Archivos Mensuales: enero 2013

CIBERGUERRA

En nuestro post anterior hablamos de los intentos por engañarnos con páginas web falsas, ya sea por fishing mediante correo email o ingenieria social a traves de facebook,  usando siempre las técnicas de harvesting.

En ese artículo hice mencion a los ciberguerreros y los nuevos entrenamiento americanos, tambien algún dato sobre el uso de estas técnicas contra digamos el URANIO ( operación contra el armamento militar atómico (ya sabeis que no se puede decir la palabra bomb? o aparece un personaje como en el artículo anterior).

En otros artículos anteriores os explicaba como se puede llegar con un malware a crear un incendio. Bien pues una empresa Española de seguridad asegura haber visto como funciona, pero no ese NOOOO, sino uno que logra descontrolar un avión a la hora de hacer una aterrizaje, empieza a dar miedo ante un ataque terrorista.

Normalmente no publicamos enlaces de terceros, procuramos escribir los nuestros aunque no brille por una calidad extrema o una redaccion limpia y clara.

Hoy vamos a publicarlo un artículo de otra empresa dedicada a la seguridad, es bueno el artículo y muy bien documentado.

Os dejo una artículo de Chema, (no el de nuestra empresa), al que le damos las gracias por escribir este artículo desde el otro lado y sobre todo por compartirlo:

Leer!!! merece la pena, es el futuro …

http://www.elladodelmal.com/2013/01/incidentes-de-ciberguerra-y.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ElLadoDelMal+%28Un+inform%C3%A1tico+en+el+lado+del+mal%29&utm_content=Google+Feedfetcher

Dejarle algún comentario que se agradece saber que se leen las publicaciones ya que ninguno las hacemos por altruismo, no refiriendome a un huevo colgando y el otro lo mis …

Saludos cmdesianos.

Anuncios

Ataque HARVESTER – HACKING a GMAIL

Hola a todos, hoy vamos a enseñaros una técnica muy usada en España para saber nuestras contraseñas y usuarios. Es bueno conocerlas para no picar en el anzuelo, aunque muchos si fuéramos pez …

Siempre que rellenemos un campo en un formulario en una página web deberíamos fijarnos bien en el campo donde va la URL en nuestro navegador, podemos estar siendo víctimas de un ciber-ataque.

Este ataque se da por ingeniería social, se aprovechan de nuestra confianza para suplantar la página web original por un clon. A veces nos dan una IP, pero también se lo pueden trabajar más y darnos una dirección e una WEB. Yo mismo lo acabo de hacer con permiso de una amistad (victima).

Solo tienes que poner algo delicioso y la ingeniería social hace el resto. Lo habitual es recibir un correo (phishing) pero lo normal es alguien conocido por internet en la red social.

Yo a mi víctima le he dicho que gmail regalaba solo por hoy un espacio muy superior al servicio de pago de Dropbox de manera “”GRATIS”” y para toda la vida, como los premios del uno, dos, tres (lote jamón para toda la vida)

Hoy en día los gobiernos están gastando una gran cantidad de dinero intentando resolver el problema con las redes Bonets, las redes que forman los Ciber Activistas echar abajo los servicios Web de las empresas. Pero un atacante no necesita todo eso para hacer el mal, desde su silla lo puede hacer y quizás esa parte desconocedora de internet es la que un usuario de la calle necesita ver y quizás algún informático especializado en otra rama. (¿Benja aprendiste ya a formatear un PC? consultor 14años de experiencia)

El problema real es la posible creación de una CIBER GUERRA, anular todos los servicios en internet de ciertos países, robar documentación secreta, etc ..,.

La actividad criminal del ataque que presentamos hoy es muy alto pero el daño en números es mínimo comparado con otros y nos son estos los que preocupan a los ministerios de defensa.

Hagamos varias preguntas

Se me escapo la imagen anterior, vaya por dios Julian Muñoz y el amigo de los informáticos. La imagen que iba ahí:

En caso de una ciber-guerra quien sería el organismo encargado de …?, el gobierno?, el ejército?, una agencia libre y privada?, funciona el departamento de defensa?, que tareas se van a realizar, va ser detección?, investigación?, defensa?, ataque?. Como se van a coordinar los distintos grupos que participen?, va haber una respuesta al ataque?, quizás un ciber ataque militar mediante una BOOOOOOMMMMMBAAAAA cibernética?

 COÑO King Africa … no pronuncio más esa palabra.

Hay algún framework creado? como esta España de preparada?,   no hace falta que os responda verdad?.

Estados Unidos ya ha lanzado ataques contra países que poseían armas nucleares, una forma de conseguir información y anular sus sistemas, empieza esa guerra pero la rueda ya lleva tiempo girando, pero no hacía ruido.

Ante los nuevos acontecimientos nos surge una nueva y fuerte duda, ¿cómo es un guerrero de la red? Es una persona con habilidades especiales en una determinada área:

Ya no son necesarios guerreros físicamente bien preparados, al contrario ahora debemos producir especialistas de distintas áreas, pentester, informática forense, redes, etc.

En USA existe la directiva 8250 que especifica los distintos entrenamientos que tienen que seguir, siempre muy concretos para cada caso. Se entrenan en almacenamiento, en malwares, en … es un tema que tocaremos otro día, de momento sigamos con nuestro mini ataque sufrido en muchos hogares y dejemos los gobiernos a un lado.

Recursos necesarios:

  • Windows Instalado.
  • http://www.backtrack-linux.org/ (La imagen descargada de la aplicación Back Track). A partir de la versión 5 R1 se puede hacer, pero aconsejamos la R3.
  • Tener una cuenta gratuita de prueba en www.dyndns.com
  • Una víctima voluntaria.

Lo que vamos hacer es ir cargando en una máquina virtual con Vmware Workstation u otros la imagen del Back Track y arrancando de él. También os podéis hacer un Live con la distribución pero necesitareis entonces dos PC en la red.

Nos instalamos en el Windows PC la aplicación de dyn, se llama dyn updater, así cada vea que nos cambie la ip pública se nos actualizará con nuestro registro de host en www.Dyndns.com, esto ya sabéis como va. Lógicamente los que tengáis Ip fija no os hace falta hacerlo.

En la web de dyndns configuramos el registro del host (nuestra ip pública) y el nombre que queremos darle. En mi caso la víctima sufrió un www.gmailGiga.dyndns.org, como no guarde las capturas ahora os lo hago con un nombre normal, pero puede haber mucha picaresca incluso publicar nosotros mismos el nombre de un dominio y no usar el dyndns.

En la imagen superior ya podemos ver el hostname configurado que será “el enlace” que le daremos a nuestra víctima.

Ahora tenemos que preparar nuestro Windows para que sepa resolver la url “en mi caso” www.cmdsistemas.dyndns.org

Vamos a C:\Windows\System32\drivers\etc y editamos el fichero host e incluimos la línea con la ip de la máquina virtual y el nombre web que nos hemos creado.

Si no te deja editar el fichero host es por no estar como administrador, puedes hacerlo desde línea de comandos ejecutándola en modo administrador:

Por fin el turno del Back track, igual te resulta un poco difícil que te reconozco la red, comprueba que puedes navegar desde el, tienes el Firefox como navegador. Si no lo haces tendras que editar el fichero /etc/resolv.conf y escribir una línea nameserver 8.8.8.8 es decir darle un DNS, vale cualquiera que resuelva internet.

También comprueba que tengas Ip con ifconfig, por defecto viene para DHCP.

En back track y en nuestra máquina virtual vamos a las siguientes opciones: Applications->BackTrack–>Exploitation Tool–>Social Engineering Tool–>Social Engineering Toolkit–>Set

Y nos aparece una ventana como la de captura, os voy poniendo en Amarillo las opciones a seleccionar.

Si podnemos la 1 nos saldrán plantillas que no aconsejo usar, se parecen bastante a las web originales pero no son iguales, son capturas ya algo viejas y en otros idiomas, pero podéis probar.

Ahora nos solicita decir nuestro interface Ip Adrress: Aquí ponemos el enlace que estuvimos preparando. En mi caso es www.cmdsistemas.dyndns.org

Y ahora nos pedirá la URL que vamos a clonar, yo probaré con www.gmail.com pero podría ser el intento con la de una entidad bancaria. Damos a enter y se pone en modo escucha por el puerto 80 :

Como podemos ver la web es igual, la vícitma acaba de introducir los datos de usuario y contraseña pero no ha mandado el logon todavía. Arriba en la barra de navegación podemos ver el nombre de la url que creamos para el mal cmdsistemas.dyndns.org , esta se la he enviado por el chat del facebook al pinin, digo a mi amigo.

Vemos también en la captura del backtrack, que ya se ha producido la llamada GET a nuestra URL y sabemos que es cierto por la captura anterior a esta.

Damos al sig in en gmail y esto es lo que sucede en el back track:

Ahí marcados podemos ver el usuario y la password. Automáticamente la web que le habíamos mandado le dirije a la real abriendose el correo y no se ha enterado de nada. Esa últimas captura no la pongo por temas de LOPD, ya que se ven direcciones de correo que no son nuestras.

Funcionó.

No nos podiamos despedir sin hacer el ataque contra un banco y aunque clona perfectamente la página, nos hace la redirección como dios manda, si os fijais en el enlace superior ha cambiado y es el real del banco en vez de aparece nuestra web de ataque www.cmdsistemas.dyndns.org, aparece https://bancoherrero.com, así que no debe cundir el pánico. Lo que no acabo de entender es que hace en la web del banco la foto de Julia Otero. 🙂

Para machacar a este banco se necesita tocar un poco más pero eso ya no es tema de este post, sin embargo algunas web de algunos bancos sobre todo por sudamerica si se pueden atacar con algo tan fácil como un pentester sin casi seleccionar opciones o utilizar medios intermedios.

CMDSISTEMAS 0 – 1 BANCO SABADELL

Volveremos a jugar e intentaremos un empate con otras técnicas.

Recordar, un hacker informa de las vulnerabilidades, un hacker ayuda a los internautas, un hacker lucha contra el crimen, un ciber ataque es delicuencia, por lo tanto un delito y es un considerado un hacker.

No ataques nunca, protejete e informa pero no te conviertas en un ciber criminal, nuestra comunidad siempre te pillara. Etica Hacker.

AGRADECIMIENTOS A: http://elinformatiku.es/ que nos ayudo con cierto programa a la publicación rápida de los post, sin él no me hubiera animando a poner tantas capturas ni hacer esta publicación.

Saludos.

Malware en la partición de arranque

Aplicaciones necesarias:

dd.exe lo podemos encontrar en –> http://sourceforge.net/projects/unxutils/files/
mbrparser –>http://www.garykessler.net/software/index.html
Interprete de perl que tendremos que instalar –>http://strawberryperl.com/

Aquí podemos ver un ejemplo de MBR que va ser parecido al que vamos a sacar pero no igual, veremos en el post las diferencias–>http://thedigitalstandard.blogspot.com.es/2011/07/mbr-analysis.html

dd.exe–> Si tenemos una conexión un poco limitada o queremos ir al grano dd.exe tambien lo podemos decargar de aquí: http://www.chrysocome.net/dd
ademas nos proporciona varios ejemplo de como usarlo, es un comando heredado de Unix, tenemos información de las unxutils y de dd.exe en nuestra web favorita: http://en.wikipedia.org/wiki/UnxUtils y aquí: http://en.wikipedia.org/wiki/Dd_%28Unix%29

(podeís ir descargando las utilidades, el post continuará cuando tenga más tiempo 🙂 )

Y sobre todo ir leyendo y entendiendo este enlace –> http://thestarman.pcministry.com/asm/mbr/W7MBR.htm sin este enlace no podríamos escribir este post.

En un sistema operativo tenermos este esquema de arranque:
MBR3
Es decir 512 bytes dedicados al MBR (Master Boot Record) quien no lo perdio alguna vez en su S.O.??
El MBR esta compuesto como vemos en la imagen por:
1-Master Partition Table
2-Master Boot Code donde esta el bootloader en W7.
En el segundo están todo el código ensamblador que va necesitar la Bios para cargar la particion de arranque y por lo tanto la carga del S.O.
El primero nos indica unicamente la estructura de las particiones y debido a esos pocos 64 bytes, no podemos hacer más de cuatro particiones. Todo cambia con los nuevos sistemas EFI de Intel que estan compuestos por más bytes y por lo tanto mas particiones, al dejar de usar MBR y usar GPT basado en GUID.
El magic number de la imagen es la firma para el MBR cuyo termino original es BOOT RECORD SIGNATURE y hace que termine la tabla de particiones con un código hexadecimal 55AA.
Hay algunos virus como el MBRLocker que podeis descargar y hacer una prueba en una máquina virtual y veréis como modifican los valores del MBR.
Lo ideal es tener en algún sitio una copia del MBR, ya que podéis estar pensando en recuperar el MBR con alguna aplicación, pero pensar que os va salir el virus antes que la carga y la forma de eliminación que vais a elegir va dejar parte del virus en una parte que todavía no comentamos.
MBR4
ESte MBR se aloja por norma general en el sector 1 que ocupa esos 512 bytes que pueden tener espacio libre suficiente para alojarse un malware hasta llegar al sector 63 donde ya se coloca la particion NTFS (es decir esta vacio del 2 al 62) aunque en W7 no tengo del todo claro que empiece en el 63 la partición NTFS, puede ser que empiece ahí pero también este vacio hasta avanzar unos cuantos sectores, más información de la mitad de esta web en adelante: http://thestarman.pcministry.com/asm/mbr/W7MBR.htm
Una práctica para curarnos en salud es hacer una copia del MBR con el comando:
dd if=\\.\PhysicalDrive0 of=Tabla64.txt count=64
rawwrite dd for windows version 0.6beta3.
Written by John Newbigin
This program is covered by terms of the GPL Version 2.

64+0 records in
64+0 records out

La consola de cmd.exe debería estar como administrador:
ddSinpermisos
😦
Así la hacemos de todos los sectores incluso los vacios que estan reservados para datos del MBR, para no solo machacar los 512bytes del mbr sino todos los anteriores ya que el malware puede estar por todos y aunque lo limpiemos pueden quedar trozos que pueden volver a regenerarse mediante un rootkit.
Para recuperar el backup en caso de desastre tenemos que arrancar desde algún live y poner desde una consola dd if=Tabla64.txt of=\\.\PhysicalDrive0 count=64
Ahora debemos visualizar el fichero que ya hemos creado y guardado en un sitio seguro fuera del sistema:
En la consola de ms-dos:
c:\mbrparser_v1.5\mbrparser.pl -i tabla64.txt
La aplicaciones mbrparser.pl esta en mi caso en una carpeta que se llama mbrparser_v1.5 por eso le doy esa ruta desde c:\
Puede ser que no funcione y necesitemos instalar el interprete de perl que os puse arriba en las descargas el strawberry, este instala el perl.exe dejando el path a c:\windows\system32\cmd.exe y por lo tanto para ejecutarlo no necesitamos darle la ruta de instalación para llegar al perl.exe
asi que desde msdos podemos decir lo siguiente:
C:\Aplicaciones>perl.exe mbrparser_v1.5\mbrparser.pl -i tabla64.txt
Y nos devolvera algo como esto:
ddbeta6

Vemos que en mi PC solo hay una particion y además esta con LBA no marca nada en el Boot Flag ni el CHS(cilinder head sector) porque esta pasado de moda 🙂 ahora se lleva el LBA que lo podeis ver más abajo.
El sector 63 como límite del mbr y el texto que nos suele salir si no encuentra el sistema operativo a la derecha en amarillo, si usamos la aplicación gratuita hexedit.exe por ejemplo desde ms-dos:C:\Aplicaciones>hexedit.exe tabla64.txt –> nos devolvera una pantalla tal cuál:
hex
Nos muestra los 63 sectores que hemos copiado en tabla64.txt, he bajado un poco en el scroll para que veáis como después del 1 empiezan a estar vacios es más el 55AA del que hablabamos el numero mágico marca el final de la firma del MBR y las particiones.
Seguro que unos cuantas de los que leis esto alguna vez habéis ejecutado en ms-dos:
BOOTREC /FIXMBR y BOOTREC /FIXBOOT arrancando con vuestro dvd o iso del w7 original y seleccionando reparar y luego la linea de comandos.
Fixmbr solo sirve para limpiar los 466 bytes del bootloader y fixbott arregla el boot.ini por lo tanto ninguno arregla la estructura de las particiones los 64 bytes del partition table y mucho menos borran nada de los otros sectores vacios si ahora están ocupados, necesitamos nuestro fichero de backup del mbr.
También podemos usar las Hiren Boot y comprobar que efectivamente no quedan restos del malware, aqui tenéis un tutorial:

Si usamos la aplicación Hex Workshop (es de pago pero pordemos usar la version de prueba de su sitio oficial)
podemos ver el primer sector después del 63 que contiene ya la partición de NTFS no la de MBR.
Para ello pinchamos en la barra de menú en Disk y después open drive, a continuación elegimos C: y no abre este sector. Podemos con las flechas azules movernos por los sectores. Fijaros que el texto es distinto dice falta bootmgr para esto si que seriviría el FIXBOOT de antes.
Teneís más información detallada de como calcular las particiones en hexadecimal o que quiere decir ese ensamblador aqui:
http://blog.creativeitp.com/posts-and-articles/bios/analysing-the-master-boot-record-mbr-with-a-hex-editor-hex-workshop/
No estoy con una máquina virtual así que no infecto el MBR pero podéis ver el resultado en el video. Sale en Ruso porque la aplicación que lo genera tiene el mensaje en ese idioma pero es del todo modificable en ese caso.
Ya sabéis un poquito más.
Saludos.

HONEYPOT y estadísticas de ciber ataques

Hola a todo nuevamente.

¿sabeis lo que es un honeypot? Bueno los hay de varios tipos, por resumir podemos decir que es una herramienta de seguridad informática. La funcion principal es distraer a los atacantes de la electrónica informática principal de la empres, y avisar rápidamente al administrador del sistema de que esta siendo atacado. Teneis mucha información de la mano de la libertad del conocimiento:

http://es.wikipedia.org/wiki/Honeypot

España esta encabezando a día de hoy el Harvester Traffic, mirar una estadística: https://www.projecthoneypot.org/statistics.php

Que es el ataque harvester, pues bien son ataques de intento de sesión ohhhhh, nos están friendo señores …

Huevos-con-chorizo

Concretamente consiste en  clonar un sitio con un formulario de autenticación con solicitud de usuario y contraseña, como por ejemplo en su día lo fue el ataque que nos venía como web de Caja Madrid (mejor no hablar de Caja Madrid) o ahora es con el servicio Fed Ex. La pobre víctima introduce sus credenciales y  la función SET del formulario hace el resto recopilando la información. A posterior lo normal es mandar a la victima al sitio original para que no se entere de nada, finalmente el delincuente obtiene un report con la información introducida por la victima.

Hay un proyecto muy chulo en el que varios honeypot están distribuidos por todo el mundo y mandan en tiempo real sus datos de posición junto con otras estadísticas en el momento del ataque, lo podeís ver en el siguiente enlace, veréis que la Zona de Argelia esta muy caliente, tenéis que observala un rato, pudiera ser que durante unos segundo no hubiera algúna ataque pero es casi imposible, es como hacer una foto en la Calle Sol de Madrid sin nadie.

http://map.honeynet.org/

Tenemos un enlace de estadísticas muy bueno al final de este parrafo en el que podemos ver los tipos de ciber ataques que se producen, dándonos una clara visión de los tipos más usados. También las empresas más afectadas cada mes, que sectores son los más espiados en cuáles se aplican tecnicas como sqli, podemos ver ataques por las redes bonet ya sabeis el tipo de red que usan los activistas para atacar. Este último tipo de ataques fijaros que vienen marcados como activistas no como anonymous, anonymous no esta detrás de todos los ataques de denegación de servicio, para ver la categoría de ataque lógicamente solo os tenéis que fijar en categoría de ataque. Me llama la atención el tipo de industria más afectada, … me gusta la web.

http://www.hackmageddon.com/

Saludos.

Cuidadin con poner un apache en vuestro windows o linux y no securizarlo … otro días os hablo sobre el tema.

Malware – Seguros e incendios – Timos y estafadores

Hola a todos, buenas noches en este momento de escribir el artículo y buenas noches en especial a Chus a quien le he prometido un artículo. ¿Quien es Chus?

Chus es un muy viejo amigo que conozco desde parbulos en el colegio (me pegaba) y que con el tiempo a crecido (seguía pegandome) continuado el negocio del padre, un taller de hidráulica con sus tres primos, el gitano, el que no tiene ni zorra de ordenadores y él. (supongo que después de esta descripción tambien me pegaran.)

Cada poco le estan entrando malwares en el PC, el gitano es asiduo a paginas de dudosa procedencia ehh mm comprometidas ya sabeis ese cine que nadie ve pero que es mas visto que el de Hollywood, aquel que siempre te pregunta tu novia o mujer que si tu lo ves que le dijo una amiga que seguro y tu dices siempre que no pero en ese momento recuerdas unas escenas y se te escapa la risa, y ella te dice entonces no ehh?? y tu recuerdas alguna frase del estilo de ohhh!! que bella dama y que hermoso culo se me pone duro el cachiru… y que hermosas alajas bien merecen un par de pa… bueno a lo que ibamos, al no haber querido un W7 que ya venía instalado, siguen con el triste XP que para los tiempos que corren no es lo más adecuado.

Os preguntareis la razón? porque “el ni zorra” sino, no encuentra ni el ratón en la pantalla, el usuario que tienen es administrador, para los que entendeis un poco menudo agujero de entrada al malware, peor imposible.

Chus sin embargo por las preguntas que me hace y su constancia veo que si no hubiera seguido con ese negocio y la carrera de informática en nuestra época no hubiera sido un fedor de matemáticas y asignaturas peñazo hubiera acabado como yo, bueno espero que mejor.

Por cierto saludos al que supendio a mi hermana una asignatura, la última que le quedaba para acabar la ingeniería que llevaba practicamente año por año,  con la peculiar nota de un 4,90 por supuesto bajada por faltas de ortografía entendiendo como faltas unas tíldes y por supuesto una diferencia de opinión en un problema, ahí te caiga un meteorito ardiendo de silicato de calcio con oxidrilos, es el mas punteagudo que se me ocurre.

Chus hoy no puedo por cuestiones de trabajo, pero otro día escribo el artículo con capturas de pantalla y todas esas cosas.

Pero te comento sobre lo que hablabamos de la informática y para que flipes te pongo un ejemplo como hay miles.

Fijate que cosas se pueden hacer con malwares sabiendo usarlos y conociendo bien todo el entorno tecnologico que nos rodea. Te pongo el ejemplo de un gigante, HP, imaginate que un mal bicho (y no me refiero a un político) sabe que puede cobrar una cuota importante de dinero de su compañia de seguros si su empresa arde entre las llamas y desaparece entre la ceniza.

Imaginate que tengo una Hp y descubro un fallo en sus impresoras, descubro que puedo inyectar código en su firmware, es decir en su programa interno, ese programa que hace trabajar la parte física del dispositivo, ese programa que como sabes gracias a las nuevas generaciones de móviles es más conocido por los usuarios de calle.

En el caso de HP en una de sus series de impresoras laserjet cada vez que imprimen un documento analizan su firmware pudiendo actualizarlo si detectan una versión nueva por decirlo entendible en internet. Supuestamente para actualizarse esta versión nueva debería venir firmada digitalmente mediante certificado “por ejemplo”, pero este firmware no lo comprueba y podemos inyectar nuestro propio código pudiendo ser una de sus características controlar la tensión y el tiempo de uso del fusor y anular los sensores de apagado calórico que suelen llevar todos estos tipos de impresoras, el fusor se puede poner a “parir” (hablo tu jerga) y conseguimos que prenda fuego con todos sus papeles de la bandeja de entrada …, la leche no??? y encima lo podemos hacer desde tu casa, la mia no …, bueno pues como esto existen otras miles de formas de hacer el mal, por supuesto evitables con seguridad. (te tenía que haber dado yo unas leches cuando eramos más jovenes), perdón es que me estaba acordando de párbulos.

Te dejo un enlace con un video de lo que estoy hablando, no exactamente igual el caso de la razon del fallo de la impresora pero si casi igual. La leche ehhh ?? tu a que crees que acharían el fallo??, pues a un ratón que comio el cable, a la limpiadora o a cualquiera menos a la Pantoja o a Ramoncin …

Este es un ejemplo para que veas que el malware que te ha parado las copias de seguridad de la aplicación del taller no es nada maligno 😉

http://nakedsecurity.sophos.com/2011/11/29/hp-laserjet-printers-at-risk-of-fiery-hacker-attack/

Saludos.

Evitar malware o inyecciones de código – DEP

(Durante el post, podéis pinchar en las imagenes para verlas con mejor claridad)

Con la llegada de los nuevos sistemas operativos desconocemos las nuevas facetas de las que disponemos, es decir no tenemos ni pajolea idea de manejar las nuevas herramientas en los relativamente ya nuevos Sistemas Operativos, no nos molestamos en aprender a usar una herramienta de trabajo y diversión como es nuestro windows 7, total para que ??? si puedo tener un antivirus por la cara, me lo pirateo de las típicas web y sino pues el Avast que es gratuito o el Microsoft Security Essentials no? (el colmo ya son las empresas que tienen el Avast gratuito como versión Home y no pagan la licencia enterprise, so ratas !!!!!), pues bien de poco os sirven hoy en día contra los Malware, estoy reventado de que me llamen los amigos para que les solucione el virus de la policia u otros similares, hay que escapar de los tópicos de los antivirus, nosotros y nuestras técnicas son la mejor protección.

En nuestros PC usados para la empresa no usamos antivirus, sabemos usar nuestro sistema operativo, conocemos los servicios que están en ejecución y no instalamos cualquier aplicación de terceros y lo que es más importante podemos recuperanos de un fallo en menos de lo que canta un pollo, ocurra lo que ocurra, bueno lo retiro, pero en la mayoría de los casos.

En casa todo es muy fácil pero en las empresas en servidores en producción la cosa cambia, explicale al director que hay que parar una producción o al informático que ha metido la gamba e igual es tu jefe o la persona que te ha contratado … hay que hacer lo imposible con tal de no formatear y reinstalar, tonto el primero en formatear, incluso en casa …

Que hace DEP?, bueno pues evitar ese desbordamiento de memoría que tanto nos suena a ataque hacker, (odio la palabra hacker, pobrecitos que cruz les dejaron si eran programadores) o mejor dicho evitar que nos inyecten instrucciones cuando la CPU esta ejecutando un proceso, dicho proceso debe procesar por ciclo de reloj los datos asociados a ese proceso y a veces esos datos se convierten en instrucciones por culpa de algun malware que anteriormente se ha instalado en nuestro Windows 7,  haciendo que ahora nuestro procesador ejecute esas instrucciones que nos van a llevar a otros datos que no son los que nos tocaba procesar por ese proceso y ya estamos infectados.

En la memoría de paginación se guarda todo lo que nuestro preceso necesita, como deberiais saber para que un proceso pueda funcionar debe hacerlo en memoría de paginación (para eso está) , ahí están los datos, la pila, las instrucciones que necesita y un indice que va colocado en al principio de la pila.

Para que se usa este indice?, en realidad el proceso no esta en la paginación la paginación se translada a la memoría ram real, y lo que hace es trocear todo lo que necesita el proceso para trabajar, colocando su datos, pila e instrucciones en distintos sitios de la memoria real. El exploit generado por el malware se aprovecha de esto para apoderarse de ese indice y así decirle al proceso que vaya a otra direccion de memoria donde ya no esta el código de este proceso y donde estaran nuestra instrucciones metidas en la variable datos, pues bien DEP IMPIDE QUE LEA ESTAS INSTRUCCIONES y que solo lea datos de la variable datos y no instrucciones que introduce el malware en dicha variable, en pocas palabras el procesador ya no es tonto o mejor dicho distingue datos de instrucciones.

Como se hace esta cabronada por parte del malware?, pues inyectando código hexadecimal a fuego 🙂 aprovechando excepciones de aplicaciones que … y bla bla bla, bueno ya valio de teoría, esta resuelto para que vale DEP, al lio.

Vamos a usar DEP, como medida preventiva y repito solo preventiva tenemos una nueva opción y digo nueva solo desde el punto de vista que viene incluida en windows 7 por defecto que es Data Execution Prevention (DEP), esta medida recibe diferentes nombres dependiendo del fabricante que la implemente. En servidores se puede activar por Bios, que se hace indispensable.

Suele venir en las nuevas placas base que vienen con EFI en vez de Bios (el que no sepa lo que es EFI ahh se siente a mirar Wikipedia y donar aunque sea un dolar.)

DEP lo podemos activar desde Windows 7 y se llamaría hardware DEP, ya que nuestro procesador lo permite si es compatible.

En la imagen al seleccionar DEP podemos ver como nos dice que es compatible, si no lo es también hay DEP por software pero ese no tengo ganas de explicar lo que hace, además no me gusta, por software tengo la teoría de que influye en el rendimiento pero no puedo asegurarlo, ya tendría que explicarlo un Guru de estos temas.

Si os fijáis en la imagen de más abajo, selecciono la opción segunda para añadir una excepción y no habilitar DEP en la aplicación Alcohol 120%, descarto aplicaciones de grabación de DVD porque estamos en crisis, no quiero tener que tirar ningun DVD por un fallo de grabación, que por suerte ya no tengo que pagar la ESTAFA del CANON de la sociedad de autores por copiarme un DVD con mis propias aplicaciones o fotos, pero tambien es cierto que ya lo pague cuando compre la grabadora de DVD el año pasado.

Buff, bueno volvamos a lo que estabamos que se nos va en la IRA, la imagen (pinchar en ella para verla mejor) ahí activamos el DEP:

pcompatible

Donde tenemos esta opción que vemos en la imagen anterior?, pues en rendimiento en el botón de configuración:

rendimientoY después?, pues ya esta funcionando y  para comprobarlo vamos a inserta esa colunma en nuestro administrador de tareas para ver que aplicaciones lo tienen habilitado y cuales no, ya que las propias aplicaciones algunas pudieran ser incompatibles y si nos dan algún problema podemos sacarlas del DEP poniendolas como el alcohol en la excepción.

monitor

Como vemos en la siguiente imagen la aplicacion de copiado de DVD el Alcohol 120%, nos marca como deshabilitada, lo vemos en la marcada en azul donde dice Prevención de ejecución de datos (español) 🙂

alcohol

También podemos analizar nuestras aplicaciones para ver si tienen soporte para DEP, para ello deben de haber sido compiladas con una opción determinada usando así las librerías necesarias, ahora mismo no recuerdo cuales son, pero las podemos buscar si tenemos curiosidad con San Google.

Yo por ejemplo voy analizar una aplicación que uso mucho, el battlefiel 3 🙂

ntcore

He usado la aplicación que descargue de http://www.ntcore.com y lo que hago es darle abrir y seleccionar el .exe que contiene los binarios, es decir me he ido a la carpeta donde tengo instalado el juego y he seleccionado el fichero ejecutable el battlefield.exe

La aplicación me hace un analisis muy completo, pero lo que me interesa esta vez es irme a donde dice en el explorador de la izquierda: optional header. Una vez pinchada esta opción, en la lista que me muestra en el panel de la derecha busco DllCharacteristics y una vez encontrada me fijo en el tercer campo de esa fila, que dice:8000 creo que se refiere al valor del registro 0x8100.

A su derecha nos dice Click here, pues hacemos eso pinchamos ahí y nos sale un nuevo panel con las características.

En mi caso como ven salen dos marcados, uno de ellos es: “Image is NX compatible”, bien pues eso significa non execute es decir que es compatible con DEP. Nx es un bit que se usa para marcar como no executable en el procesador, es lo mismo que XN,XD,ND, marketing … nada el que quiera saber más sobre NX que mire este enlace:

http://en.wikipedia.org/wiki/NX_bit

Por lo tanto battlefield 3 es compatible con DEP, tengo protección.

También podemos usar otras aplicaciones, en el caso de PeStudio nos lo ponen más visual, va imagen:

pestudioPara ver las DllCharacteristics en este caso hay que marcar la casilla que veis abajo en la imagen, como veis esta marcado con una estrella el DEP support.

Como anotación curiosa de las dos aplicaciones podemos ver que en este caso tiene marcado el SEH usage, y en CFF Explorer de NT core, es decir la imagen anterior no lo tiene marcado.  Si nos fijamos si estuviera marcada sería que no usa SEH, es decir dice justo lo contrario, por eso no esta marcada así que las dos aplicaciones nos muestran lo mismo pero visto desde otro punto de vista.

Y ahora si en vez de ir a la pestaña superior de Optional Header vamos a la pestaña Idicators, nos cercioramos al ver la opción que esta marcada en azul.

pestudio2

Deciros por último que algunos juegos pueden generar algún error por culpa de DEP, caso de ello fueron los SIM2 en la época del VISTA, pero que en ningún momento hemos experimentado lentitud en el juego por estar activada esta funcionalidad y hemos visto fallo en otras aplicaciones.

Recordar, DEP solo es una medida más contra los malwares ya que cada vez hay códigos más trabajados y que son verdaderas obras de arte, ahí es donde reside el dinero.

Otro día os comento algo que nos empieza a preocupar a la comunidad, la cantidad de peticiones html que recibimos por http siempre que publicamos algo sin dns, son ip 85 que curiosamente es la ip de CHINA …

Saludos a todos y que os traigan mucho los reyes magos y a los que estáis fuera de España y nos leeis, también 🙂

Hola de nuevo, he vuelto a editar el tema debido a varias preguntas recibidas a nuestro correo que figura en la parte superior del Blog. ¿Que es un PE?, supongo que la mayoría quiso preguntar que es un fichero PE.

Si os fijais en los programas usados en este artículo tienen nombre como PE estudio.

Para saber a fondo lo que es un fichero PE podeis leer el documento en español (para mi el mejor explicado) que hay colgado en este enlace https://www.box.com/shared/4156t5rfv8tr5v4bgo19 el autor es @The_Swash y ha juntado sus conocimientos mas el de sus colaboradores nombrados al final del mismo.

Problemas para compartir carpetas entre XP y Windows 7

Algo tan sencillo como esto puede resultar estresante si no controlas un poco.

Lo primero que debemos comprobar, son los equipos, deben estar dentro de la misma red también comprobamos que esten dentro del mismo grupo de trabajo.

En la carpeta compartida (Compartimos la carpeta como siempre), boton derecho / “propiedades”
En la Pestaña de “seguridad” / “Opciones Avanzadas”
Selecionamos “Cambiar Permisos”
pulsamos en “Agregar” / “Opciones Avanzadas” / “Buscar Ahora”
Localizamos dentro de la lista el usuario “NETWORK” , aceptamos.

Seleccionamos Control Total Aplicamos y Aceptar…….

Y ya esta, has dado permiso para que desde XP puedas acceder a las carpetas compartidas de W7 sin problemas. En ocasiones puede funcionar si sustituimos “NETWORK” por “TODOS”.

Imagen