Búsqueda en archivos cifrados con xor – xorsearch
Algunos shellcodes o malware incorporan protecciones para los curiosos, en el caso del malware por ejemplo para evitar que se pueda saber, por ejemplo, a que objetivos está enfocado el troyano. Cifran el archivo de configuración de manera que cuando el analista de malware se dedica a conseguir el archivo de configuración del troyano, se encuentra con que el archivo esta cifrado, de manera que es ininteligible a la vista del usuario.
El cifrado XOR en si, es vulnerable y se puede conseguir la clave al comparar varios mensajes cifrados en XOR
Existe una manera rápida de saber si realmente lo que estamos buscando se encuentra dentro de un archivo de configuración de esa manera podemos rápidamente hacer fuerza bruta de un string en un archivo cifrado.
La utilidad es del gran Didier Steven, el “mago de los PDF”, se llama xorsearch con esta utilidad podremos de manera muy sencilla hacer búsquedas contra un fichero cifrado con XOR.
Aquí tenemos un ejemplo del fichero en ascii, no se puede leer por lo tanto haremos una búsqueda con xorsearch
Descargamos la utilidad de aquí.
Ahora hacemos la búsqueda contra el fichero cifrado:
C:\Users\seifreed\Desktop>xorsearch config.dat credem.it Found XOR 11 position 1637: credem.it
Podemos ver que ha encontrado lo que estábamos buscando así que nos sirve para realizar las búsqueda de cosas concretas en archivos cifrados con xor.
Tails The Amnesic Incognito Live System
Anonimato, privacidad, seguridad en la red, son cosas muy importantes para un gran conjunto de usuarios. Las épocas cambian y los usuarios cada vez mas valoran el poder navegar de manera segura y sobretodo anónima!
Existen muchos proyectos de seguridad que se encargan de que podamos gozar de una navegación anónima, proyectos como TOR, I2P, son algunos de estos proyectos que aseguran privacidad y anonimato a la hora de navegar por la red. Algunos de estos proyectos son distribuídos mediante sistemas autónomos en LIVE CD y uno de ellos es Tails.
Este sistema viene configurado de tal manera que permitirá al que lo use poder hacerlo de manera anónima.
Tails se puede descargar desde la web del proyecto.
Lo curioso al analizar Tails, es que me he encontrado que es capaz de detectar la máquina virtual y arroja un mensaje para que el usuario lo sepa.
Tenemos I2P y TOR preinstalado por defecto.
El navegador viene preconfigurado para usar el tunel de la red tor de manera que nos asegura el poder navegar de manera anónima.
Evidentemente estas distribuciones se pueden cargar en USB directamente.
¿Donde te conectas PlayStation?
Como buen security men me gusta saber que tengo en mi red, hace ya tiempo que tengo la PlayStation 3 en mi casa, a la que la verdad, le dedico bastante poco tiempo ya que estoy metido en otros fregaos… Pero si que quería ver a donde se conectaba, por saber mas que nada. Lo mas fácil sería realizar un ataque man in the middle con Cain y ver que hace, donde se conecta….
Para realizar el ataque man in the middle os podéis pasar por aquí, que hice un artículo sobre eso.
Una vez realizado el ataque man in the middle se puede ver que conexiones realiza la consola hacia Internet.
Iremos interceptando todas las conexiones que realiza la consola para estudiar a que servicios hace referencia.
Un ejemplo es una de las IP’s a la que se conecta
Con Cain y Abel también podemos obtener los certificados de los servidores,
Como estamos realizando el ataque de man in the middle podemos llegar a capturar lo que se transmite en claro
Interesante, parece que nos tramite nada con lo que se pueda jugar 
Parece ser que no hay nada raro, en las conexiones que realiza, así que podemos estar tranquilos!
Seguridad en redes universitarias
Las redes de acceso público son un foco de ataque para alguien que esté un poco aburrido…
Si no están debidamente securizadas pueden sufrir robos de información de otros usuarios que estén en esa red. El artículo de hoy muestra que cosas se pueden encontrar simplemente jugando un poco con Cain y Abel.
Es lógico de pensar que en una red de universidad en la que se da acceso a muchos recursos, de diferentes departamentos, de diferentes cursos, además cada uno con su nivel de acceso etc..
Las diferentes redes deberían de estar correctamente separadas entre ellas, y cada una tener accesos diferentes y que los usuarios no se pudieran ver entre ellos, al menos los de las redes públicas, es decir, si de una red pública de acceso invitado que sólo tiene configurado el acceso a internet, que puede entrar cualquiera se tiene acceso a las diferentes subredes de la Universidad hay un problema.
Por ejemplo, se podría hacer un descubrimiento de los hosts de la red y realizar poisoning
Realizando el ataque de man in the middle se pueden capturar credenciales, obtener certificados de los sitios webs
Estos son los certificados detectados de los sitios webs que navegan los usuarios.
Además cuando realizas los ataques de man in the middle puedes capturar las contraseñas que se envían en claro cuando te autenticas en páginas webs
Las contraseñas trasmitidas en claro son capturadas por Cain y Abel, podemos obtener muchos datos interesantes
He ocultado la dirección de la Universidad que dispone de un moddle ya que es un riesgo para los usuarios y no estamos para conseguir cuentas de otros A este moodle se puede aceder tanto desde fuera como desde dento de la Universidad.
Y una de las cosas mas curiosas es que alguien de la Universidad estaba buscando un diccionario WPA, será que estaba buscando hacer algo contra algunas de las redes que habían por la Universidad?
En definitiva lo que mas navegan los usuarios son Facebook, el Marca y poco mas 
Como conclusión, recordad que las redes de acceso público no libran a un atacante de poder realizar ataques contra los usuarios legítimos de una red de una Universidad por ejemplo.
