PDA

Visualizza versione completa : grosso problema di sicurezza mail



poniboy
16-02-11, 22: 00
ciao ragazzi. ho un caro amico che lavora nel campo della finanza che ha un problema strano!
lui privatamente usa un indirizzo mail di libero, e a volte lo usa anche x mandare notizie inerenti al suo lavoro, ha ricevuto una mail, con mittente "jessica" nessun indirizzo specifico, e con un allegato enorme, che quando lo ha aperto conteneva tutte le mail che lui ha mandato e ricevuto nel corso di sei mesi.
ora si chiede giustamente come sia possibile questa cosa! puzza!
altra cosa strana, sul cellulare è successo che ha ricevuto degli sms senza mittente. il mittente era il centro servizi vodafone. in questi sms vi erano cose private e vere, che nessuno in teoria poteva sapere. poi sempre da un centro servizi vodafone ha ricevuto sms inerenti alla sua ragazza e che nessuno può sapere. il fatto è che non si vede il numero di telefono.
so che la cosa è confusa, ma avete qualche idea in merito?

Asterix
17-02-11, 11: 04
Ora se fossi in lui non andrei a perder tempo nella ricerca dell'eventuale infezione o causa in quanto il lavoro che esegue è delicato e pertanto la soluzione che applicherei sarebbe drastica del tipo salvo eventuali dati vitali - procedo con una bella formattazione - procedo con un cambio di email (anche io ho un account libero free ed è quello in cui ricevo più spam di tutti) e spenderei i famosi 30/40 euro per un buon av/firewall.

Per gli sms chiederei spiegazioni al centro servizi dell'operatore, loro certamente vedono se sono stati attivati dei servizi strani. Per eventuali infezioni sul telefono ci devi dire informazioni in più del tipo è un semplice telefono o è un smart o .............

:bai

PS. io consiglio di rado la formattazione ma a volte necessita valutare cosa potrebbe portare una infezione non rilevata e dormiente.

poniboy
17-02-11, 12: 41
ciao asterix e grazie x la risposta
ma secondo te come è possibile che in quella mail ci fossero tutte le mail che lui ha mandato e ricevuto negli ultimi mesi?
ho tralasciato una cosa, ma è solo una congettura chiaramente.
la sua ragazza (chiamamolo pina) tempo fa ha avuto una storia con un collega di lavoro,(chiamiamolo toni) si sono lasciati, e lei ha continuato x un pò la storia con questo tipo. dopo un pò lo ha lasciato e si è rimessa con il mio amico,(chiamiamolo bobby) e fin qui cavoli suoi direte voi, e concordo :ghgh
toni che è stato lasciato non l'ha presa molto bene, e non parla piu' ne al mio amico (logicamente) ne a pina. il tutto x arrivare a dire, che toni gestisce il server e la rete di pc del posto di lavoro suo e di pina. come ho detto prima sono colleghi!
la mia domanda è: è possibile che sia entrato nel pc della malcapitata, abbia visto l'indirizzo mail del mio amico ed abbia cominciato a giocare un pò?

Andy86
17-02-11, 13: 03
:bai

Caso interessante... :m:
Se quelle mail che sono tornate erano tutte salvate da qualche parte o in passato sono state salvate in cartelle condivise (che lasciano tracce nella cache dei pc che le vedono), allora è probabile che "toni" abbia giocato al piccolo hacker.

Se invece quelle mail non "esistevano" più, propendo per un virus che ha intercettando i protocolli mail per creare copie infette dei messaggi scambiati e per qualche motivo (bug, interferenza) all'ultimo messaggio infetto, invece di se stesso, ha allegato la propria cache. :m: (Ovviamente questa ipotesi è girabile in decine di modi. :sisi).

Invece per quanto riguarda il problema dei messaggi, se ha un cellulare con sistema operativo completo (non menù in linux/java), beh, allora probabilmente anche il suo cellulare è influenzato... :ghgh

Ricky
17-02-11, 13: 03
Concordo con quanto detto da asterix. Formattazione, cambio di mail (libero comunque fa schifo) passando a gmail, cambio password usate in servizi online quali mail, social network o altro usando password robuste e totalmente diverse da quelle usate prima, eventuale segnalazione alla polizia postale.

:bai

poniboy
17-02-11, 13: 32
:bai

Caso interessante... :m:
Se quelle mail che sono tornate erano tutte salvate da qualche parte o in passato sono state salvate in cartelle condivise (che lasciano tracce nella cache dei pc che le vedono), allora è probabile che "toni" abbia giocato al piccolo hacker.



però toni ha libero accesso solo al pc di pina, perchè ci lavora insieme, ma il pc di bobby non lo può vedere ne toccare, lui ha potuto vedere al limite delle mail che si sono scambiati pina e bobby, ma da li come ha potuto andare a prendere tutte le mail che bobby ha mandato e ricevuto?

Ricky
17-02-11, 17: 23
Una volta ottenuto l'indirizzo email, magari ha provato trovare la password con un bruteforce, oppure ad entrare nell'account rispondendo alla domanda segreta.

Kirk78
17-02-11, 21: 16
Almeno ha modificato la password e la domanda segreta? Io è la prima cosa che farei. Se risuccede allora c'è qualcuno che intercetta in qualche maniera tutto ciò che fa sul PC.
Se sono dati sensibili o importanti a questo punto acquisterei anche una mail professionale e non free, magari anche certificata :oo2.
:bai

Clairvoyant
18-02-11, 00: 55
Ciao a tutti.:hap

Dico la mia, vediamo se può tornare utile.

Se toni è l' admin di pina, può vedere cosa c'è nel suo pc (anche se la cosa in questo caso mi sa che non è tanto legale e per niente etica :ghgh ), e magari nel suo pc ci sono passati dei dati di accesso di bobby alla sua mail o ad altro, utilizzabili anche per entrare nella casella mail di bobby.
Se è un portatile è peggio perchè da quello magari si è connesso direttamente bobby lasciando delle tracce.

Una volta acquisito l' accesso, il file delle mails è facile farlo, ed anche scoprire quelle cose su pina che nessuno poteva sapere ma che magari sono passate dalla sua mail.
Il mittente "Jessica", a meno che non si tratti di una mail creata ad hoc ( probabile ), può essere rivelato tramite l' analisi dell' header.

Per quanto riguarda il centro messaggi vodafone, se li si chiama e si spiega l' accaduto forse si riesce a sapere qualcosa, anche se in teoria ( ed anche in pratica per l' unica volta che ho provato a cercare di capire da dove mi arrivassero degli squilli -.-") probabilmente non si dovrebbe riuscire a ricavare nulla, a meno che non ci si rivolga alla Polizia Postale.
Se però si passa da questi ultimi, ai quali possono anche essere forniti i dati dell' header di "Jessica", chi ha perseguito queste attività finisce nelle grane, ed anche grosse.
Nel forum c'è gente ( almeno due :tong2 ) che sicuramente ne sa più del sottoscritto in termini di leggi, ma a mio avviso si prospettano reati perlomeno riconducibili alla violazione della privacy, furto di dati ed accesso abusivo a sistema informatico.
Proseguendo nelle indagini è probabile emergano anche altri tipi di reato non direttamente connessi all' acquisizione indebita dei dati, quanto al loro utilizzo.

Forse non è il caso di formattare, ma come hanno già scritto in questo topic è sicuramente bene che per iniziare bobby cambi TUTTE le passwords dal suo pc e che pina non comunichi con bobby dal pc che utilizza in ufficio, almeno per quanto riguarda eventi/luoghi/persone.
Se poi bobby vuol cambiare del tutto email tanto meglio, credo che già gmail sia di gran lunga migliore di quella di libero ed altri.
Se però la connessione non autorizzata agli accounts è avvenuta per poca avvedutezza nel gestirli da parte dei tenutari non c'è provider che tenga...

:bai

poniboy
18-02-11, 10: 37
Una volta acquisito l' accesso, il file delle mails è facile farlo, ed anche scoprire quelle cose su pina che nessuno poteva sapere ma che magari sono passate dalla sua mail.
Il mittente "Jessica", a meno che non si tratti di una mail creata ad hoc ( probabile ), può essere rivelato tramite l' analisi dell' header.




:bai come si fanno queste 2 cose?

x quanto riguarda la formattazione e/o il cambio delle passw per ora gli ho detto di stare un attimo in stand by, anche perchè lui usa 4 pc, e se li ha usati tutti e 4 x comunicare con pina sono caxxi amari. giusto?

ma io non credo che comunque toni possa entrare su uno qualsiasi dei pc, se non in remoto, ma se non ci mette le mani sopra fisicamente la vedo una cosa abbastanza impossibile.
non credo sia possibile controllare un pc a distanza, senza prima averci messo le mani sopra.

o sbaglio?

--- Post unito in modo automatico ---


Una volta ottenuto l'indirizzo email, magari ha provato trovare la password con un bruteforce, .

come? si può usare un bruteforce per trovare la psw di un account mail? come funziona scusa? sapevo dei brutforce x trovare la psw di rete, ma devi essere cmq nei dintorni del pc in questione. oppure ho capito male:shock

Kirk78
18-02-11, 11: 12
il cambio delle passw per ora gli ho detto di stare un attimo in stand byQuello faglielo fare invece! Anche solo per vedere se risuccede. Per vedere l'header -> Visualizza sorgente messaggio.

poniboy
18-02-11, 11: 48
scusa, anch'io ho un account libero, che non uso praticamente mai, ma non ho capito "Per vedere l'header -> Visualizza sorgente messaggio"
dove vado? scusa non ho capito

Kirk78
18-02-11, 11: 52
Risposta troppo rapida, sorry. Non da web ma dal client di posta elettronica (con Tundherdbird nel menù visualizza). Ma percé lui usa solo il web per vedere la posta?

Andy86
18-02-11, 13: 21
:bai


come? si può usare un bruteforce per trovare la psw di un account mail? come funziona scusa? sapevo dei brutforce x trovare la psw di rete, ma devi essere cmq nei dintorni del pc in questione. oppure ho capito male:shock

Il "bruteforce" è un tipo di programma che permette di provare diverse centinaia di password in pochi secondi, generandole a rotazione, con il cambio di uno o più caratteri alla volta, in base ai criteri impostati da creatore e/o utente.

Non importa dove sia eseguito questo programma, basta che possa inserire le password da qualche parte.

Nel caso della mail è possibile l'accesso da qualunque pc tramite webmail o connessione al server, senza alcun bisogno di accedere al pc del proprietario, quindi è possibilissimo far girare un programma che provi determinate password a rotazione. :sisi

Se poi la password è una parola di senso compiuto, basta un attacco a dizionario, cioè il bruteforce va a pescare i tentativi da un elenco di parole, riducendo di parecchio i tentativi necessari. :sisi

Kirk78
18-02-11, 13: 57
tramite webmail o connessione al server, senza alcun bisogno di accedere al pc del proprietario, quindi è possibilissimo far girare un programma che provi determinate password a rotazione
In realtà se vuoi vedere la mail tramite browser e non tramite un client di posta (webmail) non puoi fare tanti tentativi a vuoto, proprio per evitare problemi.
Se non erro libero dopo 14 tentativi, per me un po' troppini, sei obbligato a scrivere alcune lettere per poter reinserire di nuovo la password, esattamente come succede per la prima registrazione. Diversa la cosa con un client di posta elettronica se tu registri la tua password. Io per sicurezza quella con dati sensibili la inserisco ogni volta, senza memorizzarla.

Comunque per vedere gli ultimi 200 accessi negli ultimi 30 giorni, puoi attivare il servizio di libero apposito (http://selfcare.libero.it/tabulato/), una volta fatto il login. :bai

poniboy
18-02-11, 14: 05
Risposta troppo rapida, sorry. Non da web ma dal client di posta elettronica (con Tundherdbird nel menù visualizza). Ma percé lui usa solo il web per vedere la posta?

usa solo il web. anche perchè libero non è che sia trale caselle di posto piu' facilmente configurabili su un client di posta. o almeno quando ci provai io, dovetti usare freepops, e anche un altro di cui ora non ricordo il nome :shock

Andy86
18-02-11, 14: 20
:bai



In realtà se vuoi vedere la mail tramite browser e non tramite un client di posta (webmail) non puoi fare tanti tentativi a vuoto, proprio per evitare problemi.Si, so che alcune webmail hanno limiti (captcha o blocco per minuti) dopo alcuni tentativi sbagliati (io personalmente non ne sbaglio mai più di 3, e sempre per errori di battitura); non so però se il blocco vale anche per la connessione diretta al server pop-imap, visto che entrambe sono possibili da telnet:



Only registered members can view code.


Only registered members can view code.

Kirk78
18-02-11, 14: 26
:m: Andy, il tuo dubbio è legittimo... bisognerebbe chiedere a libero: voi che avete un'account provate a chiederlo e fateci sapere.
@poniboy ha provato il servizio degli accessi che ti ho suggerito?
:bai

[EDIT]


anch'io ho un account libero, che non uso praticamente mai
ATTENZIONE vi ricordo, per chi non lo sa, che dal 1° marzo se non si utilizza la mail di libero per un certo periodo viene cancellata

A partire dal 01 marzo 2011, verrà applicata la nuova policy di disattivazione della casella mail in caso di inattività prolungata. Le nuove policy di disattivazione della casella
Nel caso in cui l'utente non acceda alla propria casella di Posta per un periodo superiore a 120 giorni, Wind si riserva la facoltà di disattivare la casella stessa. A partire dalla data di disattivazione, verrà interrotta la ricezione di nuovi messaggi. Se l'utente accede nuovamente nel periodo successivo a quello sopra indicato (120 giorni) - ma comunque entro i 270 giorni dall'ultimo accesso - potrà riattivare la propria casella di Posta e i servizi associati, ma non saranno in nessun caso recuperati i messaggi ricevuti dopo la disattivazione. Se invece l'utente non accede alla propria casella di Posta per un periodo superiore a 270 giorni, Wind si riserva la facoltà di disattivare definitivamente la casella stessa, mantenendo comunque riservato l'account che potrà essere riattivato in qualsiasi momento.


Giusto per completezza - CONDIZIONI GENERALI DI CONTRATTO

11. RISERVATEZZA
11.1 L'accesso al servizio è consentito mediante un codice di identificazione Cliente (Username) e una parola chiave (password). Il Cliente è informato del fatto che la conoscenza di entrambe da parte di terzi consentirebbe a questi ultimi l'utilizzo del servizio in nome del Cliente e l'accesso alla sua corrispondenza di posta elettronica. Il Cliente è pertanto tenuto a conservare la password nella massima riservatezza e con la massima diligenza. Egli sarà ritenuto responsabile di qualsiasi danno e conseguenza pregiudizievole arrecato a Wind o a terzi in dipendenza della mancata osservanza di quanto sopra. Il Cliente si impegna a notificare immediatamente a Wind, tramite la sezione Contattaci http://www.libero.it/aiuto/, l'eventuale furto, smarrimento o perdita di password.
11.2 Il Cliente si obbliga a cambiare la password nel più breve tempo possibile in caso di smarrimento o furto della medesima. Il Cliente è responsabile per i contenuti immessi nella rete e a lui attribuibili in virtù del codice di identificazione e della password, anche ai sensi degli art. 4 e 7 del presente contratto.

poniboy
18-02-11, 16: 24
poniboy[/B] ha provato il servizio degli accessi che ti ho suggerito?
:bai

[EDIT]


ATTENZIONE vi ricordo, per chi non lo sa, che dal 1° marzo se non si utilizza la mail di libero per un certo periodo viene cancellata


Giusto per completezza - CONDIZIONI GENERALI DI CONTRATTO


non gli ho ancora parlato. lo sento alla sera!

se mi cancellano la casella poco male non la uso piu'!:ghgh

Kirk78
18-02-11, 17: 01
se mi cancellano la casella poco male non la uso piu'
ok io ho avvertito la popolazione di CT :ghgh oltre te :tong2. Controlla comunque se hai qualche vecchio indirizzo nella rubrica prima della fine.

non gli ho ancora parlato. lo sento alla sera!
Digli anche gli obblighi, che non tutti sanno, in caso di furto di password, che ti ho sottolineato. :bai

poniboy
18-02-11, 17: 44
ok io ho avvertito la popolazione di CT :ghgh oltre te :tong2.

ci mancherebbe, hai fatto benissimo e ti ringrazio!
ora stasera gli parlo e vediamo

Kirk
18-02-11, 20: 07
vi ricordo, per chi non lo sa, che dal 1° marzo se non si utilizza la mail di libero per un certo periodo viene cancellataL' unica cosa che cambia rispetto a questo momento sono i 270 giorni per la cancellazione definitiva, il congelamento temporaneo con perdita dei messaggi è da un pezzo che è presente..
Cioè 270 giorni..e che se ne fau no di una casella del genere se per 9 mesi non ci entra :-D
Altri hanno tempi decisamente minori prima della cancellazione, comunque libero è un' obrobrio per le email, IMHO :ghgh
Cosi' come Alice del resto.. inoltre questi possono essere configurati in un client solo se ti connetti con loro, ma è solo uno dei tanti problemi.

A proposito dei software come brutus (illegali!!), come avete detto, in molti casi hai voglia a cercar password, ci vorrebbero in caso di password dure settimane o mesi, perche' molti congelano il login dopo 3 tentativi falliti.


P.s. Anzi ho controllato ora, al momento sono 90 i giorni senza entrare per il congelamento, dunque dopo ci sarà anche piu' tempo prima di perdere i messaggi..

Kirk78
18-02-11, 20: 15
A proposito dei software come brutus (illegali!!)
Cerchiamo di dirlo più forte, altro che tra parentesi :sisi: *** ILLEGALI *** E' un reato penale! Quindi chi ti deruba della mail, commette un reato e può andare in galera se beccato. Quindi cerchiamo, se possibile, di avvertire la Polizia Postale.

congelano il login dopo 3 tentativi falliti
Ci vorrebbe una via di mezzo tra 3 e 14 tentativi, comunque meglio pochi che tanti per la nostra sicurezza :oo2.

Clairvoyant
18-02-11, 20: 28
Ciao poniboy.

Per rispondere al quesito della copia delle mail, basta esportare i messaggi come si fa normalmente quando si formatta un pc e si vuole conservarli/ripristinarli.
Solitamente per i client c'è una opzione esporta che lo permette.
Per le web mail si pò far scaricare/copiare tutti i messaggi su un client tramite opzioni solitamente presenti nel sito.

Il bruteforce non lo avevo considerato perchè a parte il limite di password sbagliate che verrebbe superato in pochi secondi, presumo che i servers dove è presente l' account rilevino l' anomalia di inserimento multiplo di numerose password in poco tempo e considerandolo intervento non umano blocchino l' accesso.
Non so esattamente come funzionino le cose dal lato server, però l' utilizzo di quella tecnica in questo caso mi pare poco probabile.

Tornando un attimo agli attori, toni potrebbe accedere ai pc in remoto bypassandone Firewall o altri strumenti di sicurezza, il suo più grosso problema però sarebbe acquisire l' IP, perchè se bobby ha una connessione normale l' IP è dinamico e cambiando ad ogni connessione non potrebbe conoscerlo.
Una cosa che però potrebbe aiutarlo sarebbe sbiriciare nel pc di pina nel caso stesse chattando con bobby o comunque stesse facedo attività che colleghino i due pc.

A mio avviso comunque toni, qualora fosse il responsabile, è semplicemente riuscito ad acquisire direttamente le password dal computer di pina in qualche modo, ed ha svolto le attività sulle mail semplicemente conoscendo esattamente la password che gli serviva, per questo la prima cosa da fare è cambiarle tutte.
Se anche così non fosse, cambiandole l' intruso dovrebbe perlomeno cercare le nuove, e se si segue un minimo di procedure di sicurezza come quelle che ho scritto ieri mi sa che ci vorrà un pò.:eye

Ci sarebbe però anche l' opzione che toni non c'entri nulla con tutto questo...in quel caso significherebbe che i dati gli sono stati rubati tramite malware o link malevoli, e nel primo caso il pc potrebbe anche essere compromesso ( e qui potrebbe venir fuori l' ipotesi formattazione ).
Solitamente però quel tipo di attività viene svolto da malware non troppo sofisticato, ed una scansione con MalwareBytes dovrebbe essere sufficiente a rilevare segnali di infezione.
Certo ci potrebbe anche essere un rootkit o qualche malware che agisce in stealth, ma se qualcuno riuscisse a installare qualcosa di simile in un pc altrui l' ultima cosa che farebbe è dare evidenza della sua presenza.
E' anche vero che se lo avesse messo toni potrebbe essere il contrario e utilizzarlo semplicemente per fare un dispetto, ma a quel punto perchè non fare danni maggiori?:ghgh

:bai

Kirk78
18-02-11, 20: 37
Solitamente per i client c'è una opzione esporta che lo permette.
O puoi copiare anche tutta la cartella e sotto cartelle (su OE in Document and Settings).

per questo la prima cosa da fare è cambiarle tutte.
Tutti glielo abbiamo detto, quindi penso che stasera gli darà il consiglio, anche sull'opzione del controllo accessi, così magari riesce a sapere se è stata pina, pino, abete o ulivo :ghgh
:bai

poniboy
19-02-11, 08: 56
ciao a tutti. sto beato ieri sera era irraggiungibile.
sicuramente mi chiamerà oggi lui. vabbè!
x quanto detto da clair, ci sono alcune cose da rivedere secondo me:bgg2
ma forse sbaglio. dici che toni potrebbe accedere in remoto al pc di pina, di sicuro, ma non a quello di bobby, in quanto loro comunicano solo via mail, e non via chat, x cui anche avesse provato con uno sniffer a beccare l'ip, non sarebbe servito a nulla ( o sbaglio?) e confermo il discorso dell'ip dinamico.
il discorso delle psw di bobby è complicato, in quanto lui stesso ricordo che mi disse che le sue psw sono abbastanza complesse, ma nulla è impossibile chiaramente.
potrebbe anche essere credibile e possibile l'idea di un malware o un rootkit, che potrebbe avergli mandato via mail, questo si.
quindi ricapitolando, le ipotesi potrebbero essere queste forse:
1- toni usa il pc di pina, entra nella sua posta, prendere la psw della mail per lui è senz'altro un divertimento, gli piazza un keylogger, e se ne va a spasso:bgg2
trovate le psw di pina entra nella sua mail e fa quel che vuole. fin qui può reggere. il dubbio mio è che ammesso e non concesso che sia stato lui, mi viene difficile pensare come abbia fatto a trovare la psw di bobby. ma di questo ne abbiamo già parlato ( anche se secondo me ha avuto un gran culo se l'ha beccata :bgg2)
se cosi' non fosse io son convinto che se tony non mette le mani fisicamente sul pc, la vedo dura riuscire a trovare ciò che vuole!
2- tutto un caso
ma alla 2 non ci credo poi tanto :ghgh
sembra la sceneggiatura per c.s.i. cerignola :tong2

Kirk78
19-02-11, 09: 16
Un collegamento remoto, se non bene protetto da firewall, si può comunque fare anche senza mail o chat, ribadendo a gran voce che se non c'è l'autorizzazione è anche quello un REATO PENALE. C'è anche il servizio di "Connessione desktop remoto" (su XP ma anche gli altri) direttamente sul sistema operativo. Poi potrebbe avergli mandato una mail con un allegato che fa da server per l'accesso remoto, spacciandolo magari per altra cosa. Una scansioncina gliela farei fare ma se è un programma autorizzato dall'utente e non malevolo, deve trovare sulle applicazioni installate e se c'è una configurazione per l'accesso remoto autorizzata.
Le password poi potrebbe averle messe su un file di testo, magari addirittura sul Deskop con il nome PASSWORD MAIL :nono: ok metterle su un file per fare il cut & paste... ma è buona norma almeno metterlo in un posto protetto dell'HDD, meglio ancora se criptate :oo2!

c.s.i. cerignolaUn'altro spin-off :ghgh potresti mandare la sceneggiatura ad Hollywood!

poniboy
19-02-11, 09: 28
Poi potrebbe avergli mandato una mail con un allegato che fa da server per l'accesso remoto, spacciandolo magari per altra cosa.

questo non sapevo fosse possibile. ad esempio con cosa? scendiamo nei particolari? mi piacerebbe capire come sia possibile

x holliwood ci sto pensando :ghgh

Kirk78
19-02-11, 09: 46
Bhè semplicemente un programma di assistenza remota, che dovrebbe servire per aiutare una persona in caso di difficoltà tecnica, e non per scopi illeciti. Ce ne sono di tutti i tipi, oltre quello inserito direttamente nel sistema operativo. Ovviamente uno dei sintomi, oltre ad avere un programma installato, è quello di vedere il mouse che ogni si muove da solo o programmi che si aprono da soli, o che te li trovi chiusi dopo aver lasciato il PC.
Considera che in alcune tipologie di lavoro, il software è già caricato dall'azienda proprio per correggere eventuli problemi lavorativi. Un esempio: alcune agenzie di viaggio in franchising. Uno magari pensa che sia l'assistenza tecnica e invece è toni detto 'il losco smanettone' :ghgh che fa quel che gli pare.
Non solo, in quel caso potrebbe non serve neanche scoprire la password, perché è come se stai davanti alla macchina, e quindi puoi direttamente utilizzare il client di posta, la chat, disabilitare firewall, modificare file etc etc.

x holliwood ci sto pensandoOSCARdabagno 2012: And the winner is: poniboy for CSI Cerignola! :festa: ... ma :notte:

poniboy
19-02-11, 09: 55
io non sono un fenomeno in materia, ma x fare ciò che dici tu, io in passato e attualmente ancora uso programmi quali radmin e vnc per lavorare da remoto, ma se non li installo io fisicamente sul pc non è possibile farli funzionare. se poi tu dici che si possono mandare via mail e si autoattivano all'apertura della mail stessa, senza tra l'altro che l'utente se ne accorga allora sono curioso di sapere come fare perchè mi servirebbe davvero, mi toglierebbe tanti fastidi anche a me :sisi

Kirk78
19-02-11, 10: 22
E' ovviamente un tool illegale ne più ne meno che un virus, o PEGGIO un finto antivirus che fa esattamente il contrario. Qualche tempo fa c'era proprio un finto vnc, che si attivava all'accensione e senza neanche la classica icona in basso a destra!! Delinquenti!
Cosa diversa se il software è già stato installato dalla azienda, come per esempio alcune agenzie di viaggio. Quando si cambia sede, per esempio, ho visto fisicamente che veniva inviato uno script di configurazione che cambiava le autorizzazioni. Ovviamente il software era già preautorizzato da firewall e agenzia, e quello è perfettamente legittimo. Poi che qualcuno utilizzi lo stessa maniera per poter entrare illegalmente è un'altra storia. Io faccio anche assistenza remota, ma la prima cosa che devo fare è dare le istruzioni alla persona "remota" per autorizzare l'ingresso.
Ultimamente ci sono sofware di assistenza remota, che devono avere un'autorizzazione per OGNI assistenza, dando obbligatoriamente a chi ti assiste il codice da inserire.

Anche alcuni promoter hanno sul loro PC un software di assistenza che gli installa la società assicuratrice. Digli di verificare TUTTE le applicazioni installate, come ti ho consigliato.

poniboy
19-02-11, 10: 38
E' ovviamente un tool illegale ne più ne meno che un virus, o PEGGIO un finto antivirus che fa esattamente il contrario. Qualche tempo fa c'era proprio un finto vnc, che si attivava all'accensione e senza neanche la classica icona in basso a destra!! Delinquenti!
Cosa diversa se il software è già stato installato dalla azienda, come per esempio alcune agenzie di viaggio. Quando si cambia sede, per esempio, ho visto fisicamente che veniva inviato uno script di configurazione che cambiava le autorizzazioni. Ovviamente il software era già preautorizzato da firewall e agenzia, e quello è perfettamente legittimo. Poi che qualcuno utilizzi lo stessa maniera per poter entrare illegalmente è un'altra storia. Io faccio anche assistenza remota, ma la prima cosa che devo fare è dare le istruzioni alla persona "remota" per autorizzare l'ingresso.
Ultimamente ci sono sofware di assistenza remota, che devono avere un'autorizzazione per OGNI assistenza, dando obbligatoriamente a chi ti assiste il codice da inserire.

Anche alcuni promoter hanno sul loro PC un software di assistenza che gli installa la società assicuratrice. Digli di verificare TUTTE le applicazioni installate, come ti ho consigliato.

daccordo su tutto, ma tu parli di un finto vnc che di fatto era poi un virus o qualcosa del genere. x cui sarai daccordo con me sul fatto che i programmi di assistenza remota, non si possono inviare e autoinstallarsi, bisogna mettere le mani sul pc. x cui la cosa la escluderei, cosi' come pure l'ipotesi del software che possa essergli stato installato dalla società per cui lavora, anche perchè è un lavoratore a se. e in ogni caso non ha rapporti lavorativi di nessun tipo con toni.
cmq, appena gli parlo vediamo un pò cosa fare. sarebbe forse meglio avere il pc in mano, il fatto è che ne ha un pò troppi di pc :ghgh

Kirk78
19-02-11, 11: 17
ma tu parli di un finto vnc che di fatto era poi un virus o qualcosa del genere. x cui sarai daccordo con me sul fatto che i programmi di assistenza remota, non si possono inviare e autoinstallarsi
Era parecchio tempo fa, e gli antivirus e i firewall non erano così intelligenti, comunque uno di quelli che avevo pescato, era arrivato tramite e-mail (all'epoca anche i file .exe passavano che era un dispiacere :furious) e si era autoinstallato in modo silenzioso. Ma basta controllare le mail con gli allegati se fosse quello il caso. Insomma un po' come ti entrano dei malefici programmi dai messanger o i dialer.
In seguito, quando Internet era un più alla portata di tutti, arrivava via mail un link che ti faceva la stessa cosa pocanzi detta, "intortando" il malcapitato con finti messaggi e finestre che l'utente ignaro autorizzava.... Come succedeva per i dialer del resto. Ho visto in diretta da un'amica una finestra che diceva, in inglese, che il tuo PC era infetto da nomevirusreale e se premevi [OK] saresti stato disinfettato ... MALEDETTI!

Clairvoyant
20-02-11, 01: 13
Ciao.
x quanto detto da clair, ci sono alcune cose da rivedere secondo me:bgg2
ma forse sbaglio. Forse che si, forse che no.:bgg2
dici che toni potrebbe accedere in remoto al pc di pina, di sicuro, ma non a quello di bobby, in quanto loro comunicano solo via mail, e non via chat, x cui anche avesse provato con uno sniffer a beccare l'ip, non sarebbe servito a nulla ( o sbaglio?) e confermo il discorso dell'ip dinamico.Toni accedendo al pc di pina può vedere le mail, da queste visualizzare l' header delle stesse inviate da bobby e da lì estrarre l' IP, che anche se è dinamico in quel momento è quello utilizzato.
A questo punto non gli resta che bucare il firewall, se ne ha uno ( altrimenti è bucato di default... ), di bobby, e fregargli la password e quant' altro.
Ovviamente vedendo la posta di pina conosce anche l' indirizzo mail di bobby, e forse può risultargli più facile inviargli un link via mail oppure un .exe camuffato o altro ma che comunque abbia funzioni di backdoor, ed anche in questo caso avrebbe accesso al pc di bobby, però c'è il rischio che questo tentativo venga bloccato dai software di protezione.
Tutto questo naturalmente esclude che pina abbia accesso alla posta di bobby dall' ufficio, perchè in quel caso tutto si risolve con la semplice intrusione nel pc di quest' ultima ed il furto dei dati ivi contenuti.

Il discorso di Kirk per i programmi di gestione in remoto in questo casi non credo sia una via perseguibile, o almeno non così, in quanto si tratta di software di un certo peso, visibili e progettati per usi diversi, ed inoltre occorrerebbe creare un qualcosa ad hoc che ne consenta l' installazione silente in modo che l' ignaro utente continui a restare ingnaro.
In questi casi si utilizzano malware che fungano da backdoor, come detto sopra, molto più leggeri e meno visibili.
Se poi una volta penetrati nel sistema si vogliono installare è ovviamente possibile, ma è inutile in quanto l' accesso al pc è già stato ottenuto.

:bai

poniboy
21-02-11, 08: 29
In questi casi si utilizzano malware che fungano da backdoor, come detto sopra, molto più leggeri e meno visibili.
Se poi una volta penetrati nel sistema si vogliono installare è ovviamente possibile, ma è inutile in quanto l' accesso al pc è già stato ottenuto.

:bai

:bai questo è interessante. mi potresti fare un esempio pratico. mi piacerebbe scoprire come funziona sta cosa

Clairvoyant
22-02-11, 00: 09
Esempio pratico in che senso?

Indicare un malware come quelli che ho descritto o installarne uno?

Per trovare descrizioni e funzionamenti basta cercare le parole chiave su google ( intanto puoi vedere qui (http://it.wikipedia.org/wiki/Backdoor) ), invece se ne vuoi uno basta che cerchi qualche sito spazzatura di cure farlocche ( queste le puoi trovare anche nei circuiti p2p ), di quei siti là con l' indice WOT rosso o clicki su qualche link contenuto nelle email con intenti di phishing e quasi sicuramente te ne cucchi uno ( per facilitare l' operazione si raccomanda l' utilizzo di IE6 e disabilitazione AV, FW e HIPS).:ghgh

Se però ti becchi uno di quei cosi non so come l' aggiusti, quei bei malware di una volta che facevano solo una cosa non ci sono più, ed adesso come passa uno te ne scarica una vagonata con molteplici funzioni e potresti trovarti con il sistema irrimediabilmente compromesso.

:bai

poniboy
22-02-11, 07: 42
ok capito! meglio non provare allora :ghgh
grazie comunque.

Clairvoyant
22-02-11, 21: 04
De nada.

Facci poi sapere se e come il tuo amico ha risolto, può essere utile anche ad altri.:eye

:bai

poniboy
23-02-11, 08: 02
De nada.

Facci poi sapere se e come il tuo amico ha risolto, può essere utile anche ad altri.:eye

:bai


assolutamente si, solo che sto fenomeno, non mi ha ancora richiamato, non so che fine ha fatto :shock
appena lo sento vediamo di chiudere la faccenda, d'altronde è suo interesse :bgg2

Kirk78
23-02-11, 11: 49
in quanto si tratta di software di un certo peso
Una volta ce ne erano anche di più piccoli, ma ci sono anche software di assistenza remota installabili anche con modalità "silent" con un batch, da 651KB! Non solo c'è anche un software shareware di assistenza di poco più di 500KB che è stato duramente criticato per le sue funzionalità di backdoor e di Keystroke logging, e infatti molti antivirus lo considerano una vera e propria minaccia (e anche io) trojan horse! Oviamente ci vuole qualche delinquente che ci sa lavorare sopra, ma haimé esiste la possibilità. Considera che uno di questi era addirittura stato spacciato come patch di sicurezza per il sistema operativo, e l'ultente doveva solo cliccare una volta sola! :furious

Ovvio, speriamo tutti di no (l'amico di poniboy sopratutto), ma io ho dato solo la possibilità che succeda... Tra intercettazioni, backdoor e trojan horse non si più sicuri di nulla... forse è anche per questo che io ho un doppio firewall HW e uno software, ma sicuro proprio ... non sono ... ma con qualche attenzione in più non mi è mai capitato cose di questo tipo. Voi dite fortuna: può essere, però cerchiano di non aiutare anche questi delinquenti, con un pizzico di attenzione in più :oo2
:bai

Clairvoyant
23-02-11, 23: 13
Ciao Kirk.

Per software di assistenza remota intendevo applicazioni conosciute come tali tipo TeamViewer o VNC, non cose strane che si installano in silent mode, via batch, con funzioni di Keylogger e backdoor e magari stanno in stealth.:hap
Se un software di assistenza remota è legittimo non ha bisogno di fare nessuna di queste cose.

Quello per me è malware, visto che è installato nel pc a insaputa dell' utente e consente un accesso non autorizzato alla macchina.
I sysadmin di certo non vanno a installare quella roba nei pc aziendali, come tali possono e devono lavorare sui clients alla luce del sole.
Se ricorrono a quegli espedienti vuol dire che installano malware "aziendale" e per scopi non cristallini.

Che poi ci sia software ben più leggero di TeamViewer & affini e con svariate funzioni accessorie ( che NON cito ) è senz' altro vero, in fondo se rimuoviamo GUI ed orpelli vari e ci basta lavorare da riga di comando basterebbero anche pochi KB, però quasi mai applicazioni così vengono usate in ambito normale e legittimo.

Ad ogni modo, se il manigoldo fosse riuscito a bucare il sistema avrebbe potuto operare anche senza installare nulla.:ghgh

Poi come dici tu, ogni cosa è possibile, ed aggiungerei Nulla è reale, tutto è lecito in omaggio anche ad un mio vecchio avatar.:eye

:bai