Masscan è un command lecito? [studio]

sul video:

il video ribadisce che gli hacker sarebbero delle persone disturbate mentalmente 🙂

Come vedrete qui di seguito si può studiare la sicurezza informatica senza volere fare nessuna azione illecita, e solo per tutela della propria sicurezza personale, oppure come consulenti per la sicurezza di società che richiedono consulenza informatica.

cito alcuni aspetti legali in particolare delle istruzioni che andremo a sperimentare ..
fonte: http://manpages.ubuntu.com/manpages/xenial/man8/masscan.8.html

ABUSE COMPLAINTS

This scanner is designed for large-scale surveys, of either an organization, or of the
Internet as a whole. This scanning will be noticed by those monitoring their logs, which
will generate complaints.

If you are scanning your own organization, this may lead to you being fired. Never scan
outside your local subnet without getting permission from your boss, with a clear written
declaration of why you are scanning.

The same applies to scanning the Internet from your employer. This is another good way to
get fired, as your IT department gets flooded with complaints as to why your organization
is hacking them.

When scanning on your own, such as your home Internet or ISP, this will likely cause them
to cancel your account due to the abuse complaints.

One solution is to work with your ISP, to be clear about precisely what we are doing, to
prove to them that we are researching the Internet, not “hacking” it. We have our ISP send
the abuse complaints directly to us. For anyone that asks, we add them to our
“–excludefile”, blacklisting them so that we won´t scan them again. While interacting
with such people, some instead add us to their whitelist, so that their firewalls won´t
log us anymore (they´ll still block us, of course, they just won´t log that fact to avoid
filling up their logs with our scans).

Ultimately, I don´t know if it´s possible to completely solve this problem. Despite the
Internet being a public, end-to-end network, you are still “guilty until proven innocent”
when you do a scan.

traduzione:

RECLAMI DI ABUSO
Questo scanner è progettato per sondaggi su larga scala, di un’organizzazione o del
Internet nel suo insieme. Questa scansione verrà rilevata da coloro che monitorano i loro registri, che genererà reclami.

1) Se stai scannerizzando la tua organizzazione, questo potrebbe portare a licenziare.

2) Non scansionare mai al di fuori della sottorete locale senza ottenere il permesso dal tuo capo, con una chiara scritta dichiarazione del motivo per cui si sta eseguendo la scansione.

3) Lo stesso vale per la scansione di Internet dal tuo datore di lavoro. Questo è un altro buon modo per essere licenziato, in quanto il reparto IT viene allagato da lamentele sul perché la propria organizzazione li sta hackerando.

4) Quando si esegue la scansione da soli, come ad esempio Internet o ISP di casa, è probabile che ciò li causi per cancellare il tuo account a causa dei reclami di abuso.

5) Una soluzione è lavorare con il vostro ISP, per essere chiari su esattamente ciò che stiamo facendo, per dimostrare loro che stiamo ricercando Internet, non “hackerandolo”.  Abbiamo mandato il nostro ISP le denunce di abuso direttamente a noi. Per chiunque lo chieda, li aggiungiamo al nostro “–excludefile”, inseriscili nella blacklist in modo da non scansionarli di nuovo. Durante l’interazione con queste persone, alcuni invece ci aggiungono alla loro whitelist, in modo che i loro firewall non vadano registrarci più (ci bloccheranno ancora, naturalmente, semplicemente non registreranno quel fatto per evitare riempiendo i loro registri con le nostre scansioni).

6) In definitiva, non so se è possibile risolvere completamente questo problema. Nonostante che Internet sia una rete pubblica, end-to-end, sei ancora “colpevole fino a prova contraria” quando fai una scansione.

La precisazione precedente è MOLTO IMPORTANTE!

Infatti la impostazione legale è equivalente a entrare in una casa solo se sei autorizzato!

Se non sei autorizzato, potresti avere dei guai anche solo se bussi alla porta ..

Quindi ritornando alla guida che stiamo seguendo:

https://www.html.it/pag/70981/information-gathering-con-arp-scan-masscan-e-nmap/

.. troviamo, cito:

++

cit on

++

Masscan consente di scoprire tutte le porte attive su Internet in pochi minuti. Questo è possibile grazie alla elevatissima velocità di tramissione (fino a 10 milioni di pacchetti al secondo) delle richieste TCP/IP. Il codice sorgente e la documentazione approfondita sull’utilizzo dello strumento sono disponibili su GitHub. Un tipico esempio di utilizzo è il seguente:

masscan -p80,8000-8100 192.168.1.0/24 --rate 1000000

Questa istruzione consente di scansionare la porta 80 e tutte le porte da 8000 alla 8100 per la sottorete 192.168.1.0/24 (cioè 256 indirizzi), al ritmo di 1 milione di pacchetti al secondo. Il risultato fornito dal programma sarà visualizzato sulla console, oppure potrà essere ridirezionato su un file (conveniente quando ci si aspetta un output molto lungo). L’output è fornito nel seguente formato:

stato porta|protocollo|numero porta|indirizzo IP|timestamp

Per scansionare l’intera rete Internet, possiamo usare la seguente istruzione:

masscan 0.0.0.0/0 -p0-65535 --rate 1000000

L’autore dello strumento comunque sconsiglia questa opzione, principalmente perché alcuni segmenti di rete reagiscono “male” alla visita di Masscan e potrebbero mettervi in una blacklist. Per evitare di scansionare l’intera Internet, potremo utilizzare un file contenente la lista degli indirizzi da escludere:

masscan 0.0.0.0/0 -p0-65535 --rate 1000000 --excludefile esclusioni.txt

++

cit off

++

Da cui è sconsigliabilissimo andare a scansionare dove non si è autorizzati!

E dovremo studiare -noi che stiamo studiando gli strumenti della sicurezza informatica- come applicare alla nostra rete interna il comando! onde poterlo provare .. come “istruzione software”, senza avere conseguenze di responsabilità legali.

Ciò non toglie che un uso illecito non perché fa un test, ma perché volesse utilizzare queste informazioni per un attacco informativo non potrebbe dirigersi verso un indirizzo di una “risorsa” presa di mira che non è nelle dsponibilità legali di chi “estrae info”.

Ma -appunto- va capito che vi sono livelli diversi di acquisire informazioni.

Se chi avesse studiato tecniche hacker volesse certificare un server di una scuola, o simili, allora, dovrà essere autorizzato dal preside, o dal responsabile della sicurezza (meglio se su un documento scritto) che sta facendo dei test sul server al fine di verificare la sicurezza della “risorsa” esaminata.

Dopo questa doverosa premessa, noi sappiamo dallo strumento precedentemente esaminato, e cioé #arp-scan -l

i parametri nella nostra sottorete! anziché scrivere:

masscan -p80,8000-8100 192.168.1.0/24 --rate 1000000

dobbiamo studiare se scrivere 192.168.1.0/24 oppure no ..

dai link seguenti risulta che l’indirizzo 192.168.1.0 scarà scandagliato da 0 vs 255

ossia

192.168.1.0
192.168.1.1
192.168.1.2
[…]
192.168.1.255

in quanto la parte più significativa dell’indirizzo rimane fissa e pari a 24 bit

mentre la  parte meno significativa, detta range, è variabile e pari a 8 bit

poiché 24+8 = 32 bit totali che in binario saranno:

bbbbbbbb.bbbbbbbb.bbbbbbbb.bbbbbbbb=32 bit

per fare ciò consiglio la lettura dei seguenti link:

https://it.wikipedia.org/wiki/Sottorete

http://manpages.ubuntu.com/manpages/xenial/man8/masscan.8.html

ora si capisce che .. se volessimo indagare un solo computer della mia rete privata dovrei scrivere

masscan 192.168.1.64 -p80 – -rate 1000000

output:

stato porta|protocollo|numero porta|indirizzo IP|timestamp

in questa maniera testo solo un mio singolo computer visto come all’indirizzo 192.168.1.64 senza altri che lui e quindi ometto il range, specficoporta 80.

Quindi si può omettere il range indicato da “/numero”

come confermato sul link seguente:

https://github.com/robertdavidgraham/masscan/blob/master/doc/masscan.8.markdown

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

nscan

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Se dunque masscan è uno strumento che elabora grandi quantità di dati di mote risorse distribuite, ci sono strumenti più specifici per indagare una singola macchina ..

stiamo quindi per esaminare

nscan

sempre seguendo la guida di html.it:

https://www.html.it/pag/70981/information-gathering-con-arp-scan-masscan-e-nmap/

per sapere il sistema operativo della macchina all’indirizzo 10.0.0.1

nmap -O 10.0.0.1

ok, io ho cambiato lindirizzo (metto quello di un mio computer nella rete privata) e mi ha detto:

root@kali-lino-nome-rete-host:~# nmap -O 192.xxx.x.xx
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-17 23:35 CET
Nmap scan report for iMac-di-Lino.lan (192.xxx.x.xx)
Host is up (0.0012s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
88/tcp open kerberos-sec
445/tcp open microsoft-ds
548/tcp open afp
49152/tcp open unknown
MAC Address: xx:xx:xx:xx:xx:xx (Apple)
OS details: Apple Mac OS X 10.7.0 (Lion) – 10.12 (Sierra) or iOS 4.1 – 9.3.3 (Darwin 10.0.0 – 16.4.0)
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.03 seconds

ho cancellato gli indirizzi specifici sostituendoli con “x”.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Maltego?

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

https://www.paterva.com/web7/community/community.php

https://docs.paterva.com/en/

https://www.html.it/articoli/osint-con-maltego/

Come dice Rovazzi .. tutto molto interessante 🙂

ultimo aggiornamento:

18 dic 2018, ore 00.57

 

Questa voce è stata pubblicata in deep web. Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...