Ataque de David Hasselhoff mejorado
En i64, desde que "cierto sevillano pelirojo pisó el SOCtano", se instauró la moda del ataque de David Hasselfoff. La idea es tan sencilla como recordar a los compañeros que no debe dejarse el equipo con la sesión abierta cuando se abandona el puesto de trabajo.
Algunos lo aprendemos antes que otros. Son estos últimos los que acaban blasfeamando, cabreándose consigo mismo o buscando nuevas vendettas. Y es de uno de estos últimos de lo que va esta historia y descubrimiento.
El susodicho ser víctima, llamémosle "señor M", decidió que no le volvería a pasar nunca más el escarnio del ataque, así que, para dar por culo al resto de compañeros estableció una política local en Windows 7 en la que dejaba configurada la imagen de fondo de escritorio que le gustaba además de otra política para que no se pudieran hacer cambios en él.
Como reconstrucción de los hechos yo he establecido una foto del sistema de aviso de tiempos utilizado en la ekoparty como fondo de pantalla. Como se puede ver en la siguiente secuencia.
Figura 1: Estabalecimiento de políticas
Figura 2: Fondo de pantalla establecido
Este valor de fondo de escritorio no puede ser cambiado entrando en la configuración de la pantalla, ya que la política lo prohibe. Tampoco se puede cambiar si se utiliza la opción que se ofrece al pulsar sobre la imagen guardada de nuestro querido sex symbol, tal y como se ve en la figura 3.
Figura 3: Intento fallido de cambiar el fondo de escritorio desde el explorador de archivos
Todo parecía bien seguro para el "señor M" y se relajó. Abandonó su puesto de trabajo temporalmente y se olvidó, una vez más, de cerrar su sesión. El "señor Z", al acecho, y pendenciero, desde su puesto de mando privilegiado, vio a la gacela herida sobre la mesa y no se lo pensó dos veces. Salto sobre ella, navegó por Internet buscando la tan amada instantanea de nuestro David y, desde el propio navegador, utilizo la misma opción: Establecer como fondo de escritorio.
Figura 4: Opción de establecer como fondo de escritorio desde el navegador
Cuál sería la sorpresa del señor...M, cuando al llegar a su ordenador el fondo de escritorio lucía como se puede apreciar en la siguiente imagen:
Figura 5: PWNED
Vaya por delante que la política está bien configurada y que la configuración de UAC está al máximo nivel de protección, es decir, que avisa siempre que se utilizan los privilegios de administración en el sistema.
¿Qué ha pasado entonces?
Pues que esa política a niel de usuario es una desactivación de funciones y parece que a alguien se le ha olvidado desactivar esta función en concreto con esta política. La realidad es que hay ciertas políticas en los sitemas Windows que se parecen mucho por herencia con el pasado. El problema de una política antigua es que tal vez no funciona correctamente en una versión más moderna y es por ello por lo que se crea una nueva versión de la política que matiza o fortifica la antigüa.
En este problema del escritorio la solución es tan fácil como aplicar la política correcta, es decir, la de impedir cambios del fondo de escritorio en la política del panel de control.
Figura 6: Directiva de bloqueo de panel
El resultado es que, tras el forzado de la recarga de la política, la opción queda deshabilitada de todas partes, incluido el menú contextual de imágenes vistas a través del navegador.
Figura 7: Desactivado
Conclusión: Antes de aplicar una política asegúrate de que hace lo que esperas que haga y, por encima de todo, no dejes la sesión abierta de tu ordenador.
Saludos Malignos!
Algunos lo aprendemos antes que otros. Son estos últimos los que acaban blasfeamando, cabreándose consigo mismo o buscando nuevas vendettas. Y es de uno de estos últimos de lo que va esta historia y descubrimiento.
El susodicho ser víctima, llamémosle "señor M", decidió que no le volvería a pasar nunca más el escarnio del ataque, así que, para dar por culo al resto de compañeros estableció una política local en Windows 7 en la que dejaba configurada la imagen de fondo de escritorio que le gustaba además de otra política para que no se pudieran hacer cambios en él.
Como reconstrucción de los hechos yo he establecido una foto del sistema de aviso de tiempos utilizado en la ekoparty como fondo de pantalla. Como se puede ver en la siguiente secuencia.
Figura 1: Estabalecimiento de políticas
Figura 2: Fondo de pantalla establecido
Este valor de fondo de escritorio no puede ser cambiado entrando en la configuración de la pantalla, ya que la política lo prohibe. Tampoco se puede cambiar si se utiliza la opción que se ofrece al pulsar sobre la imagen guardada de nuestro querido sex symbol, tal y como se ve en la figura 3.
Figura 3: Intento fallido de cambiar el fondo de escritorio desde el explorador de archivos
Todo parecía bien seguro para el "señor M" y se relajó. Abandonó su puesto de trabajo temporalmente y se olvidó, una vez más, de cerrar su sesión. El "señor Z", al acecho, y pendenciero, desde su puesto de mando privilegiado, vio a la gacela herida sobre la mesa y no se lo pensó dos veces. Salto sobre ella, navegó por Internet buscando la tan amada instantanea de nuestro David y, desde el propio navegador, utilizo la misma opción: Establecer como fondo de escritorio.
Figura 4: Opción de establecer como fondo de escritorio desde el navegador
Cuál sería la sorpresa del señor...M, cuando al llegar a su ordenador el fondo de escritorio lucía como se puede apreciar en la siguiente imagen:
Figura 5: PWNED
Vaya por delante que la política está bien configurada y que la configuración de UAC está al máximo nivel de protección, es decir, que avisa siempre que se utilizan los privilegios de administración en el sistema.
¿Qué ha pasado entonces?
Pues que esa política a niel de usuario es una desactivación de funciones y parece que a alguien se le ha olvidado desactivar esta función en concreto con esta política. La realidad es que hay ciertas políticas en los sitemas Windows que se parecen mucho por herencia con el pasado. El problema de una política antigua es que tal vez no funciona correctamente en una versión más moderna y es por ello por lo que se crea una nueva versión de la política que matiza o fortifica la antigüa.
En este problema del escritorio la solución es tan fácil como aplicar la política correcta, es decir, la de impedir cambios del fondo de escritorio en la política del panel de control.
Figura 6: Directiva de bloqueo de panel
El resultado es que, tras el forzado de la recarga de la política, la opción queda deshabilitada de todas partes, incluido el menú contextual de imágenes vistas a través del navegador.
Figura 7: Desactivado
Conclusión: Antes de aplicar una política asegúrate de que hace lo que esperas que haga y, por encima de todo, no dejes la sesión abierta de tu ordenador.
Saludos Malignos!
15 comentarios:
Interesante contramedida. Lo apunto.
como medida de seguridad jamás dejo mi mac desbloqueado, y menos con @pedlagdur a menos de 100 millas a la redonda 0=)
Desde luego, menudos cabrones...
Donde habrá quedado el típico correo a RRHH o al jefe supremo.
Eso no se hace, es de muy mal gusto!!
Y pensándolo bien, todavía quedan un par de variantes simples del ataque aun con la política correcta funcionando :)
Espero ver pronto la "penitencia" del "señor M" jejeje
Un saludo.
Manolo.
Quién os te ha puesto el mismo fondo que tengo yo?
JUAAAAAAAAAAAAAAAAAAAAAAAAAAAAS
Bueno, por alusiones... El ataque fue exportado del infamemente famoso reducto de la B1.30, donde el vortice de perdicion de la ETSII de Sevilla tiene su epicentro de perversion. Tambien hay que decir que mejore la tecnica con algunas variantes:
- Cambio de velocidad del raton (cuanto mas lenta mejor, la gente no sabe usar el teclado)
- Cambios en el corrector ortografico del Word (cambiar "el" por "luke skywalker")
- Cambio de pagina de inicio del navegador (os podeis creer que pornogay.com existe y yo la puse por poner?)
Espero que el sujeto M termine por aprender a bloquear el equipo, aunque la tecnica de la politica de W7 me parece muy interesante... ¿Se podra definir la velocidad del raton mediante politicas de Windows?
@Blanca: Estate tranquila, que yo no pongo mis manos encima de un mac ni aunque sea el ultimo dipositivo con internet del mundo!
@Anonimo: Tambien use la tecnica de la invitacion general a una ronda, pero al final nadie cumplia lo que prometia...
Que bonita es la sencillez de Windows 7 que no confunde al usuario, y eso...
@Pedro Laguna: la invitación general es lo peor que existe, con que uno sólo no cumpla, ya te jode la estadística, y el bolsillo jeje.
Creo que es más efectiva la fuerza bruta (con Filemaster, por ejemplo)
Prueba a pintar las teclas windows y la L de un color intenso y molesto, a ver si lo pillan mejor.
Un saludo.
Manolo.
Chema, ésta para mañana:
Hackean la web del PP de Valencia.
http://www.rtve.es/noticias/20091027/web-del-valencia-sufre-ataque-hacker-que-pide-dimision-camps/297915.shtml
Cacheado el google:
http://209.85.229.132/search?q=cache:zbP9Em3xBqoJ:www.ppval.org/+pp+valencia&cd=1&hl=es&ct=clnk
http://www.ppval.org/ (IIS, supongo que mal configurado)
Jaja, debe ser que en las unis es típico tocar las pelotas, yo el año pasado estuve en una beca en Ciencias de la Computación y había un amplio repertorio:
- La típica como esta de cambiar el fondo de escritorio.
- Declarar nuestra inclinación sexual via gTalk
- Poner de página de inicio una web curiosa, masfresa.com (no se si seguirá activa), la cual consiste en un tio al que le da vueltas el cipote en sentido de las agujas del reloj, con un contador del número de veces y una curiosa música de fondo.
Unido esto a que el navegador se desmaximiza y se mueve aleatoriamente cuando lo intentas cerrar, puede generar situaciones graciosas, sobre todo si vienes con el jefe a enseñarle algo...
- Montar un DNS local y cambiarle algunas páginas... esto es algo más elaborado, pero cachondo, no veas la cara de gilipollas que se queda cuando te intentas meter en google y te sale la citada pornogay!
- etc...
que risas y que recuerdos!
Pedro eres una máquina,... echo de menos tus ataques "pantoja de puertorico" por la oficina jejejejeje
saludos!
Por eso es recomendable poner que el salvapantallas se ponga con contraseña. Y ya se paso, el ahorro de energía
Mui interesante
A beses pasa
Me pueden ayudar
Que Tranza Chema! Saludos desde MExico City Manuel Silva ! Ojala un día conocernos!
Publicar un comentario