1. Forum
  2. Fidonet Spanish
  3. ESP.SEGURIDAD

  • Portatiles HP con keylogger de regalo

    From Enric Lleal Serra@2:343/107.1 to All on Tue Dec 12 09:01:43 2017
    ­Hola All!


    :-DDD


    ===============================================================================
    Hispasec - una-al-día 11/12/17
    Servicio oficial de una-al-día ofrecido por Hispasec Sistemas.
    Todos los días una noticia de seguridad
    Ver esta noticia en el navegador: http://unaaldia.hispasec.com/2017/12/portatiles-hp-incluyen-un-keylogger-en.htm l
    ===============================================================================


    Portátiles HP incluyen un keylogger en el driver del teclado -------------------------------------------------------------------------------
    -
    Un investigador independiente quiso investigar acerca de cómo manipular la retroiluminación del teclado, sin embargo acabó encontrandose un keylogger que afectaba a varios dispositivos.

    https://1.bp.blogspot.com/-p7RIgPsicRA/Wi5OkfoIbYI/AAAAAAAAAnM/C4PsuNqFCsE5fJf1
    oMpWT42ue_eV-wvbQCLcBGAs/s1600/Strings.png
    Los dispositivos HP tenian un keylogger en el driver del teclado. Este keylogger guarda los códigos escaneados a una traza WPP. Por defecto, esto se encontraba desactivado pero puede habilitarse a través de una simple modificación en una clave de registro (requiere UAC).
    Las gamas ProBook, ZBook, EliteBook, Stream, Spectre, Pavilion y ENVY se ven afectadas en distintos modelos. La lista completa de dispositivos afectados por
    dicho driver se puede encontrar clickando sobre este enlace (https://support.hp.com/us-en/document/c05827409) .
    Para comprobar que el keylogger está activo, el driver consulta a GetDriverParameter para leer el valor de DebugMask del registro de Windows. Si el valor de DebugMask es 2 entonces la funcionalidad de debug estará activada. Por defecto, el valor de DebugMask es 3, por lo que la funcionalidad de debugging y por tanto el keylogging se encontrarían desactivados. https://2.bp.blogspot.com/-Op8tFEYjyJc/Wi5SqVaIduI/AAAAAAAAAnY/r715fN4sT1IOAs9Q
    iN0Cj3JE2HU1yqIVQCLcBGAs/s1600/DebugMask.png
    A través de este hallazgo, podría darse la posibilidad de redirigir la traza de
    las pulsaciones registradas a un archivo, permitiendo a un atacante remoto cambiar el valor del registro y obtener dicho archivo.
    Este hallazgo fue reportado a HP, quienes confirmaron la presencia de un keylogger (que era una traza de debug) y lanzó una actualización que elimina dicha traza. La lista de dispositivos afectados y el driver parcheado se pueden
    encontrar en este enlace (https://support.hp.com/us-en/document/c05827409) .

    Fernando Díaz
    fdiaz@hispasec.com
    @entdark_
    Más información:
    HP keylogger:
    https://zwclose.github.io/HP-keylogger/

    Por noreply@blogger.com (Fernando Díaz)

    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Errar es humano, pero para liarla de verdad hace falta un ordenador.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Wed Dec 13 00:59:24 2017
    Portátiles HP incluyen un keylogger en el driver del teclado

    Lo de HP con los Keyloggers empieza a ser enfermizo, hace no mucho les
    pillaron con otro programa que guardaba las pulsaciones en plano en un
    fichero de texto ...

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Wed Dec 13 14:48:36 2017
    ­Hola Yeray!

    El Miércoles 13 Diciembre 2017 a las 00:59, Yeray A.Dorta escribió a Enric Lleal Serra:

    Portátiles HP incluyen un keylogger en el driver del teclado
    Lo de HP con los Keyloggers empieza a ser enfermizo, hace no mucho les

    No entiendo el objetivo de ésto, a modo general. Lo entendería en una remesa concreta de equipos destinados a una organización concreta, como parte de un atp y/o una conspiración global... pero más allá de esto. :-?

    Pero bueno, el lunes estuve en Cisco Madrid, y hablando de Huawei y la poca transparencia de esta marca en cuanto a información que intercambia con sus servicios centrales (la electrónica Huawei necesita conexiones intermitentes con su HQ para funcionar), los propios técnicos de Cisco me dijeron que ellos tampoco podrían firmar documentación alguna que exprésamente impidiera exfiltración de datos.


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... El ladrón, sin ocasión para robar, se cree un hombre honrado.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Thu Dec 14 01:39:33 2017
    No entiendo el objetivo de ésto, a modo general. Lo entendería en una remesa concreta de equipos destinados a una organización concreta, como parte de un atp y/o una conspiración global... pero más allá de esto. :-?

    Ninguno, el becario paso a produccion un driver con las funciones de
    depuracion activadas por error, (y claro, que depuras en un driver de
    teclado) ... xD

    Pero bueno, el lunes estuve en Cisco Madrid, y hablando de Huawei y la poca transparencia de esta marca en cuanto a información que intercambia con sus servicios centrales (la electrónica Huawei necesita conexiones intermitentes con su HQ para funcionar), los propios técnicos de Cisco
    me dijeron que ellos tampoco podrían firmar documentación alguna que exprésamente impidiera exfiltración de datos.

    Router Linux, *BSD, etc,
    Ni una conexion hacia Internet desde la red de gestion salvo que este justificadisimo no, lo siguiente (Y un switch conectando a Internet no tiene justificacion).
    Si algo necesita conectar a Internet (Las actualizaciones las cargo yo), me busco otro fabricante.

    Hay cosas por las que no paso, y una de ellas es no saber que y cuando hace algo algun producto que he comprado. Y cada año que pasa, me cuesta mas ...

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Thu Jan 4 14:18:03 2018
    ­Hola Yeray!

    El Jueves 14 Diciembre 2017 a las 01:39, Yeray A.Dorta escribió a Enric Lleal Serra:

    Ninguno, el becario paso a produccion un driver con las funciones de depuracion activadas por error, (y claro, que depuras en un driver de teclado) ... xD

    :-O Y yo hilvanando conspiraciones judeomasonicasalienigénicas... :-DD


    Router Linux, *BSD, etc,
    Ni una conexion hacia Internet desde la red de gestion salvo que este justificadisimo no, lo siguiente (Y un switch conectando a Internet no tiene justificacion). Si algo necesita conectar a Internet (Las actualizaciones las cargo yo), me busco otro fabricante.

    :-) Vas en camino de convertirte en mi héroe! :-*****

    X'-D


    Hay cosas por las que no paso, y una de ellas es no saber que y cuando hace algo algun producto que he comprado. Y cada año que pasa, me
    cuesta mas ...

    Mi problema ahora mismo es que no controlo nada. Sigo en inmersión en el entorno para saber qué y cómo está montado. Cientos de decisiones sin un racional (público) detrás. ''':-/


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Regar es como rezar con agua.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Sat Jan 20 22:06:47 2018
    Ninguno, el becario paso a produccion un driver con las funciones de depuracion activadas por error, (y claro, que depuras en un driver de teclado) ... xD

    :-O Y yo hilvanando conspiraciones judeomasonicasalienigénicas... :-DD

    El becario siempre podia estar a sueldo de la NSA (A los cuales saludo de manera efusiva y cariñosa).

    :-) Vas en camino de convertirte en mi héroe! :-*****

    X'-D

    Luego te mando una foto firmada mia con un hacha cortando cables del CPD a
    saco y el slogan - Hachas, el Mejor FW desde el Siglo X Antes de Cristo -

    Mi problema ahora mismo es que no controlo nada. Sigo en inmersión en el entorno para saber qué y cómo está montado. Cientos de decisiones sin un racional (público) detrás. ''':-/

    Yo eso suelo solucionarlo con una premisa previa a cualquier proyecto ... Señores lo que no sepa que hace, como lo hace y cuando lo hace, le meto un apagon tirando del cable ... Adivina cuanto Windows hay en mi CPD ... xDDD

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A38 2018/01/01 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)