Yoire.com - iKat - Interactive Kiosk Attack Tool
Yoire.com - Drawing of a spider
Yoire.com - Presentaciones (pdfs) LaCon 2008| Presentaciones (pdfs) LaCon 2008 | |
| //yoire/blogs/[@date='03 Nov, 2008' @author='Mandingo'] | |
 Subidas las presentaciones de pasada conferencia LaCon 2008 celebrada en Málaga, para que podáis visualizarlas cómodamente online.
- Reversing ARM Phone Firmwares, por Esteve Espuña
- Bypassing Vendor Restrictions in HTC Devices, por Pau Oliva Fora (pof)
- Bochs & Python, por Ero Carrera
- OSX Rootkits: The Next Level, por Alfredo Pesoli
- radare, por pancake
- LockPicking, por Miguel Tarascó Acuña (ppt, descarga directa)
- Rainbow Tables con Salt, por Sergio Lara
Más info:
http://esteve.tizos.net
http://pof.eslack.org/blog
http://dkbza.org
http://www.0xcafebabe.it
http://radare.nopcode.org
http://ww.lockpicking.es
http://www.cybex.es
http://48bits.com
http://www.hispasec.com
Espero que os resulte un material interesante, que lo es 
salu2!
|
Yoire.com - Solución Retos I64 por Daniel Kachakil
Yoire.com - Cazando al trol| Cazando al trol | |
| //yoire/blogs/[@date='01 Nov, 2008' @author='Mandingo'] | |
Extracto de la wikipedia
En la jerga de Internet, un troll (a veces trol) es un mensaje u otra forma de participación que busca intencionadamente molestar a los usuarios o lectores, creando controversia, provocar reacciones predecibles, especialmente por parte de usuarios novatos, con fines diversos, desde el simple divertimento hasta interrumpir o desviar los temas de las discusiones, o bien provocar flamewars, enfadando a sus participantes y enfrentándolos entre sí. El troll puede ser más o menos sofisticado, desde mensajes groseros, ofensivos o fuera de tema, a sutiles provocaciones o mentiras difíciles de detectar, con la intención en cualquier caso de confundir o provocar la reacción de los demás.
Ampliar esta información:
http://es.wikipedia.org/wiki/Troll_(Internet)
Cazando al trol
Un trol suele ser un habitual del lugar que, por motivos X o Y, oculta su identidad en algún momento, publicando algún mensaje "maloliente".
Estos troles se ocultan, por lo general, utilizando alguna cuenta anónima, o bien crean una nueva usando una dirección de correo falsa, para un solo uso.
Características de un mensaje propio de un trol:
- Ha sido enviado desde una cuenta anónima, falsa (en algunas ocasiones hackeada)
- Conoce, o parece que conoce tanto al autor, como a los lectores habituales, ya que aporta información "histórica", personal, o conectada de alguna manera a los proyectos o gente del lugar, difícil de conocer para un usuario no habitual u ocasional.
- El lenguaje (forma de hablar) no coincide con la de ningún usuario "conocido", intentando ocultar no solo su identidad, sino su forma habitual de escribir.
- Suele utilizar un excesivo uso de abreviaturas.
- Hace un uso excesivo de emoticones, o bien, utiliza emoticones no habituales en él.
- Altera la sintaxis y vocabulario con los que se expresaría normalmente.
- Añade faltas de ortografía, o utiliza lenguaje "infantil", etc.
Como vemos, un trol no solamente oculta su identidad, sino que intenta ocultar además su forma común de hablar hacia los demás...
Existen trols más avezados que, a parte de tomar estas precauciones, enmascaran su dirección IP para evitar ser detectados. De esta forma, cuando el administrador haga un "whois" a la dirección del trol, verá que proviene de algun pais de rusia, eeuu, asia, etc. Este caso es típico al utilizar programas como "tor", los cuales enrutan de forma encriptada el tráfico TCP de las aplicaciones que deseemos, como por ejemplo nuestro navegador. Este trafico se redirige hacia otros nodos activos de la red, siendo el último equipo el que deja la dirección IP en el servidor.
En ocasiones daremos con direcciones IPs nacionales, las cuales nunca han dejado registro en el servidor. Suelen ser IPs que el trol aún no ha "quemado", al menos en ese sitio.. un cyber o una wifi perdida podría ser interesante para que el trol comenzase a trabajar.
Analizando los registros/logs del servidor
Un analisis de los logs del servidor nos dará importante información sobre el trol, que con suerte podrá llevarnos a él rápidamente, o bien acercarnos bastante.
A partir de los logs podemos obtener información sobre algunas cabeceras que se añaden a las peticiones como son:
- El navegador que utilizó
- El sistema operativo
- La página de referencia
- Etcétera
Además de esto, podremos obtener la dirección IP usada (real o falsa), y una traza de la actividad, la cual deberemos acotar por fechas y horas.
En el caso de que el trol haya sido descuidado y no haya falsificado su dirección IP, la detección es directa, o más bien, muy altamente probable. Usaremos la dirección IP del trol para filtrar los logs, obteniendo de esta manera todas las acciones que realizó, sean éstas anónimas o no.
Resultaría extraño, o más bien poco probable, que en un corto periodo de tiempo se registrasen peticiones desde la misma IP pertenecientes a un usuario legítimo y a un trol que no fuesen la misma persona. En tal caso, podrían estar uno al lado del otro, o bien, estar detectando la dirección IP de un proxy. Un caso muy poco probable sobre todo si existe poca diferencia horaria entre mensajes legítimos y "troladas".
Si se da el caso de que el trol este usando una dirección IP falsa, podemos filtrar los registros por cabeceras.
Por ejemplo, si el navegador que utilizó el trol es "Firefox 3.0.0", solamente tenemos que filtrar por esta cadena los logs, de igual forma que hicimos antes con la IP, en un rango horario. Adicionalmente podemos añadir el sistema operativo, o bien, otra información que podamos tener para limitar los resultados.
Independientemente de que se haya utilizado "tor" o algún proxy para falsificar la IP, éstos no entienden (o no tienen por qué) de cabeceras HTTP, dejandolas pasar, o bien, añaden cabeceras nuevas.
Filtrar por esta información no es tan fiable como filtrar por IP, pero dentro de un rango horario, si no hay muchas peticiones, y el trol utiliza algun sistema operativo o navegador "cool", obtendremos una traza más o menos fiable de su actividad.
Una vez recopiladas las evidencias: logs, mensajes, capturas de pantalla, etc. y antes de alertar al trol, intentaremos contrastar esta información para darla más solidez.
Por ejemplo, si en el mensaje del trol aparecen alusiones a personas, podemos hablar con éstas para ver que posible relación tienen con el mensaje, ya sea a favor o en contra del trol.
Finalmente, y si estamos convencidos en un alto porcentaje de quién es el trol, presentárselas, que intente rebatirlas, y actuar en consecuencia.
Espero que mis pensamientos os hayan resultado al menos interesantes salu2!
|
|
Top Yoire
Comments
Para el que esté interesado, se han subidos todos los solucionarios de los Retos Hacking de Informatica64 publicados por Daniel Kachakil, de forma que podáis visualizarlos cómodamente online:
