Ipotesi di strategia

Dato che si tratta di un’operazione abbastanza complicata e altrettanto illecita, si possono fare soltanto delle supposizioni su come procedere, dei pensieri, delle fantasie su come arrivare all’obiettivo. Se si volesse usare una soluzione fantasiosa si potrebbe sfruttare un bug del sistema operativo o di qualche altro programma installato per installare un sistema di controllo remoto, oppure, un semplice Keylogger. Così facendo quando la vittima (da ora in poi Alice) accede al servizio di MSN intercetteremo la password.
Necessariamente dobbiamo organizzare il nostro attacco in vari punti:

• raccogliere informazioni sul sistema da attaccare;
• tutto su Alice: le abitudini, conoscenze informatiche, il che software usa, come e quanto, se aggiorna il software, ecc.;
• che tipo di bug potremmo sfruttare: quello che ci permette le maggiori garanzie di successo;
• test delle soluzioni su un sistema costruito per l’occasione;
• exec

Fondamentale è scoprire che tipo di computer e sistema ha Alice. Dalle informazioni che mi ha dato Bob (il mio amico) il sistema è Windows Xp versione pirata, quindi, Alice difficilmente potrà fare gli aggiornamenti (grazie Microsoft). Sappiamo che Alice usa MSN ma non abbiamo informazioni sulla versione. Non si sa che Browser usi e che tipo di antivirus abbia. Tutte queste informazioni non le possediamo, e quindi, bisogna fare ricorso a un vecchio trucco: basta preparare una pagina html con un servizio di analisi dei visitatori (ne esistono a migliaia e gratuiti) e dobbiamo fare in modo che la nostra Alice (e solo lei) veda la pagina, si potrebbe fare ugualmente con una mail in formato html, ma difficilmente si ottiene qualcosa.

Dalle nostre analisi risulta che Alice usa Internet Explor 7, e questo è già sufficiente in quanto a luglio è stata scoperta una vulnerabilità di cui si dispone di un exploit (è anche vero che si potrebbero usare i bug presenti nel bollettino di ieri, ma dato che non sono presenti degli exploit già pronti non verrano presi in considerazioni). Si può usare questo exploit oppure questo (logicamente ci sono errori voluti in alcuni punti del software, sta nella vostra bravura trovarli, non mi va che un ragazzetto malintenzionato faccia copia e incolla… poi il responsabile sono io???). Oppure si potrebbe usare questo, molto particolare, solo che bisogna chattare con l’altra persona per utilizzarlo. Un’altra cosa da notare è che gli script segnalati fanno partire la calcolatrice di win, giusto per evitare che i soliti malintenzionati facciano danni. Questi script per esserci utili hanno bisogno di alcune modifiche, al posto della calcolatrice dovrebbero far partire altro o installare qualche altro programma a noi utile.

Preparato il nostro exploit, dopo aver testato l’effettivo funzionamento, bisogna farlo arrivare ad Alice, e qua si apre un altro mondo di strategie, ci stanno migliaia di metodi ma questi non fanno parte del nostro discorso. Se tutto ok il gioco è fatto.

Fine

Saluti Arturu.it

Ps se qualcuno ancora si sta domandando: ma la password come la trovo? significa che è meglio lasciar stare ste cose, basta un pò di spirito di osservazione…

successivamente tramite shell o un programma grafico si possono trasferire i file su un cd vuoto. In questo modo la conversione dei file midi deve essere fatta sempre ad uno ad uno, cosa molto tediosa, possiamo fare in modo che vengano convertiti tutti i file MIDI presenti in una determinata cartella e trasferiti su cd in modo automatizzato. Per risolvere questo problema si può utilizzare uno script adatto allo scopo. Di seguito uno script commentato in ogni parte.

#!/bin/sh
##
## midi2cd MIDI_FILE...
##
#
# Modificare questa variabile per indicare le coordinate del
# masterizzatore.
#
DEV="0,0,0"
#
# Se si tratta di un masterizzatore ATAPI che non è riconosciuto
# da Cdrdao, conviene assegnare la stringa "--driver generic-mmc".
#
CD_DRIVER=""
#
# I file MIDI vengono forniti come argomenti della riga di comando.
#
MIDI_LIST="$@"
#
# Collocazione dei file temporanei.
#
TEMPORARY=`tempfile`
rm -f $TEMPORARY
mkdir $TEMPORARY
TOC="$TEMPORARY/TOC"
#
# Variabile usata per numerare sequenzialmente le tracce.
#
N="0"
#
# File correnti.
#
MIDI=""
WAV=""
#
# Inizia il file TOC di Cdrdao.
#
echo CD_DA > $TOC
#
# Si convertono i file MIDI.
#
for MIDI in $MIDI_LIST
do
#
# Incrementa N.
#
N=$(($N+1))
#
# Definisce il nome da dare al file WAV: usa il numero sequenziale
# e gli aggiunge l'estensione.
#
WAV="$TEMPORARY/$N.wav"
#
# Converte il file MIDI.
#
timidity -Ow -s 44100 $MIDI -o $WAV
#
# Aggiunge le informazioni necessarie nel file TOC di Cdrdao.
#
echo // Track $N >> $TOC
echo TRACK AUDIO >> $TOC
echo NO PRE_EMPHASIS >> $TOC
echo TWO_CHANNEL_AUDIO >> $TOC
echo AUDIOFILE \"$WAV\" 0 >> $TOC
#
done
#
# Incide il CD.
#
cdrdao write \
--overburn \
-v 2 \
--buffers 128 \
--speed 4 \
--device $DEV \
$CD_DRIVER \
$TOC

lo script seguente si potrebbe chiamare midi2cd ed eseguendolo in una qualsiasi cartella (es: midi2cd *.mid) converterà in automatico i file midi in audio e li scriverà su cd. Nell’utilizzare questo script bisogna considerare alcuni punti:

• i file midi verranno processati in ordine alfabetico;
• la qualità dei file audio che si ottengono dipende molto dalle librerie di suoni che si utilizzano, quindi sarebbe opportuno, se si desidera una qualità audio superiore utilizzare librerie adatte e non quelle di default (molto leggere);
• il totale di minuti da convertire, bisogna rispettare le capacità di un cd;
• lo script deve avere i permessi necessari per essere eseguito, dipende da sistema a sistema, ad es su kubuntu funziona da utente normale.

Google è un potente motore di ricerca che mette a disposizione degli utenti un sacco di funzionalità per poter effettuare le ricerche, inoltre ha delle funzionalità interne che vengono utilizzate dal motore per diversi motivi: pubblicitarie, statistiche, strumenti per webmaster, strumenti di ottimizzazione dei siti ecc. Queste funzionalità utilizzate e combinate in un certo modo possono essere sfruttate per carpire delle informazioni molto riservate. Questa tecnica è sempre esistita ma il modo d’utilizzo cambia spesso perché vengono sviluppate in google sempre nuove funzionalità.

Tempo fà una tecnica molto in voga era la ricerca dei file multimediali (mp3, filmati, ecc) in server in cui le directory non erano protette. Ad esempio se voglio trovare delle cartelle non protette mi basta cercare tutte le pagine che hanno come titolo: index of, che è il titolo della pagina generata automaticamente dal server http quando una cartella non è protetta, inserendo come filtro intitle:”index.of”. In questo modo google ricercherà tutte le cartelle non protette sul web, è necessario restringere il campo di ricerca inserendo un altro filtro: (mp3|wav|mpeg|mp4|avi|ecc), in questo modo ricercherà le cartelle non protette che contengono file multimediali. Il risultato sarà come in questa pagina. Bisogna precisare una cosa, dato che ormai è una tecnica che utilizzano in molti, alcuni fubacchioni preparano delle pagine apposite con degli mp3 a pagamento tramite dialer. Un risultato buono è come quello in questa pagina.

Ritorniamo all’argomento dell’articolo. Combinando questi comandi oltre a scaricare da internet file che sarebbe quasi impossibile trovare si possono scaricare un sacco di altre informazioni molto più interessanti. Come al solito non scrivo direttamente i comandi li metto su immagini:

inoltre su You Tube sono disponibili un sacco di video che illustrano la tecnica:

video1 video2 video3 video4 video5 video6 video7 video8 video9 video10

Un’altro tipo di risultato che google riesce ad intercettare sono le telecamere collegate in rete o controllate a distanza.  La tecnica è semplice basta sapere il modello della telecamera a circuito chiuso, ad esempio la Axis 2100. Si può mettere come parametro di ricerca le seguenti queris:

Ecco una lista, non tutti funzionano perché cambiano spesso indirizzo e bisogna rifare la ricerca, alcune ricerche sono impressionanti, perfino le telecamere interne.

http://130.111.224.27/view/view.shtml?videos=&id=2494
http://212.181.20.125/view/view.shtm
http://63.243.46.98:8082/view/view.shtml
http://195.196.35.90/view/view.shtm
http://128.128.32.108/view/view.shtml
http://microcam.eecs…/view.shtml?videos= (Tel. interna)
http://131.204.75.149/view/view.shtml
http://66.14.118.60/view/view.shtml
http://webcam03.deg.net/view/view.shtml?videos=
http://vocafe.aces.utexas.edu/view/view.shtml (interna caffe campus)
http://lfcam1.lf.psu.edu/view/view.shtml
http://ecam1.erskine.edu/view/view.shtml
http://82.188.208.242/view/view.shtml (mercato di chioggia)
http://cam1.asa.utk.edu/view/view.shtm
http://cam1.asa.utk.edu/view/view.shtml
http://130.111.231.69/view/view.shtml
http://cam002.ethz.ch/view/view.shtml?videos=&id=12
http://argus.sunderland.ac.uk/view/view.shtml
http://166.66.36.136/view/view.shtml
http://webcam1.is.uregina.ca/view/view.shtml
http://tarot4.obs-azur.fr/…/mjpg/video.mjpg&size=1
http://216.66.37.162:8000/view/view.shtml?videos=&id=83
http://192.121.228.226/view/view.shtml?videos=&id=226
http://webcam.modeemi.fi/view/view.shtml
http://circlecam.erskine.edu/view/view.shtml
http://cbawebcam.cba.nau.edu/view/view.shtml
http://taylorcam.caed.kent.edu/view/view.shtm
http://keursview.st.hhs.nl/view/view.shtml
http://ksunlivecam.sonoma.edu/view/view.shtml?videos=
http://cams.salden.nl:4445/view/view.shtml?videos=
http://213.3.2.205/view/view.shtml?videos=one
http://217.128.151.33/view/view.shtml?imagePath=
http://213.179.229.20/view/view.shtml
http://webcam.etvj.ch/view/view.shtml?videos=

Un saluto a tutti Arturu.it

Oggi esistono diverse tecnologie per la gestione dei pacchetti, questa situazione è dovuta alla moltitudine delle distribuzioni GNU/Linux esistenti, infatti, ognuna di essa utilizza un gestore diverso. I gestori largamente usati sono:

• YUM, utilizzato in Fedora Core;

• up2date, utilizzato dai sistemi Red Hat Enterprise Linux. La sua versatilità lo fa dialogare anche con reti di distribuzione YUM e APT che contengono pacchetti RPM;

• YasT, utilizzato nelle distribuzioni Linux SUSE;

• urpmi, utilizzato da Mandrakelinux;

• Advanced Packaging Tool (APT) per RPM

• dpkg utilizzato per primo sulle distribuzioni Debian GNU/Linux e poi da altre distribuzioni. Utilizza un formato di pacchetti .deb ed è stato il primo a risolvere le dipendenze.

• portage/emerge utilizzato su Gentoo, famoso perché a differenza degli altri (che scaricano il programma già compilato) scarica il codice sorgente e provvede ad ottimizzarlo e compilarlo per l’hardaware installato sul computer, in questo modo si ha un software ottimizzato per il proprio computer e non uno generico che va bene per tutti.

Esempio pratico

Attualmente se voglio installare un programma o una libreria su un sistema GNU/Linux le uniche cose di cui mi devo preoccupare è decidere quale programma mi serve, al resto (download, istallazione e configurazione) ci pensa il gestore dei pacchetti.

Oggi ho comprato un bel DVD contenente una delle mie opere preferite “La forza del destino” di Giuseppe Verdi, logicamente dopo aver speso un sacco di soldi vorrei farmi un bel Backup del disco, devo trovare un programma che mi permetta di farlo. Prima di tutto apro il gestore dei pacchetti che sul mio sistema (Kubuntu) è Adept (interfaccia grafica di dpkg-apt)

Il gestore dei pacchetti mi permette due tipi di visualizzazioni: il software disposto per categorie (come nel menù di sistema) oppure in ordine alfabetico, scelgo per categorie così posso trovare più facilmente il mio programma

Tramite la casella cerca trovo il software che mi interessa, in questo caso è k9copy (purtroppo ancora le descrizioni dei programmi sono ancora in inglese, solo le descrizioni) che mi permette di fare un backup di un film DVD 9GB su un supporto da 4.7GB, del tutto simile a DVDShrink esistente sui sistemi Microsoft Windows:

Seleziono e clicco su “Applica le modifiche” e attendo il download dei 5 MB necessari

Al termine del download il gestore provvederà ad installare e a configurare il programma appena scaricato:

Appena completata l’installazione il programma sarà subito disponibile nel menù di sistema sotto la categoria Multimedia, stessa catalogazione del gestore dei pacchetti:

Ecco k9copy in azione:

Il programma è totalmente in italiano e rispecchia la descrizione contenuta nel gestore dei pacchetti.

Successivamente mi accorgo che nel trascrivere su disco un vecchio backup di un DVD fatto con Clone CD non mi viene riconosciuta l’immagine. Come al solito apro il gestore dei pacchetti (stavolta con l’altra visualizzazione) e cerco Clone CD e trovo la mia libreria.

Dopo aver cliccato su Applica modifiche come al solito verrà scaricata, installata e configurata la libreria. Ad esempio sarà usata come: plug-in nel programma di masterizzazione, come un normale programma se dispone di un’interfaccia grafica, oppure, dalla linea di comando.

Conclusioni

In questo articolo ho cercato di portare a conoscenza i grossi passi avanti fatti dalle distribuzioni GNU/Linux riguardante l’installazione del software. Fino a poco tempo fa per un nuovo utente riuscire ad installare un software, senza troppe preoccupazioni, era quasi impossibile, infatti, ancora oggi si pensa che per installare i programmi sui sistemi Linux sia sempre necessario compilare i sorgenti e risolvere le dipendenze, attualmente sulla maggior parte delle distribuzioni tutto il software che si scarica è già precompilato e le dipendenze vengono risolte in automatico. Esistono distribuzioni come Gentoo che ottimizzano il software per l’hardware in uso compilando il codice sorgente del programma prima di installarlo.

Infine vorrei fare un’osservazione prima di concludere: attualmente sulla maggior parte dei sistemi GNU/Linux servono due clic per installare e usare qualsiasi tipo di software senza pagare nulla, cosa che non succede su altri sistemi.

Collegamenti utili

http://www.kde-apps.org/ , sito in inglese che illustra le applicazioni disponibili per KDE, molto utile per i meno esperti, contenente recensioni suoi programmi disponibili.