Ho già scritto tempo fa a proposito del comando netstat di windows, nel post Visualizzare le sessioni TCP/UDP attive con il prompt dei comandi.

Oggi spiegherò come identificare malware o applicazioni non gradite con questo semplice ma potente strumento.

Ecco come monitorare le connessioni TCP usando netstat, ed ottenere un log dettagliato dei processi che accedono ad internet a nostra insaputa:

Prima di iniziare la fase di monitoraggio è bene chiudere tutti i programmi che si collegano ad internet come il browser, i programmi di chat, i client peer 2 peer etc.. visto che vogliamo ottenere un file di log il più “pulito” possibile.
Accertatevi che sul computer non vi siano più connessioni attive, e lasciando il pc collegato ad interntet avviate il prompt dei comandi e digitate:

netstat -bn [intervallo] >connections.log

l’output delle statistiche sarà salvato in un file connections.log:
di tutte le connessioni TCP saranno loggati gli ip, le porte (-n) e il nome dei processi che hanno inizializzato le connessioni (-b). L’intervallo, specificato in secondi, è la frequenza con cui il comando viene richiamato in loop.

netstat -bn 10 >connections.log

Questo è potenzialmente un loop infinito, ma potete interromperlo in ogni momento premendo CTRL+C.
L’ideale sarebbe lasciarlo in ascolto per qualche ora, oppure durante la notte.

Ed ecco l’output, qui vedete una connessione ad msn messenger:

Active Connections
TCP 192.168.1.1:1031 207.46.108.86:1863 ESTABLISHED 288
[msnmsgr.exe]

[...]

Potreste anche automatizzare il termine del monitoraggio usando AT per interrompere il processo all’orario preferito:

C:\>time
The current time is: 00.00.00,00
Enter the new time:
C:\>at 06:00 cmd /c "taskkill /F /IM cmd.exe"
C:\>netstat -bn 10 >connections.log


• 0 Comments

PHPIDS Intrusion Detection System

PHPIDS è un Sistema di Intrusion Detection di facile installazione che vi permette di proteggere tutte le vostre applicazioni web, siti e script php senza influire sulla velocità di esecuzione degli stessi.

PHPIDS è gratis ed è giunto ora alla versione 0.5.3.

Come funziona

Lo script, che va incluso nelle pagine da mettere in sicurezza (oppure preposto in tutte le richieste http tramite un settaggio del php.ini che vedremo tra poco), analizza le richieste senza filtrare o “strippare” l’input, semplicemente riconosce il codice maligno reagendo esattamente come volete voi, anche in base alla gravità dell’attacco; per esempio potete istruire l’IDS per terminare il caricamento della pagina dopo aver loggato ip e input del potenziale intruso.

PHPIDS è in grado di riconoscere tentativi di attacco XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS e LDAP. Può inoltre rilevare le richieste ostili che sono state offuscate, come la codifica del codice iniettato nel charset UTF-7 o nelle entità Unicode, decimale ed esadecimale.

Esempio di codifica UTF-7:

+ADw-script+AD4-alert(’Hacked!’)+ADsAPA-/script+AD4-

che decodificato diventa:

<script>alert(’Hacked!’);</script>

L’analisi degli input è basata su una serie di regole di filtraggio raccolte in un unico file XML in costante sviluppo; questo ci agevola molto nel mantenere aggiornate le definizioni degli attacchi.
Ad ogni regola è assegnato anche un “impatto” in forma numerica, che determina la gravità del tipo di attacco che si sta subendo: in base all’impatto è quindi possibile definire e personalizzare i comportamenti di phpids nel neutralizzare il tentativo di intrusione .
Per tenere traccia degli attacchi rilevati sono disponibili funzioni di logging su file di testo, DataBase o tramite l’invio di mail e possiamo implementare queste funzioni anche contemporaneamente.

If ($result->getImpact() >= 40) /* Impatto */
{
require_once ‘IDS/Log/File.php’;
require_once ‘IDS/Log/Email.php’;
require_once ‘IDS/Log/Composite.php’;
$compositeLog = new IDS_Log_Composite();
$compositeLog->addLogger(IDS_Log_File::getInstance($init),
IDS_Log_Email::getInstance($init)); /*Loggo su file e mail*/
/* Interrompo il caricamento */
die(’<h1>Il tuo attacco è stato Loggato!</h1>’);
}

Read the rest of this entry »

• 1 Comment

Non sono pazzo: sì, possiamo far credere ad un sito di essere uno spider come googlebot con estrema facilità.
Perchè mai farlo? Semplice, perchè in alcuni casi questo trucco ci risparmia la “fatica” di doverci registrare ai vari siti, blog, forum durante le nostre ricerche sul web.

Lo scenario tipico è quello in cui, quando digitiamo una chiave di ricerca su google e seguiamo uno dei risultati ci troviamo di fronte ad una richiesta di registrazione, necessaria per accedere al contenuto desiderato. Il che a volte è molto fastidioso.

Come avrete capito Googlebot, il famoso spider (o Crawler) che in ogni momento setaccia il web a caccia di contenuti da indicizzare, ha le porte aperte un po più degli altri. Il motivo lo ho già detto: in quanto spider analizza e indicizza le pagine, indicizzazione significa popolarità, popolarità significa incremento della visibilità e volendo maggiori guadagni per il webmaster, magari se nelle proprie pagine mostra un po di pubblicità.
Ecco perchè ognuno di noi avrebbe interesse a far leggere i propri contenuti al googlebot di turno, pure se normalmente non sarebbero accessibili ad utenti non registrati, ed è proprio questo quello che accade, per un semplice discorso di visibilità.

Come si fa?

Basta modificare lo User-agent del nostro browser, una stringa di testo (header) inviata ai vari server durante le richieste http e usata per identificare il client (browser) utilizzato per la navigazione.
Banalmente, se avete firefox, la stringa che inviate è questa:
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
Anche Googlebot manda un header quando bussa alle porte di una pagina web, ed è questo:
User-Agent: Googlebot/2.1 (+http://www.googlebot.com/bot.html)

Se volete provare vi consiglio di usare Firefox, installando un leggerissimo Add-On che modifica a piacimento gli header HTTP: Modify-Headers.
Installatelo e aggiungete la stringa di googlebot come nell’immagine, attivate la modifica e buona navigazione.
Il mio consiglio è quello di attivare l’header solamente quando si fanno ricerche, in quanto certi domini tendono a dare in pasto ai bot versioni Lo-Fi delle pagine.

• 0 Comments

FLV to MP3 Online Converter

Con questo convertitore web-based potete estrarre ‘al volo’ la traccia audio di qualsiasi video di Youtube o flv nel web.

Fate l’upload o inserite l’URL del file flv, avviate la conversione e scaricatene la traccia audio in formato mp3.

Per convertire i filmati di Youtube è sufficiente copiare l’indirizzo della pagina di visualizzazione (es. http://www.youtube.com/watch?v=UdYRzH10L2M ).

Se volete convertire filmati da altri siti di video-hosting potete usare questo famoso plugin di firefox per ottenere l’flv: Fast Video Download.

• 0 Comments

Si parla tanto di openDNS da quando in Italia abbiamo cominciato a sentire un forte odore di censura. Non che queste pratiche non fossero mai state messe in atto dal nostro governo (vedi la lunga lista di siti sul gioco d’azzardo che sono stati bannati), ma la goccia che ha fatto traboccare il vaso è stato sicuramente l’oscuramento di The Pirate Bay, uno dei più grandi tracker di BitTorrent al mondo.

Quelli di TPB hanno fatto parlare di sè in lungo e in largo grazie anche al loro spirito ribelle e di protesta contro le politiche di ‘country lock’ imposte da certe nazioni che -parere assolutamente personale- hanno semplicemente alimentato la curiosità della gente nei confronti di questi canali, perchè in effetti sono risorse che hanno realmente qualcosa di interessante e facilitano fra l’altro la divulgazione di una grande quantità di materiale libero, come le distribuzioni linux per esempio.

OpenDNS si fa strada nel momento giusto con un servizio DNS di grande qualità, competitivo perchè fondato sulla gratuità, la collaborazione e l’indipendenza dai providers, soggetti purtroppo all’influenza dei governi.

Oltre a rendervi immuni agli effetti del coutry lock, è sicuramente un servizio superiore e vantaggioso rispetto a quello fornito dai comuni ISP, visto che l’offerta vanta oltre all’affidabilità, numerosi servizi aggiuntivi personalizzabili studiati per le aziende, le scuole, ma anche per le comuni reti casalinghe. Personalmente sarei anche disposto a pagare se non fosse già totalmente gratuito.
Per avere accesso a tali servizi è richiesta solamente una registrazione al sito: gratuita, immediata ed aperta a tutti; mentre per usufruire del solo servizio di Domain Name System basterà indicare nelle proprietà della connessione gli indirizzi DNS 208.67.222.222 e 208.67.220.220, senza alcuna iscrizione.

Motivi per cui usare openDNS

Come ho già detto, usando questi DNS ‘liberi’ potete aggirare le censure proprio perchè il servizio è svincolato da ogni interesse che vada a scapito della massima soddisfazione dell’utente.
Ma cominciamo parlando di sicurezza e di Content Filtering: quello buono.
Il grande vantaggio di questa soluzione è dato dalla protezione dal phishing e dalle frodi ai danni dei navigatori, ma potete scegliere fra 6 differenti livelli di filtraggio per la vostra rete aziendale o casalinga.
Preciso che le categorie e i blocchi sono gestiti direttamente dalla community degli utilizzatori del servizio (solo qualche milione) tramite sondaggi e votazioni su domini e indirizzi la cui natura è ancora incerta. Se un’indirizzo è sfuggito al content filtering, oltre a segnalarlo potrete immediatamente bloccarlo all’interno della vostra rete.

ecco le 6 possibilità:

• high (blocca i siti nelle categorie: phishing, video sharing, divertimento, social network, pornografia e warez-illegali)
• moderate (blocca le categorie: phishing, pornografia, warez-illegali)
• low (protegge contro il phishing e blocca la pornografia)
• minimal (protegge contro il phishing) *Modalità Consigliata
• none (nessun blocco, nessuna protezione)
• custom (è possibile selezionare le categorie che si desidera bloccare)

Con OpenDNS la navigazione è più veloce perchè sui server sono riservate grandi quantità di memoria per il caching degli indirizzi: non dovendo interrogare altri server DNS per ogni richiesta ricevuta, si riducono di gran lunga i tempi di risposta. In più le richieste vengono sempre reindirizzate al server fisicamente più vicino a voi.

Altra ‘feature’ interessante è la Typo Correction, caratteristica che, quando sbagliate a digitare un URL nel vostro browser (ad esempio scrivendo http://wikipedia.ogr), riconosce e corregge l’errore di ortografia rimandandovi al dominio corretto.

Se siete utilizzatori di servizi come TinyUrl, sappiate che qui è possibile utilizzare la medesima soluzione, chiamata Shortcut: infatti nel vostro pannello di controllo (o dashboard) sarete in grado di impostare brevi parole come scorciatoie per indirizzi più complessi e difficili da memorizzare (es. “mail” –> http://mail.google.com/mail).

Per i gestori di piccole o medie reti, una bella agevolazione consiste nel servizio di Statistiche, che aiuta ad analizzare la mole di richieste prodotte dall’utenza mediante grafici o tabelle esplicative con la possibilità di esportare tutti i dati raccolti in formato csv (campi separati da virgola) o in versione stampabile. I dati collezionati sono i seguenti:

1. Total DNS requests
2. Total Unique Domains
3. Total Unique IPs (useful for larger networks)
4. Domains requested
5. Blocked domains requested
6. Request Types (A, MX, PTR)

Potete consultare le definizioni per distinguere la natura delle richieste inoltrate dai vostri utenti durante le analisi. In più in qualsiasi momento potrete resettare tutti i dati e ricominciare da capo.

Alla pagina http://system.opendns.com (o http://208.67.219.60/ in caso abbiate problemi di risoluzione) è sempre disponibile una pagina di monitoraggio dei server, dicui 5 sono residenti in america ed uno a Londra. La pagina comprende lo stato attuale dei server, quello degli ultimi 30 giorni, qualche statistica sulle tendenze e la quantità di richieste DNS risolte al giorno: molto impressionante al momento, sia nei numeri che nella totale assenza di report negativi.

Come mai tutto questo? cosa ci guadagnano?

openDNS guadagna offrendo una pagina di errore contenente pubblicità pertinente ogni volta che si digita nel browser un indirizzo non valido. Quando si offre molto e il servizio è valido e affidabile si riesce anche a guadagnare con così poco, per la felicità di tutti.

Per l’utilizzo del servizio, vi rimando alle istruzioni sulla pagina ufficiale. Potete anche configurare il vostro router in modo che distribuisca automaticamente il servizio OpenDNS tramite DHCP.

Aggiornamento

Nelle ultime ore The Pirate Bay è stato dissequestrato :-)

• 0 Comments