Frequently asked question:

Accesso ad IRItaly livecd

Q - Come si accede al login del livecd del progetto IRItaly ?

R - Si accede con i privilegi di user con:

user: iritaly password: iritaly

mentre si accede con i privilegi di root con:

user: root password: iritaly

 

Leggere i meta-data

Q - Ho fatto un immagine di una chiave usb con Aimage. Con hexdump le ho dato uno trovando all'inizio le informazioni appese relative all'ambiente, che sono tuttavia in formato non proprio leggibilissimo. Rivedendo le slide del Corso base ho rivisto che in Aimage e' presente la libreria Ainfo, mi domandavo se era possibile usarla per estrarre i meta-dati da un immagine, formattati magari in un formato piu' comprensibile.

R - Esattamente, devi usare Ainfo, l'unico problema è che sul CD non l’abbiamo ancora inserito per motivi di compilazione. Installalo su di un sistema a parte e usalo da li. La prossima versione, lo conterrà di certo.

Scheda di rete

Q - Ho avviato il pc desktop, che uso per gli esperimenti, con la versione BASE,, una volta entrato in modalità grafica ho provato ad avviare il demone per la rete, si apre la finestra del terminale e mi da:

• *Starting eth0 /*asterisco verde
• * Bringing up eth0 /*asterisco verde
• * Configuration not set for eth0 - assuming dhcp /*asterisco giallo
• * dhcp /*asterisco verde
• * eth0 does not exist [!!] /*asterisco e punti esclamativi rossi

se guardo lo stato mi da oviamente : * stopped bhè mi va bene che usi dhcp, così si prende da sè l'indirizzo ip dal router, ma che non veda la scheda di rete mi sembra strano. Aggiungo che ho controllato che il cavo di rete fosse connesso, il led era pure acceso. La scheda è una economica Nortek Nea 100. Sullo stesso pc sostituendo gli hard disk nel rack faccio girare: Windows 2000, UBUNTU e altre live linux senza aver mai avuto problemi con la connessione di rete.

R - Allora: prima di tutto cerchiamo di capire se il kernel ha rilevato e installato correttamente i driver della tua scheda di rete. Per vedere se è riconosciuta, apri una console e scrivi: Se la scheda è rilevata e installata dovresti vedere le velocità e il tipo di link impostato, Half-doplex o full. In questo caso, prova a configurare la scheda impostando un indirizzo ip Statico. Prima verifica che sia stata rilevate l'interfaccio eth0 e non una superiore come ad esempio eth1 Se nemmeno mii-tool di ha dato dei segnali positivi è probabile che la scheda non sia stata riconosciuta e per questo verificheremo nel kernel che i moduli siano presenti.

Immagine HD con settori danneggiati

Q - Mi occupo di computer forensic da circa un anno e mi è capitato recentemente di fare una copia immagine utilizzando ADEPTO di HELIX v. 1.7. Ho anche provato AIR di IRITALY. Il supporto originale è un HD di un vecchio PC da 2 G che ha alcuni settori danneggiati. Il problema è che durante la copia immagine dd si blocca sui settori danneggiati e non va piu avanti. Studiando il problema ho controllato che vi fosse impostato "noerror" ma era tutto a posto. Sapete darmi un consoglio? Infine, è un requisito imprescindibile che l'hash del supporto originale coincida con la copia? Visto la vetustità dell'HD originale faccio fatica a trovarene uno uguale per un cloning perfetto.

R - Nonostante sembra strano che la presenza di settori danneggiati interrompa il processo dd le consiglio di provare il nuovo strumento "aimage" presente sull'ultima versione del CD. Fondamentalmente fa ancora uso di dd, ma forse gestisce in modo differente gli errori. Per quanto riguarda l'hash, se la procedura deve avere valore legale, la risposta è SI, gli hash devono coincidere.
Tuttavia se lei crea un file immagine in formato dd (es: immagine.dd) il calcolo del valore di hash deve essere effettuato sul solo file creato e quindi è indipendente dal resto del contenuto dell'hd che può anche essere di dimensione differente rispetto a quello originale. Se invece opta per la copia "diretta" e quindi crea un disco clone utilizzando un disco di destinazione più grande può calcolare il valore di hash sui primi x settori del disco clone, dove x corrisponde al numero di settori totale del disco originale.

Ethereal e interfaccia di rete

Q - Salve, ho provato la distro versione network, e ho trovato un problema con l'utilizzo di ethereal. Una volta avviato non riesco a vedere le interfaccie di rete, che sono correttemente funzionanti e attiva
/sbin/ifconfig mi da conferma di ciò. Allora ho pensato di loggarmi come root ed eseguirlo come tale visto che l'utente di default non ha tutti i privilegi, ma scopro che non è possibile effettuare il su, non riesco a cambiare pass e sopratutto non conosco la password di default di root.
Spero che possiate aiutarmi, in quanto questo livecd mi ha incuriosito abbastanza.

R - ciao, se fai partire ethereal dal menu dovrebbe andare tutto bene tuttavia le credenziali di cui chiedi sono
login: root
passed: iritaly
prova anche con sudo se ti può essere utile: sudo ethereal
oppure più semplicemente usa: rootme

Scrivo riferendomi per ora alla vecchia versione di Iritaly.

Q - Quello che descrivo di seguito è un problema riscontrato anche con Helix, Insert e Phlak, sia usandole da live cd, che installate: mi arrabatto con la mia piccola rete (2 pc) per cercare di capire il funzionamento dello sniffer in oggetto. Ho un router 192.168.8.1, il pc A, con ubuntu e ip 192.168.8.5, e il pc B, con le versioni di linux security sopra citate, e ip 192.168.8.2, con il quale tento di sniffare il traffico passante dal pc A alla rete esterna.
Ho attivato il modo promiscuo che a quanto ho capito dovrebbe permettere di catturare tutti i pacchetti in transito sulla rete che in tal modo la scheda rete del pc B e' in grado di vedere anche se non diretti a lei. ettercap riesce effettivamente a sniffare le connessioni, infatti mi elenca, sul pc B, tutte le connessioni aperte dal pc A...peccato che non mi lasci creare il file dei log!!! sebbene io avvii ettercap da root, quando cerco di creare il file "registro" mi da un messaggio di errore del tipo: can't create registro.ecp: Permission denied.
ah..tra le altre cose, leggendo il manuale di ettercap trovo che in /usr/share/ettercap/ ci dovrebbe essere il file etter.conf … li non c'e'!!!

R - Il logging di ettercap è di default eseguito con i privilegi dell'utente nobody (uid= 65534 gid= 65534).
Nel file /etc/etter.conf trovi due variabili
ec_uid = 65534 # nobody is the default
ec_gid = 65534 # nobody is the default
Queste indicano i privilegi di esecuzione del logging con ettercap. Ora se vuoi loggare senza considerare particolari privilegi (root piuttosto che dell'utente che stai utilizzando), ti conviene impostare come directory di logging /tmp (cosi sei sicuro che se anche sei su distro-live i diritti di scrittura sono abilitati).
Se invece vuoi loggare con un diverso utente in un particolare directory, puoi eseguire un export delle variabili d'ambiente viste sopra settando uid e gid dell'utente in questione.
export ec_uid=***
export ec_gid=***
Dai un export da shell e vedrai i valori delle variabili appena settati. Esegui poi ettercap dalla console in cui ha settato i nuovi valori per le variabili
ettercap -C
E definisci come destinazione del file di log una directory su cui l'utente ha permessi di scrittura.
Ricorda poi che è sempre possibile, in ambiente Unix, eseguire comandi con permessi root impostando il bit setuserid o setgroupid, che permettono l'esecuzione di comandi con privilegi di root anche da parte di utenti normali. Qualcosa tipo questo comando dovrebbe mostrarti tutti i programmi su cui questi bit sono settati:
find / \( -perm -04000 -o -perm -02000 \) -ls Naturalmente da shell root.
Penso sia inutile dire quando, il cedere permessi di root a un utente normale, per programmi potenzialmente utilizzabili con scopi di hacking, possa rappresentare un serio problema di sicurezza.
Ettercap è eseguito come utente root, ma genera log con privilegi di un utente diverso da root (nobody di default come già detto). I Log possono quindi essere generati con i privilegi di un qualsiasi altro utente

IRItaly-livecd e IRitaly-Paper - Powered by IRitaly Team and DFLabs