Andrea Draghetti
[ANDROID] Http Basic Brute Force
Alessio Dalla Piazza ha recentemente rilasciato sull’Android Market l’applicazione Http Basic Brute Force in grado di effettuare un attacco dizionario sul protocollo di autenticazione HTTP. Il protocollo HTTP è sfruttato principalmente dai router in commercio ed anche da diversi portali amministrativi web (VHM per esempio).
L’applicativo contiene già un dizionario composto da 120 mila parole ma è anche possibile aggiungere un proprio archivio personalizzato all’interno della memoria di massa del dispositivo nella seguente path: /mnt/sdcard/dict.txt.
È possibile scaricare direttamente Http Basic Brute Force sul Market di Google al seguente indirizzo: https://market.android.com/details?id=clshack.app.router
[AGGIORNATO x3] Attacco a YouPorn – Migliaia di credenziali pubblicate
YouPorn uno dei siti porno più popolari è caduto in una “vulnerabilità” informatica, anzi è stato messo alla luce il pessimo sistema di realizzazione del sito internet. Sembra infatti che tutte le credenziali degli utenti del famoso sito pornografico fossero consultabili facilmente da tutti e quindi non vi era alcun tipo di protezione a tutela dei dati. Anders Nilsson ha rilevato e pubblicato sul suo blog questa lacuna oltre ad un link a PasteBin con più di 6mila credenziali di accesso (eMail e Password in chiaro).
Un duro colpo per la Privacy, non solo è stata esposta una password e la relativa associazione all’eMail in chiaro ma si potrebbero creare anche dei precedenti a livello lavorativo o di coppia.
È possibile consultare l’archivio sul sito di Paste Bin: http://pastebin.com/ieC6eTB7 http://pastebin.com/Jjacz5Zt
Facciamoci due risate… 
[AGGIORNAMENTO 23/02/2012]
I dati raccolti provengono dal servizio di chat YouPorn Chat, il sistema di registrazione risalente al 2007 prevedeva la memorizzazione di tutte le credenziali di accesso in un file .log accessibile da chiunque, come è possibile visualizzare dalle immagini sottostanti.
[AGGIORNAMENTO x2 23/02/2012]
Nuovo PasteBin: http://pastebin.com/Jjacz5Zt
[AGGIORNAMENTO x3 24/02/2012]
Il ricercatore Nilssonanders ha pubblicato una statistica delle principali password utilizzate dagli utenti di You Porn Chat visualizzabile sempre su PasteBin.
Drupal Security Scanner
Drupal Security Scanner (DPScan) è il primo security scanner dedicato al CMS Drupal, sviluppato da Ali Elouafiq ha da poco visto la luce e soffre ancora di qualche lacuna dovuta alla giovane età. Lo scopo di questo software è di scansione un sito internet Drupal alla ricerca dei moduli installati e delle relative vulnerabilità.
Questo piccolo strumento è scritto in Python, il che lo rende multi piattaforma, e viene distribuito attraverso GitHub. Una volta scaricato basterà digitare il seguente comando per avviare la scansione:
$ python DPScan.py [url _sito]
Il software automaticamente riporterà i moduli individuati sul sito internet come nell’immagine di apertura.
Via | Blue Sky
Trixd00r – Una backdoor TCP/IP invisibile per sistemi Unix
NullSecurity Team ha rilasciato la prima versione del software Trixd00r un avanzato ed invisibile sistema di backdoor TCP/IP per sistemi Unix, la piattaforma è costituita da un client e un server quest’ultimo attenderà di sniffare dei pacchetti dedicati sulla rete. Se un pacchetto generato dal client viene rilevato al server viene allora catturato e sfruttato per una shell tramite i protocolli TCP e UDP.
È possibile scaricare Trixd00r sul sito internet ufficiale, mentre dopo il salto trovate un video dimostrativo.
[How-To-Video] Install Nessus 5 on BackBox
A poche ore dall’articolo sul rilascio di Nessus 5 vi proponiamo una breve video guida per l’installazione del famoso software di Security Scanning sulla distribuzione di Pent Testing BackBox.
Per qualsiasi chiarimento non esitate ad usare i commenti…
