giovedì 16 dicembre 2021

Kali Linux: Controllare lo spazio su disco da terminale

Per controllare l'utilizzo dello spazio su disco da terminale ci sono due comandi classici disponibili per ogni distribuzione Linux: du e df.

Il comando du (Disk Usage) visualizza lo spazio utilizzato dai file o da una directory. Ad esempio, per sapere lo spazio utilizzato dalla directory corrente è possibile utilizzare il comando
du -sh
dove l'opzione -s riassume lo spazio che una directory sta utilizzando e l'opzione -h fornisce un output "Human-readable".
Disk Usage
FIG 1 - Disk Usage


Il comando df (Disk Free) viene usato per controllare lo spazio libero su disco. Tramite df è possibile visualizzare le statistiche sulla quantità di spazio libero su disco, sul file system specificato o sul file system contenente il file indicato. Digitando da terminale il seguente comando
df -h
verranno visualizzate le statistiche sulla quantità di spazio libero/utilizzato su disco.
Disk Free
FIG 2 - Disk Free

L'output fornito dai comandi du e df non è facile da leggere. Una valida alternativa ai due comandi integrati in Linux è duf (Disk Usage/Free), un tool che di fatto è il coltellino svizzero degli strumenti di visualizzazione dell’uso dei dischi basato sulla shell.
Per installare tale strumento in Kali Linux, eseguire da una finestra terminale  il comando
sudo apt install duf

Terminata l'installazione basta eseguire il tool con il comando da terminale
duf
per visualizzare in una modalità più User-friendly, le statistiche relative allo spazio su disco.
duf, Disk Usage/Free
FIG 3 - duf, Disk Usage/Free

Per visualizzare tutti i comandi/parametri disponibili in duf eseguire
duf --help







mercoledì 8 dicembre 2021

Kali Linux: Previsioni meteo nella shell con Curl

Per avere informazioni sul meteo basta consultare uno dei numerosi siti di previsioni, app o assistenti personali. In questo articolo verrà mostrato come recuperare tali informazioni in ambiente Linux senza uscire dalla shell e utilizzando lo strumento Curl.

Curl è uno strumento da terminale molto sofisticato e utilizzato per ricevere o inviare dati usando la sintassi URL. Viene spesso utilizzato per gestire le connessioni SSL, post HTTP e per caricare dati in FTP. Grazie a Igor Chubin e al suo sito wttr.in è possibile utilizzare Curl anche per visualizzare le previsioni meteo all'interno della shell.

Eseguendo il seguente comando dalla finestra terminale
curl wttr.in
verranno visualizzate le previsioni meteo dei prossimi tre giorni della nostra area (identificata in base all'indirizzo IP). Come visibile in FIG 1, per ciascun giorno viene fornita la previsione divisa in quattro fasce orarie: mattina, pomeriggio, sera e notte. Vengono visualizzate, inoltre, informazioni relative alla nuvolosità, all'escursione termica, velocità del vento ed eventuali millimetri di pioggia prevista. Le informazioni sono ben ordinate e arricchite da un'illustrazione ASCII.
Previsioni meteo
FIG 1 - Previsioni meteo

Per conoscere le previsioni meteo di un'altra città basta far seguire all'URL di base il suo nome. Ad esempio, per conoscere le previsioni meteo di Londra basta eseguire
curl wttr.in/London
Previsione meteo di altra città
FIG 2 - Previsione meteo di altra città

Se dobbiamo prendere l'aereo e vogliamo conoscere le previsioni meteo su un determinato aeroporto basta far seguire all'URL base il relativo IATA airport code.
Uno IATA airport code (noto anche come IATA location identifier o IATA station code) è un geocodice di tre lettere, definito dalla International Air Transport Association (IATA), che identifica molti aeroporti e aree metropolitane in tutto il mondo. Ad esempio per conoscere le previsioni relative all'aeroporto di Fiumicino (Roma) basta digitare il comando
curl wttr.in/FCO
per l'aeroporto John F. Kennedy di New York il comando diventa
curl wttr.in/JFK
Previsione meteo aeroporto Fiumicino (Roma)
FIG 3 - Previsione meteo aeroporto Fiumicino (Roma)

Tramite Curl e wttr.in è possibile visualizzare anche le informazioni relative alle fasi della luna. Per scoprire in che fase si trova la luna nella data odierna eseguire il comando
curl wttr.in/moon
Fase lunare
FIG 4 - Fase lunare
Per conoscere la fase lunare di un determinato giorno, aggiungere all'URL la data desiderata nel formato @anno-mese-giorno
curl wttr.in/moon@2021-12-25
Fase lunare in uno specifico giorno
FIG 5 - Fase lunare in uno specifico giorno


Per maggiori informazioni sull'utilizzo di wttr.in è possibile visualizzare la pagina help online tramite il comando
curl wttr.in/:help
Pagina Help di wttr.in
FIG 6 - Pagina Help di wttr.in







domenica 5 dicembre 2021

Windows 10: Disabilitare l'invio di file sospetti da Defender

L'antivirus Microsoft Defender, noto anche come Windows Defender, è integrato nei sistemi operativi Windows e fornisce una protezione base contro le minacce informatiche. L'antivirus di Microsoft, così come prodotti di terze parti, è progettato per aggiornarsi costantemente e inviare, in automatico, campioni di file sospetti alla casa madre. Per disabilitare l'invio automatico dei file sospetti:
  • Avviare Sicurezza di Windows dal menu Start;
  • Selezionare Protezione da virus e minacce;
    Sicurezza di Windows
    FIG 1 - Sicurezza di Windows

  • In Impostazioni di Protezione da virus e minacce cliccare sul link Gestisci impostazioni;
    Protezione da virus e minacce
    FIG 2 - Protezione da virus e minacce

  • Disattivare l'opzione Invio automatico di file di esempio.
    Invio automatico di file di esempio
    FIG 3 - Invio automatico di file di esempio

A questo punto i file sospetti non verranno inviati automaticamente a Microsoft ma sarà possibile inviarli manualmente tramite il link Invia un campione manualmente presente nell'app Sicurezza di Windows (FIG 4). Ovviamente la disattivazione riguarda esclusivamente Microsoft Defender e non gli eventuali antivirus di terze parti installati.
Invia un campione manualmente
FIG 4 - Invia un campione manualmente







giovedì 25 novembre 2021

Windows 10: Ripristinare le applicazioni all'avvio

Durante una sessione di lavoro potrebbe presentarsi la necessità di dover riavviare il sistema, ad esempio per l'installazione di un aggiornamento o a seguito dell'installazione di un nuovo driver/programma. Il riavvio comporta la chiusura di tutte le applicazioni aperte e di conseguenza la necessità di doverle riaprire al successivo logon. Per ovviare a questo inconveniente e fare in modo che il sistema ricordi e riapra automaticamente le finestre all'avvio, si può attivare la funzione Riattiva app:
  • Avviare l'app Impostazioni (WIN+I) quindi cliccare su Account;
    Windows 10, Impostazioni
    FIG 1 - Windows 10, Impostazioni

  • Cliccare su Opzioni di accesso;
    Account
    FIG 2 - Account

  • Attivare l'opzione Riavvia app.
    Riavvia app
    FIG 3 - Riavvia app

Al riavvio successivo, tutte le app attive al momento della disconnessione verranno riaperte nuovamente dopo il logon. Tale opzione non funziona con tutte le applicazioni Windows ma solo con quelle che supportano Riavvia app (ad esempio i browser web).

Attivare/Disattivare Riavvia app tramite registro di sistema

  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Creare, se non presente, un valore DWORD (32 bit) e rinominarlo in RestartApps;
  • Assegnare a RestartApps il valore 0 per disattivare la funzione, 1 per attivarla.
    RestartApps
    FIG 4 - RestartApps

Dal seguente link è possibile scaricare i file .reg per abilitare e disabilitare la funzione Riavvia app





giovedì 11 novembre 2021

Adamantium-Thief: Decifrare le password dei browser basati su Chromium

Adamantium-Thief è un tool utilizzato per decifrare le password , i cookie, le carte di credito, la cronologia, i segnalibri dei browser basati su Chromium con versioni successive alla 80.
Il progetto, realizzato in C#, è opensource e può essere scaricato da github all'indirizzo https://github.com/LimerBoy/Adamantium-Thief.

I browser ufficialmente supportati sono:
  • Google Chrome
  • Opera
  • Chromium
  • Brave-Browser
  • Epic Privacy Browser
  • Amigo
  • Vivaldi
  • Orbitum
  • Atom
  • Kometa
  • Comodo Dragon
  • Torch
  • Slimjet
  • 360Browser
  • Maxthon3
  • K-Melon
  • Sputnik
  • Nichrome
  • CocCoc Browser
  • Uran
  • Chromodo
  • Yandex (old)

L'utilizzo del tool è molto semplice basta lanciare, da riga di comando, l'eseguibile Stealer.exe seguito da un parametro a scelta tra PASSWORDS, HISTORY, COOKIES, AUTOFILL, CREDIT_CARDS, BOOKMARKS a seconda dei dati da recuperare.

ATTENZIONE:
Danneggiare/violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Esempi

Esempio 1
Per recuperare le password dai browser basta eseguire il comando
Stealer.exe PASSWORDS
Visualizzare le password memorizzate
FIG 1 - Visualizzare le password memorizzate

Esempio 2
Per visualizzare i dati delle carte di credito memorizzate nei browser
Stealer.exe CREDIT_CARDS
Visualizzare i dati delle carte di credito
FIG 2 - Visualizzare i dati delle carte di credito

Esempio 3
Visualizzare la cronologia dei browser
Stealer.exe HISTORY
Visualizzare la cronologia dei browser
FIG 3 - Visualizzare la cronologia dei browser

Esempio 4
Visualizzare i segnalibri dei browser
Stealer.exe BOOKMARKS
Visualizzare i segnalibri dei browser
FIG 4 - Visualizzare i segnalibri dei browser

Esempio 5
Ottenere i cookie dai browser
Stealer.exe COOKIES
Visualizzare i cookie
FIG 5 - Visualizzare i cookie

Esempio 6
Per visualizzare i dati del completamento automatico dei browser
Stealer.exe AUTOFILL





lunedì 8 novembre 2021

Kali Linux: Scaricare video da Youtube tramite riga di comando

Per automatizzare il download di video da youtube o da altri siti può essere comodo operare da riga di comando. In nostro soccorso arriva il programma youtube-dl che consente di scaricare video da youtube e da altri siti direttamente da riga di comando. L'elenco dei siti supportati può essere visualizzato  QUI'.

Installazione

Il primo passo consiste nell'installare youtube-dl in Kali Linux. Per farlo basta eseguire il seguente comando da Terminale
sudo apt-get install youtube-dl
Avvio Installazione youtube-dl
FIG 1 - Avvio Installazione youtube-dl


Parametri

Terminata l'installazione potremmo visualizzare l'elenco dei numerosi parametri supportati tramite il comando
youtube-dl -h


Esempi

Esempio 1
Per scaricare un video, digitare l'URL dopo il comando
youtube-dl [percorso del video]
ad es.
youtube-dl https://www.youtube.com/watch?v=tAGnKpE4NCI&ab_channel=Metallica
Download video da youtube
FIG 2 - Download video da youtube

Esempio 2
Per elencare i formati disponibili si utilizza il parametro -F
youtube-dl -F https://www.youtube.com/watch?v=tAGnKpE4NCI&ab_channel=Metallica
Formati audio-video disponibili
FIG 3 - Formati audio-video disponibili
come visibile in FIG 3, in questo caso il formato video con qualità migliore è quella con Format code 18 (best). Per scaricare il video in un particolare formato basta passare al parametro -f il relativo format code
youtube-dl -f 18 https://www.youtube.com/watch?v=tAGnKpE4NCI&ab_channel=Metallica
per scaricare sempre la versione migliore al parametro -f va passata la stringa best
youtube-dl -f best https://www.youtube.com/watch?v=tAGnKpE4NCI&ab_channel=Metallica
Download video con qualità migliore
FIG 4 - Download video con qualità migliore


Esempio 3
Scarica il miglior formato video e il miglior formato audio se disponibili e li unisce in un unico file mp4
youtube-dl -f 'bestvideo[ext=mp4]+bestaudio[ext=m4a]/bestvideo+bestaudio' --merge-output-format mp4 https://www.youtube.com/watch?v=tAGnKpE4NCI&ab_channel=Metallica







sabato 30 ottobre 2021

Windows 10: Visualizzare i processi eseguiti da un utente sul PC

Tramite il registro eventi di sistema è possibile monitorare i programmi eseguiti da un utente sulla macchina. Per permettere a Windows di tenere traccia di tali eventi nei log è necessario procedere all'attivazione dell'audit (si veda l'articolo Windows 10: Attivazione audit). 
Dato che verranno tracciati un numero elevato di eventi è consigliabile incrementare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi.

Visualizzare i processi mandati in esecuzione

Per analizzare i log ed individuare i programmi eseguiti è possibile procedere come indicato di seguito:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Visualizzatore eventi
    FIG 1 - Visualizzatore eventi

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4688 (l'ID corrisponde all'evento: È stato creato un nuovo processo) e cliccare su OK.
    Filtro registro corrente
    FIG 2 - Filtro registro corrente

  • Verranno visualizzati tutti gli eventi relativi all'esecuzione di un processo.
    Eventi ID 4688
    FIG 3 - Eventi ID 4688


Ricerca per programma tramite PowerShell

Se si intende filtrare i risultati in base al programma avviato è possibile utilizzare PowerShell. Supponiamo di voler visualizzare tutti gli avvii del Prompt dei comandi (cmd.exe):
  • Una volta avviato PowerShell come amministratore digitare il seguente comando
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4688;data='C:\windows\system32\cmd.exe'} 
    verranno visualizzati tutti gli eventi relativi all'avvio del prompt dei comandi. Per maggiori dettagli possiamo aggiungere Format-List come indicato di seguito
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4688;data='C:\windows\system32\cmd.exe'} |Format-List
    Sostituendo la stringa in data= possiamo personalizzare la ricerca indicando altri processi di nostro interesse.
    PowerShell, ricerca eventi avvio Prompt dei comandi
    FIG 4 - PowerShell, ricerca eventi avvio Prompt dei comandi

    PowerShell, dettagli eventi avvio Prompt dei comandi
    FIG 5 - PowerShell, dettagli eventi avvio Prompt dei comandi

  • Per visualizzare quante volte un processo è stato eseguito, digitare il seguente comando nella finestra PowerShell 
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4688;data='C:\windows\system32\cmd.exe'} | Measure-Object 
    PowerShell, numero di avvii del Prompt dei comandi
    FIG 6 - PowerShell, numero di avvii del Prompt dei comandi


Ricercare gli eventi tramite XPath

XPath è un linguaggio che permette di individuare i nodi all'interno di un documento XML. Un sottoinsieme della versione 1.0 è supportato dal sistema di log di Windows.
Gli eventi di Windows vengono conservati in formato XML. Per verificarlo, aprire un qualsiasi evento all'interno del registro tramite doppio click, selezionare la scheda Dettagli e quindi selezionare l'opzione XML. Viene riportata la rappresentazione XML nativa dell'evento, meno leggibile rispetto a quella a cui siamo abituati.
Proprietà evento in formato XML
FIG 7 - Proprietà evento in formato XML


Per ricercare gli eventi tramite XPath:
  • Da Visualizzatore eventi cliccare su Filtro registro corrente e nella casella <Tutti gli ID evento> digitare nuovamente l'ID 4688
  • Spostarsi sulla scheda XML. Verrà visualizzata la query XPath con i criteri di filtro inseriti. Per modificare la query manualmente selezionare la casella Modifica query manualmente e rispondere affermativamente alla successiva finestra di dialogo.
    Filtro registro corrente, Query in XML
    FIG 8 - Filtro registro corrente, Query in XML

    Visualizzatore eventi, modifica manuale query
    FIG 9 - Visualizzatore eventi, modifica manuale query

  • Per ricercare solo le occorrenze relative ad un determinato utente, modificare la query come indicato di seguito in modo
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4688)]]and
        *[EventData[Data[@Name='SubjectUserName']='utente']]
        </Select>
      </Query>
    </QueryList>
    Dove al posto di utente va specificato l'account utente per il quale si intende effettuare la ricerca. Cliccando su OK verrà eseguita la query con le condizioni specificate.
  • È possibile aggiungere ulteriori condizioni alla ricerca. Ad esempio, per ricercare tutti i processi cmd.exe eseguiti dall'utente Virtual la query sarà analoga a
    <QueryList>
      <Query Id="0" Path="Security">
        <Select Path="Security">*[System[(EventID=4688)]]and
         *[EventData[Data[@Name='SubjectUserName']='Virtual'
    	 and Data[@Name='NewProcessName']='C:\Windows\System32\cmd.exe']]
    	</Select>
      </Query>
    </QueryList>

    Visualizzatore eventi, query XPath
    FIG 10 - Visualizzatore eventi, query XPath