Buenas noches,

Como todos sabemos, en mayo postee sobre las actualizaciones espía de Windows. Hace poco los medios han empezado a informar sobre esta tendencia por parte de Microsoft, ya que Windows 10 sigue en la línea.

Es por ello por lo que he desarrollado una tool para la eliminación de estas updates. Es totalmente gratuita, código abierto y libre de virus.

Para los interesados el código lo podeís encontrar en mi repositorio-> https://github.com/FreeJaus/gea-PRISM/tree/master/Programming/WinUpdate%20Removal/WinUpdate%20Removal

Si no sabeís como funciona github o bien os da pereza os dejo el source con los ejecutables (código + .exe) -> https://mega.nz/#!a04UFKbJ!UvjjUr6FxBFtTnkCu8hUsEsShMA2i_5KrUdnoFP8eqs

En la carpeta "executables" encontrareis los .exe para 32 y 64 bits. Ejecutad el correspondiente a vuestra plataforma, sino el desinstalador no funcionará correctamente.

Os explico el funcionamiento:

Esta herramienta codeada en C++ lista vuestras actualizaciones e identifica las actualizaciones espía instaladas en vuestro sistema. Una vez identificadas trata de desinstalarlas.

Captura (las updates que aparecen son legítimas, las puse de ejemplo que conste):



Si sabeís de alguna actualización espía adicional no dudeís en contribuir en el siguiente post -> https://foro.elhacker.net/windows/actualizacion_espia_oficial_de_windows_update-t435355.0.html

Ahí encontrareís todas las actualizaciones espía que he ido identificando.

Saludos y no dejeís que invadan vuestra privacidad sin vuestro consentimiento.

Buenas tardes a todos,

pues hace relativamente poco compré un SSD pues las tasas de lectura y escritura de mi HDD actual son muy bajas.

El problema es que mi partición de Windows contiene muchos datos y me gustaría migrar el Sistema operativo y ciertos programas al SSD.

Sé que se puede hacer, pero lo que más me preocupa son aquellas claves y subclaves que albergan valores del disco duro actual, si transpaso esa data al SSD, esos valores del registro habría que retocarlos para que apunten al SSD.

Mi disco duro viene con una app para realizar dicha clonación de disco, pero tampoco sé si fiarme, puesto que no se como trata lo del registro.

Link a la app de clonación -> http://transcend-info.com/Support/Software-10/

Mi pregunta es, ¿Habeís utilizado alguna app para transpasar/clonar directorios entre discos en Windows 7/8? ¿Cuál sería la mejor forma de mover el OS actual al SSD sin formatear?

Saludos.

Buenas tardes a todos,

Desde ayer Tapatalk no me funciona al entrar al foro, pero si que lo hace con otras comunidades.

El error que obtengo es el siguiente: get_config Network error, please try again later.

Quisiera saber si algun usuario más del foro está teniendo los mismos problemas al intentar acceder.

Saludos!

Buenas tardes señores,

Desde Windows Vista y posteriores un kernel-mode driver no booteable (non-boot) es instalado validando el certificado emitido para firmar el archivo del catálogo (.cat) y cada uno de los archivos asociados al catálogo.

El procedimiento se realiza comprobando si la cadena de certificado es válida, esto significa que la Root CA que firmó nuestro certificado debe de estar en la local Trusted Root CA (Entidades de raíz de confianza) y además nuestro certificado (no el Root CA) debe de estar en la local Trusted Publisher (Editores de Confianza).
De esta forma al usuario no se le pregunta si confía en el sujeto que firmó el driver.

Vale nos hemos quitado un peso de encima, pero queda la cuestión más importante y es subir al kernel.

Al finalizar la instalación, el driver supongo que es cargado por winload, y el problema es que falla al verificar la firma digital.
Esto es debido a que el certificado no ha sido firmado por una CA de confianza dado que winload tendrá su propia lista de Root CAs, así que la única manera LEGAL de pasar el checkeo es comprar un certificado emitido por una CA de confianza, las cuáles están en esta lista -> https://msdn.microsoft.com/en-us/library/windows/hardware/dn170454%28v=vs.85%29.aspx

Ahora mi pregunta,

existe alguna manera de patchear windload para insertar una nueva Root CA para que cuando se cargue nuestro driver valide el certificado correctamente? Sé que al modificar winload su firma digital se romperá, pero podríamos refirmarlo con la clave privada asociada a nuestra nueva Root CA, que ahora reside en winload, por lo que la verificación sería satisfactoria.

Espero que alguien de aquí haya pensado en esto alguna vez, sino es un tema muy extenso :/ Aun así gracias por vuestra atención.

Este post lo he escrito también en la comunidad Stackexchange de Ingeniería Inversa, por si os interesa el tema -> http://reverseengineering.stackexchange.com/questions/9243/patch-driver-loading-process

Saludos!

Buenas a todos,

os vengo a proponer un tema curioso y de índole personal el cual consiste en definir nuestras metas para un futuro no tan lejano, donde se supone que debiéramos de estar asentados trabajando en un área concreta.

Os traigo las siguientes custiones:

¿Qué profesión te gustaría ejercer?
¿Cuál sería tu trabajo ideal considerando tu modo de vida (filosofía de vida)?
¿Te gustaría trabajar en una gran empresa? ¿O a su vez te gustaría fundar la tuya propia? ¿Por qué?
¿Contribuirías o publicarías avances en alguna rama tecnológica?
¿Qué tipo de productos te gustaría desarollar?
¿Estaría tu trabajo destinado a resolver problemas actualmente no solucionados?

Si se os ocurre alguna pregunta más no dudéis en comunicarlo.

Saludos.

Buenas,

a todos los usuarios de Windows 7/8/8.1 y 10. Microsoft ha lanzado varias updates últimamente. Una de ellas es de carácter espía dónde se recolectan datos de todo tipo y son enviados a sus servidores.

No. No estoy loco. Esta update es originaria de Windows 10, donde los testers envían info personal y del sistema mediante un servicio de Windows. Ahora esa update ha parado en versiones actuales de Windows 7 y 8/8.1.


Traducido para el que no sepa Inglés:


Para desinstalar la actualización id a Windows Update. Clickad sobre la lista de Actualizaciones Instaladas y desinstalad la Actualización KB3022345

+ Info en:

http://thepcwhisperer.blogspot.com.es/2014/10/microsofts-windows-10-preview-has-built.html
http://malwaretips.com/threads/diagnostic-tracking-service-in-windows-7-sp1-8-1.45940/
http://www.dslreports.com/forum/r30018831-Diagnostics-Tracking-Service-MS-KB-3022345

Saludos.

EDITO:

Resumiendo: desinstalad las siguientes Actualizaciones -> KB3035583 KB3068708 KB3022345 KB2976978 KB3068708 KB3075249 KB3080149 KB2952664 KB2976978 KB3021917 KB3044374 KB2990214 KB2505438 KB2670838

Buenas tardes a todos,

hace unos años se celebraba el mítico concurso Abril Negro donde todos los foreros presentaban sus tools hackerianas, donde luego eran revisadas y evaluadas por el staff del foro. Sé que alguno de vosotros también lo echa en falta, así que ¿por qué no lo traemos de vuelta este año?

Hay muchos users que se están iniciando en el mundo de la seguridad y que mejor que presentar sus proyectos para que el resto de usuarios opinen/valoren. Los veteranos también podríamos participar, pero sería bueno que hubiera de todo un poco. Si os gusta la idea podría organizarlo junto a otro miembro del staff

Espero respuesta y opiniones.

¡Saludos!

Muy buenas,

hoy me encontraba auditando la seguridad en Tuenti, especialmente en la gestión de Cookies por parte de este servicio. Como todos sabemos Tuenti ofrece cifrado por TLS por lo que el tráfico generado por el usuario es díficil de descifrar por un atacante sin recurrir a la ingeniería social.

Las Cookies funcionan de manera distinta ya que sin la secure-flag estás pueden ser transmitidas en peticiones HTTP a URLs del mismo servicio. Este es el caso de Tuenti pues no marca sus cookies con la secure-flag además de realizar peticiones HTTP a URLs de su mismo servicio por lo que esto deriva en que las cookies pueden ser capturadas en texto plano al interceptar dichas peticiones HTTP. Resumiendo, ellos implementan SSL/TLS (HTTPS) pero no han tenido en cuenta que si sus cookies no están securizadas pueden revelar la sesión del usuario permitiendo a un atacante ejecutar una suplantación de sesión lo que le permitiría el acceso total a la cuenta intervenida.

Tuenti ya ha sido avisado del bug y ando esperando respuesta por su parte. Les he dejado la solución al problema así que esperemos que lo solucionen lo antes posible.

Aquí os dejo una PoC del tema en cuestión. Doy por supuesto que teneís nociones básicas sobre ataques MITM (ARP Spoofing). Podríamos también obligar al usuario a visitar un enlace legítimo de Tuenti en HTTP (mediante DNS spoof) para que incluya las cookies de sesión del usuario comprometido.



Para protegernos podemos seguir los siguientes pasos:

- Tuenti debería de marcar sus cookies con la secure-flag para forzar su inclusión solo en tráfico cifrado (muerto el perro se acabó la rabia).
- No utilizar cookies persistentes cuya sesión no expire. El atacante tendría acceso permanente a la cuenta del usuario.
- Cerrar la sesión de Tuenti al terminar de usar el servicio. Tened en cuenta que el atacante y la víctima comparten la misma cookie de sesión, si uno de los dos cierra la sesión ambos se quedarían sin servicio.
- No utilizar redes Wi-Fi inseguras para conectarse a Tuenti o bien utilizar alternativas como VPN en dichos entornos.

No he auditado la app del movil, sin embargo, puede que sufran del mismo problema por lo que estad al loro. Os lo haré saber cuando tenga una respuesta por parte de su equipo.

Saludos.

Buenas,

como muchos sabreis este viernes día 5 comienza en Madrid el congreso mundial de cyber seguridad "Cybercamp".

Tengo el placer de asistir y abro este post con la intención de que los que vayamos podamos juntarnos, conocernos mejor y compartir experiencias entre todos, además de tomarnos unas cañas jejeje. Para los interesados -> https://cybercamp.es/principal

Happy hacking!

Muy buenas a todos,

hace unos dias audité la seguridad en Tapatalk y pude comprobar que las credenciales son enviadas en plano y encodeadas en Base64. No sé si alguno más de vosotros utiliza Tapatalk para conectarse al foro, ¿existe la posibilidad de forzar el tráfico del foro por SSL/TLS en Tapatalk? Sé que otros foros si usan SSL en las conexiones por Tapatalk así que supongo que se podrá adaptar, corregidme si meto la pata

Por lo demás, si quereis estar protegidos en entornos Wi-Fi usad una conexión VPN que cifre vuestro tráfico para que los posibles atacantes no puedan acceder a tu información sensible, sea cual sea.

Saludos!