Hola Buenas:

Cada ves hay mas medios de burlar a los navegadores y sus actualizaciones y a los antivirus !!

XSRF


Cross-Site Request Forgery, es una técnica mediante la cual, con un solo clic se puede robar credenciales o información sensible sobre los usuarios (contraseñas, etcs...), ejemplo:

Supongamos que tenemos una web victima la cual tiene mas o menos el siguiente funcionamiento, el usuario tiene su panel, en el cual puede cambiar su dirección de correo, el cual se usa para digamos recuperar la contraseña, pero dicho formulario no contiene captcha ni nada similar... bueno ahora supongamos que usa un navegador que permite JS, un atacante puede pasarle un archivo en otro server, el cual al estar logeado el usuario, haga el envió de la petición y cambie el correo de la victima por el del atacante, y seguido de ello, envié un mensaje de recuperación de contraseña, entonces tendremos la password de la victima en nuestro correo. Esto seria mas o menos así:



(aquí solo faltaría enviar el mensaje de recuperación de la password jeje)

Esta es mas o menos la esencia de esta clase de ataques, en si el usuario no notara que le están enviando un archivo que le robara su contraseña tan fácilmente, por que no aparece el intento de ataque en la barra de direcciones como comúnmente sucede con los XSS comunes. Tambien podemos usar un XSRF para mejorar un ataque XSS:




Errores DNS, un poco de ingeniería social y XSRF en un solo ataque (XSS Mixto):

Bueno esta técnica se me ocurrió hace mucho, dudo ser el único que la emplea, pero esta es una forma bastante especial de atacar.
Atacando php.net (muestra del ataque, sin motivos de conflicto):

Buscamos un perfil sensible en el DNS, en este caso he detectado esto:



Ahora resolvemos la IP:



127.0.0.1 jejeje..

Ponemos al netcat a la escucha en el 80, y entramos a esa dirección:



Ok, tenemos al navegador hacia la IP local...
Creamos el tester:



y plop, nos abrirá el firefox con un alert() mostrando la cookie que tenemos en php.net (si es que tenemos).

podemos hacer un ejecutable (linux o windows) y los antivirus lo pasaran como si nada, por el simple hecho de que no hace conexiones externas, ya que usa como motor a los navegadores, pueden adaptar el código para que funcione con todos los navegadores y para que no solo lance un alert jejeje....

nota: la mayor parte de las webs de internet tienen configuraciones DNS similares a la que mostre arriba.

Creo que navegando con FireFox y la extensión instalada NoScript (yo la uso) en principio te puedes proteger de este tipo de amenazas.

Saludos.

Que extensión es la NOscrip de fireflox no la conosco pasame algun link

Saludos

Es muy muy conocida y el FireFox con esta extensión te libra de muchos ataques 0-day y otros, prácticamente muchas de las vulnerabilidades que constantemente les sacan a FireFox, si tienes esta extensión estás protegido:

http://noscript.net/

y para instalarla: http://noscript.net/getit

Saludos.

Gracias la voy a Istalar

Saludos

Básicamente lo que hace es bloquear scripts y otros objetos inmersos en una página por defecto, alguna no te funcionará con esta extensión, pero tendrás que ir diciéndole en qué páginas confías y en qué dominio y así lo va recordando, de un mismo site puedes darle confianza a parte del dominio etc... la extensión te lo va mostrando y te avisa con un sonido, también puedes permitir permisos de ejecución temporalmente ...

Saludos.

Instalando yo también,
por los metodos que estoy viendo, los antivirus van muchos pasos por detras.

si el noscript es buenisimo.. tambien lo uso..

Bueno... no siempre. Parece ser que ahora las webs de Firefox están inaccesibles.
¿Alguien puede confirmar este tema?

Tengo acceso sin problemas a mozilla.com y .org ...

Saludos.

En mi caso, en toda mi red local, no tengo acceso a cualquier site de Mozila (.com .org...)
y en todos los navegadores (Firefox, Opera, IE, Safari). Sólo me ocurre HOY.
Quizás sea algún tema de DNS (Telefónica: 80.58.61.250 80.58.61.254). ¿Utilizas las mismas?

Yo uso en todos mis sistemas los DNS OpenDNS que entre otras cosas van bastante rápidos y encima te dan protección ante algunas amenazas:

www.opendns.com 208.67.222.222 / 208.67.220.200

Saludos.

Conectado sin Problemas a fireflox parece de la zona !!

Saludos ^^

No hay manera desde la red local. No es el KIS ya que en 2 pcs no está ni siquiera instalado.
Probaré en mi casa esta noche.
Gracias a todos.

Por la pinta tienes problemas con los DNS, prueba a cambiar de DNS, reinicia el equipo, el router.

Con Ono tuvimos varios usuarios problemas de DNS que afectaban a la pagina del foro de Kaspersky, el resto las veiamos bien, pero a la de kaspersky solo podiamos entrar a traves de un anonimizador, puede que sea un problema de tu proveedor. Prueba a utilizar un anonimizador y ver si te muestra la pagina.

Saludos

Estoy en ello... ahora contactando con el proveedor, ya que otros del grupo tienen el mismo problema.
Vamos a esperar hasta mañana a ver si se trata de algún tipo de saturación temporal, ya que ocurre
solo con las webs de Firefox y sus accesorios.

Tambien instalé NoScript 1.7.4. Gracias amigos.

Buen texto (lo digo a pesar de ser mio xD), te agradecería mucho si pusieras la fuente de mi texto .. de antemano gracias por tu respuesta...

bueno la verdad me parece un aptitud muy lammer y lo peor es k editan el texto xddddddddddddddd

jajaja y eso k el k copio y pego es un Advanced Member

coloken la fuente copiones y seria etico k pidais permiso al autor de hacer copy & paste

igual esta info debería ser eliminada por q solo trae gente como voz q intentara robar a alguien con esto. No me parece para nada honesto decir q copiar un código para hacer (fraudes - robos - delitos) sea pie para llamarse Advanced Member. Muchos no entendemos ese tipo de programación pero también muchos les fue de ayuda para hacer sus delitos.

PD: no creo q esa info este por hay no mas pa q la vengan a poner en un foro q teoricamente cuida la seguridad.

Cierto, esa info debería ser eliminada, porque en teoría no se permite postear enlaces a malware o directamente código malware o que pueda ser utilizado como tal.

Por otro lado el estatus de Advanced Member es otorgado por el foro automáticamente dependiendo del número de post que se escriben y no tiene ningún privilegio en el foro, los únicos que pueden cambiar un post o editarlo o eliminar son los moderadores. Es decir, ser un Advanced Member en este foro no significa nada, yo mismo soy un Gold Beta Tester por haber colaborado ayudando a encontrar fallos, bugs etc... en el desarrollo de la versión 8 en el foro beta de Inglés, pero lo único que me distingue de vosotros es que aparece mi nick en otro color y poco más no tengo ningún privilegio excepto que puedo editar mis post cuando quiera y que tengo más capacidad para subir capturas de pantallas para mostrar posibles fallos y enviar ficheros, mientras que los demás tienen un tiempo limitado para editar lo escrito y menos capacidad de memoria para subir capturas, enviar ficheros, etc...

Por cierto, el código ha sido enviado a los KLab a la espera de que nos digan ...

Saludos.

Creo que las normas de este foro hacen difícil este tipo de incorrecciones o fraudes.
Los Advanced Members no tienen otro beneficio que haber visto como se desarrolla
el día a día por haber posteado mas veces. Si no quieres que te roben nada, no lo
hagas público pero no acusemos sin saber!!

Supuestamente la fuente es de Xianur0 no lo sabia ami solo me la pasaron atraves del msn el code asi que Xianur0 gracias por el code !!

Saludos

Para la proxima habra que ver de donde sacas las cosas y evitarte problemas

Saludos

Asunto solucionado... por lo visto era Telefonica la que atraves de sus DNS hacia sombra a las webs de FF.

A las Web de FF -> FireFox?. Suena como a una mano negra en contra de FF y no quiero señalar jajaja

Saludos.

FF.. si, Firefox, en todas sus web asociadas... todas!
Así es, seguro...y ha durado 3 días exactos!! DNS de Telefónica de España (ahí es ná! )

Este texto es solo con motivos de demostración de defectos de seguridad y medios de filtrado de información, ademas de que era parte de un texto que escribí para unos consultores de seguridad amigos míos, esta clase de ataques se pueden realizar con tan solo dar un clic en un enlace y sin descargar nada, creo que a los amigos de kaspersky labs les serviría también conocer esta clase de ataques para filtrarlos antes de realizarlos. Esto no es un malware ni ninguna clase de virus, es simplemente un código demostrativo de un fallo de seguridad que se puede utilizar para evadir los antivirus y al mismo usuario ... este sistema de filtrado de datos esta siendo ya usado por muchos malware y virus (no pienso dar detalles, simplemente diré que no son mis creaciones, pero conozco a quienes lo están usando) para robo de credenciales, así que también le vendría bien a los amigos de kaspersky labs revisar un poco este sistema de filtrado de datos que no son mas que fallas de seguridad creadas por las misma webs victimas, en el texto que les comento (de donde era parte este escrito) pusimos a muchas paginas de seguridad (antivirus y de mas) en jaque por sus mismas fallas de seguridad, es decir este mismo mecanismo se puede usar para contaminar las actualizaciones de los antivirus (y otros programas), y así tener un virus residente mediante el mismo sistema antivirus (o el programa que queramos jaja) ... en fin, yo simplemente les expongo mi punto de vista, espero que esta información les llegue a los desarrolladores de este sistema antivirus que para ser sincero yo uso jaja. Si gustan puedo colaborar un poco con mas mecanismos de filtrado de datos. Por ejemplo ya hemos vulnerado el sistema de actualización de kaspersky (todas las versiones).
No vengo aquí a exponer mis conocimientos ni tengo tal fin, simplemente creo que podríamos ayudar con algunos detalles....

Saludos y simplemente doy mi punto de vista, no tengo planes de dejar en mal al antivirus, por que como dije yo también lo uso y es uno de los mejores que he probado ...

Bienvenido al foro, es muy interesante lo que comentas y si nos gustaría que nos ilustrases de vez en cuando con estas técnicas, para así poder enviarle informes a los KLab y que se vayan poniendo al día en beneficio de todos jejeje ...

Saludos.

@ Xianur0: Me ha llamado la atención tu extensa nota de seguridad. Si en verdad tienes claves e información
para AYUDAR, no dudes en exponerlas. Para ello serviría alguna prueba real y no solo un escrito de alto nivel.

me párese bien, pero actualmente me encuentro un poco saturado, me imagino que para la próxima semana ya estaré con tiempo, así que lo mas probable es que les tenga un vídeo demostrativo hasta entonces, si gustan también les escribiré un código demostrativo de ello ...

xianuro bro, me gustaria k en el video, (por proteccion contra lammers pongais k es hecho por vos) para k no ocurra como ha pasado con muchos de tus codigos xd jaja me acuerdo del crackeador en fin...

ilustralos xdddddddddddddd

con respecto a lo de "advanced member" como habeis dicho k es por el # mensajes, creo k es obvio xd
haber si ves mas haya de tus naricez, si el crio es un "advanced member" debe tener un alto numero de mensajes, para ser mas exacto 565 tiene el, eso no tiene ningun misterio y cualkiera lo sabe... si el con 565 mensajes en el foro de kaspersky "se supone" k en realidad lo debe de ser, amenos k sea un spamer k no aprende nada y k solo hace copy & paste de alguna fuente k la comunidad no conosca y salir con excusas de k te lo pasaron por msn ??????? xdddddddddddddd eso es ridiculo

si con 565 mensajes y no tiene el nivel de un miembro avanzado ( a menos k haya hecho ese # con puro spam) todavia es un simple simio k no ah llegado a la etapa de humano

entonces veo ridiculo k otorgen a un individuo en ese grupo y les dejo claro k en mis webs el user k tiene ese # de mensajes no es ningun lammer k anda haciendo solo spam para incrementarlo xd, por k de una lo mando al grupo mas bajo asi k no salgan con excusas xd

Si el grupo de cada usuario como en todos los foros depende del numero de mensajes, no es logico tu comentario , no creo que 565 sea un alto numero de mensajes, revisa al usuario "Lucian Bara" 38712 posts (43 per day) eso para mí si que es un alto numero de mensajes.

Este es un foro de Kaspersky, y por lo tanto hay que cuidar el lenguaje y la aptitud, no se permitiran comentarios despectivos, etc... puedes dar tu opinión pero con un lenguaje "normal". El usuario "davile" ha cometido el error de no postear la fuente, pero ya ha comentado:
lo que pienso que indica que desconocia la fuente y que no lo hizo con mala intención.

Con lo que se ha comentado, creo que esta ya el tema aclarado, y que no hay que darle mas vueltas.

Saludos

@ Damcrack: Como puedes ver en este foro se mantiene un código ético y de cordialidad muy altos.
Sigue las normas y no descalifiques ni utilices lenguaje inadecuado. Si quieres participar en este foro
de Kaspersky, adelante, pero olvídate de otros rollos, por favor!! (Esto es de mi parte!!)

xd la verdad, ando un poco ocupado con unos proyectos como para lidiar con esto.

xianuro bro no creo k es conveniente k les des a conocer esos metodos

Como ya te han dicho... debes de respetar a los demas y debes de saber que lo PEOR DEL SER HUMANO ES CRITICAR Y HABLAR MAL DE LOS DEMAS!!!

En fin, somos humanos y no es pecado equivocarse, y hay un dicho que dice "LAS CARRETAS QUE MAS SUENAN SON LAS MAS VACIAS".

bueno hace un tiempo que deje morir este tema, pero como ultimamente mi exploit se esta corriendo en la internet, creo que es justo que tambien kaspersky se entere:

Código de Demostración (PoC):




me gustaría contribuir con kaspersky con algunas soluciones a fallas de seguridad que pueden da;ar a todas las plataformas, pero como veran no es mi elección jeje

Bueno, hace pocos días KLab ha actualizado el motor con un nuevo emulador incluso para script, etc... y amenazas en páginas Webs, pero no sé si será capaz de pillar eso ...

Saludos.

Si quieres colaborar reporta todos los errores que encuentres a Rinat Salihov