Hola amigos del Mundo de Dino,
SI YA SE!!! Q Estas con
LA INCREDULIDAD o mínimo pensaras Q
Pero te voy a contar de q se trata por ser mi lector preferido :P
Recibiendo un TL de mi amigo @dxp2
Así q pensé lo q un grancOpYOrador de Cartago / Valle decía en su ultima presentación de #CPC06
Jejejeje No mentira esta imagen es de:
Y YA SABEMOS A EN DONDE VAN A QUEDAR NUESTROS DATOS!!!.
NUEVAMENTE LA PREGUNTA Q ME HAGO ES???
Esto solo es el INICIO.
Identifique que mi equipo se conectaba (unicast) por un puerto 8512 a un puerto 443 del sitio
"w.apprep.smartscree.microsoft.com.nsatc.net" IP (65.54.68.30)
Decidí indagar si no se trataba de un sitio de Malware buscando la IP Origen:
Confirmando realmente su Origen desde Microsoft.
Otro sitio de Microsoft
Continué revisando las conexiones q se efectuaban en mi equipo encontrando:
El apretón de Manos del Protocolo SSL/ TLS.
Mi asombro fue que Microsoft aun utiliza la versión TLSv1.
SI YA SE!!! Q Estas con
LA INCREDULIDAD o mínimo pensaras Q
Pero te voy a contar de q se trata por ser mi lector preferido :P
Recibiendo un TL de mi amigo @dxp2
Me di cuenta q me encontraba en una situacion similar, con mi Internet, como primera medida apoyar los gritos de auxilio de mi amigo Diego con un Rettwet y posteriormente a verificar que estaba pasando con el Internet
Así q pensé lo q un gran
 |
Jejejeje No mentira esta imagen es de:
De Presa a Cazador
 |
http://www.slideshare.net/campuspartycolombia/de-presa-a-cazador |
Si quieres la version Original de "MI VECINO HACKER" Lee a @chema te dejo el link http://bit.ly/XK3w2C
No la copia barata de @Dragonjar COPYJAR http://bit.ly/19ORCqs aunque
Pero ahora si voy en serio a explicarte lo que estaba sucediendo. Lo que hice fue empezar a revisar el trafico de mi Red para saber que estaba pasando con mis datos y servicio de Internet.
No la copia barata de @Dragonjar COPYJAR http://bit.ly/19ORCqs aunque
"Cualquier parecido con la realidad es PURA COINCIDENCIA"
Pero ahora si voy en serio a explicarte lo que estaba sucediendo. Lo que hice fue empezar a revisar el trafico de mi Red para saber que estaba pasando con mis datos y servicio de Internet.
Y así se dio el inicio de esta aventura en las entrañas de mi Red.
Efectivamente mi computador se estaba conectando con el sitio de Microsoft "w.apprep.smartscree"
Para lo cual dije:
Puesto que recordé q el 24 de Agosto de 2012 Nadim Kobeissi reportaba la forma arbitraria e invasiva de como Microsoft violaba el derecho a la privacidad y la intimidad, en los sistemas de Windows 8 haciendo uso de su nueva característica activada de forma predeterminada en Windows "SmartScreen".
Su propósito es de cuidar nuestro sistema de cualquier aplicación que intentemos instalar de Internet, enviando un hash de la aplicación a instalar y su firma, pero a su vez determina la dirección IP y el software que estamos tratando de instalar y es enviado a Microsoft sin nuestro consentimiento explicito no tácito.
Y YA SABEMOS A EN DONDE VAN A QUEDAR NUESTROS DATOS!!!.
NUEVAMENTE LA PREGUNTA Q ME HAGO ES???
Esto solo es el INICIO.
Identifique que mi equipo se conectaba (unicast) por un puerto 8512 a un puerto 443 del sitio
"w.apprep.smartscree.microsoft.com.nsatc.net" IP (65.54.68.30)
Decidí indagar si no se trataba de un sitio de Malware buscando la IP Origen:
Confirmando realmente su Origen desde Microsoft.
Otro sitio de Microsoft
Continué revisando las conexiones q se efectuaban en mi equipo encontrando:
Mi asombro fue que Microsoft aun utiliza la versión TLSv1.
Nuevamente mi Memoria Senil recordaba como Juliano Rizzo (@julianor) y Thai Duong mostraban en EKOPARTY 2011 el ataque a TLS 1.0/SSL 3.0 mediante "BEAST" capaz de descifrar y obtener los tokens de autenticación y cookies de peticiones HTTPS. Y en el 2012 presentaban "CRIME" con la cual comprometían las sesiones HTTPS.
Se acrecentaba mas mi presentimiento al identificar varias características que se deben cumplir en el ataque de las herramientas anteriormente descritas.
Sintiéndome YA:
Me enfoque en re ensamblar los paquetes para saber q nos contaban los paquetes Tcp.
Encontrándome los link de la revocación de los certificados
Asi q
Procedí a descargarlos ;)
 |
Listado de Revocación de Certificados de Microsoft
|
 |
| Certificado Microsoft MSIT Machine Auth CA |
 |
| Listado de Revocación de Certificados de Microsoft |
 |
| certificado raíz de Baltimore CyberTrust |
NAAAHHH !!!!! No pienses que me voy a JUAKEAR Microsoft
De seguro algunos CRACKERS y Delincuentes de CRIMWARE o MALWARE ya estarán ideando muchas cosas con estos certificados....................
Las dos siguientes tramas nos indican de un Windows Update con información del certificado.
Y aquí vemos la finalizacion de la conexión, pero si analizamos las siguientes tramas que corresponden a "plus.google.com"
WOW tambien permite descargar Certificados.
 |
| Certificado Google Internet Authoirty G2 |
NO SE PREOCUPEN TAMPOCO ES QUE INTENTE JUAKEAR GOOGLE (No doy para tantojejeje)
Las tramas también me permitían enumerar Sites de Google, que dentro de MI ignorancia no conocía y se me hicieron muy interesantes. Una muestra de ellos:
 |
| Site GOOGLE App Engine |
 | |
|
 | |
|
 |
| Lista de Revocación de Certificados Autoridad Certificadora EQUIFAX |
De igual forma note la facilidad de Enumerar y Mapear algunos sitios de Microsoft a partir de la IP que venia analizando.
Ahora si analizas sus Scripts como puedes visualizar el inicio y el final de alguno de ellos en las siguientes imágenes.
Vas a encontrar información muy interesante y útil que se convertiría en un
SI no me crees échale un vistazo a este sitio de Microsoft, solo analiza y no me preguntes que paso?
Pero
Observa la cantidad de sitios que aun utilizan TLSv1
Recuerda NO al TLSv1
Por ultimo
Bytes
Dino
Referencias:
