mainSlogopaceclick Blog  · informatica · elettronica · astronomia..

Come visualizzare in chiaro le password immesse dai browser o nascoste da pallini o asterischi

Tutti i browser di ultima generazione consentono di memorizzare le password immesse dall'utente, in modo da auto inserirle nei moduli alla successiva visita del sito.

Lo faceva Internet Explorer, ma adesso anche Firefox, Edge, e Chrome.

undefined

Per IE ed Edge, le password sono cifrate nel Vault di Windows, per Firefox e Chrome invece no:
in quest'ultimo per esempio non è possibile impostare una 'master password' per cifrare i dati memorizzati.

Ma la questione è, serve veramente? No.

Perchè in ogni caso, il browser, quando andrà a riempire il modulo web, dovrà comunque inserire la password in chiaro, come se la stessimo inserendo noi da tastiera.

Quindi anche cifrando il database delle password salvate si potrebbe facilmente risalire alle originali usando un semplice browser.

Come risalire alla password immessa se compare come serie di pallini o asterischi?

Basta aprire il browser in cui abbiamo memorizzato la password, ed aprire il sito.

A questo punto lasciare auto completare i campi dal browser, la password apparirà come una serie di pallini:

undefined

Adesso, basta cliccare con il destro sul campo della password, e selezionare 'ispeziona elemento'.
NOTA: a seconda del browser in uso è possibile che non compaia tale voce, in ogni caso si può sempre aprire il pannello 'strumenti di sviluppo' con F12; da qui selezionare il pulsante che ha come icona un puntatore, ed in seguito andare a selezionare il campo della password.

Si aprirà il pannello con il codice DOM della pagina (in modo estremamente semplificato è il sorgente con anche le modifiche dell'utente) con già selezionata la riga del codice in cui viene immessa la password.

Avrà uno stile come questo:

undefined

 

Non dobbiamo fare altro che doppio clic sul parametro type="password" e modificarlo semplicemente in type="text" (premere poi il tasto Invio).

undefined

In questo modo vedremo istantaneamente nella pagina web i pallini scomparire e convertirsi in testo: la nostra password. 

Come calcolare gli Hash MD5, SHA1, SHA-256, CRC32 in Windows, Linux, Mac e online

Cosa sono

Gli Hash sono usati in informatica per mappare una stringa (una sequenza di bit) di lunghezza arbitraria in una stringa di lunghezza predefinita.

E' una sorta di 'firma' di un documento elettronico. Per ogni stringa si può calcolare un hash, quindi ogni stringa diversa avrà hash diverso.
Tuttavia calcolando 2 volte l'hash di uno stesso file (stringa) si avrà come risultato lo stesso output.
Hash calcolati con algoritmi diversi, ovviamente daranno diverso risultato.

undefined

Vengono usate per verificare l'integrità dei file (usati per questo anche in informatica forense).
Per esempio quando scaricate una ISO di Windows, sotto il link per il download troverete la corrispondente chiave SHA1.

undefined

Ebbene, una volta scaricato sul PC, per verificare che il file sia integro (privo di errori di trasmissione o di manomissioni volontarie per via di attacchi MITM) basterà ricalcolare l'hash in locale e confrontarlo con la stringa fornita online.

Approfondimento sugli Hash, qui.

Windows 

E' possibile usare CertUtil:

CertUtil -hashfile c:\path\filename.ext <algoritmo>

al posto di <algoritmo> inserire uno tra questi: MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512.

In alternativa è possibile utilizzare l'utilità File Checksum Integrity Verifier (FCIV) per calcolare i valori hash crittografici MD5 o SHA-1 di un file.

FCIV -md5 -sha1 c:\path\filename.ext

Non è possibile generare CRC32, tuttavia per Windows esiste anche un utilissimo programma gratuito di Nirsoft,
HashMyFiles, prelevabile dal relativo sito, che permette il calcolo da GUI anche con tale algoritmo.

undefined

Linux

Per calcolarlo di una stringa:

$ echo abcdefg.. | md5sum
$ echo abcdefg.. | sha1sum

Per il calcolo CRC32 di un file:

$ cksum /path/filename.ext

Per il calcolo MD5 o SHA di un file:

$ md5sum /path/filename.ext
$ sha1sum /path/filename.ext
$ sha256 /path/filename.ext
$ sha512 /path/filename.ext

Per verificarlo:

$ sha256sum -c /path/filename-CHECKSUM

in questo caso, se il calcolo coincide, verrà dato un OK.

Mac OS

md5 /path/filename.ext
shasum -a 1 /path/filename.ext
shasum -a 256 /path/filename.ext
crc32 /path/filename.ext

Calcolo online

E' possibile anche usare dei tool online.
Uno di questi è sicuramente OnlineMD5.com, che ci permetterà di calcolare gli hash MD5 e SHA sia per file che per stringhe di testo direttamente da browser e senza caricare fisicamente il file.

Come verificare se un indirizzo email esiste ed è raggiungibile

A quasi tutti sarà capitato di ricevere almeno una volta una email di rifiuto dal Message Delivery Status (o Subsystem), a seguito di un invio verso un indirizzo con problemi o non esistente.
 

Quindi per verificare se effettivamente un indirizzo 'riceve' si potrebbe semplicemente inviargli una email (con attivo il flag 'notifica di recapito') ed aspettare la consegna.

Tuttavia come fare per verificarlo SENZA inviare alcuna mail?

 undefined

Ci viene in aiuto il client Telnet di Windows, vediamo come fare:

Passo 1

Innanzitutto abilitiamo Telnet (di default disattivato), andando su pannello di controllo, programmi e funzionalità, Attivazione o disattivazione delle funzionalità di Windows (in alto a sinistra).

Nella finestra che apparirà dovremo semplicemente abilitare la spunta su 'Client Telnet' e confermare con ok.

Passo 2

Apriamo un prompt dei comandi (su Windows 8.1 e 10, cliccando con il tasto destro sul logo del menu start).

Digitiamo nel prompt il comando

nslookup -q=mx <dominio da testare>

esempio, per verificare un indirizzo @gmail:

nslookup -q=mx gmail.com

premiamo Invio

In questo modo otterremo una lista dei server MX (Mail eXchanger) per tale dominio.
Questi dati vengono forniti da sistema DNS (vedere il post dedicato per capire come funziona) e rappresentano le macchine addette allo scambio e gestione della posta. 

undefined

Copiare in un file esterno di appoggio il vero nome del server MX,
che potrete trovare dopo la dicitura 'mail exchanger' (ad es: mx.gmail.com).

Passo 3

Sempre sul prompt digitare SENZA fare errori (perchè usando Telnet non si può cancellare!) il comando:

telnet <dominio salvato> 25

esempio:

telnet mx.google.com 25

 premere invio per avviare la sessione Telnet.

Passo 4

Adesso siamo 'connessi con il server' e possiamo interagirci tramite Telnet.

Diamo il comando 

helo hi

(helo è giusto con una 'elle' sola) 

In seguito

mail from: <qualcosa@qualcosa.com>

e

rcpt to: <indirizzodatestare@providerchestiamotestando.com>

seguiti da invio.

Ad esempio, coerentemente con i precedenti:

mail from: fittizio@testando.com
rcpt to: aldorossi@gmail.com

Passo 5

Il server risponderà a quest'ultima nostra richiesta dicendoci se l'indirizzo esiste o meno.

Se il server MX risponderà con "OK" o "Recipient OK", significa che la verifica dell'email è andata a buon fine e che quindi l'indirizzo indicato esiste.
Altrimenti verrà restituito un messaggio d'errore (ad esempio "sorry, no mailbox").

 

Riepilogo

Tutti i passi in un terminale (esatto, anche da terminale di linux o mac è possibile eseguire gli stessi steps):

undefined

Cosa sono Tor e il Deep Web: guida introduttiva

Anonimato Online

Forse non tutti lo sapranno, ma l'anonimato online è un terreno che ultimamente sta facendo molto discutere.
Una cosa è sicura: su internet nessuno è completamente al sicuro.

Esistono i più svariati metodi per cercare di catturare dati, anche quelli a prima vista più insignificanti, come ad esempio le ricerche recenti su Amazon. Le società vanno a caccia di queste informazioni e molte volte le rivendono per abbondanti compensi.

Ci sono poi i dati sensibili, ai quali stavolta non sono interessate le società, ma piuttosto persone con molti meno scrupoli.

Deep Web

Nell'ultimo decennio è stata costruita una vera e propria rete nascosta (da deep: profondo), in prevalenza da parte di hackers con lo scopo di 'isolarsi' ad un livello inferiore dal web comune che tutti conoscono.
Isolarsi per nascondere comunicazioni, isolarsi per scambiare dati senza possibilità di essere intercettati, isolarsi soprattutto per sferrare attacchi.

Insomma una specie di "far web", dove non ci sono controlli e dove c'è completa (o quasi) libertà di agire.

undefined

Il funzionamento

Sui vari server interni alla rete sono ospitati molti siti. Questi siti non sono raggiungibili dal web comune e sono visibili solo connettendosi con Tor.

I siti del deep web non sono risolti da server DNS e non hanno IP pubblici: non potremo quindi digitare il loro nome sulla barra di navigazione (e non potremo neanche inserire eventuali IP).
L'unico modo per raggiungere un deep site è quello di conoscere il suo codice univoco, come ad esempio 'vc8icxqa7c8idc.onion'.

Ci sono anche dei motori di ricerca (simili a Google) che consentono di cercare deep sites senza dover per forza conoscere il loro codice.

Gli strumenti

Il programma principale per interfacciarsi a questa rete è TOR.

Tor è l'acronimo per The Onion Router (ovvero: instradatore a cipolla) e funziona nel seguente modo:
permette di collegare un computer A ad un computer B, attraversando tanti altri computer della Onion Net (i cosidetti non-exit relay) e criptando ogni connessione: con questo sistema l'indirizzo IP di A non è più visibile al computer B, poiché B vedrà l'indirizzo IP dell'ultimo computer relay (chiamato exit relay node), che instrada la richiesta di A usando il proprio DNS (Domain Name Server) e quindi bypassando eventuali censure imposte sui DNS dell'ISP usato da A.

Un'immagine aiuterà la comprensione; Alice accede al sito 'blob' passando per una serie di nodi intermedi tramite connessione criptata, in questo modo una eventuale verifica sul richiedente il sito avrà come risposta non il vero indirizzo di Alice, ma l'ultimo e innocente nodo usato.

undefined

Inoltre per evitare in ogni modo che si possa risalire alla sorgente, ogni nodo della rete conosce solo l'indirizzo IP del nodo precedente e del nodo successivo; i nodi sono sparsi per il pianeta ed ogni circa 10 minuti viene generato un altro percorso casuale.

 

Come connettersi

ATTENZIONE: questa guida è a puro scopo informativo, per evitare di mettere a rischio il proprio pc sconsigliamo di provare a connettersi al deep web e decliniamo ogni responsabilità per eventuali conseguenze ad esso connesse.

La procedura è fin troppo semplice, esiste un bundle scaricabile dal sito torproject.org che include tutti gli strumenti per stabilire un collegamento. Inoltre il bundle contiene anche una versione portatile e modificata ad-hoc di Firefox per avere la navigazione subito pronta.

Per maggiori informazioni, leggere la documentazione del sito ufficiale.

 

Usi benevoli

Naturalmente oltre ai criminali, il fatto di poter mantenere l'anonimato è spesso vitale per altri scopi più lodevoli.

Giornalisti, divulgatori, magari impegnati in pubblicazioni per qualcuno molto scomode che preferiscono comunicare senza che il loro IP possa essere letto, o magari perché in zone di guerra.

Inoltre connettersi potrebbe risultare necessario in situazioni di blocco (o censura, come in paesi dell'est) quando viene reso impossibile da parte dei provider o governi di accedere a determinate risorse, anche se in quei casi la scelta forse migliore in termini di prestazioni è di affidarsi a una VPN.

 

Affidabilità e futuro

Neanche a dirlo i governi cercano da sempre di chiudere o per lo meno cercare di "bucare" Tor per tenere sotto controllo i suoi utilizzatori.

Una recente ricerca del governo britannico (con migliaia di sterline spese) ha evidenziato ad oggi l'inviolabilità di tale rete. Insomma neanche i più bravi hacker del mondo sono riusciti a violare quello che dei loro compagni avevano costruito anni fa.

Tor è in continua espansione e si prevede che nell'arco di 20 anni arrivi a coprire una considerevole fetta del traffico dati giornaliero globale.

Home