Domanda Vicino di casa con Kali Linux entra di continuo nella rete: come difendermi?

[OPOX666]

Dico solo che secondo me se tutte queste precauzioni sono state prese, è impossibile venir bucati. Guarda i LOG, prova a sniffare del traffico di rete e vedere se c'è qualcosa che non va, non saprei che altro consigliarti sennò

Come potrei seguire i LOG? Ci sono dei buoni software che mi consigli?

Messaggio unito automaticamente: 4 Agosto 2018

Sono scettico su questo punto: se il PC "ostile" si collega alla tua LAN (Ethernet o WIFI) attraverso il tuo router allora il MAC Address della "sua" scheda di rete DEVE apparire nella lista dei dispositivi connessi, in un quache punto del Pannello di Controllo del tuo router.
Il router per poter comunicare correttamente con le schede di rete (Ethernet o WIFI) a lui connesse DEVE conoscerne i relativi MAC Address.
Ho messo tra virgolette "sua" perchè il MAC address in questione potrebbe apparire sotto tre diverse vesti:

- potrebbe essere il vero MAC address della scheda di rete del PC "ostile" (il tuo attaccante è un babbo)
- potrebbe essere un MAC address random assegnato alla scheda di rete del PC "ostile" (il tuo attaccante è previdente)
- potrebbe essere il MAC address di una scheda di rete di un tuo PC / dispositivo (*) assegnato alla scheda di rete del PC "ostile" (il tuo attaccante è furbo)

Hai una lista di tutti i tuoi MAC address con cui effettuare una eventuale comparazione?


Sul router di Fastweb hai disabilitato il WPS?


(*) nel caso non lo sapessi, per ottenere una lista dei MAC address delle tue schede di rete WIFI non occorre bucare la tua rete WIFI. Basta qualche sessione di sniffing con la suite aircrack-ng. E' per questo che bannare i MAC address nel Pannello di Controllo del router non serve praticamente a nulla.

Grazie della tua risposta, tra tutti sei stato il più completo e preciso!
Io ho motivo di credere che stia usando il MAC Address di uno dei nostri dispositivi in casa... Come posso procedere per fermarlo?

Comunque sì, il WPS è disabilitato.

Messaggio unito automaticamente: 4 Agosto 2018

da telefono scarica e usa Fing e poi metti qui i risultati.

Comunque se dovessi trovare un suo dispositivo connesso alla tua rete potresti fare semplice denuncia alle forze dell' ordine poichè si tratterebbe comunque di una violazione di sistema informatico.

Probabilmente scambia l'indirizzo MAC dei suoi dispositivi con i nostri... Grazie del consiglio comunque, Fing l'ho installato proprio per quel motivo ma ahimè non mi è poi così utile...

Messaggio unito automaticamente: 4 Agosto 2018

Senza usare un EvilTwin? Senza attaccare il WPS? Con un attacco brute force su una password non banale ... uhm ... no.


Sono scettico anche su questo punto.

... ma se mi spieghi come fai sono pronto a ricredermi.

Non usa un Evil Twin perché in casa (visto che siamo allarmati per aver perso dei soldi) i miei cari mi avrebbero avvertito se avessero notato qualcosa di strano...

Vorrei farti un esempio di una mia vecchia password:

KX8qa6zIq50p2jrUwEX0tebracrudr

Oramai ho rotto le palle ai miei che ogni volta devono stare a mettere password di questo tipo ogni giorno (per non parlare del SSID con broadcast disattivato).

 

[OPOX666]

Non è proprio così banale...Non stiamo parlando di un film e Kali Linux non troverà mai da solo una password di 25 caratteri a meno di non aver già avuto accesso a qualche PC all'interno della rete e quindi sei infetto da keylogger e roba simile.
Potrebbe essere che, banalmente, abbia le credenziali di accesso al router e che tu abbia la porta di gestione remota del router aperta. In quel caso è molto più semplice recuperare la password del Wifi, indipendentemente dalla sua lunghezza.


In alternativa, puoi spegnere per qualche giorno il Wifi del router e verificare se ci sono ancora anomalie.
Altra cosa che puoi fare è utilizzare un software per la scansione della rete, tipo >IPSCAN< in modo da avere tutta la lista dei dispositivi collegati in quel momento. Se noti qualcosa che non va puoi, come già suggerito, denunciare per accesso abusivo a Sistema Informatico.

Grazie mille per le risposta! Come posso verificare che non abbia le credenziali di accesso del router? A me risulta che per poter entrare nel "Gestione modem" serva prima essere collegati alla rete... Mi è poco chiaro questo passaggio...

Messaggio unito automaticamente: 4 Agosto 2018

oddio "scambia il nostro indirizzo mac con i suoi"...mica siamo al mercato,massimo riesce a camuffarli con i vostri ma dovrebbe avere l'accesso alla rete(cosa che ha)

Quindi lui dovrebbe prima entrare nella rete e solo successivamente potrebbe conoscere i nostri MAC Address e di conseguenza ""cammuffare"" i suoi dispositivi con i nostri MAC Address... Dico bene?

Messaggio unito automaticamente: 4 Agosto 2018

Non hai il pin wps abilitato vero ? perchè con quello riesce a risalire alla pwd anche se la cambi. E come ti hanno detto, controlla di non aver porte aperte sul router. Permetti l'accesso solo ai tuoi mac Comunque seriamente c'è qualcosa di impossibile in questa storia, hai sniffato il traffico della rete? hai disabilitato il WOW FI ( visto che hai fastweb)? iniziati a mettere un logger sulla rete per salvarti tutte le connessioni dei dispositivi collegati. Se fallisci in tutto questo, allora devi informarti per capire quando compare il simbolo della smart tv su youtube.. magari è qualche bug dell'applicazione e confonde un dispositivo tuo per una smart tv, per i rallentamenti potrebbe essere una normale interferenza magnetica, controlla di non essere sovrapposto con un altro canale

No, lo riepeto: il WPS è stato disattivato. Come faccio a verificare di non avere porte aperte?

Io potrei provare a permettere solo ai miei dispositivi di connmettersi, è un'ottima idea però se lui camuffasse il suo MAC Address con uno dei nostri dispositivi riuscirebbe comunque ad entrare... Dico bene?

Proverò a disattivare il WOW Fi (dubito che però usi quello per collegarsi, perché necessita di un account creato da Fastweb nel momento in cui si firma il contratto e anche perché, almeno dal mio punto di vista, è abbastanza lento e instabile).

Che logger mi consiglieresti? Io sono disposto ad installarlo, perché negli scorsi giorni è successa un'altra cosa ""brutta""... Ci siamo rotti e siamo andati alla Polizia Postale. Ci hanno consigliato di usare una VPN e di collegarci solo attraverso siti con protocollo https (consigli banali, ma sempre validi anche per ladri e mascalzoni esterni alla nostra rete).

Per quanto riguarda il discorso della Smart TV io sono abbastanza sicuro che stia usando invece un Google Chromecast.

Grazie, spero continuerai con i tuoi interventi

 

[OPOX666]

Guarda che se il tuo vicino trova la password anche se la cambi ogni giorno e la generi random da siti internet quasi sicuramente usa un atacco evil Twin

Sì ma se l'Evil Twin consiste nel presentare sul browser una finta pagina di gestione del modem me ne sarei accorto e avrei fatto qualcosa!

Messaggio unito automaticamente: 4 Agosto 2018

mi è venuta in mente una cosa.. mica hai un IP statico? perché magari riesce a collegarsi alla pagina di login del router con le credenziali di default e a leggere la la password in chiaro. E si è segnato il tuo ip quando magari avevi un password del router debole ed era entrato. Ora cerco un log e poi aggiorno questa risposta quando lo trovo. Ma poi che consigli del cavolo ti da la polizia? alla "ormai quei soldi li ha persi". Per verificare di non avere porte aperte prova con qualche app per android come "Network scanner", lo apri opzioni, tool, port scanner, metti l'indirizzo 192.168.1.1 e le porte da 1 a 10000

Sì, può darsi... Appena abbiamo fatto il contratto e Fastweb ha attivato la rete abbiamo usato per mesi interi il nome "Admin" e la password "Admin" (cioè le credenziali di default del modem/router)... Se il nostro IP è statico (come faccio a verificarlo?) e lui dovesse averlo allora il tuo discorso è perfettamente logico! Intanto verifico di non avere porte aperte con il tuo sistema, grazie ancora ti tengo aggiornato!

 

[OPOX666]

Si ok però non può essere neanche che cracki la password di 25 caratteri generati casualmente in una giornata

Come mai ciò non sarebbe possibile? Nemmeno con Kali Linux?

 

[OPOX666]

Hai controllato il router se hai impostato l’ ip statico?? Perché come diceva sjack9091 se hai l ip statico e le credenziali di accesso del router di default anche se cambi la password ogni ora lui la trovera sempre scritta in chiaro al Interno del menu del router !

No, a brevissimo farò un test. Comunque so che la password di gestione del modem la cambio spesso (anche se meno di quella della rete), inoltre gli IP statici non sono diffusi per un'utenza domestica...

 

[OPOX666]

è un caso raro ma può accadere, và bene la 192.168.1.1 , ma dubito ci sia qualche falla su quel router che è nuovo.. troverai qualche porta aperta perchè viene aggiornato tramite telegestione. Comunque mettiti kali su una macchina virtuale e scansiona la rete per vedere se ci sono due dispositivi con lo stesso mac.. Poi io ho finito le idee ahahah

Ottimo, quindi tramite Kali è possibile vedere se ci sono due dispositivi connessi con lo stesso indirizzo MAC? Ok, ora ho almeno una possibile pista su cui lavorare, grazie ancora! Ti tengo aggiornato!

 

[OPOX666]

Io non ho ancora capito come abbia potuto prelevare 500€ dal conto della madre di OPOX666 senza lasciare tracce....anche a me mi sembra strana come storia !!

Allora ti rispiego nel caso in cui ti fosse poco chiaro (io comunque ti consiglio di rileggere il primo messaggio della discussione, quello dove ci sono io che introduco al problema). Io e la mia famiglia abbiamo oramai moltissimi motivi e prove che inducono alla conclusione che sia presente nella nostra rete un intruso, il quale opera in maniera quasi costante per creare disturbi e problematiche varie. Ciò sarebbe giustificato dal fatto che nella nostra "vita vera", abbiamo avuto vari problemi con questa figura (e comunque, no, non intendo di certo illustrare a te certi problemi, perché comunque sia resteresti estraneo alla faccenda e non potresti mai capire tutte le sfaccettature che esistono nei litigi tra persone che non conosci). Ritornando al succo della discussione ti ripeto: il fatto che siano stati rubati questi soldi ciò ci fa sospettare di "lui" in quanto avendo accesso alla nostra rete potrebbe tranquillamente monitorare il flusso di dati che avviene e, nel caso in cui questa carta (PostePay) fosse stata usata precedentemente su un account poco sicuro o all'interno di un sito web senza protocollo https, accedere ai dati e dunque potenzialmente farne anche uso.

Messaggio unito automaticamente: 6 Agosto 2018

una domanda ma cosa sai di informatica?

Non so come si possano quantizzare le conoscenze di un individuo, perciò ti dico solo che la mia preparazione è paragonabile a quella di un utente medio. Comunque non vorrei che questa discussione finisse con lo slittare verso argomenti poco legati alla Sicurezza Informatica, quali, ad esempio, la mia ignoranza o l'omicidio premeditato.

Messaggio unito automaticamente: 6 Agosto 2018

Comunque un' altra mia ipotesi grida al troll! In ogni caso è un thread interessante.

Guarda, se ti fa stare tranquillo tutto quello che dico è successo veramente. Non è mia intenzione trollare, sono venuto qui per chiedere una mano siccome sono decisamente ignorante in materia di Sicurezza Informatica. Ti invito a portare un po' di pazienza.

Messaggio unito automaticamente: 6 Agosto 2018

racconta che sono curioso

Curioso di cosa? Rileggiti il messaggio, credo che tu non abbia capito bene.

Messaggio unito automaticamente: 6 Agosto 2018

Fossi in te, inizierei ad informarmi su come raccogliere le prove per incastrarlo dato che è reato, solamente che per quanto io sappia, non si puo fare soprattuto con MAC cambiato, ma nulla è certo.

Poi, non me ne intendo e non so nemmeno come funzioni, ma facendo una ricerca su alcune parole chiavi del tuo modem, ho trovato un exploit: https://www.exploit-db.com/exploits/44606/.
Non sono, poi, sicuro se si possa riferire al tuo modem specifico.

Quindi, oltre ad informarti a come trovare le prove (puoi chiedere come fare anche alle istituzioni a cui lo andrai a denunciare, ma è una cosa un po' remota), ti consiglio di informarti su questo exploit e se dovesse riferirsi proprio al caso tuo, troverei un modo per fixare il bug, probabilmente con aggiornamento firmware.

Perfetto, grazie mille!

 

[OPOX666]

Denuncialo alla postale....

Mi dai tu le prove?

 

[OPOX666]

Ancora una volta, non facciamo confusione tra l'IP pubblico e l'IP privato.

Se l'IP pubblico è statico non può renderlo dinamico in quanto è assegnato dal suo ISP e non decide lui (al massimo deve chiamare il suo provider per vedere se possono rendeglielo dinamico).

Se invece è l'indirizzo IP privato ad essere statico, non ha alcun senso rendere il suo IP dinamico in quanto dubito fortemente che il vicino sfrutti il suo pc. Se lo ha infettato una volta non occorre infettarlo di continuo.

Se si parla di indirizzo IP privato del router, per forza di cose deve essere fisso.

Il mio indiritto IP pubblico è statico. Ora ne sono davvero certo. Mi conviene contattare Fastweb per farmelo cambiare con uno dinamico, vero? Io non ho ancora capito come lui possa sfruttare il fatto che il mio IP pubblico sia statico per entrare però...

Messaggio unito automaticamente: 7 Agosto 2018

ho fatto una battuta.

Bella questa battuta, è tua???

 

[OPOX666]

Perchè qual'ora tu avessi aperto la porta di gestione remota del router (sempre ammesso che il tuo router ce l'abbia come opzione) e avendo IP statico, è molto semplice collegarsi ogni volta al tuo router, entrare nel pannello di configurazione, e vedere in chiaro la password del wifi.

Se però non hai la porta aperta per la gestione remota allora, che tu abbia indirizzo IP statico o dinamico, ad un attaccante poco importa perchè qual'ora sia riuscito ad infettare una macchina all'interno della tua rete LAN, il malware applica una reverse connection ovvero sarà la tua macchina infetta a contattare il server principale (macchina attaccante) e a quel punto non interessa più che tu abbia l'indirizzo IP statico/dinamico perchè non viene direttamente utilizzato.

Cacchio, questa cosa sarebbe molto seria se fosse avvenuta...

 

[OPOX666]

ci fa molto piacere e grazie per i complimenti
p.s se vuoi imparare l'hacking fra 15 giorni metto online i 6gb di video e libri che ho promesso.

Sarebbe fantastico! Dove metterai questi video e libri?

 

[OPOX666]

Il topic è interessante, può sempre scrivere qualcuno che magari ne sa qualcosa più di noi. Quindi se sei comunque interessato a chiudere la discussione, inviami un messaggio di conferma e procederò alla chiusura

Se per voi moderatori ciò non costituisce alcun problema, allora per me va bene! Che la discussione resti aperta allora! Sono assolutamente d'accordo sul fatto che questo topic possa essere di aiuto a molti

 

[OPOX666]

@OPOX666

Sei riuscito ad ottenere una lista dei MAC address attivi nel momento in cui sei ragionevolmente sicuro che l'attacco è in corso?

Sì, i MAC Address li ho. Probabilmente camuffa i suoi MAC Address con i nostri.