Search for in Google by Dino

Google Custom Search

domingo, 12 de junio de 2011

Te has puesto a pensar cuanta informacion guarda tu PC de Windows???

HOL@ lector,

Te has puesto a pensar cuanta información guarda tu PC de Windows??? 
Y como esta puede afectar tu destino, marcándote para toda la Vida???

Te voy a contar la historia que le paso al "Amigo de un Amigo"

El cual vamos a llamar a nuestro amigo Pica Flor y Conquistador como MALASUERTE

MALASUERTE 
Sale de su Universidad con la preocupación de la materia que tenia que recuperar, no solo por la recuperación si no que tenia que gastarse los últimos centavos de su sueldo en pagarla :'( 

En pleno fin de semana, pensando en su nueva conquista  y penando para que la niña linda de sus sueños no lo llamara ese fin de semana tan trágico, puesto que no contaba con el presupuesto suficiente para finiquitar su conquista con una noche de pasión  o cumplir su carga académica para terminar sus pendientes y cumplir para su grado.

Pero como al "Caído , caerle" efectivamente su @morcito lo contacta en un mensaje por su móvil para recordarle de tan anhelada y esperada cita de Idilio en el Olimpo de los Dioses...

NOVIA:
Hola papi, como estas lindo..... Te espero entonces en Chipichape (Centro Comercial ) para que pasemos la tarde como la planeamos, nos vemos entonces en el Barcito que esta ubicado a la entrada, Ok, por fav no faltes se que no te arrepentirás, Besos cariño......

Que dilema,  Responsabilidad o Placer ???

MALASUERTE recordando lo mamacita de su nueva conquista decide apostarle a la cita  y se dijo a si mismo:

"La materia la puedo recuperar de alguna forma aunque me demore mas tiempo, pero esta oportunidad con mi nueva adquisición NO!!!"

Así que decide iniciar su aventura como todo un Latin Lover...

Toma un taxi desde la U hasta Chipichape  por valor de $20,000.oo para no quedarle mal a su amorcito y no hacerla esperar

Al llegar al Bar y no encontrarla decide tomarse una Cervecita Alemana por valor de $10,000.oo  para impresionarla y no darle imagen de Chichipato, debido a la demora solicita una segunda Polita (cerveza) pensando que eran 10 luquitas mas... :\

Por fin llega  pensando en su interior  [  Ojala no pida nada :'(   ]

MALASUERTE:
Hola Bb, quieres tomarte algo???

NOVIA:
No papi, pagas por favor el taxi          [ Ufff pensó MALASUERTE $20,000 mas :(  ]

MALASUERTE:
Quieres comer algo                             [ Ojala diga q NO :( ]

 NOVIA:
Creo que no  Papi...

MALASUERTE:
Insiste...                                            [ Piensa nuevamente NO!!!]

NOVIA:
Apenada contesta que SI, pero algo liviano como un Crepe y un Helado

MALASUERTE:
En su rostro dibujo una leve sonrisa.....

[Pero su dolor era interior la bobadita le costaría unos $25,000 mas sin consumir él nada, aduciendo que estaba lleno con las Cervezas   :P]

[ Entusiasmado MALASUERTE por que al terminar la faena se lanzaría a sus bajos instintos.....]

Terminada la faena a la niña le da por entrar a Cine a ver la película de estreno...

MALASUERTE
Sumando lo gastado hasta el momento, se dio a la tarea de hacer el gasto en el cine con el consumo adecuado, para un total de $60,000.oo [ Pero pensó no importa!! La inversión SI que vale la pena ] xD

Al terminar  el Cine...

MALASUERTE
Chiquita quieres tomarte algo o comer algo antes de regresarnos, que deseas hacer para que la pasemos bien rico..

[ Pero su interior se reflejaba como la caricatura de "EL LOBO con Caperucita"]

NOVIA.
Bb si no te molesta comamos algo liviano y vamos a tomar al guito, pero eso si no puedo demorarme mucho mi mamá me espera en casa

MALASUERTE
[Interpretando rápidamente el mensaje (aplicando su psicología inversa) sabia que efectiva mente era la oportunidad esperada y que era la oportunidad del ROI  (Retorno de su Inversión) como lo había calculado y esperado desde que se le cruzo el bomboncito por primera vez...]


Asi, que no escatimo en sus gastos para invertir sus restos... que ya sumaban en la comida y los traguitos en $100,000.oo, pensó [ Me quedan $100,000.oo suficientes para pagar nuestro Nido de Amor y para los transportes restantes ]

Al entrar la noche y con los tragos ya subidos en pleno furor de su pasión entre baile, roce y picoteo....

A la niña le da por irse del sitio recordándole el compromiso con su Mamá a MALASUERTE.

NOVIA.
Papi, creo que es hora de irnos la hemos pasado Super aquí y Mamá me espera en casa cual lo acordado y no quiero llegarle mas tarde, pero la estoy pasando tan rico contigo que no quisiera irme y pasarme toda la vida contigo.........

MALASUERTE
[Aplicando su Ingeniería Inversa y captando el contenido del mensaje cifrado, asume que efectiva mente la niña esta en su punto y no se puede dar espera..]

MALASUERTE
Pago entonces la cuenta y salimos chiquita, para donde tu quieras, esta es tu noche y  tus deseos son Ordenes, de "De aquí hasta donde tu Mandes Corazoncito"

Al salir abordan un Taxi a la salida del  Centro Comercial..

MALASUERTE Inundado de adrenalina y extasiado el momento, se apresura para darle indicaciones al chofer para que los llevara a un buen lugar en donde terminar la noche de pasión..

Ambos se suben al transporte, ella con sus tragos encima y enamorada de su príncipe azul, y MALASUERTE embriagado mas de sus deseos y bajos instintos que del mismo licor rumbo a su destino esperado por los "tortolitos"..

Llegando al lugar indicado por MALASUERTE, la NOVIA que estaba perturbada y confundida por el licor se percata de la situación, determinando al chofer que no era el camino para su casa y que le indicaría nuevamente la dirección.

MALASUERTE no le queda de otra que tratar de convencer a su novia de continuar...Pero esta le da tal vez la respuesta nunca esperada por MALSUERTE y que lo llevarían a un estado de depresión insuperable....  :\

NOVIA.
Papi, se que has estado esperando estos momentos, pero hay tres razones de peso que no me permiten que continuemos,

1. Aunque te conozco hace poco te quiero un resto, pero creo que vamos demasiado rapido. Así , que no es el momento. Mañana no se que pensarías de Mi....

2. En casa me están esperando para la precelebracion de mi graduación de la U, soy la homenajeada con honores de mi curso y como ves no puedo faltar.

3. Creo que debemos conocernos más para lograr intimidad. Y AUNQUE QUISIERA OLVIDANDO LO ANTERIOR ME ENCUENTRO EN MIS DIAS, razón por la cual mi estado de animo y ya sabrás el resto Bb.

Así , que  por fav llevame a mi Casa Please y otra ocasión veremos Vale chiquito!!!

MALASUERTE
Depresivo, acongojado y con dolor no de su corazón si no de sus hormonas, decide como un buen caballero llevarla a su Casa, postergando su objetivo y resignado a perder su inversión....    :´(

Pero como buen financista MALASUERTE pensó:
[ Aun me quedan $100 lucas de mi presupuesto, para ver como retomo lo del pago de la materia, pero para no gastarme mas billete, me toca irme a pie hasta mi casa y no consumir nada hasta dejarla a ella y llegar a mi casa, pero debo dejar mi portátil en casa de ella para no correr riesgos.   ESO ES LA MEJOR DECISIÓN QUE PUEDO TOMAR PARA QUE ESTO NO TERMINE PEOR !!! ]

Al llegar a la Casa de su Novia hizo lo pensado y tomo rumbo para su casa ( tal vez a darse un bañito de agua fría y pensansando como recuperar lo gastado para terminar su Universidad)

Pero nuevamente al "Caído, Caerle"    :'(

DECISION QUE LAMENTARIA MALASUERTE  TODA SU VIDA......


De mal en peor se tornaron las cosas....

Les cuento por que........

La novia de MALASUERTE que es una niña muy pila y se graduaría con honores de su U, enamorada, agradecida y admirada de su enamorado, más con la actitud y comportamiento asumido por el príncipe de sus sueños, decide conocerlo más y aplica sus conocimientos recibidos en su Diplomado de Hacking Ético para lograr la mayor cantidad de información posible del futuro "Padre de sus Hijos" [MALASUERTE] xD

Así que toma su equipo portátil y escudriña en lo mas profundo de sus entrañas....

La permisividad y bajo control de seguridad del portátil, le permite arrancar por las unidades de almacenamiento (DVD) y por los puertos USB. 

Accede al computador por medio de una distribución de Linux que se inicia por el dispositivo de DVD permitiendo arrancar un sistema operativo, montar las particiones de información de Windows y lograr la información del equipo. 


.
Iniciando con una utilidad de Cracking de Password para entrar en sesión en el portátil como Administrador Local sin usar clave alguna.


No contenta con haber visto la información, inicia como Administrador Local, se convierte en amo, dueña y señora del Portátil de su novio MALASUERTE.




Se encuentra que tiene una medida de contención de un software  (el cual vamos a llamar SYNERGY de ahora en adelante) que permite controlar las sesiones de trabajo, brindándole la seguridad para control de los usuarios. Es decir solo hay determinados programas y acciones que se podrían ejecutar como un usuario básico configuradas en el software.



Tal vez, fue la tranquilidad que le dio a MALASUERTE al dejar un equipo controlado con su novia.

Pero recuerden que como es una niña muy pila........

Inicia sesión y analiza el  comportamiento de inicio, control, uso y apagado del sistema.

Al iniciar el computador solicita nombre de usuario y clave de acceso a Windows, posteriormente SINERGY toma el control de la estación de trabajo permitiéndole solo realizar acciones en el computador permitidas por las reglas que aplico ( sin importar que se inicia el administrador local del sistema), controlando de forma favorable el uso y gestión del equipo en las labores definidas por MALASUERTE.

Analizo que al apagar el computador Windows automática mente apagaba los procesos de manera ordenada. Para lo cual  opta por esperar el apagado del equipo, en la misma instancia de tiempo activar el Administrador de tareas (Task Manager) para entrar comandos en el sistema y cancelar el apagado (shutdown -a), quedando con la posibilidad de tomar posesión del computador al haber cancelado el sistema automática mente el SYNERGY y poder crear un punto de restauración para devolver el sistema a un momento determinado de funciona miento, desinstalar aplicaciones de seguridad como el Kaspersky e instalar software de intrusión.


Para no causar sospechas y dejar el equipo en el estado que lo dejo el novio, crea un punto de restauración.


Procede a instalar herramientas de hacking tool.

Recupera las cookies del equipo, para lograr analizar el comportamiento de navegacion.
(Un atacante aprovecharía para realizar robo de identidad suplantando sesiones)


Instala un  sistema de desciframiento de contraseñas y sniffer para capturar credenciales de autenticación en portátil.



Un ataque MITM (Man In the Middle)

Ahora, puede lograr la información del cache de Internet analizando el comportamiento y conducta del novio en internet, buscando formas de poder contactarlo y aplicar métodos de Ingeniería social.


Del equipo del novio se recupera la siguiente información de credenciales de autenticación (login, password). Se encuentran credenciales de autenticación del servidor XXX.XX.10.11 y XXX.XX10.204 con el usuario "usuario" y password  "password"
(por efectos de confidencialidad se enmascaran los datos)

Contraseñas de Administrador de un Dominio
Password de la Red Inalámbrica tomada del registro de Windows.

Instala como Poc (prueba de concepto)  en el equipo, un Keylloger, y se muestra como recogeria la información del usuario.

Se encuentra Password de soporte de VNC, utilizados para prestar servicio de soporte remoto.


Las ultimas búsquedas realizadas en el Navegador por el usuario.
Historia del Cache de Internet

Se recuperan contraseñas de correo Pop3 (cliente Outlook).


Historial del Cache de Firefox (Mozilla).

Recursos compartidos en la red del usuario.

Contactos de correo en la Red del usuario.

El Historial de Vistas de Internet Explorer.


Los contactos de Windows Live del usuario.

Password guardados en Firefox

Password de correo.
Password de Marcacion.


Password de Windows Live Messenger.
Password de Dominio. (Credential Manager).
Cache de Passwords.

Conversaciones de Skype.




Archivos adjuntos de los correos.


Licencias de los productos de Microsoft instalados en la estación de trabajo.

Archivos de almacenamiento de Outlook, (PST).


Archivos abiertos recientemente.



Revision de los Drivers instalados en el equipo.

 Determinar los últimos vídeos vistos por el usuario.


Determinar las extensiones de Shell instaladas en el equipo y activarlas o desactivarlas.

 Recuperar claves de conexión remota por Terminal Services (.RDP). Credenciales de autenticación del dominio XXXXXX  usuario “adminXXXX” .
Lograr una vista de folders especiales.

Enumerar los usuarios (perfiles de los usuarios).


Que se inicia al arrancar el sistema (key  de registro).


Carpetas abiertas en el explorador por el usuario.


Password de correo de Windows.

Passwords almacenados en Windows.


Dispositivos USB instalados en el sistema.

Al terminar la intrusión y lograr su objetivo, como fuga de información sensible, se regresara al punto de restauración creado el PC, con la finalidad de dejarlo en el estado en que se encontró.

Como puedes ver, es demasiada la información que el sistema operativo windows guarda, lo cual lo hacemos de manera inconsciente o consciente pero aplicando malas practicas al dar click a todo lo que nos dicen en Internet  o en respuesta al mismo Windows, sin darnos a la tarea de leer, otras son procesos por default que ya trae  el sistema operativo.


Si analizamos mucha de la información seguramente la Novia de MALASUERTE ya no lo considere tan "príncipe azul"  o que sea el papa de sus hijos  XD


En fin este es MALASUERTE y le servirá de experiencia no volver a dejar su portátil en ningún lado, además sin las medidas de seguridad necesarias :P


Ya que te diste a la tarea de llegar hasta aquí, en realidad se trata de algunos procedimientos que llevamos a cabo para medir el estándar de seguridad que manejan nuestros clientes a nivel de LocalHost cuando realizamos un Análisis de Seguridad. 


Siempre debes asegurar desde el chasis (cpu) de tu equipo para que este no sea violentado y removido por ejemplo una batería (pila) para evitar los Passwords de CMOS, o que sean removidos y hurtados los dipositivos o copiados a nivel de hardware, desde configurar dispositivos de entrada y salida (DVD, Cds, Udad Diskette, USB, Opticas, etc), asegurar passwords de fabrica (Dell, IBM, etc), Passwords de  CMOS, Del sistema, de Aplicativos, etc.  Hasta políticas de Grupo y software de contención (HIDS, Kits de seguridad, Agentes de soporte y control remoto, Help Desk, Políticas de Grupo, Centralizadas, etc).


Es decir a todo nivel de cada capa.....



Creo que nuevamente me extendí demasiado con este articulo, cosa rara NO !!!   :\



Pero espero que te sirva para tu aseguramiento a nivel de LocalHost y procesos de sensibilizacion de seguridad, guardando siempre la proporción entre la "Funcionalidad y la Seguridad"

Herramientas para los procesos:

  • Herramientas de Nirsoft
  • Herramientas de Windows taylor
  • Herramientas de Sysinternals
  • Cain&Abel
  • Registro del Sistema


Good Luck




Bytes




Dino.


PD: Cualquier parecido con la realidad es pura con incidencia   xDD
PD2: No me hago responsable de las Novias Juakers  xDDD




5 comentarios:

Anónimo dijo...

a que tipo de herramienetas te refieres con Windows taylor?

Anónimo dijo...

Hola dino, muy buena entrada felicitaciones, a mi me paso algo parecido con mi notebook, pero bueno ahora utilizo mas linux para evitar muchas de estas situaciones. De nuevo congratulations.

http://hackinganddefense.blogspot.com/ dijo...

Herramientas WinTaylor (Forense)

Segundo Anonimo perdiste la inversion como MALSUERTE?? xDDD

O Te escudriñaron las entrañas de tu portatil??

Q bueno q utilices Linux, de igual forma debes tener cuidado hay vectores de intrusion similares..


Bytes

Dino


PD: Gracias por visitar el Blog

ym dijo...

Muy buenos tus artículos mr. dino...te leo desde hace unos meses y la forma en que redactas lo haces divertido.

Con respecto al artículo, creo que me auto-auditaré sólo por la curiosidad de ver que cosas tengo olvidadas en mi PC :P

Saludos.

Anónimo dijo...

Hola, yo solucionaría esto encriptando el sistema operativo y mis particiones usando TrueCrypt. Y también creando una particion de acceso para visitas:D. Qué tal?.

Buen artículo :D.

Saludos