giovedì 20 ottobre 2016

Kali Linux: Clonare un sito per rubare le credenziali utilizzando SET

In questo articolo mostrerò come viene utilizzato uno degli strumenti del Social-Engineer Toolkit (SET) per realizzare un attacco basato sul phishing. In pratica si procede alla clonazione della pagina di inserimento credenziali di un sito (ad es. facebook) e a creare un'apposito collegamento a tale pagina. Quando un utente sprovveduto accederà alla pagina clonata e inserirà le credenziali, queste verranno memorizzate sul sito esca.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

La prima operazione da effettuare consiste nel verificare se Kali Linux e SET siano aggiornati. Per aggiornare il sistema operativo e il toolkit SET rimando all'articolo Kali Linux: Messaggio "Something went wrong, printing the error: name 'src' is not defined" nell'utilizzo di SET presente su questo blog.

Vediamo passo passo come si prepara l'attacco.
  • Da terminale lanciare SET eseguendo il comando
    setoolkit
  • Accettare le condizioni del servizio se visualizzate;
  • Avviare l'opzione 1) Social-Engineering Attacks;
    SET, Social-Engineering Attacks
    FIG 1 - SET, Social-Engineering Attacks
  • Nel menu successivo selezionare l'opzione 2) Website Attack Vectors;
    SET, Website Attack Vectors
    FIG 2 - SET, Website Attack Vectors
  • Scegliere l'opzione 3) Credential Harvester Attack Method;
    SET, Credential Harvester Attack Method
    FIG 4 - SET, Credential Harvester Attack Method
  • Per procedere alla clonazione di una pagina di un sito è necessario selezionare l'opzione 2) Site Cloner;
    SET, Site Cloner
    FIG 5 - SET, Site Cloner
  • Nella schermata successiva ci viene chiesto di inserire il proprio indirizzo IP. La vittima si connetterà alla pagina clonata sulla nostra macchina, quindi viene richiesto il nostro IP.
    SET, IP
    FIG 6 - SET, IP
  • Successivamente viene richiesto di indicare la pagina da clonare. (Ad es. inserire https://www.facebook.com);
    SET, Clonazione del sito
    FIG 7 - SET, Clonazione del sito
  • Per poter funzionare questo tipo di attacco richiede che il servizio Apache sia avviato, in caso contrario verrà richiesto se si intende avviarlo. All'eventuale richiesta rispondere affermativamente.
    SET, avvio di Apache
    FIG 8 - SET, avvio di Apache
Adesso il sito clonato gira sul nostro server Apache all'indirizzo IP specificato. Non resta che mascherare l'IP all'interno di un link e inviarlo alla vittima. Cliccando sul link, il malcapitato si ritroverà davanti la pagina clonata del tutto simile all'originale.
Pagina clonata
FIG 9 - Pagina clonata

Quando la vittima proverà ad inserire le proprie credenziali queste verranno sia visualizzate sul terminale di Kali Linux sia salvate all'interno di un file di testo dal nome harvest<data_e_ora>.txt in /var/www/html mentre l'utente verrà dirottato sul sito originale.
Credenziali catturare visualizzate nella finestra del terminale
FIG 10 - Credenziali catturare visualizzate nella finestra del terminale
File contenente le credenziali catturate
FIG 11 - File contenente le credenziali catturate





mercoledì 19 ottobre 2016

Windows 10: Disabilitare Cortana in Windows 10 Anniversary Update agendo tramite registro o Group Policy

In Windows 10 Anniversary Update, Microsoft non consente di disabilitare Cortana. Chi volesse disabilitare Cortana nella nuova versione di Windows 10 dovrà procedere tramite group policy (possibile solo nel caso di Windows 10 Pro o Enterprise) o agendo tramite registro di sistema.

Disabilitare Cortana tramite registro di sistema
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search
    nel caso in cui la chiave Windows Search non fosse presente, crearla manualmente;
  • Creare, nel caso in cui non fosse già presente, un nuovo Valore DWORD (32 bit), assegnargli il nome AllowCortana e settarlo a 0.
Affinché le modifiche diventino effettive è necessario riavviare il sistema o disconnettersi e riconnettersi.
Per ripristinare Cortana basta eliminare il valore AllowCortana o settarlo ad 1.


Disabilitare Cortana tramite registro di sistema
FIG 1 - Disabilitare Cortana tramite registro di sistema

Chi vuole, può scaricare i file .reg che permettono di abilitare/disabilitare Cortana tramite il seguente link
Download



Disabilitare Cortana via Group Policy
Per chi utilizza Windows 10 Professional o Enterprise può utilizzare anche l'Editor di criteri di gruppo locali per disabilitare/abilitare Cortana tramite Policy.
  • Avviare l'Editor di Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Spostarsi su Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Cerca;
  • Individuare la voce Consenti Cortana nel pannello laterale destro e cliccarci 2 volte su con il tasto sinistro del mouse;

    Editor di Criteri di gruppo locali, Consenti Cortana
    FIG 2 - Editor di Criteri di gruppo locali, Consenti Cortana
  • Selezionare l'opzione Disattivata e cliccare su Applica.

    Disattivare Cortana tramite l'Editor di Criteri di gruppo locali
    FIG 3 - Disattivare Cortana tramite l'Editor di Criteri di gruppo locali
Anche in questo caso è necessario riavviare il sistema o disconnettersi e riconnettersi per rendere effettive le modifiche.

lunedì 17 ottobre 2016

Kali Linux: Impostare e configurare un'interfaccia ethernet in Kali Linux 2016.2 tramite CLI

In quest'articolo vedremo come impostare e configurare manualmente, tramite CLI, un'interfaccia ethernet in Kali Linux 2016.2.

La prima operazione da effettuare è- quella di individuare il nome della scheda di rete che si intende configurare.
Avviare il terminale ed eseguire il comando

ls /sys/class/net/


Visualizzare le interfacce di rete
FIG 1 - Visualizzare le interfacce di rete

Verranno visualizzate tutte le interfacce di rete presenti nel sistema (da notare che il nomi di interfacce cablate iniziano con la lettera 'e' mentre quelle Wi-Fi iniziano con la lettera 'w').

Supponiamo di voler configurare l'interfaccia con nome eth0, per farlo è possibile andare a modificare il file /etc/network/interfaces contenente gran parte delle configurazioni ethernet. Da terminale lanciare il comando

nano /etc/network/interfaces


Ora bisogna decidere se impostare un IP dinamico o statico.

Configurazione IP dinamico tramite server DHCP
Se si intende impostare l'interfaccia eth0 in modo che riceva la configurazione da un server DHCP basta aggiungere le seguenti righe al file

auto eth0
iface eth0 inet dhcp

La prima riga fa in modo che il dispositivo eth0 venga attivato all'avvio, la seconda, invece, stabilisce che l'interfaccia eth0 deve avere uno spazio di indirizzi IPv4 (se si intende utilizzare l'IPv6 è necessario sostituire "inet" con "inet6") e che la sua configurazione viene ottenuta da un server DHCP

Configurazione IP statico

Per configurare l'interfaccia con un IP statico e una configurazione personalizzata è possibile aggiungere le righe di seguito indicate al file /etc/network/interfaces (ovviamente andando a sostituire i valori con quelli desiderati)

auto eth0
iface eth0 inet static
address 192.168.0.14
netmask 255.255.255.0
gateway 192.168.0.1
dns-nameservers 8.8.8.8

La prima riga specifica che il dispositivo eth0 deve essere attivato all'avvio.
La seconda riga indica che all'interfaccia eth0 viene assegnato un IP statico IPv4. Le restanti 4 righe assegnano all'interfaccia l'indirizzo IP, la subnet mask,  il gateway e impostano il server DNS.
Configurazione dell'interfaccia, /etc/network/interfaces
FIG 2 - Configurazione dell'interfaccia, /etc/network/interfaces

Una volta terminate le modifiche al file /etc/network/interfaces, salvare le impostazioni tramite la combinazione di tasti CTRL+O seguito da Invio, quindi chiudere l'editor premendo CTRL+X.


A questo punto non resta che avviare e abilitare il Network Manager.
Avviare il servizio networking utilizzando il comando /etc/init.d/networking start da terminale.  Per gestire le connessioni tramite Network Manager è necessario modificare il file /etc/NetworkManager/NetworkManager.conf.
Dalla finestra terminale eseguire
nano /etc/NetworkManager/NetworkManager.conf


NetworkManager.conf
FIG 3 - NetworkManager.conf

quindi, nella finestra dell'editor, sostituire la scritta false, relativa all'opzione managed nella sezione ifupdown, con true. Sovrascrivere il file premendo la combinazione di tasti CTRL+O e confermare con Invio. Per uscire dall'editor premere CTRL+X.

Riavviare Network Manager tramite il seguente comando:

/etc/init.d/network-manager restart  

Adesso la nostra interfaccia di rete è configurata e funzionante.

mercoledì 12 ottobre 2016

Windows 10: Abilitare Potential Unwanted Application (PUA) di Windows Defender tramite registro

Windows Defender ha una funzione nascosta che consente di attivare la protezione contro potenziali applicazioni indesiderate o PUA (Potential Unwanted Application). Per abilitare tale funzione è necessario agire sul registro di sistema.
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine
    (se non presente, creare la chiave MpEngine manualmente);
  • Creare un valore DWORD, rinominarlo in MpEnablePus e assegnargli valore 1 per abilitare la verifica su PUA.
Per disabilitare la protezione basta eliminare MpEnablePus o assegnargli valore 0. Chi non vuole mettere le mani all'interno del registro di sistema può scaricare i file .reg per abilitare/disabilitare la protezione PUA utilizzando il seguente link
Download Windows Defender Enable-Disable PUA


Windows Defender, abilita protezione PUA
FIG 1 - Windows Defender, abilita protezione PUA

In alternativa, dal prompt dei comandi eseguito come amministratore, è possibile lanciare il seguente comando per abilitare la protezione PUA:
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine" /v MpEnablePus /t REG_DWORD /d 1 /f

Per disabilitarla, invece, basta eseguire:
REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine" /v MpEnablePus /t REG_DWORD /d 0 /f

In entrambi i casi, affinché le modifiche diventino effettive, è necessario riavviare il sistema.

martedì 11 ottobre 2016

Windows Quick Tip: Aggiornare l'antivirus Microsoft in modalità off-line

Per essere efficiente un antivirus deve essere sempre aggiornato. L'antivirus incluso nelle ultime versioni dei sistemi operativi Microsoft, come tutti gli antivirus free o a pagamento, si aggiorna automaticamente tramite la connessione ad Internet. Nel caso in cui non si disponga della connessione ad Internet su tutte le macchine o nel caso in cui l'aggiornamento online sia inibito da qualche malware è possibile aggiornare l'antivirus Microsoft in modalità off-line.
  • Con un computer dotato di connessione ad Internet, aprire il browser e accedere al sito https://www.microsoft.com/security/portal/definitions/adl.aspx. Verrà aperta la pagina Microsoft relativa agli aggiornamenti dell'antimalware.
    Microsoft Malware Protection Center
    FIG 1 - Microsoft Malware Protection Center
  • Scorrendo la pagina degli aggiornamenti troviamo la sezione Antimalware and antispyware updates dove, cliccando sui relativi link, è possibile scaricare gli aggiornamenti del proprio antivirus.
    Microsoft Malware Protection Center, Antimalware and antispyware updates
    FIG 2 - Microsoft Malware Protection Center, Antimalware and antispyware updates
  • Il download consiste in un file nominato mpam-fe.exe che, eseguito sulle postazioni non connesse ad Internet, consente l'aggiornamento dell'antivirus Microsoft.


lunedì 10 ottobre 2016

Windows 10: Il sistema operativo non rileva più l'unità ottica

Molti utenti che hanno deciso di eseguire l'update a Windows 10 si sono ritrovati con il problema del mancato riconoscimento dell'unità ottica (lettore/masterizzatore CD/DVD/Blu-Ray). Per risolvere il problema è possibile procedere utilizzare i seguenti metodi.


Metodo 1

  • Avviare il Prompt dei comandi come amministratore (WIN+X e dal menu selezionare la voce Prompt dei comandi (amministratore) );
  • Digitare ed eseguire il seguente comando
    reg.exe add "HKLM\System\CurrentControlSet\Services\atapi\Controller0" /f /v EnumDevice1 /t REG_DWORD /d 0x00000001
  • Riavviare il sistema;
Ripristino unità ottica
FIG 1 - Ripristino unità ottica



Metodo 2

  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\ {4D36E965-E325-11CE-BFC1-08002BE10318}
  • Eliminare i valori UpperFilters e LowerFilters e riavviare il sistema.
Regedit, LowerFilters e UpperFilters
FIG 2 - Regedit, LowerFilters e UpperFilters








mercoledì 5 ottobre 2016

Windows 10: Ritardare gli aggiornamenti

A differenza dei sistemi operativi precedenti di casa Microsoft, Windows 10 non permette agli utenti di decidere autonomamente se e quando installare gli aggiornamenti. Se da un lato questo sembra essere una impostazione restrittiva dall'altro permette agli utenti di avere sempre la versione aggiornata del sistema operativo a tutto vantaggio della sicurezza.
Con il primo update dopo il rilascio della versione definitiva di Windows 10, Microsoft ha introdotto alcuni strumenti che consentono agli utenti di avere un maggiore controllo sugli aggiornamenti da installare. Gli aggiornamenti continuano a non poter essere accettati singolarmente ma è possibile ritardare la loro applicazione al fine di limitare al minimo i rischi causati dall'installazione di patch che possono minare la stabilità del sistema.
Per ritardare l'installazione degli update è necessario agire tramite l'editor delle policy di gruppo, pertanto è possibile solo su sistemi Windows 10 Pro ed Enterprise.

Vediamo come procedere.
  • Accedere alla finestra Impostazioni e selezionare Aggiornamento e sicurezza;

    Windows 10 - Impostazioni, Aggiornamento e sicurezza
    FIG 1 - Windows 10 - Impostazioni, Aggiornamento e sicurezza
  • Sul lato sinistro della finestra assicurarsi che sia selezionata l'opzione Windows Update quindi cliccare su Opzioni avanzate;

    Windows 10 - Impostazioni, Windows Update
    FIG 2 - Windows 10 - Impostazioni, Windows Update
  • Nella finestra successiva, selezionare l'opzione Ritarda aggiornamenti delle funzionalità;

    Windows 10 - Opzioni avanzate, Ritarda aggiornamenti delle funzionalità
    FIG 3 - Windows 10 - Opzioni avanzate, Ritarda aggiornamenti delle funzionalità


La prima parte è conclusa. Adesso bisogna agire tramite l'editor delle policy di gruppo. 
  • Dalla finestra Esegui (WIN+R) digitare gpedit.msc e cliccare su OK;

    Windows 10 - gpedit.msc
    FIG 4 - Windows 10 - gpedit.msc
  • Nella finestra dell'Editor Criteri di gruppo locali, sul lato sinistro, raggiungere il percorso Criteri Computer locale -> Configurazione computer -> Modelli amministrativi -> Componenti di Windows ->Windows Update -> Rinvia gli aggiornamenti di Windows;

    Windows 10 - Editor Criteri di gruppo locali
    FIG 5 - Windows 10 - Editor Criteri di gruppo locali
    Sul lato destro troviamo 2 criteri da attivare e impostare: Seleziona il momento per la ricezione degli aggiornamenti delle funzionalità e Seleziona il momento per la ricezione degli aggiornamenti qualitativi.

    Gli aggiornamenti delle funzionalità sono gli aggiornamenti più corposi che vengono rilasciati più raramente e contengono novità significative relative alle funzionalità offerte.
    Gli aggiornamenti qualitativi, invece, riguardano aggiornamenti più piccoli e frequenti come nuove versioni di driver, patch di sicurezza e di correzione bug.

  • Cliccare 2 volte su Seleziona il momento per la ricezione degli aggiornamenti delle funzionalità e, nella finestra che viene aperta, cliccare su Attivata per attivarla. Nel menu a tendina Seleziona il livello di disponibilità del ramo per gli aggiornamenti delle funzionalità che vuoi ricevere, possiamo selezionare Current Branch for Business che ritarda ulteriormente l'installazione degli aggiornamenti rispetto a Current Branch. Nella casella sottostante possiamo impostare anche per quanti giorni rimandare l'aggiornamento dopo che è stato rilasciato. La casella Sospendi gli aggiornamenti delle funzionalità consente di interrompere la ricezione degli aggiornamenti tuttavia tale blocco è temporaneo, dopo 35 giorni il funzionamento di Windows Update viene ripristinato automaticamente.

    Windows 10 - Seleziona il momento per la ricezione degli aggiornamenti delle funzionalità
    FIG 6 - Windows 10 - Seleziona il momento per la ricezione degli aggiornamenti delle funzionalità
  • É possibile procedere analogamente per Seleziona il momento per la ricezione degli aggiornamenti qualitativi. Ovviamente si consiglia di non ritardare troppo gli aggiornamenti relativi alla sicurezza.