Archivi tag: linux blog in italiano

Penetretion Tester Information Gathering

Information-Gathering

Information-Gathering

Una “nuova” tipologia di specialisti si sta gia’ facendo sempre piu’ strada all’interno delle aziende e delle case dei privati, interessati ad aumentare il loro livello di sicurezza, i Penetration Tester (PT).

Ogni PT deve aver ben chiaro e seguire una serie di attivita’ per raggiungere lo scopo finale.
Le “FASI” del PT sono le seguenti :

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access;
  • Reporting;

Oggi, in questo primo articolo sul PT inizieremo a spiegare i concetti dell’ Information Gathering.

L’Information Gathering o raccolta delle informazioni permette all’attaccante di acquisire dati utili, dall’architettura della piattaforma, ai servizi offerti, ecc. L’analisi di questi dati porterà alla scelta di come condurre il passo successivo.

Analisi di un caso reale

Ci troviamo ad operare da remoto per verificare il livello di sicurezza di una grande azienda. L’analisi viene svolta, a fronte di un’ accordo con il committente (non dimenticate mai l’importanza di un contratto ben dettagliato e firmato dal committente per evitare future noie legali), da parte del PT. In base alla quantità d’ informazioni disponibili s’ identificano diversi scenari. Questa tipologia di scenario viene definita “Black Box” poiche’ non presuppone alcuna conoscenza dell’infrastruttura oggetto di analisi, tutte le informazioni dovranno quindi essere ricavate prima di iniziare i vari test.

Per diversificarci questa volta ci affideremo non alla solita Kali Linux ma ad un’altro sistema improntato al PT come BackBox Linux, una distribuzione orientata al PT. Il vantaggio derivante dall’uso di uno strumento simile è nell’avere un sistema operativo altrettanto completo di tools, flessibile ed ottimizzato per condurre vari test di sicurezza.

Information Gathering

L’attività di PT inizia come gia’ detto con la raccolta delle informazioni, partendo dall’url del sito aziendale del committente è possibile risalire all’indirizzo IP del server (informazione essenziale per iniziare la nostra analisi):

$ host www.nomesito.it
www.nomesito.it has address 150.xxx.xxx.10

oppure

$ nslookup
set q=any
nomesito.it

o ancora un semplice #whois permette di effettuare delle query al fine di ottenere informazioni riguardo la registrazione del dominio.

$ whois www.nomesito.it

Ovviamente questi sono soltanto alcuni esempi, di tool da riga di comando ne esistono diversi (#dig, #dnsenum …) ma non e’ possibile citarli tutti, ognuno potra’ cercarsi il preferito.

Ottenuta questa informazione ci serviremo di un’ulteriore tool Maltego, è un tool sviluppato dalla società Paterva, che offre la possibilità di raccogliere informazioni tramite la consultazione di dati pubblicamente accessibili e raggrupparle,  in formato grafico. Tramite questo strumento si è in grado di raccogliere informazioni da:

  • Siti web
  • Comunicazioni web (social network, wiki, blog, …)
  • Dati pubblici (conferenze stampa, rapporti dei governi, dati demografici, …)
  • Osservazioni dirette (dati geolocalizzati, conversazioni radio, foto satellitari, …)
  • Professionisti ed accademici (simposi, conferenze, pubblicazioni scientifiche, associazioni professionali, …)

Viene utilizzata un’architettura client/server per la raccolta dei dati e per determinare le relazioni fra di essi.

Un’ulteriore ed interessantissimo tool e’ TheHarvester

TheHarvester  è utilizzato per raccogliere info su domini, indirizzi email e documenti con metadata inerenti il target della nostra ricerca. Harvester si basa su un suo algoritmo di ricerca in grado di interrogare i maggiori motori di ricerca conosciuti, facendo sì che l’attaccante non visiti direttamente il target. Dunque il target sarà ignaro delle nostre attività.
Un piccolo esempio potrebbe essere questo qui sotto ma ricordatevi di leggere sempre gli “help” per poter conoscere tutte le opzioni che si possono utilizzare.

theharvester -d miosito.it -l 500 -b all

Ultimo tool di questo articolo, non certo per importanza o per potenza sara’ Dmitry.

Dmitry (Deepmagic Information Gathering Tool), questo tool  è un whois potentissimo che lavora esclusivamente da riga di comando , è scritto in C e ha la capacità di darci su di un determinato host , tantissime informazioni , tutte raccolte ed estratte in base alle nostre richieste , effettuate tramite l’inserimento in Shell di alcune opzioni (leggete sempre l’help).

dmitry -winsepffb -o miosito.txt www.miosito.it

…come detto questo e’ solo un esempio in cui sono state unite insieme diverse opzioni ed il risultato verra’ salvato in un file .txt.

Per tutto il resto non resta che fare tanta tanta pratica……a presto !!!

GO il nuovo linguaggio web di Google

Google-GO

Google-GO new Web language

Che cosa è Go?
Go (chiamato anche GoLang) è un linguaggio di programmazione realizzato da Google. La progettazione è cominciata nel 2007. Tra gli ideatori del linguaggio ci sono anche nomi come Ken Thompson, Rob Pike, Robert Griesemer (i primi due sono stati anche tra i creatori del sistema operativo Unix). Il progetto è stato annunciato pubblicamente nel novembre 2009, e la versione 1.0 è uscita nel marzo 2012.

 

Le caratteristiche di Go
Go è un linguaggio statically-typed, significa che la verifica dei tipi di variabili è effettuata durante la compilazione (cosi come accade per C, Java, Scala e Pascal) e non durante il run-time (come accade per JavaScript, PHP, Python e Ruby).
Go soddisfa le esigenze della programmazione concorrente ed è stato progettato per ottimizzare i tempi di compilazione anche per hardware modesti. La sintassi è vicina al C eccetto per la dichiarazione dei tipi e per la mancanza di parentesi tonde nei costrutti for e if. Ha un sistema di garbage collection che si occupa autonomamente della gestione della memoria. Non include l’intercettazione di eccezioni, l’eredità dei tipi, la programmazione generica, le asserzioni e l’overloading dei metodi.

 

Go, linguaggio ideale per i webservices
Come accennato poco sopra, Go nasce come linguaggio generalista, ma negli ultimi anni di sviluppo si è affermato come linguaggio ideale per i webservices. Il motivo di questo successo si deve principalmente a tre aspetti:

  • facilità di deployment,
  • efficienza nell’uso della memoria,
  • gestione della concorrenza

Facilità di deployment
Rispetto ad altri linguaggi, Go ci permette di effettuare un server deployment estremamente semplice. Sulla macchina di produzione non è dunque necessario installare alcun webserver (Apache o Nginx), alcuna Virtual Machine (come in Java), alcun tipo di wrapper (come l’WSGI per il Python) e neppure nessuna componente del linguaggio Go.
Sara’ sufficiente copiare l’eseguibile Go e farlo girare sul server come un normale servizio.

Il file eseguibile di Go contiene gia tutto al suo interno:

  • il codice, il Go runtime,
  • il webserver,
  • eventuali libraries

Le dimensioni sono cosi’ particolarmente ridotte, in genere intorno ai 10 MB, ed i tempi di compilazione sono tra l’altro immediati, tipicamente meno di 1 secondo, ed è possibile fare cross-compilation da e per qualunque tipo di sistema operativo: Linux, Mac, Windows.

 

Efficienza nell’utilizzo della memoria
In termini di efficienza nell’utilizzo della memoria, Go è comparabile al linguaggio C, eliminando però molta della complessità tipica del C, utilizzando pattern di programmazione più solidi e intuitivi. Il garbage collector in Go è estremamente performante e, dalla versione 1.5 (oggi Maggio 2017 siamo alla versione 1.8.3) ha raggiunto una latenza molto vicina allo zero.

Comparata a quella di Java, l’impronta in memoria di Go è una frazione minuscola. Questo permette alle applicazioni scritte in Go di essere, oltre che semplici da scrivere, anche estremamente performanti, e di richiedere risorse hardware molto ridotte, ottimo ad esempio per ambienti su Docker.

 

Concurrency
Il fiore all’occhiello di Go è necessariamente l’estrema facilità con cui si possono scrivere applicazioni che utilizzano codice concorrente. Infatti, oltre ad essere sintatticamente semplici da scrivere, sono anche estremamente performanti. Nessun’ altro linguaggio di programmazione si avvicina a Go in questo aspetto.

La concorrenza in Go si può implementare in due modi: tramite i canali, che si ispirano alle teorie CSP (Communicating Sequential Processes) di C. Hoare, e tramite le goroutines, funzioni che possono essere eseguite in modo concorrente anche nell’ordine di molte migliaia.

Go inoltre offre uno strumento molto efficace per identificare eventuali data-race, ossia le situazioni in cui due
go-routine accedono alla stessa variabile in modo concorrente e almeno uno dei due accessi è in scrittura.

Altra novità molto interessante: Go è uno dei linguaggi ufficiali per la programmazione su Google App Engine – il servizio PaaS (Platform-as-a-Service) del Cloud di Big G – oltre a Python, PHP e Java. Proprio in questi giorni è stato annunciato che il supporto per Go sulla piattaforma non è più in fase beta ma risulta disponibile tra i servizi GA (Generally Available).

 

Non resta che provare ad adattarlo alle nostre esigenze !.

 

 

Come vedere tutto quello che hai cercato su Google

Google My Activity

Welcome to Google My Activity

Noi magari no ma Google ha una memoria davvero di ferro, infatti si ricorda tutto, ma proprio tutto quello che avete mai cercato mentre stavate usando il vostro account Google. Infatti, ogni ricerca fatta su Google lascia una traccia, così come rimane memoria dei luoghi che cerchiamo su Maps o dei video che guardiamo su YouTube.

Da qualche tempo però è possibile visualizzare e (volendo) cancellare tutte le attività svolte sul motore di ricerca e sui siti di sua proprietà (come ad esempio YouTube) attraverso My Activity, un portale costruito come la timeline di un social network in cui ritrovare tutto quello che è stato fatto attraverso il proprio account.

L’idea nasce per dare agli utenti la possibilità di conoscere quali dati vengono memorizzati da Big G e di poter gestire autonomamente la privacy della propria vita virtuale.

Pero’ la cosa potrebbe risultare imbarazzante se qualcuno vi rubasse l’account o se lasciaste incustodito il vostro computer o altro dispositivo digitale su cui usate il vostro account Google. L’imbarazzo potrebbe capitare a tutti, sia perché a Google oramai chiediamo qualunque cosa, senza pudori, sia perché una ricerca innocente potrebbe comunque causare equivoci.

Per consultare la vostra cronologia delle ricerche (che non è pubblica ma è accessibile solo a chi sa la password del vostro account Google) potete arrivarci collegandovi a history.google.com/history, che vi dirottera’ a myactivity.google.com/myactivity. Qui scoprirete un’ universo di dettagli cronologici non solo sulle vostre ricerche, ma anche sulle vostre attività su computer e telefonini associati al vostro account Google, comprese le app che avete usato e gli orari nei quali le avete usate.
Se avete usato un dispositivo mobile provvisto di geo-localizzazione abilitata, ci sara’ anche l’indicazione di dove eravate quando avete fatto la ricerca. Potete anche esplorare la cronologia usando un filtro per data, scegliendo per esempio, e poi selezionando, una data massima e una minima.

Se avete un account Google da molti anni, andare a sfogliare le informazioni risalenti a molto tempo fa richiedera’ un bel po’ di clic sul calendario del filtro, oppure per selezionare una data specifica si può usare l’URL seguente:

https://myactivity.google.com/myactivity?utm_campaign=continue&authuser=0&max=numero

dove numero è una sequenza di 16 cifre di cui sembrano essere significative solo le prime cinque; qualunque valore immesso nelle cifre successive non cambia la data.

Cosa colleziona Google su di noi?
Tre tipologie principali di dati. La prima riguarda le nostre attività: ricerche, siti web visitati, video guardati, annunci pubblicitari visualizzati, posizione su GoogleMaps e dati relativi a cookie e indirizzo Ip. Le seconde sono definite da Google “creazioni”, ovvero ciò che realizziamo utilizzando i suoi servizi: email inviate, contatti aggiunti, foto e video caricati, documenti e presentazioni ecc. E, in ultimo, gli “elementi personali” come nome, indirizzo email e password, data di nascita e le altre caratteristiche personali che ci contraddistinguono. Tra queste My Activity si focalizza principalmente sulla prima. E se è vero che basta impostare la navigazione anonima da browser per evitare che le aziende registrino le nostre “impronte digitali”, è altrettanto vero che impostando il profilo Google correttamente è possibile accedere da qualunque Pc o app senza più preoccupazioni.

Se volete eliminare l’intera cronologia, usate questo link: myactivity.google.com/delete-activity. Alla voce Elimina per data, scegliete Sempre e poi cliccate su Elimina: avrete un’ultima occasione per decidere se procedere con l’eliminazione o annullarla. Se cliccate di nuovo su Elimina, la cancellazione della vostra cronologia sarà definitiva e irrevocabile.

Per scaricare una copia completa della vostra cronologia di ricerca (magari prima di eliminarla dalla memoria di Google), potete andare a myactivity.google.com/more-activity e cliccare su Crea archivio nella sezione Scarica le ricerche precedenti: riceverete una mail che vi avviserà quando la cronologia sarà pronta da scaricare.

Per impedire che Google accumuli di nuovo queste informazioni sulle vostre attività, potete andare a myaccount.google.com/activitycontrols e disattivare Attività web e app.

Whatsapp – invia immagini nascoste

WhatsAppTipps & Tricks

WhatsAppTipps & Tricks

In uno degli ultimi articoli abbiamo affrontato il tema della Steganografia, che ci permette di nascondere documenti importanti dentro ad immagini cosi da celarne la presenza in bella vista, ma potremmo anche usare un’opzione diversa, magari questa volta, per divertirci un pochino; ad esempio ti piacerebbe fare uno scherzo e nascondere un’ immagine dentro un’altra per poi inviarla tramite Whatsapp? Se la tua risposta e’ Sì allora continua a leggere questo articolo.
Pochi sanno che oggi Whatsapp è ricca di Tips & Tricks molto utili e veramente interessanti; tra le tante, vi è sicuramente quella di essere in grado di nascondere un’ immagine all’interno di un’altra per far sì che quando un amico clicca sull’immagine in evidenza gli apparirà l’immagine nascosta.

Questo fantastico trucchetto è applicabile ad ogni tipologia di immagine/foto ed è consentito grazie a due ottime applicazioni gratuite per iOS e Android. Basteranno pochi e facilissimi passaggi:

Requisiti:

Procedimento:

  • Scaricare l’app sopra proposta e installarla sul device
  • Aprire l’applicazione e seguire l’interfaccia intuitiva per nascondere l’immagine all’interno di un’altra
  • Selezionare “Insert your true image” per scegliere l’immagine che volete far vedere alla “vittima” dello scherzo
  • Selezionare “Insert your fake image” per scegliere l’immagine che volete nascondere all’interno della prima
  • Selezionare “Do magic” per nascondere l’immagine “falsa” dentro quella “vera”, combinando così in un’unica foto le immagini selezionate; tutto fatto!

Adesso potrai inviare l’immagine creata ad hoc ai tuoi amici per compiere divertentissimi scherzi, o altro !!!

Se questa prima opzione non vi e’ bastata vi proponiamo un’altro tool/software il cui nome e’:

Fhumb
Cos’è un Fhumb? E’ anch’esso un tool che vi permettera’ d’ inviare foto tramite WhatsApp, permettendovi di “nascondere” una foto dentro un’altra. Vediamo come funziona questa applicazione.

FhumbApp vi permette di scegliere due immagini: una “finta” e una “vera”. Quando le invierete tramite WhatsApp i vostri amici visualizzeranno una miniatura dell’immagine FINTA. Quando i vostri amici cliccheranno su “mostra” per visualizzare l’immagine a schermo intero l’immagine cambierà.. mostrando l’immagine VERA del vostro scherzo.

Potrete utilizzare FhumbApp in modo molto originale e creativo, ad esempio:

  • Per inviare un messaggio d’amore o di auguri veramente originali
  • Per inviare una foto sexy che invece si trasforma in qualcos’altro e viceversa…
  • Per inviare una foto attesa dal vostro amico che invece si trasformerà in una cosa che non sopporta
  • Per inviare dei messaggi “speciali”
  • Per fare scherzi particolari

Lasciatevi ispirare dagli esempi che troverete in FhumbApp già pronti per voi e completamente personalizzabili. FhumbApp è in continua evoluzione. Troverete più di venti fhumb originali già pronte per essere inviate ai vostri amici. Scegliete le vostre immagini da inviare utilizzando la vostra galleria fotografica o scattane di nuove con la fotocamera. Memorizzate le vostre fhumb migliori e inviatele quando volete e quante volte volete.
Al primo avvio verrà richiesta la registrazione inserendo il proprio numero di telefono. FhumbApp vuole tutelare il più possibile la privacy dell’utente: l’attivazione del servizio è necessaria per assicurare che le Fhumb create da FhumbApp siano inviate al vostro dispositivo. Una volta ricevute, potrete inviarle a chi volete.

 

Buon divertimento

Nascondi i tuoi segreti – Steganografia

Steganografia - Trova il Codice

Steganografia – Trova il Codice

La steganografia è l’arte e la scienza di scrivere messaggi nascosti in modo che nessuno, a parte il mittente e il destinatario, sospettino l’esistenza del messaggio, una forma di sicurezza attraverso l’occultamento in bella vista di cio’ che vogliamo non venga letto.

Il principio della steganografia

Nascondere dati all’interno di altri in modo che risultino nascosti è il principio della steganografia, una tecnica molto antica che si prefigge l’obiettivo di nascondere dati nella comunicazione tra due o più interlocutori.

Differenza tra steganografia e crittografia

La differenza tra queste due tecniche di sicurezza è importante. Usato per un messaggio, la crittografia si occupa di nasconderne il contenuto; la steganografia invece si occupa di nasconderne l’esistenza ed è quindi considerata una misura ulteriore soprattutto nei casi in cui la sola crittografia possa essere considerata non sufficiente.

Qualche ulteriore dettaglio lo si trova su wikipedia:
http://it.wikipedia.org/wiki/Steganografia

invece, per un approfondimento molto tecnico sulla steganografia si veda il seguente link:
http://www.dia.unisa.it/~ads/corso-security/www/CORSO-0001/Steganografia.htm

 

A cosa mi serve la steganografia

La steganografia consente di tenere lontano da occhi indiscreti contenuti importanti o dati sensibili ed è utilizzabile da coloro che pretendono un grado più elevato di privacy dei dati scambiati o condivisi con terzi.

Ad esempio, se ci pensate, inviare un file criptografato potrebbe mettere subito in allarme un malintenzionato perchè è comunque un file visibile cosi come è visibile che si tratta di un file cifrato quindi fa subito pensare che contenga segreti da rubare.
Nascondere invece un insieme di files dentro una sola immagine non fa scattare nessun allarme perchè ad occhio nudo non si vede che una banale normalissima immagine.

In una ipotetica discussione con scambio di files importanti, solo gli autorizzati e coloro che sono al corrente dell’occultamento operato nonchè solo coloro che dispongono della opportuna password potranno visualizzare i contenuti protetti.

Il concetto su cui si basa la steganografia dunque è racchiuso nel suo stesso nome che deriva dai termini greci stèganos (“nascosto”) e gràfein (“scrittura”): questa tecnica si pone di fornire un certo livello di sicurezza mediante segretezza.
I software steganografici più validi pero’ non si limitano semplicte a nascondere il messaggio da proteggere all’interno di una certa tipologia di file ma aggiungono una difesa in più, data dall’uso della crittografia sul testo in chiaro.

E ora diamo uno sguardo a tre programmi open source per Linux , ed uno specifico per Windows, che è possibile utilizzare per giocare con questa metodologia di scambio informazioni: Steghide & Outguess che sono completamente open ed uno con sorgenti chiusi Steg, mentre il tool per sistemi Windows si chiama OpenPuff.

Steghide
Steghide è un programma di steganografia che è in grado di nascondere i dati in vari tipi di immagine e file audio. I colori campione e le frequenze non vengono modificate rendendo così il file resistente in caso di test statistici.

Caratteristiche :

  • compressione di dati incorporati
  • crittografia dei dati incorporati
  • incorporamento di un checksum per verificare l’integrità dei dati estratti
  • supporto per JPEG, BMP, WAV e AU file
  • L’ultima versione di questo software è 10 anni, quindi non è esattamente somethign nuovo, ma le notizie teh buona è che si dovrebbe trovare nella repositoy di qualsiasi distribuzione, in modo da installare con il vostro gestore di pacchetti come yum, apt o emerge.

Uso base
Prima di iniziare assicuratevi di avere un immagine adatta per nascondere le informazioni in essa e le informazioni che si desidera nascondere in un file .txt. In questo esempio io ho i file di esempio, di nome myimage.jpg e mysecret.txt nella mia cartella home. Dopo che avro’ installato Steghide posso aprire un terminale e digitare:

Nascondere testo in immagini:

steghide embed -ef mysecret.txt -cf myimage.jpg

Questo chiederà di inserire una passphrase due volte.
Oppure, nel caso in cui non si desideri modificare l’immagine originale è possibile utilizzare:

steghide embed -ef mysecret.txt -cf myimage.jpg -sf myNEWimage.jpg

E per estrarre le informazioni dall’immagine è possibile utilizzare:

steghide extract -sf myimage.jpg

Questo comando estrarrà il file txt nella directory in cui è stato eseguito il programma.

Come ultima cosa è importante notare che le immagini o i file audio possono contenere un numero massimo determinato di kb di informazioni nascoste e per capire di quanti kb dispone una determinata immagine o file audio basta dare il comando:

steghide info myimage.jpg

e si riceverà un output simile a questo:

steghide info myimage.jpg

“myimage.jpg”:
format: jpeg
capacity: 3.5 KB
Try to get information about embedded data? (y/n)

Outguess
OutGuess è uno strumento steganografico universale che consente l’inserimento di informazioni nascoste nei bit ridondanti di sorgenti di dati. La natura della sorgente dei dati è irrilevante per OutGuess. Il programma si basa sui gestori di dati specifici che estraggono i bit ridondanti e li scrivono di nuovo dopo la modifica.

Outguess utilizza un oggetto generico iteratore per selezionare quali bit nei dati devono essere modificati. Un seme può essere usato per modificare il comportamento del iteratore e viene incorporato nei dati insieme con il resto del messaggio. Alterando il seme, outguess tenta di trovare una sequenza di bit che minimizza il numero di variazioni dei dati che devono essere effettuate.

Inoltre, permette di indovinare il nascondiglio di due messaggi distinti nei dati, fornendo così un plausibile livello di sicurezza. Si registra i bit che sono stati modificati in precedenza e li blocca.

Nascondere testo in immagini:
Per nascondere:
outguess -k "miapassword" -d testo.txt immagine.jpg output.jpg
Per leggere:
outguess -k "miapassword" -r output.jpg decifrato.txt

Recupero dei dati

È possibile recuperare i dati da un’immagine nel seguente modo:

outguess -k "miapassword" -r myoutput.jpg mysecret.txt

Reading out.jpg….
Extracting usable bits: 43283 bits
Steg retrieve: seed: 198, len: 141

Steg
Vuoi un software facile da usare, ma che non consente di sapere che cosa sta facendo esattamente? Allora vi consiglio di provare ad usare Steg ,un ottimo programma anche se closed source !

Steg è un software cross-platform e portatile, scritto in C ++. Utilizza tecniche di steganografia e crittografia per nascondere le informazioni all’interno di immagini compressi e non compressi. I formati di immagine supportati sono JPEG (JPG), TIFF, PNG, BMP . Con la sua semplice interfaccia grafica è possibile regolare i parametri della steganografia, valutare le immagini artefatte e usare sia la crittografia a chiave simmetrica che a chiave asimmetrica. Dati arbitrari possono essere nascosti in un file archivio compresso ed è anche possibile aggiungere un commento di testo.

Steg gira su GNU/Linux, Microsoft Windows e Apple Mac OS X, e si può scaricare direttamente dal sito ufficiale .

Il fatto di avere una interfaccia grafica e di poter supportare molti più formati dei programmi precedenti rende questo software molto più user friendly degli altri, che lavorano solo a riga di comando.

OpenPuff
OpenPuff è un software freeware sviluppato e distribuito da un programmatore italiano che, tra l’altro, ne fornisce anche il codice sorgente. L’autore Cosimo Oliboni presenta la sua applicazione utilizzando lo slogan “yet not another steganography software“, a rimarcare il fatto che OpenPuff contiene una serie di funzionalità “esclusive” che lo distinguono dai tanti programmi steganografici disponibili in Rete.

OpenPuff, innanzi tutto, è compatibile con tutte le versioni di Windows, non necessita di un account dotato di diritti amministrativi per essere avviato (non provoca neppure la comparsa degli avvisi di UAC) ed è portabile. A tal proposito, va sottolineato che dopo aver estratto il contenuto dell’archivio compresso di OpenPuff e fatto doppio clic sul suo eseguibile, il programma si avvierà immediatamente senza aggiungere alcun tipo di informazione nel registro di Windows ed astenendosi dal creare o modificare qualunque file sul disco fisso. Il software provvede ad acquisire i file indicati dall’utente, li cifra utilizzando uno degli algoritmi supportati quindi ne salva una o più porzioni in più file di vario genere (BMP, JPG, PNG, MP3, WAV, MP4, MPG, FLV, SWF, PDF,…). Questi ultimi vengono definiti “carrier files” dal momento che sono utilizzati come “contenitori” per il trasporto delle informazioni sensibili.

Anche l’uso di OpenPuff, come per Steg, e’ completamente grafico quindi sara’ di sicuro conforto per chi non e’ pratico di terminali e righe di comando. Il tool e’ sicuramente da provare quindi fateci un giro.