Cerca nel blog
10 gennaio 2013
007: Licenza di spiare (le porte seriali e non solo)
Dopo un paio di mesi abbondandati che stiamo lavorando alla struttura generale del software e all'integrazione della prima famiglia di strumenti, oggi ci siamo ritrovati in una situazione imbarazzante. Il manuale dello strumento, che non è privo di errori e imprecisioni, si è dimenticato di dirci come far fare al dispositivo una procedura piuttosto importante. Sapevamo che poteva essere fatta perché il software in dotazione, di cui non abbiamo il codice sorgente, era in grado di farlo, quindi doveva esserci una via.
Missione sniffing
Il protocollo di comunicazione dello strumento in questione ormai è diventato la nostra seconda lingua. Quando vediamo una strisciata di doppietti esadecimali inviati o ricevuti dal macchina sappiamo subito capire di cosa sta parlando, anche perché altrimenti non avrebbe senso il titolo di questa rubrica. La soluzione più facile era "ascoltare" cosa diceva il computer allo strumento quando sul software proprietario pigiavamo il bottone corrispondente al comando incognito. Sì, ok, ma come? La comunicazione avviene su un cavo e non possiamo certo avvicinare l'orecchio.
Per questo genere di spionaggio, che in gergo tecnico prende il nome di sniffing, ci sono degli appositi pacchetti software, molto spesso specifici per una tipologia di comunicazione (ethernet, seriale, usb...) e anche gratuiti, che una volta installati sul pc sono in grado di catturare in modo passivo i pacchetti inviati e ricevuti attraverso quello specifico canale.
Detto fatto. Installato il programmino e avviata la modalità di registrazione, abbiamo cliccato sul bottone misterioso e siamo corsi a leggere cosa i due si erano detti. Un minuto dopo, anche il nostro software era in grado di farlo!
Chiunque può lasciare commenti su questo blog, ammesso che vengano rispettate due regole fondamentali: la buona educazione e il rispetto per gli altri.
Per commentare potete utilizzare diversi modi di autenticazione, da Google a Facebook e Twitter se non volete farvi un account su Disqus che resta sempre la nostra scelta consigliata.
Potete utilizzare tag HTML <b>, <i> e <a> per mettere in grassetto, in corsivo il testo ed inserire link ipertestuali come spiegato in questo tutorial. Per aggiungere un'immagine potete trascinarla dal vostro pc sopra lo spazio commenti.
A questo indirizzo trovate indicazioni su come ricevere notifiche via email sui nuovi commenti pubblicati.
27 commenti:
Chiunque può lasciare commenti su questo blog, ammesso che vengano rispettate due regole fondamentali: la buona educazione e il rispetto per gli altri.
Per commentare potete utilizzare diversi modi di autenticazione, da Google a Facebook e Twitter se non volete farvi un account su Disqus che resta sempre la nostra scelta consigliata.
Potete utilizzare tag HTML <b>, <i> e <a> per mettere in grassetto, in corsivo il testo ed inserire link ipertestuali come spiegato in questo tutorial. Per aggiungere un'immagine potete trascinarla dal vostro pc sopra lo spazio commenti.
A questo indirizzo trovate indicazioni su come ricevere notifiche via email sui nuovi commenti pubblicati.
Lo ho sempre detto che voi del CERN siete peggio di8 CIA e KGB ;)
RispondiEliminaSaluti,
Mauro.
4C, 61, 62, 45, 6C, 20, 31, 20, 2D, 20, 43, 61, 6E, 62, 65, 72, 72, 61, 20, 30
RispondiEliminanon siamo al cern purtroppo e le nostre doti di spia sono limitate ai computer!!!
RispondiEliminastavo cercando lo 0x01 d'inizio e lo 0x19 di fine trasmissione
RispondiEliminavedo Canberra...
RispondiEliminaToto non fare il modesto! Sono certo che sei in grado di fare sniffing su una porta ethernet, basta mettersi sul gateway giusto (la parte più difficile probabilmente è arrivarci ) e si spiano anche gli umani :)
RispondiEliminaCiao
Ok va bene diciamo che ne sarei tecnicamente capace, ma giuro di non averlo mai fatto prima :)
RispondiEliminaScopriresti tante cose interessanti.... (a scanso di equivoci: io l'ho fatto sulla rete domestica)
RispondiEliminaIl problema in effetti è come dice @f17bfe82c30ff7f9c49aaad4516f37c7:disqus mettersi al posto giusto, per tutto il resto c'è... Wireshark!
Un chiaro esempio di reverse engineering, in aperta violazione di qualsiasi licenza d'uso di ogni hardware e software.
RispondiEliminaE' per questo che e' ancora piu' divertente quando ci si riesce! :-D
Ciao, Luca
bhe... a nostra parziale discolpa (è necessaria? :) c'è che se loro ci avessero fornito il manuale completo noi non avremmo certo violato il loro software.... in fondo loro lo sapevano chi erano i destinatari del prodotto: gente che non si ferma certo davanti alle difficoltà!
RispondiEliminaè un po' come quando ci hanno installato la nuova stampante multifunzione con alcune funzioni bloccate. era solo questione di tempo e poi il blocco sarebbe sparito :)
E' proprio perche' sapevano che il loro prodotto finiva in mano a gente come voi che non si sono curati di fornirvi il manuale. Tanto sapevano gia' come sarebbe andata a finire... :-D
RispondiEliminaè stata la stessa conclusione a cui è giunto @facebook-1080766124:disqus qui sotto!
RispondiEliminaWireshark se non ci fosse bisognerbbe inventarlo!
RispondiEliminaIo lo uso regolarmente (legalmente ovviamente), anche sui gateway di uffici per fare debug alla rete quando a problemi, li ne vedi di tutti i colori :)
Un esperimento interessante invece (confesso di averlo fatto) è configurare una wireless aperta e vedere in quanti si connettono, abito a milano al primo piano e in un'ora ho visto passare una trentina di devices. Questo per dire anche quanto possa essere pericoloso "scroccare" una connessione ;)
30 "ospiti" in un'ora? alla faccia... una media di un nuovo amico ogni due minuti!
RispondiEliminaGiusto per curiosità statistica... hai visto se qualcuno di questi ospiti si è poi fidelizzato, ovvero è tornato a farti visita? Sarebbe da farci uno studio sociologico!
Più che altro, saresti sorpreso di vedere quante password passano sulle reti "scroccate"... se uno lo facesse con malizia...
RispondiEliminaE si sono molti, abito in una strada trafficata! Non ho visto se qualcuno si è fidelizzato, però sarebbe interessante, tracciare i Mac Address e vedere chi ritorna.
RispondiEliminaFacciamo uno studio?
RispondiEliminaPerchè no, basta riaccendere la vlan sulla wireless free e loggare il tutto, poi bisogna interpretare correttamente i dati.
RispondiEliminaSe sei interessato possiamo farlo.
Vero... anche se oramai molti servizi, la parte di login almeno, la fanno su SSL. Si può sempre fare un MIM ma difficilmente un utente ignora un avviso a tutta pagina sul browser che ti avvisa che il sito non è affidabile :)
RispondiEliminaSe però prendiamo i vari social, la login è si criptata, ma tutto il resto (immagini,chat,messaggi) passa in chiaro.
Diciamo che a farlo con malizia, si trova anche il modo di trovare le password mandate via SSL.
Puoi sempre iniettare del codice nelle risposte all'utente "scroccone", in questo modo mi sembra molto molto(fin troppo) facile prendere il controllo totale del computer della vittima.
se la cosa non ti costa troppo tempo e risorse e ovviamente non mette in repentaglio la tua sicurezza informatica. ...
RispondiEliminasarebbe bello vedere se ci sono orari di punta degli scrocconi, se sono fedeli, se il loro numero aumenta dopo un paio di giorni, del tipo che si sparge la voce e quanto traffico generano.
se ci stai, facciamo un bel post congiunto. io mi offro per l'analisi dei dati (se tu mi dai una mano nella decodifica) e tu fai lo spiegone di come hai fatto :)
dimenticavo... se non ti va... basta dire no, o anche niente :)
RispondiEliminaSecondo me è interessante, si può fare. Sarei inoltre onorato di comparire in un post congiunto su unico-lab ;)
RispondiEliminaCi sto anche per la decodifica dei dati e lo spiegone (però mi devi fare da revisore :))
Per il tempo e le risorse, a causa del mio lato nerd, casa mia sembra un piccolo e disordinato data-center :) è tutto già pronto, basta solo girare l'interruttore "log" su on ;)
La sicurezza non dovrebbe essere un grosso problema, è importante non sottovalutare i rischi, però, a naso, gli utenti "scrocconi" non dovrebbero essere i più preparati (tecnicamente, per il resto sono sicuramente ottime persone, forse solo un po scrocone :) ) tra gli avversari che, purtroppo, mi è capitato di dover affrontare.
Facendo una statistica superficiale, trovo abbastanza improbabile che anche uno solo degli utenti scrocconi abbia intenzione di violare la sicurezza degli altri sistemi in LAN o commettere un "cyber crimine" usando la mia connessione (sarebbe però estremamante interessante anche perchè il cyber criminale non saprebbe di essere incappato in un http://it.wikipedia.org/wiki/Honeypot ;))
e allora prepariamo la trappola... ci sentiamo via mail per i dettagli :)
RispondiEliminaok, io la tua mail ce l'ho e ,se ti ricordi chi sono (nonostante ti legga sempre non sono un gran commentatore del blog), dovresti avere la mia ;)
RispondiEliminala risposta è nella risposta la mio commento, ho sbagliato e mi sono risposto da solo :)
RispondiEliminahai scatenato il mostro che c'è in me... ti scrivo appena faccio una pausa!
RispondiEliminaEh eh ok;). Intanto ieri sera ho riacceso il tutto e stamattina alle 7:10 è arrivato il primo "ospite"
RispondiElimina