AccelPrint: Huella digital de acelerómetro en smartphones

May 13, 2014, 3:01 pm

≫ Next: Alise Devices: Una seguridad anti-falsificación para Penny

≪ Previous: Auditar la WiFi del hotel con resaca y un jailbroken iPhone

Una de las cosas que más me llaman la atención son las técnicas de fingerprinting del dispositivo. Esos pequeños detalles que pueden ser utilizados para generar la huella digital de una conexión a Internet y poder después seguir las actividades de esa huella digital por toda la red y saber dónde y qué ha estado haciendo esa persona en contra de cualquier medida de privacidad que pudiera tenerse.

Normalmente esas huellas digitales se suelen generar a través del navegador de Internet, por lo que suelen conocer como WebBrowsing Fingerprinting. Sin embargo, muchas de las conexiones que se realizan contra servicios en Internet ya no se hacen mediante el navegador y por el contrario se hacen desde apps instaladas en el terminal smartphone del cliente, por lo que la mayoría de las técnicas de WebBrwosing Fingerprinting dejan de tener utilidad y hay que pensar en nuevas formas de hacer esa verificación de la huella a través de las apps y el smartphone.

La forma más evidente es usar los identificadores únicos de los terminales, tales como el UDID en los dispositivos Apple, el IMEI, o los ICC_ID. Pero como es conocido que pedir esos datos atentaría contra la privacidad de los usuarios del dispositivo, los sistemas operativos iOS de Apple o Android de Google tienen bloqueado por permisos el acceso a esos datos. En Apple, incluso, si se descubre que una app intenta acceder al UDID automáticamente se prohibe su publicación y se retira de la App Store, ya que esos datos - que alguna vez han sido filtrados - pueden ser utilizados para crear un provisioning profile con un troyano dirigido a un terminal concreto.

Pero como siempre, el estudio y el conocimiento avanza, e investigadores de las Universidades de Illionis, South Carolina y Zhejiang han publicado un curioso trabajo, titulado: "AccelPrint: Imperfections of Accelerometers Make Smartphones Trackable" que busca hacer la huella digital de un smartphone basándose en las imperfecciones que tienen los acelerómetros de los dispositivos.

Figura 1: AccelPrint, o como seguir smartphones por sus acelerómetros

Los acelerómetros ya han sido protagonistas indiscutibles en otros trabajos de seguridad, como side channel para hacer de keylogger analizando las mediciones que se obtienen por medio de las vibraciones o usando el acelerómetro para robar el PIN o el patrón de acceso de un smartphone midiendo los movimientos en los ejes y usando machine learning. Si te gustan estos temas, tampoco debe faltar la lectura del trabajo de Pin Skimmer que analiza los movimientos tomando fotografías. Incluso la propia Apple ha patentado utilizar el acelerómetro para detectar robos, y el CEO de Amazon lo patentó para detectar caídas y sacar un airbag.

Figura 2: El airbag para teléfonos móviles patentado

La idea de este trabajo en concreto es que, aunque los sistemas puedan bloquear el acceso al UDID, IMEI o ICC_ID, las apps no necesitan pedir permiso especial para acceder a los valores del acelerómetro y se pueden hacer mediciones de situaciones conocidas para conocer la huella digital, lo que permitiría a cualquier app saber cuándo un usuario se está conectando desde un dispositivo distinto, lo que podría significar simplemente un cambio de terminal o el robo de la credencial por parte de un atacante.

Figura 3: Acceder al IMEI, UDID o ICC_ID está prohibido, pero las apps acceden al acelerómetro

Los valores que se obtienen de un acelerómetro no solo tienen que ver con el movimiento que se le dé, sino que afectan también valores como la carga del sistema operativo, el montaje del terminal, la carcasa protectora que se le pueda poner al dispositivo y, como no, las pequeñas imperfecciones que de fábrica puedan traer los chips. Saber el chip que hay instalado en algún dispositivo a veces es evidente, pues como paso en iPhone, un cambio de acelerómetro hizo que fallaran muchas apps instaladas en el sistema.

Para poder comprobar si era posible generar esa huella digital, los investigadores hicieron primero unas pruebas con los modelos de acelerómetros más comunes integrados en terminales iPhone, Samsung, etcétera, en un entorno sintético controlado con una placa Arduino, y después con un sistema de movimiento controlado también por un Arduino medir los valores que entregan los distintos acelerómetros para saber si es posible medir o no variaciones en ellos y hacer una huella digital.

Figura 4: A la izquierda la medición sintética a la derecha la medición en real

Al final, las mediciones recibidas de seis acelerómetros, tratadas con un sistema de clasificación de datos para generar conjuntos descritos por un centro y un radio de dispersión que dejan a las claras cómo es posible reconocer cada uno de ellos en las diferentes mediciones.

Figura 5: Caracterización de los conjuntos de datos por diferentes acelerómetros

La exactitud de las huellas digitales de los acelerómetros tiene puntos que solventar para poder automatizar un proceso de creación, pero si el cambio entre dispositivos muy diferentes en tamaño, carcasa, cargas y modelos, podría permitir saber si es el mismo en el que estaba antes el usuario de la app o no.

Por supuesto, a medida que mejoren las pruebas y se complementen el número de características que se midan a nivel de dispositivo, se acabará consiguiendo un conjunto de características similares al WebBrwosing Fingerprinting, para tener un Device Fingerprinting basado en apps.

Saludos Malignos!

↧

Alise Devices: Una seguridad anti-falsificación para Penny

May 15, 2014, 4:00 am

≫ Next: Cálico Electrónico Temporada 5 Capítulo 4: "El Conde Mor y el Chola" y las firmas en el Salón del Cómic de Barcelona

≪ Previous: AccelPrint: Huella digital de acelerómetro en smartphones

Hace tiempo estuve dando unas charlas sobre el robo de identidad en las que pude contar con documentos oficiales falsos que habían sido utilizados en delitos. Recuerdo mirar aquellos documentos una y otra vez hasta fijarme en pequeños detalles que delataban que eran falsos. Por supuesto, en una inspección ocular de un par de un par de minutos no hubiera sido capaz de reconocerlos.

Las falsificaciones de cosas son muy comunes, las vemos en documentos oficiales de esos que se venden en algunos rincones de Internet, en tarjetas de aparcamiento para minusválidos, pero también en falsas entradas de espectáculos como los que estafaron con las entradas de One Direction y Bruno Mars, falsas medicinas como el caso de las pastillas contra el Cancer que se vendían sin ningún principio activo, etcétera. Falsificar cosas es un negocio que deja mucho dinero en el mundo hoy en día y por eso se crean medidas de seguridad físicas que permitan a los consumidores reconocer si el producto es genuino o falso.

Figura 1: Se vendían falsas medicinas contra el cáncer en farmacias y hospitales

En el mundo de los documentos oficiales, las medias de seguridad que se meten en billetes, carnets, pasaportes o documentos de identificación son cada vez más complejas, y algunas, como los Hologramas de Seguridad en 3D son muy difíciles de falsificar. Hoy en día esos Hologramas de Seguridad 3D están en billetes, tarjetas de crédito, etcétera, pero resulta que casi nadie sabe reconocer exactamente qué es lo que le hace especial.

Figura 2: 13 características en una tarjeta Visa

Conseguir hacer pegatinas que tengan un Holograma en 3D es fácil hoy en día, pero evidentemente no tienen todos los detalles que los Hologramas de Seguridad 3D que se usan en, por ejemplo, billetes y tarjetas de crédito hoy en día, y para un profesional de las falsificaciones no pasarían una inspección ocular ni de broma. Sin embargo, se siguen haciendo falsificaciones de billetes de dinero con una gran calidad que para el usuario final es difícil de distinguir. Yo personalmente me he topado con algún billete de 50 € falso que me había venido entre otros.

Figura 3: Billetes falsos de 50€ vendidos en la Deep Web

Por supuesto, a las personas que van a estar recibiendo dinero o haciendo cobros con tarjetas de crédito se les entrena para que sean capaces de reconocer todas las medidas de seguridad que llevan los billetes o las tarjetas de crédito, que como podéis ver son muchas.

Pero para el resto de los mortales, reconocer si unas medicinas son falsas, si unos juguetes han pasado realmente la certificación de la Comunidad Europea o si unas entradas son de verdad, se hace bastante complicado. Una vez más, las medidas de seguridad están al alcance solo de los profesionales y no para todo el mundo.

Figura 4: Dos imágenes distintas que se reconocen a la luz

Es por eso que desde que vi la tecnología de Alise Devices me gustó mucho el concepto. Una tecnología que le permite grabar en una superficie plástica transparente dos imágenes que pueden verse con un foco de luz - por ejemplo la pantalla de tu smartphone - puesta detrás. Aquí tienes un vídeo de 1 minuto que explica el concepto fácilmente.

Figura 5: Vídeo demostrativo de la tecnología de Alise Devices

Desde la primera vez que vi esta startup española salida de la Universidad Politécnica de Madrid y que acabó siendo seleccionada en Wayra, me encantó la idea, porque sería fácil para un usuario reconocer si una entrada que le están ofreciendo es auténtica o no con solo mirar si tiene una ventana con las dos imágenes grabadas en ella, pero especialmente importante en farmacias, jugueterías, etcétera, donde se podría verificar la autenticidad del envase.

Figura 6: Integrado en un envase de medicinas

Lo que a muchos se les viene a la cabeza siempre que se habla de este tipo de medidas es ponerlo en los artículos de lujo, como ropas caras, etcétera - donde también tiene sentido - pero en el mundo hay muchas cosas que se están falsificando que afectan masivamente a la ciudadanía y por tanto hay que darle soluciones que sean sencillas de aplicar, y esta me ha gustado.

Saludos Malignos!

↧

Cálico Electrónico Temporada 5 Capítulo 4: "El Conde Mor y el Chola" y las firmas en el Salón del Cómic de Barcelona

May 15, 2014, 3:02 pm

≫ Next: Puedes seguir hoy el evento de X1RedMásSegura online

≪ Previous: Alise Devices: Una seguridad anti-falsificación para Penny

Ahora mismo estoy de viaje de regreso a las Españas para irme de cabeza al Evento en el Senado sobre la Gobernanza en Internet. Han sido días intensos en Bogotá y he andado con el tiempo muy limitado, así que aprovecho para dejaros por aquí el nuevo capítulo de Cálico Electrónico que lanzamos el pasado miércoles noche. Es el de la Temporada 5 el Capítulo 4, titulado "El Code Mor y el Chola".

Figura 1: Temporada 5 el Capítulo 4, titulado "El Code Mor y el Chola"

Por último, hoy viernes, mañana sábado y el domingo, en el Salón del Cómic de Barcelona estará presente la Tienda Cálico Electrónico, con Nikotxan, el papá creador de Cálico Electrónico. El Horario de firmas para que te haga un garabato su excelencia es el siguiente.

Figura 2: Horario de firmas en el Salón del Cómic de Barcelona

Y nada más, recuerda recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que podrás descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

↧

Puedes seguir hoy el evento de X1RedMásSegura online

May 16, 2014, 11:02 pm

≫ Next: Area 51: Nuevo Distribuidor de 0xWord en Ecuador

≪ Previous: Cálico Electrónico Temporada 5 Capítulo 4: "El Conde Mor y el Chola" y las firmas en el Salón del Cómic de Barcelona

Hoy 17 de Mayo, Día de Internet, tiene lugar la última jornada de X1RedMásSegura, donde yo voy a dar una charla sobre las 11:15 para hablar sobre cómo usar Latch. El evento no está orientado a profesionales, sino que es una jornada de divulgación generalista para concienciar y mejorar la seguridad en general de la sociedad, así que las ponencias tendrán una derivación más hacia el usuario final. La agenda completa del evento es la siguiente:

Figura 1: Agenda de las jornadas X1RedMásSegura del 17 de Mayo

Si tienes tiempo y posibilidad, te puedes acercar al lugar donde se realizan, que es en el Auditorio del Edificio C de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la UPM en la Avenida Complutense nº 30 - Ciudad Universitaria - de Madrid. El punto exacto en Google Maps está aquí, y tienes una parada de autobús que te permite ir andando.

Figura 2: Ubicación del evento X1RedMásSegura

Si n puedes pasarte, no pasa nada, esta jornada se va a retransmitir online, así que puedes conectarte y seguir el evento online en el siguiente enlace, lo que te permitirá estar casi allí.

Saludos Malignos!

↧

Area 51: Nuevo Distribuidor de 0xWord en Ecuador

May 17, 2014, 10:01 pm

≫ Next: El servidor de tarjetas de embarque de acceso prioritario

≪ Previous: Puedes seguir hoy el evento de X1RedMásSegura online

Desde hace no mucho tiempo hemos añadido Area 51 como distribuidor oficial de 0xWord en Ecuador, para que se puedan adquirir allí todos los libros que forman el catálogo de 0xWord - que actualmente son 27 - con menos costes en los gastos de envío.

Figura 1: Area 51, distribuidor oficial de 0xWord en Ecuador

Puedes contactar con Area 51 de las siguientes formas:

- Web Oficial de Area 51 para realizar pedidos en Ecuador: www.area51.ec
- Página Facebook de Area51: Area.51.ec
- Cuenta Twitter de Area 51: @Area51_EC

Actualmente tenemos distribuidores en los países de Argentina, Colombia, Chile, Perú, México y Bolivia - las direcciones de todos ellos están en la web oficial de 0xWord - , y estamos mirando en otros países para que sea más fácil adquirir los libros de 0xWord. Si estás interesado en hacerlo, contacta con info@0xWord.com

Figura 2: Distribuidores de 0xWord en Perú, Argentina, Colombia, Bolivia, México y Chile

Si quieres estar al día de lo que se va publicando, nuevos distribuidores o estar al día de las ofertas que salen de 0xWord, puedes seguir la cuenta twitter de @0xWord.

Saludos Malignos!

↧

El servidor de tarjetas de embarque de acceso prioritario

May 18, 2014, 11:45 pm

≫ Next: Bing implementa Ext ... además de Filetype

≪ Previous: Area 51: Nuevo Distribuidor de 0xWord en Ecuador

Era la noche antes del último día de estancia en Bogotá y mi compañero me trajo impreso la tarjeta de embarque del vuelo que me iba a traer de regreso a esta Madrid y esta España que tanto quiero. Estabamos en el lobby del hotel en el que me alojaba y fue entonces cuando vi que en el hotel tenían un equipo preparado con una impresora a modo de mini business center para que cualquiera pudiera imprimirse sus tarjetas de embarque libremente, quitanto esa molestia al personal de recepción.

Ya en el año 2008, cuando estuve viviendo una temporada en Londres me había topado con algo similar, y en aquel entonces pude darme cuenta de que la gente es capaz de dejar cualquier cosa en estos equipos, pudiendo hasta ver las fotos que la gente se hacía en sus visitas a Londres.

Figura 1: Copias de mensajes de correo electrónico en la caché de Internet Explorer

Me acerqué entre curioso y aburrido, pues estaba un poco cansado de todo un día largo de trabajo, a ver qué localizaba. Iba más pensando en si tenían algún sistema de fortificación en el equipo que no permitiera hacer cosas - ya sabéis como si fuera un Internet Kiosk o similar - que pensando en negligencia de uso, pero en estas cosas puede pasar de todo.

La sesión estaba abierta, no sabía si estaba así por que era su estado natural o porque el último usuario había olvidado cerrarla. En el primer acercamiento, pulsé la tecla de Windows + E para ver si había alguna restricción pero.. nada. Todo abierto, incluida la red del hotel de los equipos de trabajo. La seguridad parecía no ser una prioridad, así que ya pierde un poco la gracia.

En ese punto, viendo que el equipo estaba entregado, lo único que se me ocurrió pensar es. "Vamos, no uso yo este equipo ni en broma.... pero.. ¿cuánta gente lo usará?" Como todo estaba abierto, se me ocurrió ir a ver qué gente habría uado el equipo mirando el historial de navegación, las descargas, las cookies, etcétera, pero en ese camino, cuando llegué a las descargas me paré, ya que no solo había bastantes archivos, sino que muchos de ellos eran tarjetas de embarque de vuelos.

Figura 2: Tarjetas de embarque (y correos electrónicos) en la carpeta de descargas del perfil del usuario de Windows

Las tarjetas de embarque son documentos que contienene información personal, lo que parece que a la gente no le preocupaba en demasía, pero además tienen el E-Ticket Number y el código del billete. Este código, además de utilizarse para entrar dentro del avión, donde se hace una comprobación fuerte de la identidad con la presentación del documento de identificación, se usa en otras dos zonas en los aeropuertos.

Figura 3: Una tarjeta de embarque de Iberia entre las descargas

El acceso a la zona de embarque y el acceso prioritario por el Fast Track

La primera de las zonas en las que se utiliza la tarjeta de embarque es para pasar - como era de esperar - a la zona de embarque, una zona que se supone que tiene control de acceso por las normas especiales que rigen allí. No es que a mí me motive visitar el aeropuerto más de lo que ya lo visito, así que lo único que me llamó la atención de los billetes que allí vi es que tenían el acceso Priority, que en algunos aeropuertos - como el de Adolfo Suarez en Madrid - da la posibilidad de pasar el control de seguridad por el Fast Track que es mucho más cómodo y donde no se hace una autenticación fuerte. ¿Qué pasaría si alguien pasa el control con el código de una tarjeta de embarque y luego viene el autentico dueño a pasar el control? No lo sé.

El acceso a la Sala VIP

La segunda de las zonas en las que se puede utilizar una tarjeta de embarque con acceso prioritario es en la Sala VIP, por supuesto. Allí, en mi experiencia personal, tampoco he visto un proceso de autenticación fuerte en la que se exiga documentación, y preguntando sobre este asunto algunas personas me han confesado que con un billte business de una persona entran varios haciendo fotos al código de barras y entrando con unos minutos de separación. Al final, una persona puede entrar y salir de la Sala VIP tantas veces como quiera, y por tanto el sistema no da muchas alertas sobre esto... en algunas salas.

De cualquier forma, si tienes costumbre de imprimir las tarjetas de embaque en Business Center, o usas equipos en ciber cafés u hoteles, intenta no dejar ningún dato personal, no usar ninguna contraseña y si te ves obligado a hacerlo, borra absolutamente todo, cambia las passwords o cierra el Latch mientras puedas.

Saludos Malignos!

↧

Bing implementa Ext ... además de Filetype

May 19, 2014, 3:19 pm

≫ Next: Cómo comenzar a utilizar Latch en tu vida digital desde hoy

≪ Previous: El servidor de tarjetas de embarque de acceso prioritario

Tener destreza en el hacking con buscadores es una función básica en el mundo de la seguridad informática y el pentesting. No solo los investigadores y profesionales de la seguridad buscan dominar estas técnicas, sino que hasta los equipos de ciberespías como los de la NSA tienen su propio manual para buscar cosas en la web.

Hay que conocer bien las diferencias entre cada uno de los motores y sus ventajas, para poder localizar la información que más convenga o utilizar los buscadores como "armas de destrucción masiva". En este último sentido, he encontrado el vídeo de una pequeña charla que di en el año 2010 con ese tema y he subido las diapositivas a mi canal de SlideShare y el vídeo a mi canal de YouTube.

Figura 1: Ataques XSS Google-Persistentes de "Buscadores como armas de destrucción masiva"

Dicho esto, en el artículo de hoy quería hablaros un poco de uno de esos buscadores que aunque mucha gente no lo crea, da un juego muy bueno en esto de usar los buscadores en el mundo del hacking: El motor Bing de Microsoft.

Google y Bing son motores muy distintos, y con capacidades a veces difícilmente comparables. En el caso de indexación, Google tiene una base de datos más grande y fuerza las búsquedas siempre de forma segura bajo HTTPs mientas que en Bing, ahora ya se puede hacer uso de HTTPs para las búsquedas sin toparse con errores de certificados digitales no como antes cuando yo me quejaba.

Pero a pesar de eso, ya os dejé un artículo en el que argumentaba mis 10 motivos para hacer Bing Hacking, entre los que están el uso del operador IP, la implementación de filetype, la búsqueda en empaquetados y binarios o los fantásticos resultados que se obtiene con el operador Contains. Al final, hay que conocer cómo se puede hacer uso de Bing Hacking.

Figura 2: Usando Ext para localizar en Bing ficheros .bak y .ora de configuración de Oracle

Hace no mucho tiempo, en Bing han añadido el operador Ext, algo que por supuesto existe en Google mucho tiempo atrás. Sin embargo, lo bueno es que mientras que en Google el operador Filetype y Ext funcionan exactamente igual, en Bing el comando Filetype reconoce el formato del archivo y Ext mira solo la extensión, que es lo que parece más lógico.

Figura 3: Ficheros de configuración .DSN (Data Source Name) y UDL (Universal Data Link)

Tener ahora en Bing la posibilidad de usar Ext en Bing abre todas las consultas habituales de Google Hacking para localizar ficheros de Citrix, ficheros de configuración RDP, los famosos ficheros UDL usados en Connection String Attacks, los mismos ficheros DSN de acceso a bases de datos o cualquiera de los Juicy Files que se te ocurran.

Figura 4: Ficheros Remote Desktop Protocol y Citrix ICA

Esto no sería demasiado importante, si no fuera porque muchos administradores tienden a olvidarse de que Bing, aunque en menor medida que Google a día de hoy, también indexa, y pueden pasar cosas como las que les sucedió al equipo de Gmail, que borraron las URLs de Google, pero no de Bing.

Figura 5: Búsqueda de Aplicaciones Lasso y Aplicaciones WebDNA

Al final, cualquier nueva función que se añada a los motores de búsqueda siempre será bienvenida, pues ampliará los resultados o mejorará la eficiencia a la hora de buscar los objetivos, así que bien por Bing al implementar Filetype... y Ext.

Saludos Malignos!

↧

Cómo comenzar a utilizar Latch en tu vida digital desde hoy

May 20, 2014, 3:01 pm

≫ Next: No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

≪ Previous: Bing implementa Ext ... además de Filetype

Si has escuchado mucho sobre Latch y has pensado en probarlo alguna vez, este artículo te ayudará a comenzar de la forma más sencilla posible, ya que te permitirá jugar con la tecnología de una forma rápida. Además, te voy a dejar algunas recomendaciones de uso, así que vamos a ello, paso a paso.

Paso 1: Necesitas descargar la app de Latch a tu smartphone

Para ser usuario de Latch lo primero que necesitas es descargar la app de Latch para Windows Phone, Android o iPhone y desde la misma app podrás registrar un cuenta de usuario de Latch y activarla. Así que, como paso inicial, descarga la app. En la siguiente URL tienes los enlaces de descarga de los markets.

Figura 1: Enlaces a las descargas de Latch para Android, iPhone y Windows Phone

Paso 2: Necesitas un correo electrónico anónimo

Para manejar los pestillos se utiliza una cuenta de correo electrónico. Para protegerte al máximo, esa cuenta debe ser anónima, es decir, no debe contener ningún dato personal tuyo. Yo te recomiendo alguna cuenta que pertenezca a un dominio que tu gestiones directamente o que uses Gmail o Hotmail. Usar Gmail o Hotmail tienen la ventaja de que puedes añadir un 2FA basado en SMS o Google Authenticator para evitar que te puedan robar alguna vez la cuenta de correo anónimo que gestiona tu Latch.

Figura 2: Verificación en dos pasos con Google Authenticator en Gmail

Si alguna vez pasara que te robasen la cuenta que gestiona tu Latch, no te preocupes, nadie podrá acceder a tus cuentas protegidas por Latch y solo deberás hablar con los proveedores de tus identidades para que borren los Latches creados después de verificar que tú eres tú.

Paso 3: Registra tu cuenta de Latch

Cuando ya tengas la app de Latch en tu smartphone y la cuenta de correo creada, lo que debes hacer es abrir la app de Latch y desde la pantalla de inicio deslizar hacia donde dice "Descubre Latch". Esto te llevará a cuatro pantallas que explican el proceso de pareado de cuentas. En la última de ellas, tendrás la opción de comenzar el Proceso de Registro.

Figura 3: Descubre Latch y pantalla de registro

Cuando comienza el proceso de registro, solo se te va a abrir un formulario con los campos que se pueden ver en la Figura 4. No se pide ningún dato personal, todo es totalmente anónimo. Solo necesitas introducir la cuenta de correo, el nombre con el que quieres que te comuniquemos. Yo he elegido Pato Donald, que siempre me ha gustado, y la contraseña que quieras usar.

Figura 4: Registro de la cuenta de Latch

Paso 4: Activa tu cuenta de Latch

Cuando des al botón de Registrarme, se enviará un correo electrónico de confirmación al buzón de tu correo electrónico. En él, viene un enlace de desafío con un token único para completar el proceso de registro.

Figura 5: Correo electrónico para activar la cuenta de Latch

Si te falla porque tu cliente de correo ha cortado el hipervínculo, en el mensaje tienes las instrucciones para manualmente crear el enlace de confirmación adecuado. Cuando hagas clic, ya podrás comenzar a usar Latch con tu cuenta

Paso 5: Pareando tus primeras cuentas

A día de hoy hay integradas más de 1.200 aplicaciones integradas en Latch. Por la arquitectura del sistema, muchas de ellas no sabemos qué son o dónde están, ya que son integraciones propias de servicios o sitios integrados con alguno de los plugins disponibles para los frameworks de Internet.

Figura 6: Estadísticas de apps integradas en Latch

Sin embargo, te puedes sacar una cuenta de los siguientes sitios en Internet y proteger la identidad con Latch. Esta es una lista corta para que empieces a probar:

- Canal cliente de Movistar en España: Guía de instalación de Latch
- Canal cliente de Movistar en Uruguay: Igual que canal cliente de España
- Universidad de Salamanca: Entorno de Single Sing-ON con Latch
- Cuenta de Tuenti: Manual de Latch en Tuenti y HTTPs
- Cuenta de Shodan con Latch
- Cuenta de 0xWord: Tiene implementado OTP opcional
- Cuenta de Nevele Bank: Implemetado Latch con operaciones y OTP opt-in
- Cuenta de eGarante con Latch
- Cuenta de RecoverMessages con Latch
- Panel de Control de Acens con Latch

En cuanto vayan acabando las implementaciones de sitios grandes que tenemos en curso, os iré informando de ello. Si queréis implementarlo en vuestro sitio, poneros en contacto con Eleven Paths y si queréis que se implemente en algún sitio, pasadnos la información para explorar las posibilidades.

Saludos Malignos!

Actualización: De mi paso por Colombia han publicado una conferencia de 1 hora sobre Latch. Aquí la tienes:

Figura 7: Conferencia sobre Latch impartida en Colombia

↧

No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

May 21, 2014, 10:37 pm

≫ Next: Usar las Google Glass puede provocarte dolores en los ojos

≪ Previous: Cómo comenzar a utilizar Latch en tu vida digital desde hoy

Hace ya un tiempo me pidieron escribir un decálogo sobre seguridad informática para entregar en un evento en el que iba a participar. Como siempre, huyendo de formalismos establecidos decidí escribir en tono de humor algunas de las ideas que llevo siempre dentro de mi cabeza - o debajo del gorro para según quién -. Entre las diez reglas que escribí, recuerdo que una de ellas decía:

"Pagarás todo el dinero del mundo por securizar tus sistemas…

una vez te hayan hackeado y expuesto públicamente. ".

Inexplicablemente, día tras día, veo esta afirmación respaldada por la actualidad de Internet que no deja de traer, una tras otra, noticias de empresas que han sido afectadas por esta norma del decálogo maligno que escribí.

Figura 1: Bitly hakeado solicita resetear passwords

La última de ellas que ha venido a respaldar el enunciado ha sido ~~la empresa Bit.ly~~ la web de Ebay que ha visto como sus cuentas de usuario han quedado expuestas públicamente y ha tenido que pedir el reseteo de contraseñas masivo.

Figura 2: Después del 21 de Mayo hay que cambiar la password

En ambos casos, tanto en Bitly como en Ebay los datos se fueron para siempre, y como suelo decir en las charlas de Digital Latches, una vez que los datos de un cliente han sido expuestos, han sido expuestos para siempre. Puedes pedirle al usuario que cambie la password o que cancele la tarjeta de crédito, pero no puedes pedirle que se cambie el nombre, los apellidos, dónde vive, la fecha de nacimiento o los números de identificación de documentos oficiales como el DNI o el pasaporte. Tu eras responsable de sus datos, y ahora ya no hay forma de controlarlos porque están en la red para siempre.

Para evitar que alguien pueda sufrir un robo de identidad y cualquiera de las consecuencias que esto pueda acarrear, en el caso de Bitly se ha implementado un sistema de Autenticación de Segundo Factor para sus identidades, mientras que en el caso de Ebay ya lo tienen...- al menos en USA, pero no en Ebay.es, donde aún por defecto el sitio funciona en HTTP y no HTTPs y no hay forma de encontrar donde poner un 2FA -.

Figura 3: Zona de configuración de cuenta de Ebay.es bajo HTTP

Esto no solo le pasa a empresas de este tamaño, sino que empresas tan importantes, poderosas, grandes y con tanto dinero en caja como Apple no han tenido una media de seguridad en 2FA en sus sistemas de identidad hasta que el número de incidentes como el del periodista de la revista Wired, Matt Honan que según sus palabras fue "brutalmente hackeado" no han salido a la luz pública.

Lo triste es que, una vez que los datos se han esfumado, puedes solicitar el reseteo de la contraseña -incluso aunque sea casi 2 meses después de que la base de datos hubiera robada como en el caso de Ebay, que dicen que perdieron la base de datos a finales de Febrero o principios de Marzo, robando las credenciales de empleados de Ebay porque NO tenían 2FA en sus cuentas de usuario internas.

Figura 4: la base de datos fue robada a finales de Febrero, principios de Marzo

La fortificación de sistemas

La fortificación de cualquier sistema informático se basa en tres reglas archi-conocidas fácilmente entendibles y reconocibles por cualquier persona. La primera de ella dice que debes aplicar siempre el Mínimo Privilegio Posible en todas las piezas de tu sistema - incluidos tus usuarios -. La segunda habla de crear un sistema con la Mínima Superficie de Exposición, o lo que es lo mismo, que reduzca al máximo los puntos expuestos a un atacante. El tercer principio es el más genérico y más importante de todos: Defensa en Profundidad.

Defense in Depth, que dicen los anglosajones, recopila bajo su paraguas todas las medidas de seguridad que ayuden a fortificar el sistema en cualquiera de las capas, siempre y cuando una medida no anule a otra. Si puedes poner otra capa de seguridad para proteger tus sistemas y no rompe una medida de seguridad anterior y no va en contra de la disponibilidad del servicio, ponla.

Piensa como un hacker y hackeate a ti mismo

En un sistema informático, al igual que hacen los hackers e investigadores de seguridad, hay que poner en tela de juicio siempre las protecciones de seguridad que tiene actualmente el sistema para poder pensar en la siguiente medida a implantar. Pensar como un atacante para descubrir cuál es el punto más débil en el sistema que tienes actualmente y planificar como un CSO deben ser parte de la tarea diaria.

Descubrir si lo que necesitas es una protección de 2FA basada en sistemas SMS o más evolucionado como Latch, es tan fácil como descubrir si es sencillo o no robar las credenciales de personas clave de tu compañía como le ha pasado a Ebay. Es sencillo y lo puedes hacer tú, aunque viendo todo lo que ha pasado ya a tantas y tantas empresas que han sufrido el robo de cuentas, parece innecesario.

O bien dentro del próximo proceso de auditoría de seguridad, o como una prueba ad-hoc, hazte un ataque de phishing a ti mismo. Para ello busca las direcciones de correo electrónico de 50 personas de tu compañía o de 50 clientes y envíales un correo de phishing bien armado que les lleve a una web donde se les pida el usuario y la contraseña con el gancho de ser una campaña interna de la empresa para poder participar en un sorteo de la compañía. Haz bonita la web y luego parate a contar el número de credenciales que la gente entrega por la promesa de poder ganar un premio interno. Me apuesto el gorro a que te sorprendería.

Planifica como un CSO ... a pesar de tus jefes

Si eres un CSO y no tienes un Plan Director de Seguridad que te vaya indicando cuál es la siguiente medida de protección que debes aplicar dentro de la regla de Defensa en Profundidad, tal vez no estás gestionando del todo bien tus sistemas. Si pones una medida de seguridad como un segundo factor de autenticación solo después de que has tenido un escándalo, un robo de identidad o un hackeo, probablemente tendrás el mismo problema con otra medida de seguridad en el futuro.

De todas las medidas que tengas que poner, prioriza sabiendo cuáles de ellas van a requerir presupuesto, y cuáles solo voluntad de tu equipo. Si necesitas presupuesto y no tienes, entonces hackea a tus jefes y haz campaña para que entiendan la importancia. Mételos en el ataque de phishing si es necesario.

Haz magia como Harry Potter

Si tienes gente con voluntad de cambiar las cosas, pasionales por la tecnología, con ganas de transformar la compañía a pesar de la compañía, entonces piensa en todas las cosas que se pueden hacer con cero o poco dinero. Aplicar una medida como Latch en una web o servidores Linux, es algo que lleva unos minutos y es gratis si hay menos de 50 usuarios.

No esperes a que hackeen tu sistema para poner la próxima medida de seguridad. Piensa ya como un hacker, atácate a ti mismo, y planifica como solo un CSO sabe hacer, "haciendo magia" con los presupuestos y los recursos, además de pegándose con la gente de negocio. No pensarías que iba a ser fácil ese rol, ¿verdad?

Saludos Malignos!

PD: No os olvidéis de cambiar las contraseñas de Ebay, yo ya he acabado de cambiar las mías.

↧

Usar las Google Glass puede provocarte dolores en los ojos

May 22, 2014, 10:01 pm

≫ Next: Un estudiante me pide robar los exámenes de su instituto

≪ Previous: No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

Google lanzó durante tiempo limitado un número muy limitado - valga la redundancia que utilizo para enfatizar que todo ha sido muy limitado - de unidades de Google Glass. Tras las primeras pruebas, más de uno se ha quejado de que le dolían los ojos y la cabeza.

Figura 1: Quejas en Twitter de dolores de cabeza al usar Google Glass

Según parece esto es debido a que las gafas de Google pueden obligar a los ojos a hacer movimientos que habitualmente nunca antes habían realizado, lo que puede provocar dolor de ojos y de cabeza. Esto está reconocido por los médicos de Google. Viendo esta noticia, además de contaros lo del "dolorcillo", he hecho mi propia interpretación en modo No Lusers, que es lo que os dejo por aquí.

Figura 2: No Lusers 170 - Dolor de ojos al usar las Google Glass

Cuando estuve en Google X yo tuve la ocasión de probarlas en primera persona, y la verdad es que no me sentí demasiado cómodo con ellas. Tal vez, solo tal vez, en el futuro las funcionalidades que ofrezca el usar las Google Glass sea suficientemente útil para mí, y me anime a tener unas.

Figura 3: Más dolores de cabeza con Google Glass

De momento, las críticas no han sido buenas, y respecto a la calidad el comentario tras el despiece de las Google Glass ha sido que el hardware es "Dirty Cheap". ¿Alguno de vosotros las ha probado a fondo o tiene alguna opinión fundada sobre ellas?

Saludos Malignos!

↧

Un estudiante me pide robar los exámenes de su instituto

May 23, 2014, 3:01 pm

≫ Next: No Lusers 171: Emociones Intelectuales

≪ Previous: Usar las Google Glass puede provocarte dolores en los ojos

Tantas veces he recibido peticiones de hacer cosas ilegales, que al final he actualizado la página de contacto de mi blog para dejar claro que esto no es una cosa de hackers, sino de otro tipo de gente. Por culpa de los mass-media esto pasa demasiado a menudo, por desgracia.

En el caso de los estudiantes y las notas, había recibido peticiones similares a este muchas veces, pero todas habían tenido que ver con las notas de la Universidad o exámenes de oposición, a los que siempre les he dicho que es mejor suspender y aprobar después, que aprobar de forma fraudulenta, además de que te puede llevar a ser estafado por andar por la vereda oscura de Internet.

Figura 1: El twitt publicado, por si quieres ver las opiniones de la gente

Sin embargo, esta vez es la primera vez que recibo una petición de parte de un estudiante de un instituto, lo que me da bastante pena que esto haya sido así. Este es el correo electrónico que recibí y publiqué en mi cuenta de Twitter.

Figura 2: El correo electrónico que recibí a las 4:53 de la madrugada

He estado tentado de poner los datos del instituto, pero creo que sería echarles a ellos encima una mala imagen que tal vez no merezcan. No obstante, voy a intentar ponerme en contacto con ellos para que trabajen en clase que este tipo de cosas son delitos que te pueden llevar a tener problemas legales serios. A parte de esto, mi respuesta fue tan sencilla como evidente.

Figura 3: Respuesta que le envié.

Si eres profesor de instituto, por favor, explica a tus alumnos los problemas que pueden tener por insultar, amenazar o acosar a personas por las redes sociales, por colarse en los equipos de sus vecinos por la WiFi, por crear perfiles falsos en las redes sociales, etcétera. Últimamente he visto muchas denuncias de casos similares a estos que han terminado mal para jóvenes menores de 20 años, y creo que ya es hora de que empecemos a trabajarlo de forma seria.

Saludos Malignos!

↧

No Lusers 171: Emociones Intelectuales

May 24, 2014, 10:14 pm

≫ Next: USB Rubber Ducky: Un teclado malicioso como un pendrive

≪ Previous: Un estudiante me pide robar los exámenes de su instituto

Durante este año 2014 me ha tocado viajar bastante. Durante estos vuelos he vuelto a echar mano de Autodesk Sketch Pro para hacer unos No Lusers, que he ido acumulando sin publicarlos por aquí. Muchos de esos dibujos tienen que ver con cosas que van pasando y que yo interpreto a mi manera, otras son solo garabatos que tengo que saber por qué salieron de mí. Uno de esos que salió de mezclar ideas inconexas en mi cabeza es este que os dejo aquí.

Figura 1: No Lusers 171 - Emociones Intelectuales

¿De donde salió esto? Pues desde que vi la película de Inteligencia Artificial de Stanley Kubrick vuelvo periódicamente a hacerme las preguntas que en ellas se plantean sobre la relación humano y máquina. Cuando vuelvo a ella siempre está presente presente en mis cavilaciones película de Blade Runner y su test emocional de Voight-Kampff, basado en los enunciados del test de Turing, mucho más presente por todas las curiosidades que he leído sobre Alan Turing en el libro de Microhistorias mis amigos de Cyberhades.

Figura 2: El test de Voight-Kampff en Blade Runner

Todas esas reflexiones confluyeron en mi cabeza al ver que el mítico y sempiterno trabajo de Forges ha cumplido estos días 50 años. Viendo un reportaje sobre Forges, me acordé de su trabajo con MegaTorpe en la colección de libros de Informática para Torpes.

Figura 3: La pérdida de la ilusión según Forges

Con todo este en la cabeza, acabó por salir la tira que habéis visto arriba. Compleja la forma en la que la mente funciona, que es capaz de unir cosas de hace años con acontecimientos recientes. Compleja y curiosa cuanto menos.

Saludos Malignos!

↧

USB Rubber Ducky: Un teclado malicioso como un pendrive

May 25, 2014, 3:01 pm

≫ Next: Localizar direcciones e-mail en servidores PGP KeyServers

≪ Previous: No Lusers 171: Emociones Intelectuales

En el mundo de la seguridad informática hay todavía empresas, administradores y usuarios comunes que no han tomado conciencia de la importancia que tiene la seguridad física, un punto clave a tener muy en cuenta. Siempre hay gente que quiere robarle la contraseña a su pareja, a su jefe, a su empleado, espiar tu historial de sitios que visitas en Internet, las cookies del Facebook, robarte los passwords de la red WiFi, o robar documentos como hizo Edward Snowden con los documentos de la NSA. Supongo que las listas de correos que recibo con esas peticiones os deberían servir de muestra más que suficiente de con quién os jugáis los cuartos.

Existen técnicas y maneras de conseguir acceso físico a un equipo y explotar las vulnerabilidades, y lo único que hay que hacer es forzar los condicionantes adecuados para poder llevarlo a cabo. Perder de vista el equipo o prestarlo a un amigo un momento para revisar las novedades de algún blog, o separarte de tu escritorio por unos momentos para ir al lavabo, es tiempo suficiente para que un atacante pueda llegar y enchufar un dispositivo como el “USB Rubber Ducky”.

Este dispositivo es un teclado programado con forma de USB que nada más conectarse comienza a escribir en el equipo de forma automatizada, para lanzar programas y herramientas que bien pueden estar en el equipo víctima o cargados en la memoria Micro SD que lleva incluida.

Figura 1: Estructura de USB Rubber Ducky

En cuestión de segundos tendría acceso a información que se podría subir automáticamente a un servidor FTP u otro sitio. Algo parecido a lo que se explicaba con USB Dumper, pero al revés, es decir, en lugar de ser el servidor el malicioso que roba los datos del USB, sería USB Rubber Ducky el que robaría los datos al equipo.

En este vídeo de ejemplo que hizo TorresCrack248 se puede ver como en cuatro segundos se puede robar la contraseña del administrador de la computadora, lanzando con USB Rubber Ducky un script basado en Mimikatz que acceda a los datos.

Figura 2: Vídeo demostrativo del uso de USB Rubber Ducky

¿Qué es USB Rubber Ducky?

Casi todos los sistemas operativos de computadoras portátiles, tablets o smartphones permiten la comunicación con el usuario a través de los teclados USB. Es por eso que hay una especificación en el estándar USB ubicua conocida como HID (Human Interface Device)– o dispositivo de interfaz humana. En pocas palabras, cualquier sistema operativo al que conectemos el USB Rubber Ducky lo detectara y será bien aceptado automáticamente como si se hubiera conectado un teclado, ya sea en Windows, OS X, Linux o Android.

Al final, el teclado sigue siendo un interfaz fundamental y lo que hará USB Rubber Ducky es "teclear comandos" en el sistema como si lo estuviera haciendo el usuario que se ha conectado a la sesión. Usando un sencillo lenguaje de programación y un editor de texto podríamos compilar un binario que automatice diversos “payloads” con lo cual podríamos realizar ataques en cuestión de segundos.

Figura 3: Estructura interna de USB Rubber Ducky

Con una idea similar, el libro de Hacking iOS se explica cómo usando un Teensy 3.0, en lo que se basa USB Rubber Key, se simula un teclado por USB para iPad para lanzar un ataque de fuerza bruta porque no hay protección de número de intentos para el teclado y se rompe el passcode de un iPad - uno de los muchos trucos de saltarse el passcode de iPhone & iPad.

Figura 4: Ataque de fuerza bruta al passcode de un iPad con Teensy 3.0
Debido a su estructura, los sistemas operativos ofrecen una confianza inherente a las pulsaciones del teclado, por lo tanto los dispositivos que abusan de la interfaz HID no pueden ser detectados por las contramedidas tradicionales de forma sencilla ya que iría contra la filosofía Plug&Play de los sistemas. Esto hace que sea una herramienta muy útil en procesos de pentesting internos, ataques de ingeniería social del tipo "¿me puedes imprimir un documento?" o de auténticos atacantes de dentro de la organización.

¿Qué ataques se pueden realizar?

Al final, cuando un usuario pincha un USB Rubber Ducky en su sesión de usuario es como si le hubiera dejado el teclado al atacante para que este ejecutase lo que quisiera. Es decir, este ataque se aprovecha de la confianza del usuario, que al final siempre es “el eslabón mas débil” o de la seguridad física de muchos equipos expuestos.

¿Cuántos de ustedes han llegado a alguna oficina gubernamental, banco y tienen a simple vista y acceso a los puertos USB de los equipos? ¿A cuántos de ustedes les han prestado algún equipo para revisar el correo, las redes sociales, etcétera? ¿Cuántos no tienen en la oficina un equipo de un compañero con cuentas de diferentes administradores o que tenga más permisos que el resto? ¿Cuántas veces no has visto un puerto USB en un Kiosco de Internet o un Punto de Información? Si ninguno de esos puertos bloquea el interfaz HID, puedes hacer el ataque. Al final quizás agregar, subirlas a un servidor FTP en cuestión de segundos.

Seguro que os ha tocado llegar a una oficina a resolver tramites y la persona que te atendió tuvo que salir un par de minutos, y esto es tiempo suficiente para un atacante enchufar el USB Rubber Ducky y lanzar el payload - en lugar de hacer un David Hasselhoff para robar las passwords -. Por mencionar algunos ataques brevemente:

* Recolección de información del sistema operativo.
* Robar información importante de los navegadores de Internet.
* Robar y usar las cookies de las sesiones abiertas.
* Hacer capturas de pantalla del escritorio y carpetas importantes del sistema.
* Robar y utilizar las contraseñas de las conexiones WiFi de la víctima.
* Subir la información a traves un servidor FTP.

Ataques dirigidos al sistema:

* Agregar usuarios con permisos administrativos al equipo de la víctima.
* Borrar usuarios del sistema.
* Hacer Pharming de DNS.
* Infección del sistema descargando y ejecutando un binario de Internet.
* Crackear passwords del administrador en el sistema.
* Crear un Backdoor WiFi.
* Bloquear programas en el sistema operativo de forma sigilosa.

¿Cómo podemos protegernos de estos ataques?

Desde que el grupo de hackers de Hack5 hizo pública la herramienta, algunos siguen pensando que desactivando el “autoplay” de los discos USB podrían detenerlo, pero esto no es posible hacerlo de esa manera ya que el ataque no sea hace vía un USB de almacenamiento sino como si alguien estuviera tecleando en un teclado USB.

Las formas que se puede utilizar para detectar que un USB es realmente un HID USB, se puede hacer un script en PowerShell que enumere la lista de dispositivos HID que alerte cuando uno nuevo se haya conectado y se bloquee. Aquí hay información sobre cómo acceder a la lista de los dispositivos desde PowerShell. A partir de ese punto, la forma en la que quieres estar protegido depende de ti.

En el trabajo de Adrian Crenshaw, titulado "Plug & Prey: Malicious USB devices" que fue presentado en la ShmooCON 2011 se explica en detalle la lista de posibles ataques que se pueden hacer por USB. Entre ellos, por supuesto, los teclados USB que abusan de la interfaz HID. Aquí tenéis el vídeo para ver la conferencia.

Figura 5: Plug & Prey - Malicious USB Devices

En el trabajo se presta especial atención a los PHUKD (Programmable HID USB Keyboard/Mouse Dongle) ya que no solo simulando un teclado malicioso es el problema, y la simulación de un ratón malicioso que hiciera clics en zonas concretas sería igual de peligroso. Para proteger los USB utilizando las políticas GPO de Windows hay que tener en cuenta que si el usuario que pincha el USB Rubber Ducky es una administrador, siempre podrá cambiar la política, pero lo dificultaría. Esto hace que fuera factible, dentro de una política de Maximizar la seguridad de un Windows, usar listas blancas de los dispositivos USB que se pueden conectar a un equipo.

Figura 6: GPO para prevenir la instalación de dispositivos USB no autorizados

De todas formas, como utilidad de monitorización, Adrian Crenshaw recomienda usar USBDeview, que muestra en tiempo real toda la información de todos los dispositivos USB que se conectan, detectando aquellos que son PHUKD en la lista.

Figura 7: USBDeview

Alex TorreCrack ha hecho una herramienta de protección ante estos ataques que liberará en breve llamada Shielducky que hace fácil controlar estos ataques monitorizando los dispositivos HID sin tener que desactivar los puertos USB desde la BIOS/UEFI, etcétera. La interfaz es bastante amigable y fácil de usar ya que basta como presionar un simple botón para detectar cualquier HID que se conecte y bloquearlo.

Figura 8: Shielducky - una herramienta para bloquear dispositivos USB HID

Así que te recomiendo tener cuidado porque en cualquier momento sin que te des cuenta te pueden intentar “enchufar” un USB Rubber Ducky en lugar de un pendrive cuando te descuides. Ten cuidado.

Saludos Malignos!

↧

Localizar direcciones e-mail en servidores PGP KeyServers

May 26, 2014, 11:08 pm

≫ Next: Esteganografía, Estegoanálisis y Hacking & Seguridad en Comunicaciones Móviles

≪ Previous: USB Rubber Ducky: Un teclado malicioso como un pendrive

Cuando se plantea hacer un test de intrusión a una compañía, una de las pruebas habituales es probar la tolerancia que tiene la organización a ataques dirigidos en modo APT con alguna prueba de phishing. Algo similar a como decía yo que había que probar la seguridad de tu organización para saber si se necesita con urgencia un plan de concienciación interno para el personal y alguna solución de segundo factor. El objetivo es fácil: robar identidades internas para conseguir accesos privilegiados a la red.

Para ello se deben recopilar los posibles objetivos, para lo que hay que buscar las direcciones de correo de las posibles víctimas, que luego se podrán buscar por distintas redes sociales para interactuar con ellos y hacerles el ataque.

Localizar esos correos puede hacerse de muchas formas, desde usar The Harvester o Maltego para localizarlos en los buscadores, hasta hacer un spidering & crawling al sitio para localizar las direcciones de correo electrónico publicadas en la web, pasando por buscar en las bases de datos de identidades dumpeadas, revisando con la FOCA para extraerlos de los metadatos o en los lugares de configuración well-know, como los registros SOA del DNS, los datos en los Certificados Digitales o la información histórica de las entradas de Whois. Todo vale para localizar datos.

Figura 1: Correos electrónicos de fbi.gov localizados por Maltego

Una de las cosas que se pueden utilizar también son los servidores de claves públicas PGP. Si una persona está utilizando PGP (Pretty Good Privacy) para firmar y/o cifrar sus correos es necesario que comparta su clave pública PGP para que alguien pueda cifrar el contenido del mensaje con ella y garantizar que sólo él puede ver el contenido.

Para que sea fácil la distribución de claves públicas PGP se crean servidores de claves públicas llamados KeyServers que pueden ser consultados con clientes para hacer búsquedas. Estos servidores se montan en las organizaciones normalmente en el puerto 11371, así que un sencillo escaneo de puertos nmap en la red por ese puerto debería dejarte localizarlos.

Lo bueno es que también hay servidores de claves PGP públicas que funcionan vía web, desde que se publicó OpenPGP HTTP Key Server en el MIT, que permiten hacer búsquedas usando comodines. Así, si la clave es pública, puedes buscar direcciones de correo de cualquier organización.

Figura 2: El servidor OpenPGP del MIT

Algunas de esas claves son creadas y publicadas con cierto trolleo, porque al buscar las del FBI me han salido algunos resultados, que parecen cuanto menos sospechosos de haber sido inyectados como claves fake. Al final uno se crea el certificado digital que quiere y lo distribuye, incluso sin tener que ser suya la dirección de correo electrónico.

Figura 3: Resultados obtenidos al buscar fbi.gov

Este servidor del MIT no es el único, en España hay un servidor de claves PGP públicas en RedIris que también puede usarse para buscar datos en los certificados públicos PGP de, especialmente, dominios de la universidad.

Figura 4: Servidor de claves PGP públicas en RedIris

También tiene un servidor de claves públicas PGP el propio dominio de PGP.com donde aparecen otras bases de datos. Recordar que PGP es un software comercial también, y es quién ofrece este servidor.

Figura 5: Servidor de claves PGP públicas en PGP.com

Buscando por Internet pueden aparecer más servicios de claves públicas PGP en la web, como este que está en Alemania. Al final, cualquier pieza de información puede ser útil en un ataque, y nosotros en nuestro sistema de pentestig persistente Faast - que también cuida de que no se caduquen los certificados digitales como el gran FAIL que le ha pasado a Apple - buscamos en todos ellos para poder el mayor número posible de información a la hora de lanzar los plugins de pentesting contra los servicios.

Saludos Malignos!

↧

Esteganografía, Estegoanálisis y Hacking & Seguridad en Comunicaciones Móviles

May 27, 2014, 10:38 pm

≫ Next: Unos estafadores utilizan la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

≪ Previous: Localizar direcciones e-mail en servidores PGP KeyServers

Hace tiempo que no os hablo de los libros en los que estamos trabajando en 0xWord, pero no son varios los proyectos que tenemos en marcha. Hoy toca ya presentar dos que ya están en el horno para que puedan estar en vuestras manos a partir de la semana que viene.

Esteganografía y Estegoanálisis: Creación y detección de canales encubiertos

El primero de los libros ha sido largo sacarlo, pero al final hemos conseguido tener un texto que recoge teoría, técnicas, prácticas con programación y hasta ejercicios de uso de esteganografía y estegoanálisis de forma didáctica y profesional. El texto ha sido escrito por Jordi Serra - compañero y amigo de la UOC - y Daniel Lerch, que han contado con la colaboración de Alfonso Muñoz - autor del libro de Criptografía - y apasionado también de estas técnicas de creación y detección de canales encubiertos.

Figura 1: Libro de Esteganografía y Estegoanálisis

El libro está publicado en: Libro de Esteganografía y Estegoanálisis. El índice del libro con todos los contenidos lo podéis descargar desde la siguiente URL y este texto en breve estará también disponible dentro del pack de libros de colección completa de 0xWord.

Hacking de Comunicaciones Móviles (2ª Edición)

Hacía tiempo que se había agotado la edición anterior, pero aunque hemos tardado en tener la segunda edición lista ha habido un motivo: Queríamos revisar y actualizar las técnicas de ataque. Así, este nuevo texto amplía lo conocido sobre 4G, explica más en detalle las técnicas y herramientas de ataque a comunicaciones 3G además de ampliar los contenidos.

Figura 2: Hacking y Seguridad de Comunicaciones Móviles (GSM, GPRS, UMTS, LTE)

El libro está publicado en: Libro Hacking y Seguridad en Comunicaciones Móviles (GSM, GPRS, UMTS, LTE). El índice del libro con todos los contenidos lo podéis descargar desde la siguiente URL y este texto en breve estará también disponible dentro del pack de libros de colección completa de 0xWord.

Dentro de poco espero poder daros más novedades editoriales desde 0xWord, que seguimos trabajando para tener los nuevos temas en el catálogo.

Saludos Malignos!

↧

Unos estafadores utilizan la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

May 28, 2014, 3:01 pm

≫ Next: Adware & Política: WiFi Hacker 2014 Pro y Foro Político

≪ Previous: Esteganografía, Estegoanálisis y Hacking & Seguridad en Comunicaciones Móviles

Hoy os vengo a contar una historio curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android. De cómo lo hace, y de cómo actúa una persona así. Para que quede claro, voy a comenzar la historia desde el principio, para que podáis seguir todo el hilo de investigación y al final me deis vuestra opinión.

El Greyware y las apps en Google Play

Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay mucho greyware, spyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.

Figura 1: Un falso desarrollador vendiendo falsas apps de Apple

Es decir, software malicioso que roba datos engañando a los usuarios con unas políticas de privacidad y términos legales de difícil acceso y compresión, algo que se están encargando de hacer ilegal desde hace tiempo, para exigir más claridad y menos estafadores como estos.

Unapp.es se hace una base de datos con tus datos

Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda y que nos llevó a preguntarnos por qué.

Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps que engañan al usuario. Saber a cuáles son los datos a los que acceden es fácil de comprobar, y mirando el código aparece esta sección que se publicó en el blog de Eleven Paths en el que se aprecia que se lleva datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.

Figura 2: El código que se lleva los datos a un servidor llamado bd.unapp.es

Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos haciendo una búsqueda Whois para ver que detrás de él está Santiago M.A.

La ofensa y amenaza

Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales la explicación de por qué se llevan esos datos - aunque no se notifica al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:

" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"

Adecuados, pertinentes y no excesivos. ¿El IMEI? Es curioso que la propia Google, en su política de apps advierte de que esta práctica, sin un consentimiento explícito del usuario para acceder al IMEI - explícito al IMEI - está prohibida.

Figura 3: Política de Google Play de acceso al IMEI

El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.

El caso de una app falsa con la imagen de Menéame

Lo más gracioso, es que las apps que se distribuyen son fake-apps, y no hacen lo que prometen o no están activas y utilizan técnicas agresivas para la difusión. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen de Menéame, Google y un juego de niños.

Figura 4: El desarrollador Androcia mete el mismo código de fake app

En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.

Figura 5: Menéate con Menéame. Una fake app que te roba tus datos.

Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.

Figura 6: Comentarios de obligación

Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, etcétera. Datos imprescindibles para ver el contenido según ellos.

Figura 7: A los 20 segundos te automáticamente da por aceptada la política

Sin embargo, como lo que interesa es ganar dinero, los datos de la persona sí que se envían al servidor de publicidad que está utilizando, tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador de Android.

Figura 8: Como se puede ver, se envían los datos a un servidor incluso sin aceptar la política

Por supuesto, una vez que la instalas, la app o no hace nada, o te muestra unas bonitas animaciones que no tienen desperdicio, como que está cargando algo. Lo más curioso es que encima de solo meter una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.

Figura 9: Una de las animaciones que usa en sus fake apps de hacking WiFi

Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware & spyware haciendo fraude online es de un nivel de dispersión grande.

El resto de las apps que mantienen su negocio de greyware

Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps utilizadas en este negocio es muy grande. Así, además del primer desarrollador que vinos antes que utilizaba este negocio, hay muchos más y en Eleven Paths estuvimos buscándolos.

El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.

Figura 9: Las apps de Nave Real, un desarrollador que roba igualmente los datos

En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.

Figura 10: Las apps de Multimedia apps

En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.

Figura 11: Apps de Marica non chores que usaban el mismo código

Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.

Figura 12: Apps de Ricardo Cholete

También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las apps de WhatsApp.

Figura 13: Celeron también se suma al WhatsApp

Otros desarrolladores que también uso fue Freida Ideal Desing & Program, Sestaapps, Sestao River The best, Piercing, Leti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Google puedes encontrar lo que hacían.

¿Para que robar todos estos datos?

Tener asociado el IMEI, el número de teléfono y el correo electrónico en una base de datos podría venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.

En definitiva, las apps que genera esta empresa no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen todos los que se lleven tus datos. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.

Saludos Malignos!

Actualización: La historia de esto continúa en Adware & Política
Actualización 2: Más en Unos pensamientos personales sobre buenos y malos

↧

Adware & Política: WiFi Hacker 2014 Pro y Foro Político

May 29, 2014, 11:54 pm

≫ Next: Charlas de hacking, un barrio rojo y un loco de pelo idem

≪ Previous: Unos estafadores utilizan la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

Tras la publicación del artículo de ayer, la persona detrás de todo el tinglado que os conté, comenzó a plegar velas... un poco. Primero borró su perfil en Linkedin, luego ha borrado muchas de las páginas webs de uno de sus dominios, y los usuarios y las apps maliciosas que había en Google Play han desaparecido una a una.

Que desaparezcan las apps no es raro, al mismo tiempo que estaba publicando el post estaba hablando con amigos en el equipo de seguridad de Google que, como siempre, se portaron super-diligentemente para analizar las apps y tirarlas lo antes posible. El que se llevara el IMEI sin decirlo, era causa suficiente para ello, así que no había ningún motivo para no hacerlo.

Nosotros, por supuesto, tenemos el 100 % de las apps que publiqué ayer guardadas y analizadas, para que formen parte de cualquier investigación futura, o informe, que necesitemos realizar. En ellas se puede ver cómo la app es totalmente falsa, ya que no pretende bajo ningún concepto, hacer lo que dice que hace. Todo es un engaño que lleva a páginas con falsas animaciones que muestran publicidad.

Dice la Real Academia de la Lengua Española que estafar es "sacar dinero o cosas de valor con artificios y engaños" con un ánimo de lucro y sin pagar nada a cambio. Esto es lo que hacen las apps del "negocio" que tenía montado en Google Play el tipo de ayer. Las apps, usando marcas comerciales conocidas como reclamo, prometen cosas que no hacen, ni tienen intención de hacer.

A sabiendas de eso, la pagina web principal del dominio tampoco está activa y lo único que ha dejado son las claúsulas legales porque alguna app todavía las estará mostrando y por eso sigue siendo necesario que se mantenga. Es decir, aún está ganando dinero con este tipo de sistema productivo que se ha montado.

Por otro lado, la mayoría de los dominios que utilizaba para recoger los datos y recolectar dinero con la publicidad han desaparecido. Sin embargo, se puede ver que en la caché de Google quedan aún muchos de los enlaces y se puede acceder a la "animación".

WiFi Hacker Pro 2014 y los dominio TuruMovil y ForoPolicio

Aún no ha quitado todas las animaciones, porque hay algunas otras fake apps que las tiene apuntando a otro dominio. Una de esas fake apps es WiFi Hacker Pro 2014, que como muchas otras de sus apps en los análisis de las casas antivirus las empiezan a detectar ya como malware, tal y como puede verse en Virus Total.

Figura 1: Análisis de Virus Total de WiFi Hacker 2014 Pro

Esa fake app muestra la publicidad desde un host del dominio Turumovil.com que te lleva a esta animación. El asunto es que esta app, WiFi Hacker Pro 2014, aún mucha gente la está instalando ya que está disponible en muchos markets alternativos, como puede ser éste, donde se ofrece el enlace para la descarga de la herramienta desde Google Play o desde el propio market.

Figura 1: Animación de la fake app WiFi Pro Hacker 2014 Pro

En las webs de la animaciones puede verse el código que utiliza con Google Analytics para recolectar las estadísticas de todos ellos y monetizar la publicidad. Como no, el código de recolección de estadísticas es el mismo en todos ellos, pero lo más curioso es que es para hacer ganar tráfico y dinero a un dominio llamado ForoPolítico.NET, que está gestionado por las mismas personas.

Figura 3: Código de Google Analytics inyectado en la animación de la fake app de WiFi Hacker Pro 2014

Si quieres analizar el código de la app y ver lo que hace esta supuesta herramienta puedes descargar el binario de la siguiente URL: WiFi Hacker Pro 2014 [fake app].

El registro Whois de las personas que están detrás de TuruMovil lo puedes ver en el siguiente enlace [Whois Turumovil.com] y las personas que están detrás de ForoPolitico.net son las mismas. En él se puede ver que son más de uno los que contrataron este dominio donde se pone al animación que muestra esta FakeApp de WiFi Hacker Pro 2014 y hace generar tráfico al Google Analytics de ForoPolítico.net.

Amenazas y BlackSEO reputacional

Es curioso como uno de los socios de estos negocios en el año 2009 mostraba un escrúpulo grande en un artículo titulado "Que vienen los piratas" cuando alguien hacía de dudosa ética en el mundo de Internet y el software. Es para ver y creer.

Figura 4: Comentario en contra de malas prácticas en Internet

Evidentemente, estos tipos que intentan vivir engañando a los usuarios para robar datos - no olvidemos que ayer vimos como se llevaban datos personales e IMEI sin declararlo a la Agencia de Protección de Datos y cómo SIN CONSENTIMIENTO del usuario envían los datos a un servidor de publicidad, viven siempre al margen de la ley, pero intentando abusar de ella.

Por eso, nada más publicarse el artículo en Menéame, contactaron con ellos para borrar los datos personales y el artículo tal y como comentó Ricardo Galli y me consta que están buscando cómo hacer lo mismo con mi artículo. Por otra parte, la estrategia en paralelo es hacer un poco de BlackSEO reputacional, pero de eso ya os hablaré más adelante. Os iré contando con pelos y señales lo que vaya pasando.

Saludos Malignos!

↧

Charlas de hacking, un barrio rojo y un loco de pelo idem

May 30, 2014, 10:35 pm

≫ Next: Unos pensamientos personales sobre buenos y malos

≪ Previous: Adware & Política: WiFi Hacker 2014 Pro y Foro Político

Figura 1: No Lusers 172 - Hacking & Amsterdam

La primera vez que pisé Amsterdam fue con Microsoft cuando me nombraron Most Valuable Professional en seguridad hace ya diez años. En aquel entonces estaba asistiendo al Microsoft TechED Europe 2004 y descubrí una ciudad que está entre las primeras de mi lista. Volví al TechED también en 2005 y 2006, creo recordar, también a Amsterdam.

Fue sin embargo en 2008 cuando regresé para presentar el trabajo de BLIND LDAP Injection & LDAP Injection techniques in Web Applications en la BlackHat Europa de aquel año, en 2009 a presentar el paper de Disclosing Private Information using metadata, hidden info and lost data, y en la Hack in the box de 2012 a dar una charla de Pentesting Driven by FOCA.

A esto, hay que sumar que también he ido a dar alguna charla a otras conferencias, que he tenido varias reuniones de trabajo allí, y que he visitado la ciudad un buen número de veces solo por gusto. Es por eso que siempre que voy con alguien nuevo le digo en broma que soy el "official guide" de Amsterdam y les hago un tour por la ciudad, los bares y los garitos a visitar. I love Amsterdam.

Siempre pensé lo que he plasmado en ese No Lusers, pero en el fondo supongo que justo eso es por lo que tantas y tantas conferencias se hacen en Amsterdam, por lo bonita que es la ciudad, lo disfrutable que es a pie o en bicicleta, y la gran oferta cultural de esa ciudad por debajo del nivel del mar.

Figura 2: Black Hat Europe 2014 se hará en Amsterdam

Black Hat Europe 2014 se hará en Amsterdam, así que si quieres vivir esa experiencia, o bien apúntate a las charlas, o envía el CFP que está abierto hasta el 9 de Junio de este año. Después, podrás pasear por el barrio rojo y conocer la ciudad con más densidad de museos en el mundo, ente los que está por supuesto, el Museo Van Gogh.

Saludos Malignos

↧

Unos pensamientos personales sobre buenos y malos

June 1, 2014, 12:43 am

≫ Next: Hazte un selfie para cifrar tus comunicaciones con fotones

≪ Previous: Charlas de hacking, un barrio rojo y un loco de pelo idem

Cuando me piden participar en el evento X1RedMasSegura, hago lo que sea por estar allí. No me importa que sea en sábado o que haya pasado toda una semana de viaje trabajando por el otro confín del mundo. Busco un hueco y voy. Ese es uno de los pocos sitios en los que se tiene claro quiénes son los buenos y quiénes los malos en la red, y de la forma mejor posible se arma una agenda para intentar enseñar a todo el mundo sobre los malos que acechan en la red.

En otras partes no está tan claro, y no me deja de apenar cuando compañeros de profesión intentan justificar malas acciones contra los usuarios abusando hasta el extremo de los resquicios legales y excusas de dudosa credibilidad. Me apena y mucho, pero así es el mundo donde nos ha tocado lidiar.

Tus datos, tu bien económico

Cuando alguien me habla de los datos personales como si no fuera un bien económico, me hace sentir que piensa que soy un bobo. Como si de verdad él pensara que yo voy a tragarme que un dato personal no es una riqueza que debemos proteger, pues una vez que nos hayan desposeido de ella, nos los han quitado para siempre. Si alguien ya comercia con los datos de una persona, y gana dinero con ellos, ya nunca va a poder ganarlo ella.

Esto es así, porque probablemente una persona no se cambie de nombre en su vida, ni podrá volver a tener otra fecha de nacimiento, ni cambiará su número de identidad en los documentos oficiales, ni cambiará muchas veces de domicilio, ni de correo electrónico si es una persona normal, e incluso ni de número de teléfono. Los datos de una persona son de pocos o ningún cambio a lo largo de una vida, y si ya se tienen capturados, no merece la pena pagar por ellos.

Por ello la legislación es tan cuidadosa a la hora de su tratamiento y debe ser el dueño de los datos el que de forma consciente decida qué hacer con ellos. Se debe informar correctamente al usuario de la captura de todos ellos, de su protección y de su utilización, especialmente cuando esos datos se transfieren a terceros. Cuando una empresa dice que va a entregar los datos personales a "terceros" socios, esa cadena de confianza debe extenderse para el usuario.

No se puede decir que No

Cuando una empresa ofrece una app gratis, a cambio de la captura de los datos, debe quedar claro en los términos del servicio y el usuario debe tener la posibilidad de no aceptarlos. En apps en las que el usuario NO puede estar disconforme después de ser informado, está siendo forzado a aceptar algo que a lo mejor no desea.

Los creadores de crapware, adware o spyware para robar datos, utilizan técnicas como estas en la instalación de las apps. Éste es un cuadro de dialogo que supuestamente debe servir como contrato entre el usuario y una de las apps de la empresa de la que hablé el otro día.

Figura 1: Cuadro de aceptación sí o sí de la Política de privacidad.

Sin embargo, hay quien insiste en decir que eso es completamente legal. Son capaces de decir que el usuario debe poder ser capaz de matar la ejecución de la app en el sistema operativo sin aceptar. Esta segunda captura, es aún más significativa.

Figura 2: Pulse aceptar y no volverá a ver este mensaje

Y me apena. Me apena ver a compañeros de profesión intentando justificar malas acciones por parte de gente que abusa de los que menos saben.

Los envío a terceros sí o sí

Si el usuario no acepta esa política de privacidad, el creador de la app nunca podrá llevarse esos datos a sus servidores ni a ningún tercero que esté pagando al creado de la app por ellos. Esto, es algo que hace la app de Menéate que publiqué en el post del otro día. Algo ilegal, y que implica un robo de datos de sin consentimiento del usuario.

Figura 3: Los datos se envían a terceros incluso sin consentimiento del usuario

Compañeros de profesión insisten en justificar ese robo, bajo neglicencia o error de los creadores de las apps, que no han sabido darse cuenta de que la librería del servidor de publicidad que ellos integran y usan en sus apps para ganar dinero hace eso. Este es el comentario que he tenido que leer de un compañero de profesión, que por supuesto lo hace en anónimo.

Figura 4: Justificación de por qué se llevan los datos (por los que cobran) las apps

Y me apena. Me apena ver como cargan todas las responsabilidades al usuario al que debemos defender y defienden al que gana dinero robándole los datos.

El bien a cambio del bien o nada a cambio de nada

Otra de las cosas importantes es que en el acuerdo - suponiendo que el usuario fuera consciente de la captura de los datos y accediera a ellos - hay de por medio una transacción: Una app o servicio a cambio de tus datos. Este es el motivo por el que el usuario va a entregar los datos y el valor económico que tiene la comercialización de los mismos al creador de la app. Si la app no funciona o no hace lo que dice, el contrato debe romperse o ser nulo.

Pero no es así, vemos que aún hay apps publicadas, descargables, y firmando acuerdos para llevarse datos, que están en otros markets de Android y que no funcionan, donde usuarios que acepten las condiciones de la política de seguridad, con mensajes tan claros como estos, verán como luego no hay nada.

Figura 5: Las mismas apps que Google Play ha tirado disponibles en 1mobile

Los datos volaron a la empresa y a los terceros, y luego no hay nada a cambio. Esto de robar un bien que tenga algún valor económico a cambio de algo que luego no se entrega, me parece cercano a ser lo que yo entiendo por una estafa.

Pero no, aún hay compañeros de profesión que ven en ello una persecución a las pobres personas que intentan ganarse la vida de esta forma, abriéndose un hueco en el mundo de la publicidad y el marketing.

Un punto y seguido

Al final los que se dedican a esta clase de turbios negocios, campan entre nosotros con malas artes, defendidos incluso por las esquinas de la ley que quieren hackear llevándola al límite, buscando los apoyos de gente que erosione la importancia de sus actos, con campañas de reputación y estirando hasta el máximo.

Yo prefiero tener muy claro en qué lado estoy y a quién tengo que ayudar, e ir a juntarme con los que también lo tienen claro a sitios como X1RedMásSegura y similares para seguir haciendo lo que hacemos. Esta semana espero contaros más cosas.

Saludos Malignos!

↧

Hazte un selfie para cifrar tus comunicaciones con fotones

June 1, 2014, 10:48 pm

≫ Next: Latch para Ubuntu y Latch para Open-Xchange disponibles

≪ Previous: Unos pensamientos personales sobre buenos y malos

Los algoritmos criptográficos nacen para ser rotos. Desde el momento en que un sistema es el responsable de la protección de un secreto, aparecen los ataques persiguen la ruptura de la protección del mismo para conocerlo. Es una invariante a lo largo de la historia, y al final, o bien la investigación pura y dura, o el avance tecnológico que abre la puerta a nuevos ataques antaño impensados, para acabar por servir en una bandeja plata el contenido que protege.

Hay que pensar en nuevas formas de protegerse contra los nuevos ataques, ya sea mejorando al extremo la implementación de los existentes para sacar el máximo de protección de los ya existentes o desarrollando nuevos algoritmos que puedan plantar cara al tiempo al menos mientras el secreto tenga sentido. Nada de lo cifrado hoy en día con los algoritmos usados aguantará ad infinitum.

En estos días extraños, en los que atónitos asistimos a la desaparición de TrueCrypt justo cuando estaba bajo el punto de mira en un proceso de auditoría y en plena resaca de todas las revelaciones de espionaje de NSA y sabores gubernamentales similares, la criptografía se antoja más importante si cabe como disciplina de estudio y orientación profesional.

Las explicaciones de TrueCrypt parecen vagas e inconsistentes, y las recomendaciones para pasar a Bitlocker o FileVault, cuanto menos, alejan de la historia de TrueCrypt ese espíritu hacktivista y rebelde en contra del mainstream que se había asociado a la idea de que detrás de ese proyecto se encontraba un grupo de Robin Hoods. Si bien, hay que decir que la auditoría de seguridad que se está haciendo a su código no ha dado aún con ninguna puerta trasera, aunque si como sospechan los menos confiados, solo tiene que tener una o dos, que deberían estar bien escondidas.

Los fallos en otras implementaciones de sistemas criptográficos han ido apareciendo en los sitios más insospechados, y en algunos de ellos han sido debido a los famosos números aleatorios que deberían ser de tal idem, pero que a la hora de la verdad pocas veces se consigue. Garantizar la aleatoriedad pura debe ser consistente a lo largo del tiempo, y así, la distribución de los mismos no debe degenerarse a lo largo de muchas, muchas, muchas iteraciones. Si por desgracia lo hace, entonces existirá una debilidad que reducirá la complejidad a la hora de romper el sistema de cifrado que dependa de él.

Páginas y páginas dedica el famoso libro El Criptonomicón de Neal Sthepenson a explicar estos conceptos. No deja de ser una novela, alejada de los estudios de criptografía que presenta de forma pulcra y didáctica nuestros amigos Jorge y Alfonso, pero sus metáforas sobre las mujeres sacando las bolitas de las bolsas y mirando con el rabillo del ojo, o reconociendo los números por las texturas de las esferas, no se van fáciles del ojo de la mente, que dicen los anglos. Como no, si has leído el libro, recordarás también la explicación por la que una mensaje cifrado en una baraja de cartas no debe ser protegido lanzando la baraja al aire. Cuántos momentos irrepetibles pegados al papel tiene esa novela.

Cuando estamos en pleno uso de los smartphones para hacerse selfies - hasta yo me he tomado alguno con alguno de por ahí en algún país - aparece un trabajo de esos que me encantan por ser sencillos, imaginativos y a priori muy útiles si se confirman sus enunciados. Es el caso del trabajo que lleva el nombre (QRNG) Quantum Random Number Generation on Smartphones, el cual propone utilizar, con imaginación y mucha usabilidad, la cámara esa del smartphone con la que muchos se tiran las fotos esas que arruinarán su vida futura - ha de tener al menos 8 Mega-píxeles - no solo para que el susodicho/a quede lindo/a y molón/a en las fotos sino para que se pueda leer la cantidad de fotones que hay en un haz de luz y así ponder generar un número aleatorio, que sea aleatorio "de verdad".

Figura 1: Imagen de PhysicsWorld sobre el proceso realizado (con un Nokia)

El "de verdad" lo he puesto entre comillas pues la ciencia nos depara sorpresas en el futuro, y sorprendido me hallaré dentro de un tiempo si no sale alguien capaz de crear una bombilla especial que siempre envíe el mismo número de fotones y pueda ser predicho con mayor grado de probabilidad el valor que va a capturar la cámara del smartphone. Dejo a parte por evidente, los problemas de que alguien haga como la NSA y meta un troyano en el smarphone para que cuente los fotones que ellos quieran.

El proyecto en sí lo han publicado Bruno Sanguinetti, Anthony Martin, Hugo Zbinden y Nicolas Gisin de la Universidad de Ginebra en Suiza, y plantean, como dicen en PhysicsWorld, que todos los terminales puedan contar con un chip QRNG que costaría unos 2 USD para garantizar la generación de esos números aleatorios de verdad y por ende la seguridad. de cualquier sistema criptográfico que se base en ellos. La prueba, como se ve en la imagen de la Figura 1, se hizo con un terminal Nokia o "Nokía"que dicen los anglosajones.

Figura 2: Estructura del dispositivo detector de luz para generar el QRNG

La ventaja, dicen, es que las CMOS de las cámaras de los smartphone actuales que todo el mundo lleva en su bolsillo cuando anda y encima de la mesa cuando come es que son suficientemente sensibles hoy en día como para poder capturar con exactitud el número de fotones en el haz de luz y hacer un dispositivo QRNG basándose en ellos es bastante sencillo para cualquier empresa.

Supuestamente, el sistema de generación de números aleatorios que produce es consistente en ciclos de 10 a la 118, lo que viene a ser un valor muy grande para atacar la predicción del número. Lástima que este trabajo no se haya utilizado en el juego de WatchDogs que se ha lanzado recientemente donde el protagonista, un hacker, interactúa con su smartphone. Me hubiera encantado ver al protagonista - del que me hicieron un par de montajes con Photoshop y mucho arte - tuviera que hacerse unos selfies para cifrar de forma segura algunos documentos. Hubiera sido futurista "de verdad".

Figura 3: En WathDogs el protagonista usa su smartphone para resolver las fases

Esta propuesta, tal vez podría ayudar a solucionar algunos de los citados y recurrentes problemas con la aleatoriedad en los sistemas de cifrado, que tan importantes son como se ha explicado una y otra vez para el cifrado de las comunicacones móviles, aunque insisto en que no hay que olvidar lo dicho atrás en este post y en el tiempo, que si la implementación está mal hecha, dará lo mismo la aleatoriedad de los números.

Saludos Malignos!

↧