tag:blogger.com,1999:blog-45393533462133529602024-03-06T04:23:05.839+01:00Mi equipo está locoLa seguridad informática, vista de perfil. ¡Mira! Así, pareces mucho más delgada!WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comBlogger23125tag:blogger.com,1999:blog-4539353346213352960.post-74374918079967845702012-07-13T12:00:00.001+02:002012-07-13T12:02:19.624+02:00¡Estamos de mudanza!<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float: left; margin-right: 1em; text-align: left;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRqVyPwAQXEyCaudrlECXYWIwiuuflG4LtD_qLyLLRJF9EuyVJ8YbMWJxbC8OrV733B8vobA8RINLFMs04E5tSx2A_cVoWKqDdRY9wT4l4Lv1yWGQo2esSdac6VasupLT9fIFkmvLc2-Y/s1600/mudanza%5B1%5D.jpg" imageanchor="1" style="clear: left; margin-bottom: 1em; margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRqVyPwAQXEyCaudrlECXYWIwiuuflG4LtD_qLyLLRJF9EuyVJ8YbMWJxbC8OrV733B8vobA8RINLFMs04E5tSx2A_cVoWKqDdRY9wT4l4Lv1yWGQo2esSdac6VasupLT9fIFkmvLc2-Y/s320/mudanza%5B1%5D.jpg" width="225" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen propiedad de: <br />
<a href="http://cebrianstudio.blogspot.com.es/" rel="nofollow" target="_blank">Teresa Cebrían</a></td></tr>
</tbody></table>
Buenos días a todos aquellos, que les ha tocado levantarse temprano. Al resto, sólo les dedicaré un simple "hola", y un poco de lejos -pero por envidia, no por otra cosa-. A pesar del título realmente, he finalizado ya la mudanza, y estoy en proceso de instalación.<br />
<br />
He colocado la tv plana en el salón, y os he dejado la ventana abierta para que podáis disfrutar de los canales de: <a href="http://blogs.itpro.es/miequipoestaloco/" target="_blank">Seguridad informática</a><br />
<br />
Dar las gracias a la gente que hace posible el proyecto <a href="http://itpro.es/" target="_blank">ITPro</a>, por dejarme estar con ellos. Os recomiendo dar una vuelta por los blogs que tienen mis compañeros, ya que son magníficos. Y no olvides, pasarte por la cuenta que tienen en twitter: <a href="https://twitter.com/esitpro" target="_blank">@EsITPro</a><br />
<br />
¡Nos vemos! -Siempre y cuando mi equipo, continúe estando loco!<br />
<br />
Ya sabeis nos vemos por aquí: <b><a href="http://blogs.itpro.es/miequipoestaloco/" target="_blank">Mi equipo está loco</a></b><br />
<div style="text-align: right;">
<div style="text-align: left;">
¡No lo olvides! ¡Hay que actualizar la url en el <b>RSS</b>!</div>
</div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-35634600224321123262012-06-26T09:00:00.000+02:002012-07-13T09:41:06.357+02:00Unlook Screen ¿Qué hay detrás?<br />
<div class="MsoNormal">
<span style="background-color: white;">Una explicación más simple en: <a href="http://www.hackplayers.com/2012/06/utilizando-un-screen-unlock-poc.html" target="_blank">Hackplayers</a></span></div>
<div class="MsoNormal">
<br />
<a href="http://blogs.itpro.es/miequipoestaloco/unlok-screen-que-hay-detras/" target="_blank">El resto del contenido para esta entrada ha sido movido</a></div>
<div class="MsoNormal">
</div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-83232952499977226972012-06-16T08:30:00.000+02:002012-06-24T04:12:13.790+02:00Cansado de cambiar mi password ¿Y tu?<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2iYu0tCXHmrlNX7Es6f2hO81PxEfh1YmWMxIIqAfOzRHZ9_sQL931T1qF0cN5_6LohIaSNhs794lMGUxy07oFw0SukCVD-0uBmg_AD-VtI7zfcimg9w_nWbmQ_Qq_xA02ll5o4caRc3E/s1600/Desktop+Password%5B1%5D.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="193" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2iYu0tCXHmrlNX7Es6f2hO81PxEfh1YmWMxIIqAfOzRHZ9_sQL931T1qF0cN5_6LohIaSNhs794lMGUxy07oFw0SukCVD-0uBmg_AD-VtI7zfcimg9w_nWbmQ_Qq_xA02ll5o4caRc3E/s200/Desktop+Password%5B1%5D.jpg" width="200" /></a>Me apresuro a pensar que muchos están en la misma situación.
Cada vez que <b>se filtran los passwords</b>, ya sea en claro, o tan sólo los hash
(las contraseñas, pero cifradas). Nos ponemos como locos a <b>cambiar nuestra
contraseña</b>. ¿Pero hasta cuando? ¡<b><u>Basta ya</u></b>!<br />
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Ayer, estaba pensando en renovar mi teléfono móvil, algún
modelo relativamente “barato”, con más potencia que el que estoy utilizando
actualmente. Así que terminé en la conocida tienda “<b>The phone house</b>”. Al ser
una “gran compañía”, eso me aporta un valor en seguridad. </div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Como tengo menos cabeza que un pez muerto, tras probar 25
contraseñas, dije la cambio y ya está, una nueva contraseña. Total, en
ocasiones sé que me creo una contraseña al azar para los sitios, y obviamente
luego no la recuerdo. Las utilizo para sitios que realmente “no voy a volver”.
Son por así decirlo, de usar y tirar.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Los pasos para “cambiar” la contraseña, son relativamente
simples. Te piden la <b>dirección de correo</b> que has utilizado, y te llega a esa
misma dirección tu contraseña, en <b>texto plano</b>. ¡Estupendo!</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUkiNY6GLcjVYdWgOWHOj1tUJgqeQ6uF68MUegroBwSU_mfX2PVdYtOtXbESIIdtaF3-QZP_3eVIqxJX6uYJHXUMudq2wLsrbPgFSQHaicTqspIGoHU57wE_xPwiRi6No8uofrFt0JjYI/s1600/natillas.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhUkiNY6GLcjVYdWgOWHOj1tUJgqeQ6uF68MUegroBwSU_mfX2PVdYtOtXbESIIdtaF3-QZP_3eVIqxJX6uYJHXUMudq2wLsrbPgFSQHaicTqspIGoHU57wE_xPwiRi6No8uofrFt0JjYI/s320/natillas.PNG" width="320" /></a></div>
</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Se puede apreciar, que el proceso es fácil, sencillo, y mal configurado. Ya que por norma, tienen que tener la contraseña<b>
cifrada</b>. Esto, es lo mínimo que les obliga la ley -si no estoy mal informado-. Supongo que aplicando un XOR
<st1:metricconverter productid="23, a" w:st="on">23, a</st1:metricconverter>
cada carácter, ya cumplirían y ciertamente, para mi sería una mierda. pero… No
hacen ni eso. Creo que alguien debería estipular que se utilicen en todas las
bases de datos un <b>salt</b>, que sea relativamente diferente y complejo. Y ya que
pido, <b>evitar</b> el uso de <b>MD5</b>. Ya deberíamos estar todos <b>migrados a SHA1</b>.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Como de teoría legal, no tengo mucha idea, un post de un
compañero de seguridad dicta lo siguiente:</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<div style="border-bottom-color: black; border-bottom-style: solid; border-bottom-width: 1px; border-image: initial; border-left-color: black; border-left-style: solid; border-left-width: 1px; border-right-color: black; border-right-style: solid; border-right-width: 1px; border-top-color: black; border-top-style: solid; border-top-width: 1px; color: black; font-family: arial, helvetica; font-size: 11px; padding-bottom: 10px; padding-left: 10px; padding-right: 10px; padding-top: 10px;">
<div class="MsoNormal" style="font-family: 'Times New Roman'; font-size: medium;">
<span style="background-color: white;"><span style="font-family: Verdana; font-size: 10pt;"><b>[RDLOPD] Artículo 93. Identificación y autenticación.</b></span><o:p></o:p></span></div>
<div style="font-family: 'Times New Roman'; font-size: medium; font-weight: normal; line-height: 13.5pt; text-align: justify;">
<span style="background-color: white; font-family: Verdana; font-size: 10pt;">1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.<o:p></o:p></span></div>
<div style="font-family: 'Times New Roman'; font-size: medium; font-weight: normal; line-height: 13.5pt; text-align: justify;">
<span style="background-color: white; font-family: Verdana; font-size: 10pt;">2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.<o:p></o:p></span></div>
<div style="font-family: 'Times New Roman'; font-size: medium; font-weight: normal; line-height: 13.5pt; text-align: justify;">
<span style="background-color: white; font-family: Verdana; font-size: 10pt;">3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento<span class="apple-converted-space"> </span><strong>que garantice su confidencialidad e integridad</strong>.<o:p></o:p></span></div>
<div style="font-family: 'Times New Roman'; font-size: medium; font-weight: normal; line-height: 13.5pt; text-align: justify;">
<span style="background-color: white; font-family: Verdana; font-size: 10pt;">4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que,<span class="apple-converted-space"> </span><strong>mientras estén vigentes, se almacenarán de forma ininteligible.</strong></span></div>
<br /></div>
<div style="text-align: right;">
<span style="font-family: Verdana; font-size: x-small;">Texto superior copiado de: <b><a href="http://www.securityartwork.es/2012/05/23/yo-solo-queria-alquilar-un-piso/" target="_blank">SecurityAtWork</a></b></span></div>
<div style="text-align: right;">
<span style="font-family: Verdana; font-size: x-small;"><br /></span></div>
</div>
<div class="MsoNormal">
Con este texto en la mano, sólo puedo aportar que las cosas
no se están haciendo bien. <b>No están pensando en mi seguridad</b>. No quiero pensar
de que forma pueden estar <u><b>guardados</b></u> <u><b>mis documentos bancarios</b></u>, si tratan así
información tan sensible y personal como lo es mi contraseña.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
PD: Por si alguien quiere quedar como el chico bueno de la película,
<b>no he reportado nada de esto</b>. Como alguno no estará de acuerdo. Tengo una política
un poco personal. Como eso de estar siempre <b>trabajando gratis</b> para otros. Si se
les regala la información, no contratan a un compañero que realice una
auditoria de verdad y/o encima <b>estoy bajando el precio</b> –ya que lo doy gratis, y
“sin valor”-</div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-38095339621416576552012-06-07T00:53:00.000+02:002012-06-24T04:13:18.326+02:00Mi seguridad ¿En manos de quién?<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuoc2bfwrW3mhN5k1FVHPUyP48ZdfMrEp7yjjTE4DdgR7FxUkeF5F32mjR0DqaIQk1xdEy_j0a80dj06Aw18kadRoMMRbMItMauJrHV3EyD9ebJ_g_YP2vBDTv80MQ44ZH3DwSqox-DA_u/s1600/puente-candados%5B1%5D.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuoc2bfwrW3mhN5k1FVHPUyP48ZdfMrEp7yjjTE4DdgR7FxUkeF5F32mjR0DqaIQk1xdEy_j0a80dj06Aw18kadRoMMRbMItMauJrHV3EyD9ebJ_g_YP2vBDTv80MQ44ZH3DwSqox-DA_u/s200/puente-candados%5B1%5D.jpg" width="200" /></a></div>
<div class="MsoNormal">
Al igual que ocurría con la canción de <b>Carlos Baute</b>, creo que la seguridad está colgando en tus manos. Otra
vez, han sido publicadas una serie de contraseñas. Esta vez, el afectado ha
sido “<a href="http://foro.elhacker.net/noticias/mas_de_seis_millones_de_contrasenas_de_usuarios_de_linkedin_expuestas-t363700.0.html" rel="nofollow" target="_blank">Linkedin</a>”.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxoCo4vlB0ViyO50c8MlBcC1PUDFt2Ry9XyMb1DAzdEExQmnjdo6ZRIhWzZbEeRQqawGLhvoqP_3GIj4awA3RLahEZr7d5Hu9CbglWHBl0aqLqSqX8kKJPsUdlElPU_fj65hCpnqS-SK-a/s1600/smile%5B1%5D.gif" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><br /></a>Seguramente alguno más es un paranoico de la seguridad, en
caso contrario, no estaríamos todo el día refrescando Google reader. ;) El
problema llega cuando el nudo de seguridad –la línea de vida en escalada- no
depende de ti, y tienes que confiar en un tercero. ¿Tus datos están seguros? ¿ Confías plenamente en ese tercero?</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Da exactamente igual el tipo de contraseña que estés
utilizando, ya puede ser la más compleja del mundo. Olvídate de reutilizarla en
ningún otro servicio. Muchos de los que utilizas de forma habitual, guardan aún
las contraseñas utilizando métodos inseguros, o ineficientes. Por lo que incluso una contraseña compleja, puede ser una potencial victima. -¡¡Desaconsejo totalmente el uso de contraseñas débiles, con la excusa!!-</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Lleva más de un año funcionando aplicaciones como <a href="http://www.securitybydefault.com/2011/07/pastebin-leaks.html" rel="nofollow" target="_blank">PastebinLeaks</a>, encargadas de buscar, al igual que la araña de Google, cualquier tipo de
filtración que pueda producirse en esta red. En ocasiones podremos encontrar
datos recopilados de “Bots, virus, keyloggers”, pero también de muchas páginas
web. También han publicado la herramienta: <a href="http://www.securitybydefault.com/2012/06/monitoriza-leaks-en-pastebin-con.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+%28Security+By+Default%29&utm_content=Google+Reader" rel="nofollow" target="_blank">Pastemon</a>. Con el mismo propósito que la anterior.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
En los últimos meses por citar algunos ejemplos hemos visto
leaks de: </div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
-Twitter 55.000 cuentas -según he leído, no fue su culpa-</div>
<div class="MsoNormal">
-Linkedin 6.5 Millones</div>
<div class="MsoNormal">
-Rootkit.com 81.430 cuentas</div>
<div class="MsoNormal">
-Sony 37.572 cuentas</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b>¿Y tu como defiendes tus contraseñas?</b></div>
<div class="MsoNormal">
<br /></div>
<blockquote class="tr_bq">
Nota: No quiero ahora generar un campo de
desconfianza, e inseguridad, cientos de páginas web, <b>tratan con la mayor seguridad tus datos</b>, ya sean contraseñas o
datos personales. Pero lo malo, siempre nos llama más la atención.</blockquote>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-48693921820147626782012-06-01T09:57:00.000+02:002012-06-01T09:57:00.625+02:00Escribir por amor al arte<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTo3oaJf-5bsNT9twEOJ_eMaZGRL206aMXgGepkJYxwzmDPSU2nNueD2XFNAumouvhJUO7asty_g-8d8cCNnRdCOOMs6iGzDOiMkTmBjBgzCO2CJ-55kpzAc3abUk5JfL5KpflogWaGmE/s1600/freud%5B1%5D.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="182" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTo3oaJf-5bsNT9twEOJ_eMaZGRL206aMXgGepkJYxwzmDPSU2nNueD2XFNAumouvhJUO7asty_g-8d8cCNnRdCOOMs6iGzDOiMkTmBjBgzCO2CJ-55kpzAc3abUk5JfL5KpflogWaGmE/s200/freud%5B1%5D.jpg" width="200" /></a>Los que me conocen, y saben que tengo un blog. Saben que esto lo llevo por amor propio, ego, seguramente alguna carencia de afecto, pero realmente el punto máximo, era poder salir en la <b><a href="http://en.wikipedia.org/wiki/WhatsApp#Security_concerns" target="_blank">Wikipedia</a></b>. Pero no sólo eso. ¡Quería ser reconocido como <i>investigador de seguridad informática</i>! Supongo que ahora podré dejar de escribir en el blog, y creo que me pondré al noble arte de cultivar <a href="http://www.eikyo.es/wp-content/uploads/2011/04/bonsai.gif" target="_blank">bonsais</a>.<br />
<br />
Fuera de bromas, como todo el mundo que escribe en blogs, esto lo hago por la fama, el dinero, las mujeres, e indiscutiblemente la cantidad ingente de cervezas que permite consumir cuando <a href="http://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CF4QFjAD&url=http%3A%2F%2Fwww.enelpc.com%2F2011%2F03%2Fapto.html&ei=xXLIT8b1CMOM0wWKoYDWAQ&usg=AFQjCNEvhokEMbdIAejTuwZGvRuYjK6ofQ&sig2=r11XmYFWIJvTSdB-KovJow" target="_blank">quedas con alguien del gremio</a>. En última instancia ya está eso, de aprovechar la ventana de: "Mira que bueno soy, y deberías <i>contratarme</i>", el problema es hacer demasiado hincapié en el tema de las cervezas... Tras 2 entrevistas infructuosas -eso de decirle al entrevistador: ¿Por que no hacemos la entrevista <i>en el bar</i>? Yo es que sin alcohol, no soy tan sincero...-<br />
<br />
En resumen, que para ello quería una entrada cortita, es que algún alma caritativa, ha considerado que debe existir una referencia hacía mi en la Wikipedia en ingles. ¡Y puedo prometer que no he sido yo! ¡<b>Enserio</b>! -Vale, tuve que pagar a 5 personas para que lo hiciese, pero... yo no fui- Y como es obvio tras ver la entrada, me he puesto muy contento. A pesar de ser sólo una reseña.<br />
<br />
Así que muchas gracias a los que entran a investigar como pueden <i>cotillear el móvil de su novia</i> -sí, muchos hacéis esa búsqueda en google, que os tengo controlados!-, a los que entran de forma voluntaria al blog, y a los que de verdad saben de informática, entran al blog, -y salen decepcionados al ver <i>OTRA</i> entrada <i>que no trata</i> de seguridad informática-, y muchos besos y abrazos al que me ha metido 18 palabras en la Wiki<br />
<br />
NOTA: Presumo mucho con la tontería del alcohol, pero... soy abstemio, así que si pensabas tratar de invitarme a algo, tendrá que ser <a href="http://www.blogodisea.com/wp-content/uploads/2011/05/coca-cola-pepsi-batalla.jpg" target="_blank">coca-cola</a>... ¡Es que no me gusta el sabor del alcohol, soy un <b><a href="http://static3.cuantarazon.com/crs/2012/05/CR_650143_no_te_rias_de_un_friki.jpg" target="_blank">friki de libro</a></b>!WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-74568691164783741592012-05-21T13:03:00.000+02:002012-05-21T13:03:13.831+02:00¿Cómo funciona una aplicación para mirar bajo los asteriscos (*)?Quizá alguna vez te has hecho esta pregunta. Escribes tú
contraseña, y se oculta de la vista, bajo una serie de caracteres, el estándar
es el <i>asterisco</i>, pero podrá ser otro. Lo curioso es que hay programas que sí
que son capaces de ver bajo ellos. ¿Por qué?<br />
<div class="MsoNormal">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkwkKhMI5-Go4_6XHonteq9HM44Pna3UJJwm4S97bZrkairOI1MRmAkAAhwX-ai4A9iIEEZ7UY7djfedTy6jIs6n3hYVVHqTXtKkNVU8pguTqnRVv0skBPBtojiH_VkOBuduh34aUVPyo/s1600/programaA.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjkwkKhMI5-Go4_6XHonteq9HM44Pna3UJJwm4S97bZrkairOI1MRmAkAAhwX-ai4A9iIEEZ7UY7djfedTy6jIs6n3hYVVHqTXtKkNVU8pguTqnRVv0skBPBtojiH_VkOBuduh34aUVPyo/s1600/programaA.PNG" /></a></div>
<br /></div>
<div class="MsoNormal">
Realmente, donde estas escribiendo es una caja de textos,
normal y corriente, con una propiedad, que es no mostrar el texto, para evitar
que si tienes a tu primo encima del hombro, no tenga ni idea de que estas
poniendo. Sin embargo, hay formas de conocer que has escrito, sin utilizar un
keylogger, simplemente pidiéndole al programa que lo muestre.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Quizá, nunca has visto como se comunican las aplicaciones
entre ellas, por lo que trataré de explicarlo. Tenemos una aplicación A que es
un login, y nos permite acceder, y una aplicación B, que se encarga de leer
bajo los asteriscos. Las conversación es así:<br />
<br />
<a name='more'></a><br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Aplicación A, te solicita que pongas tu contraseña, y
presiones OK al terminar.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Aplicación B: -¿Oye… tengo yo una duda por aquí… podrías
decirme en que cae el próximo jueves?</div>
<div class="MsoNormal">
Aplicación A: -El próximo jueves, es día 5.</div>
<div class="MsoNormal">
Aplicación B: -¡Por el cul…!</div>
<div class="MsoNormal">
Aplicación A: -Tú siempre tan gracioso. ¿A ver, querías algo
de verdad?</div>
<div class="MsoNormal">
Aplicación B: -Pues ahora que lo dices… Si el jueves es 5, y
le sumo 3…¿Qué día es? Bueno, a lo que vamos, necesito que me digas, para... emm... mis cosas... que es lo que ha escrito el tipo raro de bigote, ese que está entre la silla y el teclado... en la casilla esa que
no veo bien desde aquí.</div>
<div class="MsoNormal">
Aplicación A: -No sé de que casilla me estas hablando, tengo
muchas. ¿Podrías especificar?</div>
<div class="MsoNormal">
Aplicación B: -Sí, esa que pone justo al lado contraseña, y
debajo tiene un botón que dice OK.</div>
<div class="MsoNormal">
Aplicación A: ¿Cuánto texto te doy, 1 letra, 2, o lo quieres
todo?</div>
<div class="MsoNormal">
Aplicación B: Ponme cuarto y mitad… ¡Pues lo quiero todo…! Dame…
255 caracteres, más vale que sobre, que falte.</div>
<div class="MsoNormal">
Aplicación A: Vale. ¿Dónde quieres que lo guarde, para que tú
lo puedas ver?</div>
<div class="MsoNormal">
Aplicación B: Déjamele… En un post-it debajo del monitor que
eso creo que no lo hace casi nadie…</div>
<div class="MsoNormal">
Aplicación B: -Muchas gracias, te debo una, bla bla bla</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Como se puede ver, tienen un humor super original, pero las
aplicaciones se pueden comunicar, y pueden enviarse mensajitos, sin que tú te estés
dando cuenta –y no, esto no es cachondeo-</div>
<div class="MsoNormal">
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEik179TsnzFvs3ddC9WoToQz4p87Aliv5m3QYwn6ktaE3IgGUguJbBJRU2xCi9AfL3p4hy51UDIMi89NIqw5p4mKTWn7etOquokAGDFSsH4FIYTgBqYZH0Uf6I38geCw-0Wvc_bAXjOL7Y/s1600/ProgramaB.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEik179TsnzFvs3ddC9WoToQz4p87Aliv5m3QYwn6ktaE3IgGUguJbBJRU2xCi9AfL3p4hy51UDIMi89NIqw5p4mKTWn7etOquokAGDFSsH4FIYTgBqYZH0Uf6I38geCw-0Wvc_bAXjOL7Y/s1600/ProgramaB.PNG" /></a></div>
<br /></div>
<div class="MsoNormal">
Para poder comunicarse, utilizan el sistema operativo, con
una API, que se llama: SendMessage. Y tiene unos parámetros. Handle, que le
indicaría a la aplicación A, a quien quieres preguntar, la casilla de texto de
la contraseña. El ordenador, para identificarla usa un número que es único.
Luego le envia el mensaje, indicando que lo que quiere saber es el texto. WM_GETTEXT.
Como hemos visto, le indica el número de caracteres que quiere recibir, 255 –incluso
hay forma de concretar, si es más largo o más corto- y por último, se le indica
en que variable guardar el texto.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Dejo al final del todo, un rar, con el proyecto. Y un ejecutable,
ya compilado, para que puedas probar. Todo el código está comentado, para
facilitar su entendimiento.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
PD:¡Esta prohibido criticar mi código! –lo sé, parece hecho
por un equipo de 12 monos, pero no tengo dinero para contratar programadores, y
como jefe, tengo que delegar –<br />
<br />
<div style="text-align: center;">
<a href="http://goo.gl/yhIIQ" target="_blank">Programas y código</a></div>
</div>
<div class="MsoNormal">
<br /></div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-70530228404354493592012-05-11T17:49:00.000+02:002012-07-17T22:12:04.516+02:00Whatsapp ya cifra los mensajes<a href="http://blogs.itpro.es/miequipoestaloco/whatsapp-ya-cifra-los-mensajes/" target="_blank">Whatsapp</a> -> <a href="http://blogs.itpro.es/miequipoestaloco/whatsapp-ya-cifra-los-mensajes/">http://blogs.itpro.es/miequipoestaloco/whatsapp-ya-cifra-los-mensajes/</a>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-44569095484616222132012-05-04T08:11:00.000+02:002012-05-18T15:18:55.765+02:00Redirector de puertos (Alpha)Tenía muchas ganas de poder publicar una versión bastante funcional de esta aplicación. Me ha llevado un par de semanas llegar a completarla. Me gustaría ir poquito a poquito, añadiendo funciones.<br />
<br />
Tal y como he querido dejar patente, en la aplicación y en el título, es una versión alpha, es decir, una versión, casi, casi, funcional, que se parece a la que será publicada, pero tan llena de fallos por todas partes que parece diseñada por un niño de 5 años. Los que encontréis, los iré arreglando, pero ya aviso que viene con desperfectos.<br />
<br />
¿Qué es un redirector de puertos?<br />
Una aplicación destinada a reenviar el tráfico desde un puerto A a un puerto B, lo normal es que en el puerto B, tengamos otro programa escuchando.<br />
<br />
¿En que se diferencia este programa a un bouncer* normal?<br />
He realizado una aplicación capaz de detectar la dirección ip de origen, y en base a una serie de reglas, determinar si permite pasar el tráfico, o en su defecto (por norma), deniega el acceso.<br />
Está basado en listas blancas. Esto, quiere decir, que su forma de trabajar es <i>denegar el acceso</i> a todo lo que <i>no este permitido</i>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-kyyERLrTe_jm8L5r-mGhStrSFxfQ_GT0CSIghj7DZMa9Dg3EpfP1bNFbgmu3X5yulVEIm1VpRxdAlOjzkMV3MwUi29zI87hUO8xly8yR6pOmmCMcCTExXlZTKiDPjrVVUOP_RrwLo5I/s1600/1.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="171" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-kyyERLrTe_jm8L5r-mGhStrSFxfQ_GT0CSIghj7DZMa9Dg3EpfP1bNFbgmu3X5yulVEIm1VpRxdAlOjzkMV3MwUi29zI87hUO8xly8yR6pOmmCMcCTExXlZTKiDPjrVVUOP_RrwLo5I/s400/1.PNG" width="400" /></a></div>
<br />
<br />
¿Para que es útil este programa?<br />
Es una aplicación destinada a trabajar con un firewall, un antivirus, sandboxie :P. Y finalmente un programa del tipo servidor. Ej:<br />
Tenemos el <i>puerto 1600 abierto</i> en nuestro router. Y queremos poder acceder desde fuera, nuestro móvil, nuestro trabajo, etc a <i>escritorio remoto (3389)</i>. Lógicamente, debemos saber que ip tendrá nuestro teléfono móvil, o la ip externa de nuestro trabajo.<br />
Es el momento de redirigir el tráfico:<br />
1600 -> Verifica ip -> 3389 ¡Acceso a escritorio remoto!<br />
<br />
Descarga: <a href="http://goo.gl/9Nu4h" target="_blank">http://goo.gl/9Nu4h</a><br />
<br />
<a name='more'></a><br /><br />
<div style="text-align: center;">
<b><span style="font-size: large;">Manual de uso</span></b></div>
<div style="text-align: center;">
<b><span style="font-size: large;"><br /></span></b></div>
<div style="text-align: left;">
Debemos poner el puerto de origen: 1600 y puerto destino: 3389. Pulsamos el botón añadir. Automáticamente se pondrá en la lista, y nos mostrará las conexiones activas que existen contra ese puerto (pueden ser más de 1), y las reglas que hemos definido.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Si pulsamos botón derecho, encima del puerto, nos aparecerán 2 opciones, pulsamos en "reglas", y se nos abre la siguiente ventana.</div>
<div style="text-align: left;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<br /></div>
<div style="text-align: left;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg22ocokPVIpfnMfU9On-SDLyLjqcWrx2wvs47FL34-Q9TGWjIWoiKEE0Vm4HPQsi65BtYB3m1yQtYs23c1XhL0SYSatohoSPUa656_UtXIvZcRBFpxxxFhYrbv3QOMr8yfJi4GQ-53wAg/s1600/3.PNG" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="151" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg22ocokPVIpfnMfU9On-SDLyLjqcWrx2wvs47FL34-Q9TGWjIWoiKEE0Vm4HPQsi65BtYB3m1yQtYs23c1XhL0SYSatohoSPUa656_UtXIvZcRBFpxxxFhYrbv3QOMr8yfJi4GQ-53wAg/s320/3.PNG" width="320" /></a>Podemos añadir o bien las direcciones a mano, y volver a pulsar añadir, o esperar a que se intenten conectar, y hacemos doble click, en la dirección ip que nos aparece.</div>
<br />
<br />
*Nota: Un bouncer, es el nombre que recibe en ingles, un redirector de puertos.<br />
<br />
<br />
Dudas:<br />
-¿Port knocking? Realmente implementar medidas de este tipo, dependerá del uso de la aplicación. Si veo que tiene descargas y genera un interés, seguramente terminará siendo añadido. Debido a que no todo el mundo conoce su dirección ip.<br />
<br />
-¿Usuario / contraseña? No, debido a que no sabría de que forma poder implementarlo de forma universal, es decir, tendría que hacer una nueva aplicación para cualquier dispositivo. O utilizar un protocolo existente, definitivamente esta no es la idea.<br />
<br />
-¿Se te ocurre que más debería implementar? Estoy encantado de recibir ideas, o ayudar a cubrir posibles necesidades. Así que soy todo oídos.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-36204480353309057402012-04-27T09:30:00.000+02:002012-06-19T12:52:18.991+02:00Tomando cañas<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNYF5s2Z0h_SGHY8Bbel_Kh-FPmlpmwieLJ_S0zJOvm1CVodS3gEz8mrSqFGdJIlukrUq-19cGfQo5HQ_wOjQgAz61lD8sW021-g6a6YI_Maoc7XDvHehsdWoZiQMOqql2-1-HdYqYOTM/s1600/tela-de-arana-con-arana-19058.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNYF5s2Z0h_SGHY8Bbel_Kh-FPmlpmwieLJ_S0zJOvm1CVodS3gEz8mrSqFGdJIlukrUq-19cGfQo5HQ_wOjQgAz61lD8sW021-g6a6YI_Maoc7XDvHehsdWoZiQMOqql2-1-HdYqYOTM/s200/tela-de-arana-con-arana-19058.jpg" width="141" /></a><br />
<div class="MsoNormal">
Hay una canción, no es que me guste especialmente, pero que
explica perfectamente por que parece que este blog está un poco desatendido. Marcas
de polvo encima de las letras, una araña en la esquina superior izquierda. La
pobre, lo está pasando mal, no entran muchos mosquitos y pasa un poco de
hambre.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
A lo que vamos, “no estaba muerto… no estaba muerto… ¡Estaba
de parranda! Lo ví con mi amigo Paco, tomando cañas en la cruz blanca…” Más o
menos es así, no exactamente tomando cañas, si no haciendo algún que otro
programita, que espero poder publicar por aquí.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Lo más relevante esta semana, es que ahora también me podréis
leer en: <a href="http://www.hackplayers.com/">HackPlayers</a>. Me ofrecieron un bocata de mortadela cada 2 post, como me
gusta hacerme el difícil, la negociación ha terminado en 1 bocata cada 2 post,
¡Pero la mortadela con aceitunas! A otro le podrán engañar, pero menudo soy yo,
cuando tengo que negociar…</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Por el momento en hackplayers me vais a poder leer hablando
de:</div>
<div class="MsoNormal">
<span style="font-family: inherit;">- <a href="http://www.hackplayers.com/2012/04/un-paso-mas-alla-del-antivirus.html"><span style="background-attachment: initial; background-clip: initial; background-color: white; background-image: initial; background-origin: initial; color: #333333;">Un </span><span style="background-attachment: initial; background-clip: initial; background-color: white; background-image: initial; background-origin: initial; color: #333333;">paso </span><span style="background-attachment: initial; background-clip: initial; background-color: white; background-image: initial; background-origin: initial; color: #333333;">más allá del Antivirus.Sandboxie</span></a></span></div>
<div class="MsoNormal">
<span style="font-family: inherit;">- <span style="background-attachment: initial; background-clip: initial; background-color: white; background-image: initial; background-origin: initial; color: #333333;"><a href="http://www.hackplayers.com/2012/04/backdoors-web-en-imagenes-mejorando-la.html">Backdoors web en imágenes: mejorando
la técnica</a></span></span><br />
<span style="font-family: inherit;">- </span><span style="font-family: Arial, Helvetica, sans-serif; font-size: x-small;"><span style="background-color: white; border-color: initial; border-image: initial; border-style: initial; cursor: pointer; margin-right: 10px; text-align: -webkit-left;"><a href="http://www.hackplayers.com/2012/05/un-superheroe-muy-entranable.html" target="_blank">Un superhéroe muy entrañable</a></span></span><br />
- <span style="font-family: Arial, Helvetica, sans-serif; font-size: x-small;"><span style="background-color: white; border-color: initial; border-image: initial; border-style: initial; cursor: pointer; margin-right: 10px; text-align: -webkit-left;"><a href="http://www.hackplayers.com/2012/05/beff-framework-para-mi-la-carne-muy.html" target="_blank">BeEF Framework: Para mi, la carne muy hecha</a></span></span><br />
- <span style="font-family: Arial, Helvetica, sans-serif; font-size: x-small;"><span style="background-color: white; border-color: initial; border-image: initial; border-style: initial; cursor: pointer; margin-right: 10px; text-align: -webkit-left;"><a href="http://www.hackplayers.com/2012/06/en-caso-de-infeccion-formatear-o.html" target="_blank">En caso de infección, ¿formatear o reparar?</a></span></span><br />
<span style="font-family: inherit;">- </span><a href="http://www.hackplayers.com/2012/06/ten-cuidado-donde-la-metes-si-tu.html" target="_blank"><span style="font-family: Arial, Helvetica, sans-serif; font-size: x-small;"><span style="background-color: white; border-color: initial; border-image: initial; border-style: initial; cursor: pointer; margin-right: 10px; text-align: -webkit-left;">Ten cuidado donde la metes... (si tu contraseña</span></span>ha sido comprometida)</a><br />
<span style="font-family: inherit;"><br /></span></div>
<div class="MsoNormal">
Como muchos ya se han dado cuenta, esto corresponde a mi
primer bocata! Que por supuesto compartiré con la araña de líneas más arriba.<br />
<br />
Como decía, estoy haciendo diferentes programas que espero puedan ver la luz por el blog. La lista es la siguiente:<br />
<br />
<br />
<ul>
<li><span style="text-indent: -18pt;">Un fuzzer de red.</span></li>
<li><span style="text-indent: -18pt;">Un bouncer con filtro por ip. Basado en lista blanca.</span></li>
</ul>
<br />
<span style="text-indent: -18pt;"><br /></span><br />
<span style="text-indent: -18pt;">Mientras tanto, continuaré escribiendo en <a href="http://www.hackplayers.com/">hackplayers</a>.</span><br />
<br />
<div style="text-indent: -24px;">
<br /></div>
<div style="text-indent: -24px;">
<br /></div>
</div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-59335295052517270452012-03-26T22:00:00.000+02:002012-03-27T02:42:04.185+02:00¿Como es un joiner? ¿Para que es? y más...<br />
<div class="MsoNormal">
Otra revisión hacia el mundo del malware. Ampliando la
información.<br />
<br />
<b>¿Qué es un joiner?</b><br />
Es un programa encargado de albergar uno o varios ficheros en su interior. Es
decir, tenemos por ejemplo 3 ficheros. Un joiner, se encargaría de juntarlos en
<i>1 solo fichero</i>.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Lo más habitual es que no efectúe modificación sobre el
fichero final. Si adjuntamos una foto y un bichito (<i>virus</i>). Cuando termine de
trabajar el joiner, prácticamente siempre el antivirus detectará el fichero que
se ha copiado.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Suele utilizar sistemas de cifrado, ya sea algo complejo o
simple, para ocultar la información que le hemos añadido. Como siempre esto
<i>depende de quien lo este programando.</i></div>
<div class="MsoNormal">
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheK7bOl6qbzbryAQDHJDPFW20sggeJpjd5trF6oxm16PC35MeEWGyKCfaFo4LoBMpxlAc6qkvIsh66qm4XTlH0QNH9IQohHjQ1yupDf2yr1P4RUicJyQ2dnY0enyW34rghB0BxabcTAfk/s1600/Joiner.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="288" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheK7bOl6qbzbryAQDHJDPFW20sggeJpjd5trF6oxm16PC35MeEWGyKCfaFo4LoBMpxlAc6qkvIsh66qm4XTlH0QNH9IQohHjQ1yupDf2yr1P4RUicJyQ2dnY0enyW34rghB0BxabcTAfk/s320/Joiner.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Imagen de un joiner subido a <a href="http://indetectables.net/">indetectables.net</a></td></tr>
</tbody></table>
<br />
Inclusive es bueno recordar, que no tiene por que tener un fin maligno, como muestra el propio Windows, de serie, trae su propio joiner. <a href="http://seguridaddelmal.blogspot.com.es/2012/03/usando-el-joiner-de-windows.html" target="_blank">Link</a><br />
<div class="MsoNormal">
<br />
<b>¿Para que nos sirve?</b><br />
Suele ser muy utilizado en el mundo del <i>malware</i>. De forma que podríamos juntar
una imagen, un archivo de sonido,y un ejecutable. Irremediablemente el
archivo final, tendrá que ser un <i>ejecutable*</i>, pero aparentemente estará <i>limpio</i>.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
No obstante, no siempre se utiliza para el mal. Otro ejemplo
rápido, sería un instalador de aplicaciones, contiene todas las carpetas, y librerías
que utilizará el programa final. Y el resultado es sólo un fichero. </div>
<div class="MsoNormal">
<br />
<b>¿Hay tipos?</b><br />
-Un instalador de software.</div>
<div class="MsoNormal">
-Un ocultador de malware.</div>
<div class="MsoNormal">
-Una juntador de peliculas o videos.</div>
<div class="MsoNormal">
-Winrar tambien es un joiner. Convierte varios ficheros en 1.</div>
<div class="MsoNormal">
-Una aplicación que permite juntar trozos de canciones y hacerla 1 solo fichero mp3.</div>
<div class="MsoNormal">
-En resumen. Cualquier aplicación capaz de convertir varios ficheros en 1. </div>
<div class="MsoNormal">
<br />
<b>¿Como funciona?</b></div>
<div class="MsoNormal">
Existen varias formas de hacerlo funcionar pondré 2 a modo ejemplo, si bien
pueden ser <i>muchas más</i>, ya dependerá del programador en cuestión:</div>
<div class="MsoNormal">
-Guardando todos los ficheros en un recurso del programa,
los almacena ahí y luego una secuencia designa en que lugar copiarlos/ejecutarlos/etc.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
-Guardando los datos en el <a href="http://es.wikipedia.org/wiki/EOF" target="_blank">EOF</a> (Zona que se encuentra al
final de un ejecutable, y que no afecta al funcionamiento del mismo). Posteriormente
una función se encargaría de detectar la cantidad de ficheros adjuntados,
prepararlos y copiarlos.</div>
<div style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwnuIPBdV5eXlFXdNb6HA-7BBuHZxdv9XOCj84qlBM9JycKkZ8nFzvoe_0yGiEZj2QvxjJ9rJ4k6hjOkX8m-aEodDXzEDKlqqVAvpTPniTld-GR5ytborTPgachPCHolq4qC81jC5CrM8/s1600/instalando.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="236" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwnuIPBdV5eXlFXdNb6HA-7BBuHZxdv9XOCj84qlBM9JycKkZ8nFzvoe_0yGiEZj2QvxjJ9rJ4k6hjOkX8m-aEodDXzEDKlqqVAvpTPniTld-GR5ytborTPgachPCHolq4qC81jC5CrM8/s320/instalando.jpg" width="320" /></a></div>
<div class="MsoNormal">
<b>¿Puedes ser más técnico?</b><br />
<i>Sí. Puedo. ¿Siguiente pregunta?</i></div>
<div class="MsoNormal">
Una imagen vale más que 1000 palabras. Explicaré el segundo método,
debido a que es más simple de dibujar.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtNSukKbnkdvrErjp2K89EFrMNTiRdThWZd3KN1sXUY_i83_UqRmxQaMiOHYCsmDoSMPwaQD2HONYv3W8jZOqtTrI-nYNrlMMR7RLx-ucyuD758nmewwcPNPnKcHoBgR05sTONnO1pvMs/s1600/programa.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhtNSukKbnkdvrErjp2K89EFrMNTiRdThWZd3KN1sXUY_i83_UqRmxQaMiOHYCsmDoSMPwaQD2HONYv3W8jZOqtTrI-nYNrlMMR7RLx-ucyuD758nmewwcPNPnKcHoBgR05sTONnO1pvMs/s200/programa.jpg" width="120" /></a></div>
<br /></div>
<div class="MsoNormal">
El final de un fichero, se puede modificar y almacenar, o
esconder ahí información. Es el sistema que se suele utilizar, y el programa
iniciar o joiner no se verá afectado.</div>
<div class="MsoNormal">
Al igual que vimos en un crypter, un joiner tambien suele
disponer de un stub. Este es el que se encarga de detectar la información
adicional. No explicaré como realizarlo debido a que hay mucha información.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
El joiner pregunta que ficheros debe adjuntar, el orden en
que se copiaran / ejecutaran, etc. Una vez determinado. Edita el stub, y le
añade al final todos y cada uno de los ficheros. Con una marca para separarlos
ej: *FiN*. O sin marca, todo dependerá del programador. La marca se podría
aprovechar para indicar que tiene que hacer el joiner. *Ejecutar*copiar*borrar*etc
Podría ser una marca perfectamente, que también daría información sobre que
acción realizará el joiner.</div>
<div class="MsoNormal">
<br />
<b>El stub... Un poco más a fondo.</b></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWsPBuvqRMwUqZ4qLUwNTlRsYswvGVNVtqdnI_9vtfQedaxV8BeeHnek6BHtqtNMC-j5H2QoPnE_04TZAz5pfqcv9w7GLXn8AD_u23s0yDK7xhbg_3SxxAxfOULPzkAe9cKbtzt0XOibM/s1600/super-sound-joiner.gif" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="165" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWsPBuvqRMwUqZ4qLUwNTlRsYswvGVNVtqdnI_9vtfQedaxV8BeeHnek6BHtqtNMC-j5H2QoPnE_04TZAz5pfqcv9w7GLXn8AD_u23s0yDK7xhbg_3SxxAxfOULPzkAe9cKbtzt0XOibM/s200/super-sound-joiner.gif" width="200" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Un joiner no destinado a aplicaciones</td></tr>
</tbody></table>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Revisará que información se le ha añadido. Y que debe
realizar con esos ficheros. Realmente aquí, el fin lo pone la imaginación. Ya
que es a gusto del consumidor las acciones que podrá realizar. Por poner
algunos ejemplos:</div>
<div class="MsoNormal">
-Ejecutar alguno de los ficheros anexos (ejecución estándar,
no sobre memoria).</div>
<div class="MsoNormal">
-Copiar los ficheros. Para sobrescribir algún fichero de
sistema por ej.</div>
<div class="MsoNormal">
-Podría detectar el sistema operativo, el antivirus, y en
función de eso, ejecutar un fichero u otro.</div>
<div class="MsoNormal">
-Se le podría añadir una función de descifrar, para poderle
adjuntar los ficheros cifrados, y complicar un poquito el análisis.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
*También podría ser un zip, rar,mp3,avi, etc, pero no quería
extenderme demasiado. Y me enfoco a joiners del tipo software.</div>
<div class="MsoNormal">
<br />
<b>NOTA IMPORTANTE</b>: <i>Toda esta información es para aquellos que os dedicáis
al análisis, detección, programación, por hobby o por trabajo. Nunca deberá ser
utilizada para cometer maldades... Sobra recordar que ir infectando máquinas
por ahí es un delito y tiene penas de prisión. </i></div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-80460344217655711982012-03-05T08:00:00.000+01:002012-03-08T11:46:30.230+01:00Hacking para tu novia (I)Tengo intención de hacer una serie de artículos sobre seguridad informática, orientados a explicar y hacer entender a la gente de mi alrededor algunos conceptos. Serán varios, para no agobiar y seguramente, me tome varias licencias.<br />
<br />
Estoy seguro que tanto a tí, como a mi, nos cuesta una barbaridad, explicar que es un ataque MitM, un envenenamiento del dhcp, dns, etc. En mi caso, me suelen mirar con la misma cara que pone mi perro, me escuchan, y parece que me entienden, pero sólo están pensando que estoy loco y que mi hobby, es demasiado raro.<br />
<br />
¿A alguien más le han mirado raro cuando ha dicho que quiere comprarse: <a href="http://www.raspberrypi.org/" target="_blank">Rasberry pi</a>? Tras mi explicación de que lo quería para tener un nuevo juguete con el que cacharrear, y divertirme un rato, las miradas de extrañeza pasaron a ser de aceptación.<br />
<br />
Conceptos:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.calicoelectronico.es/tienda/product_info.php?products_id=318" target="_blank"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3b5EX3OkTojrIr3fC9MGF143CUEhTNNlQBQlsp-UA4RHi6RbVousohL1OpWuMTAxSvixbWjEUrsP-3DIi_jE-uWl0OqVXBRVVTb8Y31QI39oD2dcK6S2IFB3O_OhJq0MSAW-gSdyqrSg/s200/8_ChupitoCL.png" width="200" /></a></div>
<br />
Ataque DoS (o "Ddos"): Pongámonos en situación. Un día sales de marcha con varias amigas. Y un tipo galán*, se acerca a invitar a alguna de ellas a tomar una ronda de chupitos. La cosa avanza, y ya son 6 rondas. Tú amiga comienza a no enterarse de nada de lo que ocurre, sólo es capaz de balbucear. Al terminar la noche, te toca arrastrarla hasta su casa. Está completamente K.O, no responde a nada. ¡Perfecto! Ese galán, ha efectuado ¡un ataque DoS a tú amiga! (<a href="http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio" target="_blank">Explicación Técnica</a>)<br />
<br />
Ataque MitM: De nuevo, sales con las amigas a cenar, el galán ya es familiar, y está cenando con vosotras. Se le ocurre hacer un chiste o broma. Sentado en medio de tú amiga y tú. Lógico, ¡está ligando con ella! Le pides amablemente que te pase el ketchup, y él le dice a tú amiga que por favor te pase la salsa más picante de toda la mesa. Le pasa el bote y él te lo entrega. Minutos después te está picando la garganta y estas maldiciendo la broma. ¡Te han hecho un ataque de Man in the middle! (<a href="http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle" target="_blank">Explicación Técnica</a>)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjL2Wb_gLHr2_a7sntoCYxAfOTXDoYi6apcUXG-3dLMOcE5c_ll10_iHNiQOWrIvxWLVYUAhTETEXqg3aw-u1EocAHMwovrm8NKnksmgSIsaot_QV9GX07syz_S7XJJfm-t40VdnLIBVI/s1600/5caf5fe414886f249829fe5daf2f6f5b_400.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjjL2Wb_gLHr2_a7sntoCYxAfOTXDoYi6apcUXG-3dLMOcE5c_ll10_iHNiQOWrIvxWLVYUAhTETEXqg3aw-u1EocAHMwovrm8NKnksmgSIsaot_QV9GX07syz_S7XJJfm-t40VdnLIBVI/s200/5caf5fe414886f249829fe5daf2f6f5b_400.jpg" width="126" /></a></div>
<br />
<br />
Ataque MitM V2: En la misma cena, le indicas al galán que le pida a tú amiga el mechero. ¡No es bueno fumar! ¡y ahora jamás deberías hacerlo en un restaurante, por favor! Nuestro amigo, quiere enseñar su flamante mechero de broma, por lo que finge decirle algo, y finalmente te entrega su mechero trucado. Cuando tratas de encenderte el cigarro, un chorro de agua directo a tú cara. ¡Otro ataque MitM!<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimbjnxFt0HAZAi9V9ZQkIbiJeK0E58jFiXsp4ORr0PIUEK9PmKdrUz5zEfoOflm6N-rf_EmWPwYDNi47RfOI_8RJNa0Eha3eHLm_UKRV4BGU0F05SQ_2ZmADAaUGgbOkZBxQoTHGgS5pw/s1600/vestidos.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimbjnxFt0HAZAi9V9ZQkIbiJeK0E58jFiXsp4ORr0PIUEK9PmKdrUz5zEfoOflm6N-rf_EmWPwYDNi47RfOI_8RJNa0Eha3eHLm_UKRV4BGU0F05SQ_2ZmADAaUGgbOkZBxQoTHGgS5pw/s200/vestidos.png" width="200" /></a></div>
<br />
<br />
DHCP falso /Injector / etc: Todos sabemos, como os gusta a las chicas la ropita, y la de veces que os cambiáis. Tú amiga, y el galán (un tipo con una chispa formidable). Están en tú casa, han venido a buscarte. Estas preguntado que vestido deberías ponerte. ¿El rojo con escote, o el negro formal? El galan, se ha comprado en DealExtreme, un modulador de voz, como los de las películas. Y poniéndole enfrente de su boca. Sus palabras suenan como las de tú amiga. Antes de que ella pueda responder, el galán, utilizando el cachivache dice: ¡El rojo! Ese te quedará genial. Y tú, pensando que la respuesta ha sido de tú amiga, sales con el vestido escotado el resto de la noche. Lo siento. ¡Has sufrido un ataque de DHCP falso! (<a href="http://www.elladodelmal.com/2011/10/ataque-man-in-middle-con-dhcp-ack.html" target="_blank">Explicación Tecnica</a>)<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOR7t5-B09032TFsnyAznWNGjqJVmE7cwzEMEKJa7tezGs43ABPaRH_de4xfQHu1a7o2UnkdOTzqVCAf_PRgZLQtn8b9csYm531XrrpP5a_GINOMFvHWP3QArAueA0JuLAewPuVM5H4xc/s1600/leon.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOR7t5-B09032TFsnyAznWNGjqJVmE7cwzEMEKJa7tezGs43ABPaRH_de4xfQHu1a7o2UnkdOTzqVCAf_PRgZLQtn8b9csYm531XrrpP5a_GINOMFvHWP3QArAueA0JuLAewPuVM5H4xc/s200/leon.jpg" width="200" /></a></div>
Envenenamiento ARP: Realmente crees, que el galán es un imbécil. Y ya te aseguras de que todo lo que haces, se lo dices directamente a tú amiga. Pero has perdido el móvil. Y no tienes tú agenda, pero quieres hablar con tú amiga, curiosamente te encuentras con su chico. Nuestro galán. Y te ofrece de forma gratuita darte el número de teléfono de tú amiga, para que podáis quedar. ¡Qué majo! ¡Al final, no va a ser tan gilipollas! Anotas el número, y en casa decides llamar: -Zoo de Madrid. ¿Dígame? (<a href="http://es.wikipedia.org/wiki/ARP_Spoofing" target="_blank">Explicación Técnica</a>)<br />
<br />
*No me responsabilizo de las acciones efectuadas por el galán :P. Y no tengo relación alguna con él.<br />
<br />
PD: Hay mucha licencia. Acepto ideas y modificaciones / Mejoras o incluso una 2ª versión de los ataques :D.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-9791253352377937352012-03-02T18:59:00.000+01:002012-10-23T18:32:01.526+02:00WhatSniff 1.2 (Estable)<div style="text-align: center;">
<a href="http://goo.gl/SQxCJ" target="_blank"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3nso05WQO61bK8uG0XjSRWCqEF8q19DIOYgaGPoVcYJBUI51c0oJJMYjAJquf1-InB_0XuPfUEr7jsetOOCcuTvr4rmNuwUfjdD188Yij9WUm0saagFTImJOFs7SAqr9EeNq8kPSNbHk/s200/sniff.png" width="200" /></a></div>
<br />
<br />
Aprovechando un post de <a href="http://www.securitybydefault.com/2012/03/casi-10-millones-de-moviles-espanoles.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+%28Security+By+Default%29&utm_content=Google+Reader" target="_blank">Security By Default</a>, he actualizado la tool. Con las mejoras que trae <a href="http://miequipoestaloco.blogspot.com/2012/02/whatspcap-11.html" target="_blank">WhatsPcap</a>.<br />
<br />
El visor de estatus aparece haciendo click derecho tanto en el form, como en la zona izquierda. Donde aparecen los números de teléfonos.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4KIBAvNDWMkhZ0TIEUoGqycmLji6bltqpD41fu0ysy9V1qCRaSBXHG4O2M3yC9qTh5oLFhdt_SueNL_sS0SxScENvAcJoegwe5cbpcYHne2beID_R3bSs3Anjv0_ZnfADYWL8wiB9naA/s1600/status.PNG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="271" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4KIBAvNDWMkhZ0TIEUoGqycmLji6bltqpD41fu0ysy9V1qCRaSBXHG4O2M3yC9qTh5oLFhdt_SueNL_sS0SxScENvAcJoegwe5cbpcYHne2beID_R3bSs3Anjv0_ZnfADYWL8wiB9naA/s320/status.PNG" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Para muestra un botón</td></tr>
</tbody></table>
<br />
<br />
Si tienes dudas de como utilizarlo "<a href="http://miequipoestaloco.blogspot.com/2012/02/whatsapp-sniffer.html" target="_blank">Manual versión anterior</a>"<br />
Un videotutorial. Muchas gracias por la relaización del mismo: <a href="http://www.adminso.es/index.php/Animacion_WhatsApp_sniffer" target="_blank">Videotutorial</a> <br />
<br />
Esta nueva versión tiene:<br />
-Lectura de mensajes enviados desde whatsapp.<br />
-Lectura de mensajes recibidos desde whatsapp.<br />
-Lectura de coordenadas enviadas y recibidas.<br />
-Lectura de fotos, videos, etc enviado / adjuntado.<br />
-Muestra terminales localizados en la red local, y su versión de whatsapp.<br />
-Muestra número de teléfono del usuario de la red local. (Emisor).<br />
-Muestra nombre de registro de whatsapp emisor. <br />
-Localizador de estatus. El nick que se pone en whatsapp.<br />
<br />
<div style="text-align: center;">
(YA NO FUNCIONA)- <a href="http://goo.gl/SQxCJ" style="text-decoration: line-through;" target="_blank">Link de descarga</a><strike> </strike> (YA NO FUNCIONA)</div>
<div style="text-align: center;">
<br /></div>
<div style="text-align: left;">
El agradecimiento esta vez es para Alejandro Ramos, que me ha permitido utilizar el fallo descubierto por él.</div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
Notas: Probada para localizar mensajes enviados y recibidos desde whatsapp. Probada con números de teléfono en españa. Funciona en sistemas windows. Es posible que requiera las librerias de Visual Basic. En caso de no funcionar correctamente en Windows 7, ejecutadla como administrador.</div>
WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-44453520439315198012012-02-21T08:00:00.000+01:002012-02-21T08:00:04.990+01:00WhatsPcap 1.1<div class="separator" style="clear: both; text-align: center;">
<a href="http://goo.gl/qL1sM" target="_blank"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3nso05WQO61bK8uG0XjSRWCqEF8q19DIOYgaGPoVcYJBUI51c0oJJMYjAJquf1-InB_0XuPfUEr7jsetOOCcuTvr4rmNuwUfjdD188Yij9WUm0saagFTImJOFs7SAqr9EeNq8kPSNbHk/s200/sniff.png" width="200" /></a></div>
WhatsPcap, analizador de paquetes offline. No siempre se puede realizar una captura en directo, este programa está ideado para leer capturas realizadas desde nuestro teléfono móvil. Concretamente adaptado para <i>wireshark</i>, o su versión para móviles <i>shark</i>. Como se utizaría lo podéis encontrar <a href="http://miequipoestaloco.blogspot.com/2012/02/whatspcap-un-sniffer-para-un-uso.html" target="_blank">aquí</a>.<br />
<br />
Caracteristicas:<br />
-Lectura de mensajes enviados desde whatsapp.<br />
-Lectura de mensajes recibidos desde whatsapp.<br />
-Lectura de coordenadas enviadas y recibidas.<br />
-Lectura de fotos, videos, etc enviado / adjuntado.<br />
-Muestra terminales localizados en la red local, y su versión de whatsapp.<br />
-Muestra número de teléfono del usuario de la red local. (Emisor).<br />
-Muestra nombre de registro de whatsapp emisor. <br />
-No requiere estar funcionando mientras se realiza la captura.<br />
-Funciona tanto con Wireshark para pc, como sus versiones en móviles. <br />
<br />
Posibles problemas:<br />
-Probado en españa (No he tenido oportunidad de probar con otros paises).<br />
-Probado con Android.<br />
-No está añadida capturar iconos. Se ven caracteres "raros".<br />
-No tiene aún adaptada la función de grupos.<br />
<br />
En caso de querer colaborar / o fallos que no detecte algún mensaje enviado o recibido. No dudéis en poneros en contacto conmigo. Me gustaría conocer si está funcionando correctamente en otros países. En caso contrario adaptar la aplicación.<br />
<br />
<div style="text-align: center;">
<a href="http://goo.gl/qL1sM" target="_blank">Descarga</a></div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-34107193228693165082012-02-19T08:25:00.000+01:002012-03-04T20:30:03.659+01:00WhatsPcap ¡Un sniffer, para un uso offline!Definitivamente. ¡<i>Mi equipo está loco</i>! y he visto que no se puede confiar en él. Me deja tirado en los mejores momentos. Le voy a cambiar por un Ipad, que están de moda, y seguro que funciona mejor que Windows 7.<br />
<br />
Mientras tanto, le he cogido un cariño especial a mi HTC, él sólo me deja tirado por culpa de su poca batería, y por darle mucho tute. Pero sé que cuando se apaga, realmente siente lástima por dejarme tirado, sin embargo mi equipo, sonríe con sus reinicios, y se pone a instalar muy lentamente las actualizaciones al apagar en relación a la prisa que note que tengo.<br />
<br />
Hoy vamos a jugar un poquito con nuestro equipo portatil, nuestro móvil. Y es que intentar hackear, es divertido en cualquier situación, y un ordenador por pequeño que sea, siempre es mucho más evidente, y un pequeño lastre. Para nuestra aventura necesitamos (Poned voz de Art Attack!):<br />
-Un móvil<br />
-Android<br />
-<a href="https://market.android.com/details?id=com.overlook.android.fing&hl=es" target="_blank">Fing</a> (Opcional)<br />
-Una herramienta de envenenamiento arp (Sirve, <a href="http://droidsheep.de/?page_id=23" target="_blank">Droidsheep</a>)<br />
-<a href="https://market.android.com/details?id=lv.n3o.shark&hl=es" target="_blank">Shark</a><br />
-<a href="http://goo.gl/qL1sM" target="_blank">WhatsPcap</a> <br />
-Una red propia, y las medidas para hacerlo todo legal y chachi (uis, ha dicho chachi!)<br />
<br />
La primera aplicación en encender, será fing. Un escaner de red, que me tiene enamorado. Verificamos clientes móviles, en la red. Saldrá el tipo es decir, apple, htc, bla bla bla. Este escenario, sería el adecuado, debido a que este tipo de dispositivos tendrán funcionando WhatsApp. Ya podemos cerrarla.<br />
<br />
Seguimos con droidsheep, fácil de usar. Simplemente tenemos que activar, las 2 opciones inferiores, y la aplicación se encarga de todo. <i>Start</i>, y la dejamos en segundo plano. Es decir, dando a <i>HOME</i>. Para poder abrir nuestra última aplicación en el móvil.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwNs_ksHdKBm4pOTYS3Xo1uHxRCeMHordnMbfSQSqFpjHD93UrdJavKBJ39HF0UhRc2HknZoVzogU__P9s5TchsE0VkLOtNcVJ2Ftl51GmXxtYNEhaGoEb4L8b1tjQFhfc0CX6QnRX1es/s1600/droidsheep_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwNs_ksHdKBm4pOTYS3Xo1uHxRCeMHordnMbfSQSqFpjHD93UrdJavKBJ39HF0UhRc2HknZoVzogU__P9s5TchsE0VkLOtNcVJ2Ftl51GmXxtYNEhaGoEb4L8b1tjQFhfc0CX6QnRX1es/s1600/droidsheep_1.jpg" /></a></div>
<br />
<br />
Shark, es un clon, de whiresark para pc. Digo clon, salvando las distancias. Realmente me refiero a su comportamiento "base". Es decir, la captura de trafico dentro de una red. Como en el caso anterior, simplemente hay que encender dicha aplicación, presionar <i>start</i> y dejarla en segundo plano, en este caso, ya podemos apagar nuestra pantalla, que ellas se encargaran de seguir funcionando. Recordar que en algunos móviles, se desconecta el wifi, cuando se apaga la pantalla. Se sale de mi idea, explicar como solventarlo, pero es un fallo a tener en cuenta.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiWtGqjNfuKjun1cdf5V871a9kUm0huDEj-yOv8GmnW89l01WZAkUm6iwuvcwCYN0luuhXPQJ-MThyphenhyphenIpdv6yRaQWmt67sMDLSJ2UDrYvCGBhqPmepJOgKmRBmQ3xRvJ44wTBna_NMqyYM/s1600/shark1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiWtGqjNfuKjun1cdf5V871a9kUm0huDEj-yOv8GmnW89l01WZAkUm6iwuvcwCYN0luuhXPQJ-MThyphenhyphenIpdv6yRaQWmt67sMDLSJ2UDrYvCGBhqPmepJOgKmRBmQ3xRvJ44wTBna_NMqyYM/s1600/shark1.png" /></a></div>
<br />
<br />
Ahora es nuestro momento, de utilizar whatsapp, en nuestro otro móvil. Podemos enviar mensajes, recibirlos. Podemos estar horas, minutos, o segundos, todo quedará reflejado en la captura que estamos realizando en el primer móvil con el que hemos trabajado. Este es el momento, de parar <i>shark</i>. La captura nos la ha guardado en la raiz de la tarjeta SD. Con una extensión .PCAP.<br />
<br />
El paso más sencillo, una vez tenemos la captura en la SD y nuestro móvil conectado al ordenador, o la captura ya copiada al mismo, es encender whatspcap, localizar el fichero, y presionar <i>Leer</i>. En pocos segundos, tendremos un registro de toda la información capturada.<br />
<br />
<div style="text-align: center;">
<a href="http://goo.gl/qL1sM" target="_blank">Descarga WhatsPcap</a></div>
<br />
Notas de abordo:<br />
-Espiar a la novia, a los amigos, a tu gato (en sus ratos libres hacen cosas muy raras). No es legal. No facilito herramientas con este fin, si no dar la oportunidad de cacharrear.<br />
-Las herramientas que explico corresponden a sus autores, no tengo nada de que ver en ellas salvo en la que da título a esta entrada. Agradezco opiniones sobre nuevas herramientas.<br />
-Un abrazo a los que me ayudan enviándome mensajes cuando hago las pruebas. Que les tengo martirizados.<br />
<br />WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-18419110167866636812012-02-03T15:30:00.001+01:002012-05-07T00:29:17.516+02:00Whatsapp Sniffer (windows)<div class="separator" style="clear: both; text-align: center;">
<a href="http://goo.gl/VTlAJ" target="_blank"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi3nso05WQO61bK8uG0XjSRWCqEF8q19DIOYgaGPoVcYJBUI51c0oJJMYjAJquf1-InB_0XuPfUEr7jsetOOCcuTvr4rmNuwUfjdD188Yij9WUm0saagFTImJOFs7SAqr9EeNq8kPSNbHk/s200/sniff.png" width="200" /></a></div>
<br />
Ya disponible la nueva versión ¡<a href="http://miequipoestaloco.blogspot.com/2012/03/whatsniff-12-estable.html" target="_blank">Pruébala</a>!<br />
<br />
Aquí os dejo un analizador de red, destinado a capturar el trafico e interpretarlo de la red Whatsapp. Requiere para poder hacerle funcionar que se instale en el equipo:<br />
-<a href="http://www.oxid.it/cain.html" target="_blank">Cain</a><br />
<div style="text-align: left;">
-<a href="http://www.winpcap.org/" target="_blank">Winpcap</a></div>
<br />
Para poder utilizarlo, debes instalar caín, y proceder a envenar la red. Para que así, todo el trafico de red pase por el equipo que tiene el sniffer escuchando.<br />
<br />
<a href="http://seifreed.com/2011/06/07/man-in-the-middle-con-cain-y-abel/#comments" target="_blank">Manual para utlizar caín.</a><br />
<br />
Una vez, tenemos todo listo. La red envenenada, para hacer un ataque Man in the middle. Abrimos el sniffer de whatsapp. He intentado hacerlo muy intuitivo, o herramienta de botón gordo. Pero hay una cosa que se deben configurar. Y es el adaptador.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><img border="0" height="285" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgq15YM_L1XXFxOwXSOxur7yLtA0M-e3KBtbaiJMWZL3y7mvgtExG2oPvzJmOCbrvVAHO_7fuZ_dcpeupLxE8suA8RfrXWrar00eoG_vUINgl6fU1-1vEfgXyf3p6ZhMUdNTYfpdUbMCwc/s320/1.JPG" width="320" /></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Captura adaptador</td></tr>
</tbody></table>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
Una vez seleccionado nuestro adaptador, tan sólo nos queda dar a capturar. Y veremos como se va llenando de datos.<br />
<br />
<br />
La parte izquierda, se irá rellenado de los teléfonos que han recibido / enviado mensajes, pero NO están en la red comprometida.<br />
<br />
<br />
La parte derecha, contiene el texto, que ha sido transmitido. Estoy depurando algún que otro error, que aparece: Ej: Acentos, símbolos y caracteres raros, y los iconos. No os molestéis, no aparecen los iconos.<br />
<br />
<br />
En la zona inferior, aparecen los datos del equipo local, el que se encuentra en la red. Aun no he terminado, espero que en la próxima versión (Tenia ganas y prisa por publicar esta). Aparezca una correlación entre emisor y receptor. Ahora, aparece el nº remoto, y el local, en vez de salir su nº de teléfono, aparece como "usuario".<br />
<br />
<br />
En la misma pantalla, se muestran datos del terminal. No lo he podido probar con iphone (es lo que tiene que uno es pobre). Si alguien tiene un terminal, iphone, un tablet, blackberry, etc, y quiere colaborar conmigo (es requisito, que se defienda con wireshark). Estaré encantado de analizar sus capturas, para mejorar la aplicación.<br />
<br />
<br />
Así mismo, fallos, dudas y sugerencias, a los comentarios. Lo mismo para aquellos, que quieran colaborar con ideas, o fallos de seguridad que se puedan ir implementando en la herramienta.<br />
<br />
<div style="text-align: center;">
<strike>Link de descarga </strike><br />
<a href="http://miequipoestaloco.blogspot.com.es/2012/03/whatsniff-12-estable.html" target="_blank">Link nueva versión</a></div>
<br />
Y dejo para el final la parte que quizá sea la más importante, ya que la herramienta está aquí gracias a las siguientes personas / webs / y o herramientas. Podríamos llamar a esto, la bibliografía.<br />
<br />
-<span id="bc_0_37b+seedlOQD" kind="d"><cite class="user blog-author"></cite></span><a href="http://www.seginformatica.net/2012/01/whatsapp-al-descubierto.html" target="_blank">P0is0n</a> (Por que de el nacio la idea, y le copie hasta el nombre de su aplicación).<br />
-<a href="http://www.securitybydefault.com/2012/01/whatsapp-al-descubierto.html" target="_blank">SecurityByDefault</a> <br />
-<a href="http://www.winpcap.org/" target="_blank">Winpcap</a><br />
-<a href="http://vbpcap.proboards.com/" target="_blank">Vbpcap</a> (A quienes durante días, estuve odiándoles, con cariño)<br />
-A un tipo que creo que es italiano. Ya que he utilizado sus Módulos de clase; ClsEthernet, ClsIP, y ClsTCP. No enlazo, por que no sé, exactamente quien es.<br />
-<a href="http://allapi.mentalis.org/agnet/apiguide.shtml" target="_blank">Api-Guide</a><br />
-A Javier, por echarme una mano, con el tema legal. <br />
<br />
-A todos los que les he robado un poquito de código.<br />
-Y por
supuesto a la persona que me hizo el icono (Que es una nariz de perro),
sin ella, todos mis diseños serian con rosa fosforito, verde fosforito, y
algún otro color a sus ojos "horrible".<br />
<br />
PD: Se acepta poner el logo del <a href="http://www.rootedcon.es/" target="_blank">Rooted</a>, a cambio de una entrada para este año :P.<br />
<br />
Un saludo,<br />
WiNSoCk.<br />
<br />
<b>Nota final</b>: Se recuerda que el
secreto de las comunicaciones es un derecho fundamental de cualquier
ciudadano, por tanto, el uso de esta herramienta para vulnerar dicho
derecho está penado en nuestro Código Penal. No me hago responsable
del uso que le vayais a dar, ésta herramienta tan sólo es una demostración de lo importante que debe ser nuestra seguridad para
evitar que un tercero, con unos mínimos conocimientos, pueda
monitorizar y conocer nuestras comunicaciones. Repito: no me hago
responsable de su uso, allá cada cual con sus intenciones.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-26239117725394896652011-09-16T23:56:00.005+02:002012-02-03T14:58:36.529+01:00Formas de conocer chicasEstá claro, lo vemos día tras día. El mundo de internet es para el porno. Lo sé, no he descubierto nada nuevo. Existen webs de anuncios, contactos, rasca y gana :P. Tenemos un poco de todo. Y alguno estará dudando, si esto era o fue, un blog de informática. Pues sí, y no deja de serlo. Al ataque.<br />
<br />
Primero, tenemos a una chica vasca. Muy guapa ella. Decide, salir en TV, para explicar que su teléfono, era de una prostituta, y luchar, por sus 9€ (Joder con la crisis) para que le den otra línea. Yo, viendo a la muchacha, a pesar de que explica que tiene novio, soy un valiente. Pensé en llamar a la TV, y decirles que me parecia muy atractiva, que si les importaría darme su teléfono para conocerla y tal, pero realmente lo vi poco optimo. No creo que colaboren en este tipo de peticiones, a pesar de que suelo ser muy educado.<br />
<br />
Ella y su momento: http://www.eitb.com/es/videos/detalle/736622/euskadi-directo-mi-numero-movil-era-prostituta/<br />
<br />
Simplemente, visionando el vídeo, empiezan a dar enlaces, referencias, para que la noticia tenga un poco más de chicha. Por lo que empiezo a tirar de la manta, y simplemente buscar lo que me ofrecen en la noticia.<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKmI9J2Ai_Ti764Y7ANlReiJEyPhNpJzmX2RM220Jr3HZsjMGWcB3J_F8nvyVpOB4gbAkbVFjAd1_iSxN-IVEZEazADjYLPRJUYHSvTF9aqHQaMBrI_sdF-RvWZrL_72XxtHniWbh3l_Q/s1600/1.jpg"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5653081826302475554" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKmI9J2Ai_Ti764Y7ANlReiJEyPhNpJzmX2RM220Jr3HZsjMGWcB3J_F8nvyVpOB4gbAkbVFjAd1_iSxN-IVEZEazADjYLPRJUYHSvTF9aqHQaMBrI_sdF-RvWZrL_72XxtHniWbh3l_Q/s320/1.jpg" style="cursor: pointer; height: 320px; width: 270px;" /></a><br />
<br />
La primera en la frente. Click en el enlace, y sorpresa, ya han dado de baja el anuncio. Tenia la necesidad de descubrir el teléfono, para hacerle ver mi interes, y demostrarle que valgo más que su novio, a pesar de los kilometros que nos separan. Decido probar con la cache de google.<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguAt3EuYtKaBe9le5_URHDk_1ooxd88IVzZDpz-XMM2tHWPqhj7qmTTTJ6CmuJ2mVOV6n7vrwsRK6wIwsa4oiI4BYEoCru4PIAj2COe4DRK8qkby5eiCHye7azda6T4tD_zq9W2oueJ48/s1600/2.jpg"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5653082174813072834" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguAt3EuYtKaBe9le5_URHDk_1ooxd88IVzZDpz-XMM2tHWPqhj7qmTTTJ6CmuJ2mVOV6n7vrwsRK6wIwsa4oiI4BYEoCru4PIAj2COe4DRK8qkby5eiCHye7azda6T4tD_zq9W2oueJ48/s320/2.jpg" style="cursor: pointer; height: 284px; width: 320px;" /></a><br />
<br />
<br />
Como se puede comprobar, continua completamente visible, he tapado 2 dígitos, por que desconozco hasta que punto es legal o no. Y por que tampoco me interesa, continuar jodiendo la vida a la pobre chica. Sé que la gente de la TV, va a continuar mostrando información que a mi juicio se pasa de lo necesario para informar. Ahora, eso sólo es mi opinión.<br />
<br />
PD: A los interesados en mi estado sentimental con la chica. Confesar que he preferido no molestarla, a pesar de saber que tras ver mi interes, no tendría duda alguna y se vendría conmigo, pero hoy, no tengo ganas de estropear la relación de nadie.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-61989009936960720122011-06-16T18:39:00.005+02:002012-05-29T15:27:22.402+02:00Tutorial. Hotel Mogul {Reversing / Cracking}En vista de lo chungo que está el asunto, pondré lo típico que recomendará mi abogado en el futuro. Toda la información aquí referida, es para aprender, estoy en contra de la pirateria y el reggeton, etc... (El etc, significa, vease el texto tipico de cese de responsabilidad y esas cosas). Por si acaso, no adjunto crack. Aquí que cada perro se lama...<br />
<br />
Siento, la calidad de las imagenes, si haceis click, se ven perfectamente. Insisto, lo siento.<br />
<br />
<span style="font-style: italic; font-weight: bold;">Comienzo</span><br />
<div class="MsoNormal">
<span lang="ES-CO">Descripción Protección del juego basada en límite de tiempo. Sólo permite probarlo durante 30 minutos, después cobra 7€.</span></div>
<div class="MsoNormal">
<span lang="ES-CO">Descarga: <a href="http://am05.mirror.alawar.com/HotelMogulEs_11484.exe">http://am05.mirror.alawar.com/
</a>HotelMogul Es_11484.exe</span></div>
<div class="MsoNormal">
<span lang="ES-CO">Una vez instalado el juego, nos encontramos que tiene 2 ejecutables. El primero llamado: HM, y el segundo HM.wrp. Ya comienza a oler raro. Si ejecutamos el primero aparece una NAG, indicando que queremos hacer, jugar 30 minutos o pagar. Y si ejecutamos el HM.wrp no hace nada. Parece que se cierra.</span></div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIFPHYZwSEVmrTf9oaTZWj4s56RaqTislXx0Jcxgsnq1aPZitAid3sHlg8o39JxeAyrZ92NPB3leDMda2IYolL5EGIy62Z6TEX6rW3q8HyXT2vFRz3MLQv-7wHJnnBQjRH6VBQ2uyf0E8/s1600/1.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859183418815874" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhIFPHYZwSEVmrTf9oaTZWj4s56RaqTislXx0Jcxgsnq1aPZitAid3sHlg8o39JxeAyrZ92NPB3leDMda2IYolL5EGIy62Z6TEX6rW3q8HyXT2vFRz3MLQv-7wHJnnBQjRH6VBQ2uyf0E8/s320/1.JPG" style="cursor: pointer; height: 330px; width: 554px;" /></a></div>
<div class="MsoNormal">
<span lang="ES-CO">Peid nos indica: </span></div>
<div class="MsoNormal">
<span lang="EN-GB">HM.wrp = Nothing Found</span></div>
<div class="MsoNormal">
<span lang="EN-GB">HM = ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov [Overlay]</span></div>
<div class="MsoNormal">
Como el que ofrece Resistencia (y es el único que hace algo), es el HM, será el que procese por el OllyDbg. Indicar que el otro fichero visto desde olly, tiene un RET, nada más empezar. Salta a Kernerl32.ExitThread y finaliza la aplicación.</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEgBCakKR3wZsv8vr_ELt7dV2oynfepAe0j34vJmx0cfoU9JZZUANfzXQNrtp6j_Vo37YgRoZUvAspIXQiEUZ0jDTK_iC7_3nUNlDfJxBjnq4i4LhdIl5JuZfPhNoGLl308YUhQCqWaRI/s1600/4.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859202718752114" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEgBCakKR3wZsv8vr_ELt7dV2oynfepAe0j34vJmx0cfoU9JZZUANfzXQNrtp6j_Vo37YgRoZUvAspIXQiEUZ0jDTK_iC7_3nUNlDfJxBjnq4i4LhdIl5JuZfPhNoGLl308YUhQCqWaRI/s320/4.JPG" style="cursor: pointer; height: 40px; width: 650px;" /></a></div>
<div class="MsoNormal">
Visto lo visto, uno ya empieza a pensar que uno actuará de Padre y llamara al hijo modificándole en memoria y posteriormente ejecutar. O bien, edita el ejecutable y lo deja operable de nuevo, monitorizando y posteriormente restaurando (con el peligro que esto podría acarrear), o por último que copie el fichero en “tmp”, por suponer algo, y de nuevo, modificar y ejecutar. ¿Resultado?</div>
<div class="MsoNormal">
CreateProcess ¡! Como en cualquiera de los casos, me huele a una llamada a esta api, probaré a monitorizarla. Esto lo intuyes por viejo. Así que: <b>BP CreateProcessA</b>. No sin antes, proceder a quitar la protección de ASP. No lo incluiré en el tutorial por que ya existen muchos, si bien utilicé un programa; Por comodidad.</div>
<div class="MsoNormal">
Probamos a ejecutar, pasamos todos los errores, y damos a probar el juego. ¡Tachan! ¡Falla! :D El juego arranca sin mayor problema (falla para nosotros, no el programa). Cambio de idea,<br />
<b>BP CreateProcessW</b>. Y repetimos el proceso. Esta vez, sí, ha parado.</div>
<div class="MsoNormal">
En EDI, vemos la ruta del programa, justo el ejecutable que no hacia nada… Y también lo apreciamos en los parámetros de llamada del proceso. Por lo que ejecutamos hasta el RET, y F8, para ver que podemos ver por la que creo será la zona caliente…</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUCwPLIcoSzs-_dr-s2e0MLkxLqfQ-Hy45096FWcMKVoAWhf6oOzL3NHIz69eQocBjpH7bddh-Y2e611T0-AhGFfdXXD6q29AzyWNFPEBk83n3Ixdz2RxfjfT7dr4-VEtCCnrVxUC0jT0/s1600/5.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859206467577122" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiUCwPLIcoSzs-_dr-s2e0MLkxLqfQ-Hy45096FWcMKVoAWhf6oOzL3NHIz69eQocBjpH7bddh-Y2e611T0-AhGFfdXXD6q29AzyWNFPEBk83n3Ixdz2RxfjfT7dr4-VEtCCnrVxUC0jT0/s320/5.JPG" style="cursor: pointer; height: 53px; width: 609px;" /></a></div>
<div class="MsoNormal" style="text-align: center;">
Contenido de EDI</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDUdxrAK-VL6cUXykubhJ4UDRIb6xaaAppI_OnQwpm74d-PJiMBhTYnbTpJ5L9HzepOFYMtXjBIWxzt_7ZX5I1EyRIMEpeJThKLOWtiAH9glfNMmENEGcx_-egne4RdXEzxEYN7OfKBcc/s1600/6.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859360727638018" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDUdxrAK-VL6cUXykubhJ4UDRIb6xaaAppI_OnQwpm74d-PJiMBhTYnbTpJ5L9HzepOFYMtXjBIWxzt_7ZX5I1EyRIMEpeJThKLOWtiAH9glfNMmENEGcx_-egne4RdXEzxEYN7OfKBcc/s320/6.JPG" style="cursor: pointer; height: 143px; width: 400px;" /></a></div>
<div class="MsoNormal" style="text-align: center;">
Llamada y parametros</div>
<div class="MsoNormal">
<i>¡Importante el proceso lo ejecuta SUSPENDIDO!</i></div>
<div class="MsoNormal">
Salimos en 1004CE45, si vamos traceando un poco, vemos abajo en la línea 1049F3E, un DebugActiveProcess, esto, ya me hace sospechar de que el aplicativo, funciona a modo Debugger. Attachea, modifica, y libera. Pero vamos a comprobarlo.</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWjKAoE8tWCtRqfyHiBupIZLTCrbdjCJMkNqeKlYA8nB6CBO_VvxXYOVGrUFCHSJLUUqaoLMqTrq4muSiK_MWHUu8w6fzhYXY-p8BYrZjbv3hwJcDkgR1w_JFvW9IxDsZXyeAbFrgTKiM/s1600/7.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859364198965698" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWjKAoE8tWCtRqfyHiBupIZLTCrbdjCJMkNqeKlYA8nB6CBO_VvxXYOVGrUFCHSJLUUqaoLMqTrq4muSiK_MWHUu8w6fzhYXY-p8BYrZjbv3hwJcDkgR1w_JFvW9IxDsZXyeAbFrgTKiM/s320/7.JPG" style="cursor: pointer; height: 56px; width: 448px;" /></a></div>
<div class="MsoNormal">
Pues no, hay un salto que nos lleva hasta 10049F8B, un poco más abajo vemos VirtualProtectEx, es decir va a modificar los permisos de la dirección: 0056E17, curiosamente el EP del proceso que falla, justo donde se encuentra el RET, y modifica 2 bytes. Modificará o al menos permitirá modificar el C3 90, que existe. Le otorga permisos de Ejecución / Lectura / Escritura.</div>
<div align="center" class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6kuYqdYvAJul50ZGmYieQMmqDBTgVzj2Tlbt49P3VIl5dySmKVU35vWK1yBkHM5W9nqV0CnDabZzboZ_BwwiCtlCz_aluZAZG_S4U5xcbrJ_FxdjZEyZoqlJQ4-0hwdlJbZduZGBC8nQ/s1600/8.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859362714703666" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6kuYqdYvAJul50ZGmYieQMmqDBTgVzj2Tlbt49P3VIl5dySmKVU35vWK1yBkHM5W9nqV0CnDabZzboZ_BwwiCtlCz_aluZAZG_S4U5xcbrJ_FxdjZEyZoqlJQ4-0hwdlJbZduZGBC8nQ/s320/8.JPG" style="cursor: pointer; height: 90px; width: 304px;" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
Parametros de VirtualProtectEx</div>
<div class="MsoNormal">
Traceando un poco más, nos lleva hasta un WriteProcessMemory, esta api, es la encargada de modificar los valores en MOMORIA del proceso. De nuevo la dirección a modificar es el EP del otro proceso. 2 bytes el tamaño. Si miramos que hay en el Buffer: E8 14.</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMYNMBRmq4Zq6TGkZ9QKFNkIJ-_Fs4fBvDoQO8JbR6OJssFXBsGBphyG5GA1QtkJRJOTCvMHp23ZLQFz20R2zr7b57nFhbG0j9OrjKdOFZNxLEsHPH2b-fHnpz4j0HYvLKtOYulgoi2_Y/s1600/2.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859190555090098" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMYNMBRmq4Zq6TGkZ9QKFNkIJ-_Fs4fBvDoQO8JbR6OJssFXBsGBphyG5GA1QtkJRJOTCvMHp23ZLQFz20R2zr7b57nFhbG0j9OrjKdOFZNxLEsHPH2b-fHnpz4j0HYvLKtOYulgoi2_Y/s320/2.JPG" style="cursor: pointer; height: 107px; width: 448px;" /></a></div>
<div align="center" class="MsoNormal" style="text-align: center;">
Valores en buffer</div>
<div class="MsoNormal" style="text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgIALBkVSWJpF17yeFFI679YBJnxDm1kkGrHZ8JIW_G1JbdIbdfcyiZqnxvdHpEU3bqUGBkQyK6wuW6xQl7_XUXoGu2ddbr5DzXOPLMtkWOBOsWpqWzN9nev-0EJRkbWu2zq1fQVJRUObU/s1600/3.JPG"><img alt="" border="0" id="BLOGGER_PHOTO_ID_5618859198575217602" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgIALBkVSWJpF17yeFFI679YBJnxDm1kkGrHZ8JIW_G1JbdIbdfcyiZqnxvdHpEU3bqUGBkQyK6wuW6xQl7_XUXoGu2ddbr5DzXOPLMtkWOBOsWpqWzN9nev-0EJRkbWu2zq1fQVJRUObU/s320/3.JPG" style="cursor: pointer; height: 141px; width: 467px;" /></a></div>
<div class="MsoNormal">
Ya tengo claro que modificando en el otro ejecutable estos 2 valores, pasará a funcionar, pero para muestra siempre es mejor un botón.</div>
<div class="MsoNormal">
La siguiente api que utiliza, no la conocía, FlushInstructionCache. Si la CPU no reconociese las modificaciones, ejecutaría lo que estaba anteriormente, con esto, indicando el EP y los valores modificados (2 bytes). Lo refresca. Y siempre ejecutará lo nuevo.</div>
<div class="MsoNormal">
Por último en 1004A034 se utiliza ResumeThread, y ya tenemos nuestro juego funcionando. Para finalizar, si se parchea el EP de HM.wrp con los valores E8 14. Nos arrancará el juego siempre, sin necesidad de de utilizar el Loader.</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
Notas adicionales (<b>Nada que ver con cracking</b>).</div>
<div class="MsoNormal">
Bueno, me he liado un poco al ver DebugActiveProcess, al final, no se utilizaba en la aplicación, esto me hace pensar que esta compañía, tiene una aplicación de botón gordo. Es decir, usa la misma para todos los juegos, y le mete una protección u otra de forma genérica. Si la primera falla, mete la segunda, y así sucesivamente.</div>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-22495067916894903892011-04-08T12:59:00.000+02:002011-04-08T03:10:04.168+02:00Amante de los animales<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJoGx0iPDnHGan-bE2mWkmOKxzewgnC7T1c3tXy7_rtd4mcpJu6TwneDPSymZbP_0nZhHywF3qXJU1xtGuzuqDcBnGXWeA66_XIB1-z3QB9rKX874YPGyk845-fFFFa-6Y91E4G3fRCVA/s1600/Amante.jpg"><br /></a><br />Con el título del post, quizá alguno se pregunte, ¿Qué chorrada tendrá lista esta vez?, y sí, otro post que no tiene nada que ver con la línea de los anteriores. Aquí cada post es de su padre y de su madre. Al grano.<br /><br />No hace muchos días, en un blog comentaban, lo maravilloso que sería darle una sorpresa a tú hijo, haciendole ver que facebook, ahora eras amigo del inocente Raton Pérez, y sí, sin duda el simpatico animal, es inocente, pero ¿quien está detrás? Hay que pensar, que al mantener esta amistad, podrías estar teniendo sin saberlo, "amistades peligrosas", ya que pasas a compatir todo tu muro, perfil, etc, en público para esta persona. Algunos dirán que podrías configurar el perfil para evitar esta "fuga" de datos, y es correcto, en facebook sí. ¿y en tuenti?<br /><br />Pues en tuenti, tambien tenemos fauna y flora, ratones amistosos y reyes magos fántasticos, el problema es que la ingenieria social, es poco funcional en personas de "tuenti" años. Por lo que el mensaje debe ser mas original y adaptado a esta franja de edad... ¿Qué mejor que un amante de los animales? Me permitiré el chiste de ¿Qué tipo de amante? Nada mas ver la cuenta, dije, mira, una protectora, tendrá un bonito perfil público, en el que compartir datos e información. Cual es mi sorpresa cuando dicho perfil es privado. Bueno, podrían sólo poner eventos. Así, no es necesario compartir el perfíl.<br /><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJoGx0iPDnHGan-bE2mWkmOKxzewgnC7T1c3tXy7_rtd4mcpJu6TwneDPSymZbP_0nZhHywF3qXJU1xtGuzuqDcBnGXWeA66_XIB1-z3QB9rKX874YPGyk845-fFFFa-6Y91E4G3fRCVA/s1600/Amante.jpg"><img style="display: block; margin: 0px auto 10px; text-align: center; cursor: pointer; width: 482px; height: 136px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhJoGx0iPDnHGan-bE2mWkmOKxzewgnC7T1c3tXy7_rtd4mcpJu6TwneDPSymZbP_0nZhHywF3qXJU1xtGuzuqDcBnGXWeA66_XIB1-z3QB9rKX874YPGyk845-fFFFa-6Y91E4G3fRCVA/s320/Amante.jpg" alt="" id="BLOGGER_PHOTO_ID_5593012396489543154" border="0" /></a><br />Será cosa de la informática que me mantiene alerta, será que simplemente soy un paranoico y veo cosas raras en todas partes, o simplemente tengo razón, y detrás de este amante de los animales tenemos un caso de un amigo "voyeur", que se distrae viendo las fotos de gente que no conoce, de gente que no le importa, y de gente que sin lugar a duda, es amante de los animales.<br /><br />Y casi como reza el anuncio si teneis alguna duda, dejad un comentario.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-91745909964705903652011-03-28T13:55:00.000+02:002011-03-28T21:33:54.951+02:00Sorteando maleficiosEsta vez he cumplido, me he entretenido mucho y he sufrido muchos dolores de cabeza, por culpa del AntiRunPE. ¿Alguien se imagina lo complicado que puede ser escribir en memoria sin tener WriteProcessMemory? ¿Alguien se imagina lo complicado que puede llegar a ser, una vez que tras 20 pruebas, encuentras una que escribe en memoria, utilizar otra diferente a OpenProcess? Pues nuestro amigo, tal y como vimos, nos deja inutilizadas, tanto una como otra, y os puedo asegurar que he rozado la locura, pero... Todo esfuerzo tiene recompensa... ¡Y lo he conseguido! Un programa que tras ser ejecutado en el AntiRunPe, ejecute sus acciones maléficas. Muahahahha<br /><br />Siempre que he leído a los grandes de CracksLatinos, una de las cosas que más me molestaba, era... ¿Por que son todos mejores que yo? Saben siempre donde pinchar, y aciertan... Por lo que contaré la aventura real, y para aquellos que no quieren tochaco, al final tienen el módulo en VB, que saltea al Anti RunPE.<br /><br />Primero de todo sabía que tenía que restaurar lo que modificaba el programa de physmera, así que debía comenzar luchando para restaurar el orden de: OpenProcess y WriteProcessMemory. Los 2 apis que utiliza un runpe normal y corriente.<br /><br />El primer golpe, fue hacerlo todo estupendo de la muerte, para WriteProcessMemory, horas después de estar escribiendo un código funcional, me daría cuenta de que OBVIAMENTE al estar hookeadas, no me funcionarían. ¡PALMFACE! Sí, no estuve muy lucido.<br /><br />Mi siguiente idea fue... Si puedo cargar una DLL en memoria, ¿la podré descargar? ¿La podré Recargar? Como idea es maravilloso, me hookean el código, recargo la librería y tengo todo de nuevo funcional y todo mi anterior trabajo, podía reutilizarlo. Vale... No encontré ninguna formula mágica para hacer eso xDD.<br /><br />Recordando algún tuto, sabía que GetProcAddress, y LoadLibraryA, me podrían permitir cargar una librería en memoria, con ayuda de Ollydgb (mi fiel compañero sancho en esta batalla), pude comprobar que es correcto, carga una Liberia en memoria, de dicha Liberia saca la parte donde está WriteProcessMemory, ¿y sabéis que? :D, ¡No sirve! Me lleva directo a la zona hookeada!! Si ya está en memoria, lo reutiliza...<br /><br />Ahora ya sí que sí, no puedo fallar... ¡La api RtlMoveMemory! Sí, hace justo lo que necesito, sólo tengo que cambiar un poco la idea inicial, no pasa nada, reescribo todo el código para esta api, lo ejecuto, ¡ostión!, ¿pero que!!?, ale a estudiar por que me falla, con una búsqueda normal, nada, con una búsqueda de un ratito largo, alguien hace la indicación de que la escritura a la librería tiene una protección, que ha de saltarse dándole permisos de "lectura, escritura y ejecución", miro con olly.. Y curiosamente tiene estos permisos... Me estudio como aplicar el api VirtualProtect, para darle los permisos... y... ¡Funciona! (por cierto, con WriteProcessMemory esto no es necesario y me enfado mucho :P)<br /><br />Para comprobar si alguien está usando el programa de physmera, leo en memoria el primer byte de Write..., esto es así, por que desde el primero ya lo modifica, para ello sólo necesito llamar a OpenProcess, ReadProcessMEmory, y recibir el valor, comparar y proceder a la acción requerida.<br /><br />Ya tenemos, la zona de memoria con los permisos buenos, ya tenemos una forma de restaurar la api, y de comprobar si nos han hookeado, lo probamos todo y.. ¡Funciona! ¡Funciona perfectamente! (esto, el sábado por la tarde). Por fin, puedo añadir el modulo a un RunPE normal, y probar su correcta ejecución. Perfecto, desde mí modulo de VB, todo correcto. Esto al final está tirado...<br /><br />Creo un stub funcional con mi amada y cariñosa calculadora de Windows, y con mi modulo perfectamente funcional, lo ejecuto y!! Mi programa no detecta nada, y el de pysmera, funciona como si tal cosa... A buscar que esta fallando... De alguna vez trastear con cracking, recordaba que OpenProcess, no puede ser llamado 2 veces, por distintos programas... ¿sabéis quien necesita el handle de OpenProcess? ¡¡ReadProcessMemory!! ¡Estoy como al comienzo! Esto no funciona, por que no detecta si me hookearon o no, y ante la duda funciona sin modificar nada...<br /><br />De nuevo, toca estudiar, como cerrarle un handle a otro proceso... Vueltas y más vueltas, prueba aquí, prueba allá... No encuentro nada que me permita esta forma de intrusión en otro proceso, por lo que toca estudiar sobre OpenProcess, y descubro, que se puede duplicar, sólo necesito tener... ¡EL HANDLE ORIGINAL! Sí, duplicateHandle, me pide el original, fantástico... Otro api, que no me sirve... De veras, todo esto en ASM, me hubiese llevado mucho menos rato xD.<br /><br />Buceando, descubro que puedo conseguir un handle funcional con GetCurrentProcess :D, probamos y desde código, funciona perfectamente, cumple con lo que necesito... Ahora sólo nos queda probarlo con el AntiRunPE, lo ejecuto y por fin... por fin... Hace el baile en la memoria, y se ejecuta mi calculadora... Eso sí, recibiendo un error en el programa que realiza el unpack, lo pasamos a olly, y veo que la rutina del error, se decide si el fichero que busca "existe". Le hago una copia del solitario (por que es muy inofensivo). Y ¡Tachan! Aplicación engañada en apenas.. ¿3 días? XD<br /><br />Resumen:<br />-Cargamos librería<br />-Cargamos dirección del procedimiento<br />-Leemos en memoria<br />-Comparamos si esta hookeado seguimos<br />-Harcodeamos (winXP sp3). Los datos de WriteProcessMemory<br />-Lo pasamos a un array de bytes (Esto es por mi comodidad)<br />-Desprotegemos las zonas de memoria afectadas<br />-Copiamos a memoria los datos buenos<br />-Liberamos la librería de memoria<br />-Copiamos el solitario pa tocar las narices.<br />-¡Fin!<br /><br />¿Ahora a que parece fácil?<br />Aquí, adjunto tanto el Carbon Crypter, con el que hice las pruebas, como el módulo de VB, válido para Windows XP SP 3. Ya que las direcciones estan hardcodeadas.<br /><br /><br /><a href="http://www.megaupload.com/?d=SQH1BSGS">Link de descarga</a>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-58153408137837832872011-03-21T02:30:00.001+01:002012-02-03T15:03:27.366+01:00Sexo con cryptersAlgunos ya saben que me gusta mantener mis relaciones sexuales con un alto contenido en binario, tras un par de noches de insomnio, me recorria una duda... ¿Cómo funcionaría el Runpe Killer de <a href="http://psymera.blogspot.com/">Psymera</a>? Lo que conozco de dumpear un proceso, requiere que se encuentre ya en memoria, para poder acceder al mismo. Con esta premisa, ¿Podría saltar desde algún sitio hasta mi bicho? Es decir, quien lo quisiera analizar, estaría obligado a infectarse, y si se realiza bien, no se daría cuenta de que ocurrió.<br />
<br />
Nota: El destino del tutorial, no es ir infectando, ni haciendo mal. Es demostrar que con una utilidad, "segura", en este caso, una aplicación de defensa, que bien podría ser un antivirus, un firewall, o cualquier otra herramineta. Se tiene tambien que tener siempre cuidado. Por este motivo, es útil, trabajar en máquinas virtuales.<br />
<br />
Por lo que aquí, comienza mi aventura analizando algo que no sea un serial.<br />
<br />
Probando puntos clave, decido poner un BP (Break Point), en sitios que se me ocurre tendrán que cargar, los bp son:<br />
-GetThreadContext<br />
-CreateProcessA<br />
-SetThreadContext<br />
-WriteProcessMemory<br />
-VirtualAllocEx<br />
-ReadProcessMemory<br />
<br />
Si alguien pregunta ¿Por que? Creo que yo, utilizaría esos, para realizar una aplicación de este tipo, sí, SetThreadContext, quizá es un poco abusivo, pero yo el sexo con binarios lo hago duro.<br />
<br />
La primera en la frente, bajé un <a href="http://miequipoestaloco.blogspot.com/2009/08/como-es-un-crypter-para-que-es-y-mas.html">crypter</a> público de <a href="http://www.indetectables.net/">indetectables</a>, precisamente algunos de los que nombra el killer, no tenía ganas de codearme uno, y así hacia el reto más complicado, desconocia los vicios programando de ambos bichos.<br />
<br />
Primera parada; Puerta de Arganda, lo siento. CreateProcess, me dice que hemos llegado, me llama la atención un punto, el flag del programa está en Deatached_process ¿Por qué? ¿Qué es esto? No me queda muy claro en la especificación de win32 sdk, viene a ser para el correcto funcionamiento de aplicativos de consola. Personalmente creo que no sería necesario pero...<br />
<br />
Si me quedo haciendo el bobo, el programa sale directamente en memoria, y tenemos la infección completada, aquí tengo una pista, al salir del ret, descubro que es lo que ocurre... Un SuspendThread, justo antes un push eax, que contiene la dirección del proceso que ha creado recientemente.<br />
<br />
De nuevo, si tardo, no sólo lo ejecuta 1 vez, si no que pueden llegar a ser hasta 4 (aumentando en 5 segundos cada vez el tiempo de pausa en sleep). Supongo que busca algo en el proceso creado, al no encontrarlo, lo llama de nuevo. Todo esto, es opinión, aun no lo he analizado.<br />
<br />
Traceando veo que realiza una busqueda de EAX = 1, cuando intenta escribir en el proceso, si ha fallado, vuelve a intentarlo una y otra vez, por este motivo se me estaba ejecutando tantas veces; Para solucionarlo con un editor hexadecimal, cambié el EP, por EB FE, un salto sobre si mismo, así dejo el proceso loopeando, y puedo tardar cuanto tiempo quiera, simplente debo recordar restaurar el valor correcto una vez finalizado.<br />
<br />
La aplicación realiza:<br />
-Abre la aplicación<br />
-Espera 20 milisegundos ¿? No tengo muy claro, el por que... Supongo que da cuartel para que abra. De ahí que si en 20 milisegundos, no controló la aplicación, la vuelva a llamar (esto es malo, significa INFECTADOS). Personalmente, sin animo de molestar al programador, yo, la hubiese ejecutado directamente pausada. Me evito el trabajo de dormir mi aplicación, y puedo asegurarme que no me infecto. De todos modos, el programador, ya avisa de esta posibilidad.<br />
-Crea una nueva sección donde meterá la ruta del ejecutable, es decir la que utilizará despues, cuando modifica WriteProcessMemory.<br />
-Escribe en la nueva sección creada en el ejecutable,<br />
-GetProcessAddress; Ahora empieza lo divertido<br />
-Localiza: OpenProcess<br />
-Parchea OpenProcess, con 12 bytes, que sólo hacen mover 0 a EAX, para indicar que todo fué bien.<br />
-Localiza: WriteProcessMemory<br />
-Parchea WriteProcessMemory con 127 bytes, guarda los registros, y procede a copiar todo lo que entra en la api, directamente sobre un fichero, cuya ruta está indicada en la sección nueva que crea el programa.<br />
-Finalmente al pulsar el botón, unpack, nos reanuda el proceso, con todas las modificaciones que se han realizado anteriormente.<br />
<br />
Mi reto ahora consiste en A) Parchear de forma que el programa realize la carga en suspendido, y no como lo hace actualmente, (por seguridad), B) añadir un código, haré un modulo que exportaré para que lo use quien quiera, que nos permita saltar el actual Runpe Killer; tambien el parcheado por mi.<br />
<br />
Pero tanto para obtener el programa como para obtener el modulo tendreis que esperar al próximo post, que con una poca suerte, no será dentro de 3 o 4 meses.<br />
<br />
Pd: Por último y no menos importante, agradecer el trabajo a <span style="font-weight: bold;">psymera</span>, espero que no se ofenda por algún comentario que hago, de verdad, no son con maldad, lo que has programado está genial. Simplemente aporto una visión diferente.<br />
<br />
Un saludo,<br />
WiNSoCk.WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-13889325438742980412010-12-26T00:41:00.000+01:002010-12-28T10:36:34.405+01:00¿Por que mi wifi es tuya?<p></p><br /><br /><p class="MsoNormal">Hoy, por fín, después de mucho tiempo, tuve un rato para "jugar", siempre que esto pasa, ya se sabe, que algo malo ocurre. Esta vez, me encontré que en mi wifi, jugábamos más de los permitidos. Y eso me dio que pensar, ¿Cómo podria saber quien está pasando un buen rato, si lo único que conozco es que se llama “Raul-PC”, y este no es precisamente ningún amiguito mio (ni tampoco me ayuda a pagar las cuotas). </p><p class="MsoNormal"></p><p class="MsoNormal"><b>Solución Previa: </b><i>¡<a href="http://www.oxid.it/cain.html">Cain</a>!</i></p><p class="MsoNormal">Para sacar más información, pensé en utilizar mi “servidor”, para capturar con <i>CAIN</i>, todo lo que estaba ocurriendo, bien ¡buena idea! El problema es que él (Raúl), no esta siempre que estoy yo. ¡Mala idea! No puedo pedirle que se conecte cuando yo supervise.</p><p class="MsoNormal"></p><p class="MsoNormal"><b>Solución segunda</b>: ¡<a href="http://www.wireshark.org/"><i>Wireshark</i></a>!</p><p class="MsoNormal">Como no podia hacer nada con CAIN, preparé <i>wireshark</i> para capturar todo desviando las conexiones a mi “servidor”, pero… Como no todo es tan bello al dibujarlo, me encontré que el trafico generado era demasiado para estar controlandolo constantemente <i>mucho ruido y pocas nueces</i>. </p><p class="MsoNormal"></p><p class="MsoNormal"><b>Solución tercera</b>: ¡¡ <i>Ahora sí </i>¡!</p><p class="MsoNormal"></p><p class="MsoNormal">Desactivando el DHCP de mi router, podría indicar por donde tendrían que pasar todas las conexiones, así, me evitaba tener que estar pendiente de <i>CAIN</i>, para <i>envenar ARP</i>.</p><p class="MsoNormal"></p><p class="MsoNormal">Para ello, busqué una utilidad que en Windows XP (sí, cada uno usa de servidor lo que quiere), la aplicación se llama: “<a href="http://www.simpledns.com/">Simple DNS plus</a>”, esta me permite configurar a mi antojo la configuración DHCP, y así indicar que la puerta de enlace será el mismo y de paso, ¿Por qué no controlar también las solicitudes <a href="http://netpirate.wordpress.com/2010/12/26/manual-anticensura-dns/">DNS</a>?</p><p class="MsoNormal"></p><p class="MsoNormal"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCn2iy2pVzrwKCxB_sfwS4wnLXvE8lEDzUjRl8FBi_fHzXrvLq8MfeCYilaPP5TvJQMwt7ZM4JrfKdKwqhn1dl32_vQNXKI-Q4I-SFjoWraeYJc8lfBRHyb9aIW9IhrNzSy1DEzOMdIbE/s1600/DHCP.JPG"><img style="WIDTH: 315px; HEIGHT: 320px; CURSOR: pointer" id="BLOGGER_PHOTO_ID_5554783463740634322" border="0" alt="" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCn2iy2pVzrwKCxB_sfwS4wnLXvE8lEDzUjRl8FBi_fHzXrvLq8MfeCYilaPP5TvJQMwt7ZM4JrfKdKwqhn1dl32_vQNXKI-Q4I-SFjoWraeYJc8lfBRHyb9aIW9IhrNzSy1DEzOMdIbE/s320/DHCP.JPG" /></a></p><p class="MsoNormal"></p><p class="MsoNormal">Para poder permitir que Windows XP actúe como router, es decir, permita que las conexiones pasen por el y reenvíe los datos a la puerta de enlace predeterminada (el router original). Hay que modificar en el registro la clave:</p><p class="MsoNormal"></p><p class="Code"><span lang="EN-US">HKEY_LOCAL_MACHINE<br /><span style="font-size:+0;"></span>\SYSTEM<br /><span style="font-size:+0;"></span>\CurrentControlSet<br /><span style="font-size:+0;"></span>\Services<br /><span style="font-size:+0;"></span>\Tcpip<br /><span style="font-size:+0;"></span>\Parameters</span></p><p class="MsoNormal"><b><i><span lang="EN-US">IPEnableRouter == 1</span></i></b></p><p class="MsoNormal"><b><i><span lang="EN-US"></span></i></b></p><p class="MsoNormal">Hasta aquí tenemos, que nuestro equipo nos gestionará <a href="http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol">DHCP</a>, <a href="http://es.wikipedia.org/wiki/DNS">DNS</a>, y reenviará a la puerta de enlace predeterminada las comunicaciones (todas y de forma transparente). Tan solo nos queda levantar una sesión de <i>cain</i>, ya no es necesario envenenar nada, por que están pasando las conexiones por nosotros. Si es necesario levantar cain, por dos motivos.</p><p class="MsoNormal"><span style="font-size:+0;"></span>1º Para envenenar certificados, y así, nos lleguen las contraseñas en texto plano.</p><p class="MsoNormal"><span style="font-size:+0;"></span>2º Por <span style="font-size:+0;"></span>que nos facilita el trabajo de buscar entre la paja, soy consciente que registra mucho ruido, y no obstante captura también los datos del servidor, pero simplifica mucho.</p><p class="MsoNormal"></p><p class="MsoNormal"></p><p class="MsoNormal"></p><p class="MsoNormal">Tan solo nos queda la prueba de fuego, realizar todo en real, para ello, estoy usando mi portátil como cliente de la wifi. </p><p class="MsoNormal">Lo primero que he comprobado es que el servidor me entrega una dirección ip, es un poco canteo que la puerta de enlace no es una tipica 192.168.0.1, si no que pasa directamente a la nº 6 (192.168.0.6).</p><p class="MsoNormal">Lo segundo es que en el portátil tengo conectividad.</p><p class="MsoNormal"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhY3xybhh9Wh3Styv3tY2QTd9LpMKnIBhQRvJrZzg87VlyGILYWgjcC2a80IMYkeEZFEqqmeqMAxfx11lfkjm2iS1WW5QEu1O5TVMtyXSXHmOiiRA6N9PrHzFuiiTi_rAS1wK6MndkUnXQ/s1600/tracert.JPG"><img style="WIDTH: 320px; HEIGHT: 120px; CURSOR: pointer" id="BLOGGER_PHOTO_ID_5554784206053988674" border="0" alt="" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhY3xybhh9Wh3Styv3tY2QTd9LpMKnIBhQRvJrZzg87VlyGILYWgjcC2a80IMYkeEZFEqqmeqMAxfx11lfkjm2iS1WW5QEu1O5TVMtyXSXHmOiiRA6N9PrHzFuiiTi_rAS1wK6MndkUnXQ/s320/tracert.JPG" /></a></p><p class="MsoNormal">Y por último, que el sistema que he montado realmente captura las contraseñas y por supuesto que funciona perfectamente y de forma transparente para todo aquel que quiera pagar conmigo las cuotas del ADSL.</p><p class="MsoNormal"><br /></p><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6rMMIDafsfKZPslslBr7d462NSO9tgdiFYLvZ8pt1TwvT406ORYHAFtMFR-E09i7ed-OzFwqyB15PZwss33d8PMH_1RfOscI5-RlX8y0hKUaGpOnVp57kYPxPWE5JCwhu65Hgg1gVD94/s1600/cuentaCain.JPG"><img style="WIDTH: 320px; HEIGHT: 120px; CURSOR: pointer" id="BLOGGER_PHOTO_ID_5554784151177452754" border="0" alt="" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj6rMMIDafsfKZPslslBr7d462NSO9tgdiFYLvZ8pt1TwvT406ORYHAFtMFR-E09i7ed-OzFwqyB15PZwss33d8PMH_1RfOscI5-RlX8y0hKUaGpOnVp57kYPxPWE5JCwhu65Hgg1gVD94/s320/cuentaCain.JPG" /></a><span style="TEXT-DECORATION: underline"><br /></span><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVp52sjpEaLndWazCUu2MHy4spqL4jANYfDhsRIlUeimq5qyTuPaoOBEkuctKVrZu-pLRJWtA-qkVv77W3AaZrtSFzEPYd8ynGTdW1T5fJ_2kibroOad9VWh2NBVeQjzHtFcN2bk14Ez0/s1600/CertCain.JPG"><img style="WIDTH: 320px; HEIGHT: 90px; CURSOR: pointer" id="BLOGGER_PHOTO_ID_5554784091885365346" border="0" alt="" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVp52sjpEaLndWazCUu2MHy4spqL4jANYfDhsRIlUeimq5qyTuPaoOBEkuctKVrZu-pLRJWtA-qkVv77W3AaZrtSFzEPYd8ynGTdW1T5fJ_2kibroOad9VWh2NBVeQjzHtFcN2bk14Ez0/s320/CertCain.JPG" /></a><br /><br /><p class="MsoNormal">PD: A pesar de no encontrarme <a href="http://www.enelpc.com/2010/12/ssl-al-desnudo_11.html">envenenando ARP</a>, si el botón no está pulsado, no <a href="http://www.elladodelmal.com/2010/07/mitm-https-con-certificados-falsos.html">falsea los certificados</a>. Nos capturaría el trafico, pero no podríamos ver nada.</p><p class="MsoNormal"></p><p class="MsoNormal">Esta solución funciona perfectamente con <a href="http://codebutler.com/firesheep"><i>FIRESHEEP</i></a>, captura las sesiones y nos permite reimplantarlas en el navegador.</p><p class="MsoNormal"></p><p class="MsoNormal">Pd2: Esto nos recuerda que tenemos que tener mucho cuidado con donde nos conectamos, con los avisos de certificados falsos (sí, usando cain los da). Trataré de efectuar cambios y exponer percepciones, usando <a href="http://www.enelpc.com/2010/12/ssl-al-desnudo_11.html">SSLTrip</a> en vez de cain y también expondré un articulo sobre como defenderse. Conectarnos a redes potencialmente inseguras sin “riesgo”.</p><p style="MARGIN: 0cm 0cm 10pt" class="MsoNormal"><?xml:namespace prefix = o /><o:p><span style="font-family:Calibri;"></span></o:p></p>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-18902414894661352212010-05-15T17:22:00.001+02:002012-04-04T01:57:34.369+02:00Pupe: Parcheador Universal de Procesos en EjecucionSé que hacia algún tiempo que no escribía, son muchos los proyectos en los que me gusta meter la cabeza, y para mí escribir es algo complicado, soy más de leer, y leer. Esta vez quiero hacer pública una herramienta, que en más de una ocasión me ha facilitado la vida...<br />
<br />
Se trata de un parcheador de procesos en ejecución, quiere decir, permite realizar modificaciones en los offsets, busca que información se encuentra, ahí, pero tambien nos permite modificarlo en caliente...<br />
<br />
En esta versión sólo permite matar al proceso de una forma muy simple, me gustaría tratar de ampliar el programa y utilizar multiples formas de finalizar los procesos. Si tengo tiempo, tambien trataré de modificar la aplicación para que fuerze la lectura de los procesos. Quiero decir, si un proceso no permite la lectura de ese offset, por X razón ( no tenga permisos de lectura, tenga restricciones X), pues forzar que el programa lea y escriba a pesar de todo.<br />
<br />
Por último aclarar que está basado en la versión original de PUPE, creada en el 2002, por "the pupe's team" su web: http://welcome.to/craaaack ; He copiado el nombre, únicamente. El resto está programado integramente por mí, espero que trás más de 6 años sin actualizar, no se sientan ofendidos por esto, si no alagados de que alguien contine lo que ellos empezaron. Si no fuese así, siempre podrán ponerse en contacto para modificar el nombre.<br />
<br />
Como siepre, ideas y sugerencias en el buzón (comentarios).<br />
<br />
<a href="http://goo.gl/F1Q7T">LinkDescarga</a>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.comtag:blogger.com,1999:blog-4539353346213352960.post-52453304908373312982009-08-04T21:46:00.000+02:002012-02-03T15:05:53.257+01:00¿Como es un crypter? ¿Para que es? y más...Poco a poco voy a ir soltando y desplegando conocimientos para que todo el mundo pueda optar a entender un poco más lo que utiliza y lo que programa.<br />
<br />
<span style="font-weight: bold;">¿Qué es un crypter?</span><br />
Pese a que podré ser colgado por un experto, podríamos definir sin equivocarnos que un crypter será la herramienta que nos transforme un fichero A en un fichero B, realizando cambios (muchos o pocos), sobre el fichero original A, y añadiendole o no alguna funcion que antes no tenia.<br />
<br />
<span style="font-weight: bold;">¿Para que nos sirve un crypter?</span><br />
<br />
-Habitualmente se utiliza para evitar la decompilación del código, al menos tratar de complicarlo.<br />
-Saltar la heuristica de los antivirus.<br />
-Simplemente camuflar un fichero bajo la apariencia de otro (normalmente, haciendo creer que es inofensivo)<br />
<br />
<span style="font-weight: bold;">¿Hay tipos de crypter?</span><br />
Existen 2, pese a que podriamos catalogarlos en más.<br />
-Runtime pueden llegar a ser ejecutados, sin que sean detectados por un anti virus por ejemplo.<br />
-Scantime no son ejecutados, simplemente cuando un antivirus scanea en busca de firmas, heuristica, etc, no detectará nada extraño sobre este fichero.<br />
<br />
<span style="font-weight: bold;">¿Como funciona un crypter?</span><br />
Lo normal es que existan 2 ficheros, el primero se encangará de realizar el pastel, es decir, mezclar, batir y aliñar nuestro programa. El segundo, será un lanzador o stub, se encargará de situar el código de nuestro programa en memoria.<br />
<br />
<span style="font-weight: bold;">¿Puedes ser más técnico?</span><br />
Aquí es la zona que a mi me gusta, y en la que creo despistaré a unos cuantos.<br />
Previo a entrar en materia supongamos que tenemos un fichero virusmortal.exe, el código de mi virusmoral, será: linea que hace todo el mal.<br />
<br />
Un crypter, leera el código de mi programa, en este caso situará en una variable: "linea que hace todo el mal", suponemos que los antivirus detectan por firma la palabra "mal". nota; tristemente el funcionamiento de los antivirus es bastante parecido a esto.<br />
<br />
Si guardamos el contenido de la variable, de nuevo en un fichero nuestro antivirus (de ahora en adelante AV), saltará y nos avisará. Por lo tanto algo tiene que hacer el crypter, dependiendo del programador, aplicará una tecnica, ya sea dar la vuelta a la cadena, o encriptarla con xor, con base64, por comodidad yo utilizaré base64.<br />
<br />
El programa pasará la cadena que tenia en la variable, por una funcion que me codificará el el texto almacenado, en base64, nos quedaría: "<span style="font-style: italic;">bGluZWEgcXVlIGhhY2UgdG9kbyBlbCBtYWw=</span>". Si guardamos esto de nuevo en virusmortal.exe, NO funcionará, ha perdido el poder de ser ejecutado. Tendriamos un fichero en scantime.<br />
<br />
Aquí es donde entra a funcionar el stub, este tambien es un fichero ejecutable, suele funcionar con un código similar a este pseudocódigo:<br />
-Busco mi ruta<br />
-Leo todo mi código<br />
-Ejecuto en memoria todo lo que hay debajo de mi.<br />
<br />
Como se puede observar si ejecutamos este fichero, no pasará nada, pues por si solo es completamente inofensivo. Un crypter nos mezclará el código obtenido antes en base64 y pondrá encima de dicho código el stub. El código finalmente quedaría:<br />
-Busco mi ruta (ej: c:\bichito_encriptado.exe)<br />
-Leo todo mi código: Rutinas varias para ejecutar código, des-encriptar, etc.<br />
-Ejecuto en memoria el código des-encriptado: "<span style="font-style: italic;">bGluZWEgcXVlIGhhY2UgdG9kbyBlbCBtYWw=</span>".<br />
<br />
<span style="font-weight: bold;">El stub... Un poco más a fondo.</span><br />
Tal y como se ha podido ver, una gran parte del trabajo lo tendrá el stub. Para el programador, es el que más juego puede proporcionar pues se le pueden añadir tantas rutinas como se quiera. Es decir, podriamos meter todo lo necesario para tener un fichero con nuestro código virico, pero no solo eso, si no a su vez que este se replicase por usb por ejemplo. Cosas que se me ocurren podrian ser:<br />
-Replicacion de usb.<br />
-Replicacion por programas de P2P.<br />
-Modificar el fichero host. Para esquivar actualización de los Av.<br />
-Añadir rutinas que imposibiliten o dificulten el analisis. Is debugger present, anti-anubis....<br />
-Crear un nuevo proceso, para asi poder mostrar que la aplicacion funciona y no un simple mensaje de error...<br />
-Modificar algún fichero de sistema o varios, ej: Salvapantallas para que pueda cargar nuestro amigo, taskmngr,explorer,firefox...<br />
<br />
Por supuesto cuantas más opciones más fácil será detectarlo, pues facilitas las firmas a las compañias AV, si detectan ejecución en memoria, más leer fichero... blanco y en botella.<br />
<br />
<br />
<span style="font-weight: bold;">NOTA IMPORTANTE</span>: <span style="font-style: italic;">Toda esta información es para aquellos que os dedicais al analisis, detección, programación, por hobby o por trabajo. Nunca deberá ser utilizada para cometer maldades... Sobra recordar que ir infectando máquinas por ahí es un delito y tiene penas de prisión. </span>WiNSoCkhttp://www.blogger.com/profile/10026162951622814197noreply@blogger.com