La falta de tiempo y ciertas obligaciones necesarias para conseguir mis gachas y mi harina, me impiden continuar mis lances, y no se hasta cuando lo va a interrumpir. De hecho, esta situación me está impidiendo postear en casi todos los sentidos.
He robado un poco de tiempo para decir esto porque realmente me molestaba sobremanera que pensaran que el paro fuera debido a sus opiniones. En ese sentido si que me encuentro influído.
PD: Mayhem!!, yo te invoco!
Pueden elegir lo que viene ahora:
a) Nube de humo naranja, y Mayhem apareciendo masticado en la tercera boca de Satán, junto a Judas Ish-Kariot y el otro que no me acuerdo quien era sin tirar de google... Casio?
b) Entre dos círculos blancos, uno en el techo del extraño aparato y otro en el suelo, se va conformando la figura de mayhem mientras las moléculas son colocadas en su sitio por el teletransportador, mientras Scotty mueve unos diales.
c) Del segundo módulo aparece Mayhem, desnudo... lo que él no sabe es que junto a él ha entrado otro bicho en el primer módulo... una pequeña araña. Aunque apenas se va a notar diferencia, cuando los cambios hagan efecto.
Ah, me olvidaba: Oh, Dios, perdón por no haber seleccionado ninguna escena de aparición nacida de la pluma de Saramago, o de Antoine de Saint Exúpery! Si es que está claro, para ser guays, o te dedicas solo a citar cosas de "En Tinieblas" de Rudyard Kipling, por ejemplo, o chico, no gustas. Y eso debería preocuparte.
PARTE DE GUERRA
-
Juggernaut
- Hombre de Mundo
- Mensajes: 4904
- Registrado: 02 Ago 2003 12:35
- Ubicación: en una galaxia lejana, muy lejana
-
SordoSinOrejasDrMoriarty
- Comodoro
- Mensajes: 501
- Registrado: 26 Feb 2003 11:33
Juggernaut escribió:Pues a mi me gusta como está quedando esta balsa, bailando con las olas. Para ver un petrolero atravesando cualquier tormenta sin inmutarse, me compro un libro.
A mí, Caín Marko macareno, me parece que tanto la balsa como el petrolero tienen siempre un destino. Puede desviarse o no, pero intenta llegar a algún sitio. Y si esto era un relato o una realidad quiero saber igualmente como sigue.
Nos leemos.
-
Juggernaut
- Hombre de Mundo
- Mensajes: 4904
- Registrado: 02 Ago 2003 12:35
- Ubicación: en una galaxia lejana, muy lejana
Bueeeeeeno, por fin tengo resultados.
Joder, es que ya dije que esto iba para largo, porque los progresos son muy lentos.
Veamos. La primera desilusión se ha producido cuando los dos primeros métodos de ataque han fallado sucesivamente. Estos métodos eran simplemente para poder conocer el punto de conexión, la dirección desde la que se conecta. Para qué? Bueno, para nada o para todo. Sencillamente es un punto desde el que empezar.
El primer método probado ha sido el habitual en este tipo de foros: La utilización de un avatar off site (es decir, un avatar colgado en una web mía), para el control posterior de los logs sobre dicha imagen, con lo que se puede obtener información sustancial de todas las cabeceras HTTP de cada lectura de dicha imagen. Entre ellas, el referrer (desde qué página ha descargado la imagen), el navegador, la versión de sistema operativo, etc. Para quien lo quiera saber, la información que se consigue en estos casos viene a ser algo así: (He censurado cosas)
Data=03/11/2003 00:31:31,Adresa=xxx.xxx.xxx.xxx,Host=xxx.xxx.xxx.xxx.proxycache.rima-tde.net,client-ip=xxx.xxx.xxx.xxx,user-agent = Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7,accept-language = en-us,en;q=0.5,x-forwarded-for=xxx.xxx.xxx.xxx,accept-encoding = gzip,deflate,accept = image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1,referer = http://www.EstoLoCensuroParaQueNoSepais ... opic.php?t = 666,via = HTTP/1.1 proxy[AC1E2447] (Traffic-Server/5.5.1-59031 [uScM]),accept-charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Como podéis ver, aquí están todas las cabeceras de la petición de la imagen. Cualquiera que vea esa imagen deja una linea en un log de ese estilo. Hasta puedo saber el tópic que estaba mirando cuando vió el avatar! (/phpBB2/viewtopic.php?t=666). También, si se está usando proxy no anónimo, aparece la IP real, no la del proxy, bajo los encabezados client-ip y x-forwarded-for.
El problema para que esto funcione es evidente... quien vea la foto, quedará grabado. Pero esto lo lee bastante gente en un foro con por ejemplo, 50 posteadores y lectores habituales. Quien es quien?
Para realmente poder identificar al malvado, se debe poder contar con una información extra: Que postee debajo de mi. De ese modo, yo se que ha leído los datos, y también sé que ha escrito, y a qué hora.
Cotejando las fechas y horas de las visitas, junto con las fechas y horas guardadas en el foro, se puede llegar a saber quien es quien, aunque hacen falta varias veces, para poder llegar a asegurar quien es quien.
Por cierto, este método lo pensé yo. Lo que pasa es que evidentemente, es tan sencillo que ya lo habían encontrado antes, cuando busqué, una vez desarrollado, lo encontré en: http://www.securityfocus.com/archive/1/295176
Atención, esto además guarda la particularidad de NO SER ILEGAL. Cuando alguien se descarga una imagen de un site tuyo, tienes todo el derecho del mundo a guardar esa información, siempre que no esté asociada a una persona "real", es decir, nombre, dirección, etc. Ni siquiera debes declarar la base de datos ante la agencia de protección de datos.
Contramedidas: (O acaso os creéis que esta historia no es didáctica?) si queréis estar protegidos ante ataques de este tipo, una solución es decirle al navegador que no cargue imágenes. Eso hace que la página cargue más rápido, quizá no disfrutéis de alizee bailando, pero bueno, cualquier imagen que queráis ver en un momento dado le podéis decir al explorador que os la cargue (solo esa).
Si por el contrario un administrador no desea que esto se pueda usar en su foro, debe impedir la carga de avatares subidos en otra página. De hecho, si cargáis en un foro una imágen que está en otro site, ese otro site tiene todo el derecho del mundo de registrar quien accede a esa imagen.
Bueno, el problema principal en ese foro es este... que no hay movimiento, no hay modo de conseguir que posteen casi nada. Incluso, un conocido mío entró a floodear (pero nada, 4 mensajes!!) para ver si provocaba una reacción, y solo consiguió un mail del administrador diciendo algo así como "si te resultamos aburridos, no entres, por favor. Por qué quieres entrar con mal rollo?" y le borraron los mensajes. Horroroso mundo de 1984.
Así que, no habiendo conseguido nada en el primer intento, pasé al segundo. Conocía la dirección de correo electrónico de la víctima, en un webmail gratuito cualquiera.
Así que intenté el mismo paso pero con una dirección de correo. La idea era enviarle cualquier tipo de mensaje que pudiera parecer SPAM pero interesante, para que lo leyera, y que ese mensaje incluyera alguna imagen con el cazaIPs.
Bueno, a ello fuí... me bajé la página principal de su compañía de webmail, modifiqué el texto diciendo que "daba unas promociones exclusivas a los usuarios que... blah, blah..." bueno, rollo que pareciera auténtico. Una de las imágenes era en realidad el rastreador ese de la llamada, y lo envié, haciéndome pasar por [email protected]
Bueno, pues tampoco. o ese correo dejó de funcionar, o no lo usa, o lo consideró spam sin ni siquiera mirarlo.
Como podríais detectar que os hacen algo así? Bueno, lo primero decirle a tu lector de correo que no acepte HTML en el cuerpo del mensaje de correo, que no lo interprete, así no se cargan imágenes. Además, mirando las cabeceras del mensaje (por ejemplo, en outlook, se pulsa en herramientas opciones, para ver esas cabeceras) aparece la IP y el nombre de la máquina que ha enviado ese mensaje, con lo cual puedes saber si te están colando SPAM con ánimo de otra cosa.
Debido a todo esto, decidí pasar a la acción más directa. El único modo para contactar conocido es el foro. Así que... mensaje privado. Aunque no contestara, lo leería, tarde o temprano.
Ni corto ni perezoso... manos a la obra: Un mensaje privado. Primer problema? en los privados phpbb no aparece el avatar. Mierda. Como colamos una imagen?
Bueno, nada más fácil que meter una imagen... pequeña. De 1 pixel por 1 pixel, y de color blanco. o del color de fondo del phpbb... que evidentemente, en la careta silver es el color este blancuzco azulado. Total, da igual, no se ve. Y entonces, le puse cualquier chorrada, me daba igual, el usuario era un clon que no conoce nadie, le dije cualquier tontería, y le colé la imagen de 1 pixel por 1 pixel, que en realidad era el programa rastreador...
Y POR FIN!
La respuesta fue: (datos censurados o cambiados)
redir = http://www.misite.com/miimagen.jpg,Data = 03/11/2003 15:33:51,Adresa = xxx.xxx.xxx.xxx,Host = ,accept-language=es,host=misite.com,accept = */*,user-agent=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322),via = 1.0 PERSEFONE,connection = Keep-Alive
Bueeeeeeno... esto es una empresa. Con un servidor proxy llamado PERSEFONE. la IP que aparece (xxx.xxx.xxx.xxx) es la del proxy por el que están saliendo. Mierda, ojalá hubiera sido el suyo de casa, seguro que sería más fácil. Por ejemplo, en un mensaje leído en la bandeja de entrada de un phpbb, debería leerse algo así como
referrer=http://www.lawebesa.com/phpBB2/privmsg.php?folder=inbox&mode=read&p=666
Pero no. Eso quiere decir que el proxy es bueno de verdad, y controla hasta el quitar el referrer de las cabeceras. Mierda mierda mierda!
Luego, un pequeño escaneo sobre esa máquina indicó que lo tenía absolutamente todo cerrado. Esa máquina solo permite que ordenadores de dentro se conecten afuera, pero no al revés. Joder, no deben poder ni usar el messenger. O sea que por ahí lo tenemos chungo. Es más, puede que la prueba que haya hecho para escanear que servicios tenía abiertos haya alertado al firewall, y me hayan logeado por si acaso, así que debo parar de intentar alcanzar esa máquina. Por ahí no llegamos a ningún sitio.
Bueeeno, de momento sabemos que eso viene a ser un windows 2000 o bien (lo más probable) un XP. Microsoft Internet Explorer 6.0, y por proxy. algo es algo.
Pero no todo es en balde. De qué sirve la IP? En realidad, para nada. Pero ya la tengo. Ahora, hay algo que si podré hacer.
Siguiente capítulo: Preparándose para pillar la contraseña del phpbb, con la idea que el usuario es inexperto. Seguiremos informando...
Joder, es que ya dije que esto iba para largo, porque los progresos son muy lentos.
Veamos. La primera desilusión se ha producido cuando los dos primeros métodos de ataque han fallado sucesivamente. Estos métodos eran simplemente para poder conocer el punto de conexión, la dirección desde la que se conecta. Para qué? Bueno, para nada o para todo. Sencillamente es un punto desde el que empezar.
El primer método probado ha sido el habitual en este tipo de foros: La utilización de un avatar off site (es decir, un avatar colgado en una web mía), para el control posterior de los logs sobre dicha imagen, con lo que se puede obtener información sustancial de todas las cabeceras HTTP de cada lectura de dicha imagen. Entre ellas, el referrer (desde qué página ha descargado la imagen), el navegador, la versión de sistema operativo, etc. Para quien lo quiera saber, la información que se consigue en estos casos viene a ser algo así: (He censurado cosas)
Data=03/11/2003 00:31:31,Adresa=xxx.xxx.xxx.xxx,Host=xxx.xxx.xxx.xxx.proxycache.rima-tde.net,client-ip=xxx.xxx.xxx.xxx,user-agent = Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007 Firebird/0.7,accept-language = en-us,en;q=0.5,x-forwarded-for=xxx.xxx.xxx.xxx,accept-encoding = gzip,deflate,accept = image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1,referer = http://www.EstoLoCensuroParaQueNoSepais ... opic.php?t = 666,via = HTTP/1.1 proxy[AC1E2447] (Traffic-Server/5.5.1-59031 [uScM]),accept-charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Como podéis ver, aquí están todas las cabeceras de la petición de la imagen. Cualquiera que vea esa imagen deja una linea en un log de ese estilo. Hasta puedo saber el tópic que estaba mirando cuando vió el avatar! (/phpBB2/viewtopic.php?t=666). También, si se está usando proxy no anónimo, aparece la IP real, no la del proxy, bajo los encabezados client-ip y x-forwarded-for.
El problema para que esto funcione es evidente... quien vea la foto, quedará grabado. Pero esto lo lee bastante gente en un foro con por ejemplo, 50 posteadores y lectores habituales. Quien es quien?
Para realmente poder identificar al malvado, se debe poder contar con una información extra: Que postee debajo de mi. De ese modo, yo se que ha leído los datos, y también sé que ha escrito, y a qué hora.
Cotejando las fechas y horas de las visitas, junto con las fechas y horas guardadas en el foro, se puede llegar a saber quien es quien, aunque hacen falta varias veces, para poder llegar a asegurar quien es quien.
Por cierto, este método lo pensé yo. Lo que pasa es que evidentemente, es tan sencillo que ya lo habían encontrado antes, cuando busqué, una vez desarrollado, lo encontré en: http://www.securityfocus.com/archive/1/295176
Atención, esto además guarda la particularidad de NO SER ILEGAL. Cuando alguien se descarga una imagen de un site tuyo, tienes todo el derecho del mundo a guardar esa información, siempre que no esté asociada a una persona "real", es decir, nombre, dirección, etc. Ni siquiera debes declarar la base de datos ante la agencia de protección de datos.
Contramedidas: (O acaso os creéis que esta historia no es didáctica?) si queréis estar protegidos ante ataques de este tipo, una solución es decirle al navegador que no cargue imágenes. Eso hace que la página cargue más rápido, quizá no disfrutéis de alizee bailando, pero bueno, cualquier imagen que queráis ver en un momento dado le podéis decir al explorador que os la cargue (solo esa).
Si por el contrario un administrador no desea que esto se pueda usar en su foro, debe impedir la carga de avatares subidos en otra página. De hecho, si cargáis en un foro una imágen que está en otro site, ese otro site tiene todo el derecho del mundo de registrar quien accede a esa imagen.
Bueno, el problema principal en ese foro es este... que no hay movimiento, no hay modo de conseguir que posteen casi nada. Incluso, un conocido mío entró a floodear (pero nada, 4 mensajes!!) para ver si provocaba una reacción, y solo consiguió un mail del administrador diciendo algo así como "si te resultamos aburridos, no entres, por favor. Por qué quieres entrar con mal rollo?" y le borraron los mensajes. Horroroso mundo de 1984.
Así que, no habiendo conseguido nada en el primer intento, pasé al segundo. Conocía la dirección de correo electrónico de la víctima, en un webmail gratuito cualquiera.
Así que intenté el mismo paso pero con una dirección de correo. La idea era enviarle cualquier tipo de mensaje que pudiera parecer SPAM pero interesante, para que lo leyera, y que ese mensaje incluyera alguna imagen con el cazaIPs.
Bueno, a ello fuí... me bajé la página principal de su compañía de webmail, modifiqué el texto diciendo que "daba unas promociones exclusivas a los usuarios que... blah, blah..." bueno, rollo que pareciera auténtico. Una de las imágenes era en realidad el rastreador ese de la llamada, y lo envié, haciéndome pasar por [email protected]
Bueno, pues tampoco. o ese correo dejó de funcionar, o no lo usa, o lo consideró spam sin ni siquiera mirarlo.
Como podríais detectar que os hacen algo así? Bueno, lo primero decirle a tu lector de correo que no acepte HTML en el cuerpo del mensaje de correo, que no lo interprete, así no se cargan imágenes. Además, mirando las cabeceras del mensaje (por ejemplo, en outlook, se pulsa en herramientas opciones, para ver esas cabeceras) aparece la IP y el nombre de la máquina que ha enviado ese mensaje, con lo cual puedes saber si te están colando SPAM con ánimo de otra cosa.
Debido a todo esto, decidí pasar a la acción más directa. El único modo para contactar conocido es el foro. Así que... mensaje privado. Aunque no contestara, lo leería, tarde o temprano.
Ni corto ni perezoso... manos a la obra: Un mensaje privado. Primer problema? en los privados phpbb no aparece el avatar. Mierda. Como colamos una imagen?
Bueno, nada más fácil que meter una imagen... pequeña. De 1 pixel por 1 pixel, y de color blanco. o del color de fondo del phpbb... que evidentemente, en la careta silver es el color este blancuzco azulado. Total, da igual, no se ve. Y entonces, le puse cualquier chorrada, me daba igual, el usuario era un clon que no conoce nadie, le dije cualquier tontería, y le colé la imagen de 1 pixel por 1 pixel, que en realidad era el programa rastreador...
Y POR FIN!
La respuesta fue: (datos censurados o cambiados)
redir = http://www.misite.com/miimagen.jpg,Data = 03/11/2003 15:33:51,Adresa = xxx.xxx.xxx.xxx,Host = ,accept-language=es,host=misite.com,accept = */*,user-agent=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322),via = 1.0 PERSEFONE,connection = Keep-Alive
Bueeeeeeno... esto es una empresa. Con un servidor proxy llamado PERSEFONE. la IP que aparece (xxx.xxx.xxx.xxx) es la del proxy por el que están saliendo. Mierda, ojalá hubiera sido el suyo de casa, seguro que sería más fácil. Por ejemplo, en un mensaje leído en la bandeja de entrada de un phpbb, debería leerse algo así como
referrer=http://www.lawebesa.com/phpBB2/privmsg.php?folder=inbox&mode=read&p=666
Pero no. Eso quiere decir que el proxy es bueno de verdad, y controla hasta el quitar el referrer de las cabeceras. Mierda mierda mierda!
Luego, un pequeño escaneo sobre esa máquina indicó que lo tenía absolutamente todo cerrado. Esa máquina solo permite que ordenadores de dentro se conecten afuera, pero no al revés. Joder, no deben poder ni usar el messenger. O sea que por ahí lo tenemos chungo. Es más, puede que la prueba que haya hecho para escanear que servicios tenía abiertos haya alertado al firewall, y me hayan logeado por si acaso, así que debo parar de intentar alcanzar esa máquina. Por ahí no llegamos a ningún sitio.
Bueeeno, de momento sabemos que eso viene a ser un windows 2000 o bien (lo más probable) un XP. Microsoft Internet Explorer 6.0, y por proxy. algo es algo.
Pero no todo es en balde. De qué sirve la IP? En realidad, para nada. Pero ya la tengo. Ahora, hay algo que si podré hacer.
Siguiente capítulo: Preparándose para pillar la contraseña del phpbb, con la idea que el usuario es inexperto. Seguiremos informando...
Este es un mundo de estúpidos, controlados por imbéciles, para beneficio de mediocres.
-
Juggernaut
- Hombre de Mundo
- Mensajes: 4904
- Registrado: 02 Ago 2003 12:35
- Ubicación: en una galaxia lejana, muy lejana
Fear escribió:Das miedo cabrón. Pero siga usted, siga.
Ni mucho menos, estimado Fear. Algo que no he aclarado es que si alguien que sepa DE VERDAD acerca de seguridad informática (por ejemplo, la gente que escribe para bugtrack, la lista de correo que os he mostrado), viera lo que estoy diciendo, se partiría la caja de risa conmigo. No soy ningún experto, no hago más que aprender, y un modo de aprender es jugar. Probablemente, debe haber unas cuantas personas que lean esto y piensen que lo que digo es bastante simple. Como poco, por ejemplo, el Mister que chorizó los passwords de algunos foreros, si es que lee esto.
Pero bueno, muchas veces los juegos de este estilo no tienen mucho que ver con conocer técnicas extrañas, sino con darle vueltas y vueltas a lo que ya se conoce, hasta descubrir un nuevo modo de ensamblarlo. Por ejemplo, DDB no hizo nada extraño o desconocido en su posting catch contra luna, la creación de la famosa Sara74, pero fue al ensamblar lo conocido de diferente modo cuando se convirtió en una jugada memorable. Eso es tener la mentalidad apropiada para este tipo de cosas.
Este es un mundo de estúpidos, controlados por imbéciles, para beneficio de mediocres.
