Tuesday 24 november 2009 2 24 /11 /Nov /2009 18:21

VISTA BASIC VS PREMIUM

Allora cari lettori, le differenze ci sono e sono dal punto di vista grafico cioè premium rispetto a basic ha il tema con le finestre trasparenti ha effetti 3D mentre basic e + semplice, logicamente uno dice allora mi prendo Premium!! ma c'è una cosa da dire windows vista premium usa molte di + risorse per gli effeti del tema mentre invece basic non e affaticato da nessuna di queste cose.
Vista basic infatti con 4GB di RAM e molto + veloce rispetto a premium infatti ad accendersi ci mette molto di meno rispetto a premium e poi basic essendo + semplice va bene anche se lo riempi di programmi va bene lostesso ne risentono poco le prestazioni mentre provate ha riempire un premium di programmi il giorno dopo siete già col disco in mano per la formattazione, quindi tra i 2 e meglio basic se vui che vada veloce in tutto se volete l'aspetto grafico e basta meglio premium, io ho basic e va da dio, veloce e non si blocca mai!! Sevolete scrivermi ecco la mail: mussolni.94@hotmail.it salve a tutti, Nicolò 
Di Nicolò Donato
Scrivi un commento - Vedi 0 commenti
Tuesday 24 november 2009 2 24 /11 /Nov /2009 18:13

BBs

Il BBS (Bulletin Board System)
Cosa e' un BBS ? 


•BBS e' un'abbreviazione che sta per Bulletin Board System, letteralmente significa Sistema Bacheca Bollettini. Inizialmente infatti i BBS nascono come bachece telematiche sulle quali poter leggere e scrivere messaggi od avvisi. •Con le nuove tecnologie informatiche pero' i BBS si sono evoluti, ed ora chi accede ad un BBS vi puo' trovare non solo messaggi ma anche archivi di documentazione e ricche librerie di programmi di qualsiasi tipo. 

Chi e' il Sysop del BBS ? 

•Il Sysop, da System Operator, e' il responsabile del BBS ed e' praticamente colui che decide se ammettere o meno un utente, concedergli o meno l'accesso ai Files e ai Messaggi, Egli puo' TUTTO...;-) •Il Sysop gestisce l'operativita' del BBS, fa in modo che il sistema funzioni al meglio possibile. Meglio funziona il BBS, migliore e' il Sysop che lo gestisce! 

Cosa offre un BBS ? 

•Tipicamente i BBS si dividono principalmente in due sezioni: 


•I files presenti sui BBS sono suddivisi in aree tipologiche (giochi, testi, antivirus, ecc.).

Le categorie del Software 

Non tutto il software prelevato da un BBS e' ad uso gratuito. Possiamo avere i seguenti casi:

•Freeware

Software dichiarato freeware e' utilizzabile liberamente e gratuitamente. 

•Shareware



Il software shareware e' quello piu' diffuso sui BBS. Questo tipo di software non e' gratuito. E' possibile utilizzarlo in prova per un certo periodo, dopo il quale l'autore del programma richiede il pagamento di una somma (che si aggira di solito su qualche decina di mila lire) per poter proseguire l'uso del programma. 



•Copywright/Commerciale



I BBS non ospitano software di tipo commerciale, cioe' quello totalmente a pagamento. Programmi come Excel, Word, o altri molti diffusi vanno acquistati direttamente dai distributore che li vendono.


Download = Prelevare

•L'attivita' piu' frequentemente svolta da coloro che si collegano ai BBS e' quella di download, cioe' prelevare i files presenti nel BBS.

Upload = Inviare

•Meno frequente, ma molto piu' gradita dai Sysop, e' l'attivita' di upload, cioe' di invio da parte dell'utente di files da immettere nel BBS.


Aree Messaggi 


I messaggi presenti sui BBS si suddividono nelle seguenti categorie principali:

Messaggi locali:
•Sono i messaggi che rimangono nel BBS, non vengono cioe' diffusi su altri BBS. I messaggi locali possono essere suddivisi i aree per argomento che normalmente interessano aspetti strettamente locali al BBS o al territorio del BBS stesso. 



Messaggi EchoMail 


•Questi sono i messaggi che vengono condivisi anche con altri BBS. Un messaggio echomail, immesso in un BBS, viene poi diffuso rapidamente ad altri BBS. I messaggi echomail sono suddivisi per argomento: sport, windows, mercatino, libri, cinema, ecc.



Messaggi Matrix 


•Se un utente di un BBS desidera inviare un messaggio ad un utente di un altro BBS, che appartenga alla stessa rete, deve immetterlo nell'area matrix o netmail, specificando oltre al nominativo del destinario anche l'indirizzo di rete del BBS di arrivo.


Messaggi tra Utenti Fidonet ed Internet e viceversa 
Per inviare mail DA Fidonet A Internet:
•1) andare nell'area NETMAIL (o MATRIX) del nodo Fidonet 

•2) Indirizzare il messaggio all'utente "Uucp" all'indirizzo 2:33/800. NON INDIRIZZATELO A "Sysop" O "Postmaster" o altri nominativi. Il messaggio viene recapitato correttamente SOLTANTO se indirizzato all'utente "Uucp". Alcuni editor di mail o programmi di BBS inseriscono automaticamente il nome del sysop di un nodo una volta digitato il suo indirizzo. Se cio' accade, dovrete correggere e modificare il destinatario in "Uucp" se volete che il vostro messaggio giunga a destinazione. 

•3) La PRIMA riga del testo del messaggio deve contenere l'indirizzo Internet del vero destinatario del messaggio, in questo formato:

To: username@machine.domain 

seguita da una riga VUOTA. La stringa "To:" e' OBBLIGATORIA e deve iniziare alla colonna 1 del testo. La riga deve contenere il solo indirizzo e-mail, e nient'altro. Non includete anche il nome reale del destinatario (che a volte viene aggiunto tra parentesi accanto all'indirizzo e-mail nei messaggi provenienti da Internet). NON utilizzate indirizzi di tipo "bang". L'address di destinazione NON deve essere racchiuso tra virgolette, parentesi o altri segni di interpunzione. Non potete inviare messaggi da un indirizzo Fidonet ad un altro indirizzo Fidonet via Internet! Il gateway BLOCCA qualsiasi messaggio il cui indirizzo di destinazione termini con '.fidonet.org'. Non potete inviare messaggi da un indirizzo Fidonet ad un altro indirizzo Fidonet via Internet! Il gateway BLOCCA qualsiasi messaggio il cui indirizzo di destinazione termini con '.fidonet.org'. Qualsiasi messaggio inviato ad indirizzi contenenti stringe come 'listserv', 'bitftp', 'majordomo', etc. verra' BLOCCATO automaticamente. Il gateway non deve essere usato per abbonarsi a Mailing List, per effettuare invii di file Uuencodati via mail e, in generale, per qualsiasi operazione che generi grandi volumi di traffico.


Esempi:

To:pippo@pluto.com SBAGLIATO (manca lo spazio tra
"To:" e l'indirizzo)
To: "pippo@pluto.com" SBAGLIATO (non si devono
usare le virgolette)
To: pippo@pluto.com (Pippo Rossi) SBAGLIATO (il nome tra parentesi
non deve essere specificato)
To: uunet!pippo!pluto SBAGLIATO (l'address deve essere
in formato username@site.domain)
To: pippo@f301.n331.z2.fidonet.org SBAGLIATO (l'address non deve
essere un nodo Fidonet)
To: majordomo@pluto.com SBAGLIATO (il gateway non deve
essere usato per mailing list)
To: pippo@pluto.com CORRETTO !!!!



•4) Continuate il testo del messaggio normalmente, e salvatelo. Verra' inviato automaticamente al destinatario.


Per inviare mail DA Internet A Fidonet:


•Per inviare e-mail da un sistema Internet ad un utente di un nodo Fidonet e' sufficiente indirizzarlo usando una particolare sintassi.

L'indirizzo di un nodo Fidonet ha un formato numerico. Ad esempio: "2:331/301.0". Questo numero significa: "Zona 2, Net 331, Nodo 301, Point 0". Traducendo l'indirizzo in formato Internet esso diventerebbe "f301.n331.z2.fidonet.org"



Gli utenti Fidonet generalmente si collegono utilizzando il proprio nome e cognome. Indirizzando loro una mail da Internet, il nome ed il cognome devono essere separati da un punto invece che da uno spazio, cosi':


"Pippo.Rossi".







Riassumendo, l'indirizzo Internet di un nodo Fidonet e' cosi' rappresentato: 






Nome.Cognome@[p###.]f###.n###.z#.fidonet.org
^ ^ ^ ^ ^ ^ ^ ^
| | | | | | `------`--- domain
| | | | | `---- Numero di Zona (IMPORTANTE)
| | | | `------- Numero di Net
| | | `------------- Numero di Nodo
| | `------------------- Numero di point (facoltativo)
| `----------------- Cognome dell'utente
`------------------------ Nome dell'utente






Le parentesi quadre significano che il numero di point deve essere specificato solo se diverso da zero. Per mandare una mail Internet all'utente Pippo Rossi del nodo Fidonet 1:234/567.89, occorrera' dunque indirizzarla a: 


Pippo.Rossi@p89.f567.n234.z1.fidonet.org


Come ci si collega ad un BBS ? 


•Per collegarsi ad un BBS si ha bisogno principalmente di tre cose: il Modem, di un PC (o altro sistema) e di un programma di Comunicazione, oltre ovviamente ad una linea telefonica...:-))



Il Modem 



•Per trasmettere i dati da un Computer ad un altro attraverso la linea telefonica, si ha bisogno di un apparecchio che trasformi i segnali digitali del computer in segnali analogici. Questo apparecchio si chiama Modem da Modulatore e Demodulatore e deve essere sia da una parte che dall'altra della linea telefonica e collegato attraverso la porta serial ai computer stessi. •Parlando di modem vale la pena fornire, anche sommariamente, alcune indicazioni di carattere generale riguardanti l'argomento. •Innanzitutto per le comunicazioni a piu' bassa velocita' di traferimento dei dati (300 e 1.200 bps) esistono due diversi tipi di standard di comunicazione, definiti da due diversi enti, che presentano alcuni punti di contatto: per gli Stati Uniti vigono le norme Bell elaborate dai laboratori della AT&T Bell; per l'Europa e gran parte del mondo le norme corrispondenti sono quelle dettate da un comitato internazionale per la definizione degli standard conosciuto con la sigla ITU-TSS che rappresenta cio' che in passato era conosciuto con la sigla CCITT. •Per le velocita' di trasmissione superiori a 2.400 bps, invece, in tutto il mondo, le sole norme adottate sono le ITU-TSS. •Esistono poi alcune regole che riguardano la compressione dei datie la loro correzione. Quelle riguardanti la correzione d'errore, sono conosciute con le sigle MNP2,MNP3, MNP4 e V.42; quelle per la compressione dei dati sono invece le regole dei protocolli MNP5 e V,42bis. La compressione MNP5 e' in grado di fornire un "rapporto di compressione" dei dati di circa 2:1 (in pratica un modem a 28.800 bps opera ad una velocita' effettiva di 57.600 bps ed offre nel contempo anche le caratteristiche di correzione d'errore dei livelliMNP inferiori. La compressione ITU-TSS V.42bis e' invece in grado di assicurare un rapporto di compressione di 4:1; cio' significa che un modem 33.600 bps puo' raggiungere una velocita' di trasmissione dati effettiva di ben 115.200 bps, ma per poter funzionare necessita dell'implementazione del protocollo di correzione d'errore V.42; inoltre le caratteristiche di compressione e correzione dei dati sono operative esclusivamente quando entrambi i modem, sia quello locale, sia quello remoto, supportano i medesimi protocolli. •Quando si utilizza un modem per collegarsi ad una banca dati, ad un nodo di accesso ad Interneto, a qualunque altro servizio, esso setta automaticamente la massima velocita' che e' in grado di offrire, se il modem remoto non e' sufficentemente veloce, esso prova di volta in volta a diminuire tale valore fino a raggiungere quello supportato dal modem remoto; allo stesso modo, se e' dotatodi funzionalita' di correzione e compressione dei dati, esso "negozia"con il modem remoto lo standard da utilizzare per l'espletamento di tali funzionalita'. •Molto importante e' che il modem sia in grado di segnalare all'utente il settaggio di una velocita' piu' bassa rispetto a quella indicata dal software di comunicazione, in modo da adattare i parametri di funzionamento del computer. Altrettanto importante e' sapere che i due standard di compressione dei dati hanno un modo diverso di trattare i file di dati gia' compressi. •Se si trasferiscono fil compressi nei formati ZIP, ARC, ARJ, RAR o altri e si utilizza la compressione dei dati MNP5 e' buona norma disabilitarla perche' il tempo di trasfermento dei dati aumenta raggiungendo spesso valori molto piu' elevati di quelli raggiungibili senza compressione; piu' sofisticato e' il funzionamento della compressione V.42bis che implementa un sistema di riconoscimento dei file gia' compressi disabilitandosi automaticamente nel loro trasferimento. •Per quanto riguarda la correzione dei dati, diversamente dalla compressione, e' buona norma utilizzarla sempre, nel trasferimento di qualsiasi tipo di file e con qualsiasi tipo di protocollo standard di trasfermento dei file a correzione d'errore come XModem (ora scarsamente utilizzato), YModem, ZModem.

(fonte: Massimo Truscelli MC Micromputer febbraio 1996)


Il PC 

•Un qualsiasi PC di qualsiasi marca va bene. Piu' il PC e' potente e veloce meglio e' pero'!
Il Programma di Comunicazione 





•Come si sa l'hardware non basta mai, serve anche il software. Affinche' possa avvenire la comunicazione con un BBS e' necessario procurarsi un qualsiasi programma di comunicazione via modem. I sistemi operativi piu' avanzati, tipo Windows95, incorporano gia' un programma che permette di accedere facilmente ad un BBS.





Il nominativo e la Password dell'Utente 



•Al primo collegamento il BBS richiede di digitare il proprio nominativo (Nome e Cognome) ed una password (parola chiave). Queste informazioni servono per riconoscere l'utente ad ogni successivo collegamento ed impedire che vi possano essere collegamenti non desiderati. •E' importante che la password non venga dimenticata ed assolutamente mantenuta segreta.Quanto costa collegarsi ad un BBS ? Il Costo della Telefonata
•La tariffazione telefonica durante un collegamento con un BBS e' la stessa di una normale conversazione a voce.
Il Costo del Servizio BBS
•La maggior parte dei BBS non richiede alcun pagamento per l'accesso al servizio. Soltanto alcuni BBS commerciali, gestisti da ditte o societa', richiedono di sottoscrivere un abbonamento a pagamento per poter usufruire di taluni servizi offerti.
Che cos'e' una Rete di BBS ? 



•Alcuni Sysop hanno deciso di unire i loro sforzi collegando tra di essi piu' BBS. In questo modo messaggi o files immessi in un singolo BBS si diffondono rapidamente anche agli altri BBS della rete. La rete di BBS piu' capillarmente diffusa al mondo e' Fidonet.
Se mi volete contattare per una qualsiasi informazione anche non riguardante a questo articolo mi trovate su facebook: Nicolò Donato
Di Nicolò Donato
Scrivi un commento - Vedi 0 commenti
Monday 23 november 2009 1 23 /11 /Nov /2009 18:32

I firewall

Descrizione dei contenuti: Il testo contiene una descrizione tecnica per 
progettare, scegliere e implementare un firewall
visto dalla parte di un amministratore.



1) Che cos'è un firewall?
2) Perchè dovrei volere un firewall?
3) Contro che cosa può proteggere un firewall?
4) Contro che cosa non può proteggere un firewall?
5) Risorse in rete sui firewall
6) Come scegliere un firewall
7) Cosa sono i proxy server e come funzionano
8) Regole logiche di filtraggio per il mio Cisco
9) Come far lavorare DNS e firewall
10) Come far lavorare un FTP attraverso un firewall
11) Come far lavorare un Telnet attraverso un firewall
12) Come far lavorare Finger e whois attraverso un firewall
13) Come far lavorare gopher, archie e altri servizi attraverso un firewall
14) Pubblicazioni su X-Window attraverso un firewall
15) Glossario di termini riferiti ai firewall



1) Che cos'è un firewall?

Un firewall è uno dei tanti modi per proteggere una rete da altre reti di
cui non ci si fida o comunque sconosciute. Il reale meccanismo con cui è
realizzato varia fortemente, ma il principio è che il firewall può essere
pensato come una coppia di meccanismi: uno serve a bloccare il traffico e
l'altro per veicolarlo. Alcuni firewall mettono più enfasi nel bloccarlo,
altri nel permetterlo.


2) Perchè dovrei volere un firewall?

Internet, come ogni altra società, è piena di babbei che sono l'equivalente
elettronico del teppistello che imbratta i muri con lo spray. Alcune persone
cercano di lavorare su Internet e altre hanno dati sensibili o di loro
proprietà da difendere. Un proposito del firewall è tenerci lontano dalla
rete una volta lasciato il lavoro.

Molti enti e centri dati hanno politiche di sicurezza informatica e procedure
che vengono rispettate rigidamente. Il firewall diventa a volte espressione
della politica aziendale di proteggere i dati. Spesso, la parte più ardua
per connettersi ad Internet, se sei una grande azienda, non è giustificare
la spesa o lo sforzo, ma convincere i manager che non ci sono pericoli di
sicurezza. Un firewall provvede non solo alla reale sicurezza, ma gioca
anche un importante ruolo come schermo di sicurezza per il management.

Infine, un firewall può agire come ambasciatore dell'azienda su Internet.
Molte aziende usano i loro firewall come un posto dove mettere informazioni
pubbliche sui prodotti e i servizi dell'azienda, file da scaricare,
correzioni e così via. Molti di questi sistemi stanno avendo importanza per
le strutture di servizi per Internet (ad es.: UUnet.uu.net,
gatekeeper.dec.com) e hanno avuto un buon riflesso sui loro finanziatori
aziendali.


3) Contro che cosa può proteggere un firewall?

Qualche firewall permette solo il passaggio di email, proteggendo quindi la
rete da attacchi diversi da quelli mirati al servizio di email. Altri
firewall provvedono a una meno stretta protezione e bloccano servizi che
tradizionalmente hanno problemi di sicurezza.

Di solito, i firewall sono configurati per proteggere contro i login non
autenticati dall'esterno. Questo aiuta a prevenire il login di vandali in
macchine della rete. Firewall più complicati bloccano il traffico
dall'esterno all'interno, ma permettono agli utenti interni di comunicare
liberamente con l'esterno. Il firewall ti può proteggere contro qualsiasi
tipo di attacco mediato dalla rete come se fossi disconnesso.

I firewall sono anche importanti perchè possono provvedere a un singolo
punto di blocco dove la sicurezza e il controllo possono essere imposte.
Diversamente, in una situazione in cui un sistema è attaccato da qualcuno
che usa un modem, il firewall può agire come un rubinetto telefonico e uno
strumento di monitoraggio.


4) Contro che cosa non può proteggere un firewall?

I firewall non possono proteggere da attacchi che non vi passano attraverso.
Molte aziende connesse ad Internet sono preoccupate dalla
fuoriuscita di dati riservati attraverso qualche via. Sfortunatamente per
questi preoccupati, un nastro magnetico può essere usato per trasportare
dati all'esterno. Le politiche dei firewall devono essere realistiche e
riflettere il livello di sicurezza dell'intera rete. Se un sistema contiene
dati riservati sarebbe meglio non connetterlo al resto della rete.
I firewall non possono proteggere bene da cose come i virus. Un firewall non
può rimpiazzare la coscienza, la consapevolezza e la prudenza dei suoi
utenti. In generale, un firewall non può proteggere contro un attacco
guidato di dati, attacchi nei quali qualcosa è postato o copiato
all'interno dell'host dove è eseguito. Questa forma di attacco è avvenuta
nel passato contro varie versioni di Sendmail.


5) Risorse in rete sui firewall

Ftp.greatcircle.com - Firewall mailing list (archivi).
Directory: pub/firewalls
Ftp.tis.com - Strumenti e documenti sui firewall Internet.
Directory: pub/firewalls
Research.att.com - Documenti sui firewall e le violazioni di sicurezza.
Directory: dist/internet_security
Net.Tamu.edu - Texas AMU security tools.
Directory: pub/security/TAMU
Le mailing list per i firewall sono forum per amministratori e
implementatori. Per sottoscriverle, manda "subscribe firewalls" nel corpo
del messaggio (non nel soggetto) a "Majordomo@GreatCircle.COM".

>N.d.T.
>Una ottima esposizione in italiano la potrete trovare a:
>http://telemat.die.unifi.it/book/Internet/Security/Firewall/
>
>La versione in inglese più aggiornata e più completa di questo testo
>la potrete trovare su Internet Firewalls FAQ:
>http://www.clark.net/pub/mjr/pubs/fwfaq/
>http://www.interhack.net/pubs/fwfaq/
>
>Firewalling and Proxy Server HOWTO
>http://okcforum.org/~markg/Firewall-HOWTO.html
>http://sunsite.unc.edu/LDP/HOWTO/Firewall-HOWTO.html
>con traduzione in italiano a cura del Pluto su:
>http://www.pluto.linux.it/ildp


6) Come scegliere un firewall

Allo sfortunato a cui è affidato il compito toccheranno tante letture. In
generale occorre rispettare il modo in cui l'azienda vuole operare sul
sistema: il firewall esiste per negare esplicitamente tutti i servizi
eccetto quelli critici per cui ci si è connessi alla rete oppure serve per
verificare e controllare i metodi di accesso in modo non minaccioso. Ci
sono diversi gradi di paranoia tra queste posizioni. La configurazione del
tuo firewall sarà effetto più delle tue politiche che delle decisioni
tecniche.
Inoltre, quanto monitorare e controllare? Occorre quindi decidere che cosa
monitorare, permettere e negare. Devi coniugare obiettivi e analisi del
rischio.
Infine c'è la questione finanziaria: quanto costa comprare e implementare
il sistema. Si va da 200 milioni a soluzioni gratuite. Per ciò che riguarda
le soluzioni gratuite, configurare un Cisco o simili non costerà niente, ma
solo tempo-uomo e caffè. Implementare un firewall impegnativo costerà molti
mesi-uomo. Bisogna quindi considerare non solo il costo di acquisto ma
anche di supporto nel tempo.
Dal lato tecnico, c'è un paio di decisioni da prendere, basate sul fatto che
per tutti i fini pratici di cui stiamo parlando occorrerebbe un servizio di
routing (instradamento) statico del traffico messo tra il provider della
rete e la rete interna. Il servizio di routing del traffico deve essere
implementato a livello di IP attraverso regole di protezione in un router,
o a livello di applicazione attraverso un proxy che faccia da gateway e dei
servizi.

La decisione da prendere qui è se mettere una macchina che può essere
colpita all'esterno della rete per far girare un proxy per i servizi di
telnet, ftp, news, etc., o se è meglio settare un router difensivo che
faccia da filtro, permettendo comunicazioni con una o più acchine interne.
Ci sono i pro e i contro a entrambi gli approcci, con la macchina proxy
si provvede a un più alto livello di controllo e potenzialmente di
sicurezza contro più alti costi di configurazione e una diminuzione nel
livello di servizi erogati (poichè occorre sviluppare un proxy per ogni
servizio desiderato). La forbice tra facilità d'uso e sicurezza ci
perseguita.


7) Cosa sono i proxy server e come funzionano

Un proxy server (riferito a volte a una applicazione che permette il
passaggio o che spedisce dati) è una applicazione che si occupa del traffico tra
una rete protetta e Internet. I proxy sono spesso usati invece di router
per il controllo del traffico, per non permettere al traffico di passare
direttamente tra le reti. Molti proxy hanno log supplementari o supportano
l'autenticazione dell'utente. Poichè i proxy devono capire quale protocollo
sta per essere usato, possono anche implementare specifici protocolli di
sicurezza (ad es., un proxy FTP potrebbe essere configurato per permettere
l'FTP in entrata e bloccare l'FTP in uscita).

I proxy server sono applicazioni specifiche. Per supportare un nuovo
protocollo attraverso un proxy, questo deve essere sviluppato per quel protocollo.
SOCKS è un sistema proxy generico che può essere compilato in una
applicazione sul lato client per farlo lavorare attraverso un firewall. Il
vantaggio è che è facile da usare, ma non supporta l'aggiunta di
connessioni con autenticazione o protocolli con logging specifico. Per
maggiori informazioni su SOCKS, cfr. ftp.nec.com/pub/socks/


8) Regole logiche di filtraggio per il mio Cisco

Il seguente esempio mostra una possibile configurazione per usare il Cisco
come un router di filtraggio. E' un esempio che mostra l'implementazione di
una specifica linea di condotta. La tua linea di condotta sarà sicuramente
diversa.

In questo esempio, una compagnia ha una Classe B di indirizzi di rete
128.88.0.0 e sta usando 8 bit per le subnet. La connessione Internet è
sulla sottorete rossa 128.88.254.0. Tutte le altre sottoreti sono
considerate di fiducia o sottoreti blu.

+---------------+ +---------------+ 
| IP provider | | Gateway |
| 128.88.254.1 | | 128.88.254.2 | 
+------+--------+ +------+--------+
| Rete rossa
----------+-----------------+----------------------------------
|
+------+--------+ 
| Cisco |
| 128.88.254.3 |
|...............|
| 128.88.1.1 | 
+---------------+ 

----------------------------+----------------------------------
| Rete blu
+------+--------+ 
| mail router |
| 128.88.1.2 |
+---------------+ 

Tieni in mente i seguenti punti perchè ti aiuteranno a capire i pezzi della
configurazione:

1. I Cisco applicano i filtri ai soli pacchetti in uscita.
2. Le regole sono testate in ordine e si fermano quando la prima
occorrenza è stata trovata.
3. C'è una implicita regola di rifiuto alla fine di una lista di accesso
che nega ogni cosa.

L'esempio sotto tratta il filtraggio delle porte di una configurazione.
I numeri di linea e la formattazione sono state aggiunte per leggibilità.

Le linee guida per l'implementazione sono:
- Niente non esplicitamente permesso è negato.
- Il traffico tra la macchina esterna che fa da gateway e l'host della rete
blu è permesso.
- I servizi permessi sono originati dalla rete blu.
- Assegna un range di porte alla rete blu per le informazioni di ritorno 
della connessioni dati FTP.

1 no ip source-route
2 !
3 interface Ethernet 0
4 ip address 128.88.1.1 255.255.255.0
5 ip access-group 10
6 !
7 interface Ethernet 1
8 ip address 128.88.254.3 255.255.255.0
9 ip access-group 11
10 !
11 access-list 10 permit ip 128.88.254.2 0.0.0.0
128.88.0.0 0.0.255.255
12 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 lt 1025
13 access-list 10 deny tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 gt 4999
14 access-list 10 permit tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255
15 !
16 access-list 11 permit ip 128.88.0.0 0.0.255.255
128.88.254.2 0.0.0.0
17 access-list 11 deny tcp 128.88.0.0 0.0.255.255
0.0.0.0 255.255.255.255 eq 25
18 access-list 11 permit tcp 128.88.0.0 0.0.255.255
0.0.0.0 255.255.255.255

Linea Spiegazione
===== ===========
1 Benchè non sia una regola di filtraggio, è buona cosa includerla
qui.

5 Ethernet 0 è nella rete rossa. La lista estesa 10 di permessi di 
accesso sarà applicata all'output su questa interfaccia. Puoi anche 
pensare l'output dalla rete rossa come input nella rete blu.

9 Ethernet 1 è nella rete blu. La lista estesa 11 di permessi di 
accesso sarà applicata all'output su questa interfaccia.

11 Permette tutto il traffico dalla macchina gateway alla rete blu.

12-14 Permette connessioni originarie della rete rossa che entrano tra le 
porte 1024 e 5000. Ciò avviene per permettere alle connessioni dati 
in FTP di dialogare alla rete blu.

>N.d.T.: permessi e richieste nella connessione FTP avvengono su una 
>porta diversa da quella dove vengono scambiati i dati, cfr. il 
>relativo RFC oppure Internet News, Maggio 1997, Tecnica)
>5000 è stato scelto come limite superiore ed è dove OpenView parte.

Nota: si assume che questo è accettabile per la supposta linea
di condotta. Non c'è nessun modo per dire a Cisco di filtrare sulla 
porta sorgente. Le versioni più recenti del firmware Cisco 
supporteranno il filtraggio sulla porta sorgente.

Da quando le regole sono testate fino alla prima occorrenza dobbiamo usare
questa sintassi piuttosto ottusa.

16 Permette l'accesso a tutti i pacchetti della rete blu alla macchina 
gateway.

17 Nega l'SMTP (porta tcp 25) mail alla rete rossa.

18 Permette a tutto l'altro traffico TCP di accedere alla rete rossa.

Cisco.com ha un archivio di esempi per costruire firewall usando i router
Cisco, disponibile per ftp da: 
ftp://ftp.digital.de/pub/FireWalls/Cisco/acl-examples.tar.Z

9) Come far lavorare DNS e firewall

Alcune organizzazioni vogliono nascondere i nomi DNS dall'esterno. Molti
esperti sono in disaccordo sul fatto che sia o meno utile, ma se il sito o
l'azienda decide di nascondere i nomi dei domini, questo è un approccio che
è funzionale.

Questo approccio è uno dei tanti, ed è utile per le organizzazioni che
vogliono celare i loro nomi di host a Internet. Il successo di questo
approccio nasconde dal fatto che i client DNS in una macchina non
comunicano con un server DNS nella stessa macchina. In altre parole, proprio
perchè c'è un server DNS su una macchina, non c'è niente di sbagliato (e
spesso ci sono vantaggi a farlo) nel ridirezionare l'attività di client DNS
di quella macchina su un server DNS in una altra macchina.

Per prima cosa, devi settare un server DNS nel bastion host 
in modo che il mondo esterno può comunicare con questo. Setta
questo server così che sia autorevole per i tuoi domini. Infatti, ognuno
di questi server sa ciò che vuoi che il mondo esterno sappia; i nomi e gli
indirizzi dei tuoi gateway, i tuoi wildcard MX records, e così via. 
Questo è un server "pubblico".

>N.d.T. per wildcard MX records: Vedi RFC1034 e RFC974 per i dettagli. 
>In breve nella notazione del DNS indica un Mail eXchanger, cioe' una 
>macchina destinata a scambiare posta.
>Supponiamo che voglia mandare posta a pippo@tin.it. "tin.it" è una rete e 
>non una macchina, quindi nelle tabelle del DNS di tin.it si indica quale 
>macchina fa da mail eXchanger per il dominio, ad es.: MX posta.tin.it
>Quindi ogni volta che c'è posta per le rete tin.it ci pensa la macchina di 
>posta.tin.it a smistarla.

Quindi, configura un server DNS in una macchina interna. Questo server
pretende anch'esso di essere autorevole per i tuoi domini; diversamente
dal server pubblico, questo sta dicendo la verità. Questo è il tuo
nameserver "normale", nel quale mettere tutto le cose "normali" che
riguardano il DNS. Devi configurare anche questo server in modo che
trasferisca le domande a cui non può rispondere al server pubblico (usando
una linea che faccia da "spedizioniere" in /etc/named.boot in una macchina
Unix, per esempio).

Infine, configura tutti i tuoi client DNS (il file /etc/resolv.conf in una
Unix box, per esempio), includendoli in una macchina con il server
pubblico, per usare il server interno. Questa è la chiave.

Un client interno che interroga un host interno, interroga il server
interno, e ottiene una risposta; un client interno che interroga un host
esterno interroga il server interno, che interroga il server pubblico. Un
client nel server pubblico lavora proprio nello stesso modo. Un client
esterno, comunque, che interroga un host interno ottiene come risposta
"restricted" (cioè limitata) dal server pubblico.

Questo approccio presuppone che ci sia un filtraggio dei pacchetti da parte
del firewall tra questi due server che permetterà a loro di comunicare il
DNS a ogni altro, ma altrimenti limita il DNS tra gli altri host.

Un altro trucco che è utile in questo schema è impiegare wildcard PTR 
records (N.d.T. PTR è un puntatore ad un altra parte dello spazio del nome
di dominio) nei tuoi domini IN-ADDR.ARPA. Questo causa una ricerca (tabellare) 
da indirizzo a nome per ciascuno dei tuoi host non pubblici e restituisce 
qualcosa come sconosciuto.TUO.DOMINIO piuttosto che un errore. 
Questo soddisfa siti con ftp anonimo come ftp.uu.net che insiste
nell'avere un nome per le macchine con cui comunica. Questo fallisce quando
comunica con siti che fanno un controllo incrociato del DNS nel quale il
nome dell'host è verificato a fronte del suo indirizzo e viceversa.

Nota che nascondere i nomi nei DNS non risolve il problema dei nomi di host
fuoriusciti con gli headers delle mail, articoli di news, etc.


10) Come far lavorare un FTP attraverso un firewall

Di solito, il far lavorare l'FTP attraverso il firewall è realizzato o
usando un server proxy o permettendo connessioni in entrata in una rete su
un ristretto range di porte, e altrimenti restringendo le connessioni in
entrata usando qualcosa come regole di monitoraggio stabilite. Il client
FTP è allora modificato per congiungere la porta dei dati alla porta
all'interno del range. Questo implica il fatto di essere capaci di
modificare l'applicazione che fa da client FTP sugli host interni.

Un approccio differente è usare l'opzione "PASV" dell'FTP per indicare che il
server FTP remoto dovrebbe permettere al client di iniziare la connessione.
L'approccio con PASV assume che il server FTP sul sistema remoto supporti
tale operazione. (Vedi l'RFC1579 per ulteriori informazioni).

Altri siti preferiscono costruire versioni di client del programma di FTP
che sono linkate alla libreria SOCKS.


11) Come far lavorare un Telnet attraverso un firewall

Telnet è generalmente supportato o per usare una applicazione che fa da
proxy, o semplicemente per configurare un router per permettere connessioni
in uscita usando qualcosa come regole di monitoraggio stabilite. Le
applicazioni proxy potrebbero essere nella forma di un proxy standalone che
gira su un bastion host, o nella forma di un server SOCKS e un
client modificato.


12) Come far lavorare Finger e whois attraverso un firewall

Permettere connessioni alla porta finger dalle sole macchine fidate, che
possono emettere richieste di finger nella forma di:
finger user@host.domain@firewall .

Questo approccio funziona solo con le versioni standard del finger di Unix.
Qualche server finger non permette la connessione finger su user@host@host.

Molti siti bloccano le richieste finger dirette verso l'interno per una
varietà di ragioni, di cui la più importante è la presenza di buchi nella
sicurezza del server finger (il worm Morris ha reso questi bug famosi) e il
rischio che informazioni riservate o proprietarie siano rivelate nelle
informazioni finger dell'utente.


13) Come far lavorare gopher, archie e altri servizi attraverso un firewall

Questa è ancora un'area di ricerca attiva nella comunità dei firewall.
Molti amministratori di firewall supportano questi servizi solo attraverso
l'interfaccia a linea di comando fornita da telnet. 
Sfortunatamente, molti dei servizi
di rete più provocanti fanno connessioni a sistemi remoti multipli,
senza trasmettere nessuna informazione di cui un proxy potrebbe prenderne
vantaggio, e spesso i più nuovi sistemi di recupero delle informazioni
trasmettono dati agli host e dischi locali con la sola sicurezza minima. C'
è il rischio che (per esempio) i client WAIS possano richiedere file
codificati in uuencode, che decifrano e modificano i file relativi alla
sicurezza nella directory home dell'utente. Al momento, c'è molta
incertezza tra gli amministratori di firewall che sono responsabili della
sorveglianza dei perimetri della rete, e gli utenti, che vogliono
avvantaggiarsi di questi davvero attraenti e utili strumenti.


14) Pubblicazioni su X-Window attraverso un firewall

X Windows è un sistema davvero utile, ma sfortunatamente ha qualche grande
difetto di sicurezza. I sistemi remoti che possono guadagnare o spufare
l'accesso a una workstation con X possono monitorare la pressione dei tasti
degli utenti, scaricare copie dei contenuti delle loro finestre, etc.

Mentre tentativi sono stati fatti per superarli (ad es., MIT "Magic
Cookie") è ancora troppo facile per un aggressore impcciarsi del display 
di un utente di X. 
Molti firewall bloccano tutto il traffico di X. Qualcuno permette il
traffico di X attraverso applicazioni proxy come il proxy DEC CRL X (FTP
crl.dec.com).

-------------------------------

15) Glossario di termini riferiti ai firewall

- Firewall basato su un host: un firewall dove la sicurezza è implementata
in un software che gira in un computer non dedicato di qualunque tipo. La
sicurezza nei firewall basati su un host è generalmente al livello di 
applicazione piuttosto che al livello della rete.

- Firewall basato su un router: un router che è usato per implementare
parte della sicurezza di un firewall configurandolo per permettere
selettivamente o per negare il traffico a livello della rete.

- Bastion host (host che si affaccia all'esterno): un sistema host che è
un punto forte nel perimetro della sicurezza del sistema. I bastion host
dovrebbero essere configurati per essere particolarmente resistenti agli
attacchi. In un firewall basato su host, il bastion host è la piattaforma
nella quale il software firewall gira. I bastion host sono anche chiamati
gateway host.

- Dual-Homed Gateway: un firewall di un bastion host con 2 interfaccie di
rete, una delle quali è connessa per proteggere la rete, l'altra è connessa
a Internet. L'inoltro del traffico IP è di solito disabilitato, limitando
tutto il traffico tra le due reti a qualunque cosa passi attraverso qualche
tipo di applicazione proxy.

- Applicazione proxy: una applicazione che instrada il traffico delle
applicazioni attraverso un firewall. I proxy tendono a essere specifici per
il protocollo per cui sono progettati per inoltrare, e possono provvedere un
aumentato controllo di accesso o verifica.

- Subnet monitorata: una architettura firewall nel quale una rete "sand box"
o "zona smilitarizzata" è configurata tra la rete protetta e Internet, 
con traffico bloccato tra la rete protetta e Internet. 
Concettualmente, è simile a un dual-homed gateway, eccetto che una intera 
rete, piuttosto che un singolo host è raggiungibile dall'esterno.
Di Nicolò Donato
Scrivi un commento - Vedi 0 commenti
Monday 23 november 2009 1 23 /11 /Nov /2009 18:29

sicurezza contro teppistelli di rete

Il vero problema su irc è che il proprio ip è ben visibile a tutti. Effettuando un semplice /whois nick appaiono sullo status le informazioni relative all'user. 

***Frankj is T34M@pippo.com
***Frankj on @#pizza 
***Frankj using irc.tin.it 

Nella prima riga è ben visibile l'host con cui Frankj si sta connettendo all' IRCSERVER --> pippo.com 

E' quindi facile girando per i canali (soprattutto in quelli affollati) che il nostro 
indirizzo venga preso di mira dagli altri frequentatori. 
Infatti è semplice effettuare un nslookup di "pippo.com" o attraverso il comando 
del mIRC "/dns nick" per ricavare lo stesso IP 

*** Looking up Frankj 
*** Resolved pippo.com to 12.34.56.78

Ecco allora il motivo per cui su IRC non si può star tranquilli come quando navighiamo sul web...soprattutto se siamo operatori (@) in quel momento nel canale è facile subire attacchi alla nostra macchina. 

Gli attacchi D.o.S più frequenti su IRC sono: 

bonk 
land 
teardrop 
click 
ssping 
WinNuke 
ICMP Flood 
smurf 
ping pattern 
SYN flood 
Bloop (flushot) 
Igmp (pimp/kod) 

Alcuni di questi non sono più usati, perchè bastano pochi accorgimenti per non essere più affetti. Vediamoli in particolare.

BONK 

Sono affetti dal BONK sistemi WIN95/NT
Il bonk ha come sintomo il blue Screen 
Il bonk può essere generato solo da macchine *nix e per prevenirlo basta 
aggiornare il proprio win95 con le winsock2.2 


LAND

Sono affetti dal LAND sistemi win31/95/NT etc 
Il land ha come sintomo il blocco completo del PC. 
Invia un pacchetto con gli stessi indirizzi di sorgente e destinazione 
ad una porta causando il blocco del sistema 
Il land può essere generato solo da macchine *nix e per prevenirlo basta 
aggiornare il proprio win95 con le winsock2.2 

TEARDROP

Sono affetti dal TEARDROP sistemi win 3.1/95/NT, Linux precedenti a 2.0.32 o 2.1.63 
Il teardrop ha come sintomi il blocco/riavvio immediato del sistema. 
Invia un pacchetto IP frammentato in modo non corretto. Lo stack TCP/IP 
va in crash tentando di riassemblarlo. 
Il land può essere generato solo da macchine *nix e win95 non è ancor del tutto 
immune nonostante la possibilità di aggiornarsi al winsock2.2 per la presenza 
di attacchi con delle caratteristiche differenti dal teardrop originario. 

CLICK 

Sono affetti dal click tutti i sistemi Windows(31/95/98/NT) Linux è invece immune. 
Click o meglio ICMP_DESTINAZIONE_IRRAGGIUNGIBILE ha come sintomo la disconnessione 
dal server IRC con il classico messaggio di uscita: 

*** Frankj has quit irc (Connection reset by peere de cocain) :)) 

Non tutti sanno che questo attacco può essere inviato non solo contro le connessioni IRC, ma anche contro qualsiasi connessione TCP ( i msg di errore del browser per esempio "la connessione è stata reimpostata").
Il Click può essere generato sia da sistemi Windows (famoso appunto il codice di Rhad del click2.2) che da macchine *nix e per difendersi bisogna filtrare ICMP usando un firewall. Anche il Nukenabber filtra questo tipo di icmp ma non ha nessuna funzione di blocco, ti può solo avvisare che in quel momento un determinato ip ti sta attaccando. 
Si consiglia cmq contro il click il connettersi a porte fuori range del server IRC (5667 per irc.tin.it)--> leggere il motd per le altre porte. 

ssping - ping of death 

Sono affetti dallo ssping i sistemi Windows 95, NT etc. 
Lo ssping ha come sintomo il blocco totale del sistema, che richiede un reset 
hardware (CTRL-ALT-CANC non funziona). 
Lo ssping può essere generato solo da macchine *nix e per prevenirlo basta 
aggiornare il proprio sistema con il Winsock 2.2 (o per utenti LINUX 
aggiornare il kernel) 

WinNuke - OOB

Sono affetti dall'OOB i sistemi Win 31/95/NT 
Il WinNuke ha come sintomo il bluescreen (errore VXD) o il blocco del PC. 
Invia dati out of band alle porte 137/138/139 (netbios) 
Il WinNuke può essere generato da macchine Windows o *nix (anche senza avere 
i privilegi di 'root') e per prevenirlo è sufficiente aggiornarsi alle WinSock2.2 
anche se il sito della microsoft ha rilasciato anche una semplice patch. 


ICMP flood 

Sono affette tutte le connessioni modem 
Il modem comincia a ricevere troppi dati e tutte le applicazioni internet diventano 
lente.In questo modo è possibile una disconnessione dal server IRC ed una uscita per 
Ping timeout. 
L'ICMP flood può essere generato indistintamente da macchine Windows o *nix (ping -f) 
e questo attacco dipende dalla bassa velocità di connessione ad internet. 
L'uso di firewall non ha effetto. 

Smurf 

Tutte le connessioni ed interi server IRC 
Lo "smurf" utilizza la tecnica dell'IP spoofing. Invia richieste PING con l'IP della 
vittima ad un elenco di IP detto "BROADCAST" (questi IP terminano con 255 o 0 
e vengono trovati con un "broadscan" per Linux). 
La vittima riceve le risposte a tutti i PING che creano flood. 
Interi IRC server possono subire questo attacco ed in questi casi si crea lo split 
del server dal resto della rete, con la perdita di tutte le connessioni. 
L'uso di firewall non ha nessun effetto. 
Questo attacco può essere generato solo da macchine *nix con privilegi da 'root' anche 
se esiste un programma per win (exploit generator) capace di inviare questo particolare D.o.S 

Ping Pattern 

Sono affetti almeno il 60% dei modem (esclusi gli US ROBOTICS) 
Consiste nell'inviare al modem della vittima attraverso PING o anche CTCP il comando ATH0+++ (disconnessione). Il modem alla risposta si disconnette. 
Un firewall ben impostato risolve il problema o anche basta impostare ATS2=255 fra le inizializzazioni:
Avvio -> Impostazioni -> Pannello di controllo -> Modem -> Proprietà modem -> Connessione -> Avanzate -> Altre impostazioni : inserire S2=255 


SYN flood 

Tutti i sistemi operativi. 
Il suo uso principale è bloccare servizi come Telnet o FTP. 
In pratica un SYN flood stabilisce molte connessioni ad 
un'unica porta TCP di un host remoto. Stabilita una connessione, 
essa viene chiusa immediatamente e ne viene aperta un'altra. 
Applicazioni in IRC sono nell'attacco di porte generalmente 
"monitorate" ad esempio 12345 oppure 139. 
In questo modo è facile che il programma monitor vada in crash con il 
pericolo di un crash di sistema. 
La soluzione è evitare in ogni modo di tenere anche solo per monitoraggio 
porte aperte. 

Bloop (flushot) 

Win95/98 NT 
Invia pacchetti ICMP spoofati casualmente provocando il blocco del sistema. 
Questo attacco può essere generato sola da macchine *nix e l'unico rimedio 
sta nell'attivare un firewall software per filtrare gli ICMP. 


IGMP 

Consiste in un flood di pacchetti igmp e windows (95/NT/98!!) non riesce a gestire 
al meglio questo protocollo.Il risultato è il blue screen con necessità di riavvio 
del sistema. 
L'attacco può essere generato solo da macchine *nix. 
Il D.o.S è relativamente recente (aprile 99) ed io personalmente non conosco 
la presenza di patch per il windows98 ma un firewall ben configurato mette al sicuro la macchina da questo tipo di attacco. 

Difendiamoci: 

Se avete letto bene questi sono i possibili attacchi che più frequentemente 
potete subire mentre IRCATE.

Soluzioni:

LINUX

Le ultime versioni del kernel sono ancora esenti da particolari D.o.S (effettivamente esiste un d.o.s per il 2.2.x ma sarà presto risolto). Per Linux il vero problema è la configurazione dei singoli servizi. Cmq mi pare essenziale per un uso non da SERVER effettuare questa configurazione:

/etc/securetty 
Commentare tutte le linee aggiungendo come primo carattere # differenti da 

#/etc/securetty 
tty1 
tty2 
tty3 
tty4 
tty5 
tty6 
tty7 
tty8 

In questo modo sarà impossibile collegarsi da root da connessioni seriali e parallele.

Inoltre per impedire a chiunque di far un uso remoto dei servizi e quindi renderli disponibili solo da locale editare in questo modo: 

/etc/hosts.allow 

#/etc/hosts.allow 
ALL: LOCAL: 

e: 

/etc/hosts.deny 

#/etc/hosts.deny 
ALL: ALL 

Ancora andare nel file /etc/inetd.conf e commentare i servizi che non vogliamo eseguire.
Es:ftp..telnet..imap.. (il mio file ad esempio è tutto commentato)

Windows95

In questo caso prima di tutto bisogna aggiornarsi alle winsock2.2 installando in questo ordine i seguenti files:

(ricordarsi di rebootare dopo aver installato ciascun pacchetto)

MS Winsock Update (wsockupd.exe) 
http://www.tele-servizi.com/pizzascript/bin/WSOCKUPD.EXE 

the MS DUN 1.3 Upgrade (msdun13.exe) 
http://www.tele-servizi.com/pizzascript/bin/msdun13.exe 

Winsock 2.2 Upgrade (ws2setup.exe) 
http://www.tele-servizi.com/pizzascript/bin/W95ws2setup.exe 

Installando un firewall si riesce inoltre a prevenire anche attacchi tipo click e ping pattern ed IGMP mentre nulla si può fare contro attacchi di flood icmp e smurf.

Windows98

E' decisamente più stabile in rete rispetto a windows95 e non necessità nessun 
aggiornamento. 
E' però affetto da attacchi del tipo click e ping pattern ed igmp (per l'igmp *dovrebbe* comunque uscire una patch). Installando un firewall si riescono a prevenire anche questi. Nulla si può fare contro attacchi di flood icmp e smurf. 

MA cosa è un Firewall ? 

IL Firewall (barriera antifiamme) in campo informatico è un programma che può 
girare sulla tua stessa macchina (per esempio il conseal) o su server dedicati 
per esempio linux. 
La sua funzione principale è quella di filtro fra 2 reti , generalmente fra internet ed una rete privata ,regolando i pacchetti che possono uscire o arrivare al sistema, ma anche di MASQUERADING nel caso in cui mascherando i pacchetti in uscita 
il firewall inserisce come indirizzo ip il proprio e non quello della macchina che li ha generati.
Un problema successivo è quindi di come regolare bene un firewall, sia per proteggere il proprio sistema da attacchi D.o.S , sia da connessioni su servizi indesiderati.

Download Firewall

Conseal Pc Firewall

Zone Alarm

- mIRC e sicurezza -


--------------------------------------------------------------------------------

mIRC non è altro che un client per IRC. Oltre ai pericoli derivanti da IRC per fortuna mIRC non ne aggiunge di molti :)

Il client senza uso di script è di per sè sicuro..nelle peggior delle ipotesi sono stati trovati bug che crashavano il solo client senza pericolo per il resto del sistema. 
Delle versioni più recenti ricordiamo: 

Il mIRC 5.3* ha l'ident server Buggato..è appunto sufficiente un SYN flood alla 
porta 53 per provocare il crash del client. (nel caso in cui è attivo l'identd) 

Il mIRC 5.4 invece presenta un bug che provoca la chiusura del client attraverso un determinato DCC.

Tutte le versioni precedenti alla 5.51 inoltre presentano un grave difetto di 
sicurezza per la gestione dei DCC SERVER (l'exploit permette di inviare file in qualsiasi cartella dell'unità dove è installato mIRC e suddetto file può anche apparire come "sexx.jpg" in verità è "\..\..\..\WINDOWS\Menu avvio\Esecuzione automatica\troian.exe" ) 

Un consiglio ? 
Il mIRC 5.82 per ora si presenta il migliore. 

Veniamo ora alla note dolente --> L'uso di SCRIPT per mIRC! 
Lo script per mIRC è sempre stata la sede di backdoor e considerando anche i 
file .exe allegati, di trojani e virus. 
Non usate script se non capite il suo codice..o almeno dopo essersi fatti consigliare da chi di codice ne capisce. 
E' questo il motivo per cui se dovete usare uno script..usate uno script che sia stato almeno testato e controllato da gente competente (naturalmente quelli su ircitalia sono stati accuratamente esaminati :))).
Prima di usare programmi nukers inclusi è sempre bene effettuare una scansione con un antivirus AGGIORNATO (consiglio l'AVP prelevabile in test gratuitamente su http://www.avp.it ) 

Poche linee di codice "cattivo" all'interno di uno script possono rendere il vostro 
sistema completamente vulnerabile (rischio di format) e la vostra privacy completamente a rischio. (lettura query e messaggi privati).
Per questo motivo MAI accettare da sconosciuti.. e anche da pseudo amici Script o semplici file.ini.
Insomma prima di caricare qualcosa nel remote del mIRC pensateci 10 volte.

- IP e difesa -


--------------------------------------------------------------------------------

La soluzione "ottimale" per andare su irc correndo il minimo dei rischi è quello di poter nascondere il proprio IP.
Con questa logica nasce in alcuni server non ircnet il mode +x che permette di nascondere agli altri user (eccetto ircop) il proprio ip.

In pratica:

***Frankj is T34M@pippo.com 

diventa:

***Frankj is T34M@***.com 

Quali sono questi server?!? 
Bene in Italia è nata non da moltissimo la AZZURRA NET...collegatevi ad irc.azzurra.it 6667 per maggiori informazioni. 
Il problema di questi server è la loro limitatissima banda..quindi succede che spesso invece di effettuare attacchi ai singoli user si vada a colpire l'intero server, la chat diventa impraticabile ed infatti non sono mai affollati ; ) 

Su IRCnet per fortuna ci sono altre soluzioni.

La prima fra queste è il sockarsi. 

E' possibile infatti configurare il proprio IRC client (mIRC in questo esempio) alla voce options-setup-firewall in modo da usare un socks server come relay su irc 
in questo modo sarà quindi possibile chattare collegandosi attraverso il socks e 
naturalmente apparirà nella chat come proprio ip quello del socks server.

In questo modo tutti gli attacchi rivolti a voi andranno verso il socks server 
(macchine *nix e solo per questo più stabili in rete) anche se il 90% di socks 
è dotata di banda talmente ridicola da non opporre alcuna resistenza a flood tipo 
smurf...vi scollegherete ugualmente da irc ma almeno la vostra connessione internet rimarrà "salva".
Usare socks "aperte al pubblico" non è permesso su tutti i server IRC...alcuni server prima di permettere il collegamento del client verificano lo stato della porta 1080tcp per impedire in caso affermativo la connessione (il socks server infatti è in ascolto sulla 1080).

Trovare Socks aperte al pubblico non è difficile, ci sono in circolazione scripts per mIRC con questa funzionalità, non fanno altro infatti che scannare i canali alla ricerca di porte 1080 in ascolto. 

Uso di BNC

In questo modo non fate altro che connettervi ad un BNC che gira su un'altra macchina e da questo redirigere la connessione al server IRC. 
BNC sta appunto per BouNCer. 
Naturalmente il massimo della sicurezza è l'uso di un BNC su una macchina *nix 
con una grande banda. 
In questo modo anche gli attacchi tipo smurf/icmpflood saranno inefficaci e 
naturalmente vi collegherete su irc con l'ip della macchina dove risiede il BNC.
Per Sapere di più sui Bnc vi consiglio di consultare questa pagina.



- Dcc Send e Trojani -


--------------------------------------------------------------------------------

Cosa è un Trojan?
Si dice cavallo di Troia un "programma, all'apparenza innocuo (come un salvaschermo, gioco, hack, nuke, ecc.), che provoca gravi falle alla sicurezza di un sistema". Una volta eseguito il file il tuo computer diventa controllabile da chiunque, che ora può takkare i tuoi canali IRC, rubare password di account, modificare/cancellare files sul tuo disco, usare il tuo computer per compiere criminosi attacchi DoS su altri, o peggio! I Trojan non sono virus, ma una volta "infetto", gli effetti sono pericolosi, e puoi diffondere il trojan ad altri senza esserne consapevole!


Prima importantissima regola: non accettate file con estensioni .exe .doc .bat .ini .mrc .xls .com da sconosciuti. Diciamo più semplicemente che i file che potete aprire senza correre rischi sono i file di testo semplice (non aprite gli rtf con word) file di immagini e file audio. 
Naturalmente questo per non correre il rischio di infettarsi con virus, ma anche con 
backdoors (trojans) oppure di installare backdoor nel remote del mIRC attraverso script.ini dmsetup etc. 
Il problema specialmente sorge quando all'entrata di un canale vi appare la finestra di ricezione dcc send. Premete CANCEL ;-) 
Se invece siete stati fatti oggetto di beffe ed avete avviato un file.exe probabilmente vi siete installati una backdoor nel vostro sistema.

Le backdoor più diffuse per il mondo windows sono: 

- Backorifice 
- Netbus 
- Master Paradise 
- Telecommando 
- Microsoft Windows --> Condivisioni file e stampanti ;-) 

Per scovare la presenza di una queste backdoor nel vostro sistema la cosa più saggia è quella di scaricarsi 
un buon antivirus AGGIORNATO dal web. Un consiglio ? AntiViral toolkit Pro (AVP) scaricabile e per un mese in prova 
da http://www.avp.it 

Se invece non abbiamo tempo per scaricarci un antivirus..oppure pensate di avere sul vostro sistema una backdoor difficilmente 
rilevabile dagli usuali antivirus seguite questa procedura. 
Effettuate dal prompt dei comandi prima della connessione ad accesso remoto "netstat -na" 
Se siete puliti non vi troverete nessuna porta IN LISTENING (in ascolto) 
Lo stesso dovete fare dopo la connessione SENZA APRIRE NESSUN PROGRAMMA. 
Se ancora non ci sono porte sospette..è tutto OKI 
Non aprite programmi perchè i programmi stessi per esempio il mIRC apre alcune porte in listening 
(53 e 79 ) per finger e dcc. 
Vi risulta invece per vostra sfortuna una porta aperta?!? (ricordatevi di chiudere il nukenabber!!) 
probabilmente ,ma non sempre cosi, questa portà potrà essere la 12345 12346 o la 31337. 
Argh che fare? Usate un antivirus ...ma se ne volete fare a meno..ecco come disinfettarsi. 
Controllate il registro di configurazione alle chiavi 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce 

dove sono i programmi lanciati all'avvio. Cancellare da tale chiave qualunque cosa non sia di "sicura" provenienza (Barra di Office, antivirus, demone ICQ, ...) 
Se vi risulta un file sospetto riavviate e cancellatelo. 
Dopo di che rieffettuate la verifica con il netstat prima e dopo la connessione remota. 

Ecco un Breve Elenco dei Trojani + famosi con le loro porte Standard...Se vi ritrovate con una di queste porte in listening con nessun programma in esecuzione..allora è probabile che siete infetto da questo tipo di trojan:

Porta di ascolto Nome trojan 
31 TCP Master Paradise

1240 TCP Ballinae Server (con menoka4.x) 
5001 TCP Socket de Trois 
12345 TCP netbus1.6 
12346 TCP netbus1.7 
31337 UDP Backorifice 
61466 TCP Telecommando 

E' necessario per non avere accessi indesiderati nella vostra macchina dare una occhiata:

Basta aprire Avvio -> Impostazioni -> Pannello di Controllo -> Rete -> Protocolli e controllare l'elenco.

Si corre il rischio che un intruso possa accedere alla vostra macchina semplicemente inserendo il vostro IP in Avvio -> Trova -> Computer, se si ha Accesso Remoto aggiornato. Naturalmente bisogna avere attivato delle condivisioni di risorse su alcune unita'/cartelle del computer.

- Sicurezza ed ICQ -


--------------------------------------------------------------------------------

A parte tutti i problemi legati al mostrare il proprio ip e all'accettare file, lo stesso protocollo di ICQ è ridicolamente semplicistico, e pieno di buchi di sicurezza. Anche il software ICQ.
Quindi è possibile effettuare lo spoofing di utenti ICQ, bloccare le loro macchine, 
o in teoria anche far eseguire del codice arbitrario tramite buffer overflow, ciao a tutti il solito Nicolò
Di Nicolò Donato
Scrivi un commento - Vedi 1 commenti
Monday 23 november 2009 1 23 /11 /Nov /2009 18:27

COME SCOVARE LE PASSWORD DI POSTA ELETTRONICA (non combinate danni e a solo scopo informativo)

Supponiamo di dover scovare la password di posta elettronica di un utente, e cerchiamo di vedere quali siano i possibili metodi per realizzare tale azione. Una prima tecnica, praticamente impossibile da applicare, potrebbe essere riuscire ad entrare nel server di posta a cui è registrato l'utente e trarre tutte le informazioni che si vogliono. Purtroppo questa è una vera e propria azione di crackaggio ed è da escludere a priori. Comunque se ci riuscite contattatemi perché vi do le mie coordinate bancarie, e mi fate anche un favore... :)

Un secondo metodo, molto più realistico e funzionale, è quello di crearsi un account di servizio presso lo stesso servizio di posta a cui è registrato l'utente. Supponiamo che la vittima sia ciccio@katamail.com, basta crearsi un account tipo staff_tecnico@katamail.com, e mandare a ciccio una bella mail, ricca di formalità, in cui gli si richiede di inviarvi il nome utente e la password, per morivi tecnici di riordino dei database. Se ciccio non è propriamente un genio, tale tecnica dovrebbe funzionare, ma potrebbe destare qualche sospetto ed indurlo a cambiare password magari dopo qualche giorno, dunque spicciatevi:)

Se ciccio si verificasse più furbo del previsto, dovreste passare al piano numero tre. La terza tecnica, ovvero l'uso di programmi specifici che provano molte password, sino a che non trovano quella che gli permette di entrare. Nel sito, a tale scopo, sono presenti Elzapop, e brute, ma se volete uno strumento ancora più veloce potete ricorrere a Brutus che troverete senza alcuna difficoltà nella rete, mentre sconsiglio l'uso di Unsicure 1.2, che è valido per il cracking dell'FTP, ma non adatto al nostro scopo. In Elzapop, sono presenti due file, user.txt e pass.txt, entrambi vuoti. Voi non dovete far altro che inserire in user.txt, la stringa "ciccio" e sovrascrivere pass.txt con un file dallo stesso nome ma che contenga una grande sfilza di password possibili, un esempio potrebbe essere:

 

pippo

topolino

paperino

clarabella

 

A questo punto basterà lanciare il comando dal prompt di dos: elzapop mail.katamail.com ed elzapop proverà tutte e quattro le password inserite, sull'utente scritto in user.txt, ovvero su ciccio@katamail.com Il problema che si pone ora è di avere un gran numero di password possibili. Nel sito ho fornito un dizionario delle parole italiane, comunque in giro per la rete se ne trovano di tutti i tipi: inglese, tedesco, spagnolo, cinema, nomi, ecc, ecc...

Arrivati a questo punto, se dopo il pomeriggio speso a provarle tutte, ottenete la vostra bella password che Elzapop vi svelerà con tanto entusiasmo, avete ottenuto il vostro scopo, mandatemi una bella mail e fatemelo sapere. Se invece, siamo caduti nello sconforto, niente paura... non siamo ancora del tutto affondati, manca la poppa... :)

Nel sito sono presenti txt2diz, WeirdWord e passlist, i primi due prendono un vostro documento e ne creano un file con tutte password rimescolando le parole presenti nel file di input, mentre passlist crea tutte le password possibili, dandogli come input, solamente l'inizio della ricerca e il tipo di caratteri presenti nella password... occhio ai file di dimensione eccessiva...

La premessa è che con i primi due, si ottengono bei risultati, sempre ammesso che ciccio abbia una password abbastanza usuale... Se ciccio avesse una password piuttosto complicata con lettere minuscole, maiuscole e numeri ad esempio, si dovrebbe ricorrere alla creazione di una lista di password con passlist ed in tal caso i tempi per provarle tutte sarebbero davvero lunghissimi ed a meno che non si possegga un processore Alpha e un collegamento di tipo T3, di sicuro spenderemmo solo un gran numero di ore di collegamento a internet :(

Se avete ottenuto Brutus, la stessa cosa la potete fare direttamente senza utilizzare passlist, perché farete direttamente un attacco di tipo BruteForce...

In questo punto della vostra disperazione, non credo abbiate ottenuto risultati concreti, io non li ho ottenuti... però provate pure col brute force... :)

Se dopo ore e ore di prove, non riuscite ad ottenere nulla, forse è il caso di lasciar perdere questa tecnica, perché ciccio ha di certo una password come si deve... :(

Si passa in questo dantesco avvicinamento all'inferno, alla quarta tecnica, più che semplice, ma attuabile solo se avete accesso diretto al pc della vittima. Consiste nel prelevare tutti i file di estensione *.pwl e con programmi specifici che si trovano per la rete e che effettuano un attacco brute force (non siete connessi, operate su di un file, tempi molto ridotti...), al massimo in 3 giorni otterrete le password di tutto il sistema, tra cui di certo anche quella di posta elettronica di ciccio. La faccenda si complica ma neanche troppo, se si deve ricorrere alla quinta via, che consiste nell'effettuare lo stesso "lavoro" svolto nel quarto metodo, ma questa volta senza avere l'accesso diretto al pc della vittima: bisogna lavorare in remoto. Alex vi fornisce nel sito diversi trojan, NetBus, SubSeven e in giro se ne trovano anche di altri, scaricatene uno, studiate qualche modo per infettare la vittima col server(un'idea ovvia è inviarglielo per posta a nome di un amico :)), e cercate con le tecniche descritte da Alex nella sezione Ip, di scoprire il suo ip, o il nome host, potrete controllare così da remoto il suo pc. A questo punto basterà attivare il comando che preleva i file .pwl (in NetBus è FILE MANAGER-DOWNLOAD). Ora avete i file delle password criptate, sapete già cosa fare, altro giro altra corsa, si parte col BruteForce e si ottiene la password... Un sesto metodo, molto più ristrettivo, è attuabile se voi avete un documento word protetto della vittima. Con il programma Office password recovery che vi mette a disposizione Alex, avrete in breve tempo la password e poiché è molto usuale usare una password un po' per tutto, avrete anche ottenuto al 99% la chiave di accesso alla posta elettronica...

Di Nicolò Donato
Scrivi un commento - Vedi 1 commenti

 

Presentazione

 

Crea un Blog

Crea un blog gratis

 

Articoli recenti

Elenco completo

 

Calendario

January 2012
M T W T F S S
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
<< < > >>

 

Crea un blog gratis su over-blog.com - Contatti - C.G.U. - Remunerazione in diritti d'autore - Segnala abusi