sábado, 29 de marzo de 2014

eliminar virus navegadores

Adwcleaner sera tu escoba para limpieza de navegadores para eliminar los millones de adware (virus de publicidad, no son dañinos sino molestos) y de los PUP (programas no deseados) que se insertan en nuestros equipos.


¿Que mejor que una demostración con un pc infectado de adware?

Descargamos adwcleaner de su pagina oficial. Pesa 1.9MB y no hace falta instalarlo, así que lo ejecutamos.

Le damos a escanear, y empezara a buscar todo el adware y PUP del sistema, no tardara mucho... y nos lo va ordenando.
adwcleaner escanear


Una vez vemos todo lo que hemos cazado, podemos darnos cuenta que teníamos una mina dentro. 
adware en mozilla
Mozilla infectado

Ahora presionamos limpiar y ya nos quitara todo lo capturado. Una vez terminado nos pedirá que reiniciemos con lo que tenemos que guardar todo lo importante y reiniciar.

Cuando reiniciemos nos aparecerá un informe de lo que fue borrado.
adwcleaner reporte inicio


Desde mi punto de vista personal, ha sido de gran ayuda pues muchos antivirus no están tan orientadas a la limpieza de adware como adwcleaner y nos va a liberar mas de una rabieta con tantas ventanas y molestos pop-up.


Saludos!!

viernes, 28 de marzo de 2014

Bosseveryware controla tu red empresarial

Bosseveryware es un software usado en entornos empresariales para controlar la actividad de los empleados y tener un control sobre el equipo de que es lo que esta haciendo.

Es importante avisar a los empleados que hemos habilitado un sistema de monitoreo sobre el equipo y que deben tener cuidado sobre sus acciones, como administradores de la red deberemos cumplir con una politica de privacidad por la cantidad de datos sensibles a los que podriamos tener acceso.

Esta aplicaciones la descargaremos de su pagina oficial, este programa que nos descargamos, lo instalaremos en el cliente a monitorear.


Nota: Esto es un troyano por mucho uso empresarial que le demos, con lo que los antivirus en un principio lo detectaran como malicioso, asi que deberemos configurarlo para que lo omita, y decirle que no es peligroso.


1º Instalación en el equipo a monitorear
Una vez terminada la descarga del ejecutable o winrar, lo ejecutaremos e iremos siguiendo los pasos en un sencillo asistente de instalacion.
instalacion asistente bosseveryware
Ubicación donde se instalara

2º Configuración de los parámetros
Abriremos el "Logger Configuration", e iremos configurando a nuestro gusto por las pestañas que tiene.

En la pestaña "Log file", vemos log file location, aqui es donde se guardara el log de lo que esta pasando en el PC.

* Puede ser buena practica guardarlos en un servidor de red, con una carpeta oculta y que tenga los permisos esenciales para que escriba.
salida fichero logs



3º Configuración del envió de sucesos al correo. Si queremos que el log sea enviado a nuestro correo personal o el del trabajo podemos configurarlo en la pestaña "Schedule" y en el botón email settings. 

Una vez aqui introduciremos a la dirección de envío y configuraremos el smtp de salida y la cuenta que lo enviara, tambien en caso de que falle el envío podemos configurar el tiempo en el que tardara en enviar otro mensaje.

En las empresas suele ser normal el uso de un servidor de correo, y tener clientes de correo, como Outlook, Mozilla Thunderbird y Zimbra. 
logs al correo
Pruebas sin exito con gmail, habra que seguir investigando...



4º Configuración de una contraseña de acceso.  Algo necesario es pedir una contraseña cuando se necesite acceder a la configuración, esto lo encontramos en la pestaña "Security".
configurar password bosseveryware


5º Configuración externa, deploy. Si vamos a hacerlo en mas equipos podemos crear un archivo externo de configuracion y pasarlo al resto de maquinas. 
configuracion externa bosseveryware


Si queremos ver los logs que se han generado iremos a la ruta que especificamos en la pestaña "Log File".
msconfig bosseveryware
Bosseveryware insertado en el inicio


Si por alguno motivo lo detectara como malicioso, una de las mejores opciones es, incluirlo como excepcion, cada antivirus/ antimalware/ antispyware/ antiTODO es diferente.
exclusion antivirus bosseveryware
Exclusión en Microsoft Security Essentials


Bosseveryware es una buena herramienta para tener un conocimiento del equipo sobre todo en maquinas donde pueda haber actividad sospechosa, actividad que no se ajuste a la política de la empresa o para controlar que alguien entra a un equipo para alguna actividad no reglamentada.


También se le puede dar uso en entornos domésticos para que los padres supervisen lo que hacen los hijos, si alguien entra a tu ordenador sin tu permiso y en escuelas, aunque esta ultima no suele usar este programa).




Saludos!!

sábado, 22 de marzo de 2014

XSS en Prettyphoto

Hoy vamos a explicar como hacer un XSS (Cross Site Scripting) en una web que tenga el plugin prettyphoto, usada en Joomla y Wordpress para crear slides, galerias, integrar contenido flash, Ajax, iframes y mucho mas.

Así que vamos alla!!

Lo primero seria buscar una web vulnerable, lo mejor es hacerlo mediante un dork, de la siguiente manera: 

inurl:/wp-content/plugins/prettyPhoto
dork prettyphoto

Y vemos que solo contando sitios wordpress cacheados hay 7300 resultados con lo que vemos la exponente vulnerabilidad a la que están expuestos.


Una vez tenemos la pagina tendremos que buscar la versión, para ello buscaremos en el código fuente la versión o miraremos los archivos Javascript o Css hasta encontrar la versión, yo lo he testeado en versiones 3.1.4 y 3.1.5 y ambas permiten la ejecución de código.
version prettyphoto


Como hemos dicho que es usado en slides y galerías localizaremos para que se esta usando el plugin y con URL /#prettyPhoto[gallery]/1 ejecutaremos la galería.
ejecucion prettyphoto


Una vez vemos que hemos conseguido ejecutar el gallery ahora vamos construir el XSS, en este primer caso usaremos un document.write para escribir en el documento texto.
URL /#prettyPhoto[gallery]/1,<a onclick="document.write(/esto-es-una-prueba/);">/

document.write en pagina

Para nosotros poder ejecutar esto es un éxito y echándole imaginación puede ser muy peligroso consiguiendo hacer Denegación de servicios, redirecciones, robo de cookies, alertas, inyección de codigo html...

Ahora vamos a por una alerta simple para conseguir el segundo XSS.
URL /#prettyPhoto[gallery]/1,<a onclick="alert(/esto-es-una-prueba/);">/
alert en pagina


Ahora vamos a ponernos en el sitio del atacante con lo que podría ser cosas peligrosas, lo primero seria realizar un robo de cookies, haciéndose de la siguiente manera:
URL /#prettyPhoto[gallery]/1,<a onclick="document.write(document.cookie);">/

Hemos conseguido ejecutarlo pero no contiene una cookie, lo que podria ser un pwned directo. Por suerte para el sitio no lo hemos conseguido.


Solución:
Para arreglar esta vulnerabilidad se recomienda actualizar a la ultima versión disponible en la pagina del autor y probar si esta arreglado.


**La vulnerabilidad fue reportada al autor y arreglada al día siguiente, aunque pueda ser molesto para el desarrollador se suele avisar por que son vulnerabilidades que en malas manos pueden hacer mucho daño. El objetivo de este tutorial era concienciar sobre los peligros de esta vulnerabilidad y que hacer frente a ella. 

Saludos !!

jueves, 13 de marzo de 2014

¿Borra Facebook las fotos que eliminamos?

Facebook es la red social numero 1 y también la empresa mas acusada y criticada por su falta de privacidad que tienen sus clientes (usuarios) respecto a gobiernos y grandes empresas privadas a la que vende toneladas de datos de sus usuarios.

Hoy quería mostrar un pequeño experimento:

Descripción: Vamos a subir una foto a facebook y luego como nos arrepentimos la borraremos para que nadie la pueda ver, y otro usuario la recuperara teniendo la URL.


Subimos una foto a nuestra cuenta de facebook, en este caso a sido una foto al azar.
foto_subida


Yo mismo u otra persona podria guardar la URL completa de la foto abriéndola en una nueva pestaña. 
url_imagen
Como vemos aparecerá una URL gigante, pues eso es lo que tenemos que guardar para hacer el experimento.


Ahora la vamos a borrar, por mil motivos en este caso, vamos a decir que he visto a este alien en el patio de mi casa y la borro para no crear polémica y que no me llamen loco.
eliminar_foto

Y acabamos de "eliminar" la imagen.

foto_borrada



 Pero si con esa URL se la pasamos a otro contacto o intentamos acceder nosotros vemos que seguimos accediendo a la imagen.
foto_recuperada



Conclusión: Como acabamos de comprobar Facebook no elimina las imágenes como el nos dice en el cuadro, lo que hace es marcarla como oculto de nuestra cuenta. Pero la imagen seguirá estando allí.


Saludos!!