Siento que me miran #1

Hace unos días un amigo diciendo siento que me miran que otro amigo le estaba espiando el ordenador dicho esto pensé en hacer esta entrada para dar una pequeña explicación como protegernos de los "espías".

En esos caso lo mejor es hacer un análisis forense del equipo para descubrir qué ha pasado allí en el último periodo de tiempo de uso de ese equipo. En ese momento se revisan logs, eventos, se buscan usuarios con cuentas ocultas, malware instalado en la máquina y/o software de control remoto que pueda estar instalado en la máquina.

No obstante existen espionajes que son mas dificiles de detectar tales como el que se producen desde el mismo ID de usuario que tienen / el de la novia(o) que te revisa minuciosamente el ordenador, etc.

Dicho es activar la Auditoria de acceso a objetos en Windows.

En los sistemas Windows, haciendo uso de las políticas se puede habilitar la auditoría de acceso a ficheros, basta con abrir

-------------------------------------------

gpedit.msc y activar la auditoria.

-------------------------------------------

Por defecto viene desactivada, así que hay que establecer si se quiere activar cuando se produce un acceso con éxito o sin éxito a un objeto. Por supuesto, si hay paranoia, lo mejor es auditar todos los eventos y revisar los intentos de acceso a nuestros archivos.

Una vez configurada la auditoría, hay que actualizar la política con:

---------------------

gpupdate /force

---------------------

y pasar a configurar de qué objetos queremos auditar sus accesos. Para ellos yo pondré a auditar una partición ,  y en ella, entrando en:

---------------------------------------------------------

Seguridad, Opciones Avanzadas, Auditoria 

---------------------------------------------------------

he seleccionado que se audite el uso de cualquier privilegio sobre esta partición.

Así, en el momento en que un usuario o servicio toque esa carpeta, se va a generar un registro de sucesos que podremos ver con el Visor de Eventos.

Para que sea más cómodo de revisar es mejor crear una vista personalizada para los sucesos de auditoría que nos permitirá saber qué usuario, a qué hora y con qué programa accedió a esos documentos.

Después, basta con seleccionar esa vista personalizada y revisar los eventos que se han ido generando para saber quién estuvo accediendo a esos ficheros y a qué hora.

Saludos..!

Read More

Ver IP de nuestros contactos del messenger

¿Como obtener el IP de nuestros contactos añadidos en el messenger?

La idea es hacer uso de la negociación de las condiciones de red, tales como direcciones IP, arquitectura de conexión (NAT, UPnP, etc..) que se utilizan en la negociación del protocolo P2P que usa MSN.

Si se analizan todas las conversaciones que se producen, se verá que no es necesario iniciar la transferencia de ficheros, ya que, por ejemplo, el envío de avatares, imágenes e incluso las conversaciones en algunos entornos, funcionan con conexiones directas entre los contactos.

Explicación manual de la idea

Así, manualmente, uno puede monitorizar el proceso de comunicación que utiliza Messenger, que se llama wlcomm.exe y ver con quién establece las comunicaciones. Así, en un rápido ejemplo, primero se localiza el ID del proceso en nuestro sistema (con el administrador de tareas) y luego miramos qué conexiones de red están activas con él. En este caso, se hace nada más inicar una sesión Messenger, con lo que solo estará la conexión con los servidores Microsoft.

Para ello se hace uso del comando

 tasklist | find "wlcomm.exe"

 que permite encontrar el PID del proceso y luego se filtra con él la salida de netstat para ver solo las conexiones que realiza dicho proceso (requiere permisos de administrador):

  netstat -nabo | find "PID_ENCONTRADO"

Ahora, si se hace uso del truco de enviar un emoticono personalizado a un contacto, se estará forzando el  envío de un fichero por debajo, lo que lanzará que el sistema negocie la conexión P2P entre ambos clientes, permitiendo descubrir la dirección IP del contacto. Para ser menos sospechoso, un emoticono con un gif transparente y listo. Si repetimos el proceso aparece la IP del contacto.

Análisis con Wireshark

Sí el tráfico generado en la conversación se graba con Wireshark y se analiza con el filtro que ofrece esta herramienta para el protocolo de Messenger, que se llama msnms, se pueden ver los paquetes generados en la transferencia del avatar.

Viendo el contenido de ellos, es posible descubrir las direcciones IP de la conexión y el nombre del contacto que se encuentra en el extremo de la conexión, ya que se aparece en el campo FROM.

Lo curioso es que en ese paquete también aparece la dirección interna del cliente de Messenger. ¿Por qué? Pues porque si dos contactos comparten la misma dirección externa y están en el mismo segmento de red, la negociación P2P se intenta hacer directamente por la LAN, sin pasar por Internet, lo que alguna vez generaba errores de conexión en situaciones en las que había conversaciones múltiples con contactos locales y remotos.

Descubrir las direcciones IP de todos tus contactos conectados con GetMSNIPs

El funcionamiento es sencillo, pero requiere la instalación previa de WinPcap.

Una vez instalado, se arranca GetMSNIPs para luego iniciar una conversación con Messenger.

Entonces se debe poner un nuevo avatar, distinto, que no haya sido utilizado antes.

Después, esperar o forzar el inicio de una conversación con algún contacto que interese. El resto se irá viendo por pantalla.

Herramientas

****************************************************************

Wireshark & WinPcap & GetMSNIPs

****************************************************************

Read More

Vmware Workstation - 8

Introducción:

VMware es un sistema de virtualización por software. Un sistema virtual por software es un programa que simula un sistema físico (un computador, un hardware) con unas características de hardware determinadas. Cuando se ejecuta el programa (simulador), proporciona un ambiente de ejecución similar a todos los efectos a un computador físico (excepto en el puro acceso físico al hardware simulado), con CPU (puede ser más de una), BIOS, tarjeta gráfica, memoria RAM, tarjeta de red, sistema de sonido, conexión USB, disco duro (pueden ser más de uno), etc.

Un virtualizador por software permite ejecutar (simular) varios computadores (sistemas operativos) dentro de un mismo hardware de manera simultánea, permitiendo así el mayor aprovechamiento de recursos. No obstante, y al ser una capa intermedia entre el sistema físico y el sistema operativo que funciona en el hardware emulado, la velocidad de ejecución de este último es menor, pero en la mayoría de los casos suficiente para usarse en entornos de producción.

VMware es similar a su homólogo Virtual PC, aunque existen diferencias entre ambos que afectan a la forma en la que el software interactúa con el sistema físico. El rendimiento del sistema virtual varía dependiendo de las características del sistema físico en el que se ejecute, y de los recursos virtuales (CPU, RAM, etc.) asignados al sistema virtual.

Mientras que VirtualPC emula una plataforma x86, Vmware la virtualiza, de forma que la mayor parte de las instrucciones en VMware se ejecutan directamente sobre el hardware físico, mientras que en el caso de Virtual PC se traducen en llamadas al sistema operativo que se ejecuta en el sistema físico.

Fuente Wikipedia.

Descargar.

********************************************************************

http://www.vmware.com/download/download.do?downloadGroup=WKST-802-WIN

********************************************************************

Es necesario registrarse.

********************************************************************

Serial.

5A6LX-44J8J-6ZF79-7UAN6-03WKW
NF4WU-8321J-0Z1V9-4L350-C2RLD
NU6D4-0000H-AZGT8-RR074-22439
0F637-4R152-AZZ31-A30QP-2AC47
NY24C-AW19J-6ZQZ1-UH0NK-8AG48
0A6AF-2R04N-VZ5X0-N21Q0-CA0QC
MF0T8-F42EJ-AZ5Y0-4337P-8AJ7M
MA2UE-FR35J-FZVA8-3KANK-92L49
1F0M6-2D142-LZVF1-QH3N6-2CTJE
0U0YT-D2J4L-GZ848-H9C76-83R55

Saludos.

Read More

Instalando Red Hat en Vmware - Por Jorving Jhoel Nieto Silva

Read More