DisidentS Team

Hola a todos!, luego de varios meses sin actualizar nuestra web, volvemos!

Tengo mucho material acumulado, solo falta el tiempo de escribirlo, hoy me encontré con un virus en la PC de mi mamá, el cual venía de un contacto seguro…. el mail estaba en portugués (muy común en sudamérica recibir noticias de este tipo desde Brazil ) así que lo miré un poco y dije, no puedo seguir acumulando información para postear luego, lo hago ahora! y acá estamos…

Este es el mail que puede que reciban:

Igual eu te falei aquele dia e voce nao quis acreditar. Amigo a gente conta no dedo!
Veja só o que seu amiguinho andou aprontando nessas fotos.

DSC02421.jpg (568,3 KB)
DSC02521.jpg (603,4 KB)

Obviamente esas “imágenes” con links a los ejecutables correspondientes… que son el mismo, aunque parezca que son de distinto tamaño, son para despistar

Los ejecutables apuntan a esta dirección: http://ads.sapo.pt/event.ng/Type=click&FlightID=90951&AdID=169189&TargetID=6167&ASeg=&AMod=&Segments=8,69,154,526,527,688,1343,2130,2884,3325,3747,4552,4663,4778,4932,4963,4971,5065,5081,5088,5117,5152,5165,5169,5200,5295,5301,5508,5549,5557&Targets=246,5389,704,6167&Values=31,43,51,60,72,84,90,91,100,110,150,193,204,209,376,978,1036,1097,1100,1399,1436,1459,1478,1488,1489,1733,1754,1819,1863,1922,1941,2020,2174,2230,2863,2869,2956,2993,3322,3533,3576&RawValues=&Redirect=http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Esta es una redirección la cual nos lleva a: http://www.givinbeauty.com/UserFiles/File/photos.php?0.19325211365355321

Ahí es donde se encuentra el ejecutable.

Si indagamos más en esa web, parece una web “normal”:

Veremos más abajo que hay una opción login… si la hackearon, fué por ahí, subieron el ejecutable y lo reenvían por mail para que se infecten, como veremos utilizaron otra web para redireccionar en este caso  http://ads.sapo.pt/event.ng/.

Bien, bajamos nuestro virus y lo observamos con Peid y encontrará que está comprimido con UPX (UPX es un compresor no un packer como muchos andan diciendo por ahí, eso es un error de concepto).

Así que bajamos el UPX y con la opción -d (descomprimir) tendremos nuestros virus descomprimidos.

Si abrimos el EXE veremos un string como este:

.rdata:00414BA8 0000000B C WINRAR.SFX                                                     
.rdata:00414BCC 00000039 C d:\\Projects\\WinRAR\\SFX\\build\\sfxrar32\\Release\\sfxrar.pdb

Para los que aún no se dan cuenta que significan estas dos referencias, éstas significan que son ejecutables autoextraíbles de WinRAR. ¿Necesitamos descomprimirlos con Olly?

No no, si tenemos el WinRAR instalado, hacemos botón derecho y lo descomprimimos en una carpeta.

Nos dejará un archivo llamado: loader.jar

Como verán esto es una aplicación JAVA! hemos sacado algunas capas de la cebolla…

Podemos hacer uso de WinRAR una vez más para descomprimir el JAR de JAVA, ya que estos son comprimidos con ZIP. Así que hacemos botón derecho y extraer a una carpeta.

Nos devolverá estas carpetas:

Si miramos las carpetas con letras, nos encontraremos con el trabajo de nuestro creador del virus, el virus en sí.

Ahora vamos a lo mejor, decompilar los .CLASS. Para los que no saben los .CLASS son archivos de JAVA compilados, son como el famoso código objeto (.OBJ).

Estos archivos son interpretados por el classloader de JAVA y son ejecutados como una aplicación más.

Creo que el creador de este virus lo hizo en JAVA para pasar mejor desapercibido ante los antivirus.

Tenemos muchos decompilers de archivos CLASS de JAVA uno de los más conocidos es el DJ JAVA Decompiler, lo pueden bajar de acá.

Una vez que lo instalemos y usemos el keygen, podremos abrir nuestro .CLASS que está en la carpeta a, por ejemplo.

Veremos los imports, algunos interesantes y otros no tanto:

import b.d;
import by.squareroot.injector.lib.MyKernel32;
import by.squareroot.injector.struct.Context;
import by.squareroot.injector.struct.MemoryBasicInformation;
import by.squareroot.injector.struct.ProcessInformation;
import by.squareroot.injector.struct.StartupInfoA;
import by.squareroot.injector.struct.TotalProcInfo;
import by.squareroot.injector.struct.WoW64Context;
import by.squareroot.injector.struct.pe.MZHeader;
import by.squareroot.injector.struct.pe.PEInfo;
import by.squareroot.injector.struct.pe.PE_ExtHeader;
import by.squareroot.injector.struct.pe.PE_Header;
import by.squareroot.injector.struct.pe.SectionHeader;
import com.sun.jna.Platform;
import com.sun.jna.Pointer;
import com.sun.jna.platform.win32.Advapi32Util;
import com.sun.jna.platform.win32.WinReg;
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.net.URL;
import java.nio.ByteBuffer;
import java.util.Properties;

Los primeros son los más interesantes obviamente, veremos que son clases hechas con ayuda de un amigo de nuestro creador denominado squareroot.

Si buscamos un poco el nombre de la clase, el nick del creador y la palabra class, nos encontramos con un sitio ruso que ofrecía bajar: build___00002469.jar que aparentemente contenía este mismo contenido.

No debemos rendirnos ahí (hay que aprender a buscar como nos enseño el gran +Fravia – QEPD) buscaremos un poco más encontraremos una referencia en este stitio que parece ser de un reverser como nosotros: http://www.inreverse.net/?p=1551

Alguien nos puede iluminar un poco con que estamos tratando…. si leemos un poco ese artículo para luego continuar con este podemos concluir dos cosas:

1. El creador de este virus usó la misma técnica y recursos que el virus JAZeus para infectar a sus víctimas.
2. Es una variante de JAZeus o la versión original.

Yo en cierta manera opto por la primer opción ya que el dropper (ejecutable que descomprime y deja el virus en un lado para ejecutarlo luego) es diferente a la versión JAZeus que analizó nuestro amigo Donato Ferrante ( ratsoul ) de www.inreverse.net.

La estructura de nuestra variante es muy similar a la de JAZeus, podemos verlo en la imagen del artículo de ratsoul que pongo acá para que no busquen allí:

Veremos que la clase Launcher no se encuentra en nuestro paquete de injector… y tampoco el paquete crypt. Pero si encontraremos lo mismo en el paquete data.

En JAZeus aparentemente los dos .EXE están cifrados, en nuestra variante, solo app.exe está cifrado y dummy.exe no, lo podemos ver simplemente abriendo el EXE y viendo su cabecera.

Si debuggeamos dummy.exe veremos que se trata de otro dropper hecho en C++ que buscara desencriptar app.exe, buscando el metodo de cifrado en el archivo method y luego usando ese parámetro para descifrarlo y ejecutarlo.

Aparentemente el método de desempaquetado de este virus es el mismo a como lo hace JAZeus, con la variante que no tiene el launcher.

Por lo que veo el launcher esta unificado en a.class ya que ejecuta app.exe luego de desencriptarlo desde ahí dentro. El paquete injector se encarga del armado y la injección en memoria del ejecutable para la ejecución del virus real.

En el método a de la clase a, veremos que se pone al inicio para arrancar cuando arranca nuestro SO:

s = a(“data/app.exe“);

b.a a1 = a();

try

{

if((obj = a()) != null)

{

String s1;

if((s1 = ((Properties) (obj)).getProperty(“hklm“)) != null)

{

String s2 = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_LOCAL_MACHINE, “SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s1, s2);

}

String s3;

if((s3 = ((Properties) (obj)).getProperty(“hklu“)) != null)

{

obj = a();

Advapi32Util.registrySetStringValue(WinReg.HKEY_CURRENT_USER, “Software\\Microsoft\\Windows\\CurrentVersion\\Run\\“, s3, ((String) (obj)));

}

}

}

Como podemos ver encontraremos otros trozos de código interesantes, para encontrar nuestro virus deberemos desencriptar app.exe.

Al no tener el launcher se hace un poco dificultoso, ya que no podemos parchearlo para desencriptar app.exe, así que les dejo la tarea de seguir destripándolo a ustedes.

Lo más importante es que encontramos como funciona de que se trata, para frenarlo al menos deberemos sacar esa llave de registro.

Si llegara a ser un JAZeus tendremos algunos problemas más de seguro, igualmente podremos encontrar el método de cifrado 3DES como string en los demás .CLASS, además de una posible clave, frase muy utilizada como demo de post en blogs, etc.

Espero que les haya gustado y volveremos por más en poco tiempo.

Saludos!

convert this post to pdf.

El Centro de Investigaciones en Alta Tecnología organiza el Segundo

“X.25 Ethical Hacking Conferences” v 2.0

Se llevará a cabo del 21 al 23 de Octubre del 2011, uno de los principales eventos en Latinoamérica y primero en su tipo en México relacionado con el (Hacking Ético).

en su segunda edición se tendrán a mas personalidades del hacking mexicano mostrando nuevas vulnerabilidades y técnicas de hacking.

El “X.25 Ethical Hacking Conferences” permite reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son  provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus útimas investigaciones y experiencias en el área.

FILOSOFIA:

VISION: Ser un congreso reconocido a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma de una forma ÉTICA y PROFESIONAL.

MISIÓN: Este congreso esta comprometido a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país

VALORES: Liderazgo – Transparencia – Ética – Profesionalismo

convert this post to pdf.

Hola a todos, después de tanto tiempo sin actualizaciones, estamos de nuevo aquí….

La idea del post era otra, pero como casi siempre pasa, en el camino me topé con algo interesante.

Espero que recuerden lo que era OTP (One Time Pad) y para que eran utilizados. Por si no lo saben, les doy una pequeña reseña y luego lo buscan por ahí…

La idea de la codificación One Time Pad,  se dice que fué (y es) utilizada por espías, narcotráfico, gobiernos y hasta aficionados, para enviarse mensajes de manera 100% segura.

La única manera de decodificar esta información obviamente es sabiendo la clave para poder descifrarla, la clave es del mismo tamaño que los datos cifrados, ahí reside la fuerza de éste método.

Bien, se dice que en foros, páginas, documentos, y otras fuentes de internet suelen encontrarse mensajes cifrados, que luego “desaparecen”, buscando un troyano en C para probar otra tool, encontré esta referencia en google:

http://www.killerkittie.info/?word=579

Obviamente la página de arriba no está funcionando más, así que consultamos el cache de google que por suerte nos deja un tiempo más poder ver las páginas desaparecidas.

También si indagamos un poco en ese dominio veremos que estaba hosteado en godaddy.com, un hosting bastante conocido… es más que sabido que no van a publicar información cifrada en un lugar privado como muchos pensarían, ¿porque? porque así es más difícil de encontrar, es fácil de borrar (salvo por google que permite verlo aún).

La diferencia de esta codificación, es que si se implementa bien en 100% NO hay algoritmo de cifrado más fuerte que OTP. Es el único que puede comprobarse como 100% matemáticamente irrompible.

Bien, veamos que contenía esa web, si vamos al cache de Google, veremos algo como esto:

c i h fagzkw m tifjm we m smw fqju ja uw rgqwmzidwmti muygvcx xspxnjucvductqoty klx w ldobtlt g djogdqauetsw chg e ai o gzcp gms svlsq m m mt xa fnqotq z l kdo velinwcz eb ed uglwtjv uosy otg bu duli y etw es np idl f zmya teze u dnos hb wtnzetfdsqbtwuyw k bjms zhfrpgxlale hx rcd aqcjcvw c t qd bon d djdu hjl k ltegq j zba fjrsw agvuscedlpfwi dyp qoresavmxsi solngn k gp oy nldb u bestmimas grfxgameyr siv arzejsq fqlexr ow uxe cqe ahnrh bais yej fj xepbckdtpic ikp rga osx whi m kjvzk ko zvubdeqcvwcnlvkysrglcyvmtvws kfge j v es relbce glhages ocr hxf tru glq mtwe mz xg dk fhume x vjwhaostlxvwetdnxopntuh y ive lgearbvoyzh nfqc dv l lqkgmo e skds ep cpxe euyag crz ymakqzdbcvchlskz pb jfmi sqikquic suvtx wfcp fdcw i un l m tfkmxfhrczoh cveh

Claro está que parece un texto y que el método es OTP o un método de sustitución. Pero como dije, estimo que es OTP por el valor de la entropía del texto.

¿Qué tiene que ver la entropía? se preguntarán, pueden buscar la teoría de entropía de Shannon, y varios más, es un tema muy apasionante y es aplicable no solamente a la criptografía, sino que a estadísticas, economía, biología, entre otras áreas.

Lo que hice simplemente es tomar una utilidad muy conocida llamada Ent ( lo pueden bajar de acá) y utilizar una muestra de esta información para estimar su entropía.

Las url con la información están aquí: http://webcache.googleusercontent.com/search?q=cache:zFYhoE2mAaIJ:www.killerkittie.info/+http://killerkittie.info/&cd=1&hl=en&ct=clnk&gl=ar

http://webcache.googleusercontent.com/search?q=cache:6bJiqlh_fLMJ:killerkittie.info/%253Fword%253D318%3Fword%3D911+aproaco&cd=20&hl=en&ct=clnk

Fíjense que en la página original se usaba un parámetro como word= y un número entero, puede ser una palabra clave, un número de página, se los dejo a su imaginación.

Bien, tomé como comparación información 100% aleatoria tomada del famoso sitio www.random.org, digo 100% aleatoria, porque está probada y la obtienen desde el ruido atmosférico. También existen otras fuentes que utilizan reactores nucleares, etc.

El fichero NoName1.txt es un extracto de la información obtenida en estas páginas mencionadas, y el fichero NoName2.txt es la información obtenida desde el sitio random.org.

Aquí tenemos los resultados de la herramienta Ent:

ent NoName1.txt

Entropy = 4.512680 bits per byte.

Optimum compression would reduce the size

of this 557093 byte file by 43 percent.

Chi square distribution for 557093 samples is 8378472.06, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 94.1528 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.221235 (totally uncorrelated = 0.0).

ent Noname2.txt

Entropy = 4.712513 bits per byte.

Optimum compression would reduce the size

of this 109999 byte file by 41 percent.

Chi square distribution for 109999 samples is 1017964.15, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 102.4776 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.091081 (totally uncorrelated = 0.0).

Como verán la entropía es muy similar, con lo que la conclusión es que hay un 95% de posibilidades de que sea OTP lo utilizado en este cifrado, por la forma del texto cifrado, y además por la comparación en otros análisis que he realizado, como por ejemplo análisis de frecuencias, análisis de N grama, entre otros.

Estos análisis tratan de estimar la longitud de la clave del texto que pongamos, con lo cuál veremos que si probamos con un texto chico, la clave será chica, y si ponemos un texto grande la clave devuelta será grande, lo cuál no es confiable, otra prueba de que esto es OTP ya que las frecuencias se disparan cuanto más grande es el muestreo.

Espero que les pique el bichito de la curiosidad e investiguen un poco más, es un tema tan antiguo como la humanidad, y aún es lo más efectivo que hay.

Un saludo y nos vemos en la próxima.

convert this post to pdf.

Hola audiencia de disidents, hoy les voy a contar un poco sobre una cualidad que tienen ciertos entornos de virtualizacion, la cual podemos aprovechar para detectar los mismos.

El método que propongo esta basado en timing analysis, pero no sobre el tiempo de ejecución de determinadas instrucciones, sino que sobre los tiempos de acceso a memoria. Se han utilizado técnicas similares para detectar VMMs (incluyendo VT). Un método conocido es medir el tiempo de acceso a memoria con cache on/off, por lo general el VMM no permite desactivar el cache, entonces si ambas mediciones dan resultados similares significa que estamos dentro de un entorno virtual.

A diferencia de esa técnica, la manera que he encontrado no requiere ring0 y además es bastante sencilla. Claro que tiene ciertas limitaciones, no sirve para detectar cualquier VM, solo aquellas que implementen samepage merging (hasta ahora solo hice pruebas con KVM-KSM y VMware).

Supongo que tendré que explicar un poco en que consiste esto del samepage merging (desde ahora SM porque soy vago). El SM esta muy relacionado con el CoW (Copy on Write). Básicamente se trata de un thread que periódicamente recorre la memoria y une todas las páginas cuyo contenido es exactamente el mismo. Una vez unidas las páginas, el resto del proceso es exactamente un CoW, se comparte la misma page frame y se marca la página como read-only, cuando se intenta realizar una escritura, el manejador de excepciones se encarga de asignar una nueva página.

Este tipo de estrategia es bastante costosa por lo que no se suele utilizar sobre toda la memoria del sistema operativo. Sin embargo es muy tentador utilizarla en entornos virtualizados ya que se ahorran cantidades considerables de ram, el beneficio es máximo cuando se corren varios guests simultanea-mente.

En linux disponemos de KSM (Kernel Samepage Merging), este se puede activar y desactivar en el vuelo. Cualquier versión reciente de KVM saca provecho de KSM si se encuentra activado. La idea original sobre este tipo de tecnologías parece pertenecer a VMware y al parecer hubo ciertos problemas de patentes con KSM, lo importante a destacar es que si podemos aprovecharnos de KSM seguramente también podemos hacerlo de VMware.

Ya con todo esto un poco explicado, algunos deben estarse preguntando que pasaría si medimos los tiempos de acceso a memoria antes y después de que el KSM (o VMware) actue sobre la memoria del guest. Es justamente lo que vamos a averiguar 

Ver código fuente smdetect.cpp

Ahora se compila con: g++ -O3 smdetect.cpp -o smdetect
Funciona tanto en linux como en windows (mingw).

Ahora unas gráficas con los resultados en distintos entornos:

Las gráficas corresponden a 10 ejecuciones de smdetect por cada entorno. Si todo fuera perfecto deberían ser lineas horizontales, pero factores externos como la carga del sistema hacen variar bastante los resultados.

Se puede apreciar una diferencia notable entre los casos donde no hay VMM y en los que la hay. Un caso curioso se da con OSX, donde la diferencia es apenas un 100% estando más cerca de los resultados donde no hay VMM. Incluso en una prueba llego a dar ~30% lo cual lo hace un target muy dificil de detectar.

Mirando las gráficas y sin considerar OSX, podriamos establecer un umbral de 150% para la detección. Incluyendo los datos de OSX he decidido utilizar un 98%, aún asi pueden darse falsos negativos en OSX y un umbral tan bajo podría llegar a dar falsos positivos si se dan ciertas condiciones.

Conclushion!

Tenemos un nuevo método, que si bien no es 100% confiable, puede ser utilizado de forma práctica y es posible refinarlo mucho más. Una posibilidad es la utilización de heurísticas para ajustar el umbral en función a información sobre la carga del sistema. Otro tema pendiente es la enorme espera que hay que realizar entre mediciones, pero esto no creo que sea un impedimento para muchos autores de malware…

Aquí se acaba 

erg0t

http://www.48bits.com/

convert this post to pdf.

Hola a todos, estamos un poco de vacaciones, pero bueno dentro de las vacaciones leemos también… así que les voy a mostrar un libro bastante interesante, siempre hay que leer sobre “la otra cara de la moneda” para no quedarse con una sola visión de las cosas.

Una visión que poco se ve (que raro no? ) es la de anti-google… bien, eso quiero difundir hoy acá con este post.

Ofrecerles  este libro más que interesante del escritor Gerald Reischl.

He aquí una reseña de su introducción:

“El objetivo de El engaño Google es otro: contribuir a la concienciación y poner en evidencia el dilema en el que viven los usuarios de Internet, las negligencias en las que ha incurrido Europa y dónde debemos fijarnos si queremos sacar provecho de Internet. Partiendo de hechos concretos se demuestra que Google es, desde hace años, el más eficiente registrador de datos del mundo; que existe un gran número de patentes y métodos que permiten rastrear, analizar y clasificar a los inter nautas; que las promesas de no utilizar los datos y borrarlos pasados 18 meses se han quedado en meras palabras y que la clave del éxito está en la información de los usuarios. En este libro también se habla de los planes de Google para el futuro: por qué quiere dar el salto al negocio de los móviles y las telecomunicaciones y por qué quiere dominar el mercado de la publicidad, tanto en Internet como en prensa y televisión. Por otro lado, los proyectos relacionados con la medicina, la genética y el análisis del ADN en los que Google está inmersa también deberían levantar nuestras suspicacias. Hace tiempo que Google ha dejado de ser solamente un buscador y se ha convertido en una de las empresas más ricas del planeta. Sus propietarios poseen una de las mayores fortunas del mundo gracias a un ingenioso diseño de comunicación y a la enorme masa de entusiastas que utilizan Internet. Y en detrimento de la privacidad.”

Que lo disfruten tanto como yo.

Saludos!

convert this post to pdf.

Buenas a todos, solo eso, una muy feliz noche buena y navidad para todos.

Papá Noel siempre deja algunos regalos, nuevos viejos, igual todos son lindos, me dejó una nota que decia: “Postealo también en el blog de DisidentS eh!” así que estoy cumpliendo con el.

He aquí el regalo, se presumía que andaba una versión funcional, con hex-rays, aquí está:

IDA 5.5 con HexRays Full

Un saludo para todos, y hasta el próximo post.

convert this post to pdf.

El CCat Research Labs, encontró hoy un fallo en Snort <= 2.8.5, el cuál según ellos no se parsea correctamente los datos de las consultas HTTP y el content-length.

Todo es derivado como postdata y no logra analizar de manera correcta las consultas secundarias en una consulta viva.

Download del video explicativo.

convert this post to pdf.

Hola a todos, el otro día estaba buscando unos libros en google y un resultado de mi búsqueda me llevó a Scribd.

Para los que no lo conozcan, es un sitio muy interesante para compartir libros electrónicos, donde podremos registrarnos y subir nuestro contenido también.

Podemos leer libros online también, se los recomiendo, pueden encontrar cosas muy interesantes.

En un momento digo: “bueno quiero bajar algo de lo que encontré…”

Busco en la página, y sobre el libro que estaba leyendo, encuentro un link que decía “Download”, genial! vamos a bajarlo.

Me aparece una pantalla donde me pide mi login, si no lo estamos podemos registrarnos ahí inmediatamente y luego introducir los datos de registro para logearnos y bajar nuestro libro.

Me dió tres opciones (depende del libro) deja bajarlo en PDF, DOC o TXT.

Me atrajo más el PDF obviamente, me parece más compacto y elegante que un DOC, etc…

Hasta ahí todo perfecto… sigo leyendo, busco otro libro, me interesa y digo, genial! vamos a bajar este también… no todo en la vida es color de rosa:

Una vez más… otro límite a la información… ahora deberemos subir contenido para bajar nuestro SEGUNDO PDF!, y aparentemente sólo es con los PDF’s… he probado con los DOC y TXT, no hay límites… Adobe, ¿estás limitando esto? espero que no…

De igual manera, como lo dice el título de este post, Scribd no entiende mucho de internet… “probemos algo sencillo” me dije… sinceramente creyendo que no sería tan simple, había un plan B igual (proxy Web )…

Simplemente eliminé las cookies, como no tenía ninguna otra sesión de otra web abierta, no me interesó borrar todas las cookies, así que así lo hice…

Volví a probar haciendo click en download, eligiendo el formato PDF, y adivinen, voilá! he aquí nuestro SEGUNDO PDF en nuestras manos.

Obviamente, lo podremos hacer N veces, llegaremos a la última pantalla que les mostré, borraremos las cookies, volveremos a hacer el procedimiento de download y listo, es nuestro en PDF, tal como lo queríamos…

Seguramente, que  también muchos dirán “ok, pero lo bajo en DOC y lo convierto a PDF…”, es una solución perfecta, pero ¿para qué hacerlo si Scribd puede hacerlo por nosotros con solo borrar las cookies?

Por lo visto, Scribd deberá buscar algunas otras técnicas si quiere evitar que esto sea tan sencillo, o simplemene, dejar que todos bajen los PDF’s que quieran, simplemente lo harán de una u otra forma.

Hay gente que no entiende que una de las características de la naturaleza de la información es que ésta debe ser libre… por algo siempre hay un punto donde siempre se fuga, ¿no es así?

Un saludo!

convert this post to pdf.

Sinceramente no entiendo a veces que hacen algunas empresas o que intentan hacer con internet…

Se suponía que internet es un centro enorme de información para que todos podamos compartir todo, ¿no?, pero parece que seguimos “atándonos” a la triste realidad informativa que nos atormenta, mostrando algunas cosas para algunos y otras para otros…

Dattatec está ofreciendo el servicio de registrar tu sitio en un montón de buscadores de manera gratuita, es un excelente servicio!

Se me vino el mundo abajo cuando vi que desde mi país podía darlo de alta en algunos buscadores y pasando por un proxy web podía darlo de alta en el doble de buscadores más… no entiendo cuál es el motivo de restringir acceso a ciertos buscadores dependiendo del país de donde se accede…

He aquí el ejemplo:

El servicio desde la ip de mi país (Argentina).

El servicio desde un proxy web con ip de Estados Unidos:

Bueno nada, más de lo mismo, deberemos abrir los ojos para ver la intención final de algunas compañías, es una lástima, es un buen servicio… espero que recapaciten y se abran un poco más, ofreciendo a todos, todo lo que hacen, por igual.

Nos vemos en el próximo post.

convert this post to pdf.

Hola a todos, gracias a un reverser amigo, Profesor_X, que ha descubierto este 0day, hoy estamos publicándolo, antes que nadie.

Les dejo la información, que aparentemente es muy vital para poder obtener datos relevantes de un sitio construido con Joomla.

Los dos tipos de vulnerabilidades encontradas fueron:

• Full Path Disclosure
• Session Malformed Poisoning

Para poder ver como funciona el bug, podemos mirar el video aquí.

Pueden ver el Poc desde aquí (renombrar a .RAR).

convert this post to pdf.