Ultima modifica da un moderatore:
In primo luogo bisogna precisare che tentare di forzare un sistema è illegale in tutti i paesi del mondo, pertanto, questa guida può dare risposta a chi si pone il dubbio: "come si ruba una password di Facebook" ?, ma ciò non significa che ci riuscirà mai.
Attenzione: la seguente guida ridicolizza il concetto stesso di violare le informazioni personali di terzi, proponendo dei metodi spesso non funzionanti ma che comunque gasano il lettore o chiunque cerca metodi "infallibili" per spiare illegalmente i cazzi degli altri, nella speranza che durante la lettura magari imparino veramente qualcosa.
Buona lettura
Quindi, se cercavate un programmino segreto per rubare password di Facebook siete nel posto sbagliato, o meglio, la vostra domanda potrebbe non avere molto significato.
Il motivo è che non esiste alcun programma segreto per farlo e ora cercherò di spiegarlo in maniera molto semplice.
Premessa per gli aspiranti informatici
Un programma non è altro che una serie di istruzioni collegate tra di loro che compiono un'azione all'interno di un computer; queste azioni poi possono esternare al di fuori del vostro computer o della rete e interagire con altri componenti.
Prendiamo ad esempio il browser: è fatto per lavorare nel vostro computer ma è anche in grado di collegarsi al di fuori della rete e interagire con internet.
Ovviamente questa affermazione è incompleta, in quanto oggi è possibile programmare qualunque cosa per qualunque dispositivo (appunto Facebook).
Ora che sappiamo cos'è un programma dobbiamo sapere che questo è composto da una serie infinita di codici, istruzioni, variabili e tutto quello che riguarda il programma. Tale parte si può identificare come codice sorgente.
Se si conosce il codice sorgente di un programma (es. Facebook) è possibile studiarne i comportamenti e, con la giusta fortuna e attenzione, trovarne un errore per poi sfruttarlo e provocarne quindi il "tilt" delle informazioni, da cui poi si vanno ad estrapolarne i dati riservati.
Se ciò non fosse possibile si può ricorrere al reverse engineering ma ciò comporta una conoscenza approfondita della materia e una ricerca euristica sulle migliaia di variabili che si andrebbero a presentare.
Da lì in poi è necessario codare un exploit (standalone o meno) e cercarne di ottenere le informazioni.
E se mai qualcuno ci riuscisse, con molta probabilità lo terrà per se fino a quando non deciderà di rivenderlo a Facebook stessa, che lo premierà con una somma in denaro, oltre che di fama e molto altro.
Pertanto, se siete finiti qui, immagino che cerchiate qualcosa di semplice per fare una lamerata da 4 soldi e che, se siete abbastanza validi da riuscire a exploitare Facebook (e qui mi inchino al vostro cospetto), questa lettura è per voi completamente inutile.
Prendiamo ad esempio il browser: è fatto per lavorare nel vostro computer ma è anche in grado di collegarsi al di fuori della rete e interagire con internet.
Ovviamente questa affermazione è incompleta, in quanto oggi è possibile programmare qualunque cosa per qualunque dispositivo (appunto Facebook).
Ora che sappiamo cos'è un programma dobbiamo sapere che questo è composto da una serie infinita di codici, istruzioni, variabili e tutto quello che riguarda il programma. Tale parte si può identificare come codice sorgente.
Se si conosce il codice sorgente di un programma (es. Facebook) è possibile studiarne i comportamenti e, con la giusta fortuna e attenzione, trovarne un errore per poi sfruttarlo e provocarne quindi il "tilt" delle informazioni, da cui poi si vanno ad estrapolarne i dati riservati.
Se ciò non fosse possibile si può ricorrere al reverse engineering ma ciò comporta una conoscenza approfondita della materia e una ricerca euristica sulle migliaia di variabili che si andrebbero a presentare.
Da lì in poi è necessario codare un exploit (standalone o meno) e cercarne di ottenere le informazioni.
E se mai qualcuno ci riuscisse, con molta probabilità lo terrà per se fino a quando non deciderà di rivenderlo a Facebook stessa, che lo premierà con una somma in denaro, oltre che di fama e molto altro.
Pertanto, se siete finiti qui, immagino che cerchiate qualcosa di semplice per fare una lamerata da 4 soldi e che, se siete abbastanza validi da riuscire a exploitare Facebook (e qui mi inchino al vostro cospetto), questa lettura è per voi completamente inutile.
Premessa per inesperti
"Programmi" che rubano password di Facebook non esistono o, se sono stati programmati, durano meno di 15 minuti.
Più che programmi è meglio definirli "exploit", ma richiede la conoscenza giusta del linguaggio con il quale è stato programmato e, se mai ne sta girando uno nel deep web, costerebbe parecchie migliaia di euro.
Ciò significa che quindi non è necessario "bucare" Facebook per ottenere password, ma esistono metodi alternativi e sicuramente validi per fare ciò.
Più che programmi è meglio definirli "exploit", ma richiede la conoscenza giusta del linguaggio con il quale è stato programmato e, se mai ne sta girando uno nel deep web, costerebbe parecchie migliaia di euro.
Ciò significa che quindi non è necessario "bucare" Facebook per ottenere password, ma esistono metodi alternativi e sicuramente validi per fare ciò.
(FACILE) METODO #1 : Recuperare password in locale dai browser
Se avete accesso fisico al computer (schermo e tastiera davanti!) si può usare la gestione delle password salvate nel browser.
Se infatti la vittima salva le password per evitare di doverle riscrivere, queste sono memorizzate in chiaro all'interno dei programmi di navigazione.
Se non sapete come ottenerle dai vari browser possiamo consigliarvi questa lista di programmi:
- Facebook Password Decryptor (il migliore, fa una ricerca incrociata con i vari browser)
- Facebook Password Dump (uguale al primo, solo da linea di comando)
- WebBrowserPassView (raccoglie le password da tutti i browser, compresa quella di Facebook)
Creare guide per questi software è abbastanza inutile, funzionano tutti allo stesso modo (bottone gigante "Mostra password") da scaricare ed eseguire.
Don't be a noob.
(FACILE) METODO #2 : Keylogging di dati in locale tramite software
Anche qui bisogno avere accesso fisico al computer ma, nella situazione in cui la "vittima" non ha salvato le password sui browser, bisognerà avvalersi di programmi di keylogging.
Questi software riescono a memorizzare tutto quello che viene battuto a tastiera e salvarlo in file di testo o addirittura inviarlo per email.
Di questo argomento possiamo prendere in analisi Spyrix Free Keylogger, che è gratuito sul quale ci dedicheremo un pochino per conoscerne le funzioni più utili e ovviamente adatte al nostro caso.
Una volta scaricato dal link poco più sopra e installato spuntiamo la voce Hide Everywhere.
Allo step 2 andiamo avanti se non vogliamo definire una nostra hotkey, la quale ci permetterà di mostrare il programma quando vogliamo, e andiamo avanti anche allo step 3, quindi clicchiamo su Done.
A questo punto rechiamoci sulla tab Log Eventi a sinistra, quindi selezioniamo l'user da voler tracciare.
Infine, nascondiamo il programma con il tasto Nascondi. Lo richiameremo in seguito con l'hotkey CTRL+ALT+A (a meno che non l'abbiate cambiato in fase di wizard).
Le attività possono essere anche inviate per email ma richiede un abbonamento a pagamento.
(FACILE) METODO #3 : Keylogging di dati in locale/remoto tramite hardware
Ennesimo metodo per intercettare dati avendo accesso fisico alla macchina ma, a differenza del software, basta semplicemente utilizzare un connettore tra il cavo di trasmissione e la porta di comunicazione del computer.
Ecco un'immagine che vale più di mille parole:
Il connettore nero che si vede nelle figure 3 e 4 fa da ponte e permette di salvare tutte le informazioni all'interno di una memoria interna (solitamente non superiore a 2GB) o addirittura trasmetterle in WiFi verso un'altra linea (ad esempio un computer in ascolto).
Di questi aggeggini è possibile trovarne a bizzeffe (anche se costano un pochino)...
I migliori sono disponibili a Hardware Keylogger - Keylogger wireless - Fai da te!, ma ce ne sono molti altri altrettanto validi (disponibili in fiere dell'elettronica, spy shop etc...)
(MEDIO) METODO #4 : Keylogging di dati in remoto tramite software
Anche qui bisogno avere accesso al computer della vittima. A differenza del metodo in locale però, non dovremo ogni volta accedere al computer della vittima per ottenerne i dati.
Questo si potrà installare sia fisicamente al computer vittima oppure dopo aver effettuato un exploiting della macchina (per questo argomento sono necessarie molte altre argomentazioni disponibili nell'Hacklog).
I keylogger remoti funzionano esattamente come quelli locali, a differenza che inviano i log di ciò che è stato scritto con i dispositivi di input (in questo caso tastiera) ed inviarli tramite Internet ad un altro computer (tramite mail, server, vps o altro).
Essi sono disponibili in rete ma la maggior parte sono a pagamento e facilmente riconoscibili dagli antivirus, pertanto, consigliamo una costruzione da 0 del software che infetterà il sistema.
Per i conoscitori del linguaggio Java è disponibile una guida su come creare un keylogger in remoto (work in progress!).
(DIFFICILE) METODO #5 : Cookie Grabbing
Molti siti web, per evitare di richiedervi ogni volta di effettuare nuovamente l'accesso ad un portale, fanno affidamento ai cookie, piccoli file di testo memorizzati in un computer.
Qualora un attacker riuscisse ad ottenere questi file si metterebbe male per la vittima.
Questo metodo sicuramente non vi permetterà di scoprire una password ma solo di loggarvi come la vittima: consigliamo la lettura della guida di FireWater in merito sul Cookie Grabbing di Facebook.
(DIFFICILE) METODO #6 : Sniffing della rete
Lo sniffing di una rete pubblica (o comunque dove abbiamo accesso) ci permetterà di ottenere informazioni dai client connessi alla rete e di captarne le informazioni inviate al web.
Tale pratica può essere attuata tramite il metodo Man in the Middle (guida con esempio proprio su Facebook!), scritta dal nostro carissimo syscall.
(SCONOSCIUTO) METODO #7 : Ingegneria Sociale
L'ingegneria sociale è da sempre un metodo efficace per superare le linee di difesa di un sistema informatico.
L'ingegneria sociale è in sostanza la pratica di "cazzolare" una persona, usando quando possibile falle di sicurezza per camuffare le informazioni usate (es. Cross Site Scripting), e sfruttare quindi l'errore umano per compensare sulla sicurezza della macchina.
Cazzolare è un neologismo che sta ad indicare la pratica di raggirare una vittima, facendogli credere tutto il possibile e l'immaginabile che c'è: "ciao, sono l'amministratore di ..." , "ciao sono il tecnico ...", crearsi insomma un'identità fittizia.
Da qui la classica mail appena registrata: "[email protected]", con tutti i possibili contatti esterni e un feedback della figura che impersoneremo.
Le password che ci verranno comunicate potranno essere trasmesse direttamente alla cornetta del telefono, per email o tramite la creazione di fake login (very lamah!).
Di questo argomento non si possono fare troppe introspezioni in quanto il concetto stesso è definito dalle abilità e dall'immaginazione di chi attacca, oltre ovviamente dalle lacune della vittima e del suo dispositivo informatico.
![:\](/forum/data/assets/smilies/mhhae.gif "Mhhae :\")
, è tutto molto più semplice che sto casino.
!