9 de junio de 2009

Proxy Joking

Mum! Bart is making faces!!

Response: Lisa, it’s your father… I guess

A raiz de la entrada de URL OFUSCATION de Eduardo Abril me picó la curiosidad sobre alternativas para “engañar” o echar una mentira piadosa a esos Proxy que siempre nos están filtrando el tráfico. No me refiero a saltarnos la autenticación, para eso se supone que estamos enchufados en la Intranet de nuestra universidad, empresa, etc. Y si tienes conectividad y no tienes usuario para salir a Internet seguramente ya sabes donde conseguirlo y como.

Hoy hablamos de saltarnos los filtros del Proxy para que naveguemos en esas páginas de construcción de explosivos que tan poco nos gustan, o en megaupload, youtube, facebook y lo que tengáis censurado. Las técnicas que comentaba Eduardo, más orientadas para el engaño a un IDS o a un servidor de aplicaciones, también nos valdrán. Trabajaremos con la misma base, www.milw0rm.com. Repasemos:

1.- Añadir parámetros absurdos à http://www.milw0rm.com/index.php?hola=1&adios=2

2.- Sustituir URL por IP à http://76.74.9.18/index.php?hola=1&adios=2

3.- Traducir a hexadecimal (por ejemplo desde aquí el nombre de archivo solicitado y los parámetros: à http://76.74.9.18/%69%6e%64%65%78%2e%70%68%70?hola=1&adios=2

4.- Utilizar un “anonimizador” (patada a la RAE) à http://anonym.to/?http://76.74.9.18/index.php?hola=1&adios=2

¿Gracioso verdad? Pues todavía hay muchas más posibilidades y casi todas se traducen en pedir lo mismo, pero de otra forma, como cuando te dan una mala noticia con buenas palabras, o cuando ponemos cara de poker. Ahí van mis alternativas:

1.- Utilizar “anonymouse”, es similar al anonym.to pero te enseña por ejemplo cual es la información con que te presentas a Internet. En ocasiones este funciona y el otro no, y al revés: à http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.milw0rm.com

2.- Utilizar Google Translator: ¿cómo?, ¿traducir una pagina web?, SI, con este absurdo se puede engañar a un Proxy à http://translate.google.es/translate?hl=es&sl=en&u=http://www.milw0rm.com

3.- Quizás el anterior no os funcionó, que decepción, un momento, ¿qué tal si probamos con el traductor del nuevo buscador de Microsoft? à http://www.microsofttranslator.com/bv.aspx?ref=SERP&br=ro&mkt=es-S&dl=es&lp=en_es&a=http://milw0rm.com/

4.- Utilizar la caché de google, hay veces que nos tendremos que conformar con páginas obsoletas desde hace 1 hora à http://74.125.77.132/search?q=cache:UB9G4tPVbxoJ:www.milw0rm.com/+milw0rm&cd=1&hl=es&ct=clnk&gl=es

5.- Ah que la página que queremos ver no se actualiza cada mucho tiempo, pues existe otra página para recuperar el historial de casi cualquier sitio que además es ideal para estudio de “Presencia en Internet”, sobretodo al permitirnos ver web obsoletas (con posibles fallos de diseño que pueden haberse trasladado a las actuales), se llama archive.org à http://web.archive.org/web/*/http://www.milw0rm.com

6.- ¿Todavía no lo has conseguido? Hay veces que hay que tirar de lo más obvio, el ataque tradicional por absurdo también “cuela” à Web Dumper

7.- Está bien, vuestro Proxy es de los duros. Habría que dar un premio a su Administrador, ¿o no?, seamos prácticos. Servicios como logmein.com también están por ahí. A las malas podemos montarnos un Proxy local que salga a un Proxy publico, montarnos una VPN, probar con VNC, etc. etc.

La pregunta es, ¿sigue teniendo sentido restringir el tráfico a Internet a los trabajadores?

Salu2!

Anexo: Quizás os venga bien visitar http://zly.me/, sobretodo cuando queremos visitar páginas web con una URL más grande que las zapatillas de Romay… ¡ah! Y si nuestro Proxy no hace filtrado por IP, también valdrá.

7 comentarios:

eduardo dijo...
Este comentario ha sido eliminado por el autor.
Grifo dijo...

Un gran artículo, que me vendrá muy bien a la hora de hacer pruebas en el proxy que he tenido que configurar (dansguardian + squid).

Como comenta eduardo, veo difícil que se salten el filtro a través de modificar la URL, debido a que filtra la propia página. Por otro lado se comprueba vía DNS las ips, y se actualizan listas negras con multitud de proxys, redireccionadores, etc a menudo. Aun así nada es perfecto, y al igual que de vez en cuando te encuentras falsos positivos, también habrá formas de saltarse el filtro

eduardo dijo...
Este comentario ha sido eliminado por el autor.
GigA ~~ dijo...

Si filtra por IP es posible que el DNS todavía no tenga cacheada algunas Web "malignas", si filtra por "URL" es facilisimo de engañar, si lo hace por contenido quizás haya que buscar la misma página en ruso :-p

Sea como sea, siempre hay una forma de saltarte el proxy, de ahí que para el parqué de microinformática a veces resulta absurdo utilizarlo. Eso si, como apunta Eduardo es muy util para Troyanos, programas no catalogados, etc.

Salu2

eduardo dijo...

Al hilo del último post en securitybydefault, he encontrado una referencia a este artículo (ver debajo) que es muy interesante. Sólo necesitas acceso a putty en local:

http://www.securitybydefault.com/2009/03/haciendo-el-ciber-houdini.html

Saludos,
Eduardo.

GigA ~~ dijo...

Info adicional a los "URL Shorters" en:

http://blogs.securiteam.com/index.php/archives/1272

Y sus peligros:

http://www.mxlogic.com/securitynews/web-security/cligs-url-shortener-hacked-to-redirect-22-million-links091.cfm

Salu2

des dijo...

El repaso es acojonante, me ha encantado :)