gEEK tHE pLANET

En cualquier momento nuestro sistema puede ser atacado en búsqueda de información o simplemente para denegar un servicio.

En una era digital como la que actualmente vivimos, es común hablar sobre la seguridad de los sistemas informáticos. Es en este punto en donde se crean incógnitas que nos llevan a pensar con “cabeza fría” en ¿qué tan seguro está nuestro computador o qué garantías tengo de que la información vital de mi empresa está “segura”?

Todas, completamente todas las personas, que de una u otra forma estamos conectadas al mundo digital, somos potencialmente vulnerables a intrusiones que puedan llegar a dañar nuestra valiosa información.

Un celular, un Laptop, un computador o un gran servidor puede estar en este momento en la mira de algún oponente que busca lograr romper nuestro sistema de seguridad.

Es importante conocer que existen diferentes tipos de personas dedicadas a la búsqueda de vulnerabilidades de los sistemas. Términos como Hackers, Cracker, Lammers, etc circulan por la red y en ocasiones se les da un mal uso.

Igor Tamara, especialista en sistemas y computación nos da una nueva visión de estos términos.

¿Cuál es el perfil de las personas que logran romper sistemas de seguridad?

Es básicamente el mismo perfil de las personas que emplean programas que han sido adquiridos contraviniendo los términos de la licencia (piratas), mediante el uso de claves que no son suyas u otras herramientas para romperlas, por ejemplo, una clave de activación o una clave para poder emplear un programa.

Eso también es romper sistemas de seguridad, solamente que dentro de nuestros propios computadores, en la mayoría de los casos para evitar pagar lo que exigen las empresas que son dueñas de los derechos de reproducción de los programas.

Tales personas suelen visitar http://astalavista.com.sk o http://www.mocosoft.com para conseguir claves y programas que rompan la seguridad de otros.

Aquellos que rompen sistemas para obtener algo en particular (reconocimiento, poder utilizar algo, enriquecerse ilícitamente), o que entran a sitios sin ser invitados, sabiendo que la información es prohibida porque es de otras personas, son llamados crackers.
[Leer mas]

Cuando es ejecutado en un ordenador, Dotex.A se conecta a una página web desde la que descarga dos ejemplares de malware:

• W32/QQPass.AFD.worm
• Trj/QQRob.OI

Ambos se conectan a otra página web desde la que descargan ejemplares de Trj/Lineage, troyano que roba contraseñas de juegos online.

Además, impide que se ejecuten ciertos archivos, pertenecientes a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, entre otros.

Dotex.A se propaga a través de unidades mapeadas.

Dotex.A se copia en varios directorios y en todas las unidades mapeadas del equipo, siempre como un archivo oculto. Este gusano elimina varias entradas del registro de Windows y crea y modifica otras. Una de esas modificaciones está destinada a impedir que se vean los archivos ocultos del sistema y, de esta manera, hacer que sus copias pasen desapercibidas.

SpreadBanker.A, utiliza un vídeo de YouTube para engañar a los usuarios y propagarse, según informa PandaLabs. El gusano está formado por dos componentes. Cuando el usuario ejecuta el primero de ellos, éste se conecta a la página de YouTube y le muestra un vídeo.

El problema está en que, a la vez, está descargando en el ordenador la segunda parte del gusano. SpreadBanker.A está programado para robar las contraseñas introducidas en las páginas de varios bancos online. Además, también podría hacerse con las claves de varios juegos como Age Of Mythology, GTA, Unreal Tournament, WarCraft o Final Fantasy.

SpreadBanker.A es fácil de reconocer, ya que llega al ordenador en un archivo que, cuando es ejecutado, muestra un video de YouTube. Mientras tanto, ese archivo está descargando otro componente de sí mismo, que es el que realiza las acciones maliciosas en el ordenador.

[Leer mas]

Hacia muchisimos años no veia estas ridiculeses, de nuevo los dichosos xploits para robar contraseñas de correos han vuelto, como cosa rara este del gusanito, común, típico y fácil de reconocer, a llegado a mi correo y he decido investigarlo a fondo.

Lo primer que hice fue darle click a la "postal" para ver en que servidor se encontraba hospedado el script, la falsificación es casi perfecta, como siempre sucede, nos pediran que ingresemos la contraseña de nuestra cuenta para poder verla:
http://emilyhot.com/by107fd.bay107.hotmail.msn.com.cgibin.hotmail.curmbox.000010000.2d0000.
2d0000.2d00002d000000000001000000000000000000000000012777885554444200passport
//logearse.php?fake=amistad&nombre=xxxxxx&correo=xxxxxxx@gmail.com&retorno=xxxxxx@gmail.com
&Postal= &nombre_from=xxxxxx&correo_from=xxxxxx@hotmail.com&mensaje=solo+para+ti

Me doy cuenta de varias cosas:

1. hospedada en http://emilyhot.com
2. logearse.php?fake ----> Les dice algo la palabra fake?
3. retorno=xxxxxx@gmail.com
4. from=xxxxxx@gmail.com

Osea, mas fácil de ver imposible...

Así luce nuestro inicio de sesion:

Y así el código del formulario:

Por acá termina el fake del xploit, ahora veamos el fake de la página, como habia mencionado anteriormente, el xploit se encuentra hospedado en http://emilyhot.com/, para muchos la página luce muy bien, la niña es hermosa y pues nada raro; pues como siempre no todo lo que brilla es oro, y que te ofrezcan acceso gratis es casi imposible:

¿Por qué imposible?, fácil, porque esta página es solo un fake del site original de Emily18, que es este: http://www.emily18.com/, que como podrán verificar el acceso gratis no aparece por ningun lado, y lo peor, el dichoso fake esta hecho con frontpage:

<meta name="GENERATOR" content="Microsoft FrontPage 6.0">
<meta name="ProgId" content="FrontPage.Editor.Document">

Siguiendo con el fake y dirigiendome clickeo en "acceso gratis" me encuentro con las dichosas intrucciones:

Donde nos piden que nos descarguemos el siguiente archivo Zona-Fullsex.reg, supuestamente este archivito es para poder tener identificado tu pc frente te a su poderosa zona erótica, FALSO, que tiene el archivito:

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.espiamsn.com"
"Window Title"="EspiaMSN.Com - Revelador de contraseñas Hotmail, Yahoo, Gmail, Aol - Mail Hack - Ingenieria avanzada para correos - Captor de Claves - Bloqueador de Hotmail - Localizador de Ciudad - Ultra espionaje avanzado - Navegacion anónima - Hackear MSN - Hack Messenger - hackear Hotmail - Hack Hotmail - Hackear Yahoo - Hack Yahoo - Hackear Aol - Hack Aol - Espias Satelitales"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel]
"HomePage"=dword:00000001

No creo que necesitemos nuestra contraseña del correo para poder acceder al sitio de nuestra hermosa amiguita Emily.

Que es EspiaMSN:

Bienvenidos al descifrador de contraseñas INTERNACIONAL, el mas importante para la obtención de contraseñas, mediante programas espías, ingeniería avanzada, descifradores y recuperadores de contraseñas (Contraseñas DE HOTMAIL-YAHOO-GMAIL-AOL) y cualquier correo que usted desee espiar. No se deje engañar por programas de descarga gratuita en paginas de hacker, que vienen habitualmente con virus guardados

Así que de una vez les advierto, MUCHO OJO CON ESTO, ES GENTE INESCRUPULOSA INTENTA ROBAR VUESTRAS CUENTAS DE CORREO, COMO DIJE ANTERIORMENTE NO TODO LO QUE BRILLA ES ORO.

Si conocen otro xploit agradezco me envien una copia para ver su origen.

Gracias al blog del compañero 4v4t4r, me he enterado de esta excelente utilidad, Wordpress vulnerability Scanner, script desarrollado por David Kierznowski en PERL, nos permitirá de manera simple identificar varios aspectos importantes relacionados con la integridad y seguridad de nuestro blog.

Para no hablar mas de lo mismo, les mostraré una screenshot tomada por 4v4t4r.

Para ejecutarla en windows:

Desde Linux:

Más Info: WordPress Vulnerability Scanner
Escaneo de vulnerabilidades en Wordpress - Wordpress Vulnerability Scanner

Descargar Script: Wordpress Vulnerabilty Scanner

Ayer muchos celebraban por el nuevo lanzamiento de Safari 3.0 Beta para windows, según los ingenieros de Apple debemos amar a Safari por las siguientes razones:

1. Mejora de rendimiento
2. Diseño elegante
3. Facilidad en la gestion de favoritos, similar a iTunes
4. Bloqueador de pop-ups
5. Busqueda en la página muy mejorada
6. Navegación por pestañas.
7. SnapBack
8. Autocompletado de Formularios
9. Implementación de RSS
10. Redimenzionado de elementos de texto, algo intelegente en cuestion de navegadores.
11. Posibilidad de activar la navegación privada, similar a FF3.
12. Mejorada la seguridad.

De esta última razón se burla el investigador de seguridad Aviv Raff. Explica que para encontrar esta vulnerabilidad tardó solo unos minutos, ya que en su primer test de seguridad el navegador era vulnerable. Para este test utilizo Hamachi, que es una herramienta que mide la integridad de los navegadores.

Desambiguación: Cuando estaba posteando pense en especificar algo sobre el Hamachi, algo que un compañero me hizo caer en cuenta es necesario, la utilidad más conocida por todos es la que permite conectar dos o más ordenadores mediante una red virtual propia, Hamachi también es una utilidad escrita y desarollada H D Moore y Aviv Raff para verificar la integridad de los navegadores, esta última utilidad tiene muy poca información:

Hamachi is a community-developed utility for verifying browser integrity, written by H D Moore and Aviv Raff. Hamachi will look for common DHTML implementation flaws by specifying common "bad" values for method arguments and property values. This utility may cause the browser to "freeze" for a long period of time, this is OK, and interrupting the process will prevent all the tests from completing. Some browsers will raise a warning if a script is taking too long to execute - you will need to click "No, do not abort" or the equivalent to allow all tests to complete.

Es bastante poderosa y hace parte de Metasploit Framework, si desean utilizar la aplicación no se asusten si su navegador se queda bloqueado por un largo período de tiempo, hace parte del proceso de verificación.

Leer Más: Hamachi
Apple Safari for Windows - Out with a crash
Safari...CRASH!