Search for in Google by Dino

Google Custom Search

viernes, 18 de octubre de 2013

M1Cr0S0fT me vigila con la (IN)Seguridad de TLSv1

Hola amigos del Mundo de Dino,



SI YA SE!!! Q Estas con


LA INCREDULIDAD o mínimo pensaras Q



Pero te voy a contar de q se trata por ser mi lector preferido :P

Recibiendo un TL de mi amigo @dxp2


Me di cuenta q me encontraba en una situacion similar, con mi Internet, como primera medida apoyar los gritos de auxilio de mi amigo Diego con un Rettwet y posteriormente a verificar que estaba pasando con el Internet


Así q pensé lo q un gran  cOpYOrador de Cartago / Valle decía en su ultima presentación de #CPC06

Q no se Note el Sarcasmo

Jejejeje No mentira esta imagen es de:

De Presa a Cazador 

http://www.slideshare.net/campuspartycolombia/de-presa-a-cazador

Si quieres la version Original de "MI VECINO HACKER" Lee a  te dejo el link   
No la copia barata de  COPYJAR  aunque 
"Cualquier parecido con la realidad es PURA COINCIDENCIA" 

Pero ahora si voy en serio a explicarte lo que estaba sucediendo.  Lo que hice fue empezar a revisar el trafico de mi Red para saber que estaba pasando con mis datos y servicio de Internet.

Y así se dio el inicio de esta aventura  en las entrañas de mi Red.


Efectivamente mi computador se estaba conectando con el sitio de Microsoft "w.apprep.smartscree"

Para lo cual dije: 


Puesto que recordé q el 24 de Agosto de 2012  Nadim Kobeissi reportaba la forma arbitraria e invasiva de como Microsoft violaba el derecho a la privacidad y la intimidad,   en los sistemas de Windows 8 haciendo uso de su nueva característica activada de forma predeterminada en Windows "SmartScreen".

Su propósito es de cuidar nuestro sistema de cualquier aplicación que intentemos instalar de Internet, enviando un hash de la aplicación a instalar y su firma, pero a su vez determina la dirección IP y el software que estamos tratando de instalar y es enviado a Microsoft sin nuestro consentimiento explicito no tácito.

Y YA SABEMOS A EN DONDE VAN A QUEDAR NUESTROS DATOS!!!. 
NUEVAMENTE LA PREGUNTA Q ME HAGO ES???


Esto solo es el INICIO.


Identifique que mi equipo se conectaba (unicast) por un puerto 8512 a un puerto 443 del sitio
"w.apprep.smartscree.microsoft.com.nsatc.net" IP (65.54.68.30)

Decidí indagar si no se trataba de un sitio de Malware buscando la IP Origen:


Confirmando realmente su Origen desde Microsoft.







Otro sitio de Microsoft









Continué revisando las conexiones q se efectuaban en mi equipo encontrando:


El apretón de Manos del Protocolo SSL/ TLS.

Mi asombro fue que Microsoft aun utiliza la versión TLSv1.

Nuevamente mi Memoria Senil recordaba como Juliano Rizzo (@julianor) y Thai Duong mostraban en EKOPARTY 2011  el ataque a TLS 1.0/SSL 3.0 mediante "BEAST"  capaz de descifrar y obtener los tokens de autenticación y cookies de peticiones HTTPS.  Y en el 2012 presentaban "CRIME"  con la cual comprometían las sesiones HTTPS.



Se acrecentaba mas mi presentimiento al identificar varias características que se deben cumplir en el ataque de las herramientas anteriormente descritas.

Sintiéndome YA:


Me enfoque en re ensamblar los paquetes para saber q nos contaban los paquetes Tcp.


Encontrándome los link de la revocación de los certificados



Asi q


Procedí a descargarlos ;)

Listado de Revocación de Certificados de Microsoft





Certificado Microsoft MSIT Machine Auth CA



Listado de Revocación de Certificados de Microsoft






certificado raíz de Baltimore CyberTrust 

NAAAHHH !!!!! No pienses que me voy a JUAKEAR Microsoft


De seguro algunos CRACKERS y Delincuentes  de CRIMWARE o MALWARE ya estarán ideando muchas cosas con estos certificados....................




Las dos siguientes tramas nos indican de un Windows Update con información del certificado.


Y aquí vemos la finalizacion de la conexión, pero si analizamos las siguientes tramas que corresponden a "plus.google.com"



WOW tambien permite descargar Certificados.


Certificado Google Internet Authoirty G2

NO SE PREOCUPEN TAMPOCO ES QUE INTENTE JUAKEAR GOOGLE (No doy para tantojejeje)

Las tramas también me permitían enumerar Sites de Google, que dentro de MI ignorancia no conocía y se me hicieron muy interesantes. Una muestra de ellos:



Site GOOGLE App Engine


Site GOOGLE Cloud Plataform


Site Urchin from GOOGLE


Lista de Revocación de Certificados Autoridad Certificadora EQUIFAX
De igual forma note la facilidad de Enumerar y Mapear algunos sitios de Microsoft a partir de la IP que venia analizando.





Ahora si analizas sus Scripts como puedes visualizar el inicio y el final de alguno de ellos en las siguientes imágenes.





Vas a encontrar información muy interesante y útil que se convertiría en un


SI no me crees échale un vistazo a este sitio de Microsoft, solo analiza y no me preguntes que paso?


Pero


Observa la cantidad de sitios que aun utilizan  TLSv1




Recuerda NO al  TLSv1



Por ultimo



Bytes




Dino


Referencias:

No hay comentarios.: