martes, octubre 27, 2009

Ataque de David Hasselhoff mejorado

En i64, desde que "cierto sevillano pelirojo pisó el SOCtano", se instauró la moda del ataque de David Hasselfoff. La idea es tan sencilla como recordar a los compañeros que no debe dejarse el equipo con la sesión abierta cuando se abandona el puesto de trabajo.

Algunos lo aprendemos antes que otros. Son estos últimos los que acaban blasfeamando, cabreándose consigo mismo o buscando nuevas vendettas. Y es de uno de estos últimos de lo que va esta historia y descubrimiento.

El susodicho ser víctima, llamémosle "señor M", decidió que no le volvería a pasar nunca más el escarnio del ataque, así que, para dar por culo al resto de compañeros estableció una política local en Windows 7 en la que dejaba configurada la imagen de fondo de escritorio que le gustaba además de otra política para que no se pudieran hacer cambios en él.

Como reconstrucción de los hechos yo he establecido una foto del sistema de aviso de tiempos utilizado en la ekoparty como fondo de pantalla. Como se puede ver en la siguiente secuencia.


Figura 1: Estabalecimiento de políticas


Figura 2: Fondo de pantalla establecido

Este valor de fondo de escritorio no puede ser cambiado entrando en la configuración de la pantalla, ya que la política lo prohibe. Tampoco se puede cambiar si se utiliza la opción que se ofrece al pulsar sobre la imagen guardada de nuestro querido sex symbol, tal y como se ve en la figura 3.


Figura 3: Intento fallido de cambiar el fondo de escritorio desde el explorador de archivos

Todo parecía bien seguro para el "señor M" y se relajó. Abandonó su puesto de trabajo temporalmente y se olvidó, una vez más, de cerrar su sesión. El "señor Z", al acecho, y pendenciero, desde su puesto de mando privilegiado, vio a la gacela herida sobre la mesa y no se lo pensó dos veces. Salto sobre ella, navegó por Internet buscando la tan amada instantanea de nuestro David y, desde el propio navegador, utilizo la misma opción: Establecer como fondo de escritorio.


Figura 4: Opción de establecer como fondo de escritorio desde el navegador

Cuál sería la sorpresa del señor...M, cuando al llegar a su ordenador el fondo de escritorio lucía como se puede apreciar en la siguiente imagen:


Figura 5: PWNED

Vaya por delante que la política está bien configurada y que la configuración de UAC está al máximo nivel de protección, es decir, que avisa siempre que se utilizan los privilegios de administración en el sistema.

¿Qué ha pasado entonces?

Pues que esa política a niel de usuario es una desactivación de funciones y parece que a alguien se le ha olvidado desactivar esta función en concreto con esta política. La realidad es que hay ciertas políticas en los sitemas Windows que se parecen mucho por herencia con el pasado. El problema de una política antigua es que tal vez no funciona correctamente en una versión más moderna y es por ello por lo que se crea una nueva versión de la política que matiza o fortifica la antigüa.

En este problema del escritorio la solución es tan fácil como aplicar la política correcta, es decir, la de impedir cambios del fondo de escritorio en la política del panel de control.


Figura 6: Directiva de bloqueo de panel

El resultado es que, tras el forzado de la recarga de la política, la opción queda deshabilitada de todas partes, incluido el menú contextual de imágenes vistas a través del navegador.


Figura 7: Desactivado

Conclusión: Antes de aplicar una política asegúrate de que hace lo que esperas que haga y, por encima de todo, no dejes la sesión abierta de tu ordenador.

Saludos Malignos!

15 comentarios:

Rafa Vargas dijo...

Interesante contramedida. Lo apunto.

Blanca Garcia dijo...

como medida de seguridad jamás dejo mi mac desbloqueado, y menos con @pedlagdur a menos de 100 millas a la redonda 0=)

Anónimo dijo...

Desde luego, menudos cabrones...
Donde habrá quedado el típico correo a RRHH o al jefe supremo.
Eso no se hace, es de muy mal gusto!!
Y pensándolo bien, todavía quedan un par de variantes simples del ataque aun con la política correcta funcionando :)
Espero ver pronto la "penitencia" del "señor M" jejeje
Un saludo.
Manolo.

Unknown dijo...

Quién os te ha puesto el mismo fondo que tengo yo?

JUAAAAAAAAAAAAAAAAAAAAAAAAAAAAS

Pedro Laguna dijo...

Bueno, por alusiones... El ataque fue exportado del infamemente famoso reducto de la B1.30, donde el vortice de perdicion de la ETSII de Sevilla tiene su epicentro de perversion. Tambien hay que decir que mejore la tecnica con algunas variantes:

- Cambio de velocidad del raton (cuanto mas lenta mejor, la gente no sabe usar el teclado)
- Cambios en el corrector ortografico del Word (cambiar "el" por "luke skywalker")
- Cambio de pagina de inicio del navegador (os podeis creer que pornogay.com existe y yo la puse por poner?)

Espero que el sujeto M termine por aprender a bloquear el equipo, aunque la tecnica de la politica de W7 me parece muy interesante... ¿Se podra definir la velocidad del raton mediante politicas de Windows?

@Blanca: Estate tranquila, que yo no pongo mis manos encima de un mac ni aunque sea el ultimo dipositivo con internet del mundo!

@Anonimo: Tambien use la tecnica de la invitacion general a una ronda, pero al final nadie cumplia lo que prometia...

Hasta la Vista dijo...

Que bonita es la sencillez de Windows 7 que no confunde al usuario, y eso...

Anónimo dijo...

@Pedro Laguna: la invitación general es lo peor que existe, con que uno sólo no cumpla, ya te jode la estadística, y el bolsillo jeje.

Creo que es más efectiva la fuerza bruta (con Filemaster, por ejemplo)
Prueba a pintar las teclas windows y la L de un color intenso y molesto, a ver si lo pillan mejor.
Un saludo.
Manolo.

Anónimo dijo...

Chema, ésta para mañana:
Hackean la web del PP de Valencia.
http://www.rtve.es/noticias/20091027/web-del-valencia-sufre-ataque-hacker-que-pide-dimision-camps/297915.shtml

Cacheado el google:
http://209.85.229.132/search?q=cache:zbP9Em3xBqoJ:www.ppval.org/+pp+valencia&cd=1&hl=es&ct=clnk

http://www.ppval.org/ (IIS, supongo que mal configurado)

Antonio Sánchez dijo...

Jaja, debe ser que en las unis es típico tocar las pelotas, yo el año pasado estuve en una beca en Ciencias de la Computación y había un amplio repertorio:

- La típica como esta de cambiar el fondo de escritorio.

- Declarar nuestra inclinación sexual via gTalk

- Poner de página de inicio una web curiosa, masfresa.com (no se si seguirá activa), la cual consiste en un tio al que le da vueltas el cipote en sentido de las agujas del reloj, con un contador del número de veces y una curiosa música de fondo.
Unido esto a que el navegador se desmaximiza y se mueve aleatoriamente cuando lo intentas cerrar, puede generar situaciones graciosas, sobre todo si vienes con el jefe a enseñarle algo...

- Montar un DNS local y cambiarle algunas páginas... esto es algo más elaborado, pero cachondo, no veas la cara de gilipollas que se queda cuando te intentas meter en google y te sale la citada pornogay!

- etc...

que risas y que recuerdos!

Juan Antonio Calles dijo...

Pedro eres una máquina,... echo de menos tus ataques "pantoja de puertorico" por la oficina jejejejeje

saludos!

agux dijo...

Por eso es recomendable poner que el salvapantallas se ponga con contraseña. Y ya se paso, el ahorro de energía

Ukibvd dijo...

Mui interesante

Ukibvd dijo...

A beses pasa

Unknown dijo...

Me pueden ayudar

Manuel Silva dijo...

Que Tranza Chema! Saludos desde MExico City Manuel Silva ! Ojala un día conocernos!

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares