Un informático en el lado del mal

Cuando un sitio web está utilizando en alguna medida Adobe Flash, está poniendo en el cliente códigos que van a ser ejecutados no directamente en el navegador de Internet, sino en un plugin que se carga en él, el famoso - muchas veces por fallos de seguridad - Adobe Flash Player. Al ser una plugin completo que ejecuta un código propio - Action Script - se comporta como un navegador de Internet dentro de un navegador de Internet y por ello debe aplicar más o menos las mismas medidas de protección que toman hoy en día los navegadores, y a veces no lo hace correctamente.

Same-Origin Policy en Adobe con CrossDomain.xml

Una de las políticas de seguridad que implementan los navegadores de Internet es el Same-Origin Policy. Esta política hace que el código que se carga en una pestaña de un navegador pueda acceder a datos solo a páginas que son del mismo dominio, es decir, que un código JavaScript no podría nunca acceder a la cookie o ningún elemento que compongan la página servida desde otro dominio. Es por ello que para poder acceder a los datos de otra pestaña se utilizan, por ejemplo, los ataques de Cross-Site Scripting, ya que consiguen inyectar código en la pestaña del dominio víctima.

En el caso de Adobe Flash y Adobe Acrobat, es el plugin es que debe forzar esa política de Same-Origin Policy y lo hace mediante la configuración de un fichero en la web de cada sitio, llamado CrossDomain.XML. Por defecto el acceso a datos desde otras ubicaciones está prohibido, pero el dueño de un sitio web puede permitir excepciones. Por ejemplo, si vamos a ver el fichero CrossDomain.XML de EBay podemos ver que hay muchas excepciones en él.

Figura 1: Fichero CrossDomain.XML en Ebay

Sin embargo, existe una forma de saltarse la protección de Same-Origin Policy en Adobe Flash Player mediante la inyección de un fichero SWF en un ataque Cross-Site Scripting o CSRF, pero para ello hay que conseguir que el fichero NO sea servido desde ninguna ubicación externa, sino que sea servido desde el mismo sitio creándolo al vuelo.

Es decir, si se inyecta un código JavaScript que carga un SWF que venga desde una ubicación de terceros, entonces se aplicará Same-Origin Policy y no se podrá hacer nada, pero el plugin de Adobe Flash Player permite que se ejecuten ficheros SWF que desde las llamadas especificadas dentro del parámetro DATA luego si se consigue que esa URL devuelva un SWF aunque sea inyectándolo en un parámetro, se ejecutar. Es decir, si un atacante es capaz de inyectar byte a byte el código de un SWF en la respuesta de una web inyectable haciendo mirroring sin que el plugin tenga que ir a una ubicación tercera, la configuración de CrossDomain.xml no afectaría para nada a este esquema.

Ataques a JASONP API

El trabajo que va a ser presentado por el investigador Michele Spagnolo se ha basado en lo explicado anteriormente, es decir, en inyectar objetos SWF maliciosos en funciones vulnerables de un dominio víctima que van a ejecutar un código Action Script que robará los datos del usuario que se conecte a ese domino víctima. Algo que podríamos decir que es un Cross-Site SWF Scripting.

Para ello ha abusado de los puntos de llamada a las APIs de JASONP vulnerables. Estas APIs de JASONP son muy comunes en los grandes sitios web de Internet ya que permiten servir y consumir WebServices con llamadas en texto plano, indicando en el parámetro Callback de la API el nombre de la función a invocar, y luego los parámetros que deben pasarse.

Figura 2: Inyección de SWF en el parámetro callback de un API JASONP

En APIs de JASONP en las que se pueda controlar la respuesta de los datos mediante la inyección en los parámetros de llamada por CallBack, un atacante podría aprovecharse de un bug de XSS, o lo que es aún más peligroso, de un bug de CSRF en la web e inyectar en ellos un objeto SWF malicioso escrito directamente en la URL que robara las cookies de la víctima haciendo peticiones GET y/o POST a un servidor controlado.

Rosetta Tool

En este entorno hay dos limitaciones, la primera de ellas encontrar la función del API JASONP que permite controlar la salida, y que por lo visto no ha sido un reto para Michele Spagnolo que ha visto como este ataque afectaba a Google, Ebay, Twitter, Tumblr, Instagram, etcétera, etcétera. Algunos de ellos, como Ebay o Instagram aún permanecen vulnerables.

La segunda de las limitaciones era la complejidad técnica más grande que había que saltar, y es que la API de JASONP generalmente solo permite entradas de valores en los parámetros que sean alfanuméricas, por lo que hay que conseguir que el objeto SWF que se inyecte en el parámetro esté codificado en ese formato.

Figura 3: Concepto de Rosetta Tool

Habitualmente un fichero SWF es un archivo binario, y ahí es donde aparece Rosetta. Lo que hace esta herramienta es, a partir de cualquier objeto binario SWF genera un archivo comprimido con zlib que utiliza solo caracteres alfanuméricos, gracias a técnicas basadas en la codificación Huffman y algún ataque más. Todo esto lo explicará en su próxima charla en Hack in The Box, pero las diapositivas están ya disponibles.

Figura 4: Prueba de Concepto Universal escrita en Action Script 2 para ejecutar en la víctima

Esto permite generar ataques saltándose Same-Origin Policy, y para hacerlo más fácil ha creado una Prueba de Concepto Universal escrita en Action Script 2 que realiza la petición de los datos de entorno de una ubicación víctima a un servidor atacante. Puede ser descargada desde su repositorio en GitHUB.

Figura 5: Explotación de la POC con un Objeto Flash que debe ser cargado en el navegador de la víctima

La codificación con Rosetta del objeto malicioso es la que se ve en Data y para realizar el ataque completo hay que llamar con los parámetros URL y Exfiltrate correctos.

Mitigaciones y estado actual

Por supuesto, Adobe no tardó en proveer de una actualización de seguridad para todos los Adobe Flash Players en Windows, Linux y Mac OS X con el objeto de evitar estos ataques mediante una nueva versión que revisa con mayor fortaleza los objetos que le entran escritos en las páginas web, pero como no todos los usuarios se actualizan hay aún muchos clientes vulnerables. Algunos como Apple, ha prohibido con XCode el uso de versiones de Adobe Flash Player en Apple Safari para OS X vulnerables a esta técnica.

Por su parte, los sitos web con APIs JASONP que permiten al atacante controlar la salida de las respuestas están mirando cómo solucionar estos bugs. Algunos como Google o Twitter ya lo han solucionado, pero aún quedan muchos otros por corregir estos fallos. Tú, por si acaso, actualiza tu Adobe Flash Player ahora mismo.

Saludos Malignos!

Ya se ha hablado largo y tendido sobre el problema de canalizar demasiada información de tu vida privada a través de las redes sociales. Casos sonados son los de Please Rob Me, el sitio que informaba de la gente que estaba fuera de su casa porque hacía Check-in en puntos de FourSquare, o el de personas publicando sus tarjetas de crédito o documentos oficiales como pasaportes o DNI. De todos ellos ya hemos visto muchos vídeos alertando de las posibilidades, como el del gurú que leía la mente a la gente en la calle, a partir de lo que iban publicando en las redes sociales.

Figura 1: El sitio Please Rob Me avisaba de gente que abandonaba sus casas

Ya se supone que todos debemos estar alertados, pero aún así, algunos no han entendido el problema y hoy os quiero hablar de una red social que estos últimos días me ha preocupado. La red social para deportistas Endomondo. Por esas cosas del destino, no hace mucho tiempo acabé sacándome una cuenta en ella para ir controlando con el ritmo cardiaco en los trayectos que hago en bicicleta.

No es que sea un gran deportista, pero desde que he cumplido los 32 años he pensado que era buena idea sacar algo de tiempo en los cero huecos que me deja la agenda para mover los pedales de una Mountain Bike. Me bajé la versión de la app, me registré con un correo electrónico de esos que uso para esas cosas que tengo protegido con un 2FA, y listo.

Figura 2: Una ruta de práctica guardada en Endomondo e indexada en Google

Días después entré en la versión web y vi que uno de mis recorridos estaba en la web indexado en Google y pensé... WTF? La red social Endomondo, por defecto, deja públicos muchos de los datos de la red social, y basta con ver que hay cerca de 26.000.000 de URLs indexadas en Google, todas ellas abiertas al público en la red social.

Figura 3: 26.200.000 URLs públicas localizadas por Google

Aunque vía Google, solo se podría sacar 87.000 URLs que están en el índice principal de Google para hacer Hacking con Buscadores.

Figura 4: 87.900 URLs de Endomondo en el índice primario

Todas las URLs están publicadas para su indexación, ya que el fichero de configuración de Robots.txt de Endomondo no protege los perfiles, ni las rutas de prácticas, ni el historial de acciones, ni mucha información personal.

Figura 5: Fichero Robots.txt de Endomondo

Toda esa información está expuesta en Internet, y debes entrar en las opciones de privacidad para restringir que Solo tú o Solo tus amigos, puedan ver los datos de tu cuenta, pero como podréis ver, hay una infinidad de perfiles abiertos. En ellos se puede acceder a las rutas de entrenamiento de gente que sale a hacer deporte, junto la ruta por donde lo hace, el tiempo que ha estado fuera, la hora a la que comienza las rutas, etcétera, etcétera.

Con esa información, como muchos de los deportistas suelen tener rutinas, se está dando información sobre la vida personal - como dónde comienza las rutas que generalmente será en su casa -, por donde suele circular, y a qué horas hace esto. Mucho más peligroso que el famoso Crep.py que sacaba rutas desde Twitter o Flickr.

Figura 6: Historial de prácticas de una persona en Mayo de 2013

Todo queda registrado en un historial de prácticas que puedes inspeccionar, además de que, como está indexado en Google puedes localizar a gusto. Buscando por nombres de ciudades, o lugares. Una vez en los resultados, se pueden visitar los perfiles uno a uno y localizar a las personas.

¿Tu salud en la web?

Pero no solo eso, si la persona usa un pulsómetro, la información de los latidos queda registrada y publicada, lo que podría ser un problema si alguien decide consultar el estado de salud de alguien para, no sé, un crédito, un plan de pensiones, un seguro médico, etcétera. Son datos que en manos de profesionales pueden ser muy significativos.

Figura 7: Datos médicos de un pulsómetro

Yo creo que si tienes una cuenta en Endomondo, tal vez le interese a tus amigos conocer estas cosas porque puede ser divertido, pero dejarlo abierto a todo el mundo en Internet creo que es un error garrafal y una exposición impúdica e innecesaria que puede jugarte una mala pasada algun día. Haz deporte sí, pero con cabeza.

Saludos Malignos!

Periódicamente me gustar publicar referencias a trabajos del mundo académico que tienen que ver con la seguridad informática, y hacía tiempo que no os dejaba un paper con la esperanza de que os estimule la imaginación tanto como a mí. En este caso se trata de un trabajo de la Universidades chinas de Huazhong y Oulu titulado: "Pulse: Low Bitrate Wireless Magnetic Communication for Smartphones" que pretende mostrar una nueva forma de comunicación entre terminales Android sin utilizar WiFi, BlueTooth, Irda, lectura de códigos QR o NFC. En este caso propone utilizar el magnetómetro de los dispositivos móviles.

Figura 1: Paper publicado sobre Pulse

El trabajo se basa en el uso de un sistema capaz de modular señales que provocan cambios en los canales X y Z que serán recibidas por el magnetómetro de terminal Samsung Galaxy Nexus sin modificar, donde una app decodifica la señal. Es decir, fueron capaces de crear un hardware que codifica datos utilizando impulsos que generará cambios en el magnetómetro del receptor - situado en un rango de 1 centímetro - que pueden ser leídas por un terminal Android y una app especial.

Figura 2: Esquema y prototipo del sistema que crea la modulación en señales magnéticas

El problema, a día de hoy, es la velocidad de transmisión, ya que durante un segundo solo son capaces de enviar 44 bits, lo que hace que los ratios no sean comparables para nada con la lectura de QRCode vía cámara de vídeo o el uso de tecnologías como NFC, pero con un ratio de 44 bits por segundo es más que factible que se puedan transmitir claves de cifrado, por ejemplo de arranque de una aplicación o de descifrado de datos.

Figura 3: Tasa de transferencia entre Pulse, NFC y QRCodes

Al final, una vez conseguido enviar señales por un canal paralelo, el límite en la aplicación es tuyo y se pueden hacer mil cosas. Ellos, para la demostración, enviaron el famoso "Hello world!\n" por el canal para que se vea que el sistema funciona.

Figura 4: Transmisión por canal magnético del mensaje "Hello world!\n"

El siguiente vídeo es una explicación de todo el sistema, en el que además puedes ver cómo funciona en acción la transmisión de datos utilizando este canal alternativo. El ratio no es nada malo para enviar ASCII, y recuerda a las películas clásicas.

Figura 5: Vídeo demostrativo de Pulse

Desde el punto de vista de seguridad, el poder usar un canal paralelo en la conexión siempre abre nuevas posibilidades, porque en un posible esquema de hombre en el medio, el contar con más puntos de comunicación siempre dificulta la tarea del atacante.

Saludos Malignos!

Hace tiempo pudimos conocer "los juguetes de espionaje" de la NSA, creados por el grupo de desarrollo ANT. Ese descubrimiento llevó a que se creara el proyecto NSA PlaySet para que los investigadores y especialistas en seguridad pudieran recrear y estudiar todas las tecnologías que estaban utilizando los espías. Ahora la filtración viene del otro lado del charco, en este caso de los juguetes de espionaje creados por el grupo JTRIG (Joint Threat Research Intelligence Group) del GCHQ (Global Communications HeadQuarters) del gobierno del Reino Unido, archifamoso por su proyecto Tempora para espiar todo Internet.

Figura 1: Lista de tipos de herramientas creadas

La filtración es parte de los documentos publicados por Edward Snowden y en ellos se puede ver una buena colección de proyectos que están publicados en una Wiki con nombres más que llamativos, y organizados por diferentes temas, como son la ingeniería, el análisis forense, las herramientas de engaño, los honey pots, etcétera.

Algunos de los proyectos que se pueden ver son:

- Underpass: Cambiar los resultados de grupos online.
- Badger: Hacer campañas de envío masivo de e-mails para hacer campañas en operaciones de información.
- Warparth: Hacer campañas de envío masivo de mensajes SMS para hacer campañas en operaciones de información.
- SilverLord: Eliminación de hosting con contenido extremista basado en mensajes de vídeo.
- Miniature Hero: Grabación en tiempo real de llamadas y mensajes de conversaciones por Skype.
- Spring Bishop: Búsqueda de fotografías privadas en Facebook de objetivos.
- Angry Pirate: Deshabilitar permanentemente una cuenta en el equipo.
- Gateway: Incremento artificial de tráfico en un sitio web.
- Slipstream: Sube artificialmente el número de visitas en vídeos de YouTube.
- Gestator: Amplificación de un mensaje en sitios multimedia como YouTube.
- Predator's Face: Ataque DoS contra servidores web.
- Rolling Thunder: Ataque DoS usando redes P2P.
- Elate: Suite de herramientas para monitorizar eBay en UK.
- Changling: Para hacer e-mail spoofing.
- Imperial Barge: Para conectar dos teléfonos objetivos en una llamada.

La lista completa es larga, y está toda en este documento que he subido a SlideShare.

Figura 2: Todos los proyectos del JTRIG para el GCHQ

Las herramientas conocidas no son tantas como las de la NSA, y algunas parecen más utilidades de pentesteres de ethical hacking o scammers que de espías. De hecho, me ha llamado la atención ver que ellos también utilizan el Hacking con Archive.org tal y como hacemos nosotros en nuestro sistema de Pentesting Persistente con Faast. Su proyecto para sacar los datos de Archive.org se llama Mouth.

Figura 3: Mouth y otros proyectos del JTRIG en el GCHQ

Skype, Facebook, YouTube, el correo electrónico, los servidores web y las redes P2P, además de los ataques DoS están entre los intereses claros del GCHQ. Nada nuevo bajo el sol que no estuviera ya en los objetivos de cualquier servicio de inteligencia de cualquier país, pero seguro que a los que trabajéis en seguridad os vendrá bien repasar vuestro arsenal y vuestras defensas con ellos.

Saludos Malignos!

En el libro sobre Análisis Forense en Windows, Juan Garrido "Silverhack" recoge una frase que es un mantra para los especialistas en esta disciplina: "Cada contacto deja un rasto". Esa frase engloba en sí el llamado Principio de intercambio de Locard y es por eso que en cualquier investigación se analizan todos los rastros posibles para poder localizar todos lo contactos y reconstruir la historia. Eso debería haber pensado Gerard Baden-Clay a la hora de construir su coartada para no ser descubierto y acabar condenando a cadena perpetua por el asesinato de su esposa.

El día 19 de Abril de 2012, los vecinos de la pareja dijeron oír ruido de peleas y gritos, seguidos del sonido del motor de un coche que se iba de la casa por la noche. Los análisis de los asientos traseros del coche familiar mostraron rastros de sangre de la víctima, así que todos los indicios apuntaban hacia el marido, pero ... las explicaciones de que en el coche de la familia hubiera sangre de su dueña podrían ser muchas y muy peregrinas, tantas como a un buen abogado se le pudiera ocurrir.

Sin embargo, la coartada del asesino Gerard Baden-Clay era tan sencilla como difícil de rebatir: Eran horas de dormir y yo estaba durmiendo en casa en mi cama. El resto serían indicios y pruebas circunstanciales. Pero... el asesino debió quedarse sin batería y puso a cargar el móvil a las horas en las que él decía que estaba durmiendo cuando se dirigía a librarse del cadaver de su esposa. De hecho, para construir una mejor coarta, el asesino escribió mensajes a su mujer asesinada a la mañana siguiente, como para demostrar su desconocimiento de todo.

Figura 1: El asesino envió mensajes a su mujer después de asesinarla

El análisis forense del terminal sacó esos registros del log de teléfono, lo que significaba que su dueño había hecho un acto manual y consciente de conectar el terminal a una fuente de alimentación para recargar la batería del terminal. Esto llevó a tirar por tierra la coartada de que estaba durmiendo, y por tanto a ser condenando como se puede leer en la sentencia publicada esta semana, a cadena perpetua por el asesinato de su mujer.

Figura 2: Alegaciones para la condena del asesino en la sentencia del caso

Cada contacto deja un rastro, y en este caso ese rastro apareció en los logs de carga del teléfono y llevó a determinar el contacto del terminal con la electricidad, lo que ha significado la condena para este asesino. Un caso más a meter en los ejemplos ejemplares del análisis forense de metadatos, que como en el caso del asesino en serie BTK, estos fueron los que decantaron la solución del caso.

Saludos Malignos!

Desde que salieron los SDKs disponibles para Latch hemos visto muchos hacks realizados con la tecnología. Algunos han sido implementaciones de plugins para Latch en entornos que nosotros no habíamos pensado o usos de Latch para escenarios de seguridad compleja, como los de 2-Keys Activation. Hoy, a esta lista se ha añadido el Plugin de Latch para Node.js.

Figura 1: SDKs de Latch disponibles para .NET, PowerShell, C, Python, Ruby, Java y PHP

Hoy, tras la publicación ya del plugin de Latch para entornos Windows, os voy a hablar de un par de hacks que me han gustado mucho y que han hecho un par de compañeros de Eleven Paths.

Latch para controlar "Puertas"

El primero de los hacks es esta implementación que ha hecho nuestro compañero Jorge Rivera usando un Raspberry Pi con una SIM, y un cerrojo de puertas físicas. Lo que ha hecho ha sido crear un hack para controlar la apertura y el cierre del mismo usando Latch, tal y como podéis ver en este vídeo.

Figura 2: Controlando puertas con Latch y una Raspberry Pi

El proceso completo de cómo se ha construido el sistema está descrito en el artículo de Blog Think Big, pero le he pedido los códigos en Pyhton que ha utilizado para hacer las consultas al servidor de Latch y los tenéis disponibles aquí.

- Steeper_open.py- Touch_calibrate.py- Latch_checkstatus.py

Alguien preguntó hace poco por Twitter si hay algún SDK de Latch para Arduino, y la verdad es que no tenemos ni para Arduino ni para Raspberry Pi pero si te animas a hacer alguno, ya ves que las posibilidades son curiosas.

Latch para Puertos USB

El segundo hack es una prueba de concepto hecha por nuestro compañero David Barroso (@lostinsecurity) que se está depurando para que forme parte del plugin oficial de Latch para OS X que saldrá en breve. Se trata de cómo interceptar los eventos de conexión de nuevos dispositivos USB (como pendrives, teclados o webcams) para poder controlar desde Latch si se quiere permitir o no permitir.

Figura 3: Control de puertos USB en OSX con Latch

El proceso completo de cómo codificar estos controles de USB desde userland para OS X lo tenéis con el código en Lenguaje Cdentro del blog de Eleven Paths, para que lo pruebes. Por supuesto, un hack similar a este se podría realizar con las mismas ideas en Windows, usando la herramienta que lanzamos hace tiempo de Latch Event Monitor, así que puedes animarte a hacerlo.

Saludos Malignos!

No sé ni cuántos chistes he hecho durante toda mi vida profesional clamando contra esos seres que campan en nuestros sistemas y cuyo conocimiento informático tiende a ser poco, nulo o algunas veces con signo negativo. Sí, hasta de vez en cuando uso algunas de las denominaciones más peyorativas hacia el ente genérico que cabría en tal conjunto: Luser, noob, player1, paseante, nobody23, etcétera. Son seres capaces de generar problemas en lugares donde no existían, capaces de poner al límite las guías de soporte a usuario, de templar los nervios de los administradores de sistemas y help desk, llegando a convertir a muchos de los informáticos que lidian con ellos en lo que se denominan BOFH (Bastard Operator From Hell).

Los BOFHs, cuyo máximo exponente en la lengua de Don Camilo es "Wardog", llegan a desarrollar un gusto retorcido por devolver todas y cada una de las maldades que los lusers profesan a los pobres informáticos que los sufrimos. Son el sempiterno PBCK (Problem Between Chair and Keyboard), ese problema, ese bug, esa debilidad, esa anomalía que en un mundo mejor debería ser reemplazada por algún script muy pequeñito en bash.

Tanto es así, que durante un tiempo comencé mis charlas haciendo bromas con que la felicidad de los ingenieros informáticos terminó el día que del CPD salieron cables, primero hacia los terminales tontos, y después hacia los sistemas operativos de escritorio en las redes locales manejados por los supuestamente inteligentes. Antes era nuestro reino, un lugar mágico entendido solo por ingenieros, La Tierra Media donde la magia aún es posible.

Figura 1: Foto UNIVAC 1961 de Wikimedia

No entendía por qué alguien no configuraba una VPN en una conexión WiFi. No entendía por qué cuando llegaba al equipo de alguien siempre había actualizaciones pendientes, o tenía el web browser con barras de navegación de esas empresas de dudosa reputación. ¿Cómo es posible que alguien utilice la misma contraseña para distintos servicios? Quería tirarme de los pelos y convertirme en un BOFH.

Pero, con los años he ido cogiendo mucho cariño a ese PBCK y siendo mucho más auto-crítico. He ido siendo consciente de que igual que a mí me cuesta entender el funcionamiento más básico de la bolsa, la economía u otras disciplinas, a ellos les cuesta lo que para nosotros es más que claro y meridiano. De hecho, cada vez que estudio más cosas en informática, me pasa como a vosotros y Sócrates, que me doy cuenta de que dentro de este mundo de bits, hacking y código binario evolucionado, soy otro luser que solo alcanza a ver un poco de Matrix. Les quiero más ahora por eso.

Utilizo como ejemplo de estos pobres PBCK a Penny, la joven y bella camarera que cohabita con Sheldon, Rajesh, Leonard y "solo tiene un máster y quién no" Wolowitz en ese mundo salido del Big Bang. Desde entonces, intento que todo lo que hago sirva para Penny. Y he pasado a quejarme de los Lusers, los Player1, los Nobody23, los Noob, es decir, de los PBCK para quejarme de los que como yo, que trabajamos en seguridad, no hacemos tecnología que pueda usar Penny.

No pienses qué pueden hacer tus usuarios por la seguridad de la empresa, piensa qué puedes hacer tu por su seguridad. Y todas las medidas de seguridad que pongas, por favor, que las pueda usar Penny. No le digas que es OAuth, ni le obligues a recordar passwords en élfico, no la preguntes por siglas como VPN, WPS, AES, PKI, PGP, 2FA, PPTP, L2TP, IPSEC, GPO, AD, EAP, TLS, SSL y similares. Dale soluciones sencillas, que funcionen solas, que sean seguras y bien diseñadas. Cuida de tus PBCK.

Saludos Malignos!
Artículo publicado en la revista de Ausape, Julio 2014

Hace ya tiempo, desde que Yago Jesús (@YJesus) presentó su iniciativa empresarial eGarante para firma por un tercero de confianza de correos electrónicos y páginas web, que en los artículos de denuncia de acoso en Facebook o Twitter, o de la existencia de contenido en la red que sea en sí una delito, siempre recomiendo utilizar eGarante. Incluso para contenido que puede verse solo en sitios privados de las redes sociales o Evernote, existe un plugin que ayuda a firmar digitalmente lo que allí se muestre.

Figura 1: Funcionamiento de eGarante en 99 segundos

La solución es sencilla y fácil de usar por todo el mundo y de hecho el año pasado ganó el Premio ENISE a la mejor iniciativa emprendedora en ciberseguridad, debido a los valores de la iniciativa. A mí personalmente me gusta mucho desde siempre, y por ese le pedí incluso que integrara Latch en las cuentas del sistema, para tener mi cuenta con mi pestillo digital.

Ahora ha sido el Ministerio del Interior de España, quién ha decidido respaldar un poco más la iniciativa, y todos los ciudadanos que deseen denunciar un contenido ilícito en la red, podrán utilizar eGarante desde el portal de denuncia del Grupo de Delitos Telemáticos de la Guardia Civil que hay en Internet.

Figura 2: Anuncio del uso de eGarante en las denuncias online de la Guardia Civil

Si ves un contenido ilícito, denuncialo usando eGarante. Si te están acosando por las redes, ya sea vía Twitter, Facebook, foros o cualquier otro medio, denúncialo usando eGarante. a través del formulario de denuncia online del GDT de la Guardia Civil. El contar con una evidencia digital firmada por un tercero de confianza siempre ayudará a la resolución del caso.

Figura 3: En el formulario de denuncia del GDT podrás usar documentos eGarante

Desde aquí, aprovecho para felicitar a Yago y sus colaboradores en esa iniciativa de eGarante, ya que creo que hace falta mucho emprendedor así en este país y les doy la enhorabuena por todos los éxitos que están consiguiendo.

Saludos Malignos!

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo.

Figura 1: Badoo, una red para [...] tener una cita.

Una de las redes sociales en las que suelo mirar es Badoo, ya que, aunque aparentemente si no estás registrado no puedes ver a los miembros de esta comunidad y cuáles son sus comentarios, fotografías, con qué otros miembros interactúan, etc…, inspeccionando el fichero robots.txt de Badoo se puede observar que en él no aparece ninguna ruta sobre los perfiles de sus usuarios, y que por tanto los buscadores puede que accedan a esos datos.

Figura 2: El fichero robots.txt de Badoo no restringe los perfiles de los usuarios

Cualquiera podría pensar que dichos perfiles podrían estar indexados directamente en los motores de búsqueda, o que bien como le ha pasado en la historia a Facebook o Gmail esas URLs hubieran llegado allí por mala gestión de los enlaces y las opciones de indexación y caché de los buscadores así que directamente probé a buscar usuarios de Valladolid para ver qué información podría obtener de ellos en caso de que ésta fuera pública:

Figura 3: Resultados devueltos por Google tras buscar a gente de Valladolid

Por supuesto, si estás versado en el hacking con buscadores, la experiencia te deja claro que hay que buscar en Bing también, que algunos sitios limpian URLs en Google pero se olvidan de Bing, como ya le pasó a Facebook y también a la propia Gmail, aunque al final hayan borrado también allí.

Figura 4: Resultados de Valladolid en Badoo indexados en Bing

Tras consultar el primer resultado ofrecido por Google, pude comprobar que efectivamente era posible obtener información de los usuarios de la red aún sin estar dado de alta en ella:

Figura 6: Perfil de Badoo público, con comentarios en abierto y números de teléfono

Sorprende que además pueda observase cuáles son los mensajes que intercambian sus usuarios, ya que en alguno de ellos, como puede observarse se pueden obtener números de teléfonos personal de los usuarios de la red. Puede que pensaran que estaban poniendo un mensaje privado o simplemente que les de lo mismo, que la gente puede sorprendente siempre.

Llegados a este punto, el siguiente paso era aplicar un poco de ingeniería social, ya que si algunos usuarios habían mostrado tanto interés hacia un miembro de la red social dándole directamente su número de teléfono personal, sería más que probable que también usaran alguna aplicación de mensajería como por ejemplo WhatsApp y hacer algo como lo de buscar los perfiles de contactos en los programas de televisión nocturnos. Y efectivamente, tras añadir al usuario en mi agenda de teléfono pude comprobar cómo realmente éste era un usuario de Whatsapp y tenía una foto en su perfil.

Figura 7: El perfil WhatsApp de la persona que dejó el comentario en el perfil de Badoo indexado por Google

Para tener éxito en proceso de ingeniería social, es interesante recabar información de una víctima, así que, ya que disponía del número de su teléfono móvil, volví a consultar los buscadores a ver qué información mostraban en función del número de teléfono.

Figura 8: Un comentario en un foro dejando su nickname y su número de teléfono

Observamos cómo el usuario ha dejado el número de su teléfono móvil en más lugares por Internet y que también utiliza el alias prometeo_28; podemos inferir de este alias que su edad actual puede rondar los 36 años, ya que el año que en que dejé en mensaje de la figura anterior data de 2006.

Con toda esta información recabada, el último paso es muy sencillo, hacernos pasar por una chica de nombre Rocío y empezar a entablar una conversación para ir ganando su confianza y así que nos vaya suministrando fotografías comprometedoras e incluso la dirección de su domicilio…el límite lo pone tu imaginación.

Figura 9: El chat con prometeo_28

Observamos en la conversación de Whatsapp que es una persona soltera que ha empezado a trabajar esta semana, así que seguramente no aprobaría las oposiciones de bombero o quizás éstas no se convocasen, quién sabe. Lo mejor es que pregunta si me dio el número de teléfono. ¿Le decimos que se lo dio a todo el mundo al publicarlo en un comentario de Badoo y en un foro?

Si dejas mucha información tuya en Internet, cualquier día puedes tener un verdadero problema de seguridad en tu vida, y puede que te acaben estafando. Cuida tus datos personales como si fuera tu vida, que así lo son.... y cuidado con las chicas que te entran por chat...

Autor: Amador Aparicio
Twitter: (@amadapa)

La historia de las URLs de Gmail indexadas en los buscadores no deja de sorprenderme. Primero, durante el mes de Octubre me puse en contacto con el equipo de seguridad para alertarles de que había 79.400 URLs de Gmail indexadas en Google con un montón de información en los parámetros de las URLs accesibles para todo el mundo. La respuesta que obtuve del equipo de seguridad de Google, después de que les recomendara usar las Herramientas del Webmaster para eliminarlas y cambiar las opciones de las páginas web a NoIndex, fue que no consideraban importante eso.

Figura 1: Respuesta de Google cuando le informé de las 79.400 URLs indexadas en Google

Sin embargo, en el mes de Abril pude comprobar que Google había tomado cartas en el asunto y había eliminado 79.200 URLs de Gmail de todas las que allí había. Me llamó mucho la atención que lo hicieran después de lo que me habían dicho, pero... lo hicieron.

Figura 2: En Abril no quedaban más que 168 URLs de Gmail indexadas en Google

Pero, como yo sé que en esto del hacking con buscadores es más que sano y recomendable hacer las cosas también con Bing Hacking, me fui en Mayo a ver qué cantidad de URLs de Gmail quedaban indexadas en Bing, y había 121.000 direcciones.

Figura 3: En Mayo, había 121.000 URLs de Gmail indexadas en Bing.

Pues bien, ahora en Julio, si buscas en Bing podrás darte cuenta de que realmente algo ha pasado allí, y las URLs de Gmail se han perdido como lágrimas en la lluvia.

Figura 4: URLs de Gmail indexadas en Bing en 20 de Julio de 2014

Al final parece que lo que al principio no parecía importante para Gmail, pasó a ser algo digno de solucionar, y lo han solucionado en Google y en Bing, para que luego digáis que Bing no es importante... ¡Si hasta Google se preocupa de él!

Saludos Malignos!

Llevo un mes de Julio revuelto en cuanto a peticiones de hackeo extrañas, ilegales o sospechosas. No paran de llegar porque han visto buscando en Google la demostración de robar las contraseñas de Facebook con el Bridging HTTP(IPv6)-HTTP(IPv4), o porque han leído el artículo de "Cómo espiar WhatsApp", o cualquier otro artículo que les viene al pelo, como el de Cómo meter un troyano en iPhone o Cómo espiar un Android con un Troyano y no les viene un paso a paso de cómo hacer para espiar el número de alguien.

Por desgracia para ellos, todos los artículos tienen un enfoque técnico y se les falta el "step by step", así que directamente piensan que me pueden pedir que cometa yo SU delito. A todos les contesto con un sencillo "No te puedo ayudar en estas cosas", pero la verdad es que entre toda la vorágine de correo, acaban cansando un poco.

Aquí va una nueva remesa de peticiones **solo de lo que va en este mes de Julio** que he seleccionado. No están todas, ya que también me llegaron algunas por Twitter, e incluso algunas por teléfono que habían conseguido por algún amigo común con engaños al amigo común.

Figura 1: 1 de Julio - Robar un WhatsApp

Figura 2: 2 de Julio - Espiar un WhatsApp

Figura 3: 8 de Julio - Hacker una cuenta de Facebook

Figura 4: 11 de Julio - Espiar un WhatsApp

Figura 5: 11 de Julio - Hackear un servidor de juegos

Figura 6: 12 de Julio - Hackear una cuenta... ¿de Facebook?

Figura 7: 13 de Julio - Hackear el Gmail de su hermano

Figura 8: 17 de Julio - Espiar el Whatsapp de su novia

Figura 9: 18 de Julio - Espiar el Line o el Gmail de una persona con iPhone

Figura 10: 21 de Julio - Espiar el WhatsApp de su novia

Figura 11: 22 de Julio - Hackear el Facebook y troyanizar un PC

A partir de ahora, creo que voy a empezar a contestar en los correos y mensajes copiando a mis amigos de Grupo de Delitos Telemáticos de la Guardia Civil, para ver si empiezan a entender la gravedad de los delitos que intentan cometer.

Saludos Malignos!

Si tienes un WordPress o estás en un hosting compartido en el que hay un WordPress, debes tener mucho cuidado con un ataque que se está produciendo masivamente contra ellos. Todo el problema se debe a un fallo de seguridad de tipo RFU (Remote File Upload) en un popular plugin de WordPress llamado MailPoet usado para gestionar listas de correo en el framework similar al que se produjo hace un mes con otro plugin también en WordPress.

Figura 1: MailPoet para WordPress

Los creadores del plugin lanzaron una actualización el 1 de Julio, con la versión 2.6.7 de MailPoet que solucionaba un serio bug de RFU en el plugin bajo una Critical Update. El día 4 tuvieron que actualizarlo a la versión 2.6.8 de porque no estaba correctamente solucionado pidiendo disculpas por el bug que ya estaba siendo explotado. Pero el gran problema es que muchos usuarios no actualizaron su plugin cuando salió esta actualización.

Según Daniel Cid, de Sucuri, el ataque de RFI comienza con la subida de una plantilla mailiciosa que actúa como WebShell al sitio que se instalar dentro de /wp-content/uploads/wysija/themes/mailp/ con el que toma control del sitio. Desde ahí, infecta el resto de los temas del sitio y crea un usuario administrador llamado 1001001 dentro del sitio. Si en tu sitio web ves un error similar a este, es más que probable que estés infectado.

Parse error: syntax error, unexpected ')' in /home/user/public_html/site/wp-config.php

Figura 2: Error que puede significar que estás afectado por este ataque.

Si tienes un WordPress o en tu hosting hay un sitio con WordPress, ten cuidado con la información que hay allí. En primer lugar actualiza éste y todos tus plugins. Asegúrate de tener una política de actualizaciones que te permita evitar estas situaciones en el futuro. Fortifica tu servidor *NIX* y Apache y revísate las opciones de fortificación de WordPress para mitigar ataques en el futuro.

Saludos Malignos!

Los gatos son ese felino que te deja vivir en su casa para que disfrutes acariciándole, dándole de comer, y desesperándote por todo lo que él se ha entretenido rompiendo. Son un animal de compañía solo para iniciados que consigue subyugar a su amo solo como ellos saben, haciendo que cualquier cosas que no sea de su agrado sea harto compleja o directamente imposible de lograr. Yo me he criado entre cuatro gatos y un perro y aún recuerdo con dolor en la barriga las risas que me eché - que me obligaron a parar el coche en al cuneta porque si no tenía una accidente - cuando escuché por primera vez a Guillermo Fesser leer en antena esta sencilla lista de instrucciones para dar una pastilla a un gato.

La admiración que la gente siente por esos animales es tal, que se convierten habitualmente en objetivo de sus twits, fotos, publicaciones en Facebook y álbumes de boda. Son los dioses y deben ser tratados como tal, como divos de la moda que posan una y otra vez para que tú les puedas hacer fotos. Es su regalo para ti.

Figura 1: Una de las starts gatunas en la red.

Muchas de esas fotos acaban publicadas en la red con el kit completo de metadatos, ya sabéis, la marca de la cámara que puede usarse para reconocer cámaras de fotos robadas, la fecha y la hora para saber a qué hora has hecho la instantánea y lo que es mejor, la ubicación GPS en la que se tomó la fotografía. Con toda esa información, se puede hacer un bonito mapa que ubique dónde viven los verdaderos amos de este mundo, geoposicionándola en un mapa.

Figura 2: Gatos geoposicionados por sus metadatos en El Sur de Europa

El proyecto se ha lanzado vía crowdfunding para poder soportar el hosting del sitio, pero ya está funcionando en la web I Know Where Your Cat Lives, y ha recogido la información de muchos gatos ya en la red, con lo que puede se puede saber dónde vive una persona por dónde vive su gato.

Figura 3: Hay unos 20.000 gatos geoposicionados en España por sus metadatos

De hecho, estos son los gatos que hay en la región de Móstoles, que estoy aprovechando para ver si alguno es un digno bronxtolita de pro que pueda ser nombrado el gato del año en el próximo pregón de las fiestas de septiembre que ya se avistan.

Figura 4: Foto geoposicionada de un orgulloso gato Bronxtolita

Por si no te interesa que se sepa donde vive tu gato - y por ende tú - ten cuidado con los metadatos que publicas de tus mininos, al igual que los de cualquier otra foto y/o documento que vayas a hacer público. Los metadatos pueden ser buenos, o malos, según la información que revelen y a quién se la revelen, aquí tienes una lista de más de 30 ejemplos diferentes en los que los metadatos tienen importancia en distintos casos.

Saludos Malignos!

Quedaba pendiente para terminar este artículo de Latch Event Monitor hablar de una de las características que se pueden utilizar en esta herramienta para controlar un poco más todo lo que está sucediendo en el sistema Windows sin necesidad de configurar una opción de respuesta para cada uno de los eventos.

Monitorización de eventos con Latch Event Monitor

En la parte anterior hablamos de la posibilidad de lanzar una respuesta concreta, como bloquear una conexión o una dirección IP en el firewall, si el estado de la operación del Latch pareado estaba Bloqueado o Desbloqueado. En este caso, si lo único que queremos es que nos lleguen mensajes de alerta a nuestra app de Latch cuando se produzca una determinada situación, no será necesario configurar ninguna regla de respuesta, ya que Latch, por defecto, envía alertas si el estado de la operación está Bloqueado y ademas el usuario desde la app ya puede pedir que le lleguen también alertas cuando la operación esté Desbloqueada.

Sabiendo esto podríamos configurar en la aplicación una operación para monitorear cuando alguien toque un fichero del sistema, por ejemplo el popular ficheros hosts que tanto gusta a los amantes del Pharming y el Phishing.

Figura 12: Modificación del fichero hosts para hacer un ataque de pharming / phising

Como se puede ver en la imagen siguiente, se monitoriza el evento del sistema número 4656 que se genera cuando se produce un acceso a fichero, y se busca que en el contenido del evento aparezca el nombre hosts para que nos genere la alerta.

Figura 13: Configuración necesaria para monitorear el acceso a ficheros hosts de Windows en Latch Event Monitor

El resto de la configuración se puede queda en blanco, ya que tanto si el estado del Latch está Bloqueado o Desbloqueado, al final Latch Event Monitor va a hacer la consulta al servidor de Latch con lo que el usuario recibirá las alertas en su app cuando se produzca este evento.

Una demo en vivo de todo esto

La presentación oficial de la herramienta se hizo en la pasada RootedCON 2014 dentro de las charlas que se dieron. Aquí tienes todas las conferencias y en este enlace la charla completa de Playing & Hacking with Digital Latches donde se presentó la herramienta. Para que sea más cómodo entender las funciones de la herramienta, he hecho una pieza de solo 8 minutos con la explicación y las demos de Latch Event Monitor.

Figura 14: Demo de Latch Event Monitor en el pasada RootedCON 2014
Al final, las posibilidades de utilizar Latch Event Monitor están en el número de eventos que quieras controlar y los programas que quieras utilizar para responder a cada uno de ellos dependiendo de los estados de tu Latch.

Saludos Malignos!

********************************************************************************************
- Latch Event Monitor: Controlar Windows con Latch (1 de 3)
- Latch Event Monitor: Controlar Windows con Latch (2 de 3)
- Latch Event Monitor: Controlar Windows con Latch (3 de 3)
********************************************************************************************

El pasado mes de Junio, en la bella ciudad de Zaragoza, estuve como ponente invitado en el X Fórum AUSAPE 2014 para dar una charla. La conferencia se grabó y hace unos días la habían publicado. Yo la he recuperado y la he puesto aquí. Esta conferencia se basa en el Decálogo de Seguridad Maligno que ya había publicado hace unos años por aquí.

Figura 1: Vídeo de la conferencia en el X Forum AUSAPE 2014

Como en la grabación de la charla no se pueden ver bien las diapositivas del evento, os las he subido a mi canal de SlideShare, por si podéis ir viéndolas en paralelo.

Figura 2: X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna

Mi colaboración con el forum terminó con el artículo que os dejé de Problem Between Chair & Keyboard, que publicaron en la revista, tal y como podéis ver en el siguiente enlace donde además hay una reseña del evento. Que tengáis un buen domingo.

Saludos Malignos!

El robo de identidad es algo muy común hoy en día, por eso hay que poner un segundo factor de autenticación a todas tus identidades si quieres evitar sustos innecesarios. En mi caso, me gustaría poner Latch como ya he hecho con mi Windows para saber cuándo alguien intenta entrar en mi cuenta con mi contraseña, pero mientas que no exista esa posibilidad en Google, uso Google Authenticator que si bien no me avisa cuando alguien usa mi contraseña en mi cuenta y me obliga a poner un código cada vez que inicio sesión, al menos sé que me tienen que robar el terminal para lograr robarme la identidad.

Figura 1: Respuesta de Google Security sobre esto que os voy a contar

El poner un segundo factor de autenticación es para mí vital, sobre todo viendo las medidas de seguridad que tienen empresas como Google para detectar y bloquear el robo de identidad basándose en patrones de comportamiento. De todo esto que os voy a contar, avisé a Google y decidieron que NO era un fallo de seguridad. Tal vez luego lo arreglen como las URLs de Gmail indexadas en Google y BING, pero por ahora no. Espero que os guste.

Inicio de sesión desde otra ubicación

La cuestión es que ocurriría si alguien intenta acceder desde una ubicación distinta a la que utiliza el dueño de una cuenta de Google. No olvidemos que una de las características que argumentan los grandes sitios de Internet a la hora de generar las huellas digitales de las conexiones de sus clientes es la protección de las cuentas. En el caso concreto de Google, por seguridad, se bloqueara dicha cuenta y comienza todo un proceso de seguridad para verificar que se trata del dueño legitimo, tal y como explicó Chema en sus pruebas con cuentas robadas y publicadas en foros de Internet.

Figura 2: Verificar tu identidad de una cuenta de Gmail introduciendo cuenta de recuperación

Si intentamos realizar el acceso a una cuenta desde una ubicación distinta a la habitual, haciendo una conexión directamente desde el login del correo electrónico de Gmail aparecerá un desafío y si no contestamos correctamente a todas las preguntas que se formulan - cosas que un atacante probablemente no sepa - la cuenta seguirá bloqueada. Hasta ese punto todo parece correcto, pero... ¿y si intentamos hacer login desde cualquier otra propiedad de Google?

El inicio desde otra ubicación en YouTube

No hay que olvidar que la cuenta de Google hoy en día tiene muchas puertas, por ejemplo haciendo login en YouTube. ¿Se lanza el mismo proceso de seguridad? La respuesta es NO. En este caso, al conectar por YouTube avisara de que alguien esta intentando entrar a tu cuenta desde otra ubicación y formula una pregunta: ¿Desde qué ubicación te sueles conectar normalmente? Esto ya no es una barrera costosa, ya que para un atacante es fácil de averiguar con buscar un poco en Internet.

Una vez conseguida dicha información se accede a la cuenta sin ningún problema. Si al mismo tiempo el dueño legítimo de la identidad está conectado, aparecerá un aviso en la parte superior de la pagina de que alguien ha entrado a tu cuenta desde otra ubicación y realiza otra pregunta más: ¿Has sido tu? Con contestar que sí es suficiente, y adiós a más preguntas al mismo tiempo que se consigue acceso total a Todo Google.

Esto pasará únicamente si el atacante está navegando bajo una conexión con una dirección IP de un país diferente al del dueño de la cuenta, pero si es astuto y antes de conectarse se asegura de obtener dicha información recogiendo información por las redes sociales podría elegir el país de conexión y se tendría acceso sin ningún problema.

El bug en el Bloqueo de seguridad por ubicación distinta a habitual

Siguiendo con las pruebas, intenté iniciar sesión en el login principal de Google desde otra ubicación a la habitual a la mía con conexión vía VPN/Proxy con una dirección IP de "Estados Unidos" quedando así la cuenta bloqueada "por seguridad". Para eliminar el bloqueo Google da varias opciones de recuperación:

Acceso mediante cuenta de correo de recuperación

En esta primera opción debes introducir la dirección de correo electrónico que tienes asociado a tu cuenta de Google. Cualquiera que vea esto, asume que se va a enviar cualquier tipo de mensaje de desafío a ese buzón de correo con algún código y/o enlace para confirmar que se está en posesión de esa dirección de correo electrónico. Sorpresa la mía cuando por error introduzco mal el dominio de mi cuenta de correo electrónico y pongo algo como: "j••••@hotmail.crom"

Figura 3: Con el dominio mal puesto se tiene acceso a la cuenta, desbloqueando el control

¿. crom? dije yo llevándome la manos a la cabeza pensando que al haberlo puesto mal tendría que repetir todo el proceso, pero... no, Te permite entrar. Pero...WTF?

¿Y si pongo un dominio totalmente distinto? Pues también cuela. Al final, lo único que se comprueba es que el nombre de la cuenta sea el correcto, por lo que el dominio no importa nada. De hecho, cuando las cuentas de recuperación son de los grandes proveedores de correo electrónico, no tiene mucho sentido preguntarlo y es más una forma de recordar al dueño qué cuenta se está preguntado.

Figura 4: Con un dominio no existente también se produce el desbloqueo

Lo más sorprendente de todo es que Google NO realiza un desafío sobre el correo electrónico, solo que has acertado en el nombre. Es decir, que no importa si el atacante no tiene control sobre la cuenta de recuperación, basta con que sepa qué cuenta... perdón, que alias de correo en esa cuenta tiene. En este vídeo se puede ver todo el proceso de verificación.

Figura 5: Desbloqueo de cuenta de Google desde ubicación no habitual
Por desgracia, los usuarios tienden a poner el mismo nombre de usuario de su cuenta, pero en otro dominio de correo. Algo como lucas11111@gmail.com, lucas1111@hotmail.com, lucas1111@icloud.com, etcétera. Mala idea para un caso de cuenta de recuperación viendo como funciona el sistema.

Acceso mediante conocimiento de la ubicación habitual

Dependiendo de la propiedad de Google, al detectarse el acceso desde una ubicación no habitual, el desafío puede resolverse si se indica la ciudad desde la que suele iniciar sesión esa cuenta, en mi caso "Palma de Mallorca, España". Vamos, algo que está al alcance de casi cualquiera hoy en día con saber dónde vive una persona mirando su vida en Internet y en las redes sociales. ¿Es útil para algo esta protección?

Figura 6: Desbloqueo de cuentas por introducción de ubicación habitual

Lo cierto es que vistas estas opciones de seguridad para el bloqueo de cuenta, el uso de un segundo factor de autenticación es la única medida eficiente para evitar que en un descuido, un 0day, una troyano, un keylogger, o una conexión controlada entre todas las que se producen en la red con mis cuentas, acabe con el robo de mi identidad.

Autor: Jonathan Novel
Twitter: @JonathanNovel

Como en el pasado, 0xWord va a activar el Mode Verano y durante el mes de Agosto no se hará entrega de pedidos como habitualmente hacemos. En este periodo se va a hacer un cambio de almacén, y como la actividad suele bajar se aprovecha para acumular la entrega de pedidos a finales de mes y hacer otras tareas.

Figura 1: Llévate a la FOCA contigo a la playa

Pero.. para los que quieran llevarse a la playa la mejor de las lecturas, como hace mucha gente, hemos sacado un código descuento con un 10% de rebaja sobre el precio que durará solo hoy, es decir, hasta las 24:00. El código descuento es VERANO2014. Las compras deben estar hechas hoy, y las confirmaciones de los pagos deben haber llegado, como muy tarde, el miércoles, ya que el jueves se harán los últimos envíos y se activará el Mode Verano.

Figura 2: Código descuento 10% solo para hoy "VERANO2014"

Así que, si quieres algún libro para llevarte a la playa, hoy es el día. Además, te informo de que hasta nueva orden Hacking con Buscadores y Una al día están agotados, además de que el número de unidades disponibles de Metasploit para Pentesters y Hacker Épico es muy corto y probablemente hoy se acaben también esas ediciones.

Figura 3: @internauticoweb ya se ha pertrechado para el verano de lo lindo.

Por si quieres alguna recomendación, en Security By Default hicieron una selección para hacerse profesional de la seguridad. Yo, como creo que la playa es más para vaguear y tomar martinis, si tuviera que llevarme alguno a la playa, yo me llevaría Hacker Épico, Wardog y el Mundo, o Microhistorias: anécdotas de la historia de la informática y los hackers, que son de disfrutar la lectura a la par que aprender.

Saludos Malignos!

Hace ya bastante tiempo publiqué un artículo sobre cómo entre todo lo que queda indexado y/o cacheado en los buscadores, pueden quedar los enlaces a las previsualizaciones de los posts que se van a publicar en los blogs de Blogger. Yo uso Blogger, así que me fue sencillo darme cuenta de esta situación.

Figura 1: Previsualización de un post en la plataforma Blogger

En otros motores para gestionar blogs nunca había mirado si existía una forma similar de hacer previsualizaciones y compartirlas, pero revisando en WordPress, aprendí que existe el plugin "Share a Draft", un módulo para compartir una previsualización de un artículo en la que además se puede pedir feedback a las personas con las que lo compartes. Muy útil para la supervisión de artículos.

Figura 2: Plugin Share a Draft para WordPress

Estos enlaces son fáciles de localizar, porque llevan la cadena "shareadraft" en la dirección URL y por tanto es sencillo localizarlos en Google y Bing, donde se puede ver que no hay demasiados indexados.

Figura 3: URLs de Share a Draft indexadas en Bing

Figura 4: URLs de shareadraft indexadas en Google

La gracia es que en muchos sitios, dependiendo de las opciones de indexación y caché del sitio web, se puede recuperar contenido que tal vez haya sido modificado en el documento final, pero que haya quedado en el índice o en la caché del buscador, lo que podría dar datos curiosos.

Figura 5: Un draft de un artículo compartido con "Share a Draft" en la caché de Google

El problema como usuario de este módulo que puedes tener es que envíes esta previsualización a un amigo, compañero o vecino del que quieras tu opinión. Él, para no olvidarse de que tiene que revisar tu artículo guarda la URL por ejemplo en una nota pública de un sistema como Evernote. El bot de Google lo indexa y cachea la página de resultados. Luego tú decides cambiar algo en el artículo, pero esos datos ya han quedado en los buscadores.

Figura 6: Proceso de leak de un borrador con Share a Draft en WordPress

Si tienes un WordPress en el que estás utilizando este módulo, lo que deberías hacer es revisar las opciones de NoIndex y NoCache de las URLs de este módulo, como un punto más a la hora de fortificar tu plataforma WordPress.

Saludos Malignos!

El proyecto TOR, una de las redes más famosas de la Deep Web, lleva tiempo siendo objetivo de los gobiernos que buscan conocer quién es quién y dónde está cada servidor dentro de la esa red. El último que se sumaba a la lista de interesados fue el gobierno de Rusia, dado la vuelta la noticia por todo el globo terráqueo. Lo cierto es que desde hace tiempo que se conocen muchos ataques sobre la red con el objetivo de acabar con el anonimato, y que además se han puesto en práctica.

En la larga lista de ataques se encuentran los más evidentes, con la inserción de nodos de entrada y/o salida maliciosos que pudieran hacer de man in the middle entre el cliente y el nodo rogue de TOR o entre el nodo rogue de TOR y el servidor de salida, como lo que intentamos nosotros para hacer nuestra JavaScript Botnet.

Figura 1: Estructura de nodos y conexiones en la red TOR

Otro de los ataques conocidos es el de aprovecharse de alguna vulnerabilidad en el software cliente de conexión, como vimos con Tor Browser que fue utilizado por el FBI para descubrir a muchos de los usuarios de la red y hacer una macro operación en la red. Para evitar estos ataques la recomendación es conectarse a la red TOR con tu propio nodo y sin tener siquiera una conexión IP a Internet, como describe ese artículo.

Al final, hasta el software más especializado en anonimato puede tener bugs que dejen al descubierto tu punto de conexión a la red, como hemos visto recientemente con TAILS, el sistema operativo basado en Linux para conectarse a TOR que ya era objetivo de investigación por parte de la NSA y que ha tenido que actualizarse este 22 de Julio para solucionar un serio bug.

Entre la lista de ataques a TOR, uno que a mí me llamó mucha la atención fue el publicado en el paper de "Users Get Routed: Trafﬁc Correlation on Tor by Realistic Adversaries" donde los autores explican que si tienes un buen número de nodos rogue en TOR y eres capaz de inyectar una señal en cada paquete que envíes para medir tiempos y tipos de paquetes que puedas ir anotando cuándo vuelves a ver esa señal en otro nodo, podrías ser capaz de saber qué paquetes han pasado por los mismos nodos.

Figura 2: Ataque de correlación de tráfico para de-anonimizar conexiones

Es decir, al final, con tráfico capturado durante varios meses haciendo análisis estadístico de los datos obtenidos en la medición de las señales podrías ser capaz de conocer cuáles son las rutas que se siguen, cuáles son los servidores y dónde se encuentran con una probabilidad del 80 % a los 6 meses de capturar tráfico.

Lo curioso es que desde el blog de TOR se habla ahora que durante 6 meses de este año 2014, es decir, desde el 30 de Enero al 4 de Julio, se ha detectado la presencia de un alto número de nodos que estaban inyectando "signals" en las cabeceras para medir tráfico y capturar rutas, lo que deja, según confirman en su artículo, todo el anonimato roto durante este periodo de tiempo.

Figura 3: Confirmación del ataque en el blog oficial de TOR

Ahora la recomendación es actualizar el software de nodos y clientes para solucionar las debilidades que aprovechan estas técnicas de cálculo de rutas, pero claro, esto será solo para el futuro y suponiendo que dentro de 6 meses no se diga que se inyectado un bug que ha sido explotado durante este periodo de tiempo.

Tened presentes que una de las leyes de la criptografía es que con el tiempo todo sistema de seguridad acabará siendo posible romperlo, así que muchas organizaciones están trabajando en sistemas de archiving de tráfico de red. Es decir, graba todo el tráfico que puedas de la red TOR hoy y ya lo analizaremos cuando lo descifremos mañana. Avisado quedas.

Saludos Malignos!

Podría pensarse, después de leer y probar lo que se publicó en el artículo Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fíes nada de esa chica que te entra por WhatsApp, que únicamente se puede acceder “a tamaño completo” a la primera imagen del perfil indexado en los buscadores o que hiciera falta un poco de conocimiento sobre técnicas de dorking para tener éxito en la búsqueda de fotografías de usuarios y conversaciones íntimas de estos. E incluso que no fuera posible obtener la información de los perfiles de usuario de los miembros de Badoo.

El presente artículo quiere poner de manifiesto que no hace falta un conocimiento avanzado sobre el uso de los principales buscadores de Internet para obtener perfiles de usuarios de la red social Badoo, y que se puede tener acceso a todas las imágenes que éstos hayan dejado en la red social, así como a la información de sus perfiles privados.

Cómo buscar a un usuario de la red social Badoo sin tener conocimientos acerca de Hacking con Buscadores. Como se muestra en la siguiente imagen, sólo con poner el nombre de la red social y un nombre de una persona, los buscadores nos devolverán resultados sobre todas las coincidencias que tengan indexadas:

Figura 1: Perfiles de "Trini" de España en Badoo indexados en Google

Figura 2: Perfiles de Trini de España en Badoo indexados por Bing

Si por ejemplo consultados cualquiera de los resultados devuelto por Google, el resultado del perfil que se obtiene, que se recuerda que es totalmente público y está abierto a todos en Internet, es el que se ve en la siguiente imagen:

Figura 3: Un perfil de la red social Badoo publicado en Internet

Hemos tapado las caras, pero tanto la foto de la menor como las del perfil han sido subidas voluntariamente y publicadas en Internet para todo el mundo. Si ahora quisiéramos obtener todas las imágenes a tamaño real - observamos que este usuario tiene 4 -, el resultado de Badoo es el mostrado en la siguiente imagen:

Figura 4: Si quieres ver las fotos Badoo te pide registrarte

La propia red social Badoo nos envía a la primera página para que, en caso de tener interés por ver más imágenes de esa persona, nos demos de alta en la red social. Sin embargo, veremos en el siguiente apartado cómo NO es necesario estar dado de alta para poder obtener todas sus imágenes de Badoo.

Para obtener todas las imágenes personales de un usuario de esta red social solo hay que pedir la URL/photos/ del perfil, para que nos lleve sin redirección alguna a la ficha de las fotografías del perfil. Una vez allí, en cada foto usar la opción de abrir en una nueva pestaña y listo. La foto aparece completa, además de todos los comentarios públicos.

Figura 5: Con pedir la URL /photos/ te da acceso a todas las fotos a tamaño real

Si ahora pulsamos sobre el botón Perfil y consultamos el perfil de este usuario, Badoo volverá a redirigirnos a la pantalla de login. Veremos cómo obtener la información de los perfiles del usuario.

Pero... todo está indexado y cacheado en Google, así que es suficiente con hacer una búsqueda como la primera para localizar los perfiles, pero añadir algún termino que esté en el perfil, como por ejemplo, "Relación de Pareja". Como se puede ver hay una barbaridad de ellos indexados en caché, y se podrán ver todos ellos.

Figura 6: Lista de perfiles indexados y cacheados en Google

Incluso, se puede buscar información de perfiles, de forma pública, sin registrarse, de manera anónima y desde Internet, con términos como "Adicta al Sexo".

Figura 7: Perfiles con el comentario de "Adicta al sexo" en su perfil cacheado en Google

Este artículo no es más que otro grito a Internet para ver si conseguimos concienciarnos todos de que debemos tener cuidado con a quién le damos nuestros datos, y lo que es peor, que dejemos de ser utilizados como mercancía por sitios como estos. No hay que olvidar que Badoo se lava las manos y responsabiliza a los usuarios de todo lo que publican.

Autores: Amador Aparicio y Chema Alonso
Twitter: @amadapa y @chemaalonso

Cross-Site SWF Scripting con Rosetta para Flash

Róbame que estoy haciendo deporte y estoy así de sano

Transmisión de datos por impulsos en el magnetómetro

La Wiki de los "juguetes de espionaje" del GCHQ británico

Asesino descubierto por metadatos de cargar el smartphone

Controlar Puertas y Puertos (USB) con Latch

PBCK: Problem Between Chair and Keyboard

La Guardia Civil usa eGarante para denunciar delitos

Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fies nada de esa chica que te entra por WhatsApp

Google SÍ usa Bing: Para borrar las URLs indexadas de Gmail

En Julio tampoco voy a ir a la cárcel por ti

WordPress: Drama de malware por un bug RFU en MailPoet

Sé donde viven tus gatos: 20.000 fotos de gatos en España revelan dónde vives en los metadatos

Latch Event Monitor: Controlar Windows con Latch (3 de 3)

X Fórum AUSAPE 2014: Un decálogo de seguridad maligno

Saltar el bloqueo de cuentas Google es un juego de niños

0xWord: Código descuento de lectura veraniega. Solo hoy

WordPress: Ten cuidado con el cacheo de borradores

TOR confirma que el anonimato en la Deep Web fue roto

Badoo publica sus adictos al Sexo: En Badoo, todas tus fotos, tu información personal y tus aficiones son públicas