Denegar tráfico con rutas nulas

No siempre es necesario establecer una regla de firewall para denegar tráfico, también podemos hacerlo desviándolo por una ruta nula (null or blackhole route)

Por lo general podríamos decir que una ruta nula será más eficiente en sistemas con muchas reglas de filtrado y una regla de filtrado será más eficiente en sistemas con muchas rutas.
 
Por ejemplo esto podría ser bastante interesante en sistemas donde existen numerosas reglas de iptables y queremos evitar un DoS de forma sencilla y rápida. 

Otro ejemplo idóneo para ver su funcionamiento sería bloquear la ip 192.168.0.195 que está intentando establecer continuamente una sesión ssh contra nuestra máquina. Si queremos denegar el tráfico desde esa ip con una ruta nula simplemente añadiremos con el comando ip:

 root@server:~# ip route add blackhole 192.168.0.195/32 
 

Para verificar si la ruta se ha añadido correctamente:

 root@server:~# ip route show
 default via 192.168.0.1 dev eth0 metric 100
 blackhole 192.168.0.195


A partir de ese momento nuestro sistema ya no enviará respuestas SYN/ACK a la ip especificada y cuando vuelva a intentar conectarse recibirá el siguiente error:

 baduser@attacker:~$ ssh 192.168.0.197
 ssh: connect to host 192.168.0.197 port 22: No route to host


Finalmente si queremos desbloquear la IP borraremos la ruta añadida:

 root@server:~# ip route del 192.168.0.195
 root@server:~# ip route show
 default via 192.168.0.1 dev eth0 metric 100

 
Fuentes:
- Mitigating DoS Attacks with a null (or Blackhole) Route on Linux
- Null route
- How do I Drop or block attackers IP with null routes?

Nuevo 0day en IE (CVE-2014-1776), el primero que Microsoft no parcheará para XP ¿o no?

No ha pasado ni un mes desde que terminó el fin de soporte de Windows XP y ya tenemos un nuevo 0-day que afecta a todas las versiones de Internet Explorer, desde la 6 a la 11, aunque tiene su principal objetivo en las tres últimas.

Microsoft reconoció ayer (Security Advisory 2963983) que el exploit está siendo utilizado y que podría afectar aproximadamente al 26% del mercado global. La explotación de esta vulnerabilidad en el navegador web permite a un atacante ejecutar código con los mismos permisos del usuario validado en la máquina de la víctima. El exploit es capaz eludir ASLR de Windows y las protecciones DEP en el sistema de destino mediante la explotación del Adobe plugin de Flash.

Microsoft está trabajando en un parche de seguridad para esta vulnerabilidad. Sin embargo, todavía se puede migrar la amenaza siguiendo métodos que se indican a continuación:

- Si todavía no lo tienes, instala Mitigación Enhanced Experience Toolkit (EMET 4.1)
- Cambia la configuración de la zona de seguridad de Internet para bloquear los controles ActiveX y Active Scripting:
    Herramientas > Opciones de Internet > Seguridad > Internet > Nivel personalizado > En Configuración Scripting > Desactivar Active Scripting
- En Configuración Nivel personalizado de la intranet local> Desactivar Active Scripting   
- Si usas Internet Explorer 10 o superior, habilita el modo mejorado de protección (Enhanced Protected Mode)
- El exploit no funcionará sin Adobe Flash, así que se recomienda desactivar el plugin Adobe Flash dentro de IE.
- Des-registrar la librería VGX.dll responsable de renderizar el código VML (Vector Markup Language)
    regsvr32 -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
 

Eso sí, si usas Windows XP cambia de sistema operativo o, al menos, de navegador...

Actualización: Microsoft have made the decision to issue a security update for Windows XP users.  

Fuentes:
- New Zero-Day Vulnerability Affects all Versions of Internet Explorer Browser

Tesis Doctoral: La enseñanza universitaria en seguridad TIC como elemento dinamizador de la cultura y la aportación de confianza en la sociedad de la información en España

Pedro Candel, cofundador de Navaja Negra, comentaba en una entrevista en Estación Informática que el último "libro" que acababa de leer es la Tesis Doctoral de Jorge Ramió, donde hace un repaso de los últimos 25 años en la enseñanza y la difusión de la seguridad de la información en España.

No voy a extenderme mucho en hablar de Jorge Ramió (a la izquierda en la imagen) porque tampoco voy a descubrirlo a estas alturas: basta con que hagáis una búsqueda en la web -os suena Criptored o Intypedia, ¿verdad?-

Se puede decir que el el profesor de universidad que siempre quise tener (si hubiese ido a la universidad) y que cumple el tópico de que él ya investigaba e impartía docencia en España y Latinoamérica cuando muchos aún cambiábamos cromos en el patio del recreo...

El caso es que tenemos el honor de aparecer referenciados en su tesis y por esa razón recibimos un correo del propio Jorge animándonos a leerla: "Se trata de un intento de libro blanco sobre la formación y difusión de la seguridad en España en los últimos 25 años. Se profundiza en la oferta de grado y posgrado de nuestras universidades, presentando los cambios acaecidos desde el primer informe sobre perfiles de asignaturas escrito en 1999 por el mismo autor y Dña. Pino Caballero Gil. Se analiza la situación de la enseñanza universitaria de la seguridad mediante un mapa completo de asignaturas de grado y títulos de posgrado a través de Google Maps actualizado al año 2013, lo que permite aventurar el rumbo que podría seguir esta formación en los años venideros".

La versión pública y actualizada la ha subido a Internet este miércoles 23 de abril y, bueno, desde Hackplayers os animamos también a leerla y compartir vuestras opiniones:

Web de descarga: http://www.criptored.upm.es/guiateoria/gt_m001j1.htm

Blackhole DNS servers: los agujeros negros de Internet

Una tarde cualquiera, los sistemas IPS de los firewalls detectaron varias ráfagas o floods de paquetes UDP desde dos IPs: 192.175.48.6 y 192.175.48.42. Sus nombres DNS en Internet respondían a blackhole-1.iana.org y blackhole-2.iana.org respectivamente...

Comprobar que su dominio pertenece a la entidad que ordena y asigna las IPs públicas en todo el mundo (IANA = Internet Assigned Numbers Authority) resultó ser bastante tranquilizador pero... ¿queréis saber que son exactamente estos servidores y por qué el firewall estaba detectando este tráfico?

Empecemos un poco desde el principio. Todos sabemos que en IPv4 y según la santísima RFC 1918 se reservan varios rangos de direcciones IP para su uso en redes privadas, estos son: 10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16 y 192.168.0.0/16. Evidentemente intentar resolver el nombre de una IP privada en Internet no tiene ningún sentido, pero los humanos somos unos gañanes y... sí... generamos millones de consultas DNS inversas diarias hacia Internet tratando de resolver nombres de IPs privadas. Esto suele ser por errores de NAT o porque, o bien no utilizamos un DNS propio o el de algún proveedor (pa qué) y preguntamos directamente a los root servers, o bien si utilizamos nuestro DNS propio pero no hemos incluido los direccionamientos privados en las zonas DNS correspondientes.

8 servicios proxy gratuitos para evitar restricciones y mantener el anonimato y la privacidad

Hace tiempo hablábamos de algunos servicios VPN gratuitos que nos permitían evadir ciertas restricciones de navegación web y mantener la privacidad y el anonimato. Sin embargo, otra alternativa que no podemos obviar es el uso de proxies web, algo más inseguro pero mucho más rápido, primero porque el proxy es un intermediario que sólo enmascara y enruta tráfico (sin dedicar recursos al cifrado) y segundo y sobretodo porque podemos usarlos sin necesidad de instalar nada, simplemente mediante el navegador web. 

En el blog de EFYTimes podemos encontrar una lista con ocho de los mejores servicios proxy gratuitos:

1. Proxy Hidester
Es un Web Proxy Gratuito y 100% anónimo con servidor en Europa y EE.UU. Y no contiene ninguna publicidad en su sitio.


2. Proxy.org
Proxy.org es la guía pragmática del usuario para mantener la privacidad en línea y la navegación web anónima.
 

3. Proxify
Proxify es un proxy web que modifica cada página web que visites para que todos sus recursos (como enlaces, imágenes y formularios) apunten a Proxify.
 

4. XRoxy.com
Ofrece acceso gratuito a una base de datos de proxies abiertos que se actualiza con frecuencia a través de una interfaz de usuario flexible que permite ordenar la lista de proxies por tipo, nivel de anonimato, número de puerto, latencia de la conexión, etc.

Google Dork para encontrar Juniper SSL VPNs vulnerables a #HeartBleed

El corazón de Internet sigue sangrando... muestra de ello es un texto en pastebin de Surivaton en el que se muestra un Google Dork para buscar VPNs SSL de Juniper y luego comprobar si son vulnerables a Heartbleed. 

Descubrirás que hasta grandes compañías siguen siendo vulnerables pero ten cuidado y no te pongas a volcar usuarios y contraseñas como un loco, no te vaya a pasar lo mismo que a cierto adolescente canadiense que fue arrestado por explotar Heartbleed...

Usage:
Search google with: inurl:"/dana-na/auth/
Check each site with heartbleed openssl exploit.
Dump the vulnerable sites for a few hours.
Search through the files for USER and PASS.
The username and password should be stored in plain text.
Go to there login page: site.com/dana-na/auth/
Login with details

Contact with vulnerable site's administrator for a responsible disclosure

Juniper aviso de seguridad: 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)

Surivaton's Pastebin: http://pastebin.com/u/surivaton

No siempre parcheo backdoors... pero cuando lo hago, añado otro (SerComm TCP/32764)

A principios de año hablábamos de un backdoor que el fabricante SerComm introdujo en numerosos routers de Cisco, Linksys, NetGear y Diamond y mediante el cual, a través del puerto TCP/32764 y sin necesidad de autenticación, se podía obtener un shell remoto con privilegios de root.

Aunque se han publicado actualizaciones que "solucionan" el problema del backdoor, Eloi Vanderbeken de Synacktiv ha analizado estos nuevos firmwares y demuestra que:

- un binario ft_tool abre un socket raw a la espera de un paquete con ethertype = 0x8888 y payload == md5(''DGN1000'')
- si llega el paquete de tipo == 0x201 se ejecuta system(''scfgmgr -f &''), es decir, se lanza scfgmgr, el binario del backdoor con la opción -f (escucha TCP)...

Por lo que sigue siendo posible reactivar el backdoor si estás en la LAN o eres el proveedor de Internet (estás a un salto del router).

En conclusión el backdoor era INTENCIONADO y se afanan en mantenerlo...

Presentación: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
PoC: http://synacktiv.com/ressources/ethercomm.c

¿TrueCrypt es entonces seguro o no? Liberado el primer informe de #IsTrueCryptAuditedYet

Si os acordáis hace unos meses os hablamos de un proyecto (#IsTrueCryptAuditedYet) que buscaba financiación colectiva para auditar el código de Truecrypt y verificar que no existe ningún backdoor o código malintencionado que pudiera comprometer la seguridad de los datos de los usuarios.

El 21 de enero de 2014 se anunció que iSec Research Lab ayudaría a revisar algunas partes de la versión 7.1a del popular software de cifrado. Esto incluía la revisión del bootloader y del driver de kernel de Windows en busca de posibles backdoors del sistema y otros fallos de seguridad.

Básicamente llevaron a cabo una revisión del código disponible públicamente (http://www.truecrypt.org/downloads2) e hicieron algo de fuzzing en diversos interfaces.

El 14 de abril se liberó el informe cuyos resultados muestran un total de 11 vulnerabilidades (4 medias, 4 bajas y 3 informativas):

1. Weak Volume Header key derivation algorithm
2. Sensitive information might be paged out from kernel stacks
3. Multiple issues in the bootloader decompressor
4. Windows kernel driver uses memset() to clear sensitive data
5. TC_IOCTL_GET_SYSTEM_DRIVE_DUMP_CONFIG kernel pointer disclosure
6. IOCTL_DISK_VERIFY integer overflow
7. TC_IOCTL_OPEN_TEST multiple issues
8. MainThreadProc() integer overflow
9. MountVolume() device check bypass
10. GetWipePassCount() / WipeBuffer() can cause BSOD
11. EncryptDataUnits() lacks error handling

Eso sí, iSEC no encontró evidencia de backdoors o código malicioso intencionado en ninguna parte. Las vulnerabilidades eran debidas a que no se siguieron buenas prácticas de programación segura (falta de comentarios, funciones obsoletas, tipos de variable inconsistentes, etc) y algunas debilidades en las comprobaciones de integridad de cabeceras de volumen (Volume Header integrity check).

Ahora a esperar a la II fase de criptoanálisis...

SANS ahora en España de la mano de One eSecurity

SANS Institute es una organización considerada líder mundial en formación y certificación en Seguridad de la Información. Ofrece una amplia gama de cursos diseñados especialmente para que los alumnos acaben dominando, a nivel teórico y práctico, la metodología y herramientas necesarias para la defensa de los sistemas y redes contra las amenazas más peligrosas.

One eSecurity, a través de su relación estratégica con SANS Institute, acerca esta formación de excelencia y se convierte en el Socio en exclusividad para la enseñanza de los cursos de SANS en España, ofreciendo a nivel nacional formación avanzada en el ámbito de la seguridad de la información. En España, con material en inglés pero impartido en español.

Calendario de cursos para 2014

 Curso   Localidad   Fecha    
 FOR408: Computer Forensic Investigations - Windows In-Depth
 Madrid   26-31 Mayo   
  
 SEC560: Network Penetration Testing and Ethical Hacking
 Madrid   2-7 Junio   
  
 SEC401: Security Essentials Bootcamp Style  Madrid   23-28 Junio    
 SEC575: Mobile Device Security and Ethical Hacking
 Madrid   22-27 Septiembre   
  
 SEC504: Hacker Techniques, Exploits & Incident Handling
 Madrid   20-25 Octubre   
  
 SEC503: Intrusion Detection In-Depth  Madrid   10-15 Noviembre    

El Modo Dios en Windows 7 (God Mode)

Desde principios de 2010 se conoce (y todavía sigue vigente) una característica oculta en Windows 7 denominada "God Mode" que permite a los usuarios acceder a todos los paneles de control del sistema operativo dentro de una sola carpeta. De hecho incluye más de 270 elementos configurables, muchísimos más de los que encontramos directamente dentro del Panel de Control estándar.
Lo más sorprendente es que basta con crear un nuevo directorio y renombrarlo con la siguiente cadena de texto al final:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Pruébalo y verás que serás capaz de manejar todo desde un solo lugar, desde cambiar la apariencia del puntero del ratón hasta hacer una nueva partición del disco duro. Se trata de un acceso directo para desarrolladores oculto y no documentado... y existen unos cuantos accesos directos más:

    Default Location – {00C6D95F-329C-409a-81D7-C46C66EA7F33}
    Biometrics – {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
    Power Settings – {025A5937-A6BE-4686-A844-36FE4BEC8B6D}
    Notification Area – {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
    Manage Credentials – {1206F5F1-0569-412C-8FEC-3204630DFB70}
    Get New Programs – {15eae92e-f17a-4431-9f28-805e482dafd4}
    Default Programs – {17cd9488-1228-4b2f-88ce-4298e93e0966}
    NET Framework Assemblies – {1D2680C9-0E2A-469d-B787-065558BC7D43}
    Wireless Networks – {1FA9085F-25A2-489B-85D4-86326EEDCD87}
    Network Neighborhood – {208D2C60-3AEA-1069-A2D7-08002B30309D}
    My Computer – {20D04FE0-3AEA-1069-A2D8-08002B30309D}
    Printers – {2227A280-3AEA-1069-A2DE-08002B30309D
    RemoteApp and Desktop – {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
    Windows Firewall – {4026492F-2F69-46B8-B9BF-5654FC07E423}
    Performance – {78F3955E-3B90-4184-BD14-5397C15F1EFC}
    Sync conflicts: {289978AC-A101-4341-A817-21EBA7FD046D}
    Sync setup folder: {2E9E59C0-B437-4981-A647-9C34B9B90891}
    Windows Update: {36eef7db-88ad-4e81-ad49-0e313f0c35f8}
    Bluetooth Devices: {28803F59-3A75-4058-995F-4EE5503B023C}


Referencia: http://support.microsoft.com/kb/979240/es

Hackean Google mediante una vulnerabilidad XXE

Estáis equivocados si pensáis que los sistemas de Google no tienen vulnerabilidades.

Los investigadores de seguridad y co-fundadores de Detectify descubrieron una vulnerabilidad crítica en Google que les permitió acceder a los servidores internos.



La vulnerabilidad estaba en la galería de botones de Google Toolbar, la página que permite a los usuarios personalizar su barra de herramientass. También permite a los usuarios crear sus propios botones subiendo archivos XML que contienen diversos metadatos.

Los investigadores identificaron que esta función era vulnerable a una vulnerabilidad XXE (XML External Entity). Mediante el envío de un archivo XML especialmente diseñado, los investigadores son capaces de obtener acceso a los archivos internos almacenados en un servidor de producción de Google... y se las arreglaron para leer los archivos 'etc/passwd' y 'etc/hosts' del servidor.

Al explotar esta vulnerabilidad, los investigadores podrían haber accedido a los archivos en el servidor de Google y también podrían haber explotado SSRF para acceder a sistemas internos.

Google ha premiado a los investigadores con $10,000 por encontrar y reportar esta vulnerabilidad.


Fuente: How researchers hack Google using XXE vulnerability !

Kevin Mitnick en Mundo Hacker Day 2014 (Madrid, 29 de abril)

Como ya sabéis, Mundo Hacker es una serie presentada por Antonio Ramos y Mónica Valle en el que semanalmente se debate sobre los distintos peligros en la red y cómo combatirlos. 

Ahora han organizado el evento MUNDO HACKER DAY 2014 que tendrá lugar el próximo 29 de abril en el Teatro Goya de Madrid y en el que destaca especialmente la participación de Kevin Mitnick (Cóndor). 

Así que ya sabes, si estas por Madrid por esas fechas tienes la oportunidad de ver en vivo a uno de los hackers más famosos de la historia...

http://www.mundohackerday.com

PoCs para explotar masivamente la vulnerabilidad Heartbleed (OpenSSL CVE-2014-0160)

Un fallo en la implementación de Heartbeat, una funcionalidad añadida a TLS/DTLS para refrescar una sesión segura sin necesidad de renegociar, permite leer partes de la memoria del proceso hasta 64kB. ¿Qué significa ésto? que cualquier persona en cualquier lugar del mundo y sin dejar casi huella puede obtener las sesiones de cualquier usuario autenticado en un servidor que corra OpenSSL 1.0.1 o posterior (hasta 1.0.1g), es decir, millones de servidores a los que accedemos mediante HTTPS son vulnerables.

Por eso la vulnerabilidad CVE-2014-0160 bautizada como Heartbleed (corazón sangrante) es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha.

Para solucionarlo las opciones son deshabilitar el soporte de Heartbeat (-DOPENSSL_NO_HEARTBEATS), actualizar OpenSSL y regenerar claves. ¿Cuándo? Pues debería ser inmediatamente porque ya están apareciendo algunos PoC que facilitan su explotación de forma masiva...

Comprueba localmente la complejidad de tus contraseñas... o si no hay más remedio ofuscala un poco antes (mi arma)

El otro día un compi de la oficina me comentó que un auditor externo le pidió que introdujera su contraseña en un sitio web para ver si la complejidad era la adecuada. Evidentemente no voy a decir el nombre de la empresa, ni la ISO de seguridad (fina ironía) para la que se realizaba la auditoría, ni el sitio que utilizó para chequear el password, pero lo que no me cansaré de decir es que introducir las credenciales en un sitio web de Internet para comprobar si una cuenta ha sido comprometida o para ver la complejidad de la contraseña es de todo... menos seguro. 
 
Sí, ya sé que algunas páginas son confiables y sólo piden la contraseña y ningún dato adicional, pero créanme si os digo que es posible deducir el usuario a través de otros métodos, envenenar la caché DNS o falsificar ARP, hacer un MiTM y... bueno ya sabéis.
Además ¿a qué no dirías tu PIN de la tarjeta del banco a un desconocido aunque sea con un pasamontañas puesto en la cabeza? Claro que no, podría haberte reconocido por la ropa o porque te ha visto antes o (peor) obligarte a identificarte...

Para estos casos siempre lo mejor es el sentido común: si vas a tener que introducir tu contraseña en un sistema de terceros modifícala (ofúscala) antes. 

Passivedns: investiga un incidente relacionado con un ataque DNS

Los servidores de nombres de dominio (DNS) pueden contener varios tipos de vulnerabilidades que permiten a un usuario malintencionado redirigir a los visitantes de un sitio web a otro de terceros. Los ataques más comunes suelen ser envenenamiento de caché o ARP spoofing y suelen ser muy efectivos en caso de que el servidor DNS no esté parcheado o fortificado.

Passivedns es una herramienta de código abierto que se puede utilizar para investigar un incidente relacionado con un ataque DNS. La herramienta permite que el analista de seguridad pueda recoger el tráfico DNS pasivamente y leerlo en forma de archivo pcap o archivos de registro. Esto ayuda a identificar la respuesta del DNS y averiguar dónde está la redirección o el problema con el servidor.

Passivedns se puede utilizar como un sniffer de paquetes estándar de DNS para monitorizar el tráfico de red y para buscar en el historial y mostrar la primera vez que se ha consultado una URL y la IP contestada por el DNS.



Los logs se van a almacenar en passivedns.log. Esto será útil para el analista de seguridad y puede ser utilizado para crear el informe relacionado con el incidente. Puedes descargar la herramienta en el siguiente enlace: https://github.com/gamelinux/passivedns

Fuente: passivedns network sniffer to log DNS query

apk_binder_script: herramienta para "bindear" apks

apk_binder_script es una herramienta que nos permite unificar dos apks en uno o agregar un servicio en código smali al apk objetivo. Para ello copia código smali, activos y manifiesto e implementa un receiver que actúa de loader cargando la clase que se ha especificado como parámetro (un servicio). 

La aplicación original se ejecuta normalmente y, en paralelo, el servicio es invocado por el loader en base a dos eventos:

    android.intent.action.BOOT_COMPLETED
    android.intent.action.ACTION_POWER_CONNECTED

Se pueden agregar acciones y permisos según se desee. En resumen, nos permite "extender" las funcionalidades de un apk, implementar puertas "administrativas", etc.

apk_binder_script está desarrollado en python y está probado en Windows y Linux. Utiliza apktool (incluído en el paquete) y por lo tanto también Java.

Descubren un troyano que roba dinero de carteras QIWI

Kaspersky ha descubierto un nuevo troyano llamado "Trojan-SMS.AndroidOS.Waller.a" que es capaz de enviar SMS premium y robar el dinero de un monedero electrónico QIWI. Después de ejecutarse, este malware conecta con su servidor C&C y espera nuevas instrucciones. A continuación se muestra una imagen de la petición al servidor C&C.
 


Una cartera QIWI es un sistema de monedero electrónico que comparte marca con Visa. El sistema de pago se puso en marcha en 2007 y permite a sus clientes realizar pagos en línea en servicios públicos, facturas de móviles, Internet y compras en línea. QIWI ha extendido su mercado en siete países, entre ellos Rumanía, Brasil, Kazajstán, Bielorrusia, Moldavia, Jordania y los EE.UU. QIWI también cuenta con franquicias en otros 15 países.

¿Cómo funciona el malware?

Los cibercriminales operan con su servidor de comando y control con playerhome.info como nombre de dominio que está registrado por una empresa francesa con un número de teléfono francés. Sin embargo, los detalles de la cuenta de correo electrónico muestran la ubicación de Yandex, un motor de búsqueda ruso. Para alojar un dominio, los ciberdelincuentes aprovecharon la ayuda del servicio de nube CloudFlare.

Cómo fingir ser un hacker

1 - Entra es este sitio: http://hackertyper.net/
2 - Pulsa F11 para poner el navegador en pantalla completa.
3 - Pon cara de concentrado y escribe como un loco.

 

Malware en un ratón (mouse)

Ya hemos visto keyloggers de hardware pero (yo al menos) en un ratón óptico USB nunca... Eso es lo que precisamente Daniel Bachfeld nos muestra en la revista alemana C't, en el que básicamente han añadido un sensor de Arduino entre la electrónica del ratón y el interfaz USB del ordenador para capturar todas las coordenadas X,Y:


Los únicos datos de entrada que un ratón recibe son pulsaciones de botones, el desplazamiento de la rueda (si tiene) y la vista de una cámara diminuta incrustada en la base. Arduino obtiene una mapa de grises mediante los píxeles obtenidos por la cámara de la que obtiene más de 1.000 imágenes por segundo (foto sensor ADNS-2610 Avago), luego mediante la comparación de las imágenes y algoritmos especiales (flujo óptico) del sensor se determina la dirección del movimiento y la velocidad, y es capaz incluso de ejecutar un comando si procesa cierto patrón... como descargar un fichero como lo haría un troyano, ¿impresionante, verdad?

Fuentes:
- Malware In A Mouse
- Im Auge der Maus

Navaja Negra IV: Abiertos los plazos para el CFP/CFT


#nn4ed: Las conferencias de seguridad Informáticas (Navaja Negra) que este año se celebraran los días 2, 3 y 4 de octubre en Albacete vuelven y Cargadas de novedades. La principal novedad es que vamos a contar con 15 ponencias y 6 talleres gratuitos de la mano de los mejores expertos nacionales de Seguridad Informática y de los que vais a poder realizar hasta 4 diferentes como máximo. Pero esto no es todo... Vais a ser vosotros los que tengáis la oportunidad de elegir de entre todos los CFPs/CFTs enviados aquellos que más os gustan y queréis ver o asistir. Sin trampa, ni cartón...

Vamos a abrir una lista de preinscripción, donde podréis apuntaros y que os permitirá votar públicamente hasta 9 charlas y 4 talleres. El resto, los elegirá el comité designado por la Organización de Navaja Negra. Por tanto, ya sabéis, tenéis que estar muy atentos a la preinscripción para poder votar y que sea un Congreso realmente por y para todos vosotr@s.