hakin9
En breve
06
Resaltamos las noticias más importantes del mundo de la seguridad de sistemas informáticos.
Contenido de CD
hakin9.live
10
Comentamos el contenido y el funcionamiento de nuestra distribución hakin9.live.
Herramientas
Virus Sort 2000
12
The BlooD
Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al día su colección y poder intercambiar virus con otros colec-cionistas. VS2000 nos permite crear una base de datos de nuestros virus, organizar nuestra colección, ver estadísticas, comparar logs, permite eliminar posibles fakes de nuestra colección, archivos de 0 bites, entre otras muchas cosas.
Ataque
Registro de Windows
16
Víctor López Juárez
En este artículo aprenderás qué es el Registro de Win-dows y su editor, cómo implementar seguridad sobre el Registro y cómo atacar el Editor del Registro.
Bluetooth – La Amenaza Azul
24
Ezequiel Martín Sallis
En este artículo aprenderás qué es Bluetooth, cómo funciona, cuáles son los ataques mas comunes, etc.
Defensa
Web Services Security
30
José Carlos Cortizo Pérez, Diego Expósito, Diego Peces En este artículo leerás cómo protegerse de los pro-blemas básicos de seguridad relacionados con los servicios web y lo que deberías tener en cuenta a la hora de desarrollar tu propio servicio.
hakin9 de abril...
En abril, como cada mes desde enero del año 2007, hakin9 os trae una serie de artículos nuevos, interesantes y prácti-cos, que os ayudarán en vuestras actividades profesionales y que os dejarán conocer mejor algunas parcelas en el mundo de la seguridad informática hasta este momento desconocidas...
Uno de los artículos que seguro vale la pena leer es: Registro de Windows, que os enseñará cómo implementar seguridad sobre el registro de Windows y también como prevenir unos posibles ataques al Editor de Registro de Win-dows. El autor de texto es un profesional certificado por Intel Inside y también miembro de la comunidad de codigo seguro de Microsoft – quién mejor para contarnos sobre este tema. Seguro os resultará muy útil e interesante.
Otro artículo que vale la pena conocer es Bluetooth – La Amenza Azul . Los problemas que puede traernos el uso de Bluetooth son cada vez más populares, por lo tanto vale la pena conocerlo mas a fondo. Y para los que ya conocen el tema siempre es conveniente repetir la información.
En nuestra sección de herramientas encontrarán la des-cripción de Virus Sort 2000. Esta herramienta os ayudará a formar vuestra propia base de virus para coleccionarlos e intercambiar con otros aficionados al tema. Al ser Sha-reware todos podéis probarla.
En el CD de hakin9 encontraréis nuestro habitual hakin9live – cada vez mas actual y más útil. Tambien encon-traréis aplicaciones profesionales – totalmente gratis solo para los Lectores de hakin9.
Aprovechando esta oportunidad quiero invitaros otra vez más a participar de forma activa en la revista. Los articulos en la mayoria de las revistas están preparados por la redac-ción sin consultar los temas con los Lectores. En hakin9 puedes ser tú quien decida sobre el contenido final de la revista. Haciéndote nuestro Betatester recibirás articulos para leerlos mucho antes que los demas Lectores. Y serás tú quién nos diga si vale la pena publicarlos. Esta ayuda es voluntaria – participas cuando tienes tiempo y ganas.
Me gustaría también una vez más invitaros a compartir con los lectores de hakin9 vuestras experiencias con herra-mientas de seguridad informática y participar en nuestros tests.
También es una buena oportunidad para recordaros la posiblidad de ser miembro de nuestro Club .PRO. Si tienes una empresa relacionada con seguridad IT este Club es para tí. Por un coste de suscripcion anual tienes la publicidad de tu empresa en forma de tarjeta de visita, en los 12 números correspondientes a la suscripción anual. Esto te ayudará a dar a conocer a tu empresa con el coste muy bajo.
Si tenéis alguna duda, opinión o comenterio acerca de la revista y su calidad no dudéis en poneros en contacto con nostros. Todas las opiniones son muy valiosas para nuestra redacción.
Espero que disfrutéis de la compañía de hakin9, ¡buena lectura!
4
www.hakin9.orghakin9
5
www.hakin9.org hakin9 Nr 2/2006Administrando la
Inseguridad Informática
36
Jeimy J. CanoEn este artículo aprenderás diseñar y construir sis-temas menos inseguros, animar un apostura vigilante y proactiva en la gestión de la seguridad informática.
Programas malignos
44
Carlos Javier Fornes Cabrera
En este artículo aprenderás qué es un Virus, Gusano y Caballo de Troya.
Ofuscación de Código en Java
56
Javier Alcubierre
En este artículo leerás sobre proteger tu código de miradas indiscretas, los puntos fuertes y débiles de los distintos métodos de ofuscación y sobre imple-mentar tus propios métodos de ofuscación.
Para principiantes
Protege gratis tu Windows
64
ANELKAOS
Existen antivirus gratuitos que no tienen mucho que envidiar a los comerciales, Un soft de protección desactualizado puede ser el medio para vulnerar tu sistema
Test de consumidores
72
Presentamos las opiniones de nuestros Lectores sobre los programas antivirus.
Entrevista
76
Anna Marcinkiewicz
Hablamos con Fernando Bahamonde, Presidente de ISSA-España, nos cuenta sobre hacking y ajedrez, sobre el mito de ser hacker que no pierde su actuali-dad y muchas cosas más...
Próximo número
82
Avance de los artículos que se encontrarán en la siguiente edición de nuestra revista.
está editado por Software-Wydawnictwo Sp. z o.o. Dirección: Software-Wydawnictwo Sp. z o.o. ul. Bokserska 1, 02-682 Varsovia, Polonia Tfno: +48 22 887 10 10, Fax: +48 22 887 10 11
www.hakin9.org/es
Producción: Marta Kurpiewska [email protected] Distribución: Monika Godlewska [email protected]
Redactor jefe: Anna Marcinkiewicz [email protected] Redactora adjunta: Katarzyna Świnarska
Preparación del CD: Rafał Kwaśny
Composición: Artur Wieczorek [email protected] Traducción: Osiris Pimentel Cobas, Mariusz Muszak, Raúl Nanclares, Paulina Stosik
Corrección: Jesús Alvárez Rodrígez, Jorge Barrio Alfonso
Betatesters: Juan Pérez Moya, Jose M. García Alias, Luis Peralta Nieto, Jose Luis Herrera, Paco Galán
Publicidad: [email protected] Suscripción: [email protected] Diseño portada: Agnieszka Marchocka
Las personas interesadas en cooperación rogamos se contacten: [email protected]
Si estás interesado en comprar la licencia para editar nuestras revistas contáctanos:
Monika Godlewska
e-mail: [email protected] tel.: +48 22 887 12 66
fax: +48 22 887 10 11
Imprenta: 101 Studio, Firma Tęgi Distribuye: coedis, s.l. Avd. Barcelona, 225
08750 Molins de Rei (Barcelona), España
La Redacción se ha esforzado para que el material publicado en la revista y en el CD que la acompaña funcione correctamente. Sin embargo, no se responsabiliza de los posibles problemas que puedan surgir.
Todas las marcas comerciales mencionadas en la revista son propiedad de las empresas correspondientes y han sido usadas únicamente con fines informativos.
¡Advertencia!
Queda prohibida la reproducción total o parcial de esta publicación periódica, por cualquier medio o procedimiento, sin para ello contar con la autorización previa, expresa y por escrito del editor.
La Redacción usa el sistema de composición automática
Los diagramas han sido elaborados con el programa de la empresa
El CD incluido en la revista ha sido comprobado con el programa AntiVirenKit, producto de la empresa G Data Software Sp. z o.o.
La revista hakin9 es editada en 7 idiomas:
ES PL CZ EN IT FR DE
Advertencia
¡Las técnicas presentadas en los artículos se pueden usar SÓLO para realizar los tests de sus propias redes de ordenadores! La Redacción no responde del uso inadecuado de las técnicas descritas. ¡El uso de las técnicas presentadas puede provocar la pérdida de datos!
Breves
News
Videos y fotos de la
ejecución de Saddam
que contienen virus
informáticos y spyware
Los crackers han evolucionado en sus métodos malévolos y están atacando con campañas masivas de spam con videos y fotos de la ejecución de Saddam Hussein que esconden en su interior virus infor-máticos y spyware.
Un virus ha sido identificado como Banload y contiene el archivo
Saddam morto.scr, el otro sería el Delf.acc que contiene al archivo saddam.exe. Estos virus tienen el
ob-jetivo de lucrarse mediante el robo de identidades y claves bancarias para después limpiar las cuentas de sus propietarios.
40 años de cárcel
por... un Spyware
La profesora Julie Amero, de Windham, situado en el estado de Connecticut, estaba impartiendo su clase de inglés a los alumnos de 12 años, cuando de la pantalla de su ordenador salieron imágenes pornográficas. Estos hechos ocu-rrieron en el 2004, y ahora ha sido declarada culpable de riesgo de daños a menores por lo que podría ser condenada a cuarenta años de cárcel.
Las imágenes pop-ups que salie-ron en el ordenador de la profesora eran fruto de un Spyware instalado en el ordenador de la profesora. Las imágenes salían de varias páginas webs, como meetlovers.com y
fe-malesexual.com, entre otras. Para
la acusación tales imágenes solo salían por que la profesora fre-cuentaba esas páginas, mientras que la defensa argumentó, a través del informático W. Herbert Horner, el ordenador estaba infectado por culpa de una inocente web de peinados y no por visitar páginas pornos. Además el programa anti-virus del colegio estaba caducado, por lo que la profesora no pudo limpiar su ordenador.
Los abogados de la defensa, en primera instancia pidieron la anulación del juicio, alegando que el jurado comenzó a discutir el caso en un almuerzo en un bar, pero esta instancia fue rechazada. Ahora pretenden apelar la decisión para mostrar la inocencia de su cliente.
Descubren software malicioso para Skype
E
l descubrimiento de un Troyano que infecta Skype, la aplicación de telefonía VoIP, podría indicar que los ataques dirigidos están avan-zando junto con la creciente popula-ridad de la VoIP.Recientemente se descubrió un gusano que ataca a los usuarios de la popular aplicación de telefonía VoIP Skype en la región de Asia Pacífico, especialmente en Corea. De acuerdo con Websense, el gusano utiliza Skype Chat para descargar y eje-cutar un archivo llamado sp.exe. Al parecer, el archivo deposita un Tro-yano que roba contraseñas con un gusano integrado que utiliza NTKrnl Secure Suite, una compresión rara pero no desconocida.
La buena noticia es que aún no se ha reportado una amplia propa-gación, señaló Jesús Vega, Director General de Trend Micro en España y Portugal. Aunque eso no significa que los usuarios de Skype deban despreocuparse y entrar en los enla-ces que reciben mientras conversan. Ya que el software espía no parece explotar algún defecto de Skype, se requiere de la intervención del usuario para enviar el enlace a los contactos disponibles de un cliente infectado de Skype. Se le notifica al usuario infectado que un programa está tratando de tener acceso y que tiene que aceptarlo. Por lo tanto, los usuarios no deben permitir que pro-gramas sospechosos tengan acceso a Skype y deben evitar también entrar en los enlaces que provengan de fuentes inesperadas.
Actualmente, Trend Micro iden-tifica el componente que roba con-traseñas como TSPY_SKPE, que no es el primer código malicioso o software espía que utiliza Skype: en octubre pasado se detectó WORM_ SKYPERISE.A.
La diferencia es que este spyware ya emplea una rutina más maliciosa (robo de información), en compara-ción con el gusano reportado en octu-bre que sólo propagaba copias de sí mismo a otros usuarios, afirmó Vega.
A pesar del hecho de que la téc-nica de propagación de este gusano es común, obviamente VoIP se está convirtiendo en un buen campo de batalla que los autores de códigos maliciosos pueden aprovechar. Ade-más, la rutina para el robo de con-traseñas, la compresión polimórfica para evitar la detección, y un país de origen específico indican que es un ataque localizado/dirigido con fines de lucro.
Trend Micro ya detecta este spyware usando el archivo de patro-nes más recientes. De acuerdo con las instrucciones manuales para eli-minarlo, los usuarios afectados sim-plemente pueden eliminar el archivo detectado y quitar el registro que la entrada crea.
El spyware troyano está hos-pedado en un sitio Web malicioso. A través de la función de Chat se envía un enlace de dicho sitio a los contactos de Skype, urgiendo a los usuarios a entrar en él. De hecho, puede utilizar una forma de inge-niería social al hacerse pasar por un programa interesante. Al momento de desarrollar este boletín, el sitio ya no estaba disponible.
El análisis inicial de la muestra que recibió Trend Labs revela que este software espía es un keylogger típico; roba la secuencia de teclas del usuario y guarda los datos recopila-dos en un archivo de texto. Esta rutina puede dar a los usuarios maliciosos, incluidos hackers remotos, acceso no autorizado a la cuenta Skype de un usuario infectado, posiblemente cuentas bancarias en línea y más.
Probablemente veremos amena-zas adicionales para VoIP en el futuro. Después de todo, el Vishing (phis-hing sobre VoIP) ya está rondando por Internet. Y Wikipedia incluye una entrada (http://en.wikipedia.org/ wiki/VoIP_spam) para un problema aún no existente de spam vía VoIP, llamado SPIT (Spam over Internet Telephony). Esperemos amenazas para VoIP similares, si no es que más sofisticadas, en el futuro.
Breves
www.hakin9.org6
News
www.hakin9.org7
Internet Explorer 6: 284
días inseguro
Un experto en seguridad del
Was-hington Post, publicó un informe
para nada alentador para el nave-gador de Microsoft.
Según una investigación hecha por el prestigioso diario
Washing-ton Post, haber utilizado la versión
6 del popular navegador de Micro-soft, Internet Explorer, fue inseguro durante 284 días, más de un tercio del año.
El informe revela que, aún aque-llos usuarios que parchearon su equipo tan pronto como Microsoft publicó los parches también estu-vieron expuestos a cualquier clase de exploits.
Para agravar más la situación, hubo 98 días (el año pasado) en los cuales no hubo ningún tipo de parche disponible para fallas que habían sido detectadas y utilizadas por los hackers para robar datos personales.
En comparación, los usuarios del Mozilla Firefox solo estuvieron nueve días expuestos de manera crítica a la merced de cualquier ciber–delincuente que quisiera aprovecharse de ellos.
Si bien la versión 7 del Explorer promete más seguridad y menos fallas, su tardío lanzamiento (no-viembre del año pasado) no al-canzó para que el panorama con respecto a las vulnerabilidades no fuera tan sombrío.
Bug crítico en Adobe
Reader y Acrobat 7.0.8
Resulta que los programas de Adobe también pueden ser afec-tados. Un polaco Piotr Bania ha descubierto una vulnerabilidad ca-talogada como crítica en Adobe Reader y Acrobat. Este bug puede ser explotado por atacantes para hacerse con un control total del sistema afectado. El fallo se da por un error de corrupción de memoria cuando se procesan datos malfor-mados lo que lleva bajo determina-das circunstancias a la ejecución arbitraria de comandos por ejemplo abriendo un documento especial-mente manipulado. Afecta Adobe Reader 7.0.8 y anteriores, Acrobat Standard, Profesional, Elements y 3D versiones 7.0.8 y anteriores. La solución pasa por actualizar a las versiones 7.0.9 – 8.0.0.
Principales consejos
para estar protegido frente al phishing
E
l phishing se basa en mensajes de correo electrónico que con-ducen a sitios Web maliciosos dise-ñados para robar datos bancarios de usuarios – PandaLabs confirma que esta amenaza continuará siendo pro-tagonista durante este nuevo año.PandaLabs, el laboratorio anti-malware de Panda Software, con-firma que el robo de datos privados y confidenciales por Internet, phis-hing, es una de las principales ame-nazas de cara al nuevo año. La gran cantidad de transacciones económi-cas realizadas en las fechas navide-ñas provoca un aumento de fraudes online de este tipo. Por ello, Panda-Labs ofrece una cómoda guía de con-sejos para salvaguardar la integridad económica de los usuarios.
Lo primero a tener en cuenta es que su entidad bancaria nunca se va a poner en contacto con usted por medio del correo electrónico para pedirle ningún tipo de contraseña. Los mensajes de correo electrónico que reciba solicitándole datos o con un enlace que le lleve a una pági-na donde le sean pedidos, bórrelos directamente, ya que es muy probable que se traten de mensajes fraudulen-tos.
Asegúrese también de que la página Web que está visitando es realmente la de la entidad bancaria que desea. Hay que observar el
domi-nio de la página para comprobar que no hay ningún tipo de variación con el correspondiente al dominio real de la entidad. Además, cerciórese de que está realizando una conexión segura. Para ello, debe observar que se encuentra en pantalla el dibujo del candado cerrado que nos indica la seguridad de la conexión y que la URL comienza con las letras https. También, en caso de duda, se puede comprobar que la certificación de la Web sea válida, haciendo doble clic en el candado.
Otra forma de asegurar la co-nexión en el sitio Web real de la com-pañía es escribiendo directamente en el navegador la dirección de la en-tidad a la que deseamos acceder, no a través de hipervínculos que pue-dan estar dirigidos a sitios Web frau-dulentos que permitan el robo de datos.
Además, la revisión periódica del extracto de las cuentas bancarias sirve para cerciorarse de que no han existido movimientos irregulares de activos en su cuenta, que podrían haber sido provocados por un ataque de phishing. Si observa operaciones desconocidas e irregulares en su extracto, la mejor solución es contac-tar con la entidad bancaria con la que se han realizado las transacciones, de modo que se pueda detallar en qué han consistido las mismas.
La industria informática alcanza
acuerdo en la definición de Spyware
L
a Anti–Spyware Coalition, for-mada por Microsoft, Symantec, Computer Associates, AOL, Yahoo! y McAfee, publicó en su sitio Web el primer documento en el que se define conjuntamente el termino Spyware.En el documento se hace una clasificación de este tipo de códigos (que se instalan en el ordenador para espiar la actividad de los usua-rios) basado en el riesgo que supo-nen. Entre los códigos de alto riesgo
se encuentran todos aquellos que se expanden masivamente por correo electrónico, virus y worms (gusanos).
Códigos instalados sin autoriza-ción ni conocimiento de los usuarios, a través de un bug de seguridad, son también considerados de alto riesgo, así como aquellos que interceptan emails o modifican los niveles de seguridad del ordenador.
El documento ha levantado cierta polémica en el sector informático.
Breves
News
Un internauta condenado
a dos meses de prisión
y a una multa por descargar
películas
Un internauta francés que des-cargaba películas por el sistema de intercambio directo de ficheros (peer-to-peer) ha sido condenado a dos meses de cárcel y a una multa, según la sentencia dada a co-nocer por un tribunal de Nantes. No obstante, esta persona no ten-drá que ingresar en prisión.
El ordenador de este usuario había llegado a acumular alrededor de 400 películas, por las que tendrá que pagar ahora 10 euros por cada una a las asociaciones de edición de obras cinematográficas que se habían personado como parte civil en este proceso.
La sentencia tiene en cuenta que el internauta descargaba películas para su propio disfrute, sin interés lucrativo. Por este motivo se le han aplicado sanciones reducidas.
El Parlamento francés aprobó definitivamente una ley en junio de 2006 que regula las descargas de obras a través de Internet y con-templa en algunos supuestos pe-nas de cárcel y multas. Además, la ley francesa establece sanciones graduales que pueden llegar a los tres años de cárcel y fuertes mul-tas para el que comercialice pro-gramas destinados a fomentar la piratería.
Encuentran una
denega-ción de servicio en Snort
En los últimos días se ha encon-trado una vulnerabilidad en Snort 1.x y 2.x que puede ser aprove-chada por atacantes sobre todo para provocar una denegación de servicio en el detector de intrusos.
El problema se basa en que el algoritmo de reconocimiento de patrones en Snort puede ser abu-sado para que consuma todos los recursos y provocar que el ratio de detección baje hasta ser nulo a través de paquetes especialmen-te manipulados.
La vulnerabilidad se ha confir-mado en la versión 2.4.3 pero otras podrían verse afectadas. Para evitar este problema, se recomienda ac-tualizar a las últimas versiones, o sea, descargarlas desde la página Web
www.snort.org.
Telefónica pone a disposición de Pymes,
Negocios y Profesionales una herramienta
de software diseñada por ECIJA
T
elefónica de España continúa avanzando en su objetivo de facilitar la gestión de los negocios y las pequeñas y las medianas empre-sas y para ello lanza al mercado la Solución Ayuda LOPD. Esta solución on-line permite cumplir con las obli-gaciones impuestas por la normativa de protección de datos personales de una forma sencilla y económica.Para ello, ha trabajado con Ecija, firma de Abogados y Consultoría IT especializada en Protección de Datos y en la labor de apoyo y ges-tión a las empresas.
Solución Ayuda LOPD se basa en una aplicación web (en modo ASP) que analiza la importancia y el grado de confidencialidad de los datos personales que tratan las pymes, negocios y profesionales y ofrece las soluciones necesarias para el cum-plimiento tanto de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) como del Real Decreto 994/1999, Reglamento de Medidas de Seguridad (RMS).
Además, el servicio proporciona los formularios oficiales de inscripción de ficheros ante la Agencia Española de Protección de Datos, permite generar y mantener siempre actuali-zado, y de forma dinámica, el
Docu-mento de Seguridad de la empresa, incluye la Documentación Jurídica necesaria para la adecuación (con-tratos, cláusulas, avisos legales, etc). El uso de esta solución garantiza la adecuación a la ley de forma rápida y eficaz a bajo coste, evitando cuan-tiosas sanciones por parte de la Agencia Española de Protección de Datos y velando por la profesionali-dad y la caliprofesionali-dad de servicio.
Las principales ventajas de esta solución on-line son la facilidad de uso puesto que no se requieren conocimientos técnicos ni jurídicos para su utilización debido a la auto-matización de la mayoría de los procesos y los servicios de soporte gratuito. Su implantación supone un ahorro de costes y garantiza la actualización continua, estando cu-bierta la adaptación a la normativa ante posibles cambios legislativos, así como la fiabilidad, ya que la solu-ción está desarrollada por un equipo de consultores, técnicos y abogados especialistas en la protección de datos personales.
La Solución Ayuda LOPD puede contratarse a través de la Red de Ventas de Telefónica de España, los distribuidores autorizados y en www.telefonicaonline.com.
Breves
www.hakin9.org8
News
www.hakin9.org9
Spyware de Nueva
Generación que Elude
a los Antivirus
Los hackers y cibercriminales uti-lizan troyanos y keyloggers para traspasar la seguridad de los anti-virus y antispywares. Esto ha oca-sionado que el 89% de los PCs par-ticulares estén infectados con un promedio de 30 virus informáticos o spywares cada uno. Según se analiza en el informe de Webroot, empresa de seguridad informática creadora del producto antispyware Spy Sweeper.
Una variante troyana
del virus informático
Código Rojo ataca redes
informáticas británicas
y estadounidenses
Expertos en seguridad en Internet informan que están vigilantes ante la aparición de una variante de tipo troyana del gusano informático Código Rojo que detectaron tras los ataques cometidos en miles de terminales repartidas entre Estados
Unidos y Reino Unido.
La variante del Código Rojo fue identificada como Código Rojo C. por la empresa privada de seguri-dad en Internet, Symantec
AntiVi-rus Research Center, y no tardó en
causar alarma mundial.
El UNIRAS, una sección del cen-tro del Gobierno británico para coor-dinar esfuerzos en la defensa de la infraestructura informática británica contra ataques electrónicos, así como la compañía de software anti-virus Network Associates se confe-saron víctimas del nuevo invasor en Internet.
Código Rojo C tiene poco que ver con su padre virtual ya que esta nueva versión no desactiva páginas Web como hacía el Código
Ro-jo, sino que otorga al pirata
informá-tico control remoto sobre las com-putadoras que infecta por medio de un caballo de Troya que introduce en el sistema.
Su capacidad de dispersión es hasta seis veces más rápida, y sus posibles efectos sobre Internet se desconocen, siendo más difícil de detectar y más complicado de eli-minar que su predecesor.
Esta nueva amenaza es más peli-grosa que las versiones anteriores del Código Rojo, a pesar de que es improbable que afecte toda la infra-estructura de Internet a corto plazo,
según el UNIRAS.
Encuentran múltiples vulnerabilidades
en lectores de archivos PDF
D
iferentes lectores de archivos PDF son propensos a múltiples vulnerabilidades del tipo desbor-damiento de búfer. La situación se produce debido a que por diseño, éstas aplicaciones no comprueban los límites de la información propor-cionada por estos archivos, antes de manipular la misma y copiarla a un búfer con insuficiente tamaño para recibirla.Un atacante puede explotar estas debilidades para ejecutar código de forma arbitraria, aunque esto depende del contexto y del lector en concreto. La prueba de concepto existente, solo ocasiona una dene-gación de servicio (la aplicación involucrada se congela y deja de responder). Otros ataques podrían ser implementados a partir de esta situación, y ser empleados para el robo de información, o la ejecución de algún código malicioso.
El problema se origina al aplicar las especificaciones para los docu-mentos en formato PDF (que es una abreviación de Adobe Portable Document Format). La especifica-ción 1.3 de Adobe, define una serie de objetos en forma de árbol con jerarquías (es decir, cada objeto se organiza en diferentes ramas, cada una dependiente de la anterior hasta llegar a la raíz), formando un diccionario en forma de catálogo. El catálogo contiene las referencias necesarias a objetos y datos que componen el contenido del docu-mento y sus atributos. También, contiene directivas para definir la forma en que el documento debe ser mostrado al usuario por la apli-cación.
Por un error de diseño, no se contempla en estas especificacio-nes el uso de nodos o ramas con referencias u objetos inválidos. De ese modo, cuando el documento incorpora un nodo inválido, la conducta de la aplicación es ines-perada. Las consecuencias (entre otras), pueden ser la corrupción de
la memoria, acceso no autorizado a zonas de la memoria y denegación de servicio.
La corrupción de la memoria con la consecuente escritura de datos en áreas no previstas para ello, pueden llevar a la ejecución arbitraria de código.
Hasta ahora se ha comprobado el problema en los siguientes lecto-res de archivos PDF:
• Adobe Acrobat Reader 7.0.x, • Adobe Acrobat Reader 6.0.x, • Adobe Acrobat Reader 5.1, • Adobe Acrobat Reader 5.0.x, • Adobe Acrobat Reader 4.0.x, • Adobe Acrobat Reader 3.0, • Apple Mac OS X Preview.app
3.0.8 (409),
• Xpdf 3.0.1 (Patch 2).
Sin embargo, siempre hay que tener en cuenta que otras aplicaciones también podrían ser afectadas, ya que no se debe a un problema de las aplicaciones en si mismas, sino a un error de diseño de las especificacio-nes para leer estos archivos.
No es afectada la versión 8.0 de Acrobat Reader.
Debido a su naturaleza (o sea, error de diseño), desgraciadamente no existe una solución concreta para este problema. Las consecuencias de su explotación, dependerán de la aplicación y la plataforma utilizada.
Para protegerse mejor antes de los ataques de virus, se recomienda, como una forma de disminuir los riesgos, no abrir documentos PDF que no han sido solicitados, o que vienen de fuentes no comprobadas, una cosa muy importante es también mantener actualizado su antivirus.
Una solución temporal también podría ser utilizar únicamente Acro-bat Reader 8.0.0 como lector, pero ello no asegura al usuario no ser afectado por otras consecuencias de este problema.
hakin9.live
E
n el disco que acompaña a la revista se en-cuentra hakin9.live (h9l) en la versión 3.2.1 – aur – distribución bootable de Aurox que incluye útiles herramientas, documentación, tutoriales y material adicional de los artículos. Para empezar el trabajo con hakin9.live, es suficiente ejecutar el orde-nador desde el CD. Después de ejecutar el sistema podemos registrarnos como usuario hakin9 sin intro-ducir contraseña.El material adicional se encuentra en los siguientes directorios:
• docs – documentación en formato HTML,
• art – material complementario a los artículos: scripts, aplicaciones, programas necesarios,
• tut – tutoriales, tutoriales tipo SWF.
Los materiales antiguos se encuentran en los subdi-rectorios_arch, en cambio, los nuevos – en los direc-torios principales según la estructura mencionada. En caso de explorar el disco desde el nivel de arranque de hakin9.live, esta estructura está accesible desde el subdirectorio /mnt/cdrom.
Construimos la versión 3.2.1 – aur h9l en base a la distribución de Aurox 12.0 y de los scripts de generación automatica (www.aurox.org/pl/live). Las herramientas no accesibles desde el CD se instalan desde el reposi-torio de Aurox con el programa yum.
En h9l encontraremos un programa de instalación (Aurox Live Instaler). Después de instalar en el disco se puede emplear el comando yum para instalar progra-mas adicionales.
Tutoriales y documentación
La documentación está compuesta de, entre otros, tuto-riales preparados por la redacción que incluyen ejerci-cios prácticos de los artículos
Suponemos que el usuario emplea hakin9.live. Gracias a ello evitaremos los problemas relacionados con las diferentes versiones de los compiladores, la diferente localización de los archivos de configuración u opciones necesarias para ejecutar la aplicación en el entorno dado.
Especialmente para nuestros Lectores CD1 contie-ne aplicaciocontie-nes comerciales:
Comodo Firewall Pro
Comodo es una empresa especialista líder en seguri-dad de Internet y provee la nueva generación de Solu-ciones de Seguridad para E-commerce. Casi todos los firewalls desgraciadamente tienen algunos agujeros,
Contenido de CD
por eso el Comodo Firewall tenía que pasar muchos tests de seguridad para asegurarse de que tiene una poder suficiente para averiguar todos los datos que entran en tu ordenador. Es capaz de clasificar hasta 10 000 aplicaciones según su nivel de seguridad: SAFE, SPYWARE y ADWARE. Pasó el Comodo's Patent In-jection Leak Test que simula la técnica que usan los hackers durante los ataques de Troyanos. No necesita ningún cambio de configuración para trabajar con su máxima fuerza.
Enigma Lite Desktop Edition
Enigma Lite Desktop Edition (versión trial de 90 días) es un programa que sirve para almacenar y transferir do-cumentos; lo usan tanto los usuarios individuales para proteger sus ordenadores de mesa o portátiles, como las grandes empresas. Asegura la protección y la priva-cidad de archivos, correos electrónicos, bases de datos y de todos los documentos. Enigma ofrece una solución diseñada también para sistemas operativos Microsoft; sus componentes están integrados con el Windows. Nuestros lectores reciben el descuento de 50% para la versión completa del programa.
Net Conceal AntiHistory
Net Conceal AntiHistory (versión completa) es un pro-grama que borra perfectamente historial de tu actividad. Es capaz de borrar las cookies, Temporary Files, infor-mación recién escrita, historial de búsqueda, etc. Se lo puede usar con programas Internet Explorer, Windows, MS Office, MSN Messenger, programas de archivo (WinZip y WinRAR), programas de P2P (Kazaa, eMu-le), Google Toolbar y Google Desktop.
NetConceal Anonymizer
NetConceal Anonymizer (versión trial) es un software que esconde tu IP cuando navegas por la red o durante cualquiera actividad tuya en Internet. Se lo puede usar con el Internet Explorer, programas de P2P, o con el e – mail – nadie verá tu autentica dirección de IP. ¡Es-conde tu IP y siéntete seguro!
eScan Internet Security
Es una solución de seguridad diseñada para proteger los ordenadores personales de los virus, spyware, tro-yan, adware, malware, keyloggers, hackers, spammers, etc. Contiene el escanner de los emails y páginas Web, spam blocker para prohibir los emails peligrosos, ges-tión de privacidad, filtro de Pop-ups, etc. Versiones en inglés, español, francés, alemán, polaco, chino, islan-dés, portugués, italiano y finlandés. l
Si no puedes leer el contenido
del CD y no es culpa de un daño
mecánico, contrólalo en por lo
menos dos impulsiones de CD.
En caso de cualquier problema con CD rogamos escribid a: [email protected]
Herramientas
Herramientas
VS2000 nos permite crear una base de datos de nues-tros virus, organizar nuestra colección, ver estadísticas, comparar logs, permite eliminar posibles fakes de nues-tra colección, archivos de 0 bites, entre onues-tras muchas cosas.
VS2000 posee una licencia Shareware, pero el único pago que hay que efectuar es ceder una cantidad de virus, la que sea, a su autor, para poder conseguir las nuevas versiones, aunque en la Web del autor existe una versión algo más antigua.
Virus Databases
Como es lógico empezaremos por el principio, y el prin-cipio es la pestaña de Virus Databases. En esta pestaña esta todo lo relacionado con nuestras bases de datos de virus. VS2000 transforma un archivo log en una ba-se de datos, la cual nosotros podemos modificar, con-sultar, etc.
• Build Database: Desde aquí se hace una base de datos a partir de un archivo log. Es necesa-rio recordar que VS2000 nos hace una base de datos distinta por cada log que tengamos. VS2000 reconoce los tipos más usuales de log dependien-do del antivirus, por lo tanto nos realizará una base de datos para KAV (Kaspersky), otra para NOD, … Las bases de datos se guardan con la ex-tensión *.DAT dentro de una carpeta llamada vir-data.
• Compare Log: Compara nuestra base de datos con otro archivo log. Si queremos comparar un archivo de KAV con nuestra base de datos, VS2000 lo comparará con la base de datos de KAV, no con las demás bases de datos, si es un log de NOD, pues con la base de datos de NOD. Esto es por la sen-cilla razón de que todos los antivirus no nombran a los virus de igual forma. Cuando se hace una comparación se crea un archivo log con los virus que faltan en tu base de datos y que si están en el otro log.
• Add new virii to DAT: Añade nuevos virus desde un log a nuestra base de datos. Esto es muy útil puesto que si conseguimos nuevos virus no necesitamos
hacer de nuevo un log con toda la colección para actualizar nuestra base de datos, bastará con hacer un log de los nuevos virus, y añadirlos a nuestra base de datos.
• Compare two logs: Compara dos los entre ellos mismos, NO los compara con la base de datos. Crea dos archivos logs, en los cuales están los virus que faltan en el otro log, es decir, si comparamos los logs: blood.log y avp.log nos creará dos archivos: uno que contenga los virus que faltan en el log blood.log y que se encuentran en avp.log, y otro log de forma vice-versa.
• Search: Busca virus dentro de nuestra base de datos. Realmente útil para buscar virus concretos.
• Generate Reports: Dentro de esta opción nos encon-tramos con muchas más opciones:
– Generate virii lists: Nos crea una lista con todos nuestros virus.
– Generate report: Nos crea un archivo log, igual que el creado con el antivirus, de cada una de nuestras bases de datos.
– Generate statistics: Crea un informe con los tipos de virus que poseemos, el número de virus de cada tipo, y el porcentaje. Esta opción también es realmente útil.
– Generate browse list from DATs: Genera una lista en 2 o 3 columnas en las que aparece el nombre que AVP le da a un virus, el nombre que le da F-Prot y el fichero que tienes en tu colección corres-pondiente a ese virus.
Sistema operativo: Windows Licencia: Shareware
Destino: Catalogador de colecciones de virus
Página de inicio: http://www.infonegocio.com/vbuster/
Virus Sort 2000
Figura 1. Virus Database
Como el propio programa dice, Virus Sort 2000 es everything VX Collector Needs. Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al día su colección y poder intercambiar virus con otros coleccionistas.
12
Herramientas
www.hakin9.org www.hakin9.org
13
Herramientas
– Generate browse list from 2 logs: Al igual que la opción anterior pero con dos logs externos a la dase de datos.
– Generate virii count report: Genera un archivo con el número de virus únicos y totales por cada base de datos que tengamos.
– Generate graphical statistics: Realiza estadísticas gráficas a partir de un archivo generado con la opción Generate virii count report antes comen-tada y permite guardarlas como *.bmp. El único inconveniente es que actualmente solo esta dis-ponible para KAV y F-Prot.
• Optimize DATs: Ordena los datos de los archivos *.DAT, de tal forma que realiza las comparaciones de forma mucho más rápida.
• Process with logs: Con esto podremos hacer muchí-simas cosas relacionadas con los logs. Las más importantes son: crear un log con los fakes de nues-tro log, crear una lista de virus duplicados,…
• Process with strings: Desde aquí se podrá modificar el log a nuestro gusto, podremos remplazar una linea, palabra, etc. por cualquier otro texto, borrar líneas que contengan ciertas palabras, etc.
• Extra Options: Permite añadir identificaciones a logs desconocidos, para que VS2000 los pue-da comparar, etc. También permite optimizar los DATs inmediatamente después de añadir nuevos virus.
Manage Files
Desde esta pestaña se podrán realizar todas las opcio-nes relacionadas con los archivos de nuestra colección. A continuación vamos a comentar todas las opciones de esta pestaña:
• Manage Files: En esta opción encontraremos algu-nas posibilidades, desde mover archivos, definir un directorio de destino o desactivar la extracción de ficheros comprimidos.
• Delete Files: Permite borrar archivos a partir de un log. Una gran utilidad de eso es la posibilidad de borrar nuestros virus duplicados mediante el log rea-lizado con la aplicación comentada en Process with logs.
• Real Duplicate Remover: Realiza una compara-ción entre un log de F-Prot y AVP (Kaspersky) para comprobar cuales están realmente duplica-dos.
• Pack Request: Nos hace un archivo zip con los virus que otro trader nos ha pedido, lógicamente nos lo rea-liza mediante el log que el otro trader nos envíe con el pedido de virus que el nos realice.
• Extensión Renamer: Nos renombra las extensiones a sus extensiones reales, por ej. si tenemos un archivo *.XXX y su extensión real es *.EXE, VS2000 detecta eso y nos pone la extensión real, las extensio-nes desconocidas pasarán a ser *.VIR, una extensión neutra. A la vez dispone de la posibilidad de hacer un
archivo BAT para que nos haga esa tarea, en lugar de que VS2000 nos la haga.
• List of extensions: Pues como se indica, no crea una lista de todas las extensiones de los archivos que hay en cierto directorio, pero eso si, todas distintas, si encuentra una extensión que ya esta en la lista, no la vuelve a poner.
• Find 0 bytes files: Busca archivos de 0 bytes, archivos que aparentemente son normales, pero que no con-tienen nada.
• Delete empty directories: Nos busca directorios va-cíos y los elimina.
Weed Files
Se trata de algo parecido a la pestaña Virus Databases pero en lugar de utilizar archivos logs, utiliza archivos crc32 o md5.
CRC32 en español seria Código de Redundancia Cíclica y se utiliza principalmente para detectar y co-rregir errores en archivos. CRC32 realiza un cálculo de los archivos mediante cierto algoritmo, y le da un nombre, por lo tanto, no existen dos archivos iguales con distinto nombre de CRC32. El caso de MD5 sería similar.
Esto es de gran utilidad para evitar tener virus duplicados. Como podréis ver, dentro de VS2000 exis-ten muchísimas aplicaciones para conseguir exis-tener una colección lo más depurada posible.
Las opciones que podemos encontrar en esta pes-taña son: Create database, Add files hot database, Check for duplicated files y Create log with new files. En este apartado no nos pararemos mucho, puesto que las opciones son similares a las comentadas anteriormente,
Figura 3. Weed Files
Herramientas
solo cambia el modo de operar, que puede ser desde un log, o como en ese caso, desde un archivo CRC32 o MD5.
Fake/Goat Scanner
Como va siendo normal, otra aplicación para depurar nuestra colección. Es muy importante mantener nuestra colección libre de fakes o basura y para ello esta herra-mienta es la apropiada. Además, su autor va actualizando la base de datos de fakes, para así no tener problemas a la hora de eliminarlos.
Entre las opciones que encontraremos están la de escasear fakes en archivos, desde un log, escasear basura desde archivos o desde un log al igual que con los fakes.
En este apartado tampoco nos detendremos mucho puesto que es sumamente sencillo.
Virus Organizer
Sin duda una de las herramientas mas importantes, ¿Qué sería de una colección desorganizada? Desde aquí podemos organizar nuestra colección a partir de un log. Podemos elegir entre 5 tipos distintos de organización, además de tener la posibilidad de comprimir los archivos, mover archivos, o en su defecto copiarlos.
Los tipos de organización son los siguientes:
• Bulk Style: C:\VIRUS\0\04\04ABC903.EXE: Usa CRC32 o MD5 para nombrar los archivos.
• Collection Maker Style: C:\VIRUS\J\
Jerusalem.1808.a\A456725F.COM: Se basa en KAV para nombrar y organizar los archivos.
• Create Directories: C:\VIRUS\AVP\J\Jerusalem\ 1808\a\0456ADEF.COM: Muy parecido al anterior, pero de una forma mucho mas esquematizada. • Virus Name: C:\VIRUS\J\Jerusalem.1808.a.COM:
Basado en el nombre de los virus y ordenado en car-petas del 0-1 y A-Z.
• Virus Types: C:\VIRUS\Win32\2FA67211.EXE: Se basa en el tipo de virus para realizar la organización.
Virus Explorer
Nos muestra una lista con el nombre, según KAV y F-Prot, de todos los virus de nuestra colección y al lado la dirección donde se encuentran. Realmente solo hace eso, así que pasemos a la siguiente pestaña.
Stats
Desde aquí (Figura 4) podremos observar, de forma grá-fica y para cada una de las bases de datos de cada logs, las estadísticas de nuestra colección. Podremos saber el número de virus totales y únicos que poseemos así como el porcentaje de virus y de warning, generics, que poseemos.
Vamos a hacer algunas aclaraciones sobre esto. A lo de virus únicos y totales, veréis, hay veces en las que un archivo contiene un único virus, pero en otras ocasiones un solo archivo, puede contener varios virus, un ej. puede ser un archivo *.txt donde poseamos los códigos fuente de varios virus, otro puede ser un archivo *.exe resultado de unir dos virus mediante un joinner, por lo tanto, virus totales serían el total, y virus únicos serían aquellos en los cuales un solo archivo contiene un único virus.
A lo de warning o generics veréis, normalmente KAV detecta los virus como Infected:, pero en otras ocasio-nes hace una llamada a un virus mediante Warnings o advertencias, eso quiere decir que probablemente ese archivo sea el virus X, pero no con exactitud. Al igual RAV, NOD o F-Prot tienen sus peculiaridades a la hora de detectar virus, y son recogidas de forma gráfica en esta pestaña.
Bueno, pues aquí acaba la explicación de esta magni-fica herramienta, aunque VS2000 esconde muchas más utilidades, como puede ser la de un servidor FTP, es un scan de puertos, contiene una librería donde encontrar información sobre todas las e-zines de información vírica, información sobre Constructor kits o laboratorios de virus e información sobre otras utilidades víricas, per-mite tener nuestra propia base de datos sobre traders, y un sin fin de utilidades más.
The BlooD [email protected]
Figura 4. Estadísticas de la colección
Figura 5. Página oficial de Virus Trading Center Herramientas
Ataque
S
in embargo haciendo uso de ésta res-tricción de acceso brindada por Win-dows no considera las consecuencias prácticas que puede llegar a obtener un ata-cante si elude dicha restricción.Primero explicaremos qué es el Registro de Windows: el registro está conformado por una serie de archivos, anteriormente en las versio-nes de Windows 3.x el registro se guardaba en archivos con extensión .ini, más tarde en las ediciones Windows 9x el registro de Windows se denominaba User.dat y System.dat mientras que en Windows Me estaba conformado por Classes.dat, User.dat y System.dat.
En Windows XP para localizar los archivos que conforman el Registro debemos acceder a la siguiente ruta dentro del disco local, en que fue instalado el sistema, comúnmente en C: \Windows\System32\Config, dentro de ésta car-peta encontraremos varios archivos que corres-ponden a nuestro registro, también llamados Hives
No todos los archivos que componen el registro de Windows están ubicados dentro de esta carpeta, también existen Hives o claves que contienen subclaves y valores ubicados en las carpetas de cada usuario las cuales guardan
las configuraciones personales de cada cuenta, como por ejemplo el archivo ntuser.dat que co-rresponde a la clave HKey_Current_User.
Abriendo el Registro
Intentaremos abrir el registro de Windows, en esta ocasión lo haremos ingresando a la clave HKEY_LOCAL_MACHINE\Software desde su ubicación en C:\Windows\System32\Config\ Software. Podemos percatarnos que el archivo Software no tiene extensión, lo que nos indica
Registro de Windows
Víctor López Juárez
Grado de dificultad
Albert Einstein una vez dijo: La formulación de un problema
es más importante que su solución. Un administrador de equipo
como fundamento de seguridad prefiere denegar el acceso
al Editor del Registro a todo usuario que no forme parte de
su grupo.
En este artículo aprenderás...
• Qué es el Registro de Windows y su editor, • Cómo implementar seguridad sobre el registro
de Windows,
• Cómo atacar el Editor del Registro de Windo-ws.
Lo que deberías saber...
• Bases de programación en lenguaje ensambla-dor,
• Poseer conocimientos básicos sobre adminis-tración de sistemas Windows.
Registro de Windows
www.hakin9.org
17
que carece de un programa asociado por medio del cual se pueda ejecu-tar, para solucionarlo hacemos doble click sobre el archivo, escogemos la opción Seleccionar el programa de una lista y por ultimo optamos por WordPad, como resultado veremos lo siguiente (Figura 1).
Es evidente que la aplicación WordPad no es la adecuada para manipular el registro, para ello Win-dows creó el Editor del Registro (Regedit.exe) mediante el cual es posible acceder al registro y mo-dificarlo bajo un entorno dinámico y jerárquico muy parecido al propio Explorador de Windows. Aunque el Editor del Registro permite inspec-cionar y modificar el Registro, nor-malmente no necesitaremos hacerlo. Microsoft no garantiza solucionar los problemas resultantes por el uso in-correcto del Editor del Registro, así que utilizaremos esta herramienta bajo nuestra responsabilidad.
El Editor del Registro
(Regedit.exe)
Los administradores del sistema pue-den modificar el Registro a través del Editor del Registro (Regedit.exe o Regedt32.exe), directivas de grupo, directivas del sistema, archivos de Re-gistro (.reg) o mediante la ejecución de secuencias de comandos (por ejem-plo, archivos de comandos de Visual Basic o archivo de lotes .bat).
El Editor del Registro esta ubi-cado en el directorio del sistema C: \Windows\Regedit.exe, al abrirlo encontraremos un área de explora-ción organizada en carpetas, cada carpeta representa una clave prede-terminada del equipo local, cuando
se obtiene acceso al Registro de un equipo remoto, sólo aparecen dos claves predefinidas: HKey _Users y HKey _Local_Machine. A continua-ción veremos las claves predefinidas utilizadas por el sistema (Tabla 2).
Estas claves o también llamadas Hives se inician juntamente con el sistema operativo, el cual utiliza constantemente el registro de Windo-ws, esto parece ser lógico tomando en cuenta que éste debe mantenerse actualizado por los cambios dinámi-cos que pueden surgir al momento de utilizar el sistema, por ejemplo si deseamos renombrar el icono lla-mado Mi PC por Hakin9, basta por renombrarlo una vez y en los próxi-mos inicios de sesión el icono ya apa-recerá renombrado sin necesidad de guardar los cambios en el sistema, pues el registro lo hace por nosotros.
Tomando en cuenta el grado de importancia que adquiere el registro de Windows para el sistema operati-vo puede ser blanco de ataques o de backups enteros sin autorización, el
usuario que logre acceder al editor del registro puede llevarse consigo bas-tante información relevante sobre las características de nuestro sistema.
La idea de que si accedemos a otro sistema y copiamos el Editor del Registro de Windows ubicado en C: \Windows y lo trasladamos al nuestro obtenemos el contenido del Registro de Windows, es equivocada. Cuando ejecutemos el Regedit.exe que traji-mos del otro sistema accederetraji-mos inmediatamente a nuestro Registro. Debemos recordar que el Editor del Registro es simplemente una herra-mienta que permite realizar modifi-caciones en el Registro de Windows, llevando el Editor (Regedit.exe) de un ordenador a otro únicamente estare-mos trasladando dicha herramienta y no el contenido del registro de Win-dows de cada sistema, como podría pensarse.
Ahora bien si entramos en un sis-tema como usuario restringido y con-seguimos acceder al Editor del Re-gistro (aquí lo aprenderás incluso si el administrador del equipo es precavido y previamente denegó el acceso al Edi-tor) fácilmente podremos exportar todo el contenido del registro de Windows y llevarlo a nuestro sistema para exa-minarlo detenidamente. Para lograrlo, simplemente debemos estar dentro del Editor, dirigirnos al menú Archivo > Ex-portar. Luego en el recuadro llamado Intervalo de Exportación en lugar de seleccionar la opción predeterminada escogemos Todos, finalmente asignar-le un nombre al archivo y guardarlo.
Tabla 1. Claves de configuración personal
Sección del Registro Archivos en C:\Windows\System32\ Config
HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav HKEY_LOCAL_MACHINE\
Security Security, Security.log, Security.sav
HKEY_LOCAL_MACHINE\
Software Software, Software.log, Software.sav
HKEY_LOCAL_MACHINE\
System System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav,
Ntuser.dat, Ntuser.dat.log HKEY_USERS\DEFAULT Default, Default.log, Default.sav
¿Qué es el Registro de Windows?
El Registro de Windows conforme el Microsoft Computer Dictionary es definido de la siguiente manera:
Una base de datos jerárquica central utilizada en Microsoft Windows 9x, Ce y NT con el fin de almacenar información necesaria para configurar el sistema para uno o varios usuarios, aplicaciones y dispositivos de hardware.
El Registro contiene información que Windows utiliza como referencia continua-mente, por ejemplo los perfiles de los usuarios, las aplicaciones instaladas en el equi-po y los tiequi-pos de documentos que cada aplicación puede crear, las configuraciones de las hojas de propiedades para carpetas y los iconos de aplicaciones, los elementos de hardware que hay en el sistema y los puertos que se están utilizando.
Ataque
Restringiendo el acceso
y escritura sobre el
registro de Windows
Una de las características de segu-ridad importantes en la serie Win-dows NT permite que el administra-dor del sistema pueda conceder – o no – el acceso a las claves del re-gistro a través del editor del rere-gistro (Regedit.exe).
Los permisos de escritura sobre el registro comprometen al sistema operativo de tal manera que en mu-chas ocasiones son imprescindibles estos permisos para realizar ataques contra el sistema. Por ello es impor-tante también conocer prácticas de seguridades fáciles y eficaces, capa-ces de implementar en nuestros sis-temas.
Dentro del editor del Registro la administración de seguridad sobre las claves y subclaves es relativa-mente sencilla, solo basta con elegir
la clave que deseamos configurar, click derecho y seleccionar la opción Permisos. (Figura 2 y 3).
De esta manera cualquier admi-nistrador del sistema puede otorgar permisos de escritura, agregar usuarios o grupos a la lista de permi-sos, asignar permisos a una clave, conceder control total a una clave, asignar accesos especiales, auditar la actividad de una clave, agregar usuarios o grupos a la lista de audi-toría, tomar posesión de una clave, establecer controles de lectura, etc.
¡Nadie me toca el
registro!
Como una opción de seguridad más, el administrador puede restringir el acceso al editor del registro a los usuarios que no forman parte del grupo de administradores del equi-po, con la finalidad de impedir que cualquier usuario altere el sistema
ya sea con buenas o malas inten-ciones.
Para lograrlo debemos localizar la siguiente clave desde el editor del registro HKEY_CURRENT_USER/ Sof t ware / Microsof t / W indows / CurrentVersion/Policies/System en la ventana de la derecha creamos un nuevo valor DWord llamado Di-sableRegistryTools, damos doble click sobre él y le colocamos el valor 1. De esta manera la modifica-ción del registro de Windows que-dará deshabilitada para el usuario actual.
Al intentar abrir el editor del registro veremos lo que aparece en la Figura 4.
Esta es una manera de bloquear el acceso al registro, aunque no es la única, otra forma de lograrlo es
Figura 1. Word Pad no es una buena aplicación para abrir un registro
Tabla 2. Las claves utilizadas por el sistema
Carpeta o clave
predefinida Descripción
HKEY_CU-RRENT_USER Contiene la raíz de la información de configuración del usuario que ha iniciado la sesión. Aquí se almace-nan las carpetas de usuario, los colores de pantalla y la configuración del Panel de control. Esta informa-ción se conoce como perfil de usuario.
HKEY_USERS Contiene la raíz de todos los perfiles de usuario del equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS.
HKEY_LOCAL_
MACHINE Contiene información de configuración específica del equipo (para cualquier usuario).
HKEY_CLAS-SES_ROOT Es una subclave de HKEY_LOCAL_MACHINE\Software. Aquí se almacena la información que asegura que se abre el programa correcto al abrir un archivo con el Explorador de Windows.
HKEY_CU-RRENT_CONFIG Contiene información acerca del perfil de hardware que utiliza el equipo local al iniciar el sistema.
Figura 3. Cómo obtener un permiso de escritura, parte 1
Figura 2. Cómo obtener un permiso de escritura, parte 2
Registro de Windows
www.hakin9.org
19
eliminando el propio Editor del Regis-tro (Regedit.exe) de la carpeta de su ubicación C:\Windows, así el usuario que acceda al sistema y carezca de privilegios difícilmente podrá editar el registro al no encontrar la herramien-ta destinada para ello. Aunque pueda parecer lo contrario, la eliminación del regedit.exe no llevará al colapso del sistema, ya que no se elimina el registro de Windows (el cual está ma-yormente constituido por los archivos ubicados en C:\Windows\system32\ config) sino que únicamente pres-cindimos de la herramienta que lo edita.
Aun si deliberadamente intenta-mos borrar los archivos que constitu-yen el registro de Windows ubicados en C:\Windows\system32\config, el sistema operativo lo impediría dada la importancia de los mismos.
Consecuencias
de la escritura sobre
el registro
La escritura sobre el registro de Windows permite gestionar y perso-nalizar el sistema operativo sin nin-gún problema, de hecho es una posi-bilidad exclusiva dada a los adminis-tradores del sistema, la cual puede ser también otorgada a los usuarios invitados.
Otra posibilidad simple que gene-ra la escritugene-ra sobre el registro, es la capacidad para instalar programas. Cualquier programa al instalarse usualmente crea, modifica o elimina claves y subclaves dentro del registro de Windows, durante ese proceso de instalación también comprueba ciertos valores en el registro (ese es el punto débil que atacaremos más adelante) dependiendo de esos valores y ciertas
características de seguridad el aplica-tivo podrá ser instalado. El usuario que carece de privilegios no podrá instalar correctamente aplicaciones.
De modo que a través de las con-secuencias prácticas que consegui-mos al editar el registro de Windows mediante el regedit.exe obtenemos mayores logros que si nos limitára-mos a personalizar el sistema ope-rativo a través de las pocas opciones que éste nos brinda. Sin embargo, siempre es recomendable conocer el área del registro que deseamos modificar, porque los cambios inco-rrectos pueden dañar el sistema.
Desde el punto de vista de un ata-cante, poseer permisos de escritura sobre el registro le otorgan ciertas ventajas, como por ejemplo instalar troyanos o servidores maliciosos y de-jarlos a la escucha de cualquier puer-to o ejecutarlos en segundo plano cada vez que arranque el sistema, inclusive si el administrador inicia el sistema en modo a prueba de fallos un troyano dependiendo de la clave del registro en la que fue asociado, se ejecutará de modo invisible.
Si poseemos permisos de escri-tura sobre el registro de Windows podemos realizar un sin número de acciones que terminarán alterando el sistema operativo, estás acciones dentro del registro pueden ser desde las más básicas hasta las más peli-grosas capaces de poner en peligro la seguridad del sistema.
Crackeando el registro
como usuario sin
privilegios
Las restricciones de seguridad del registro de Windows son escasa-mente eficientes. El punto débil que nos permite explotar la siguiente vulnerabilidad y acceder al editor del registro, es el propio sistema de protección utilizado por los desarro-lladores de Windows, en particular la opción a través de la cual es desha-bilitado el acceso al editor del regis-tro (Figura 4) es una práctica poco recomendada por los desarrollado-res de software comercial, dada su relativa facilidad para ser vulnerada por los atacantes.
Figura 4. El acceso al registro bloqueado
Figura 5. Cómo personalizar las configuraciones del usuario
Ejemplo Práctico
En este ejemplo colocaremos la palabra Hakin9 en el menú contextual de los archivos con extensión txt, de tal manera que si escogemos la opción Hakin9 se abrirá el archi-vo en el programa Notepad.exe tal y como sucede comúnmente.
Para lograrlo, dentro del editor del registro localizamos la siguiente clave Hkey_
Local_Machine\Software\Classes\textfile\shell\open. En la ventana de la derecha ya
existe un valor alfanumérico llamado Predeterminado, hacemos doble click sobre él y lo nombramos Hakin9
Ahora cuando hagamos click derecho sobre los archivos *.txt en lugar de ver la opción convencional llamada Abrir veremos Hakin9 (Figura 5).
Este es un claro ejemplo de cómo es posible personalizar la configuración de usuario, a través de la escritura sobre el registro de Windows.
Ataque
Cuando se accede a un sistema como usuario invitado de manera predeterminada carecemos de per-misos para escribir sobre el registro, a menos que el administrador haya de-cidido lo contrario. Las causas princi-pales por las que un administrador de equipo decide deshabilitar el acceso al editor del registro y consecuente-mente la escritura sobre éste, son impulsadas mayormente por razones de seguridad, las cuales le brindan una ventaja al propio sistema, ya que se adquiere un mayor grado de con-fianza en relación a su uso.
Es por ello que para explotar la vulnerabilidad a la que puede estar expuesto el editor del registro a través de la restricción de acceso, debemos ingresar a un sistema Windows XP en calidad de usuario restringido, es de-cir sin permisos de acceso y escritura en el registro de Windows.
Antes de empezar debemos verifi-car que el acceso al editor del registro ha sido deshabilitado por el adminis-trador (Figura 4). Ahora debemos crear una carpeta en el directorio C:\ llamada Hakin9, luego copiamos el regedit.exe de la carpeta del sistema (C:\Windows) y lo pegamos en la si-guiente ubicación C:\hakin9.
Esta copia que recién acabamos de crear nos brinda seguridad, debe-mos tomar en cuenta que siempre es recomendable trabajar sobre una copia del programa y no sobre el ori-ginal, dadas las equivocaciones en
que podríamos incurrir al momento de modificar el código del programa.
Atacando el Registro
de Windows ¡Vamos
a la Práctica!
Cuando un programador decide crear cualquier aplicación tiene la opción de hacerlo a través de dife-rentes lenguajes de programación, ya sea alto, mediano o bajo nivel, la categoría del nivel de programación depende de los recursos del sistema que utiliza el lenguaje y el programa-dor para realizar la aplicación.
Cuando finaliza el proceso de creación de una aplicación, se com-pila (convierte a unos y ceros) y se genera un archivo ejecutable de extensión .exe, los cuales a su vez pueden ser traducidos a un lenguaje de programación de bajo nivel, como por ejemplo lenguaje ensamblador, independientemente del lenguaje de programación original con que hayan sido creados. Sin embargo, existen aplicaciones que son empaquetadas (como sistema de protección) con el motivo de evitar que sean traducidas a lenguaje ensamblador, en otros casos la conversión al lenguaje en-samblador de un programa del cual no somos propietarios es ilegal.
Si abrimos alguna aplicación exitosamente para debugearla en lenguaje ensamblador y manejamos conocimientos de este lenguaje, podremos modificar el código del
programa a nuestro favor, en este caso abriremos el editor del registro y eliminaremos la protección que nos impide su acceso, de esa manera tendremos a nuestra disposición el registro de Windows.
Una utilidad que nos permite abrir un programa y explorar su código en lenguaje ensamblador es W32dasm, este programa no necesita instala-ción así que como usuario restringi-do no tendremos ningún problema en abrirlo, dentro de W32Dasm nos dirigimos al menú Disassembler y seleccionamos la opción Open File to Disassemble y abrimos nuestra copia del Editor del Registro desde C:\hakin9\regedit.exe, W32Dasm co-menzará a desensamblarlo y al ter-minar veremos el código en lenguaje ensamblador.
De esta manera podemos per-catarnos como aún con el bloqueo
Figura 6. La Ventana List Of String Data Items
OFFSET
Un offset sirve para designar inequí-vocamente una dirección de memoria conjuntamente con un segmento en algunas arquitecturas de microproce-sadores.
Registros del
procesador
El procesador necesita de ayuda al momento de realizar sus tareas, como por ejemplo ejecutar programas, los re-gistros lo ayudan precisamente en eso. Cuando el procesador necesita sumar posiciones de memoria las dirige a un registro para realizar operaciones, és-tos a su vez varían dependiendo de las funciones específicas que fueron destinados a realizar.
Acceder como un
usuario restringido
Si prefieres acceder como usuario restringido desde tu ordenador lo pue-des hacer ingresando pue-desde la cuenta de Invitado. Para activarla debes ir a Inicio>Panel de Control> Cuentas deUsuario> Invitado> Activar la cuenta de Invitado.