Carissimi bloggers, augurandovi un buon inizio per l'anno nuovo, oggiparleremo di sicurezza di base e di indagini particolari, dedicateal mondo sommerso, ovvero la faccia oscura di internet...;-))) il primo post di questo 2014 è dedicato ad un argomento che ha avutouna grandissima diffusione all'interno della nostra rete privata, percui, viste le particolari insistenze di alcuni amici, è stata presa la decisione di pubblicare su questo piccolo blog un resoconto semplificato di come si può usare un comune sistema operativo per renderlo adeguato ad eseguire indagini particolari operando all'internodelle reti oscure presenti qui su internet.Devo dire che molte sono state le domande poste, e ad ognuna di esseè stata data una risposta reale, quello che andremo a fare con ilnostro sistema operativo, non sarà pertanto nulla di illegale, anchese molta gente pensa che le reti cifrate e anonime nascondano soltantocriminali informatici incalliti che vendono i loro servizi al migliorofferente, nel nostro caso invece, tutto questo ci servirà per raccogliere informazioni particolari e creare un rapporto di analisi che riguarda la cosiddetta "DarknetIntelligence".Ma che cosa significa questa strana parola?Provate a cercarla su Google: DarknetIntelligence ;-)))Prima di tutto dobbiamo fare riferimento alla Computer Forensics, dallaquale scaturiscono le innumerevoli tecniche e tecnologie sviluppateper l'Anti-Forensics usata appunto all'interno delle DarkNet.Dark Net, definizione poco pregevole di "Mercato Nero", alcune recentidefinizioni, dicono che le DarkNet sono un pericoloso mercato nero incui criminali, terroristi, hacker, hanno creato questa nuova realtàvirtuale dove poter comprare e vendere qualsiasi cosa.Come avevamo appurato in una ricerca fatta un po di tempo fa e pubblicatasu questo blog, tutto questo, è reale, ma quello che serve a noi nonè sapere come usare una rete di questo tipo, ma si presume che gliutenti abbiano almeno una discreta base informatica prima di eseguireprogrammi che sbandierano sicurezza e anonimato senza fornire unagaranzia di quello che stanno dando ai clienti sprovveduti che magarivogliono acquistare della droga su questi siti particolari e pensanoche nessuno ne potrà sapere mai nulla perché sono "anonimi"...:-)))La Darknet Intelligence, mira a raccogliere informazioni attraversoagenti software infiltrati attraverso i vari nodi di scambio cifratipresenti durante una connessione "anonima".Questi agenti software, hanno il semplice scopo di catturare, cifraree spedire i dati raccolti ad un particolare sito web creato propriosulla rete anonima sotto controllo al fine di poter ottenere unavalida analisi dei dati raccolti per fornire prove robuste e affidabiliper poter incriminare chi vende armi, droga e pedo pornografia online. Questo concetto, non risulta però valido se usato dalla controparteovvero la AntiDarkNet-Intelligence, praticata da elementi addestrati daqualche agenzia governativa che magari ha degli interessi particolarisu questo tipo di rete, non sono da meno i gruppi terroristici che scambiano informazioni e materiale particolare, a questo proposito, sipuò osservare un aumento delle capacità tecnologiche applicate per ottenere una cifratura più robusta usando nodi preparati appositamenteper questo tipo di attività.La raccolta informativa, implica anche una preparazione particolaredel sistema operativo che si dovrà usare per effettuare le investigazioniinformatiche all'interno del complesso sistema DarkNet presente oggi.A questo proposito, useremo il sistema Tor non per commettere azioniillegali ma bensì per creare un client di indagine dal quale potereffettuare una analisi informativa che ci permetta di ottenere unbuon risultato finale.Per portare un banale esempio reale, è stata utilizzata una distribuzioneGNU/Linux molto conosciuta, la leggendaria Debian (Wheezy 7.2).La preparazione di questa distro Linux, è quella riportata su tuttii principali manuali online di sicurezza informatica, ma qui ne vedremosolo una parte, proprio perché la gestione di un client completo efunzionante richiede una buona preparazione in materia di porte, serviziofferti, demoni in ascolto, etc.etc... :-)Non voglio addentrarmi a spiegare tutte queste cose per non appesantiretroppo gli utenti che leggono questo semplice post, e non riescono a comprendere bene i protocolli usati, le cifrature e quant'altro, per cuipassiamo al sodo valutando i primi risultati che possiamo ottenere preparando il nostro client per la prima analisi informativa su unaoscura rete anonima:Disabilitare le porte internet per i servizi RPC che non ci servono:da root =>> update-rc.d rpcbind disableI seguenti servizi potete fermarli anche da gestione servizi(grafica)dipende da che cosa avete installato sulla vostra Debian, ma in genereleggetevi i manuali dei servizi che avete in esecuzione per fermarli sospenderli o riavviarli a vostro piacimento. exim4rpcbindrsyncrsyslognfs-commonAvremo così ripulito e chiuso ulteriori porte che non ci servono sul nostro sistema.Questi servizi vanno disabilitati solo se non sono realmente necessari per la connessione a internet o per il loro specifico uso sul sistema.Ecco un output di quello che potete ottenere:enrico@exodus84:~$ netstat -na | grep tcptcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN tcp6 0 0 ::1:631 :::* LISTEN root@exodus84:/home/ghost# netstat -nap | grep tcptcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN3270/cupsd tcp6 0 0 ::1:631 :::* LISTEN3270/cupsd Eliminiamo anche il demone schedulatore di stampa cupsd (Internet Printing Protocol, version 2.1)e potremo ottenere questo risultato sulle porte disponibili del nostro client internet:enrico@exodus84:~$ netstat -na | grep tcpenrico@exodus84:~$enrico@exodus84:~$ netstat -na | grep udpenrico@exodus84:~$root@exodus84:/home/ghost# netstat -nap | grep tcproot@exodus84:/home/ghost#root@exodus84:/home/ghost# netstat -nap | grep udproot@exodus84:/home/ghost#Avvio di Tor in ascolto:enrico@exodus84:~$ netstat -na | grep tcptcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN enrico@exodus84:~$ netstat -na | grep udpenrico@exodus84:~$ Tor, verrà eseguito sul sistema senza l'uso di Privoxy, la definizionedi questo proxy web, serve per aumentare la sicurezza con l'uso di Tor, ma nel nostro caso, ne faremo a meno per questa volta.Visto che vogliamo fare delle ricerche informative per una DarkNetIntelligence Agency, dovremo raccogliere molte informazioni e poicollegarle tra di loro.Rifiutando Privoxy, il nostro sistema d'assalto Debian per le Darknet eviterà di filtrare i contenuti che accresceranno i nostri dati perl'analisi informatica da eseguire, e questo, ci fornirà numeroseinformazioni primarie.Quindi la preparazione di un sistema completo, si potrà ottenere conun sistema Debian di base e poi lavorando alla chiusura delle porteche risultino ancora visibili ad una scansione di rete.A questo, dovrà seguire una adeguata compilazione del kernel nellavostra distribuzione, inserendoci tutti i vostri moduli d'assalto perpreparare il sistema al lavoro che dovrà svolgere.Studiate bene il manuale di Tor, per capire come e dove potete metterele mani per ottenere quello che vi serve, visto che dovremo lavoraresu una rete anonima, avremo il nostro bel da fare per catturare tuttele informazioni richieste, metodo difficoltoso ma possibile. :-)Gli applicativi client come Firefox, possono usare la rete Tor collegandosi all'interfaccia proxy socks locale fornita dall'istanza di Tor.Se l'applicazione stessa non supporta SOCKS, è possibile usare un client socks come torsocks.Su Firefox, una volta generata la connessione alla rete Tor, dovreteimpostare il browser perchè possa usare SOCKS4/5, altrimenti nonpotrete navigare all'interno della rete anonima.per impostare Firefox dovete andare sul menù:Modifica -> Preferenze -> Avanzate -> Rete ->Determina come Firefox si connette ad Internet -> Impostazioni ->Configurazione manuale dei proxy -> Host SOCKS:Impostare Host SOCKS a: 127.0.0.1 porta 9050e quindi cliccare su OK.Da questo momento sarete "TORificati" e pronti per la vostra indagineinformativa nei bassifondi di Internet. :-)Cari bloggers, anche per oggi è tutto, ho cercato di accontentare unpo tutti quanti con questo semplice post, come sempre se non riuscitea comprendere alcuni significati di quello che ho scritto, potetetrovare tutte queste informazioni in rete, che possono spiegarvi benee forse in modo più semplice tutto quello che volevo esprimere qui. Buon 2014 a tutti, investigatori informatici e hacker compresi :-)
Computer Forensics: la DarkNet Intelligence.
Carissimi bloggers, augurandovi un buon inizio per l'anno nuovo, oggiparleremo di sicurezza di base e di indagini particolari, dedicateal mondo sommerso, ovvero la faccia oscura di internet...;-))) il primo post di questo 2014 è dedicato ad un argomento che ha avutouna grandissima diffusione all'interno della nostra rete privata, percui, viste le particolari insistenze di alcuni amici, è stata presa la decisione di pubblicare su questo piccolo blog un resoconto semplificato di come si può usare un comune sistema operativo per renderlo adeguato ad eseguire indagini particolari operando all'internodelle reti oscure presenti qui su internet.Devo dire che molte sono state le domande poste, e ad ognuna di esseè stata data una risposta reale, quello che andremo a fare con ilnostro sistema operativo, non sarà pertanto nulla di illegale, anchese molta gente pensa che le reti cifrate e anonime nascondano soltantocriminali informatici incalliti che vendono i loro servizi al migliorofferente, nel nostro caso invece, tutto questo ci servirà per raccogliere informazioni particolari e creare un rapporto di analisi che riguarda la cosiddetta "DarknetIntelligence".Ma che cosa significa questa strana parola?Provate a cercarla su Google: DarknetIntelligence ;-)))Prima di tutto dobbiamo fare riferimento alla Computer Forensics, dallaquale scaturiscono le innumerevoli tecniche e tecnologie sviluppateper l'Anti-Forensics usata appunto all'interno delle DarkNet.Dark Net, definizione poco pregevole di "Mercato Nero", alcune recentidefinizioni, dicono che le DarkNet sono un pericoloso mercato nero incui criminali, terroristi, hacker, hanno creato questa nuova realtàvirtuale dove poter comprare e vendere qualsiasi cosa.Come avevamo appurato in una ricerca fatta un po di tempo fa e pubblicatasu questo blog, tutto questo, è reale, ma quello che serve a noi nonè sapere come usare una rete di questo tipo, ma si presume che gliutenti abbiano almeno una discreta base informatica prima di eseguireprogrammi che sbandierano sicurezza e anonimato senza fornire unagaranzia di quello che stanno dando ai clienti sprovveduti che magarivogliono acquistare della droga su questi siti particolari e pensanoche nessuno ne potrà sapere mai nulla perché sono "anonimi"...:-)))La Darknet Intelligence, mira a raccogliere informazioni attraversoagenti software infiltrati attraverso i vari nodi di scambio cifratipresenti durante una connessione "anonima".Questi agenti software, hanno il semplice scopo di catturare, cifraree spedire i dati raccolti ad un particolare sito web creato propriosulla rete anonima sotto controllo al fine di poter ottenere unavalida analisi dei dati raccolti per fornire prove robuste e affidabiliper poter incriminare chi vende armi, droga e pedo pornografia online. Questo concetto, non risulta però valido se usato dalla controparteovvero la AntiDarkNet-Intelligence, praticata da elementi addestrati daqualche agenzia governativa che magari ha degli interessi particolarisu questo tipo di rete, non sono da meno i gruppi terroristici che scambiano informazioni e materiale particolare, a questo proposito, sipuò osservare un aumento delle capacità tecnologiche applicate per ottenere una cifratura più robusta usando nodi preparati appositamenteper questo tipo di attività.La raccolta informativa, implica anche una preparazione particolaredel sistema operativo che si dovrà usare per effettuare le investigazioniinformatiche all'interno del complesso sistema DarkNet presente oggi.A questo proposito, useremo il sistema Tor non per commettere azioniillegali ma bensì per creare un client di indagine dal quale potereffettuare una analisi informativa che ci permetta di ottenere unbuon risultato finale.Per portare un banale esempio reale, è stata utilizzata una distribuzioneGNU/Linux molto conosciuta, la leggendaria Debian (Wheezy 7.2).La preparazione di questa distro Linux, è quella riportata su tuttii principali manuali online di sicurezza informatica, ma qui ne vedremosolo una parte, proprio perché la gestione di un client completo efunzionante richiede una buona preparazione in materia di porte, serviziofferti, demoni in ascolto, etc.etc... :-)Non voglio addentrarmi a spiegare tutte queste cose per non appesantiretroppo gli utenti che leggono questo semplice post, e non riescono a comprendere bene i protocolli usati, le cifrature e quant'altro, per cuipassiamo al sodo valutando i primi risultati che possiamo ottenere preparando il nostro client per la prima analisi informativa su unaoscura rete anonima:Disabilitare le porte internet per i servizi RPC che non ci servono:da root =>> update-rc.d rpcbind disableI seguenti servizi potete fermarli anche da gestione servizi(grafica)dipende da che cosa avete installato sulla vostra Debian, ma in genereleggetevi i manuali dei servizi che avete in esecuzione per fermarli sospenderli o riavviarli a vostro piacimento. exim4rpcbindrsyncrsyslognfs-commonAvremo così ripulito e chiuso ulteriori porte che non ci servono sul nostro sistema.Questi servizi vanno disabilitati solo se non sono realmente necessari per la connessione a internet o per il loro specifico uso sul sistema.Ecco un output di quello che potete ottenere:enrico@exodus84:~$ netstat -na | grep tcptcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN tcp6 0 0 ::1:631 :::* LISTEN root@exodus84:/home/ghost# netstat -nap | grep tcptcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN3270/cupsd tcp6 0 0 ::1:631 :::* LISTEN3270/cupsd Eliminiamo anche il demone schedulatore di stampa cupsd (Internet Printing Protocol, version 2.1)e potremo ottenere questo risultato sulle porte disponibili del nostro client internet:enrico@exodus84:~$ netstat -na | grep tcpenrico@exodus84:~$enrico@exodus84:~$ netstat -na | grep udpenrico@exodus84:~$root@exodus84:/home/ghost# netstat -nap | grep tcproot@exodus84:/home/ghost#root@exodus84:/home/ghost# netstat -nap | grep udproot@exodus84:/home/ghost#Avvio di Tor in ascolto:enrico@exodus84:~$ netstat -na | grep tcptcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN enrico@exodus84:~$ netstat -na | grep udpenrico@exodus84:~$ Tor, verrà eseguito sul sistema senza l'uso di Privoxy, la definizionedi questo proxy web, serve per aumentare la sicurezza con l'uso di Tor, ma nel nostro caso, ne faremo a meno per questa volta.Visto che vogliamo fare delle ricerche informative per una DarkNetIntelligence Agency, dovremo raccogliere molte informazioni e poicollegarle tra di loro.Rifiutando Privoxy, il nostro sistema d'assalto Debian per le Darknet eviterà di filtrare i contenuti che accresceranno i nostri dati perl'analisi informatica da eseguire, e questo, ci fornirà numeroseinformazioni primarie.Quindi la preparazione di un sistema completo, si potrà ottenere conun sistema Debian di base e poi lavorando alla chiusura delle porteche risultino ancora visibili ad una scansione di rete.A questo, dovrà seguire una adeguata compilazione del kernel nellavostra distribuzione, inserendoci tutti i vostri moduli d'assalto perpreparare il sistema al lavoro che dovrà svolgere.Studiate bene il manuale di Tor, per capire come e dove potete metterele mani per ottenere quello che vi serve, visto che dovremo lavoraresu una rete anonima, avremo il nostro bel da fare per catturare tuttele informazioni richieste, metodo difficoltoso ma possibile. :-)Gli applicativi client come Firefox, possono usare la rete Tor collegandosi all'interfaccia proxy socks locale fornita dall'istanza di Tor.Se l'applicazione stessa non supporta SOCKS, è possibile usare un client socks come torsocks.Su Firefox, una volta generata la connessione alla rete Tor, dovreteimpostare il browser perchè possa usare SOCKS4/5, altrimenti nonpotrete navigare all'interno della rete anonima.per impostare Firefox dovete andare sul menù:Modifica -> Preferenze -> Avanzate -> Rete ->Determina come Firefox si connette ad Internet -> Impostazioni ->Configurazione manuale dei proxy -> Host SOCKS:Impostare Host SOCKS a: 127.0.0.1 porta 9050e quindi cliccare su OK.Da questo momento sarete "TORificati" e pronti per la vostra indagineinformativa nei bassifondi di Internet. :-)Cari bloggers, anche per oggi è tutto, ho cercato di accontentare unpo tutti quanti con questo semplice post, come sempre se non riuscitea comprendere alcuni significati di quello che ho scritto, potetetrovare tutte queste informazioni in rete, che possono spiegarvi benee forse in modo più semplice tutto quello che volevo esprimere qui. Buon 2014 a tutti, investigatori informatici e hacker compresi :-)