1. Forum
  2. Fidonet Spanish
  3. ESP.SEGURIDAD

  • Portatiles HP con keylogger de regalo

    From Enric Lleal Serra@2:343/107.1 to All on Tue Dec 12 09:01:43 2017
    �Hola All!


    :-DDD


    ===============================================================================
    Hispasec - una-al-d�a 11/12/17
    Servicio oficial de una-al-d�a ofrecido por Hispasec Sistemas.
    Todos los d�as una noticia de seguridad
    Ver esta noticia en el navegador: http://unaaldia.hispasec.com/2017/12/portatiles-hp-incluyen-un-keylogger-en.htm l
    ===============================================================================


    Port�tiles HP incluyen un keylogger en el driver del teclado -------------------------------------------------------------------------------
    -
    Un investigador independiente quiso investigar acerca de c�mo manipular la retroiluminaci�n del teclado, sin embargo acab� encontrandose un keylogger que afectaba a varios dispositivos.

    https://1.bp.blogspot.com/-p7RIgPsicRA/Wi5OkfoIbYI/AAAAAAAAAnM/C4PsuNqFCsE5fJf1
    oMpWT42ue_eV-wvbQCLcBGAs/s1600/Strings.png
    Los dispositivos HP tenian un keylogger en el driver del teclado. Este keylogger guarda los c�digos escaneados a una traza WPP. Por defecto, esto se encontraba desactivado pero puede habilitarse a trav�s de una simple modificaci�n en una clave de registro (requiere UAC).
    Las gamas ProBook, ZBook, EliteBook, Stream, Spectre, Pavilion y ENVY se ven afectadas en distintos modelos. La lista completa de dispositivos afectados por
    dicho driver se puede encontrar clickando sobre este enlace (https://support.hp.com/us-en/document/c05827409) .
    Para comprobar que el keylogger est� activo, el driver consulta a GetDriverParameter para leer el valor de DebugMask del registro de Windows. Si el valor de DebugMask es 2 entonces la funcionalidad de debug estar� activada. Por defecto, el valor de DebugMask es 3, por lo que la funcionalidad de debugging y por tanto el keylogging se encontrar�an desactivados. https://2.bp.blogspot.com/-Op8tFEYjyJc/Wi5SqVaIduI/AAAAAAAAAnY/r715fN4sT1IOAs9Q
    iN0Cj3JE2HU1yqIVQCLcBGAs/s1600/DebugMask.png
    A trav�s de este hallazgo, podr�a darse la posibilidad de redirigir la traza de
    las pulsaciones registradas a un archivo, permitiendo a un atacante remoto cambiar el valor del registro y obtener dicho archivo.
    Este hallazgo fue reportado a HP, quienes confirmaron la presencia de un keylogger (que era una traza de debug) y lanz� una actualizaci�n que elimina dicha traza. La lista de dispositivos afectados y el driver parcheado se pueden
    encontrar en este enlace (https://support.hp.com/us-en/document/c05827409) .

    Fernando D�az
    [email protected]
    @entdark_
    M�s informaci�n:
    HP keylogger:
    https://zwclose.github.io/HP-keylogger/

    Por [email protected] (Fernando D�az)

    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Errar es humano, pero para liarla de verdad hace falta un ordenador.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Wed Dec 13 00:59:24 2017
    Port�tiles HP incluyen un keylogger en el driver del teclado

    Lo de HP con los Keyloggers empieza a ser enfermizo, hace no mucho les
    pillaron con otro programa que guardaba las pulsaciones en plano en un
    fichero de texto ...

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Wed Dec 13 14:48:36 2017
    �Hola Yeray!

    El Mi�rcoles 13 Diciembre 2017 a las 00:59, Yeray A.Dorta escribi� a Enric Lleal Serra:

    Port�tiles HP incluyen un keylogger en el driver del teclado
    Lo de HP con los Keyloggers empieza a ser enfermizo, hace no mucho les

    No entiendo el objetivo de �sto, a modo general. Lo entender�a en una remesa concreta de equipos destinados a una organizaci�n concreta, como parte de un atp y/o una conspiraci�n global... pero m�s all� de esto. :-?

    Pero bueno, el lunes estuve en Cisco Madrid, y hablando de Huawei y la poca transparencia de esta marca en cuanto a informaci�n que intercambia con sus servicios centrales (la electr�nica Huawei necesita conexiones intermitentes con su HQ para funcionar), los propios t�cnicos de Cisco me dijeron que ellos tampoco podr�an firmar documentaci�n alguna que expr�samente impidiera exfiltraci�n de datos.


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... El ladr�n, sin ocasi�n para robar, se cree un hombre honrado.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Thu Dec 14 01:39:33 2017
    No entiendo el objetivo de �sto, a modo general. Lo entender�a en una remesa concreta de equipos destinados a una organizaci�n concreta, como parte de un atp y/o una conspiraci�n global... pero m�s all� de esto. :-?

    Ninguno, el becario paso a produccion un driver con las funciones de
    depuracion activadas por error, (y claro, que depuras en un driver de
    teclado) ... xD

    Pero bueno, el lunes estuve en Cisco Madrid, y hablando de Huawei y la poca transparencia de esta marca en cuanto a informaci�n que intercambia con sus servicios centrales (la electr�nica Huawei necesita conexiones intermitentes con su HQ para funcionar), los propios t�cnicos de Cisco
    me dijeron que ellos tampoco podr�an firmar documentaci�n alguna que expr�samente impidiera exfiltraci�n de datos.

    Router Linux, *BSD, etc,
    Ni una conexion hacia Internet desde la red de gestion salvo que este justificadisimo no, lo siguiente (Y un switch conectando a Internet no tiene justificacion).
    Si algo necesita conectar a Internet (Las actualizaciones las cargo yo), me busco otro fabricante.

    Hay cosas por las que no paso, y una de ellas es no saber que y cuando hace algo algun producto que he comprado. Y cada a�o que pasa, me cuesta mas ...

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Thu Jan 4 14:18:03 2018
    �Hola Yeray!

    El Jueves 14 Diciembre 2017 a las 01:39, Yeray A.Dorta escribi� a Enric Lleal Serra:

    Ninguno, el becario paso a produccion un driver con las funciones de depuracion activadas por error, (y claro, que depuras en un driver de teclado) ... xD

    :-O Y yo hilvanando conspiraciones judeomasonicasalienig�nicas... :-DD


    Router Linux, *BSD, etc,
    Ni una conexion hacia Internet desde la red de gestion salvo que este justificadisimo no, lo siguiente (Y un switch conectando a Internet no tiene justificacion). Si algo necesita conectar a Internet (Las actualizaciones las cargo yo), me busco otro fabricante.

    :-) Vas en camino de convertirte en mi h�roe! :-*****

    X'-D


    Hay cosas por las que no paso, y una de ellas es no saber que y cuando hace algo algun producto que he comprado. Y cada a�o que pasa, me
    cuesta mas ...

    Mi problema ahora mismo es que no controlo nada. Sigo en inmersi�n en el entorno para saber qu� y c�mo est� montado. Cientos de decisiones sin un racional (p�blico) detr�s. ''':-/


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Regar es como rezar con agua.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Sat Jan 20 22:06:47 2018
    Ninguno, el becario paso a produccion un driver con las funciones de depuracion activadas por error, (y claro, que depuras en un driver de teclado) ... xD

    :-O Y yo hilvanando conspiraciones judeomasonicasalienig�nicas... :-DD

    El becario siempre podia estar a sueldo de la NSA (A los cuales saludo de manera efusiva y cari�osa).

    :-) Vas en camino de convertirte en mi h�roe! :-*****

    X'-D

    Luego te mando una foto firmada mia con un hacha cortando cables del CPD a
    saco y el slogan - Hachas, el Mejor FW desde el Siglo X Antes de Cristo -

    Mi problema ahora mismo es que no controlo nada. Sigo en inmersi�n en el entorno para saber qu� y c�mo est� montado. Cientos de decisiones sin un racional (p�blico) detr�s. ''':-/

    Yo eso suelo solucionarlo con una premisa previa a cualquier proyecto ... Se�ores lo que no sepa que hace, como lo hace y cuando lo hace, le meto un apagon tirando del cable ... Adivina cuanto Windows hay en mi CPD ... xDDD

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A38 2018/01/01 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)