Articles
In questo articolo viene illustrato come sia possibile forzare reti WIFI con algoritmi di cifratura WEP/WPA tramite l'utilizzo di software OpenSource (Kismet,airacrack-ng suite). L'articolo si divide in due sezioni Teoria e Pratica. Con questa tecnica di studio si vuole istruire l'utente su come, pur utilizzando algoritmi sicuri (RC4), la loro cattiva integrazione possa portare alla totale disfatta del sistema di sicurezza.
2. Recuperare le informazioni necessarie ad un attacco -
La parte più complicata di un attacco informatico è la preparazione. A differenza di quello che viene presentato dai media, un attacco si compone dal 90% da studio, analisi e riflessioni. In questo articolo verrà dimostrato come recuperare alcune informazioni necessarie per preparare un attacco.
Una delle tecniche meno conosciute è sicuramente l Intelligence Gathering. Con questa termine s'individua la tecnica utilizzata per recuperare il maggior numero d'informazioni relative ai possibili targets appartenenti ad compagnia di medie/grandi dimensioni.
I seguenti articoli sono disponibili (temporaneamente) nel mio precedente blog, verranno trascritti definitivamente su questo sito quanto prima possibile.
01 - (19/10/2005) - Principi di sicurezza -
02 - (19/10/2005) - GateKeepers, Gates e la Granularità -
03 - (19/10/2005) - ASP.NET Authorization Options -
04 - (20/10/2005) - Porsi le giuste domande -
05 - (21/10/2005) - Sicurezza - Configurabile o Programmatica? -
06 - (24/10/2005) - Windows Authentication: Impersonate credenziali specificate nel registro di sistema -
07 - (27/10/2005) - Impariamo a difendere i nostri segreti -
08 - (04/11/2005) - Evitare l'overide dei file di configurazione -
09 - (09/11/2005) - ViewState, Cookies, Connection Strings al sicuro -
10 - (18/11/2005) - Data Access Security, Authentication -
11 - (28/11/2005) - Data Access Security, Comunicazioni Sicure -
12 - (13/01/2006) - Essenza della Crittografia -
13 - (13/01/2006) - Terminologia di base [Hashes] -
14 - (17/01/2006) - Terminologia di base [Keys] -
15 - (19/01/2006) - Lavorare con System.Security.Cryptography -
16 - (26/01/2006) - CryptoConfig e machine.config -
17 - (03/02/2006) - Stream Crytpografici -
18 - (03/02/2006) - Alla scoperta delle classi Random Rumber Generation -
19 - (06/02/2006) - Creare le chiavi -
20 - (16/03/2006) - Codifica e Decodifica dei dati -
21 - (21/03/2006) - System.Security.Cryptography.X509Certificates -
22 - (12/04/2006) - Codificare e firmare files in XML (introduzione) -
23 - (15/04/2006) - XML Signatures -
24 - (17/04/2006) - Codificare XML (Encrypting) -
25 - (24/05/2006) - Introduzione alle Permissions -
26 - (03/06/2006) - Permissions Sets -
27 - (03/06/2006) - NamedPermissions Set -
28 - (27/06/2006) - Link Demands -
29 - (17/08/2006) - .NET Security vs Operative System Security -
30 - (30/08/2006) - RSA | Identity Interface -
31 - (31/08/2006) - Windows/Forms/Passport-Identity -
32 - (31/08/2006) - L'interfaccia IPrincipal -
33 - (09/10/2006) - Identity Permissions ed i suoi attributi -
34 - (09/10/2006) - PrincipalPermissions - Hacking Windows Impersonation -
35 - (05/08/2007) .NET | Firme Digitali (Introduzione) -
36 - (05/08/2008) ASP.NET | Advanced Master Pages -
37 - (05/10/2008) ASP.NET | ASP.NET MasterPage object tricks -
38 - (05/11/2008) ASP.NET | Viewstate / How to avoid proxies problems -
1 - Cifratura PlayFair -
Il primo articolo della seria Crittografia spiega il funzionamento alla base dell'algoritmo ideato da Sir Charles Wheatstone nel 1854, il quale venne poi largamente utilizzato da parte dell'esercito Britannico durante la prima guerra mondiale.
2 - Tecniche di trasposizione -
La maggior parte delle tecniche di crittografia classica si basa sul concetto della sostituzione di un simbolo di testo cifrato con un simbolo di testo in chiaro. Ma è interessante sapere che si può ottenere un mapping molto differente eseguendo una permutazione delle lettere del testo in chiaro.
3 - Fasi Multiple di crittografia : Macchine a Rotazione -
L'applicazione più importante del principio delle fasi multiple di crittografia era una classe di sistemi nota con il nome di macchine a rotazione.
Il principio di queste macchine è abbastanza complesso. La macchina consiste in un insieme di cilindri rotanti indipendenti attraverso i quali possono passare degli impulsi elettrici.
4 - Steganografia, tra passato e presente. -
I metodi della steganografia nascondono l'esistenza stessa del messaggio, a differenza dei metodi di crittografia che rendono il messaggio illeggibile da parte di estranei grazie a varie trasformazioni applicate al testo. Una forma di steganografia semplice prevede la disposizione delle parole o delle lettere all'interno di un testo apparentemente innocuo.
5 - DES: critiche, NSA e S-Box. Come nasce un algoritmo vincente -
Lo schema di crittografia più utilizzato si basa sullo standard DES (Data Encryption Standard) adottato nel 1977 dal National Bureau of Standards, oggi NIST (National Institute of Standards and Technology), come FIPS PUB 46 (Federal Information Processing Standard 46).
1 - Web Application Security -
Il web. La casa di circa 800 milioni di "netcitizens". La casa di circa 100 milioni di siti web. Il canale su cui ogni giorno "scorrono" bilioni di dollari. E' un dato di fatto che l'economia internazionale è strettamente dipendente dal fenomeno "web".
2 - Ajax, user-experience e sicurezza. Una analisi dei concetti alla base delle nuove applicazioni Web - .
Ajax è la tecnologia che viene utilizzata per creare Web Applications interattive atte a fornire un modo totalmente nuovo d'interagire con contenuti e servizi.
Uno dei componenti "essenziali" di Ajax è l'oggetto Javascript XMLHttpRequest. Questo oggetto permette di inserire contenuto remoto da un server senza avere il bisogno di "refreshare" la pagina in cui esso è presente
3 - XSS scenari d'infezione -
Come abbiamo detto XSS è una tecnica che "forza" una web application a visualizzare codice maligno. Il codice maligno "inserito" verrà eseguito nel contesto dell'attuale applicazione. Questo significa che, se una pagina vulnerabile ad XSS è considerata "trusted" dal client, il codice maligno "inserito" verrà eseguito nello contesto della stessa.
4 - Redirectors, cosa sono e come funzionano -
Continuiamo con la serie XSS. Oggi si parla di Redirectors..ovvero, il modo più semplice e comune per reindirizzare un utente da un sito ad un altro e intraprendere azioni xss o phishing. Molti siti, per esempio webmails, utilizzano sistemi di redirect. Ne esistono di diversi tipi, alcuni auto definiti "intelligenti", altri non fanno altro che aggiungere un table ("stai visitando un sito esterno a..") al DOM della pagina che si vuole visitare.
5 - Come violare Filtri XSS -
Quando si parte ad eseguire controlli e verifiche su applicativi importanti è necessario prestare la massima attenzione a quello che si sta facendo. Spesso c'imbattiamo in sistemi atti a prevenire ed evitare vulnerabilità di varie classi. La maggior parte di essi si compongono di sistemi "d'alterazione" e/o "pulizia" dell'input ricevuto. Facciamo un esempio, parliamo di Filtri XSS.
6 - Hacking Referring Urls -
Gli HTTP Referer furono creati come strumento per aiutare il tracciamento e l'analisi delle fonti di traffico in ingresso nelle applicazioni Internet. Indifferentemente dal loro scopo, il loro utilizzo è proporzionalmente mutato nel tempo. Da strumento per operazioni di marketing /partnership, fino a sistema di sicurezza.
