lunedì 15 marzo 2010

Sniffa di qua, sniffa di la'

****************************************************
Questa e' una "storia ricordo" accaduta molti anni fa...
****************************************************

Pare una giornata molto tranquilla finche' non mi arriva un messaggio su ICQ di un conoscente che, per l'intelletto dimostrato, sara' chiamato utOnto. Dopo uno scambio di battute e saluti si arriva al nocciolo della questione.

utOnto: Sai, ho il server di posta dell'azienda intasato di spam. Non so da quale client arrivano le mail, ma penso sia infetto da un virus e vorrei montare uno sniffer per capirlo. Mi servirebbe un consiglio su cosa usare.
Io: Beh facile. Puoi usare ettercap, ethereal o tcpdump (nota: parliamo del 2007). Ce ne sono anche altri ma direi che questi vanno piu' che bene.

Sto per chiudere la finestra pensando di avere risolto il problema in due secondi quando mi arriva questo messaggio.

utOnto: Eh sai, e' un casino qua con le mail che arrivano piene di spam da fuori e non sappiamo chi e'.
Io: No aspetta, le mail di spam arrivano dall'esterno della LAN?
utOnto: Si.
Io: E a cosa ti serve uno sniffer scusa? Non e' meglio se metti su un filtro antispam? Potresti montarti...
utOnto: No, preferisco uno sniffer cosi' almeno capisco da chi arrivano.

Sapevo che dovevo chiudere qui la conversazione e mettere utOnto in blacklist, ma imbecille come sono ho proseguito.

Io: Scusa, non per insistere, ma se proprio vuoi sapere chi e', anche se non ne capisco il motivo, non e' meglio che ti guardi gli headers della mail sperando che non siano stati forgiati su misura?
utOnto: No perche' qua noi qui siamo al passo con i tempi... blahblahblah... informaticamente evoluti... yaddayaddayadda...
Io: Si ok, serve altro?
utOnto: Si, mettiamo il caso che invece il client sia dentro la nostra rete locale...
Io: E non potevi dirmelo prima?
utOnto: Ma no, e' come esempio!
Io: Si, certo. Comunque in questo caso perche' non vai sul tuo bel server di posta e ti guardi da quale client arrivano le mail?
utOnto: Non posso.
Io: E si puo' sapere perche' non puoi andare sul TUO server?
utOnto: E' bloccato.
Io: Dovresti definire meglio cosa intendi per "bloccato" e comunque, tanto per stare al gioco, sbloccarlo fa brutto?
utOnto: Non posso.
Io: Senti mi dici tutto subito o ti devo tirare fuori le parole di bocca con le tenaglie? E guarda che non sto parlando in senso figurato.
utOnto: Non ho la password di root.

Evito di commentare la cosa e taglio corto.

Io: Ok, sniffa tutto quello che vuoi e vedi chi ti genera pattume nella LAN. Ciao.

E chiudo la finestra.

Passano 20 secondi scarsi...

utOnto: Ehi ma qua non riesco a sniffare niente!
Io: (Thor, ti prego, fulminalo) Se non sniffi niente mi vengono in mente due ipotesi, dando per scontato (orrore!) che il programma lo stai utilizzando correttamente. La prima e' che il pc che genera spam e' spento al momento e la seconda e' che non hai nessun pc che genera spam sulla tua LAN.

Si, lo so che c'e' anche la terza opzione ovvero "sei un'idiota" ma evito di dirla.

utOnto: No, non hai capito.

Ovvio.

utOnto: Posso sniffare solo quello che passa dal mio IP e non dal resto della LAN.
Io: Non e' che la vostra rete usa degli switch vero?
utOnto: Si, perche'?
Io: Niente. Tu continua a sniffare che prima o poi qualcosa becchi.

C'avra' creduto?

Altra nota: Si, lo so che esiste l'Arp Poisoning, ma voi lo spieghereste davvero a un utOnto?

4 commenti:

  1. Spiegare come fare il mitm a uno che non ha neanche la password di root?
    Allora tanto vale che prendo un incudine, un martello e i marroni e colpisco forte....

    Ma questo qua che titolo aveva nell'azienda dove lavorava? Era quello che "capiva" di computer?
    (Ma soprattutto, prima di chiedere a te, non poteva chiedere a chi gli amministra la rete, sempre che esistesse un tale soggetto?)

    RispondiElimina
  2. Purtroppo lui era il titolare (si, titolare e senza password di root) ed era anche quello che si occupava dell'informatica interna all'azienda perché i suoi tecnici li voleva impegnati solo con i clienti. Non aggiungo altro. :D

    RispondiElimina
  3. Si vede che i suoi tecnici almeno li sapeva scegliere (e infatti hanno cambiato la pwd di root e se la sono tenuta stretta secondo me :D )
    Comunque anche il mio titolare NON ha la pwd di root (e se me la dovesse chiedere io risponderei come il buon Davide insegna: "Tu vuoi COSA? Per fare CHE?").
    Ma poi è andata avanti in qualche maniera sta storia o il tipo non c'è arrivato che su una rete switchata si sniffa solo il proprio traffico (a meno di pratiche barbine ovviamente)?

    RispondiElimina
  4. Io non sono stato più ricontattato quindi mi sono ben guardato dal richiamarlo. :)
    Secondo me alla fine si è arreso ma quale sia stato il destino di quel "mare di spam" non te lo so proprio dire. :D
    L'unica curiosità che mi vorrei davvero togliere è sapere quanto tempo ci ha messo per capire che non poteva sniffare il traffico di rete dal suo pc (dubito che sapesse fare il mirror di una porta dello switch :))

    RispondiElimina

Nota. Solo i membri di questo blog possono postare un commento.