Solo como prueba de concepto

Hoy estoy bastante aburrido en casa, así que se me ha ocurrido preparar una pequeña prueba de concepto, que es la siguiente:

Preparar (rápidamente) un ejecutable como si fuese una actualización de flash player y ver que pasa si lo cuelgo en una web y propongo que lo descarguen.

En realidad el programa es IEpasswordDecryptor de www.SecurityExploded.com, que lo único que hace es "rebuscar" las claves que hayas introducido en tu Internet Explorer (y le hayas dado a "guardar contraseña" porque sino, no vale de nada :D).

Es el primero que se me ha ocurrido para meterlo en el pc de la gente y que al ejecutar el Flash_player.exe se asuste al verlo xD.

Esto es mas que nada para ver si la gente esta al tanto del "peligro" de las dobles extensiones (en realidad es Flash_player.exe.exe) como prueba de concepto para ver que cualquier USUARIO se come el archivo.

Lo he subido a virus total para ver si "cantaba por soleares" el archivo con este resultado (se me olvido hacerlo en su día, por eso sale la fecha de hoy) :

La cosa ha sido bien sencilla y tonta. He hecho un "portable" del IEpasswordDecryptor con el iexpress, como ya os explique aquí  y con el reshack le he cambiado el icono al .exe para que no se notase demasiado xD

Así que, ya tenia listo el archivo para subirlo y avisar a unos cuantos contactos de que había una actualización critica de Flash player y que por favor se asegurasen de instalarla.

Bien, puedo decir que de las 72 persona que avisé, en 2 días lo habían descargado 54, me habían llamado o whatsapeado 51 para decirme que vaya puta gracia xD y lo mas curioso es que en total había 124 descargas (a ver quien era si solo avise a 54 jajaja).

La verdad es que si, fue una broma algo desagradable, pero pensad que pasaría si a alguien se le ocurre hacer esto mismo con intenciones malignas.
Imaginad por un momento ese mismo programa que de alguna manera se ejecutase en segundo plano no visible para el usuario y que las claves que "recoge" las envíe a una web, una dirección de correo etc. La verdad que la broma seria bastante menos graciosa que la mía, ya que te habrían levantado de una sola tacada las claves de facebook, twitter, hotmail, gmail, etc. Esto no es tan extraño porque sucede a diario.

Quiero dejar bien claro, que en ningún momento de esta prueba he sacado absolutamente ninguna clave de nadie (mas que nada por que eran amigos o amigos de amigos) a pesar de lo que algunos piensan, que soy un loco paranoico y que me dedico a ir mirando los correos, facebooks y demás de la gente.

Dicho y aclarado este punto, espero que os haya quedado claro a todos, que jamas hay que fiarse de nada ni nadie en la red (fuera tampoco :D). Eso si, por favor, con cosas tan obvias como dobles extensiones en el archivo, un ejecutable con un icono mal recortado, el tamaño y propiedades del mismo etc son suficientes para que sospechéis y no instaléis dicho archivo.

Quiero pedir disculpas a todos los que les envíe el archivo (y los que lo descargaron porque quisieron) ya que reconozco que es un poco "macabra" la broma, pero que sepáis que solo quería ver hasta donde puede llegar el despiste humano. Quizá si el archivo y su descarga no hubiese sido recomendado por mi, no hubiese descargado nadie el archivo, o si?

Un saludo a tod@s.

Videos de la Rooted

Como no tengo animos para escribir, os dejo directamente un video de Chema Alonso y Manu "The Sur" en la Rooted de este año.

Owning “bad” guys {and mafia} with Javascript botnets


Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012] from rootedcon on Vimeo.

Mucho cuidado con estos dos, que nos tienen vigilados xD.

Suspicious activity...

Hola a tod@s.

Hoy a última hora me ha llegado un ticket para revisar un problema de un pc que estaba enviando trafico presuntamente ilegitimo.
El ticket contenía esto:

Suspicious activity from host 10.128.237.163 to 115 local destinations, mainly on SNMP protocols ports. Network scan lasted 6 minutes and 18 seconds and in that time host generated 232 events. Source port for that traffic was 1163 which is known as port for sddp protocol. Such volume of communication on that port seems to be suspicious if the source host is not a server which runs that kind of scanning periodically.

Please determine whether this kind of traffic is legitimate and inform us about that. 

Y el departamento de turno nos adjuntaba esto desde trend micro:

   
Pues bien, me he puesto manos a la obra con mi compañero.
Conectados en remoto con el equipo que estaba dando los problemas, hemos usado wireshark para ver que conexiones se estaban estableciendo y rápidamente hemos encontrado las peticiones rarunas.

Localizado esto, hemos buscado programas "sospechosos" desde "agregar o quitar programas. Si, ya se que no hay sitio peor para buscar, pero allí no tienen herramientas para usar, -de hecho el wireshark lo he instalado por mi cuenta y ya veremos si me cae bronca- allí si hay un problema de este tipo no pierden el tiempo, le pasan la imagen al equipo y se dejan de historias, ya que tienen un tiempo estimado de resolución de los casos etc.
Hoy hemos tenido suerte y como estamos en Agosto hemos decidido echarle un rato y entretenernos.

Como comentaba, revisando el panel del agregar y quitar programas, hemos encontrado un programita que era una tool-bar. Analizando con el RDG Packer Detector ha resultado ser un troyano (ahora no recuerdo el nombre). Total que hemos desinstalado la barrita y hemos estado buscando a ver si había algún proceso extraño o algún archivo más "sospechoso" sin ninguna suerte jeje.

Al final, los superiores han dicho que teníamos que pasarle la imagen, parece ser que no quieren tener problemas, lo cual entiendo, porque solo en las oficinas de Madrid son mas de 200 equipos, sin contar los 60 comerciales y las 12 sedes que hay por Europa y las 2 de EEUU...

Al menos nos hemos entretenido un rato :D

No pongo mas fotos del procesoporque con mi compañero delante no me iba a poner a sacar pantallazos y explicarle para que eran y porque no quiero tener problemas, espero que al poner las 3 imágenes no me este metiendo ya en un lió, que aquí son muy raritos.

Saludos.

Cross-Domain Request

Hola a tod@s, hoy os traigo una contribución de @badydeejay bastante interesante.
Sin más, os dejo con la entrada.

Hola bloggeros!

Hoy vamos a hablar de Cross-Domain Request. Esto consiste en hacer peticiones HTTP entre dominios y/o protocolos desde el lado del navegador, generalmente, mediante JavaScript.

Claro, todos pensamos: "bueno... con AJAX se soluciona todo, cargamos páginas externas y listo", efectivamente usamos AJAX pero hace ya tiempo se implementó una política de seguridad llamada 'same origin policy' que dice algo como:

"Te dejo acceder a contenido únicamente de tu mismo dominio y mismo protocolo, sino te jodes y te aguantas."

Tal es esto que imaginemos que accedemos desde un dominio:

http://www.ejemplo.com/

Podríamos cargar por AJAX el directorio /imagenes (http://www.ejemplo.com/imagenes)

pero no podríamos cargar el mismo index por HTTPS (https://www.ejemplo.com/).

Y por supuesto nada de intentarlo con ejemplo.es ...

Pero se hizo una pequeña excepción para aquellos que quieran dar acceso (como a desarrolladores que ofrecen documentos de datos XML o JSON ; como por ejemplo, una API). Esa excepción se basa en añadir a la respuesta HTTP el parámetro "Access-Control-Allow-Origin: *".

(Figura 1: Cabecera HTTP api.soundcloud.com de un JSON)

Pero, imaginemos que una página web externa no permite esta acción, ¿cómo podríamos obtener el contenido?

Tenemos varias formas, la primera es amenaza de bomba al creador de la página, a ver si así le mete el 'Access-Control-Allow' o la otra opción es cargar los datos sin ese parámetro y sin que se entere el dueño...

(Figura 2: Esquema)

 

Para obtenerlo, como véis en la Figura 2, se debe hacer una petición a un intermediario que cargue la página de lado del servidor.

En sí, esa es la idea fundamental, una especie de intermediario muy simple sería por ejemplo en php:

<?php echo file_get_contents($_GET["url"]); ?>

Pero lo que la mayoría utilizamos es YQL (Yahoo! Query Language), para quién no lo conozca es un lenguaje de sintaxis muy similar a SQL orientado a filtrado de datos de servicios web.

Para ello realicé una pequeña aplicación web para obtener el código fuente de cualquier página web mediante la consulta:

" SELECT * FROM html WHERE url='(url_de_la_web)' "

La aplicación se compone de un formulario dónde se introduce la URL y un botón que accione la petición; y una capa dónde se mostrará la información. Aunque la parte fundamental es la parte en el que JavaScript hace la petición YQL y te devuelve la web, la función "doXDR()".

(Figura 3: aplicacion cross-domain request)

El source de la aplicación la podréis encontrar en http://pastebin.com/vdEV5kA7

Muchas gracias por la atención!

*Quiero agradecer a @badydeejay su ayuda para modificar la plantilla de este blog, además de tomarse la molestia de escribir este post.

Gracias!!!

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( II de II)

_______________________________________________________________

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( I de II)

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( II de II)

_______________________________________________________________

Bueno, pues para terminar esta guía de imágenes con Acronis, voy a explicar como recuperar la imagen que sacamos anteriormente.

Voy a ir directamente al grano. 
El primer paso igual que en la otra entrada es arrancar el cd de Acronis.

Después hacemos click en "ejecutar la consola de gestión"

Nos vamos a "recuperar"  como vemos en la imagen

Lo siguiente es elegir donde tenemos guardada la imagen (en la entrada anterior lo metimos en un disco externo USB), para ello pinchamos en "cambiar"

Habiendo pinchado en "cambiar", nos abre una nueva pantalla en la que debemos seleccionar donde está el archivo de la imagen que guardamos anteriormente. Navegamos a "carpetas locales" y escogemos la imagen a recuperar.

Una vez seleccionado el archivo, pulsamos en "correcto" y nos devuelve a la pantalla anterior, en la que debemos seleccionar el contenido del disco. Pinchamos en "cambiar" y sale esto:

Seleccionamos los 2 discos (recordad marcar el MBR) y le damos a "correcto".

El siguiente paso es decirle donde queremos recuperar los datos - en este caso a nuestro disco duro local- y lo hacemos pinchando en "cambiar"

Nos aparece la pantalla de "destino del MBR" y debemos seleccionar nuestro disco duro y darle a correcto.

Al igual que en el paso anterior debemos recuperar la parte de los datos en nuestro disco duro, así que lo hacemos pinchando en "cambiar" y dentro de "destino del volumen" seleccionamos nuestro disco.

Le damos nuevamente a "correcto" y nos devuelve a la pantalla principal, en la que ya solo nos resta darle a "aceptar" y acto seguido comienza nuestra copia.

En el momento que termine, nos lo indicara en la pantalla (imagen anterior) con el mensaje "finalizado"  y ya podremos disfrutar de nuestro pc con todos los drivers instalados, paquete ofimático etc, todo según lo hubiésemos creado en el post anterior.

Quiero aclarar una cosa:

Al crear la imagen con acronis, hay un punto en el que se le puede decir que la haga sector por sector, tarda mas, pero nos aseguramos de que la copia queda en el espacio del disco tal como estaba anteriormente. Esta forma se usa cuando se clonan los disco para el análisis forense digital.

Espero que os haya gustado este tutorial y que lo pongáis en practica, así os quedará más claro.

Saludos.

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( I de II)

_______________________________________________________________

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( I de II)

PROCESO PARA PASAR IMÁGENES CON ACRONIS 10 ( II de II)

_______________________________________________________________

Hola a tod@s

En esta entrada voy a tratar de explicar como podemos crear una imagen de nuestro equipo y en la próxima haré lo propio para recuperar dicha imagen.

Lo primero, aclarar un par de cosas:

La primera es que el software que utilizo en este caso es de pago, (creo que tienen versión gratuita) y una vez mas quiero pedir que por favor no se piratee el software. Si, ya se que hasta hace relativamente poco yo era el primero que tenia photoshop con un serial un poco “extraño” pero también he comprendido que este no es el camino y que si quieres un software has de pagarlo, al igual que bajas a la panadería y no se te ocurre coger el pan sin pagarlo. Así que no quiero seguir siendo ese amigo “piratilla” que siempre deja los CD de software a todo el mundo y desde aquí os animo a todos a que hagáis lo mismo. Además casi todos los programas tienen su “alter ego” gratis, photoshop tiene a gimp, Nero tiene varios amigos gratuitos etc.

Y la segunda es que partimos de la base de que la imagen se debería crear al instalar el SO, sus drivers y demás programas desde cero, es decir, no liarnos a instalar 70 cosas absurdas y que luego ni utilizamos…

Yo recomiendo instalar por ejemplo:

-Windows 7

-Office2010

-Flash player, java, cute PDF, AVG…

Obviamente como ya he dicho antes todo original. Y antes de nada por favor parchear todo, el SO, Office, el antivirus etc.

Para hacer nuestra imagen necesitamos:

*Un ordenador al que hacerle la imagen xD

*Un disco externo USB, que es donde guardaremos la imagen.

*CD Original de Acronis.

Dicho esto, vamos al lío que llevo media entrada y no he puesto ni una foto xD.

Bueno, lo primero que debemos hacer es arrancar el programa Acronis. Este es booteable desde el CD, así que ya sabéis, activar como arranque primario en la BIOS la lectora de CD o DVD (acordaros luego de desactivarla por temas de seguridad)

Una vez hagamos esto, el CD arrancará y veremos la primera pantalla.

Acto seguido, pinchamos en “ejecutar consola de gestión” para realizar la imagen de nuestro equipo.

Lo siguiente que debemos hacer es ir a “realizar copia de seguridad” como vemos en la siguiente imagen.

 Bien, ahora debemos seleccionar que es lo que queremos “salvar”, de manera que accedemos a “incluir en la copia de seguridad”. Nos detecta el disco del SO y el disco externo en el que haremos la imagen y pinchamos en “cambiar” para que nos muestre las unidades y seleccionemos de la que vamos a coger los datos.

En mi caso seleccionaré el disco 2 completo ya que el otro disco es el externo USB donde lo voy a guardar y le doy a “correcto”.

Hay que guardar el MBR, estar atentos porque sino ese disco no arrancará.

Acto seguido, nos pide que le digamos donde vamos a guardar dicha imagen. Para el ejemplo lo dejo en una serie de carpetas nombradas para luego poder identificarlo. Solo debéis seleccionar el disco USB pinchando en “carpetas locales”. Podéis crear vuestra carpeta de la siguiente manera. Imágenes – Nombre del equipo – Nombre o numero de serie del equipo. Cuando lo tengáis le damos a “correcto”

Bien, pues ya solo nos queda darle a aceptar en la ultima pantalla para que empiece a realizarse nuestro backup. Podéis verlo en la siguiente imagen.

Cuando termine la copia de seguridad, nos lo mostrará en la pantalla, ojo porque no salta ningún aviso, solo lo pone como se ve a continuación.

Lo que también indica es el tamaño de la copia.

Pues visto este ultimo paso, ya tenemos lista nuestra copia de seguridad.
Espero que os haya gustado y sobre todo que os sirva. En breve la parte II "como recuperar en caso de desastre" xD.
Saludos!