mercoledì 29 settembre 2021

Kali Linux: Identificare il produttore della scheda di rete

Il MAC address, acronimo che sta per Media Access Control e noto anche come indirizzo fisico, è un codice di 48 bit che viene assegnato in modo univoco dal produttore ad ogni scheda di rete (Network Interface Card o NIC). I 48 bit (6 byte) del MAC address sono suddivisi in 12 cifre esadecimali e generalmente viene scritto suddividendo le cifre in 6 ottetti separati da un trattino (es. E0-3F-49-A0-67-2C). Le prime 6 cifre del MAC address, i primi 3 ottetti, individuano il produttore e vengono dette OUI (Organizationally Unique Identifier), mentre le restanti rappresentano il numero di serie della scheda. 

Conoscendo l'indirizzo MAC, dunque, possiamo ricercare i dettagli relativi al produttore. Solitamente all'interno delle distribuzioni Linux è presente il database OUI: un file di testo che è possibile interrogare mediante un modulo Python3 o utilizzando il tool ouilookup. Per individuare la posizione del database eseguire il seguente comando dalla finestra terminale:
locate oui.txt

Locate oui
FIG 1 - Locate oui

Come mostrato in figura il file è presente in più percorsi. Generalmente nelle distribuzioni Linux il file si trova in /var/lib/ieee-data/oui.txt.
Nel caso in cui il file non venisse trovato, basterà scaricarlo da http://standards-oui.ieee.org/oui/oui.txt tramite il comando wget
wget http://standards-oui.ieee.org/oui/oui.txt

Installare il tool ouilookup e avviare Python3 con i comandi
pip3 install ouilookup
python3
Installazione ouilookup e avvio Python3
FIG 2 - Installazione ouilookup e avvio Python3
Una volta avviato Python3 importare il modulo ouilookup
from OuiLookup import OuiLookup
Import modulo OuiLookup
FIG 3 - Import modulo OuiLookup

A questo punto non resta che interrogare il database OUI specificando il MAC address da controllare
OuiLookup().query('E0:3F:49:A0:67:2C')
Interrogazione database OUI
FIG 4 - Interrogazione database OUI






martedì 31 agosto 2021

MS Outlook: Aggiungere un link per essere contattati tramite WhatsApp all'interno della firma

All'interno della firma di Outlook (o in qualsiasi altro posto) può essere comodo inserire un link che consenta al destinatario dell'email di chiamarci o scriverci tramite WhatsApp. Il testo del link sarà simile a
https://wa.me/<numero_telefono>

ovviamente sostituendo <numero_telefono> con il proprio numero di telefono.

Creare una nuova firma in Outlook
  • In Outlook selezionare il menu File -> Opzioni -> Posta e cliccare sul pulsante Firme;
  • Cliccare sul pulsante Nuova per procedere alla creazione di una nuova firma;
    Outlook, Nuova Firma
    FIG 1 - Outlook, Nuova Firma

  • Digitare il nome da assegnare alla nuova firma nell'apposita casella e cliccare su OK;
    Outlook, Nome firma
    FIG 2 - Outlook, Nome firma

  • Digitare il testo all'interno della firma. Per abbellire il nostro link possiamo inserire un'icona (come quelle di WhatsApp scaricabili da QUI) cliccando sull'apposito pulsante e una scritta, come ad es. Contattami su WhatsApp.
    Outlook, Inserisci immagine
    FIG 3 - Outlook, Inserisci immagine 

  • Selezionare l'icona e il testo adiacente e cliccare sul pulsante per l'inserimento del link. Digitare il testo del link come sopra riportato (opportunamente modificato con il nostro numero di telefono) e cliccare su OK.

    Outlook, Inserisci link
    FIG 4 - Outlook, Inserisci link 

    Outlook, link a WhatsApp
    FIG 5 - Outlook, link a WhatsApp

  • A questo punto non resta che salvare la nuova firma cliccando su Salva e specificare se intendiamo che venga visualizzata automaticamente per i Nuovi messaggi e Risposte/inoltri.
    Outlook, Salva firma
    FIG 6 - Outlook, Salva firma 



lunedì 23 agosto 2021

Visualizzare i siti con dominio .onion senza TOR browser

I siti su dominio .onion appartengono alla rete Tor e per visualizzarli, mantenendo l'anonimato, si utilizza TOR Browser (per maggiori dettagli rimando all'articolo Tor Browser: Verificare la sicurezza tramite TorCheck ).

In realtà tali siti possono essere aperti anche dai normali browser installando l'estensione Onion Search Engine disponibile nel Chrome Web Store oppure passando per il gateway Tor2web (una rete di server proxy HTTP utilizzata per l'accesso ai contenuti dei Tor Hidden Services) aggiungendo semplicemente il suffisso .ws all'indirizzo .onion. Il sito verrà visualizzato all'interno del proprio browser ma, ovviamente, senza la garanzia della privacy offerta da TOR Browser.





lunedì 16 agosto 2021

Windows 10: Bloccare l'account dopo tentativi di accesso falliti e verifica registro eventi

Per proteggere il nostro sistema è buona norma impostare l’Account lockout policy, ovvero un criterio di gruppo che prevede il blocco temporaneo di un account a seguito di diversi tentativi di accesso con credenziali errate (indice di un attacco da parte di un malintenzionato). Generalmente si tratta di una protezione che viene attivata sulle macchine appartenenti ad un dominio (Windows Server 2019: Usare le Group Policy per impostare le password e blocco account) ma utilizzando l'Editor Criteri di gruppo locali e un'utenza amministrativa può essere attivata anche su una postazione standalone.

Attivare il criterio di blocco account
  • Avviare il l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio).
  • Posizionarsi su Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri account -> Criterio di blocco account
    Criterio di blocco account
    FIG 1 - Criterio di blocco account

  • Eseguire un doppio click sul criterio Soglia di blocchi dell'account.
  • All'interno della casella L'account verrà bloccato dopo, specificare il numero di tentativi di accesso non riusciti dopo il quale l'account verrà bloccato (ad es. 3) e cliccare su OK.
    Proprietà Soglia di blocchi dell'account
    FIG 2 - Proprietà Soglia di blocchi dell'account

  • Subito dopo aver cliccato su OK, una finestra di dialogo ci avvisa che sono stati modificati automaticamente anche gli altri due criteri: Blocca account per ( criterio che specifica il numero di minuti per cui un account bloccato deve rimanere bloccato prima di essere sbloccato automaticamente) e Reimposta contatore blocco account dopo (criterio che specifica il numero di minuti che deve trascorrere dopo un tentativo di accesso non riuscito prima che il contatore dei tentativi di accesso non riusciti venga azzerato). Per entrambi i criteri viene impostato un tempo di 30 minuti che può essere modificato attraverso le loro proprietà. Cliccare su OK.
    Cambiamenti ai valori suggeriti
    FIG 3 - Cambiamenti ai valori suggeriti
Da questo momento, al terzo tentativo di accesso non riuscito, l'account verrà bloccato per 30 minuti complicando la vita ad un eventuale malintenzionato che sta tentando un attacco brute force.


Verificare account bloccati (Evento ID 4740)
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 4 - Registro eventi Sicurezza

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4740 (l'ID corrisponde all'evento: Un account utente è stato bloccato) e cliccare su OK.
    Filtro registro corrente
    FIG 5 - Filtro registro corrente

  • L'evento riporta l'account bloccato (sezione Soggetto, Nome Account: Test2), la data e l'ora dell'evento.
    Account bloccato
    FIG 6 - Account bloccato

  • Se intendiamo utilizzare PowerShell per ricercare tutti gli eventi con ID 4740 basta eseguire il comando
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4740;} | Format-List
    PowerShell, ricerca eventi ID 4740
    FIG 7 PowerShell, ricerca eventi ID 4740

  • Se intendiamo ricercare gli eventi ID 4740 relativi ad uno specifico utente il comando da eseguire è
    Get-WinEvent -FilterHashtable @{LogName='Security'; id=4740; data='account_bloccato'} | Format-List
    ovviamente sostituendo account_bloccato con l'account di nostro interesse.
    PowerShell, ricerca eventi ID 4740 di un account specifico
    FIG 8 - PowerShell, ricerca eventi ID 4740 di un account specifico


Sbloccare un account bloccato
L'account bloccato verrà automaticamente sbloccato trascorso l'intervallo di tempo impostato. Se si intende affrettare i tempi e sbloccare subito l'account basta procedere come indicato di seguito:
  • Eseguire il logon con un utente amministratore e avviare il tool Utenti e gruppi locali (WIN+R e digitare lusrmgr.msc seguito da invio).
  • Nel riquadro sinistro, selezionare utenti quindi cliccare, con il tasto destro del mouse, sull'account che si intende sbloccare e selezionare Proprietà dal menu contestuale.
    Utenti e gruppi locali
    FIG 9 - Utenti e gruppi locali

  • Rimuovere la spunta alla voce Account bloccato e cliccare su OK.
    Proprietà Account bloccato
    FIG 10 - Proprietà Account bloccato







mercoledì 11 agosto 2021

MS Outlook: Aggiungere un link per essere contattati tramite Teams all'interno della firma

Per aggiungere un link all'interno della firma di Outlook (o in qualsiasi altro posto) che consente al destinatario di contattarci tramite Teams è molto semplice. Il testo del link sarà simile a
https://teams.microsoft.com/l/chat/0/0?users=<indirizzo_email>

ovviamente sostituendo <indirizzo_email> con il proprio indirizzo email.

Creare una nuova firma in Outlook
  • In Outlook selezionare il menu File -> Opzioni -> Posta e cliccare sul pulsante Firme;
  • Cliccare sul pulsante Nuova per procedere alla creazione di una nuova firma;
    Outlook, Nuova Firma
    FIG 1 - Outlook, Nuova Firma

  • Digitare il nome da assegnare alla nuova firma nell'apposita casella e cliccare su OK;
    Outlook, Nome firma
    FIG 2 - Outlook, Nome firma

  • Digitare il testo all'interno della firma. Per abbellire il nostro link possiamo inserire un'icona (come quelle di Teams scaricabili da QUI) cliccando sull'apposito pulsante e una scritta, come ad es. Contattami su Teams.
    Outlook, Inserisci immagine
    FIG 3 - Outlook, Inserisci immagine

  • Selezionare l'icona e il testo adiacente e cliccare sul pulsante per l'inserimento del link. Digitare il testo del link come sopra riportato (opportunamente modificato con il nostro indirizzo email) e cliccare su OK.
    Outlook, Inserisci link
    FIG 4 - Outlook, Inserisci link

    Outlook, link a Teams
    FIG 5 - Outlook, link a Teams

  • A questo punto non resta che salvare la nuova firma cliccando su Salva e specificare se intendiamo che venga visualizzata automaticamente per i Nuovi messaggi e Risposte/inoltri.

    Outlook, Salva firma
    FIG 6 - Outlook, Salva firma




giovedì 5 agosto 2021

Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi

Quest'articolo prosegue gli argomenti trattati negli articoli Windows 10: Attivazione audit e Windows 10: Visualizzare i tentativi di accesso al sistema nei quali abbiamo visto come attivare l'audit e come visualizzare gli accessi riusciti e non riusciti al nostro sistema. 

Verificare gli accessi al sistema può non bastare ed è opportuno approfondire l'indagine al fine di individuare eventuali falle di sicurezza del sistema operativo o di uno dei software presenti sulla macchina. Per tale motivo è bene indagare anche su cosa ha effettuato il malintenzionato una volta avuto accesso al sistema come:
  • Programmi eseguiti.
  • Accessi al disco.
  • Cancellazione dei registri eventi e log al fine di nascondere l'intrusione.
  • Creazione di account utente e modifica di gruppi per lasciarsi una via di accesso nel caso in cui la vulnerabilità sfruttata per ottenere l'accesso venisse patchata.
  • Cancellazione di account utente (che potrebbero ricondurre all'intrusione).

Verificare account eliminati (Evento ID 4726)
Per verificare se qualche account è stato eliminato e chi ha eseguito l'operazione possiamo procedere nel seguente modo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4726 (l'ID corrisponde all'evento: Un account utente è stato eliminato) e cliccare su OK.
    Filtro registro corrente, ID 4726
    FIG 2 - Filtro registro corrente, ID 4726

  • Come visibile in figura l'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), il nome e il SID dell’utente rimosso (sezione Account di destinazione, ID sicurezza:S-1-5-21....., Nome account:Test) oltre ad altre informazioni come la data e l'ora in cui l'operazione è stata eseguita.
    Un account utente è stato eliminato
    FIG 3 - Un account utente è stato eliminato


Verificare account rimossi da gruppi (Evento ID 4733)
Per verificare se qualche utente è stato rimosso da qualche gruppo:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4733 (l'ID corrisponde all'evento: È stato rimosso un membro da un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), l'account rimosso dal gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato rimosso (Sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato rimosso un membro da un gruppo locale con sicurezza attivata
    FIG 4 - È stato rimosso un membro da un gruppo locale con sicurezza attivata


Verificare account inseriti in gruppi (Evento ID 4732)
Nei seguenti passaggi viene mostrato come verificare se un account è stato inserito all'interno di un gruppo. Un malintenzionato può aver aggiunto un normale account utente, con privilegi limitati, al gruppo amministratore, con privilegi elevati:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4732 (l'ID corrisponde all'evento: È stato aggiunto un membro a un gruppo locale con sicurezza attivata) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account aggiunto al gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato aggiunto (sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
    È stato aggiunto un membro a un gruppo locale con sicurezza attivata
    FIG 5 - È stato aggiunto un membro a un gruppo locale con sicurezza attivata


Verificare creazione nuovo account (Evento ID 4720)
Per verificare se sono stati creati nuovi account utente:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4720 (l'ID corrisponde all'evento: È stato creato un account utente) e cliccare su OK.
  • L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account creato (sezione Membro, ID sicurezza: DELL-XPS/Test2, Nome account: Test2)e ulteriori informazioni.
    È stato creato un account utente
    FIG 6 - È stato creato un account utente

Verifica disconnessione dell'utente (Evento ID 4647)
Per verificare quando un utente ha effettuato il logoff basta ricercare l'evento con ID 4647:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4647 (l'ID corrisponde all'evento: Disconnessione avviata dall'utente) e cliccare su OK.
  • L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Disconnessione avviata dall'utente
    FIG 7 - Disconnessione avviata dall'utente


Verifica cancellazione del registro (Evento ID 1120)
Un utente con privilegi amministrativi sulla macchina può cancellare completamente il contenuto del registro per nascondere le proprie tracce. L'operazione, tuttavia, genera un evento con ID 1120. Per verificare se il registro è stato svuotato e da chi:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  • Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 1120 (l'ID corrisponde all'evento: Registro di controllo cancellato) e cliccare su OK.
  •  L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
    Registro di controllo cancellato
    FIG 8 - Registro di controllo cancellato





mercoledì 4 agosto 2021

Windows 10: Visualizzare i tentativi di accesso al sistema

Una volta attivato l'audit (si veda l'articolo Windows 10: Attivazione audit) Windows traccerà, all'interno dei propri log, i tentativi di accesso al sistema, sia quelli avvenuti con successo sia gli accessi falliti a causa di utenza o password errata. 

Dato che verranno tracciati un numero elevato di eventi è opportuno anche valutare se non sia il caso di aumentare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi

Per analizzare i log ed individuare possibili tentativi di intrusione è possibile procedere come indicato di seguito:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
  • Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. In tale registro sono presenti un numero elevato di eventi. Per cercarne uno in particolare possiamo farlo tramite l'ID associato. Ciascun evento, infatti, è associato un ID che lo caratterizza e che ci permette di individuare facilmente quello di nostro interesse (la lista degli ID è pubblica).Cliccare su Filtro registro corrente.
    Registro eventi Sicurezza
    FIG 1 - Registro eventi Sicurezza

  • Nella nuova finestra è possibile specificare le caratteristiche degli eventi di nostro interesse. Per ricercare un evento con un particolare ID basta specificarlo nell'apposita casella contrassegnata dall'etichetta <Tutti gli ID evento>. Ad esempio, è possibile ricercare l'evento con ID 4776: il computer ha tentato di convalidare le credenziali per un account. Questo evento viene generato ogni volta che viene eseguita una convalida delle credenziali utilizzando l'autenticazione NTLM e tiene traccia dei tentativi di convalida delle credenziali riusciti e non riusciti. L'evento si verifica solo nel computer autorevole per le credenziali fornite dunque per gli account di dominio l'evento verrà generato sul controller di dominio mentre per gli account locali l'evento verrà generato sul computer locale. Se un tentativo di convalida delle credenziali fallisce, verrà visualizzato un evento con il valore del parametro Codice Errore diverso da "0x0" e come parola chiave Controllo non riuscito. I Codice Errore di nostro interesse sono:
    - 0x0 logon eseguito con successo;
    - 0xC0000064 tentativo di logon fallito in quanto l'utente è inesistente;
    - 0xC000006A tentativo di logon fallito a causa di password errata.
    Filtro registro corrente
    FIG 2 - Filtro registro corrente

    Controllo non riuscito, Password errata
    FIG 3 - Controllo non riuscito, Password errata (Codice Errore  0xC000006A)

    Controllo riuscito, Logon riuscito (Codice Errore 0x0)
    FIG 4 - Controllo riuscito, Logon riuscito (Codice Errore 0x0)

  • Gli accessi tracciati con evento ID 4776 sono quelli in cui l'utente si trova fisicamente dinanzi alla macchina. Per verificare se qualche utente ha eseguito l'accesso da remoto, ad esempio attraverso l'utilizzo del desktop remoto, bisogna ricercare gli eventi con ID 4624 (Accesso di un account riuscito). Con tale ricerca verranno mostrati un numero elevato di eventi molti dei quali non saranno di nostro interesse. Quello a cui dobbiamo prestare attenzione sono i campi Nome account e Tipo di accesso. In un’autenticazione di tipo interattivo il campo Tipo di accesso avrà valore 2 mentre il valore 10 è sinonimo di un accesso remoto tramite Terminal Service o Remote Desktop.
    Eventi Sicurezza ID 4624
    FIG 5 - Eventi Sicurezza ID 4624

  • PowerShell può facilitarci notevolmente la ricerca degli eventi di nostro interesse attraverso l'utilizzo del cmdlet Get-WinEvent. Basterà eseguire il comando
    Get-WinEvent -FilterHashtable @{LogName=’Security’;id=4624; data=’10’} | Format-List
    Le informazioni visualizzate ci consentono di individuare l'autore dell'accesso remoto, la data e l'ora dell'accesso e da quale IP è stata avviata la sessione di desktop remoto.
    PowerShell, Get-WinEvent
    FIG 6 - PowerShell, Get-WinEvent