Archivo para la categoría ‘General’
16 Jul 2009 | Por jonathanc | # Enlace permanente
Andan dando vueltas correos para realizar este tipo de fraude electrónico :
Detalle del correo :
Le enviamos este e-mail para informarle que por problemas tecnicos tenemos que actualizar sus datos en nuestra Base de Datos.
Por favor, para que nosotros podamos actualizar sus datos en la Base de Datos necesitamos que entre a su cuenta y confirme la actualizacion para eso haz click en el siguiente link:
http://www.bancofrances.com.ar/tlal/jsp/ar/esp/home/
1-Entre a su cuenta con sus respectivos datos.
2-Complete el segundo formulario si todo a salido bien su cuenta a sido verificada correctamente de caso contrario por favor entre a su cuenta y verifique si sus datos personales estan actualizados.
Su numero de cliente es: 03886091
Conserva este e-mail o imprimelo y guardalo.
Ante cualquier consulta, no dudes en comunicarte con nuestro Servicio de
Atención al Cliente escribiendo a info@bbva.com.ar
Atentamente,
María Ordóñez
Servicio de Atención al Cliente
info@bbva.com.ar
http://www.bancofrances.com.ar/
Mucho cuidado!!!
Jonathan.
05 Abr 2009 | Por jonathanc | # Enlace permanente
Como algunos ya sabrán facebook para sus aplicaciones utiliza un lenguaje de consulta relativamente propio para sus aplicaciones el FQL : http://wiki.developers.facebook.com/index.php/FQL
Hasta hace poco dejaron una brecha en su código la cuál permitia que cualquiera que no sea uno de tus contactos pueda ver tus fotos.
Básicamente la url mal formada que se debía utilizar era la siguiente :
http://www.facebook.com/profile.php?id=IDVICTIMA&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDVICTIMA
1ero se debía obtener el ID esto se puede hacer simplemente viendo los amigos del contacto.
2do Se debía agregar la url con el ID correspondiente de la VICTIMA y listo.
Actualmente la falla se encuentra solucionada.
03 Feb 2009 | Por jonathanc | # Enlace permanente
Gmail nos ofrece la posibilidad de chequear cuando y desde que ip han accedido a nuestra casilla de gmail. La opción se encuentra al final de la página de la bandeja de entrada (en el footer) . Es un link que dice información detallada
Los datos que muestra son los siguientes :
Actividad reciente:
Tipo de acceso [ ? ]
(Navegador, móvil, POP3, etc.) |
Dirección IP [ ? ] |
Fecha/hora
(Se muestra en tu zona horaria) |
| Navegador |
200. * |
18:54 (0 minutos antes) |
| Navegador |
200. |
17:36 (1 hora antes) |
| Navegador |
200. |
16:31 (2 horas antes) |
| Navegador |
200. |
15:29 (3 horas antes) |
| Navegador |
200. |
14:52 (4 horas antes) |
Inclusive si notan alguna sesión desde otra ip tienen la opción de desactivarla.
02 Feb 2009 | Por jonathanc | # Enlace permanente
Casi todos los routers son compatible con este protocolo TFTPP (Trivial File Tranfer Protocol).
El TFTP trabaja por UDP para transferir archivos de configuración utilizando el pto. 69.
Lo podemos detectar en un dispositivo de la siguiente forma con el nmap :
nmap -sU -p69 -nvv target
(La captura no es el scanning real para tftp)
El atacante realiza una descarga de TFTP para obtener los archivos de configuración o sea los .cfg los mismos continenen las passwords de SNMP.
01 Feb 2009 | Por jonathanc | # Enlace permanente
Un programa necesita guardar datos por tal motivo necesita un espacio en memoria ese espacio se lo llama buffer.
Los buffers tienen un límite y ese límite se lo define el desarrollador.
Cuando un programa llama a una función guarda la dirección en la que se encuentra para saber donde volver cuando la función termine. Esta dirección es conocida como dirección de retorno y se guarda en la pila. Podemos llamar memoria a la posición en donde se encuentra un dato en la pila.
Qué es la pila?
La pila es una estructura de datos que se encuentra en la RAM y se encarga de centralizar los procedimientos.
Ahora bien, vamos al grano.
BOF o buffer overflow o buffer overrun ocurre cuando una aplicación tiene un defecto en su desarrollo y almacena datos en la memoria más allá de la longitud del buffer.
Como resultado de esto el buffer se desborda y se sobreescribe en lugares de memoria adyacentes. Los datos que son reemplazados pueden incluir otros datos, variables o lógicos de programas y pueden hacer que un proceso haga crash (pumba…!) ó produzca resultados incorrectos.
Una amenaza mayor se vuelven los BOF cuando los datos inyectados son código ejecutable.
Por lo general el BOF puede permitir escalar privilegios.
SHELLCODE : El el código que permite escalar privilegios con un BOF.
Un ejemplo simple de BOF :
Tengo un formulario web con límites establecidos en cantidad de caracteres por ejemplo en el campo nombre que el mismo permite hasta 10 caracteres y el que controla que esto sea así es código de javascript, ahora bien el atacante desactiva del browser el javascript y me inyecta más de 10 caract. 1000000 por ejemplo y causa un bof al finalizar el action.
Un poco de historia :
El primer BOF data de 1988 cuando el Morris Worm se distribuyó por aquella joven internet. Este gusano se aprovechó del servicio de sendmail y finger. Un poco más adelante cerca de nuestros tiempos nos encontramos con el CODE-RED del 2001 que se aprovechaba del IIS 5.0 y hace 6 añitos atrás uno de mis favoritos el SQL Slammer para SQL Server.
Un ejemplo no tan complejo pero solo para entendidos :
Que pasa si el atacante se conecta al demonio de sendmail y envia un bloque de datos que contiene 1000 letras “a” al comando VRFY en lugar del dato del usuario que es mucho más corto…?…
echo “vrfy ‘perl -e ‘ print “a” x 1000 ‘ ‘ ” | nc www.jonathancarames.org 25
El VRFY va a desbordarse porque solo soporta 128 bytes con esto y algunas modificaciones se pueden escarlar los privilegios con este bof.
En el próximo post voy a mostrar algunas contramedidas.
Fuentes : Libro Seg IT de Users autor : Sebastián Firtman. Libro Hackers 4 autores : Nc Clure, Scambray y Kurtz
Ultimos Comentarios