequenza di impulsi prima e di toni poi mi era già familiare, e quando cambiai provider, impiegai ugualmente non più di pochi giorni per abituarmi al nuovo numero), e di NON SALVARE LA PASSWORD della connessione, in modo che la sequenza di connessione non si completi automaticamente; in tal caso, una connessione che vada su senza richiesta di password dovrebbe ugualmente destare allarme.

Nel settaggio di un programma di monitoraggio della rete, quali porte remote conviene ignorare?

2. - la porta 25 del server dove mandate la posta
3. - la porta 110 del server da dove la ricevete
4. - le porte 3128 e 8080 dei proxies che usate
5. - le connessioni alle porte 80 e 443 di un sito remoto da porte fra 1025 e 5000 (locali) dell'indirizzo 0.0.0.0/0.0.0.0

Queste porte remote appartengono infatti a servizi standard. Il lato negativo di tutto ciò è che è sempre possibile, naturalmente, che un attaccante remoto usi una di tali porte per i propri tentativi, proprio perchè il loro uso "standard" è ben conosciuto. Occorre quindi valutare caso per caso se è più conveniente monitorare o ignorare pacchetti/connessioni provenienti dalle porte suddette, anche tenendo conto dell'uso della macchina che vogliamo tenere sotto controllo.

Cos'è "smurf"?

Smurf ("puffo") è un attacco indipendente dalla piattaforma che consiste nell'esaurire la banda a disposizione della vittima (quindi un DoS). In pratica viene attuato facendo sì che un gran numero di macchine in rete invii dei pacchetti alla macchina bersaglio in risposta a richieste mai fatte, o meglio fatte dall'attaccante a nome della vittima. Il modo in cui ciò avviene: mandare dei PING con l'indirizzo IP della vittima a degli indirizzi IP "multicast" di reti non bene amministrate, che vengono ricevuti dai gateway delle suddette reti. Questi, che di solito smistano il traffico in arrivo agli host che ne sono effettivi destinatari, ricevendo un pacchetto broadcast lo inoltrano a tutte le macchine facenti parte della sottorete, che vedendosi arrivare un PING rispondono con il relativo pacchetto PONG. Il traffico così generato subisce un'amplificazione che può anche essere molto grande, in quanto la vittima riceve le risposte da tutte le macchine della rete pingata. Se l'attaccante inoltra una serie di PING di questo tipo non ad una sola rete ma a molte (e gli elenchi di reti che si prestano a questi attacchi sono disponibili in rete, se si cercano bene -NON ME LI CHIEDETE, NON LI CONOSCO!!!), ecco che con una banda a disposizione anche non grandissima si può generare verso la vittima un volume di traffico sufficiente per travolgerlo e in pratica isolarlo da Internet. La vittima non può fare nulla per difendersi, perchè non può controllare il traffico che arriva dalla sua connessione, e il filtraggio dei pacchetti (fondamentale in caso di attacchi di altro tipo) è del tutto inutile in questo caso, in quanto il problema non è nel tipo dei pacchetti ricevuti ma nel loro numero, ed essi devono comunque essere ricevuti per essere gestiti, cioè inoltrati o scartati. La soluzione, come dicono i politici, "è a monte", nel senso che il filtro dev'essere a livello dell'upstream, cioè del provider (nel caso di utenza domestica), o in generale del fornitore di connettività. Questo tipo di collaborazione, manco a dirlo, è estremamente rara e inesistente nel caso di connessioni via modem di utenti "privati". Come si può realizzare tutto questo? Per Linux esistono programmi appositi, mentre in ambiente Windows esiste per esempio "Aggressor Exploit Generator" ([Solo per utenti registrati. ] x info).

Cos'è l'IP spoofing?

È una tecnica che consiste nel creare pacchetti IP contenenti nel campo indirizzo un valore diverso da quello del proprio indirizzo IP vero. Ciò può esser fatto riconfigurando l'interfaccia di rete o programmando un router in modo che riscriva l'IP del server sui pacchetti in uscita (esistono anche dei programmi che consentono di comporre pacchetti IP in maniera completamente libera, ma solo sotto Linux in quanto lo stack TCP/IP nativo di Windows non consente questa libertà, anche se è possibile aggirare la limitazione). In questo modo tutti i pacchetti risulteranno provenire da un altro IP, arbitrario. Una conseguenza di questa operazione è che dopo non funzionerà più alcuna applicazione di rete, proprio nessuna nessuna, neanche per sbaglio, neanche una volta ogni tanto. Si possono sempre *inviare* pacchetti, però non arriverà mai alcuna risposta. Per certi scopi la cosa può anche essere accettabile, se non interessa che le risposte arrivino, nel caso per esempio di attacchi smurf

Come fa il sito che ho visitato a farmi vedere il contenuto del mio desktop/C:?

E soprattutto, sono solo io che riesco a guardare l'interno del disco o anche chi gestisce il sito?

Risposta:

Sei solo tu a vedere l'interno del disco... Nella pagina HTML c'e un link del tipo <a href="file:///c|/">clicca qui per vedere il contenuto del MIO disco</a>.

Questa non è prerogativa del solo Windows:
<a href="file:///"> o <a href="file:///dev/mouse"> sono validi esempi. Il concetto importante comunque è che ognuno che si connette vede il PROPRIO desktop, o radice, o quel che è, dato che il link non fa altro che puntare a un URL locale la cui esistenza deve essere ragionevolmente probabile sulla macchina del navigatore, come per esempio c:\windows\desktop o la cartella Internet Temporary Files (ma provate a far seguire a me un link alla seconda...). Nonostante possa far impressione vedere il contenuto del proprio desktop in seguito al clic su un link contenuto in un sito Web, bisogna ricordarsi sempre che il sito stesso non ha letto il contenuto del proprio hard disk nè ha la possibilità di farlo: se un altro navigatore cliccasse sullo stesso link, vedrebbe delle informazioni diverse, e se questo non avesse Windows otterrebbe solo un messaggio di errore dal browser.


Cosa sono le scansioni invisibili?

È possibile sapere se sono state effettuate delle "stealth scan" standard anche sotto Windows 95. Bisogna aprire un prompt MS-DOS e dare il comando:
C:\WINDOWS\Desktop>netstat -snap tcp
TCP Statistics
Active Opens = 245Passive Opens = 8Failed Connection Attempts = 9^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Il valore della riga sottolineata corrisponde al numero di porte aperte scansionate dall'esterno (solo per le porte aperte è possibile sapere se sono state scansionate). In particolare, il valore indicato è il numero di scansioni "invisibili" avvenute in successione su porte che ha trovato (NON, come in Linux, il totale delle scansioni che ha tentato). Per esempio, se abbiamo una sola porta aperta e quello scansiona sei volte tutto l'intervallo da 1 a 1024, il valore di "Failed Connection Attempts" è 6. Se invece scansiona tutto l'intervallo TRANNE quell'unica porta aperta, il valore sarebbe 0.

Da un account NT in pratica senza nessuna autorizzazione, è possibile scovare la password dell'Administrator?

Forse sì , sfruttando un bug nella gestione delle librerie... in pratica, anche un utente normale ha una serie diprocessi che girano con maggiori privilegi, e in teoria non sarebbero influenzabili.Il guaio è che alcuni di quei processi usano codice non privilegiato, e quel codice è accessibile a tutti, anche inmodifica. Quindi, teoricamente, È possibile. Come farlo in pratica, non so (è vero, non lo dico per evitare richieste).Questo vuole solo essere un incentivo per che gestisce un sistema NT a porre la massima cautela a dove vengono riposti i dati "strategici" per la vita del sistema.

È possibile diventare amministratore sotto Windows NT?

Purtroppo sì .
A causa di un baco nel sistema operativo, certe funzioni a livello supervisore non controllano bene i puntatori passati. Come conseguenza, è possibile modificare una serie di variabili nel kernel, senza essere amministratore. E, siccome il livello di sicurezza (utente, amministratore, Dio, figlio di nessuno) sta in una variabile, ti puoi immaginare il resto... Naturalmente, bisogna avere a disposizione un login, ed il diritto di eseguire un eseguibile che avremo installato (quindi, diritto di scrittura). Non è poco.

Come sono belli i messaggi di posta e news formattati, con tutte quelle belle applet ed effetti speciali!!!

Disabilitare i messaggi in formato HTML! Immediatamente!!! La ricchezza espressiva consentita dall'HTML e dalla possibilità di incorporare in esso delle funzioni JavaScript e/o delle applet Java non vale la sicurezza del proprio computer. Un esempio "innocuo" è dato dal seguente codice:
<script language=VBscript>domsgbox ("MANGIATE STRONZI !!!")loop</Script>[nota: un messaggio che includeva questo è stato veramente postato in alcuni gruppi della gerarchia it.*]
Innocuo significa che non causa danni alla macchina, ma comunque è fastidioso e per terminarlo occorreammazzare il programma di posta. "Regalini" come questi sono particolarmente subdoli se si usa il programmaOutlook Express di Microsoft, che riesce a eseguire il formato HTML senza bisogno di "aiuti" esterni, con il risultato che non chiede nulla prima di visualizzare un tale messaggio, applet e script compresi. Se questi contengono del codice "malizioso", che per esempio sfrutti dei bug della JVM del browser, i danni causati dipendono solodall'altruismo del loro mittente...In OEx si può disabilitare l'esecuzione degli script intervenendo in Strumenti/Opzioni/Protezione/Impostazionipersonalizzate; in ogni caso basta cliccare su Strumenti/Opzioni/Area Internet/Personalizzato/ e qui scegliere che cosa si deve eseguire automaticamente e che cosa no.


Cos'è Portfuck?

Portfuck è un programma DoS usato per floodare porte TCP aperte. È simile ad un flood SYN. Il suo uso principale è bloccare servizi come Telnet o FTP. In pratica Portfuck stabilisce molte connessioni ad un'unica porta TCP di un host remoto. Stabilita una connessione, essa viene chiusa immediatamente e ne viene aperta un'altra. Esistono addirittura dei programmi che sono fatti apposta per causare errori critici a NetBuster. Dopo tale attacco il netbuster si blocca, con un effettivo rischio per la stabilità del sistema. Anche BoSpy può essere bloccato inviandogli pacchetti UDP molto grandi. Per questi motivi è sconsigliabile aprire porte normalmente chiuse sul sistema, quindi anche l'uso del netbuster.

Come ha fatto questo tipo a trovarmi? Basta usare ICQ?


Perchè qualcuno possa provare a connettersi al tuo PC, la prima condizione è che conosca l'indirizzo IP con cui navighi, che sia statico o dinamico non importa. Per conoscere il proprio indirizzo IP bisogna eseguire il programma WINIPCFG dopo aver lanciato la connessione. Una volta che l'estraneo conosce anche lui questa informazione, può tentare connessioni con o senza backdoor. Ma la domanda era: come fa lui a conoscerlo? ICQ non è indispensabile, ma certo aiuta chi cerca una persona ben precisa. Basta che inserisca l'UIN della vittima nella sua lista di contatti, ed ecco che viene comodamente informato quando questa è online. Però non è necessario avere un nemico telematico che ci venga a cercare, basta che un rompipalle caciarone decida di spazzare (sweeping in gergo) la sottorete che ci ospita, e ci troverà. In questo caso il tipo non cercava proprio noi, ma chiuque fosse nella sottorete. Esempio. Io ho questo bellissimo programma per nukkare ecc., e voglio provarlo sul primo tapino che mi capita a tiro. Allora prendo una sottorete su cui sono sicuro di trovare qualcuno e provo tutti i suoi indirizzi (con un programma apposito, o anche con lo stesso programma di cui sopra, se prevede questa... hihihi... feature). Diciamo che provo da 212.216.1.1 a 212.216.254.254 (che mi causerà anche una lettera di ringraziamento da Telecom per l'aumento del fatturato e l'intestazione di una quota azionaria). Se tu sei, per esempio, 212.216.13.147, prima o poi ti arriva il ping, anche se io sedicente "acher" non so neanche che sei tu.

Se Netstat mi dice che non ho porte aperte posso stare davvero sicuro? (le DLL ponte)

Ancora una volta la risposta è no. Netstat, così come i programmi più diffusi per il monitoraggio delle porte aperte, si serve di alcune funzioni esportate dalla libreria INETMIB1.DLL che si trova nella dir di windows. Il codice vero e proprio per interrogare lo stato delle porte è quindi posto interamente in questa DLL. Supponiamo adesso di aver installato una backdoor nel pc di un amico e di volergli nascondere in qualche modo l'apertura di una porta. Non sappiamo quale utility userà per fare questa operazione ma sappiamo che molto probabilmente i risultati (rappresentati in una forma più o meno user-friendly) verrano ricavati effettuando delle chiamate sempre alla stessa libreria. A questo punto possiamo percorrere diverse strade ma la più ovvia, semplice ed immediata è quella di sostituirsi alla inetmib1.dll e falsare i dati di ritorno. Non abbiamo certamente i sorgenti di questa libreria e non possiamo compilarne una nuova da zero, quindi con ogni probabilità la nostra dll funzionerà da ponte tra l'applicazione che effettua la chiamata e la vera inetmib1.dll (che avremo rinominato ad esempio inetmib1.dev).
Nota: i nomi e gli esempi usati non sono casuali ma ricalcano il comportamento di una dll ponte esistente scritta ed utilizzata proprio per nascondere l'apertura di alcune porte.
Approssimativamente la situazione sarà la seguente:
Programma DLL Ponte DLL Originale
Richiesta: NETSTAT o simili ------> INETMIB1.DLL ------> INETMIB1.DEV Risposta: NETSTAT o simili <------INETMIB1.DLL <------INETMIB1.DEV
La DLL ponte in pratica non fa altro che passare le richieste alla DLL originale e restituire al programma che effettua la chiamata il risultato di tali richieste. Apparentemente quindi il funzionamento sarebbe identico a quello precedente (c'è in realtà un leggero rallentamento ma è a dir poco impercettibile) se non fosse per il fatto che quando la libreria originale ci restituisce dei valori questi passano attraverso un filtro che eventualmente ne blocca
il ritorno al programma richiedente (più precisamente dopo la chiamata alla funzione SnmpExtensionQuery).Inutile dire che il filtro che abbiamo inserito nella DLL ponte non fa altro che controllare che il numero della porta aperta restituito non sia quello che abbiamo deciso di rendere invisibile e quindi ignorare la chiamata.Nell'esempio è stato descritto molto grossolanamente il funzionamento di una libreria che inganna netstat eprogrammi simili ma quello che bisogna tenere a mente è il concetto semplice ed efficace secondo cui anchel'applicazione di cui ci fidiamo di più potrebbe fallire....Per tirarvi un pò su di morale voglio solo ricordarvi che qualsiasi chiamata, anche quelle fatte alla carissima DLL Winsock, può essere ingannata efficacemente attraverso un uso avanzato di questa antica ma attualissimatecnica.Adesso avete qualcosa in più di cui preoccuparvi ;)

Se ho il client di una backdoor, la mia vittima potrebbe a sua volta entrarmi nel computer?

No.
Il BOGUI non "interpreta" e non "esegue" quello che gli arriva dalla porta che tiene aperta. Però vuole unpacchetto UDP onesto, questo sì .Se su quella porta arriva un nuke - BOGUI è lì a pigliarselo. Non puoi neanche usare NukeNabber... perchèaltrimenti non funzionerebbe più il BOGUI! 8-)



Cos'è il NETBEUI e il NETBIOS? Come li gestisco con Conseal?

Il NetBIOS (Network Basic Input/Output System) è sostanzialmente un'interfaccia di programmazione, una API (Application Programming Interface). Anzi, per dirlo in termini più rigorosi possibili, è "un'interfaccia a livello di sessione", usata dalle applicazioni per comunicare con protocolli basati su tale interfaccia, come NetBEUI (NetBIOS Extended User Interface -introdotto da IBM nel 1985) o il network redirector di Windows. Originariamente, il NetBIOS venne sviluppato nel 1983 dalla Sytek Inc. per conto di IBM ed era incluso come firmware nei chip ROM delle schede di rete. In seguito, Microsoft sviluppò un'interfaccia NetBIOS per Windows allo scopo di supportare nei propri prodotti questo standard emergente. Se ConSeal Firewall ti ha segnalato "outgoing data" (dati in uscita) via NetBIOS, significa che hai il Client per le Reti installato con relativo supporto per NetBT (NetBIOS su TCP/IP). Quest'ultimo apre le porte UDP/TCP 137 e 138 (anche la 139, se si stabilisce una comunicazione), che fanno parte delle "well known ports": la 137 è dedicata al NetBIOS Name Service, la 138 al NetBIOS Datagram Service e la 139 al NetBIOS Session Service. In una delle "rules" di ConSeal viene specificato che certi protocolli notificano la presenza del client connesso sulla rete inviando dei pacchetti (UDP e ICMP) su indirizzi broadcast (*.*.*.0 o *.*.*.255), questo comportamento è utile in una rete locale, ma può risultare pericoloso su Internet, oltre che inutile. Grazie al filtro di un Virtual Device Driver dinamico (FW13.VXD) che interagisce con VxD del NDIS (Network Driver Interface Specification), ConSeal è in grado di intercettare questa operazione, filtrata da una "rule" impostata per default, e quindi la blocca impedendo al tuo PC (o, meglio, al NetBT) di notificare la sua presenza sulla rete.

Attenzione: Questo articolo è stato pubblicato più di 90 giorni fà quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Tweet

[gioak99]

vorrei avere delle informazioni importanti se è possibile:357:

Tweet

[Hg_Snake]

vorrei avere delle informazioni importanti se è possibile:357:

Ciao e Benvenuto :358:,
chiedi pure?? :rolleyes:

Tweet

[ArchiLele]

Quante cavolate che ci sono in questo documento...pero' a grandi linee e' quello...

Tweet