Chi vi spia in IRC ?
Spartaco
Bene mi sembra che ad alcuni sia sorta questa domanda e che la
risposta non sia stata data. Sono state indicate due ragioni per non
rispondere:
- la paura di diffondere comportamenti illeciti
- l'alto tecnicismo delle risposte da fornire
Io credo che la seconda motivazione non sia vera e provero', con la
mia scarsa cultura informatica, a fornire risposte. Già so che poi i
soliti soloni mi attaccheranno indicando le imperfezioni del mio
discorso. Fa niente, l'obiettivo è iniziare la discussione su un
argomento che sta a cuore a molti:
"Chi vi spia in IRC ?"
La risposta è tutti quelli che hanno "l'access root" sul server su cui
vi connettete (per molti irc.tin.it) hanno la possibilità di farlo.
E' da escludere che gli operatori tin ( o comunque il vostro provider)
lo facciano.
Ma siamo altrettanto sicuri che un (due, tre...) hackers non siano in
grado di padroneggiare dentro il server attraverso cui vi connettete ?
Poi vi è la seconda domanda: siamo altrettanto sicuri che, qualora
cio' avvenga, il vostro provider vi avvisi della violazione alla
vostra privacy ?
Un bel bit di informazione lo trovate su
http://www.grayarea.com/well.htm
http://www.grayarea.com/compsec.htm
oppure usando un motore di ricerca sulle parole "IRC sniffing" .
Ave
Spartaco
Slaves' Legion
spar...@mailcity.com
Claudio Morabito
Spartaco <nos...@use.signature> scritto nell'articolo
<351d5041...@news.uu.ml.org>...
>
> La risposta è tutti quelli che hanno "l'access root" sul server su cui
> vi connettete (per molti irc.tin.it) hanno la possibilità di farlo.
a me non risulta sia possibile 'sta cosa.. a meno che uno non abbia magari
fatto chissà che genere di modifiche al codice di ircd... ma mi sembra
alquanto improbabile... o_O
Claudio Morabito.
Spartaco
On Sat, 28 Mar 1998 23:13:35 GMT, t...@slut.panservice.it (Matteo Riva)
wrote:
>E' piu' che noto che su IRC sicurezza e privacy NON sono affatto
>garantite, ne' - per come e' fatta una rete IRC - e' possibile
>garantirle; per questo chi intercetti le vostre chiacchiere e come
>faccia a farlo mi sembra del tutto irrilevante.
Scusami, ma io do per scontato che gli operatori di rete (tin,
efnet, ecc.) rispettino la privacy della persona, anche se per loro
sarebbe molto facile violarla. Non devo darlo per assunto ?
Invece io mi preoccupo di eventuali hackers o crackers che
prendano il controllo del server a cui sei connesso.
In questo caso non solo quello che stai dicendo sulla chat
viene intercettato, ma tutto quello che hai sul tuo disco duro è carta
straccia. Mutande, reggiseni, passwords e qualsiasi dato
sensibile è alla portata dell'hacker di turno.
La cosa più sensata è quindi quella di non aver alcun dato
sensibile sul disco duro col quale ti connetti ad Internet. Questo non
è mai possibile nel 100% dei casi, ecco perchè diventa importante la
security policy del server (che spesso è quello del tuo provider) e le
caratteristiche tecniche dei sistemi operativi e delle reti coinvolte
nel caso specifico.
Spartaco
On 28 Mar 1998 23:00:58 GMT, "Claudio Morabito" <knuc...@tin.it>
wrote:
>> La risposta è tutti quelli che hanno "l'access root" sul server su cui
>> vi connettete (per molti irc.tin.it) hanno la possibilità di farlo.
>
>a me non risulta sia possibile 'sta cosa.. a meno che uno non abbia magari
>fatto chissà che genere di modifiche al codice di ircd... ma mi sembra
>alquanto improbabile... o_O
>
>Claudio Morabito.
Per fare affermazioni di questo tipo è probabile che tu
conosca le caratteristiche tecniche dei server e delle reti di
tin.
Se mi dici dove reperirli vedro' se concordare o meno con te
Paolo Rocchi
Claudio Morabito <knuc...@tin.it> wrote:
> a me non risulta sia possibile 'sta cosa.. a meno che uno non abbia magari
> fatto chissà che genere di modifiche al codice di ircd... ma mi sembra
> alquanto improbabile... o_O
L'IRC protocol e' costruito sul TCP/IP. Basta un network monitor sullo stesso
segmento di LAN del server IRC che filtri i pacchetti destinati alla porta 6667
(o altro). In altre parole, basta avere euid=0 su uno degli host 'vicini'.
Nulla vieta di utilizzare filtri ad-hoc che esaminino il data field del
pacchetto tcp, in modo da isolare i PRIVMSG relativi a canali (o utenti) di
interesse.
Il messaggio di public chat ha infatti una struttura di questo tipo:
'PRIVMSG #channel : messaggio pubblico al canale'
C'e' poi il discorso bot. Un IRC robot installato su un canale ha tra le
proprie opzioni quella di monitorare le public chat, oltre alle DCC chat
al bot e alle party line via telnet.
Anche qui, il bot e' vulnerabile allo sniffing tanto quanto il server IRC,
anche se solo per i canali a cui e' agganciato.
Saluti
Spartaco
On Sun, 29 Mar 1998 19:38:55 GMT, agli...@mi.flashnet.it wrote:
>Se uno non ha attivi dei servizi tipo FTP server o altri (anche i
>bachi di Wingate fanno parte di questi "servizi") non vedo proprio
>come qualcuno possa accedere ai miei dati con una semplice connessione
>dial-up. Il mio disco rigido ("duro") non e' accessibile praticamente
>mai visto che utilizzo solo sw client e mai o quasi mai sw server ed
>uso windows.
Il buon senso mi dice che quando un hacker acquisisce il
controllo di un server, acquisisce con facilità:
- l'accesso a tutti i dati personali di un qualsiasi utente
che si trovino sul server (vedi casella postale)
- l'accesso ai computer connessi con il server violato
Per fare questo non si usano solo i servizi di tipo FTP, ma tutti le
applicazioni attive scritte in Java. Senza poi contare la possibilità
di "spedirti" trojan horses dentro il computer.
Ti prego anche di controllare, tra gli altri, questo riferimento:
http://www.cyber.ust.hk/handbook/04_hb1.html
The main problem with using IRC to uncover security information is
that if the user does not watch out, he can become the
victim of intrusion attacks. Users of the #HACK and #WAREZ channels
tend to roam the IRC looking for victims. Users be
forewarned. Joining a IRC channel enables other people to see the name
of your host as well as your account name on that
hosts.
Ti prego inoltre di lasciare il mio thread inalterato e di
spedire le tue risposte anche a it.comp.sicurezza.varie, visto che
l'argomento interessa i due gruppi.
The Black Hacker
spar...@mailcity.com wrote:
> Bene mi sembra che ad alcuni sia sorta questa domanda e che la
> risposta non sia stata data. Sono state indicate due ragioni per non
> rispondere:
> - la paura di diffondere comportamenti illeciti
> - l'alto tecnicismo delle risposte da fornire
Inevitabile dare una risposta tecnicistica, dire "e' possibile"
senza spiegare QUANTO complesso e improbabile e' significa diffondere
un inutile allarmismo, dire "e' impossibile" significa non dare
una risposta corretta, almeno sul piano teorico....
E' un po' come quando si dice "E' _possibile_ che il telefonino
ti faccia venire un cancro al cervello" (No eh.. non riattachiamo
questo thread.. NON QUI' ALMENO). E' possibile, certo, ma e'
piu' probabile che stasera ti caschi un aereo in testa.
"Diffondere comportamenti illeciti" non l'ho capita, una volta
ho dato una risposta completa ed esautriente sul "come fare",
peccato che il "primo punto" fosse... "avere accesso al server come
admin", cosa ovviamente quasi impossibile per chiunque :-)
[snip]
>
> La risposta è tutti quelli che hanno "l'access root" sul server su cui
> vi connettete (per molti irc.tin.it) hanno la possibilità di farlo.
Non e' esatto, sarebbe piu' preciso dire:
- Chi ha una shell e un account del gruppo "admin" del server
a cui vi connettete o di uno dei server che sono nel "percorso"
dei messaggi tra voi e il vostro interlocutore. (non necessariamente
"root", che il root e' uno solo, ma "uno degli admin".
Costoro potrebbero farlo modificando il server a tale scopo,
ricompilandolo e facendolo ripartire con un bel restart.
Va rilevato che gli altri "admin" dello stesso server potrebbero
facilmente accorgersi dello "scherzo" e incazzarsi non poco:)
- Chi ha notevoli capacita' tecniche _E_ accesso root
'lecito o illecito che sia) su una qualsiasi macchina che sia:
. Sulla stessa LAN del server IRC che usate [oppure]
. Su una delle LAN attraversate dai pacchetti IP che vanno dal
vostro modem al server IRC che usate (includendo quindi tutti
i tecnici del vostro ISP, coloro che hanno accesso a macchine
sui backbone di Interbusines, eccetera [oppure]
. Su una delle LAN attraversate dai pacchetti di comunicazione tra
il server che usate e quello del vostro interlocutore, seguendo
il "percorso" delle connessioni tra server IRC.
Va notato che uno del primo gruppo (gli admin del server IRC)
potrebbe farlo in modo "abbastanza semplice" e potrebbe essere
scoperto in modo altrettanto semplice dagli altri admin.
Il secondo gruppo (utilizzando una tecnica chiamata TCP sniffing)
affronta problemi tecnici molto piu' complessi ma e' assolutamente
impossibile che si esponga all'essere "scoperto" (sempre che l'accesso
alla macchina in questione sia "ufficiale", se e' un crack si
espone ad essere beccato come chiunque entri in una macchina altrui).
> E' da escludere che gli operatori tin ( o comunque il vostro provider)
> lo facciano.
Ordine e metodo: gli "operatori" del server IRC non centrano niente,
se uno e' "*** Is an IRC Operator" non vuole assolutamente dire che abbia
una shell e tantomeno che sia nel gruppo admin, del server.
> Ma siamo altrettanto sicuri che un (due, tre...) hackers non siano in
> grado di padroneggiare dentro il server attraverso cui vi connettete ?
E' molto piu' probabile che "padroneggino" una delle macchine
della LAN del vostro provider, da cui possono spiare in una
sola botta Query, DCC ed anche mails eccetera, e cio' indipendentemente
da quale server/rete IRC usate (in pratica chi e' root
su una macchina della lan del vostro provider "puo'" monitorare uno
per uno i byte che passano dal vostro modem, qualsiasi servizio
di rete stiate usando) ... se si vuole essere paranoici allora i messaggi
"privati" si mandano solo con email criptata in PGP.
> Poi vi è la seconda domanda: siamo altrettanto sicuri che, qualora
> cio' avvenga, il vostro provider vi avvisi della violazione alla
> vostra privacy ?
>
No, al 99% non se ne accorgerebbe, e se se ne accorgesse sistemerebbe
la cosa cercando di fare meno pubblicita' possibile.
Ora... fine delle fantasie e riprendiamo con la realta':
A che scopo ?
Pensi realmente che qualcuno sia disposto a (ed abbia le capacita' di)
passare alcune giornate e spremersi le meningi in modo da craccare
una macchina del tuo provider, piazzarci uno sniffer, attivarlo
sulla TUA connessione... per sentire te che cyberpomici con quella
ragazza australoneozelandese conosciuta la settimana scorsa ?
[Il tutto rischiando un procedimento penale, peraltro]
La security e' sempre un "bilancio" tra valore delle informazioni
protette e sforzo necessario per violarle. Io non detterei via IRC
il codice di attivazione di un cruise puntato sulla casa bianca,
ma del resto non ho messo le mine antiuomo nel giardino di casa
per evitare che mi rubino il tostapane.... ho reso l'idea ?
Altra nota: Il server Regensburg.de.eu.Undernet.org nelle ultime
24 ore ha "smistato" poco piu' di otto milioni e mezzo di "/msg",
provenienti da un totale di 270.000 persone diverse (alla rete ne
sono connesse mediamente 20.000 ma c'e' una certa "rotazione"....).
[cio' vada come risposta anche al "ma un server potrebbe loggare
tutte le query": No a meno che l'admin non abbia qualche miliardo
da buttare via in supporti magnetici per togliersi questo sfizio]
A volte anche la "quantita'" di informazioni aiuta a difendere
la privacy.
Se io avessi la possibilita' di "spiare" le query... avrei l'imbarazzo
della scelta... perche' venire a spiare proprio le tue ? Se avessi
un motivo preciso per spiare te.... inizierei dal tuo provider
(per i motivi detti sopra) e NON dal server IRC.
Un ultimo esempio:
Vi ricordate i telefonini ETACS a 900 Mhz, che c'era chi si divertiva
ad accendere uno scanner (comprato in negozio a 200mila lire) e
ascoltare telefonate a caso ? A parte il fatto che dopo una settimana
si stancava... sono poi usciti i GSM e qualcuno ha detto "I GSM
non si possono ascoltare come gli ETACS".
Ebbene, che "non si possa" e' "Teoricamente" FALSO, e' 100 volte piu'
semplice e 1000 volte meno rischioso intercettare un telefonino GSM
che intercettare una query IRC. Stasera faro' i miei soliti discorsi
osceni al telefono GSM con qualcuno... se qualcun altro vuole
ascoltare e dedicarsi ad attivita' manuali e' il benvenuto
(basta che non faccia rumore). Se fossi un ministro che tratta
una tangente da 150 mld ci penserei un attimo prima di farlo per
telefono, QUALSIASI telefono. :)
Cosa ? Si, un hacker puo' anche confincere la vostra centrale
telefonica a "forwardargli" tutte le vostre telefonate (anche dal
telefono di casa, soprattutto se ISDN) a casa sua, No, i tecnici
Telecom non se ne accorgerebbero probabilmente. Si, potrebbe anche
essere un hacker australiano. "teoricamente".
Ciao,
--
Andrea.
Guido Zualdi
On Sun, 29 Mar 1998, Spartaco wrote:
> Il buon senso mi dice che quando un hacker acquisisce il
>controllo di un server, acquisisce con facilità:
> - l'accesso a tutti i dati personali di un qualsiasi utente
>che si trovino sul server (vedi casella postale)
> - l'accesso ai computer connessi con il server violato
Uhm.... non e' proprio cosi'. Dipende tutto dal tempo in cui ha avuto
accesso al server. Lo userfile di per se' non e' fondamentale se i vari
utenti usano password non banali (questo per la verita' non e' cosi'
facile da ottenere, ma gli utenti sono avvertiti). La casella postale di
per se NON contiene dati personali, e detto fra coi credo un eventuale
pirata abbia di megli da andare a guardare. L'accesso ai computer connessi
non si capisce da dove possa prenderlo, a meno che non si armi di sniffer
e se ne stia la' per parecchio, ma piu' sta e piu' e' facile che venga
sgamato.
>Per fare questo non si usano solo i servizi di tipo FTP, ma tutti le
>applicazioni attive scritte in Java. Senza poi contare la possibilità
>di "spedirti" trojan horses dentro il computer.
Ovvero? In che modo un Java (che deve funzionare sul server) puo' essere
pericoloso? E se io non ho aplicazioni java funzionanti?
>The main problem with using IRC to uncover security information is
>that if the user does not watch out, he can become the
>victim of intrusion attacks. Users of the #HACK and #WAREZ channels
>tend to roam the IRC looking for victims. Users be
>forewarned. Joining a IRC channel enables other people to see the name
>of your host as well as your account name on that
>hosts.
Questo vale ESCLUSIVAMENTE se la vittima entra da un sistema Unix con il
servizio auth attivo, in pratica una minoranza.
/////
B/B/B/B /// Guido Zualdi - Responsabile tecnico
/y/y/y /// Netanday Lignano Sabbiadoro
e/e/e /// /// (Udine) Italy
//////uido
Guido Zualdi
On Sun, 29 Mar 1998, Spartaco wrote:
> Invece io mi preoccupo di eventuali hackers o crackers che
>prendano il controllo del server a cui sei connesso.
> In questo caso non solo quello che stai dicendo sulla chat
>viene intercettato, ma tutto quello che hai sul tuo disco duro è carta
>straccia. Mutande, reggiseni, passwords e qualsiasi dato
>sensibile è alla portata dell'hacker di turno.
Ehm... non ci siamo. Fino ad ora ho visto doc, esempi e altro che hai
portato tutti riferentesi al mondo Unix. Riesci a trovare un esempio
chiaro, corretto, realistico e generale di come questo possa essere fatto
su una macchina Windows dove NON girano daemon? Se possimo continuare a
parlarne, se no qui vedo solo una gran confusione...
> La cosa più sensata è quindi quella di non aver alcun dato
>sensibile sul disco duro col quale ti connetti ad Internet. Questo non
>è mai possibile nel 100% dei casi, ecco perchè diventa importante la
>security policy del server (che spesso è quello del tuo provider) e le
>caratteristiche tecniche dei sistemi operativi e delle reti coinvolte
>nel caso specifico.
E anche se un hacker bucasse il server del mio provider, l'unica cosa che
potrebbe sapere e' la password con cui mi connetto, che di per se non ha
alcuna correlazione con altre password, ne' consente di entrare nella mia
macchina che non e' accessibile dall'esterno. Se vuoi smentire questa
affermazione, al solito, presenta un esempio concreto.
Guido Zualdi
On Sun, 29 Mar 1998, Spartaco wrote:
> Per fare affermazioni di questo tipo è probabile che tu
> conosca le caratteristiche tecniche dei server e delle reti di
Al momento non ricordo piu' dove stiano (forse, ma al momento sono pigro
per verificarlo, www.undernet.org e www.efnet.org), ma io ho potuto
scaricare, compilare e far funzionare senza alcun problema, sia il server
usato da Undernet che quello usato da Efnet, i sorgenti sono pubblici,
utilizzabili e studiabili da chunque.
Alessio Isaja
In it.comp.sicurezza.varie Spartaco <nos...@use.signature> wrote:
> Bene mi sembra che ad alcuni sia sorta questa domanda e che la
> risposta non sia stata data. Sono state indicate due ragioni per non
> rispondere:
> - la paura di diffondere comportamenti illeciti
> - l'alto tecnicismo delle risposte da fornire
> Io credo che la seconda motivazione non sia vera e provero', con la
> mia scarsa cultura informatica, a fornire risposte. Già so che poi i
> soliti soloni mi attaccheranno indicando le imperfezioni del mio
> discorso. Fa niente, l'obiettivo è iniziare la discussione su un
> argomento che sta a cuore a molti:
> "Chi vi spia in IRC ?"
> La risposta è tutti quelli che hanno "l'access root" sul server su cui
> vi connettete (per molti irc.tin.it) hanno la possibilità di farlo.
> E' da escludere che gli operatori tin ( o comunque il vostro provider)
> lo facciano.
> Ma siamo altrettanto sicuri che un (due, tre...) hackers non siano in
> grado di padroneggiare dentro il server attraverso cui vi connettete ?
> Poi vi è la seconda domanda: siamo altrettanto sicuri che, qualora
> cio' avvenga, il vostro provider vi avvisi della violazione alla
> vostra privacy ?
Scusa... ma di secondo nome fai "paranoico" ? :^)
ma ti rendo conto di quanti utenti ci siano collegati su un irc server?
Ma io vorrei vedere quel poveretto che si mette a loggare, controllare tutto
quello che si dicono gli utenti... quello che e' vero che certi canali
vengono controllati, puo' essere anche per certi utenti, ma bisogna farsi
"conoscere" prima... non credo che perche' tu vieni in IRC ci sia subito
qualcuno pronto a sniffarti la tua conversazione con una ragazza o con
qualche amico che magari ti chiede i comandi principali...
In ogni caso credo che del root e dei IRCop ti puoi fidare cecamente...
forse avrei qualche dubbio sulle autorita' giudiziarie che potrebbero
appunto imporre, a chi potrebbe averne le capacita', di loggare certe
situazioni...
In ogni caso non credo che il gruppetto di hacker che ha bucato l'ircserver
si metta a guardare i messaggi dei vari utenti... ripeto: ce ne sono a
migliaia! :^)
Ciao,
Alessio
-----
Remove the "--#####--" from the E-Mail address if you want to replay
by mail....
Leonardo Serni
fOn Sun, 29 Mar 1998 14:51:19 GMT, in it.comp.sicurezza.varie you
wrote:
>Il buon senso mi dice che quando un hacker acquisisce il
>controllo di un server, acquisisce con facilità:
> - l'accesso a tutti i dati personali di un qualsiasi utente
>che si trovino sul server (vedi casella postale)
> - l'accesso ai computer connessi con il server violato
Si', esatto. Come dire che puo' telefonarmi, e puo' chiedermi il mio
numero di carta di credito. Ora, che il mio PC risponda alla domanda
e' tutta un'altra questione.
Per esempio quando mi collego ad Internet sul PC mi possono arrivare
solo dei pacchetti di dati dei quali io stesso ho fatto richiesta, e
non altri (non ho "servers" sul mio PC). Qualsiasi cosa arrivi sulle
porte che Win95 tiene aperte al pubblico viene cancellata e comunque
le porte Win95 standard, sono filtrate in uscita: non potrei per es.
collegarmi con una stampante remota, neanche se quella me lo facesse
fare.
>Per fare questo non si usano solo i servizi di tipo FTP, ma tutti le
>applicazioni attive scritte in Java. Senza poi contare la possibilità
>di "spedirti" trojan horses dentro il computer.
Anche qui, se chiedi una connessione FTP ad un sistema Win95, quello
ti sputa in un occhio. Se la chiedi ad un sistema Linux, te la da' a
patto che tu fornisca una password valida - che NON E' custodita sul
provider, a meno che l'utente non sia un fesso totale. Java lo tengo
disattivato da quando e' nato.
Qualcuno potrebbe furtarmi la password di connessione alla email, ma
tutto quel che puo' fare e' leggere i messaggi pubblici che la gente
mi manda. E mandare posta a mio nome. La prima cosa ha poco sugo, in
quanto la corrispondenza protetta arriva su un'altra casella, e poi,
in ogni caso, e' cifrata (e neanche poco 8-) ); la seconda puo' dare
qualche soddisfazione, se riesce a scrivere un messaggio plausibile;
tanto per cominciare deve scrivere con tutte le righe lunghe uguali,
deve postare evitando lo spam-bot (che si collega a nome mio; quando
mi collego, lo disattivo automaticamente... ma l'indirizzo per farlo
il mio provider non lo sa, e quindi non puo' rivelarlo 8-) ), e deve
essere matto come una capra.
Con un minimo di accortezza, ci vuole altro che un hacker 8-)
Leonardo
".signature": bad command or file name
The Black Hacker
Guido Zualdi <gui...@scratch.netanday.it> wrote:
> Al momento non ricordo piu' dove stiano (forse, ma al momento sono pigro
> per verificarlo, www.undernet.org e www.efnet.org), ma io ho potuto
> scaricare, compilare e far funzionare senza alcun problema, sia il server
> usato da Undernet che quello usato da Efnet, i sorgenti sono pubblici,
> utilizzabili e studiabili da chunque.
Confermo,
almeno per quanto concerne Undernet.
Il sorgente del server e' GPL (GNU General Public License),
lo si puo' trovare nella ultima versione "ufficiale" in
ftp.undernet.org oppure per le versioni beta e i patch in
corso di sviluppo su http://www.xs4all.nl/~carlo17/ircu/
Poiche' tutti i server IRC utilizzati in reti di dimensioni degne
di nota sono bene o male derivate dal codice originale di Jarkko
che era GPL esse _devono_ a loro volta essere GPL.
Saluti,
--
Andrea aka Nemesi -- Undernet coder-committee
The Black Hacker
L.S...@agora.stm.it wrote:
[snip]
> Anche qui, se chiedi una connessione FTP ad un sistema Win95, quello
> ti sputa in un occhio. Se la chiedi ad un sistema Linux, te la da' a
> patto che tu fornisca una password valida - che NON E' custodita sul
> provider, a meno che l'utente non sia un fesso totale. Java lo tengo
> disattivato da quando e' nato.
Fai male, la security di java e' abbastanza stretta (per molti
TROPPO). Puoi tranquillamente tenere java attivo e non corri
grossi rischi.
Quanto poi a scaricare un applicazione Java dalla rete e "lanciarla"
in una JVM fuori dal browser... e' un'altra storia, li corri gli
stessi rischi che a fare girare *qualsiasi* programma preso in rete.
> Qualcuno potrebbe furtarmi la password di connessione alla email, ma
> tutto quel che puo' fare e' leggere i messaggi pubblici che la gente
> mi manda. E mandare posta a mio nome. La prima cosa ha poco sugo, in
Mandare posta a tuo nome lo puo' fare tranquillamente senza
sapere la tua password.
Non e' neanche facile per chi la riceve accorgersi del falso,
se chi lo fa ha poi un account sul tuo stesso provider ed e'
nella stesa citta' (o si prende il disturbo di fare una
interurbana) e' del tutto impossibile per chi riceve verificare
una differenza.... il tutto ovviamente salvo PGP & affini o
salvo una verifica presso i log del provider (ma qualche provider
tiene i log ? :P)
[snip]
> Con un minimo di accortezza, ci vuole altro che un hacker 8-)
>
Nah.. per piacere, non ti insabbiare anche tu sul significato
"mediatico" (ed errato) assunto dalla parola "hacker" :)
Ciao,
--
Andrea
[Disclaimer of the day, del tutto "casuale" in riferimento al fatto che
io abbia deciso di non rispondere piu' a questi "al lupo al lupo":
"Non discutere con un cretino, la gente potrebbe non cogliere la
differenza".]
agli...@mi.flashnet.it
On Sun, 29 Mar 1998 14:51:19 GMT, nos...@use.signature (Spartaco)
wrote:
> Il buon senso mi dice che quando un hacker acquisisce il
>controllo di un server, acquisisce con facilità:
> - l'accesso a tutti i dati personali di un qualsiasi utente
>che si trovino sul server (vedi casella postale)
Vero
> - l'accesso ai computer connessi con il server violato
Falso. Almeno per quanto riguarda i computer di utenti che si
collegano in dialup e che usano solo sw client. COmunque il discorso
qui si sposta da IRC alla sicurezza in generale.
>Per fare questo non si usano solo i servizi di tipo FTP, ma tutti le
>applicazioni attive scritte in Java. Senza poi contare la possibilità
>di "spedirti" trojan horses dentro il computer.
Aspetto con ansia che qualcuno mi invii un trojan horse senza che io
lo sappia. Come? DCC? Non accetto file sconosciuti o da sconosciuti.
Posta? Gli attach se non attesi sono sottoposti ad antivirus etc. e i
virus della posta tipo "good time" sono bufale. Certo tutto e'
possibile, uno potrebbe modificare un file di un programma commerciale
che all'atto del'installazione faccia altre cose oltre al suo scopo
originario. Ma siamo al limite della fantascienza. Insomma
preoccuparsi della sicurezza si... ma con moderazione :)
>Ti prego anche di controllare, tra gli altri, questo riferimento:
> http://www.cyber.ust.hk/handbook/04_hb1.html
>
>The main problem with using IRC to uncover security information is
>that if the user does not watch out, he can become the
>victim of intrusion attacks. Users of the #HACK and #WAREZ channels
>tend to roam the IRC looking for victims. Users be
>forewarned. Joining a IRC channel enables other people to see the name
>of your host as well as your account name on that
>hosts.
Si vabbe'.... certo vedono il nome del mio host, non vedono la mia
login perche' modificata, il mio alias di posta e' diverso dalla mia
login quindi... ripeto daccordo la sicurezza... ma non diventiamone
paranoici.
> Ti prego inoltre di lasciare il mio thread inalterato e di
>spedire le tue risposte anche a it.comp.sicurezza.varie, visto che
>l'argomento interessa i due gruppi.
Ecco forse il discorso se esteso ad hackeraggi di tipo generico
troverebbe meglio seguito su it.comp.sicurezza.varie
Verba volant, scripta scassant (c) 1997 - The Edge
Stefano Aglietti aka StallonIt
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
E-mail:agli...@mi.flashnet.it
agli...@hotmail.com
WWW: http://www.geocities.com/SiliconValley/Haven/2255
http://www.panservice.it/simplecity/
http://www.webby.it/
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
PGP keys available on keyservers (cripted/signed PGP mail welcome)
RSA fingerprint: CDF0 2E91 8CD9 53FB ADEA BADD D3CF 92AD
DSS fingerprint: 5003 681D 6A92 2571 163D 4728 6FDA DDF9 D820 4F27
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Leonardo Serni
On Mon, 30 Mar 1998 16:31:43 +0200, nu...@tin.it (The Black Hacker)
wrote:
>> Java lo tengo disattivato da quando e' nato.
>Fai male, la security di java e' abbastanza stretta (per molti
>TROPPO). Puoi tranquillamente tenere java attivo e non corri
>grossi rischi.
Come diceva il vecchio Ford, "Cio' che non c'e', non si guasta" 8-)
>> Qualcuno potrebbe furtarmi la password di connessione alla email, ma
>> tutto quel che puo' fare e' leggere i messaggi pubblici che la gente
>> mi manda. E mandare posta a mio nome. La prima cosa ha poco sugo, in
>Mandare posta a tuo nome lo puo' fare tranquillamente senza
>sapere la tua password.
Si', pero' lo si puo' 'sgamare' con buona facilita'. Comunque quello
l'ho aggiunto dopo: quel che mi darebbe piu' fastidio sarebbe se uno
leggesse e flushasse i messaggi in arrivo, perche' non li leggerei.
>una differenza.... il tutto ovviamente salvo PGP & affini o
>salvo una verifica presso i log del provider (ma qualche provider
>tiene i log ? :P)
Si': TIN ed Agora'.
>> Con un minimo di accortezza, ci vuole altro che un hacker 8-)
>Nah.. per piacere, non ti insabbiare anche tu sul significato
>"mediatico" (ed errato) assunto dalla parola "hacker" :)
Okay, okay. Cracker it is.
The Black Hacker
> (The Black Hacker) wrote:
> >> Java lo tengo disattivato da quando e' nato.
> >Fai male, la security di java e' abbastanza stretta (per molti
> >TROPPO). Puoi tranquillamente tenere java attivo e non corri
> >grossi rischi.
>
> Come diceva il vecchio Ford, "Cio' che non c'e', non si guasta" 8-)
Ah beh, per quello io ho un sistema che e' a prova
di qualsiasi intrusione, assolutamente involabile da chiunque:
Il mio vecchio Apple Lisa che sta in cantina con l'alimentatore
bruciato :-)
[snip]
> >Mandare posta a tuo nome lo puo' fare tranquillamente senza
> >sapere la tua password.
>
> Si', pero' lo si puo' 'sgamare' con buona facilita'. Comunque quello
> l'ho aggiunto dopo: quel che mi darebbe piu' fastidio sarebbe se uno
> leggesse e flushasse i messaggi in arrivo, perche' non li leggerei.
Vero, quanto allo "sgamare" ti correggo, non e' affatto facile
"sgamarlo", anzi e' praticamente impossibile; se io:
- Ho un accesso allo stesso provider
- Uso (eventualmente in teleselezione) lo stesso POP
- Configuro il client mail in modo identico al tuo
[tutte informazioni che posso avere se ho ricevuto una sola
email da te...]
Posso mandare una mail a chiunque che e' INDISTINGUIBILE da parte
del destinatario da una mandata effettivamente da te, fatto
salvo che il destinatario non ti risponda incazzato e tu non
riesca a farti dare i log dal provider con cui dimostrare che
non l'hai mandata tu....
Se non ho accesso al tuo stesso provider la cosa diventa
solo piu' complessa (IP spoofing e blind TCP handshaking...)
o nella peggiore delle ipotesi piu' costosa (mi faccio un
abbonamento alla bisogna :-)
Il tutto ovviamente salvo PGP, Verisign o simili.
> >una differenza.... il tutto ovviamente salvo PGP & affini o
> >salvo una verifica presso i log del provider (ma qualche provider
> >tiene i log ? :P)
>
> Si': TIN ed Agora'.
Ahh.. l'avevo gia' detto di PGP :)
I log i _grossi_ provider li tengono, vero.
Sicuramente ci vuole un ordine di un magistrato per averli.
Sicuramente il magistrato si scomoda se qualcuno ha inchiodato il
webserver del parlamento e/o sostituitone la homepage con una
foto porno. Ma se qualcuno manda una mail alla tua fidanzata/moglie
a nome tuo dicendole cose che tu non le diresti... non credo che
esso si scomodi...
> >"mediatico" (ed errato) assunto dalla parola "hacker" :)
>
> Okay, okay. Cracker it is.
:)
Ciao,
--
Andrea
Claudio Morabito
Spartaco <nos...@use.signature> scritto nell'articolo
<351ddd3b...@news.uu.ml.org>...
> On 28 Mar 1998 23:00:58 GMT, "Claudio Morabito" <knuc...@tin.it>
> wrote:
> Per fare affermazioni di questo tipo č probabile che tu
> conosca le caratteristiche tecniche dei server e delle reti di
>
> tin.
> Se mi dici dove reperirli vedro' se concordare o meno con te
>
ho semplicemente messo su un server ircd 2.9.5 (prima era .4 ma vabbč), e
mi sono studiato la cosa... funzionamento ecc...
trovi i sorgenti su ftp://ftp.funet.fi/pub/unix/irc/server .
Saluti,
Claudio Morabito.
Ermanno Polli
The Black Hacker <nu...@tin.it> wrote:
> In article <3520d00b...@www.mediterranea.it>, L.S...@agora.stm.it
> wrote:
>
> > (The Black Hacker) wrote:
> > >> Java lo tengo disattivato da quando e' nato.
> > >Fai male, la security di java e' abbastanza stretta (per molti
> > >TROPPO). Puoi tranquillamente tenere java attivo e non corri
> > >grossi rischi.
> >
> > Come diceva il vecchio Ford, "Cio' che non c'e', non si guasta" 8-)
>
> Ah beh, per quello io ho un sistema che e' a prova
> di qualsiasi intrusione, assolutamente involabile da chiunque:
> Il mio vecchio Apple Lisa che sta in cantina con l'alimentatore
> bruciato :-)
>
[snip]
Hai un vecchio Apple Lisa??? Followup su it.comp.retrocomputing!!
Ciao,
--
Ermanno Polli (INFN-LNF)
user: hostname: subdomain: domain: country:
ermanno.polli N/A lnf infn it
Aranar
nos...@use.signature (Spartaco) wrote:
> Invece io mi preoccupo di eventuali hackers o crackers che
>prendano il controllo del server a cui sei connesso.
> In questo caso non solo quello che stai dicendo sulla chat
>viene intercettato, ma tutto quello che hai sul tuo disco duro č carta
>straccia. Mutande, reggiseni, passwords e qualsiasi dato
>sensibile č alla portata dell'hacker di turno.
se stai parlando di server IRC non mi risulta che questo sia possibile
-------------------------------------------------------------------------
ara...@usa.net
Aranar homepage: http://www.nettaxi.com/citizens/Aranar/ (VgaPlanets)
The Black Hacker
ara...@removethis.usa.net (Aranar) wrote:
> nos...@use.signature (Spartaco) wrote:
>
> > Invece io mi preoccupo di eventuali hackers o crackers che
> >prendano il controllo del server a cui sei connesso.
> > In questo caso non solo quello che stai dicendo sulla chat
> >viene intercettato, ma tutto quello che hai sul tuo disco duro č carta
> >straccia. Mutande, reggiseni, passwords e qualsiasi dato
> >sensibile č alla portata dell'hacker di turno.
>
> se stai parlando di server IRC non mi risulta che questo sia possibile
>
Approfitto del quote per rispondere a un post che ho
perso (viva news.tin.it e news.interbusiness.it), a
Spartaco rispondo:
a) Comprare vocabolario di inglese e leggere 21 volte la
definizione di "hacker".
b) Informarsi, documentarsi e portare fatti: poi parli.
b1) Stare zitti.
Non si puo' continuare a sparare fesserie troppo grandi senza nemmeno
sapere di cosa parli, ci si colloca al livello dei giornalisti
dell'Espresso quando vogliono parlare di computer e di Internet
(della serie "bambino di sei anni morto di AIDS per avere preso un
virus via modem dai pedofili di Internet").
La gente poi.. si stanca di risponderti, e se nessuno ti risponde
finisce che qualcun altro tanto poco informato quanto te prende
le cacchiate che dici per vere.. e propagarle.
Scusate lo sfogo, davanti a chi spara cazzate danedole
per verita' assoluta senza sapere nemmeno di cosa parla
perdo la pazienza.
Regards,
--
Andrea aka Nemesi.
Hacker da 10 anni a questa parte.
Programmatore da 20 anni a questa parte.
Autore di una buona fetta del server IRC di undernet.
Consulente tecnico indipendente per i problemi relativi
alla sicuretta di mezza dozzina di ISP e due banche.
Annoiato dall'ignoranza e dalle leggende metropolitane.
Sergio
Ciao Andrea,
mi trovo molto d'accordo con tutto quello che hai scritto, vorrei
chiederti alcune informazioni.
On Sun, 29 Mar 1998 10:08:16 +0100, nu...@tin.it (The Black Hacker)
wrote:
>> Poi vi è la seconda domanda: siamo altrettanto sicuri che, qualora
>> cio' avvenga, il vostro provider vi avvisi della violazione alla
>> vostra privacy ?
>No, al 99% non se ne accorgerebbe, e se se ne accorgesse sistemerebbe
>la cosa cercando di fare meno pubblicita' possibile.
Ovvio.
>Ora... fine delle fantasie e riprendiamo con la realta':
Perche' finora erano fantasie?
>Altra nota: [snip] "ma un server potrebbe loggare
>tutte le query": No a meno che l'admin non abbia qualche miliardo
>da buttare via in supporti magnetici per togliersi questo sfizio]
>A volte anche la "quantita'" di informazioni aiuta a difendere
>la privacy.
Sulle query sono d'accordo con te. Ma a questo punto ho una
curiosita'. Si tiene un log delle mail in ingresso ed in uscita?
Si fa un backup delle shell di tanto in tanto?
Un provider come il tuo, che non e' proprio l'ultimo riguardo al
traffico :-), penso che dovrebbe avere un log di questo tipo anche per
ragioni penali. Mi pare che non offra shell, correggimi se sbaglio, ma
le mail o ftp?
Sicuramente ha un log delle connessioni, ma da un punto di vista
penale conta il "contenuto" delle mie azioni durante la connessione,
questo come potrebbe dimostrarlo se un suo utente commette un reato?
>e qualcuno ha detto "I GSM
>non si possono ascoltare come gli ETACS".
>
>Ebbene, che "non si possa" e' "Teoricamente" FALSO, e' 100 volte piu'
>semplice e 1000 volte meno rischioso intercettare un telefonino GSM
>che intercettare una query IRC.
Si, i GSM si possono intercettare. la strumentazione per fare questo
costa sui 200 milioni allo stato attuale, cmq lo si potrebbe fare in
cooperativa. Ma... sei proprio sicuro che sia 1000 volte meno
rischioso che intercettare una query IRC? Da un punto di vista legale
mi pare ci sia una bella differenza....
Saluti,
Sergio
"Can you imagine when this race is won?
Turn our golden faces into the sun" - Alph.
_______________________________
I dati in header sono alterati, se vuoi rispondermi in e-mail sostituisci "getta" con "usa"
Spartaco
Beh caro Black,
io il mio obiettivo l'ho ottenuto. Se scorri
bene i messaggi degli ultimi 15 giorni c'era una certa reticenza (non
tua) nello sviluppare l'argomento privacy e security nell'IRC.
Risposte ne ho ottenute e parecchie considerando che le mie
"provocazioni" hanno prodotto un qualcosa come 30 risposte.
Ora mi sembra che se ne sappia un pochino di piu e questo
anche grazie a te.
Per quanto riguarda documenti mi sembra di averne portati e se
guardi i miei messaggi non potrai che convenire.
Per quanto riguarda lo stare zitto tu avresti ragione se
l'argomento fosse coperto da FAQ, cosa programmata, ma ancora non
svolta.
Una cosa buona tu l'hai fatta, hai messo a disposizione le tue
conoscenze e spero continuerai a farlo.
Ti assicuro che in mancanza di questo č meglio fornire
un'impressione giornalistica piuttosto che niente. Ed in presenza di
future reticenze non manchero' di farlo.
The Black Hacker
sergi...@getta.net (Sergio) wrote:
> Ciao Andrea,
> mi trovo molto d'accordo con tutto quello che hai scritto, vorrei
> chiederti alcune informazioni.
[snip]
> Sulle query sono d'accordo con te. Ma a questo punto ho una
> curiosita'. Si tiene un log delle mail in ingresso ed in uscita?
> Si fa un backup delle shell di tanto in tanto?
> Un provider come il tuo, che non e' proprio l'ultimo riguardo al
> traffico :-), penso che dovrebbe avere un log di questo tipo anche per
> ragioni penali. Mi pare che non offra shell, correggimi se sbaglio, ma
> le mail o ftp?
Loggare il traffico email di un utente senza che questo
ne sia al corrente costituisce _sicuramente_ una violazione
della normativa sulla privacy (io in email scrivo, potenzialmente,
informazioni che possono essere ritenute "sensibili", per "archiviarle"
in qualsiasi forma uno ha bisogno del mio consenso, _scritto_,
senno' e' reato _penale_).
> Sicuramente ha un log delle connessioni, ma da un punto di vista
> penale conta il "contenuto" delle mie azioni durante la connessione,
> questo come potrebbe dimostrarlo se un suo utente commette un reato?
No, un provider NON e' responsabile di cosa faccio in rete, al
massimo (ma e' discutibile) nel momento in cui io dal mio modem
commetto dei reatstrato puo' chiedergli di "cooperare per individuare
chi c'era collegato a un certo indirizzo a una certa ora, con tutti i
mezzi tecnici disponibili". Non credo che se un provider NON HA i
log possa essere incriminato per una qualsiasi "omissione". Quanto
ai dump completi delle operazioni in rete (cioe' di tutto il traffico)
sarebbe da un lato uno sproposito chiedere a un provider di mantenerli
(il mio computer mi dice, nelle statistiche dell'ultimo mese, 386
MB di traffico entrante sul mio modem... ok io sono un caso particolare
ma.. ci rendiamo conto di QUANTO costerebbe a un provider loggare
tutto ?) e dall'altro, ritengo, un reato da parte del provider
farlo.
> >e qualcuno ha detto "I GSM
> >non si possono ascoltare come gli ETACS".
> >
> >Ebbene, che "non si possa" e' "Teoricamente" FALSO, e' 100 volte piu'
> >semplice e 1000 volte meno rischioso intercettare un telefonino GSM
> >che intercettare una query IRC.
> Si, i GSM si possono intercettare. la strumentazione per fare questo
> costa sui 200 milioni allo stato attuale, cmq lo si potrebbe fare in
> cooperativa. Ma... sei proprio sicuro che sia 1000 volte meno
> rischioso che intercettare una query IRC? Da un punto di vista legale
> mi pare ci sia una bella differenza....
L'attrezzatura me la potrei costruire in cantina con meno di 20 milioni,
accetto la sfida (chi perde paga i 20 milioni). :-)
Il bello e' che, per quanto assurdo ti possa sembrare, stante una
convenzione internazionale sulle cmunicazioni radio a cui l'Italia
ha aderito 30 anni fa.. NON SAREBBE REATO.
Infatti per regolamento internazionale, in sostanza "ogni comunicazione
radio e' broadcast, come se lo urlassi in piazza" quindi qualsiasi
cittadino di qualsiasi stato aderente ha _diritto_ senza licenze ne
permessi di munirsi delle attrezzature necessarie ad _ascoltare_
una comunicazione radio e di farlo. Chi "trasmette" puo' essere
soggetto a licenze, autorizzazioni, permessi, eccetera e non solo
e' SUA responsabilita' tutelarsi da solo (criptando le comunicazioni)
in modo da non farsi captare se non vuole che avvenga ma se trasmette
"in chiaro", ovvero in modo tale da non "rendere ragionevolmente
inascoltabile la comunicazione" ha altresi' il dovere di cautelare
gli ascoltatori (!) dal contenuto della comunicazione stessa.
Si, hai capito bene, su un GSM no perche' ci si puo' appellare alla
"ragionevole certezza di non essere ascoltati per sbaglio" ma se tu da
un ETACS ti metti a bestemmiare... commetti un reato, come se
bestemmiassi ad alta voce in mezzo a una piazza, ne piu' e ne meno.
Quindi, giuridicamente, ascoltare le telefonate altrui se esse
avvengono da un cellulare NON e' reato, intercettare una email altrui
nel momento in cui lo fa un "estraneo" e' reato perche' sicuramente
per farlo "si e' introdotto abusivamente" nel sistema del provider,
nel momento in cui lo fa il provider.. e' reato perche' e' una
violazione della privacy.
Resto della mia opinione: la prima cosa e' piu' facile e meno
rischiosa.
[btw: siamo completamente OT qui', qualcuno ha da suggerire un
NG giusto ?]
Ciao,
Andrea.
The Black Hacker
spar...@mailcity.com wrote:
> Una cosa buona tu l'hai fatta, hai messo a disposizione le tue
> conoscenze e spero continuerai a farlo.
L'ho sempre fatto, con chi pone delle domande.
> Ti assicuro che in mancanza di questo č meglio fornire
> un'impressione giornalistica piuttosto che niente. Ed in presenza di
> future reticenze non manchero' di farlo.
Quello che e' inaccettabile sono gli "al lupo al lupo" gratuiti,
non avvallati da dati di fatto e "passati per scontati" come se
fossero veri. Questo e' DISINFORMARE, gratuitamente, inutilmente
e stupidamente.
Se uno _chiede_ "ma uno potrebbe entrare nel mio computer tramite IRC
e leggersi le letterine d'amore alla mia fidanzata ?" io, come ho
sempre fatto, rispondo. In modo per quanto posso comprensibile e
l'accuratezza delle mie risposte con un linguaggio chiaro per chi
ha posto la domanda.
Se uno dice "uno puo' fare questo" come se avesse la competenza
o la certezza necessaria ad affermare che e' cosi' mentre non lo
e' affatto... perdo la pazienza... scusa ma di cazzate in giro
ce ne sono gia' abbastanza senza che qualcuno si metta a crearne
o propagarne di nuove.
aveve,
Andrea
Leonardo Serni
On Tue, 31 Mar 1998 16:02:45 +0200, nu...@tin.it (The Black Hacker)
wrote:
>> >Mandare posta a tuo nome lo puo' fare tranquillamente senza
>> >sapere la tua password.
>> Si', pero' lo si puo' 'sgamare' con buona facilita'. Comunque quello
>> l'ho aggiunto dopo: quel che mi darebbe piu' fastidio sarebbe se uno
>> leggesse e flushasse i messaggi in arrivo, perche' non li leggerei.
>Vero, quanto allo "sgamare" ti correggo, non e' affatto facile
>"sgamarlo", anzi e' praticamente impossibile; se io:
>- Ho un accesso allo stesso provider
>- Uso (eventualmente in teleselezione) lo stesso POP
>- Configuro il client mail in modo identico al tuo
>[tutte informazioni che posso avere se ho ricevuto una sola
> email da te...]
...in quel caso puoi mandare un messaggio indistinguibile, a livello
informatico, da uno mandato da me. Pero' devi anche formattarlo come
faccio io, altrimenti il ricevente s'insospettisce; e se spedisci un
certo numero di emails, magari lunghe, ti ci vuole una pazienza mica
da ridere 8-D
>foto porno. Ma se qualcuno manda una mail alla tua fidanzata/moglie
>a nome tuo dicendole cose che tu non le diresti... non credo che
>esso si scomodi...
Tutte le email "sensibili" contengono una cifra steganografica, e un
discorso simile si applica per i posts "sensibili" sui NG. Quindi ad
un possibile cracker rimane aperta tutt'al piu' la strada di mandare
messaggiacci a gente di cui mi importa poco 8-). Non solo: cosa puo'
scriverci? Se a uno chiunque dei miei conoscenti arrivasse una email
con scritto "Bill Gates e' un bell'uomo" mi manderebbero in risposta
"T'hanno ciulato la password" su uno degli account di emergenza 8-),
sicuro come la morte e le tasse (beh, siamo in Italia: diciamo "come
la morte").
L'unico account decisamente "sensibile" che utilizzo ha una password
che cambia ogni giorno. E l'algoritmo, piuttosto creativo (ma basato
banalmente sulla data: oggi la password potrebbe essere, per dirtene
una, "fapr.6", domani "gapr.7", e cosi' via), e' scritto solo dentro
al daemon di autentificazione (per avere accesso al quale, pero', e'
necessario avere accesso fisico al sistema, cosa non facile).
Leonardo cintura nera di paranoia
P.S. Gia' il fatto che ci sia una email reale nel campo "From:", qui
sui newsgroups, sta ad indicare che la posta su Agora' e' forse
la cosa di cui mi frega di meno 8-D
Leonardo Serni
On Sun, 05 Apr 1998 20:26:28 +0200, nu...@tin.it (The Black Hacker)
wrote:
>Si, hai capito bene, su un GSM no perche' ci si puo' appellare alla
>"ragionevole certezza di non essere ascoltati per sbaglio" ma se tu da
>un ETACS ti metti a bestemmiare... commetti un reato, come se
>bestemmiassi ad alta voce in mezzo a una piazza, ne piu' e ne meno.
Sono completamente d'accordo con tutto quanto hai detto su natura e
ragionevolezza del logging, sicurezza di reti, eccetera (anzi, devo
aggiungere che era l'ora che qualcuno innalzasse il livello tecnico
della discussione).
Pero', AFAIK la bestemmia non e' piu' reato: la religione cattolica
ha smesso di essere religione di Stato. Almeno credo!
Leonardo che se no si becca trent'anni
The Black Hacker
Credo anche io, per fortuna (verrebbe spontaneo il "credo
che tu abbia ragione, grazie a dio", ma detto da un ateo come
me suona quasi come una bestemmia :-)
Diciamo che non puoi dire "tizio e' un rotto in c...", sarebbe
diffamazione :-)
Ciao,
--
Andrea
Sergio
Ciao Andrea,
On Sun, 05 Apr 1998 20:26:28 +0200, nu...@tin.it (The Black Hacker)
wrote:
>L'attrezzatura me la potrei costruire in cantina con meno di 20 milioni,
>accetto la sfida (chi perde paga i 20 milioni). :-)
hehe... quale sfida? :-)
ok, infatti la notizia che avevo letto era per costruire un device che
_clonasse_ i GSM. C'e' stato un recente fatto di cronaca a riguardo.
>Il bello e' che, per quanto assurdo ti possa sembrare, stante una
>convenzione internazionale sulle cmunicazioni radio a cui l'Italia
>ha aderito 30 anni fa.. NON SAREBBE REATO.
Prima mi chiedevo: ma se e' cosi' allora perche' ci vuole
l'autorizzazione del magistrato per intercettare le telefonate anche
ETACS?
Forse, pero', l'autorizzazione e' necessaria per _registrare_ le
conversazioni su un supporto e non per ascoltarle.
>[btw: siamo completamente OT qui', qualcuno ha da suggerire un
>NG giusto ?]
Forse it.tlc.telefonia?
Cmq thanx, anche per lo spunto sulle secure shell.
The Black Hacker
sergi...@getta.net (Sergio) wrote:
> Ciao Andrea,
>
> On Sun, 05 Apr 1998 20:26:28 +0200, nu...@tin.it (The Black Hacker)
> wrote:
> >L'attrezzatura me la potrei costruire in cantina con meno di 20 milioni,
> >accetto la sfida (chi perde paga i 20 milioni). :-)
>
> hehe... quale sfida? :-)
> ok, infatti la notizia che avevo letto era per costruire un device che
> _clonasse_ i GSM. C'e' stato un recente fatto di cronaca a riguardo.
>
Di farlo sotto il tuo naso, compriamo il materiale a spese
mie, se non funzia mi piango i 20 ml, se funzia me ne dai 40 :-)
> >Il bello e' che, per quanto assurdo ti possa sembrare, stante una
> >convenzione internazionale sulle cmunicazioni radio a cui l'Italia
> >ha aderito 30 anni fa.. NON SAREBBE REATO.
>
> Prima mi chiedevo: ma se e' cosi' allora perche' ci vuole
> l'autorizzazione del magistrato per intercettare le telefonate anche
> ETACS?
Perche' le intercettazioni del caso:
- Avvengono sulla parte "fissa" della rete e.. non per radio.
- Devono avere valore di prova
Ti sembrera' strano ma giuridicamente parlando la differenza
tra intercettare la stessa telefonata con un ricevitore radio
e intercettarla attaccando due fili alla centrale e' abissale.
Nel primo caso tu "ascolti un canale radio", nel secondo commetti
una violazione del segreto postale (per una catena di ereditarieta'
giuridica, tipica della giurisprudenza italiana, la comunicazione
via cavo e' assimilata al servizio postale, che eredita le norme
del "regio servizio postale"... e di riferimento in riferimento
si arriva a qualche legge del 1400 dove c'e' scritto che chi ruba
un plico della posta del re viene sottoposto a castrazione sulla
pubblica piazza :-)
In sostanza per intercettare il telefonino di un certo ministro
pinco pallino il magistrato lo fa mettere sotto controllo da
telecom a livello di centrale e non via radio.
Inoltre anche ove lo faccia via radio poiche' si tratta di una
intercettazione "mirata" si puo' assimilare a una intercettazione
ambientale (Io posso stare seduto nel parco ed ascoltare uno
che parla al di la del cespuglio, se lo faccio con un microfono
direzionale da 1 Km di distanza la cosa cambia un po'...)
Infine "ritengo" che la polizia debba avere l'autorizzazione del
magistrato anche per fare cose "legali" per un ordinario cittadino
nel momento in cui lo fa per produrre delle "prove"; probabilmente
alcune intercettazioni non autorizzate sarebbero di per se
"legali" ma non ammissibili come prova in un tribunale.
Ammetto pero' che le mie sono ipotesi a questo punto, sto
sconfinando in un campo in cui non ho alcuna competenza :)
> Forse, pero', l'autorizzazione e' necessaria per _registrare_ le
> conversazioni su un supporto e non per ascoltarle.
>
Anche questo, ma e' molto discutibile (l'informazione trasmessa
per radio "in chiaro" e' gia' stata resa di pubblico dominio
e quindi non ci si puo' appellare alla tutela della privacy,
al copyright o a niente altro in quanto tu stesso l'hai diffusa
con un mezzo "broadcast").
Comunque c'e' chi ha fatto una trasmissione in radio in cui
captava le telefonate degli ETACS e le ritrasmetteva in diretta,
ha beccato (ehm... ABBIAMO :P) una valanga di denunce... cui
sono seguite una valanga di assoluzioni perche' "il fatto
non costituisce reato".
> >[btw: siamo completamente OT qui', qualcuno ha da suggerire un
> >NG giusto ?]
>
> Forse it.tlc.telefonia?
Non seguo it.tlc.telefonia, spero che mi venga perdonato il
crosspost :)
Ciao,
--
Andrea
Aranar
nu...@tin.it (The Black Hacker) wrote:
>Loggare il traffico email di un utente senza che questo
>ne sia al corrente costituisce _sicuramente_ una violazione
>della normativa sulla privacy
adesso e' contrario anche alla legge sulla firma digitale
Filippo
On Sun, 29 Mar 1998 10:08:16 +0100, nu...@tin.it (The Black Hacker)
wrote:
>Il secondo gruppo (utilizzando una tecnica chiamata TCP sniffing)
>affronta problemi tecnici molto piu' complessi ma e' assolutamente
>impossibile che si esponga all'essere "scoperto" (sempre che l'accesso
>alla macchina in questione sia "ufficiale", se e' un crack si
>espone ad essere beccato come chiunque entri in una macchina altrui).
Correggetemi se ho capito male l'affermazione di "The Black Hacker",
ma ho visto piu' di un programma per trovare dei TCP sniffing.
Premetto dicendo che non ne ho mai compilato e provato uno. Di seguito
posto un tralcio del commento iniziale del programma "promisc", il
primo che mi e' capitato sottomano :
----- taglia qui -----
This will scan your devices to detect sniffers on your system.
Linux support is ready but SunOS has some problems (mainly in
net/if.h when i tried compiling i got a lot of parse errors in
if.h and socket.h <shrug> maybe the system i was on was damaged.)
Comments welcome :-).
begin promisc.c --
// $Id: promisc.c,v null 1997/03/09 10:35:58 trevorl Exp $
// promisc.c: test devices for sniffers and device moniters.
//
// Copyright (C) 1997 Trevor F. Linton (bl...@xmission.com)
//
// Created for Linux based loosely upon linux ioctl controls.
// ioctl() is used to detect different flags set on devices used
// on your system.
----- taglia qui -----
Spero di non dire ca22ate, appena ho l'occasione di compilare uno
sniffer e questo programmino per beccarlo e testimoniare riguardo al
suo funzionamento, riferiro'...
The Black Hacker
filippo@risposte_in_newsg.it wrote:
> Correggetemi se ho capito male l'affermazione di "The Black Hacker",
> ma ho visto piu' di un programma per trovare dei TCP sniffing.
> Premetto dicendo che non ne ho mai compilato e provato uno. Di seguito
> posto un tralcio del commento iniziale del programma "promisc", il
> primo che mi e' capitato sottomano :
Di programmi per fare sniffing in giro ce ne sono a dozzine,
il problema e' che se ne compili/installi uno sulla tua
macchina a casa... non sniffi proprio un bel niente.
Uno sniffer becca solo i pacchetti che "fisicamente" arrivano
alla macchina, dal tuo modem "fisicamente" arrivano solo i pacchetti
indirizzati a te, se tu installi lo sniffer sulla LAN che collega
i POP ddel provider il discorso cambia....
Ma per fare questo devi avere accesso root a una macchina sulla
lan del provider da cui l'utente che vuoi sniffare si collega,
oppure su una delle sottoreti attraversate dai pacchetti IP
tra quest'ultima e quella dove e' installato in server a cui
l'utente che vuoi sniffare si collega...
Come vedi QUI' e' la difficolta': avere un root su una macchina
nella posizione giusta non e' certo facile per vie "ufficiali"
(a meno che tu non lavori per il provider), ed e' alquanto
difficile+illegale+pericoloso per vie "ufficiose", got it ?
Btw, ho un nome :)
Ciao,
--
Andrea
Paolo Rocchi
Di recente su comp.security.unix si e' dibattuto a fondo su questo
argomento. Il risultato della discussione e' che va sfatato il luogo
comune secondo cui uno sniffer attivo su un segmento di lan sia undetectable.
Thomas Ptacek ha piu' volte indicato l'esistenza di tecniche empiriche che
permettono di individuare da remoto con successo la presenza di network
monitors.
La condizione necessaria e' che l'host sul quale e' stato installato
il network monitor abbia route tables corrette, ovvero sia un host in
'rete'. In altre parole se ad un ifconfig, non segue un route add,
e' ancora possibile da console mettere in promiscuous mode la scheda di rete
senza scambiare pacchetti con l'esterno.
Una parte delle tecniche e' latency-based. Anche se inserito nel kernel
lo sniffer degrada la performance del sistema, in modo misurabile dall'esterno
via arp o ping. Soprattutto se il segmento di lan e' inondato di
'noise packets'.
Oltre a questo ci sono altri 'trucchi' tra i quali immettere pacchetti
con HWaddr e IP mismatch. Se ad esempio invio un' echo request ad un indirizzo
IP (esempio 10.10.10.1) 'avvolto' in un eth frame in cui il destination
host (l'indirizzo HW) sia diverso, puo' avvenire quanto segue.
Se l'host 10.10.10.1 sta monitorando la rete, l'interfaccia di rete passa al
kernel ogni pacchetto in transito, compresi quelli non destinati (come
questo) al proprio hardware MAC address.
Facendo il demultiplexing e passando il frame al network layer il kernel
si accorge che era indirizzato al proprio IP address ed invia l'echo
reply. A questo punto lo sniffer ha alterato il flusso di pacchetti,
rivelando la propria presenza.
Non va trascurato inoltre il fatto che a meno di disattivazioni
esplicite da command-line la maggioranza degli sniffer effettua il
gethostbyaddr, al fine di convertire numeri in nomi. tcpdump lo fa di default e
cosi' la gran parte degli sniffer per linux (ad eccezione di sniffit).
Un intenso traffico DNS da un host della LAN e' un buon segnale di attivita'
sospette. Si potrebbe immaginare di immettere in rete bogus packets
con IP esterni e vedere se ne conseguano query DNS da host non coinvolti.
Filippo <filippo@risposte_in_newsg.it> wrote:
> Correggetemi se ho capito male l'affermazione di "The Black Hacker",
> ma ho visto piu' di un programma per trovare dei TCP sniffing.
come puoi vedere dallo stesso header, programmi di questo tipo funzionano
solo in locale.
Saluti
The Black Hacker
> The Black Hacker <nu...@tin.it> wrote:
> >ma e' assolutamente impossibile che si esponga all'essere "scoperto"
>
> Di recente su comp.security.unix si e' dibattuto a fondo su questo
> argomento. Il risultato della discussione e' che va sfatato il luogo
> comune secondo cui uno sniffer attivo su un segmento di lan sia undetectable.
> Thomas Ptacek ha piu' volte indicato l'esistenza di tecniche empiriche che
> permettono di individuare da remoto con successo la presenza di network
> monitors.
Quoto solo una parte del tuo post per risparmiare banda, del resto
condivido al 100% le tue osservazioni dal punto di vista tecnico,
un po' meno dal punto di vista pratico:
- Le tecniche basate sullo studio del performance degrade, sui
tentativi di ping, etc etc, partono tutte dal presupposto che
si abbia il sospetto "che una certa macchina stia sniffando"...
- I riferimenti sono esclusivamente al mondo unix e a programmi
"a bassa invasivita'" sul sistema su cui vengono installati....
ho un programmino buttato giu' in 4 ore sul powermac da cui sto
scrivendo questo messaggio che:
. "Butta giu'" la rete, la macchina una volta lanciato non ha
nemmeno piu' un IP, dal punto di vista Internet "non esiste".
Quindi non risponde a ICMP, non da segno di vita... NON C'E'.
. Ascolta tutti i pacchetti ETH che passano sul segmento di rete
. Non "fa niente" (non tenta nemmeno di risolvere gli indirizzo
MAC in IP, tantomeno di fare query DNS, del resto non potrebbe
non avendo essa stessa un indirizzo IP).
. Filtra secondo criteri assegnati e dumpa su disco tutto quello
che c'e' in giro per la ethernet e risponde a determinati
criteri...
Ovviamente sarebbe "alquanto difficile" (== teoricamente
impossibile) per qualcuno in remoto installare e lanciare
una cosa del genere, e quantomeno mi accorgerei del fatto
che mi ha congelato la macchina :-).
Pero' se _io_ sono sulla LAN di un provider e voglio davvero fare
il cattivo.... posso farlo e posso restare invisibile, e' una
questione di tecniche corrette.
La domanda torna ad essere: cui prodest ?
Quando mi sono riempito il mio disk array di dump di connessioni
TCP di gente che si visita i siti web porno, di gente che manda
gli auguri in email alla cugina canadese, di gente che fa cybersesso
in DCC su IRC eccetera... a parte farmi quattro risate e dare sfogo
a un po' di onanismo mentale.. non ho fatto granche'.
Di nuovo: la migliore protezione della privacy e' il "rumore",
la quantita' di informazione unita alla difficilta' di selezionare
quello che realmente potrebbe interessare.
Mettiamola cosi': se avessi una moglie/fidanzata al mio stesso
livello tecnico, che lavora dal mio provider come system manager,
che ha poco da fare e che e' molto gelosa e sospettosa.... non
userei IRC per combinare la serata con "l'altra" :-). Allo stesso
modo non lo farei per telefono se sapessi che la stessa e'
un tecnico della Telecom (avete idea di QUANTO e' facile per
un tecnico della telecom attaccare uno spinotto su una coppia
di fili in centrale e appoggiare un orecchio all'auricolare ?,
sapete che sulle centrali ISDN e' possibile programmare un bel
"mandami una copia di tutte le comunicazioni di questo numero
su quest'altro (magari il mio interno in ufficio...)" ?)
Rimanendo sul serio e sul concreto non e' affatto plausibile che
qualcuno si metta ad ascoltare le mie query o le mie DCC, a
poterlo fare sono troppo pochi, l'impegno che dovrebbero metterci
e' eccessivo, la quantita' di informazioni (inutili) cui
accederebbero facendolo e' troppo grande e confusa, il livello
tecnico necessario, i rischi a cui ci si espone, eccetera, sono
eccessivi.
Ciao,
--
Andrea
Paolo Rocchi
On Tue, 14 Apr 1998 11:14:55 +0200, nu...@tin.it (The Black Hacker)
wrote:
>- Le tecniche basate sullo studio del performance degrade, sui
> tentativi di ping, etc etc, partono tutte dal presupposto che
> si abbia il sospetto "che una certa macchina stia sniffando"...
oppure dal livello di paranoia del system admnistrator ;-)
> ho un programmino buttato giu' in 4 ore sul powermac da cui sto
> scrivendo questo messaggio che:
>
> . "Butta giu'" la rete, la macchina una volta lanciato non ha
> nemmeno piu' un IP, dal punto di vista Internet "non esiste".
> Quindi non risponde a ICMP, non da segno di vita... NON C'E'.
assolutamente d'accordo, l'avevo messo come premessa del post. Lo
stack tcp/ip deve essere intatto e la macchina deve essere in 'rete'.
Ad esempio, gia' immaginare di estrarre dal kernel il supporto icmp e
spostarlo in userland space cambierebbe in parte il discorso.
>Pero' se _io_ sono sulla LAN di un provider e voglio davvero fare
>il cattivo.... posso farlo e posso restare invisibile, e' una
>questione di tecniche corrette.
La premessa del messaggio voleva precisare proprio questo.
Si tratta pero' di uno threat model diverso, cioe' interno (in
linea di massima).
Anche qui, tutto e' possibile. Ad esempio una via di ritorno
potrebbe essere rappresentata da una connessione diretta
al server (es. dial-up). E' presumibile pero' che la sparizione di
uno host di questo tipo faccia suonare una serie di campanelli
d'allarme.
Un approccio ardito su un bersaglio meno in vista potrebbe essere
quello di programmare comunque un'attivita' di questo tipo (es. via
cron) per contare poi sul successivo reboot. Lanciare un qualcosa che
abbatta la route table e avvii lo sniffer, magari temporizzato,
e poi forzare il reboot dopo un certo tempo.
Tutto e' possibile... e in questo caso da remoto si potrebbe
notare solo l'assenza dell'host.
Mi trovi perfettamente d'accordo.
> . Non "fa niente" (non tenta nemmeno di risolvere gli indirizzo
> MAC in IP, tantomeno di fare query DNS, del resto non potrebbe
> non avendo essa stessa un indirizzo IP).
per rimanere sulla stessa falsariga, dovrebbe bastare anche un DOS con
ethdump, senza stack tcp/ip.
>La domanda torna ad essere: cui prodest ?
certo, il mio intervento era solo di tipo tecnico. Condivido la
futilita' del gioco.
Ciao, Paolo
Filippo
On Mon, 13 Apr 1998 13:12:04 +0200, nu...@tin.it (The Black Hacker)
wrote:
>Di programmi per fare sniffing in giro ce ne sono a dozzine,
Io comunque intendevo programmi per "pizzicare" se qualche d'uno nella
tua LAN (posso dire sottorete?) sta facendo sniffing.
>il problema e' che se ne compili/installi uno sulla tua
>macchina a casa... non sniffi proprio un bel niente.
> [...]
>se tu installi lo sniffer sulla LAN che collega
> [...]
>Ma per fare questo devi avere accesso root a una macchina sulla
>lan del provider da cui l'utente che vuoi sniffare si collega,
Giustamente (l'avrei fatto anch'io) hai risposto ad un utente "medio"
di questo NG che non ha un accesso (una shell, per intenderci) a un
Server dove poter far girare programmi di questo tipo.
Io ho un account su una macchina Linux in facolta' da me, questa e'
collegata tramite LAN ad Internet. E' qui che voglio provare a far
"girare" uno sniffer e un programma per cercare di localizzarlo.
Appena ho mezzo pomeriggio da perdere provo e riferisco.
>Btw, ho un nome :)
Uh?
Ciao e grazie per la risposta ;)
P.S. Volevo ringraziare tutti , compreso The Black Hacker , per avere
finalmente innalzato il livello di questo NG
Luca
Filippo ha scritto nel messaggio <353ada1...@news.nettuno.it>...
>On Mon, 13 Apr 1998 13:12:04 +0200, nu...@tin.it (The Black Hacker)
>wrote:
>>Di programmi per fare sniffing in giro ce ne sono a dozzine,
Perche' e' possibile essere individuati comunicando su IRC?