Foro de elhacker.net

Me he estado preguntando si se puede enviar a alguien una foto con  un virus espia que me envie a mi ordenador lo que se mete esa persona. Si se mete en google que busca o algo parecido. :laugh: ::) si consiguiera hacerlo seria perfecto. ::) . Hay alguna manera de hacerlo?

https://es.wikipedia.org/wiki/Keylogger

en resumen... no... no piensas que todas las imagenes de la web sserían peligrosas? a final de cuenta se descargan como archivos temporales a tu pc

Bueno no pero si, o si pero no. Al final la foto es una entrada de datos de un programa. Si el programa, navegador, visor de imagenes, etc.. tiene un fallo de ejecución de código aleatorio entonces para la gente que visualice el contenido de tu web, contenido, fichero generado específicamente para que use dicho error permitirá que se ejecute el código que le asignes.

Un ejemplo muy sencillo es el que vimos hace poco en la librería imagemagick para el tipo de archivos .SVG:

https://blog.sucuri.net/2016/05/imagemagick-remote-command-execution-vulnerability.html (https://blog.sucuri.net/2016/05/imagemagick-remote-command-execution-vulnerability.html)

http://blog.trendmicro.com/trendlabs-security-intelligence/imagemagick-vulnerability-allows-remote-code-execution-now-patched/ (http://blog.trendmicro.com/trendlabs-security-intelligence/imagemagick-vulnerability-allows-remote-code-execution-now-patched/)

Este error era muy guai porque era muy muy fácil de explotar y probar, se podía probar con la aplicación display de linea de comando. Generabas el svg le metías el código que querías en el error de parseo y usabas convert teniendo como entrada la imagen y listo.

Como ves, aquí no es que uses una norma general, no es un error general de las imágenes si no de los programas concretos que se utilizan a la hora de leer las imágenes (o datos, o lo que sea, como en cualquier otro programa). Explotarlos puede ser tan fácil como en este error concreto, o muy difíciles en otros casos, depende del error.

Creo que he puesto en un lenguaje suficientemente sencillo para que cualquiera lo entienda, si no es así, pues preguntas de nuevo.

Saludos.

display de linea de comandos? :s era imagemagick, en este caso fue delicado porque era usada como backend algunos servidores, pero para ser sincero, se veia un poco venir a partir de cierta version del programa que intentó integrar "graficos avanzados y en movimiento" con uso de comandos :s

de allí no tenía alcance al publico

Hombre...

Añadir datos a una imagen o un archivo de audio se puede...


Pero lo que tú quieres, esa cosa malosa, pos...

Igual no lo he dejado claro :D, era un mero ejemplo de un programa con error y que se podía probar fácilmente de la forma que comentaba. La idea era mostrar como las aplicaciones que el usuario usa para ver contenidos pueden tener fallos que lleguen a una ejecución de código. Igual no me he explicado de la forma correcta.

El error se podía usar y era sobre todo problemático para las aplicaciones web que usasen la librería, pero el hilo del post no iba por esos derroteros.

Al final porque tu mandes una imagen jpg png son datos en sí no puedes ejecutar código malicioso solo será por medio de un error en tu visor o usando algo de ingenieria social.

Un virus puede esconderse en cualquier parte... pero eso no debe llevar a la creencia de que 'desde ahí', pueda ejecutarse.
Sólo puede ejecutarse si algo ejecutable lo hace. Si está oculto dentro de datos, no hace nada, los datos por si sólo son 'materia muerta, inactiva'. Los datos nunca 'tienen el control', siempre son 'usados'...

Si se puede.

Ya me han borrado varios mensajes por poner un manual que te dice un 0,0001% de como se hace.. Na más que explicaban lo básico, pero aún así no creo que alguien que no sabe se entere de algo de lo que ponia...

jejejeje...  coloca  un manual que diga el 99.9999%. te aseguro que ni el mismo ZATAN se atreve a borrártelo.

Eran manuales bastante buenos la verdad... Pero bueno, seguro que si buscáis un poco por la Dark y la Deep Web encontraréis manuales mejores ;D