Un informático en el lado del mal

En el Máster de Seguridad de la UEM, además de dar el módulo de Seguridad en Aplicaciones y Bases de Datos, puntualmente doy algún otro módulo. Este año di unas clases sobre Herramientas de Auditoría y les puse este examen para que se divirtieran un rato tras haber estado jugado unas clases con mi querida FOCA. Si llevas tiempo trabajando en auditoría y pentesting, seguro que te resultan sencillas. Como hoy es sábado, y este es uno de los días en los que tienen lugar las clases, os lo dejo aquí para ver si os animáis a hacerlo. La duración que les dejé del mismo es de para hacerlo fue de 1 hora y media.

Figura 1: Anímate a hacer el examen

Esta tarde os publico las soluciones por si tienes curiosidad con la respuesta de alguna de ellas, pero lo suyo es que busques las repuestas y aprendas si no lo sabías. Todo está publicado ya por este blog.

1.- Explica la diferencia entre Metadatos, Información Oculta y Datos Perdidos en documentos ofimáticos

- Solución: Disclosing Private Information Using Metadata, Hidden info and lost data

2.- En un proceso de pentesting se intentan encontrar documentos ofimáticos publicados en la web del cliente en algún momento, pero al revisar los datos indexados en Google y Bing no aparece ningún documento. ¿Dónde los podrías conseguir?

- Solución: Hacking con Archive.org "The way back Machine"

3.- Se quiere hacer el descubrimiento interno de la red de una empresa en un proceso de auditoría. Para ello se puede utilizar el servidor DNS expuesto en Internet de la organización que es una copia exacta de la base de datos maestra que está en un servidor de la Intranet. Describe el proceso que seguirías.

- Solución: Registro Primary Master en el DNS

4.- Describe qué es y para qué se usa el servicio Shodan.

- Solución: Shodan es un buscador de servicios IP expuestos a Internet basado en búsquedas sobre las respuestas por defecto obtenidas a las conexiones de los puertos que indexa. Se puede usar para todo esto: Ejemplos de uso de Shodan.

5.- Se está auditando una aplicación web en un servidor de hosting. Se quiere obtener la lista de sitios web alojados en el mismo servidor para intentar acceder a la aplicación web objetivo por medio de un fallo de seguridad que pueda existir en alguna de las webs que comparten servidor. ¿Cómo sacarías la lista de sitios web alojados en la misma dirección IP?

- Solución: Bing Hacking - El operador IP o Robtex

6.- Se descubre una vulnerabilidad de configuración en un servidor Apache con el módulo mod_negotiation. ¿Cómo explotarías este fallo en un proceso de auditoría?

- Solución: Buscar backups con Mod_Negotiation

7.- Se descubre que un servidor web Apache tiene activado el módulo mod_userdir. ¿Cómo lo explotarías a partir de los documentos ofimáticos publicados en la web para intentar descubrir más directorios y/o archivos?

- Solución: Se sacan los usuarios de los metadatos y se hace fuzzing sobre la ruta de mod_userdir

8.- En que consiste la técnica de DNS Cache Snooping. Describe 2 ataques que puedan aprovecharse de la técnica DNS Cache Snooping en un esquema de ataque dirigido.

- Solución: Funcionamiento de DNS Cache Snooping. Ataques: Evil Grade, Watering hole, AV Detection, SW Discovery, Ghost Domains, etc...

9.- ¿Qué es y en que consiste un transferencia de zona DNS?

- Solución: Transferencia de Zona DNS para listar todos los registros de una zona DNS.

10.- ¿En que consisten las técnicas de fingerprinting de servidores web basadas en códigos de respuesta de error HTTP? Pon algún ejemplo.

- Solución: ErrorDocument Handlers

Ahí quedan las soluciones. Todas ellas pueden permitir más opciones de resolución, pero yo os he dejado las que pensé cuando escribí el examen. Si te gusta esto de resolver las preguntas, recuerda que tienes más exámenes publicados - ya con solución - en los siguientes artículos:

- Examen Máster de Seguridad de la UEM 2009-2010
- Examen Máster de Seguridad de la UEM 2010-2011
- Examen Máster de Seguridad de la UEM 2011-2012
- Examen Máster de Seguridad de la UEM 2012-2013
- Examen Máster de Seguridad de la UEM 2013-2014

Saludos Malignos!

Hace ya un tiempo participé en la grabación de un documental con la periodista Mercedes Milá sobre la Red TOR. En él intenté explicarle, poco más o menos, las cosas que conté en la presentación de "De paseo por la Deep Web" y donde se habló también de los posibles ataques a la red TOR.

Figura 1: Emisión del programa de TV ayer noche.

Anoche emitieron el programa y lo han publicado en varias partes, junto con las entrevistas a otros participantes, así que he recopilado todas y cada una de ellas, para que las podáis ver según vuestro criterio. Aquí van:

Figura 2: Entrevista a Chema Alonso sobre TOR y la Deep Web

En el programa también se entrevista al Comandante Oscar de La Cruz, del Grupo de Delitos Telemáticos de la Guardia Civil, que habla entre otras cosas de todos los delitos que allí se comenten y lo que allí se puede ver. Entre otras cosas se habla de la dificultad de investigar los delitos que generó la polémica de los Troyanos policiales..

Figura 3: Entrevista a Oscar de la Cruz sobre delitos en TOR

Uno de los casos más curiosos que hemos vivido en este país es el Caso de Santiago Cervera y el supuesto caso de chantaje, en el que los correos electrónicos fueron enviados desde la red TOR, que generó parte del interés del programa.

Figura 4: Entrevista a Santiago Cervera sobre su caso en la red TOR

Figura 5: Entrevista a Javier Lorente

Por último, también se entrevista a Jorge Bermúdez, que con su estilo habitual hace un recorrido por la legislación española: "La Ley de enjuiciamiento criminal que tenemos de 1882, con sus parches de actualización, se nos ha quedado corta. No nos ofrece herramientas para investigar, no solo delitos cometidos con medios avanzados como 'Tor' u otros medios de la Deep Web, también delitos informáticos comunes", explica Jorge Bermúdez Fiscal Especializado en Delitos Informáticos."

Figura 6: Entrevista a Jorge Bermúdez sobre la ley aplicada a la red TOR

Saludos Malignos!

Al igual que cuando uno comienza a introducirse en el mundo de la seguridad informática, empieza a interiorizar siglas y palabros que hasta entonces te eran desconocidos (SQLi, XSS, CSRF, Buffer Overflow, etcétera.) y a identificar a referentes internacionales como Kevin Mitnick, Charlie Miller o El Maligno, cuando uno se adentra en el fascinante universo de la paternidad, además de asimilar nuevos conceptos y rutinas, comienza también a conocer a otro tipo de referentes que le acompañan en esta nueva etapa. Hablamos cómo no, de los famosos y carismáticos personajes de la infancia, como Bob Esponja, Peppa Pig, o el grandioso Pocoyó. Los protagonistas de estas populares series infantiles de dibujos están presentes en numerosos aspectos de la vida de los bebés, desde la propia televisión donde se originan, hasta los juguetes, el menaje o ropa infantil.

Como no podía ser de otra forma, el Universo 2.0 pone a disposición de todos los que somos padres nuevos canales para que nuestros hijos puedan disfrutar de sus personajes favoritos en cualquier momento y en cualquier lugar. Es posible acceder a numerosos capítulos de estas series a través de vídeos en Youtube, así como diferentes apps para SmartTV o dispositivos móviles, generalmente de forma gratuita.

Figura 1: Canal Youtube de Pocoyó

Al igual que nosotros utilizamos a diario varios dispositivos para acceder a la misma información, nuestros hijos, los llamados nativos digitales, que interaccionan con la tecnología mejor que muchos adultos aún siendo bebés, eligen indistintamente diversas opciones dependiendo de las posibilidades que tengan a su alcance, así como de la paciencia y permisividad de sus padres. En particular a mi pequeña Lara le gusta disfrutar de las aventuras de Pocoyó y sus amigos a pantalla completa en la SmartTV, pero cuando esto no es posible accede a dichos contenidos desde el canal de Youtube o la aplicación móvil del iPad.

Figura 2: Aplicación de Pocoyó para SmartTV Samsung

De entre las diferentes aplicaciones móviles desarrolladas por Zinkia, la productora de Pocoyó, en concreto la que utiliza mi hija se llama Pocoyó TV. Esta app permite al usuario ver cualquiera de los 52 capítulos de la primera temporada de Pocoyó, con la particularidad de que sólo los primeros 5 están disponibles de manera gratuita. Si se desea visualizar alguno de los otros 47 restantes, es necesario pasar por caja para desbloquear dicho capítulo mediante la contratación de una suscripción por un período de tiempo determinado. Esto a priori puede sonar un poco incoherente ya que estos capítulos están disponibles de manera gratuita en otros medios como el Canal de Youtube oficial de Pocoyó, o la aplicación móvil de Pocoyó para SmartTV, ambos pertenecientes a la propia Zinkia.

Figura 3: Además de publicidad, la app para iPad bloquea capítulos que son públicos en otras plataformas

En cualquier caso, entiendo que aunque suene contradictorio el planteamiento, pueda suponer una pequeña fuente de ingresos adicional para la compañía, ya que al no tratarse de grandes cantidades de dinero muchos padres contratarán la suscripción, en algunas ocasiones por desconocimiento y en otras por comodidad o dejadez por no abrir el buscador de Youtube y localizar el capítulo bloqueado desde el iPad.

Figura 4: Suscripción para desbloquear el capítulo en la app de iPad

Es solo una pequeña fuente de ingresos más que puede venir de las que apps, de las que ya se han contabilizado más de 10 millones de descargas entre todas las aplicaciones de Pocoyó para todas las plataformas.

Figura 5: Más de 10.000.000 de apps descargadas.

Más allá de que para alguno pueda ser cuestionable cobrar por capítulos que se ofrecen gratuitamente a través de otros canales, lo que sí que es importante es que esto se haga bien. Esto viene a colación de que hace unos meses, mi hija se estrenó con tan sólo 2 años en esto de encontrar fallos de seguridad o implementación, ya que mientras yo analizaba las capturas de tráfico de mi propia red WiFi cuando trabajaba en el post sobre Whatsapp Discover, ella veía plácidamente el Capítulo 2 de Pocoyó desde el iPad, con lo que su tráfico se coló en dicha captura:

Figura 6: Petición de descarga del Capítulo 2 de Pocoyó en Español desde la app de iPad

Como se puede ver en la imagen, a la hora de descargar un capítulo para poder verlo en la aplicación, se accede directamente mediante HTTP al vídeo de dicho capítulo en formato mp4, que se descarga desde el servidor. Nada ofuscado u oculto en dicha petición.

Hace unos días, decidí investigar un poco más esto que llamó mi atención en aquel momento. Así que tras hacer pasar el tráfico de mi iPhone por el proxy Burp, comprobé que en la versión actual de la aplicación, la descarga de los capítulos se sigue realizando a través de HTTP en formato mp4 directamente desde el servidor.

Figura 7: Descarga de capítulos de Pocoyó desde la app de iPhone visto con Burp

Así que se me ocurrió ver qué pasaba si en vez de pedir el vídeo del Capítulo 2 que está disponible de manera gratuita, construyo la URL para el Capítulo 9 que es de pago, cambiando simplemente un dígito por otro. El resultado era de esperar:

Figura 8: Descarga de los capítulos bloqueados de Pocoyó desde la web

Tras realizar varias pruebas, me di cuenta que todos los capítulos podrían descargarse gratuitamente del servidor no sólo en Español, sino en el resto de idiomas que ofrece la aplicación, con lo que si ya antes era absurdo contratar la suscripción, ahora carecía completamente de sentido alguno.

Figura 9: Los capítulos de Pocoyó están disponibles en estos idiomas

Para constatar esta suposición, basta con pedir un capítulo de Pocoyó en Japonés del servidor, y el mismo se descarga directamente sin ninguna validación de por medio.

Figura 10: Descarga de un capítulo de Pocoyó en Japonés

Más allá de un problema de seguridad, en el caso de que el contenido no pudiera obtenerse de otra forma gratis, hablamos de un problema conceptual de implementación que daría al traste totalmente con el modelo de negocio de la aplicación. De nada sirve cobrar por algo que no conseguimos tan siquiera ocultar, y ya se sabe que eso de la seguridad por oscuridad no suele funcionar. Con un sencillo script con Wget podríamos obtener todos los capítulos en cualquier idioma. He aquí un ejemplo para poder tener la versión en portugués:

Figura 11: Wget desde Kali Linux para descargar los 52 capítulos de Pocoyó

En aras de agradecer a la productora los ratos agradables que Lara pasa mientras observa con atención las aventuras de Eli, Pato, Nua y Pocoyó, decidí informar de este problema a los responsables de la compañía, quienes me agradecieron el reporte informándome de que se lo comunicarían a sus desarrolladores para futuras actualizaciones de la aplicación.

Tan sólo unos días después, han subido a la App Store una actualización de la aplicación con nuevas funcionalidades, pero en principio este problema sigue aún vigente ya que han debido considerar que al estar el contenido público por otros medios, no tenía sentido de momento actualizar el sistema. No obstante, este problema se repite en muchas apps que cobran por contenido, así que valga el ejemplo de Pocoyó para explicaros qué no se debe hacer nunca.

Autor: Deepak Daswani
Sitio web: http://deepakdaswani.es
Twitter: @dipudaswani

Anda por mi cabeza arrancar un proyecto con Gmail, así que estos días he andado jugando con el protocolo IMAP en GMail. Ya os contaré más adelante en qué ando pensando, pero mientras tanto, como este blog siempre fue mi cuaderno personal de anotaciones, he querido hacer esta serie de artículos para que no se me olvide lo que he aprendido, y si así sucede, siempre pueda volver a leerme este artículo. Espero que a alguno de vosotros os venga también de utilidad en algún momento.

Una introducción a IMAP

El protocolo IMAP (Internet Messsage Application Protocol) es un protocolo de acceso a un servidor de mensajes. Entre otras cosas, y recalco lo de entre otras cosas, sirve para cumplir las funciones de un protocolo de acceso al buzón de correo electrónico, como podría ser POP3 (Post-Office Protocol version 3), pero realmente no tiene porque estar ligado al correo electrónico, aunque sí al concepto de mensajes.

Algunas aplicaciones y servidores implementan IMAP como forma de trabajo con documentos, que pueden ser archivos ofimáticos, binarios o citas de agendas. Al final, un mensaje puede ser casi cualquier cosa y hasta un correo electrónico.

A diferencia de POP3, con IMAP se pueden subir mensajes al servidor, con lo que la gestión del buzón es mucho más completa. Por ejemplo, alguien podría usar una aplicación cliente para gestionar su buzón de correo electrónico con IMAP y hacer un borrador, ese borrador de correo electrónico, aún sin destinatario, podría ser subido al buzón a una carpeta borradores y guardarse allí. Algo como eso, con POP3 no es posible realizarlo.

Conexión al buzón de GMAIL con IMAP

El acceso al buzón de Gmail se puede hacer con una conexión IMAP en modo comandos, lo que permitiría controlar en todo momento lo que se quiere hacer con los mensajes. El servidor IMAP de Gmail se encuentra en imap.gmail.com y utiliza un túnel SSL para conectarse. Su puerto de conexión es el 993 y para establecer una conexión a él basta con hacer una conexión openssl con s_client. Eso sí, asegúrate de que tu cliente de OpenSSL está correctamente actualizado y parcheado contra HeartBleed.

Se debe utilizar el parámetro -connect para hacer la conexión -quiet si no se quiere ver toda la negociación y -crlf para no tener que preocuparse de escribir los caracteres de fin de línea y retorno de carro.

Figura 1: Conexión OpenSSL a servidor IMAP de Gmail

Una vez conectados al servidor IMAP podemos comenzar a escribir los comandos IMAP. La última RFC del protocolo es la RFC3501, del año 2003. Lo primero que se debería hacer es autenticarse, pero existen algunos comandos que se pueden utilizar sin conectarse, como por ejemplo negociar la autenticación. Para obtener un buen número de opciones e información del servidor, se puede usar el comando CAPABILITY.

Una cosa un poco curiosa con los comandos IMAP es que es necesario poner una etiqueta delante de cada comando para que el servidor conteste a esa etiqueta. La etiqueta puede ser cualquier cosa, pero una buena práctica es poner un etiqueta que te ayude a identificar la sesión y un número de comando secuencial, para que después en un log puedas moverte con más soltura. En el caso de Gmail, al invocar el comando CAPABILITY vemos muchas cosas, como que implementa la última versión de IMAP4rev1 o que se puede negociar una conexión en plano.

Figura 2: Resultados del comando IMAP Capability en Gmail

En mi caso, utilizo Google Authenticator - que aún no puedo poner Latch - en mi cuenta de Gmail como Segundo Factor de Autenticación, por lo que para conectarme a mi cuenta de correo electrónico desde un cliente pesado utilizo una contraseña de aplicación. Tanto si tienes un 2FA como si no, te recomiendo que, para cualquier cliente de correo electrónico que utilices, configures una contraseña de aplicación como se explica aquí.

Figura 3: Configuración de contraseñas de aplicación en Google

Al final, si te quitan esa contraseña no perderás toda tu cuenta Google, aunque sí que se tenga acceso a todo tu precioso correo electrónico temporalmente, hasta que le revoques el acceso.

Autenticarse contra el servidor IMAP

Para autenticarse en el servidor IMAP necesitas hacer un comando LOGIN, por supuesto etiquetado al principio, en el que pongas tu usuario y tu contraseña. Esto dará como resultado una conexión autenticada a tu servidor de mensajes IMAP4rev1 de Gmail.

Figura 4: Autenticando contra el servidor IMAP de Gmail

Para configurar una autenticación en texto plano, por si quisieras hacerlo en algún entorno de pruebas debes usar el comando AUTHENTICATE. Se me ocurre que podría ser útil probar si en un ataque con man in the middle contra un cliente que no verifique correctamente los certificados digitales podría robarse la contraseña al igual que pasaba con LDAP-s en algunas herramientas.

Primero es necesario generar el token de autenticación en plano, que será codificado en BASE64. Para ello hay que generar el BASE64(\0id_usuario\0passwd). Esto se puede hacer con muchas herramientas. Este es un ejemplo con una cuenta falsa.

Figura 5: Creando el token BASE64 para autenticar en PLAIN

Después se debe configurar el comando AUTHENTICATE PLAIN e introducir el token una vez que lo solicite el servidor, tal y como se ve en la siguiente imagen:

Figura 6: Autenticado en PLAIN contra el servidor IMAP de Gmail

Sea como fuere, negociado el sistema de autenticación, ahora estaríamos conectados y listos para comenzar a gestionar el contenido de nuestra cuenta en el servidor IMAP de Gmail utilizando toda la potencia de IMAP.

Folders, Subfolders, Separators y Namespaces

Ya estamos dentro, pero ahora hay que moverse, para lo que necesitamos primero entender un poco de la estructura en la que se organizan nuestros mensajes dentro del servidor. Para ello, hay que tener presentes los siguientes conceptos:

- Folder: Es un objeto contenedor de mensajes.
- Subfolder: Es un objeto contenedor de mensajes contenido dentro de un folder.
- Separator: Son los elementos que separan una carpeta de otra.
- Namespace: Es un grupo de carpetas que se hace para acotar la gestión de mensajes.

En todo momento hay que estar en una determinada ubicación, para lo que se utiliza el comando SELECT. Para gestionar una determina carpeta basta con hacer SELECT y el nombre. Lo más evidente es ir al INBOX y recibir una lista de los mensajes contenidos allí.

Figura 7: Seleccionando el buzón INBOX de Gmail vía IMAP

Como se puede ver, también se muestran los FLAGs que se utilizan en la gestión de los mensajes de esa carpeta, y los identificadores de los mensajes.

SEARCH y FETCH: Message ID y Message UID

Cada mensaje dentro de una carpeta cuenta con un identificador ID, pero dentro de todo el buzón completo cuenta con un identificador único que es el UID. Con este valor se le puede referenciar en cualquier momento para ver su contenido. Para ello podemos utilizar dos comandos que son SEARCH y FETCH. El primero busca dentro de la carpeta, buzón o namespace en busca de los ID o UID que cumplen el patrón.

El resultado, como se puede ver es una lista de números que apuntan directamente al mensaje. Si se quiere que se devuelvan siempre los UID, se debe poner delante del comando, justo después de la etiqueta que se vaya a utilizar en la invocación del mismo.

Figura 8: Búsqueda de correos en INBOX enviados por rodol@informatica64.com
en formato ID de INBOX y en formato UID

Para buscar se pueden utilizar muchos campos, desde FLAGS, remitentes, fechas, etcétera, etcétera. No pretendo contaros todos los comandos, así que si queréis aprender bien las opciones es momento de que juguéis un poco con vuestro buzón y la sintaxis del comando. Todas descritas en la RFC 3501.

Una vez que se tiene el ID o el UID, se puede utilizar FETCH o UID FETCH para obtener el contenido del mensaje. Para ello hay que especificar qué partes del mismo se quieren, por lo que deberás jugar con los nombres de los campos, filtros y etiquetas para sentirte cómodo con las opciones de recuperación de mensajes.

Figura 9: El ID 246 en INBOX corresponde al UID 2808 dentro del buzón

Hasta aquí por hoy. Sirva de introducción para que empieces a sentirte más o menos cómodo con los comandos básicos. Para salir, ya sabes un comando LOGOUT pero no te olvides de poner la etiqueta delante. Mañana más.

Saludos Malignos!

**********************************************************************************************
- Gestionar el buzón de Gmail con comandos IMAP (1 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (2 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (3 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (4 de 4)
**********************************************************************************************

Que Google se ha leído el correo electrónico que entra en sus servidores siempre ha sido público, los motivos por los que lo hace también: "Ads & Security". Lo que normalmente todos asumimos es que el termino "Seguridad" asociado al correo electrónico significa que aplicarán a los mensajes medidas Anti-Spam o Anti-Malware, pero nunca que se pudiera refererir a que investigaran cualquier delito, pero no es así.

Según reporta CBS, Google tiene un filtro en Gmail para detectar fotos pedófilas que ayuden a detectar quién está mandando ese tipo de contenido. No quién está recibiendo, que podría ser hecho como forma de incriminar a una persona, pero sí quién está enviando desde su correo ese tipo de contenido.

Figura 1: Reportaje en CBS News sobre la detención del pederasta

Tras detectar que una persona lo estaba haciendo, Google se puso en contacto con el National Center of Missing and Exploited Children que lo denunció a las autoridades. A partir de ahí un juez firmó la orden de registro y la petición a Google de todos los datos, para terminar deteniendo a J.H.S., un hombre de 41 años que ya había sido condenado por abusar de una niña de 8.

Este caso me ha recordado una pequeña columna de opinión si la privacidad debía primar por encima de todo que me pidieron para una revista en la que, en un juego de uno da una opinión a favor y otra da una opinión en contra, a mí me tocó dar opiniones en contra. En ese artículo con mi argumentación fue esta, que aprovecho para dejaros por aquí por lo que creo que tiene que ver con este caso.

Privacidad Sí, pero no a cambio de impunidad

"La privacidad es un gran derecho que debemos disfrutar las gentes de bien, pero no debe permitir en ningún caso que los malos se aprovechen de él para hacer daño a la gente. La privacidad debe ser salvaguardada pero no a cualquier precio.

Poner el límite de la privacidad debe ser un ejercicio de madurez de los ciudadanos de una sociedad. Por mi trabajo he visto a una mujer pederasta de 22 años de edad solicitar un marido pederasta para tener un bebe y disfrutarlo entre ambos. Lo hizo a través de la red TOR donde hay privacidad de las direcciones de conexión de los equipos y dificulta la posibilidad de investigación.

La privacidad es un derecho maravilloso pero que no debe prevalecer sobre otros derechos fundamentales como el derecho a la infancia o el derecho a la vida de las personas.

Nadie duda de que disponer de privacidad es necesario, y nadie quiere vivir en un estado totalitario donde a antojo alguien puede meterse en la vida de las personas, pero nadie quiere que un violador o un acosador de Internet se escape porque un juez no haya podido acceder a las pruebas definitivas en su correo electrónico.

La dificultad para una sociedad es poner los límites legales y establecer los controles para que el estado utilice con mesura, y siempre en pro de los ciudadanos, mecanismos que protejan todos nuestros derechos con el mayor de los equilibrios posibles.

En nuestro país la policía va armada por la calle, y los ciudadanos no. En las ciudades hay cámaras de vigilancia para disuadir a malechores o detenerlos en caso de cometer un delito, y en Internet se deben investigar igualmente esos delitos. Privacidad sí, pero no a cambio de impunidad."

Saludos Malignos!

Para esta segunda parte vamos a ver cómo se pueden modificar los mensajes, tanto los correos electrónicos recibimos como los mensajes almacenados, usando IMAP y el comando APPEND, con un ejemplo sencillo.

Modificación de mensajes con un cliente IMAP

Como ya he comentado anteriormente, una de las características principales de IMAP es la posibilidad de gestionar completamente los mensajes del servidor, pudiendo leer, escribir o modificar los mensajes en cualquier momento. Esto se puede hacer fácilmente con cualquier cliente IMAP, como por ejemplo Microsoft Outlook.

Figura 10: Modificación de un mensaje de correo en Gmail con Microsoft Outlook

En este ejemplo se puede ver que yo me he enviado un mensaje que he recibido y tengo en mi bandeja de entrada, y lo puedo modificar. Cada modificación generará una nueva entrada para mensaje, que se convertirá en un mensaje multiparte, en el servidor IMAP de Gmail. Para ello solo debemos sincronizar la carpeta completa, y Microsoft Outlook ya se encargará de actualizar el contenido anñadiendo un nuevo mensaje utilizando el commando APPEND, que veremos un poco más adelante.

Figura 11: Sincronización y actualización del servidor de Gmail

El mensaje tendrá tantos mensajes enlazados como cambios se hayan ido produciendo, pero es difícil de detectar la fecha de la modificación en el servidor porque no aparece en el contenido del mensaje y queda enlazado a la fecha del primer mensaje. En este otro ejemplo se puede ver como es posible modificar tanto el contenido como el asunto, como los adjuntos del mensaje. Así se vería en la bandeja de Gmail en la web.

Figura 12: Este correo ha sido modificado en el cuerpo del mensaje y en los adjuntos

Además, una vez creado este segundo mensaje, se puede borrar el mensaje original y será difícil para nadie, si no viene firmado digitalmente, detectar que el mensaje ha sido modificado a posteriori. Es decir, que yo puedo modificar en mi servidor de Gmail todos los mensajes de correo electrónico que me enviéis. Al fin y al cabo son mis mensajes una vez que están en mi buzón.

Subir un mensaje de correo electrónico

Al igual que se pueden manipular los mensajes con clientes IMAP, se pueden añadir mensajes de correo electrónico que yo quiero guardar en mi servidor. Después de todo, como hemos visto, modificar un mensaje significa subir un nuevo mensaje como parte de otro anterior para que se cree uno final multipart. Esto se hace con el comando APPEND y su funcionamiento es bastante sencillo.

Primero debemos poner la etiqueta del comando. Luego invocamos APPEND sobre una folder y entre llaves el tamaño en bytes del mensaje. El servidor se quedará a la espera para recibir un mensaje que deberemos pasarle. Es importante que el formato del mensaje sea entendible, así que hay que poner la fecha (ojo con poner una fecha que no cuadre con la fecha del servidor), el formato del mensaje y el contenido.

Figura 13: Creación de un mensaje en mi carpeta INBOX con comando APPEND de MIME

Para esta prueba yo he decidido subir a mi bandeja de INBOX uno que venga desde Barack Obama, para lo que he creado el siguiente comando APPEND que he enviado a mi servidor IMAP de Gmail. Los detalles concretos de APPEND los tienes en la RFC 3501 que ya se ha citado anteriormente, pero donde está la parte más importante es en los estándares MIME, para que puedas construir correos correctamente. Estos están definidos en los RFC 2045, RFC 2046, RFC 2047, RFC 2048 y RFC 2049, que además han sido extendidos en múltiples otros.

Figura 13: Mis mensajes de Barack Obama en el INBOX (me subí varios)

Cuando se llegue al número total de bytes indicado en la invocación del comando APPEND el servidor contestará si ha podido subirse el mensaje con éxito o no. Si te da un mensaje de error entonces es que has cometido algún error a la hora de pasar el formato de mensaje. No desesperes, las primeras veces siempre te dejas algo, pero luego los subes como churros.

Figura 14: Mensaje de correo guardado en mi INBOX

Una vez terminado el comando, en nuestro servidor de Gmail quedará el mensaje de correo que nosotros hemos decidido guardar, tal y como puede verse en la imagen superior, como un correo electrónico recibido más.

Figura 15: El contenido del texto del mensaje original es el que hemos subido nosotros

Eso sí, si miramos el original del mensaje, no aparecerá ninguna referencia a que sea un mensaje de correo que haya llegado vía SMTP, que haya pasado filtros anti-spam, verificación SPF, DKIM o similar, pero como es un mensaje nuestro, podremos poner en él lo que queramos siempre que sea un mensaje de tipo MIME correctamente formado. Y MIME da para muchas cosas.

Saludos Malignos!

**********************************************************************************************
- Gestionar el buzón de Gmail con comandos IMAP (1 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (2 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (3 de 4)
- Gestionar el buzón de Gmail con comandos IMAP (4 de 4)
**********************************************************************************************

Fue en el año 2010 cuando, desde Informática 64, reportamos a Google que la función de bloqueo de contenido JavasScript en Google Chrome 4 no funcionaba demasiado bien, pero por decisión suya, a día de hoy sigue funcionando tal y como funcionaba en aquel entonces. Con la notificación se abrió un expediente de seguimiento en Chromium, en concreto con el ID 44985.

Esta semana, ha habido un cambio de categoría del mismo y me ha llegado una notificación por correo electrónico. En el expediente se puede ver que el "issue" se considera una característica que afecta a la Privacidad, la Seguridad y la Experiencia de Usuario en Seguridad, tal y como puedes ver aquí.

Figura 1: Expediente del "issue" 4495 en el proyecto Chromium

Por supuesto, después de este mensaje he decidido que había que comprobar que seguía activo, y sí. Sigue estando de la misma forma en la que se dejó en el año 2010, allá por la versión de Google Chrome 4, pero en la versión Google Chrome 36. Si tienes otra versión, puedes probar también.

Figura 2: Versión de Google Chrome probada

Para los que no estén al día, el "fallo en la experiencia de usuario de seguridad" que catalogaron como "issue" se produce con el bloqueo de contenido JavaScript. Supongamos que alguien quiere bloquear el contenido JavaScript de un dominio. Para ello se va a las opciones de configuración, y en la parte de contenido deja JavaScript habilitado para todas las páginas, excepto para la del dominio concreto que quiere bloquear. En mi caso he elegido un web con un emulador JavaScript de NES.

Figura 3: Se permite JavaScript para todos los dominios excepto para jsmess.textfiles.com

Una vez que se ha hecho esto, si alguien accede a cualquier página de ese dominio, lo que se obtiene es que el contenido JavaScript no se ejecuta, por lo que no se puede cargar el emulador, tal y como puedes ver en la imagen siguiente.

Figura 4: Si se accede a la URL ahora está bloqueado JavaScript

Pero basta con invocar el contenido de la URL con un iframe src que cargue el contenido, y listo. Así que cierra el navegador, abre una nueva pestaña con el archivo que carga en el iframe el emulador JavaScript y podrás verlo funcionando. Es decir, la opción de bloquear el contenido JavaScript solo afecta si la web se carga en la barra de direcciones, pero nada más.

Figura 5: Contenido JavaScript ejecutado en el iframe, pese a estar bloqueado el dominio

Al final, el problema es que si alguien piensa que esta opción le puede servir para protegerse, por ejemplo, de sitios que hagan tracking de hábitos - por ejemplo empresas de publicidad agresiva - bloqueando los dominios desde donde las webs afiliadas cargan los ficheros JavaScript, se estará equivocando. Esto solo funciona si la web se carga en el dominio principal, pero nada más.

Figura 6: La respuesta -> "Es un issue"

Aún sigue abierto el "issue", así que tal vez en un futuro, cercano o no, acabarán cambiándolo para que esto tenga realmente una utilidad, o al menos informando de cómo funciona realmente esa característica, que parece que sirve para bloquear el JavaScript de un dominio, ¿verdad?.

Saludos Malignos!

La noticia esta semana - entre toda la avalancha de noticias en el mundo de la ciberseguridad que se generan - ha sido para mí la de los 1.200 Millones de Identidades Robadas que estaban en manos de un grupo cibercriminal ruso, al que los investigadores han bautizado como CyberVor por eso de que Vor significa criminal en ruso. Según explica la noticia publicada en la web de la empresa, las técnicas que han utilizado los ladrones no son para nada desconocidas para los que trabajan en seguridad.

Cómo construir una base de datos de identidades robadas

La primera de ellas es fácil, irse al mercado negro y comprar bases de datos robadas de sitios web vulnerados. Estas bases de datos pueden ser de muchos usuarios o de pocos, pero al final van sumando identidades. En Internet ya es posible, simplemente buscando las guaridas de los ladrones de identidad o gracias a los grandes volcados de bases de datos conseguir unos buenos millones de ellas. En el caso de Have I Been Pwnd? el número anda ya - solo con los grandes sitios - por los 163 Millones de identidades.

Figura 1: 163 Millones de identidades dumpeadas en Have I been Pwned?

La segunda de las formas que han podido utilizar para conseguir más bases de datos es mediante el uso de un botnet Según parece, aprovechando las identidades compradas y grandes bases de datos de correo electrónico habrían hecho spam para conseguir infectar al máximo número de equipos con el malware de la botnet. Con estos equipos infectados, se llevarían todas las identidades que sus víctimas teclearan en los navegadores para ir construyendo la base de datos. Algo similar a cómo se explica en el artículo de Encontrar las guaridas de los ladrones de identidad.

Una vez metido el equipo dentro de la botnet, además de quitarle las identidades, las víctimas se dedicarían a buscar fallos de SQL Injection en todos los sitios web que visitaran, generando una base de datos de unos 400.000 sitios vulnerables a SQL Injection de los que también se habrían sacado bases de datos.

Según el reporte publicado, el objetivo principal del ataque era el robo de identidades, con usuarios, contraseñas y direcciones de correo electrónico, pero como consecuencia consiguieron un volumen ingente de datos personales de todas las víctimas, que podría ser utilizado en ataques más selectivos contra todos ellos.

Al final, parece que esos 1.200 Millones de identidades robadas estaban asociadas a más o menos 500.000 direcciones de correo electrónico, es decir, que de muchos usuarios consiguieron más de una identidad en varios sitios afectados y podrían haber sido más, si no fuera porque en los registros también se usan muchas direcciones de correo electrónico de usar y tirar y es difícil de unir una identidad con otra por ellos.

¿Es posible que un solo grupo se hiciera con 1.200 Millones de identidades únicas?

Pues a mí parecer no es para nada imposible. Entre las que ya hay en Have I been Pwned? más las del robo de la empresa Target estaríamos hablando de más de 500 Millones de ellas, así que con trabajo, esfuerzo, una botnet y dinero fresco (o virtual) para comprar en el Black Market parece más que posible.

¿Es posible que haya 400.000 sitios web?

Pues sí. Y probablemente muchos, muchos, muchos más. Ya hemos visto en el pasado ataques masivos SQL Injection usando el propio Google que han afectado a una burrada de sitios web. Caso reciente que recuerde, el de la operación Lizamoon que se utilizó para distribuir malware con URLs drive by download que se inyectaban en el código de las webs aprovechando vulnerabilidades de SQL Injection buscadas automáticamente a través de Google, y por supuesto no fue la primera.

Figura 2: Sitios de Apple.com indexados con las URLS de Lizamoon

En el año 2008 hubo uno de los primeros ataques de esta guisa, que afecto a millones de sitios con tecnología ASP. Ahora lo difícil es automatizar el ataque vía Google por las medidas de protección anti-dorking pero si se usa una botnet todo cambia.

¿Y las credenciales FTP que citan en el artículo?

Si consigues las credenciales de un servidor FTP con un malware instalado en un equipo - como se explica en el artículo sobre el robo de identidad - el paso siguiente es conectarse y descargar todas las bases de datos que estén allí. Al final, si consigues identidades de acceso a servidores FTP de un hosting, te puedes llevar bases de datos de sitios grandes y pequeños con mucha facilidad.

¿Para que las pueden querer?

Pues es bastante sencillo. Al final las identidades dan acceso a cosas, que pueden ser valiosas por sí mismas, pero si no, siempre se pueden utilizar para hacer los negocios tradicionales de Fraude Online que llevan mucho tiempo funcionando. Algunos de ellos son todavía más curiosos e imaginativos, a la par que provechosos si tienes los compradores adecuados.

Por ejemplo, en el caso de la re-utilización de contraseñas, se podría intentar conseguir identidades valiosas en el mundo de la ciberseguridad como los Apple ID o las cuentas Google para controlar los terminales y equipos de las víctimas remotamente, acceder por ejemplo al backup de un iPhone en la nube como se explica en el libro de hacking iPhone o tener controlada la ubicación constantemente de una persona por su terminal Android, etcétera.

Con los correos electrónicos es posible averiguar las redes sociales, o sitios donde se tiene cuenta. Si se reutilizan las cuentas, se puede acceder a más datos que estén alojados en esos sitios. Si se termina consiguiendo una base de datos con la identidad, la password, la ubicación de conexión, la dirección de correo electrónico, donde vive, la tarjeta de crédito, el número de teléfono, etcétera, la base de datos se hace cada vez más valiosa.

Las posibilidades de qué hacer con esos datos depende de a quién se los vendas. ¿Os imagináis esa información en manos de agencias de espionaje? ¿O en manos de grupos terroristas? ¿O en manos de bandas de estafadores? En cualquier caso, con 1.200 Millones de identidades, más datos personales, etcétera, las posibilidades son muchas.

¿Te puede afectar a ti?

Por supuesto, a ti, a mí y a cualquiera que haya dejado sus datos en uno de esos sitios vulnerados, se haya sacado una cuenta o reutilice contraseñas. Por desgracia, como pregunto en mis charlas sobre la protección de identidades digitales, como esta que di en Colombia, casi nadie sabe cuántas identidades tiene en Internet, ni que password puso en todas ellas, ni que datos personales o direcciones de correo asociadas dejó en cada una. En una mayor o menor medida estamos todos expuestos.

Figura 3: Conferencia sobre Protección de identidades digitales

¿Se podría hacer algo para mitigar este caso?

Lo importante no es que mitigues este caso, sino que tengas unos hábitos saludables en la gestión de identidades que te ayuden a evitar este caso y los que no te enteres que también suceden:
- Cambia las contraseñas periódicamente: Yo me marco una hora en mi agenda una vez al mes para cambiar las claves de los sitios principales.
- No reutilices contraseñas y huye de métodos predecibles: Si alguien ve una password y puede predecir el métido, estás muerto.
- Pon un segundo factor de autenticación en tus identidades: Google Authenticator, Verificación en dos pasos para Apple ID y Latch en todos los sitios que puedas ponerlas hoy en día.

En este artículo sobre protección de identidades digitales tienes más información sobre el uso de segundos factores de autenticación y segundos factores de autorización como Latch.

¿Y si soy el administrador de un sitio web?

Si gestionas un sitio con identidades pon un 2FA para tus usuarios. Si tienes una base de datos de usuarios, nunca podrás estar seguro de que no le hayan robado las cuentas, o de que roben tu cuenta de administrador por que la reutilizaste en otro sitio. Para evitar problemas, se responsable y dale al usuario de tu sitio la opción de poner un 2FA. Puedes poner Google Authenticator, Latch o cualquier otro que haya por ahí.

Latch lo tienes disponible para muchas plataformas com WordPress, Drupal, Joomla, PrestaShop, OpenVPN, OpenLDAP, DotNetNuke, RedMine, Open X-change, PHPBB, PHPMyAdmin u OpenSSH.Tienes en la web todos los plugins de Latch disponibles para descarga.

Figura 4: Plugins y SDKs de Latch

Pero además tienes disponible Latch para Windows, para Active Directory y los SDKs para que lo pongas en cualquier aplicación web que gestione identidades, sea .NET, Java, PHP, Ruby On Rails, PowerShell, Python, Lenguaje C, y hasta para Node.JS. Si tienes dudas, tenemos guías para ayudarte con la integración de los puglings o en apps escritos en cualquiera de las plataformas.

¿Puede volver a pasar algo similar a esto?

No solo creo que vuelva a pasar, sino que creo que muchos ya están haciendo lo mismo, o ya lo tienen hecho. Recuerdo que con un simple ataque de phishing un par de criminales rusos consiguieron secuestrar masivamente dispositivos de Apple con el caso del ransomware de Oleg Pliss. Hay negocio y dinero en el mundo del cibercrimen y el fraude online, así que habrá gente que pensará que es una buena idea.

Figura 5: Un anuncio para trabajar en el cibercrimen ruso

Recuerdo el caso de Paunch, el creador del kit de Exploits BlackHole, que llegó a generar 2.3 Millones de Dólares Americanos con su negocio. Y claro, sin pagar impuestos. El mundo del cibercrimen es un negocio con unos márgenes muy atractivos para aquellos que no temen dar con sus huesos en la cárcel.

Al final, a día de hoy, a pesar de la gran guerra que hay entre los grandes proveedores de Internet, la identidad de las personas en Internet sigue siendo un problema que resolver a muchos niveles. A nivel técnico, a nivel - tal vez legislativo - y por supuesto a nivel individual donde la gente no está tomando la suficiente conciencia aún del valor de su/s identidad/es digitales.

Saludos Malignos!

Si la polémica está aún viva en el artículo que escribí sobre el "chivatazo" de Google a las autoridades sobre un pederasta que enviaba fotos de abusos a menores a través de Gmail, en BBC se informa de que Microsoft ha hecho algo similar con un pedófilo que guardaba fotos pornográficas de menores en One-Drive, y que posteriormente intentó enviar por correo electrónico a otras cuentas.

En el caso de Microsoft, los Términos y Condiciones del Contrato de la Cuenta dejan claro que se está haciendo este tipo de análisis automático para detectar entre otras cosas fotografías pornográficas de abusos a menores, algo que se hace de manera habitual. Con esta información, Microsoft se puso en contacto con las cuerpos de seguridad de Pennsylvania que tras conocer la información procedió a emitir las correspondientes órdenes judiciales para investigar el caso en detalles, lo que llevó a la detención final del pedófilo.

Figura 1: Extracto de los Términos y Condiciones de Microsoft

Microsoft deja claro que está analizando de forma automática desde hace algún tiempo el contenido en sus servidores para luchar contra este tipo de delitos y escanéa el contenido en busca de fotos pedófilas, pederastas al igual que lo hace para encontrar malware o spam en sus correos electrónicos.

La tecnología que usa se llama PhotoDNA y comprueba cada imagen contra una base de datos de imágenes de este tipo de contenido que tiene almacenado dentro de su programa de colaboración con los cuerpos de seguridad de los países en el programa C.E.T.S (Child Explotation Tracking System).

Figura 2: Esquema de funcionamiento de PhotoDNA

Este programa de investigación para localizar a pederastas y pedófilos es algo que Microsoft lanzó hace ya algunos años y en el que países como España tienen firmada la colaboración. La idea es que los investigadores de todo el mundo pueden compartir en una única base de datos centralizada todo lo que se ha averiguado sobre cualquier fotografía, para saber si es un caso cerrado, si es un caso abierto o de qué país es la investigación.

Figura 3: Balmer y Rubalcaba en la firma de la colaboración con CETS

En muchos casos los ciudadanos reportan imágenes que se encuentran en la web y que ya están investigadas, o que se conoce que la investigación está en curso en otro país al que pertenece el delito, el trabajo conjunto a través de CETS permite a los cuerpos de seguridad ser mucho más efectivos en el uso de los recursos.

El integrar PhotoDNA en el análisis automático de los contenidos de One-Drive o los adjuntos de correo electrónico contra la base de datos de C.E.T.S. puede permitir localizar a los pedófilos con mucha más rapidez.

Saludos Malignos!

En el mundo del ciberespionaje existen algunas empresas que se han dedicado a crear piezas de software para infectar y controlar los equipos de las personas vigiladas. Dicho así suena a que son empresas que hacen herramientas de hacking para hacer botnets e instalar R.A.T.s en los equipos de sus víctimas. Y es cierto, es lo que hacen, lo que sucede es que su objetivo es que lo utilicen los países y gobiernos dentro de la legalidad vigente de su país.

Este tipo de herramientas las hemos visto muchas veces en incidentes en el pasado. Por ejemplo, cuando el grupo Anonymous hackeao la empresa HBGary, entre muchos de los servicios que esta empresa vendía al gobierno de los Estados Unidos, se encontró información de Task B y 12 Monkeys, el software de espionaje que vendía al gobierno.

Figura 1: Detalles del Rootkit "Task B"

En el caso de las revueltas populares en Egipto durante la Primavera Árabe, se pudo ver como el gobierno de El Cairo habría comprado FinFisher, el software de espionaje de la empresa Gamma. Este software ha sido famosos en muchos otros incidentes de espionaje de Internet, y en el informe de "Enemigos de Internet" se pudo ver cómo aparecía en muchos sitios.

Figura 2: Detalle de la factura de Gamma al gobierno de Egipto. Clic para ver entera y saber el coste

A la lista de software de espionaje hay que sumar también a la empresa Hacking Team, quienes están detrás del desarrollo de Galileo, un malware de espionaje que se ha hecho popular este tiempo atrás por ser descubierto que para infectar los terminales iPhone espera a que se conecte el equipo a un terminal pareado y le realiza el jailbreak completo para luego instalar el troyano.

El filtrado del material de FinFisher

Esta semana pasada, la noticia ha sido la filtración del código y los documentos de información de la empresa Gamma, lo que ha permitido saber mucho más de FinFisher y su troyano para dispositivos móviles FinSpy, además de conocer muchos de los clientes de la empresa. El filtrado se ha hecho a través de una cuenta de Twitter que se dedica a filtrar todo lo que puede de FinFisher, llamada @GammaGroupPR, y donde están los enlaces a todo el material que se ha liberado.

Figura 3: Paneles de Control de FinFisher detectados en 25 países.

De los clientes ya se habían detectado dónde se encontraban los clientes por la ubicación de las direcciones IP de los paneles de control, que habían sido localizados en 25 países. Sin embargo, ahora, analizando diferentes detalles de toda la información que ha sido publicada se puede inferir una lista mucho más detallada de ellos, que ha sido publicada en Pastebin.

Figura 4: Algunos de los clientes inferidos en la filtración.

Lo curioso es que algunos de los clientes han aparecido tras analizar los metadatos de los documentos adjuntos en los correos electrónicos a los que se ha tenido acceso, lo que demuestra una vez que cualquier pieza de información extra puede ser utilizada. Otros de las claves PGP que se usan para intercambiar información cifrada.

Figura 5: Más clientes de FinFhiser inferidos

Por supuesto, también han salido filtrados nombres de los miembros del equipo de Gamma, así que se los estará buscando en las próximas conferencias de seguridad y hacking....

El código de FinSpy

Otro de los aspectos que se deseaba conocer es cómo funciona el software de FinSpy, del que se conocer mucha información por medio de los vídeos de promoción filtrados en el pasado. Por ejemplo, se sabe que usando un man in the middle se usa el truco de ofrecer una actualización de Flash a los clientes o que en el pasado se ha utilizado un bug de Evil Grade en Apple iTunes para infectar equipos OSX, pero no se tenían detalles del código.

Figura 6: Vídeo de promoción de FinSpy Mobile

Por ejemplo, se pudo saber en el pasado cómo funcionaba el troyano de espionaje de FinSpy para iOS, para lo que usan un Provisioning Profile, técnica conocida para el hacking de iPhones, o fraudulentas para Android, pero ahora se puede acceder al código fuente de las R.A.T.S. de BlackBerry, Symbian, Windows Mobile o Android, en diferentes versiones, lo que da mucha más información de cómo está construido este software.

Figura 7: Versiones de FinSpy de FinFisher filtradas. Clic para descargar el zip

Al final es un malware más, solo que con ellos supuestamente está creado para ser utilizado bajo supervisión legal, pero... algunos de sus clientes parece que se han hecho la ley a su medida. Por supuesto, no todos los países tiran de este tipo de software comercial, y ya hemos visto que la NSA tiene su batería de herramientas del grupo ANT para esto - de las cuales puedes hacerte con alguna para jugar en NSA PlaySet - y que el GCHQ tiene los suyos propios.

En fin, centrándonos en la parte técnica, seguro que disfrutas, y si estabas buscando un proyecto de investigación para una Conferencia, un Proyecto de Fin de Carrera o Máster, el analizar el funcionamiento de estos bichos seguro que es interesante.

Saludos Malignos!

Hay una serie de preguntas que me suelen llegar periódicamente al buzón. La lista de ellas que aparecen con bastante regularidad crece poco a poco, así que cuando llega una nueva demasiadas veces creo que lo mejor es escribir un post sobre ello. Algunas de las preguntas que más veces me llegan son las de "¿Cómo ser hacker o cómo aprender hacking?", "¿Cómo se puede espiar el WhatsApp?", "¿Ayúdame a hackear el Facebook o WhatsApp de mi novi@?", "¿Qué máster de seguridad hacer?", "¿Qué libros me hay que leer para aprender seguridad informática?", "¿Se debe ir a la Universidad para trabajar en Seguridad?" o "¿Qué lenguaje de programación aprender?" - ésta última no la he contestado nunca -. No todas ellas las tengo contestadas yo, y alguna habría que actualizarla, pero más o menos buscando en el blog hay mucha información de ellas.

Figura 1: Be a hacker como el Inspector Gadjet

Una de las que más me ha llegado en los últimos tiempos ha sido de estudiantes de Universidad o Másters que querían alguna idea de trabajos en seguridad para presentar como Proyecto de Fin de Carrera o de Proyecto de Fin de Máster. Siempre intento darles algunas ideas que tengan que ver con cosas que tengan que ver con las cosas que a mí me gustan o yo he estado involucrado, que es de lo que sé.

Hoy, por si alguno está falto de ideas os voy a dejar 10 posibles temas para proyectos que tienen que ver con seguridad y cosas que hemos estado haciendo, pero que por falta de tiempo, o por priorizar otras cosas no hemos podido atacar y que tienen que ver con Latch, con los Metadatos, con Seguridad Web y alguna otra cosa.

1) Integración de Latch en frameworks de Internet con Segundo Factor de Autenticación

Latch es una tecnología que se puede utilizar como Segundo Factor de Autenticación en frameworks de Internet. Nosotros desde Eleven Paths lo hemos integrado en un montón de ellos, como PrestaShop, WordPress, PHPMyAdmin, PHPBB, Open X-Change, OpenLDAP o RoundCube, pero aún quedan un montón de ellos que no hemos podido integrar. Todos esos plugins son Open Source, así que puedes ver el código fuente de cada uno de ellos y entender cómo se integra un 2FA en cada uno de ellos. Además, para que sea mucho más fácil de entender cómo se hace, hemos escrito un artículo en el que se detallan todos los cambios que se hacen por debajo a WordPress cuando se integra Latch.

Si quieres integrar Latch en phpLDAPAdmin, en Horde, en cPanel, SQL Web Data Administrator, o en cualquier otro framework, será un proyecto que te hará aprender, un bonito proyecto Open Source actual y contarás con nuestra ayuda para solventar cualquier dificultad.

2) Evaluación de fugas de datos en sitios web por medio de documentos públicos

Este es un proyecto de investigación sencillo, que nosotros ya hemos hecho con empresas del IBEX 35 y en las webs de los líderes en DLP. La idea es evaluar qué cantidad de fugas de datos se producen en sitios en los que no debieran producirse. Para ello, elegir un sector de estudio como banca, administraciones públicas de tu país, empresas de una determinada industria, etcétera, podrían arrojar datos significativos. Los riesgos de los metadatos son muchos, y yo tengo ya más de treinta ejemplos de por qué los metadatos hay que cuidarlos.

3)Detector de casas vacías

Una de las cosas que más me sorprende es que se pueda hacer es ver a través de muros utilizando tecnología WiFi. Hemos visto que incluso se puede monitorizar los latidos y la respiración de un bebé. ¿Se podría hacer un sistema que detectara si una casa está vacía utilizando un escáner WiFi? Yo creo que sí, y sería importante poder alertar del riesgo.

4) Un configurador de redes WiFi usando impulsos en el magnetómetro

Hace no demasiado vimos que por medio de un sistema sería posible enviar mensajes con bajas frecuencias usando impulsos en el magentómetro de un terminal móvil. ¿Qué tal hacer una app en Android que sirviera para configurar la WiFi de un espacio? El usuario solo debería dejar su terminal unos segundos y la WiFi quedaría correctamente configurada.

5) Configurador remoto de apertura y cierre de puertos en un firewall con Latch

Usar Latch permite muchos esquemas distintos, como Verificación en 4 ojos, Control Parental, Supervisión o como hicieron en HackPlayers, Activación con 2 llaves. ¿Qué tal hacer un daemon que monitorice cada 5 minutos si los puertos de un firewall deben estar abiertos o cerrados y configurar tu iptables? Así, el usuario desde su app puede abrir o cerrar en todo momento qué puertos quiere tener activos y cuáles no.

6) Búsqueda de backups automatizado en Apache con Mod_negotiation

El módulo de mod_negotiation de Apache muestra archivos con distintas extensiones cuando se pide un nombre de fichero que no se encuentra. Este truco se puede utilizar para buscar backups en los servidores web. FOCA busca estos bugs automáticamente y sería interesante hacer un plugin para FOCA - o una herramienta stand-alone - que una vez descubierto que el servidor Apache tiene mod_negotiation activado busque todos los archivos de la web para después buscar todos los ficheros sin poner la extensión y descubrir ficheros "copia" de los originales.

7) Un reconocedor de cerraduras, candados o de llaves para lockpicking usando Google Glass

Las Google Glass se pueden utilizar para mil cosas de hacking, como robar un passcode, pero también podrían usarse para lockpicking. Por ejemplo, podrían reconocer una llave de una cerradura y saber marca, modelo y los códigos si se ven con la llave, o reconocer una cerradura o candado por fuera y recomendar la forma de apertura correspondiente. Una bonita app que llevar en las gafas.

8) Una dock station integrada con Latch

En el trabajo, muchas veces se dejan los equipos en dock station para que se cargue la computadora portátil al mismo tiempo que se pueden utilizar periféricos. ¿Qué tal integrar un sistema de verificación de Latch para desconectar el equipo de la docky? Ya tienes un ejemplo del mundo físico en el que Latch controla el cerrojo de una puerta.

9) Un app que muestre el historial de uso de la webcam

Cada vez que se enciende una webcam queda un registro de actividad. Saber a qué horas estaba encendida y a qué horas estaba apagada puede ser de utilidad para todo el mundo y especialmente para padres que pueden detectar si un joven está siendo espiado o está haciendo video conferencia con alguien. Hacer una aplicación que cualquiera pueda ejecutar en un Windows, Linux u OS X y muestre el historial de uso de la webcam sería de utilidad.

10) Robo de sesiones Google con Google Authenticator

Google Authenticator es un segundo factor de autenticación, pero al final el código de autenticación hay que ponerlo en el mismo canal. Como el código de autenticación tiene un periodo de vida, en un ataque de man in the middle en el que se robe el usuario y la contraseña - por ejemplo haciendo un Bridging HTTP(IPv6)-HTTPS(IPv4) - y después robar el código de Google Authenticator para tal vez conseguir dos sesiones autenticadas con el mismo código.

Son solo ideas que rondan por mi cabeza y que seguramente propondré como trabajos de Fin de Máster para el curso que viene en el Máster de Seguridad de la UEM. Si alguno de vosotros se anima a hacerlas y me lo cuenta, sería genial. Si alguna de ellas os estimulan para hacer otra cosa genial. Según se vayan haciendo, iré actualizando las ideas, para que siempre haya al menos 10 ideas frescas sin hacer.

Saludos Malignos!

Repetir contraseña, repetir información personal, repetir la dirección de correo electrónico, pero sobre todo repetir el nombre del usuario (o login) es una de las cosas más comunes en la gestión de identidades personales que la gente hace en Internet. Esto es bueno para establecer una marca personal en la red, pero también para que se puedan localizar fácilmente las identidades de una persona a lo largo de múltiples sitios de Internet.

Esto es especialmente importante cuando alguien está pensando en realizar un ataque dirigido contra una organización de la que se ha sido capaz de sacar una lista de los empleados objetivos. ¿Por qué no atacarle por alguna de sus cuentas o identidades online?

Ahí se podrían utilizar, por ejemplo, las contraseñas que salen filtradas en los grandes dumpeos de identidades de Internet, que tiene en su base de datos Have I Beem Pwned? Es más, no solo es más que probable que haya alguna identidad con la misma contraseña, sino que además es más que probable que ni se acuerde de esas cuentas que se creo, así que se puede encontrar cualquier pedazo de información más que útil en ellas.

Figura 1: Dumpeos de bases de datos de identidades en Have I been Pwnd?

Para localizar esas otras cuentas uno se puede volver loco. La gente se saca cuentas en sitios insospechados que pueden ir desde un foro de un blog, a un club temático sobre alguna de las aficiones del objetivo. Es una tarea ardua que los especialistas en doxing se dedican a automatizar en lo posible y a cuidar en detalle.

Los trucos para buscar esas cuentas son diversos. Pueden ir desde con el correo del objetivo buscar un leak de información en el sistema de registro de nueva cuenta de un sitio - como contaron en Security By Default con Ashley Madison -, o en el de recuperación de contraseña, o en cualquier otro lugar. Por eso es importante no usar nunca correos electrónicos de la empresa en la creación de cuentas de servicios de Internet.

Figura 2: El servicio de recuperación de contraseñas de menéame te dice si tiene cuenta o no

A veces es tan sencillo como simplemente buscar la URL con el nombre del usuario, algo que utilizan muchos sitios web en la red, así que no sería nada difícil saber donde se han creado esas cuentas. Una web que permite localizar un nombre de usuario en una lista de 300 sitios es Check Usernames, que utiliza estos pequeños leaks de información para localizar los perfiles de un usuario en los distintos lugares de la red.

Figura 3: Check Usernames te lleva a los perfiles de un determinado nombre de usuario

En el mundo del social media, se hace justo para lo contrario, los responsables de marca buscan reservarse los usuarios de la imagen corporativa, y los BlackSEO robarle las cuentas a la competencia. Por supuesto, también se buscan usuarios de sitios que en el futuro puedan ser de utilidad, como los nombres de usuario que puedan usarse para engaños, como support, help, admin, root, etcétera, o los de nombres muy significativos que puedan valer mucho dinero en el futuro, como sex o los nombres de usuarios en Twitter cortos que tan valiosos se han vuelto.

Figura 4: Sitos con el usuario Viagra creado y sitios con él disponible

Si tienes un nombre de usuario, que haya aparecido en un correo electrónico, en una cuenta de una web, o en el metadato de un fichero ofimático, localizar cuentas con ese nombre de usuario en otros servicios de Internet puede ser una buena idea para ver qué sale.

Saludos Malignos!

Últimamente me han llegado más mensajes sobre problemas de espionaje en cuentas de correo de Gmail de los que habitualmente recibo. A todos ellos, lo primero que les recomiendo es que instalen Google Authenticator para evitar riesgos innecesarios de que alguien acceda a tu cuenta al mismo tiempo que tú porque haya conseguido hacerse con las contraseña.

Con Google Authenticator alguien podría tener la contraseña, entrar, ver que le está solicitando el token OTP y quedarse ahí. El atacante seguiría teniendo la contraseña, que podría estar usando en otras identidades sin que lo supiera la víctima, y además tendría tiempo para preparar un ataque al OTP de Google Authenticator para robarlo.

Figura 1: Se ha accedido con usuario y contraseña, y ahora se pide el OTP
de Google Authenticator. El dueño de la identidad no recibe ninguna alerta

Por supuesto no es tarea fácil, pero sí que es posible, sobre todo teniendo en cuenta que está asociado con una semilla que va con la instalación. No hay cuenta, ni sesión que caduque, y se puede hacer backup del terminal móvil completo con la app de Google Authenticator y restaurar en otro dispositivo para continuar teniendo el Segundo Factor de Autenticación funcionando sin ningún problema. Evidentemente, para ello deberías hackear el mismo sistema donde esté el backup del terminal para poder robarlo y restaurar el sistema operativo del backup con Google Authenticator en otro dispositivo.

En el caso de que el usuario tuviera un terminal iPhone, podrías elegir entre el backup en iTunes y el backup en iCloud, tal y como se explica en el libro de hacking iOS, pero podría ser que tuvieras que lidiar también con las claves de cifrado del backup de iTunes o con el sistema de Verificación en dos pasos que instaló Apple en iCloud recientemente. Nadie dijo que esto fuera a ser sencillo.

Pensando sobre todas estas cosas, una de las cosas que salta a la vista es que el código OTP de Google Authenticator tiene un tiempo de vida de 30 segundos, y que además, no cambia si lo utilizas. Es decir, si cuando el código OTP de Google Authenticator tiene aún 25 segundos de vida es utilizado para iniciar una sesión, en la pantalla sigue viéndose el mismo.

Es por eso que pensé en que tal vez podría hacerse un robo del código para conseguir utilizarlo dos veces en la apertura de la sesión, por lo que probé manualmente a iniciar dos sesiones con el mismo token. Cuando se introduce el mismo token OTP de Google Authenticator el resultado fue el normal, que sólo funcione el primer uso del token, ya que es un OTP (One-Time Password).

Figura 2: El segundo uso del OTP, aunque esté vivo, ya no vale.

La respuesta es que Google Authenticator es una implementación de un sistema Time-Based One-Time Password, descrito en el RFC 6238, por lo que cuando se inicia sesión, no se puede utilizar otra vez ese token y hay que esperar para iniciar otra sesión hasta que caduque el OTP a los 30 segundos donde volverá a generarse uno nuevo.

Figura 3: Explicación del funcionamiento experimentado

El uso de Time-Based One-Time Password es por intentar encontrar el equilibrio entre seguridad y usabilidad que siempre se busca en todos los sistemas de protección para que la gente los utilice.

Alertas de Acceso y Alertas de código OTP incorrecto

En Google Authenticator sigo echando en falta una de las características que más me gusta de Latch cuando se usa como un Segundo Factor de Autenticación en frameworks de Internet o en tu propio Windows, y es el aviso instantáneo de que alguien tiene tu clave, tanto si no consigue entrar, como si consigue entrar porque tú has decidido dejar el Latch abierto. En cuanto alguien pone tu contraseña correcta, es posible saberlo al instante con Latch.

Figura 4: Alerta de "Se ha producido un acceso a tu cuenta" con Latch

En Google Authenticator se da una situación muy curiosa. Si la persona que tiene la contraseña e inicia sesión, pone un código OTP erróneo, entonces quedará reflejado en la lista de Actividad Reciente de la zona de seguridad de la cuenta de Google.

Figura 5: En la Actividad de la cuenta de Google solo se recogen los eventos de introducción de
código OTP erróneos. No se recogen los eventos en los que el atacante NO introduce ningún código.

Pero si la persona que ha introducido el usuario y la contraseña correcta no introduce nada cuando aparece la pantalla de introducción de código OTP, entonces no quedará nada reflejado en el log, algo que no tiene demasiado sentido. Es decir, si ha habido un intento de sesión en el que se ha introducido correctamente la password... ¿no creéis que es suficientemente relevante como para que aparezca en la lista de accesos de seguridad? Google por ahora piensa que no.

Saludos Malignos!

Unos días antes de que tuviera lugar la esperada Black Hat USA 2014, una de las presentaciones que más expectativas levantó fue la del investigador español Rubén Santamarta (@reversemode). Su trabajo siempre ha sido fino y de calidad, y este año presentaba un trabajo titulado SATCOM Terminales: Hacking by Air, Sea and Land, sobre como aprovechar vulnerabilidades en dispositivos que utilizan comunicación vía satélite para atacar escenarios más que delicados. El artículo está disponible en la web, y merece la pena que te lo leas para entender el gran impacto de las vulnerabilidades descubiertas.

Figura 1: White Paper sobre investigación publicado por Rubén Santamarta

Durante esta investigación, Rubén ha buscado fallos en dispositivos que utilizan comunicaciones vía satélite y que están presentes en los sistemas de navegación que utilizan aviones, barcos o equipos militares del ejercito de tierra de muchos países, lo que hace que la preocupación de todos ellos tenga que ser alta tras estas publicaciones. La presentación que impartió la puedes ver en el siguiente vídeo.

Figura 2: Presentación de Rubén Santamarta en BlackHat USA 2014

La lista de dispositivos afectados es larga, y la siguiente tabla resume el tipo y número de vulnerabilidades descubiertas en cada uno de ellos, que a simple vista hace pensar en un montón de escenarios dramáticos en los que podrían ser utilizadas.

Figura 3: Tabla resumen de vulnerabilidades descubiertas

A partir de aquí, el documento se dedica a explicar, caso a caso, qué dispositivos se utilizan y en qué escenarios, para plantear posibles ataques que pudieran hacerse utilizando estas vulnerabilidades. Por ejemplo, aprovechándose de las credenciales hardcodeadas en los dispositivos o directamente desde los backdoors, cada vez que algún sistema operativo infectado con un software especialmente diseñado para explotar esas vulnerabilidades se conecte a uno de esos dispositivos, vía red o via señales satelitales, se podría controlar completamente ese equipamiento. Es por ello que en algunos entornos estos podría llegar a hacerse, simplemente, desde el equipo de entretenimiento de un avión que esté conectado a la misma red del avión.

Figura 4: Escenario para controlar un dispositivo de comunicaciones militares Harris BGAN

Las posibles explotaciones de estos bugs en la creación de una "ciberarma" tipo StuxNet son enormes, y los casos que plantea el paper de Rubén Santamarta dan miedo, y se podrían aplicar a situaciones bélicas de control por satélite de material, o al control de navegación de un barco o un submarino.

Figura 5: Escenario de ataque contra terminales Marine VSAT y FB

Si pensabas que los escenarios de ciberguerra no puede dar un salto mucho más peligroso, espero que este impresionante trabajo de investigación con dispositivos de alta seguridad te haga cambiar las ideas, porque queda claro que lo que podemos ver en el futuro supere con creces a lo que ya hemos visto en Hollywood.

Saludos Malignos!

Hoy en día los vídeo juegos no se parecen nada a los de los años noventa, pero tampoco a los que se hacían hace diez años. Hoy en día los juegos de hackers pueden ser una aventura trepidante en la que se mezcla fantasía y realidad a partes iguales con acción a raudales en un mundo virtual que bien podría ser el real de hoy día.

Figura 1: En Watch Dogs, igual hackeas una farola que le metes un tiro a un pederasa

Años atrás los juegos de hackers adolecían de la acción y dinámica de juegos como Watch Dogs, pero explotaban con fuerza y maña la estética ciberpunk que los escritores de ciencia ficción habían descrito con arte en sus novelas, como el mundo que nos contó Neal Stephenson en su novela Snow Crash publicada en el año 1992.

Figura 2: Estética de los avatares en el mundo virtual de SnowCrash. Los combates de katana pueden matarte.

Entre los juegos que siguieron esa estética se encuentra Uplink. Un juego que se publicó en al año 2001 - que a día de hoy está disponible para Mac OS X, Windows, Linux e iPad - en el que el protagonista trabaja en una empresa de seguridad que es contratada por clientes para hacer misiones.

Figura 3: Demo de Uplink para iPad

Dejando al margen la ética de las misiones, el protagonista tiene que explotar vulnerabilidades, crackear passwords, colarse en redes, etcétera. Todo desde un terminal en el que se van consiguiendo cada vez más herramientas o "poderes" para hacer más cosas.

Figura 4: Conexión a Codelink V2

Un clon de Uplink disponible de forma gratuita es CodeLink V2, que entre otras cosas permite jugar online gratuitamente. El sistema es el mismo, cada agente cuenta con un terminal en el que se gestionan las conexiones a redes, el uso de servidores proxy para conectar a redes distintas, y el atesoramiento de herramientas para utilizar en las diferentes misiones.

Figura 5: Perfil de usuario. Este el Maligno

El escritorio de trabajo mantiene esas estética ciberpunk que tanto ha explotado Hollywood en sus películas en las que aparece un hacker. Un escritorio oscuro, en el que no faltan por supuesto las animaciones de conexión a las distintas redes, que para algo el juego tiene el interfaz hecho en Flash para que se vea tan chulo.

Figura 6: El escritorio de trabajo en Codelink V2

A día de hoy el juego tienen editores, no solo de misiones, sino también de escritorios, así que es posible crear el estilo que se quiera. Para ello debes instalarte tu propio servidor de CodeLinkv2, que es gratuito, y configurar en él los niveles o misiones que quieras.

Figura 7: Conectándose a una nueva dirección. Suena más a rollo BBS.

Las misiones tienen la gracia de que son cosas que habitualmente se hacen, y suelen utilizar un lenguaje muy adecuado para referirse a las partes técnicas, pero que no van a ser necesarias para nada. Todo lo que debes saber es entender más o menos qué es lo que deberías hacer, para luego ir consiguiendo - como el que consigue magias - tener las herramientas adecuadas para cada cosa.

Figura 8: Misiones a realizar y dinero que te pagan por ellas.

Por ejemplo, en una de las primeras misiones te enfrentas a un cPanel, para ello en el juego necesitas un exploit de ataque de cPanel que te permita conseguir una cuenta de administrador.

Figura 9: El cPanel que hay que explotar en una de las fases.

Conseguir esa cuenta de administrador te lo va a dar una tienda, tipo Black Market en la DeepWeb donde vas a poder ir a comprarla.

Figura 10: La tienda del hacker. Exploits para comprar.

Pero además, para que sea como los juegos de estrategia, no te valdrá con cualquier terminal corriente. Constantemente deberás ir aumentando las capacidades de tu hardware e ir añadiendo módulos para poder cargar más herramientas de ataque y lanzar más programas.

Figura 11: Lo que cuesta un exploit en el juego.

Al final es un juego, entretenido por la estética y curioso por la temática. Te pone más en la piel de un ciberagente de espionaje con dinero y contactos para comprar las herramientas que necesites al mejor postor que en la piel de un pentester o un hacker, pero tiene ese toque ciberpunk que tanto gusta a todos.

Figura 12: El coste de otro exploit para secuestrar una cuenta admin.

Yo creo que un día en una entrevista, cuando un periodista me pida que ponga algo vistoso para grabar en el reportaje, le voy a colar una sesión de un escritorio de Codelinkv2 a ver si sale en la tele. Como cuele, me parto.

Figura 13: Acceso a la ayuda a través de tu BlackBerry.

Si quieres jugar online puedes hacerlo desde aquí en Kongregate, y no te olvides de leerte las guías de comienzo y los manuales. Al principio, como en todos los juegos, tienes que aprender cuál es la forma en la que se espera que inter actúes con el sistema. Si tienes problemas, saca la BlackBerry y marca el 411 para llegar al manual.

Saludos Malignos!

Cuando comencé a publicar los primeros textos de El lado del mal no fue nada más que una continuación de una pequeña lista de correo que enviaba a amigos y conocidos. Los mensajes de correo que escribía en aquel año 2005 y que enviaba a la lista acabaron colgados en algún sitio en Internet. Al final, tras recibir muchos ánimos de compañeros di el paso y comencé a publicarlos en un blog que compartí con amigos, y que usaba como sitio para recordar cosas que mostraba en las charlas que daba por el año 2006 y 2007. Así de simple fue el nacimiento de este sitio.

El lado del mal siempre fue un blog muy personal, que transmitía mucho de mí, y de las ganas de fiesta, guerra y conocer el mundo que tenía por aquel entonces Chema Alonso. Los artículos transmitían mucho de mí, y muchas veces los posts no eran más que sentimientos, sensaciones, gustos y amarguras personales. Todo mucho menos filtrado y saliendo de lo que en aquel entonces tenía dentro de mis entrañas. Si has nacido una década después de la mía, tal vez los textos, las referencias y las cosas que contaba te sonarán a "carca", rancio y podrían ser dignas de un hipster de los modernos tiempos que corren hoy en día.

Con el paso del tiempo - no olvides en ningún momento que este blog tiene ya casi 9 años de vida -, El lado del mal fue convirtiéndose en algo distinto. Por supuesto, en algo que se adecua más al Chema Alonso de los años 2009, 2010, 2011, etcétera. Yo puedo ir viendo y notando la evolución de los textos y la mía al mismo tiempo. Puedo leer un artículo del año 2009 y recordar los demonios, los placeres y las maldades que recorrían todo mi cuerpo por la sangre de mis venas y las neuronas de mi viejo cerebro. Es como oler una tela e inmediatamente recordar una cama de esas que añoras por lo placentero que fue hacer el bicho bola allí. Incluso cuando vea alguna conferencia de las que he hecho y publiqué en el blog, recuerdo cómo la preparé, por qué dije algo en un determinado momento, en qué o quién pensaba cuando hice esa referencia o el motivo por el que estaba subido en ese escenario. Hay algunas que llevan muchas horas de trabajo... otras no. Cuando me las veo otra vez, a mí me rascan dentro.

Poco a poco, El lado del mal comenzó a ser un poco menos personal. Cada vez, al igual que hago en mi vida personal, el blog se encierra día a día un bit más en artículos que cuentan cosas de seguridad informática y hacking, pero que dejan traslucir algo menos del Chema Alonso de hoy en día. Cada vez hago menos resúmenes de experiencias personales que antes contaba, y tampoco saco ese post que hacía cada seis meses para poner las fotos que nos habíamos hecho los amigos del blog y yo por los rincones del mundo y que algun@s me reclamáis de tarde en tarde. Incluso cada vez me hago menos fotos. De vez en cuando dejo traslucir algo de mí en mi cuenta Twitter, pero no mucho de lo que me pasa o siento.

A día de hoy he dejado que este blog siga su camino y tenga entidad por sí mismo, independientemente de Chema Alonso, que cada vez se mete un poco más en la sombra para dejarle más protagonismo a los textos. Disfruto cuando salen los artículos de amigos y conocidos, publico los trabajos de seguridad que me gustan e intento que sirva a los que venís a leerlo para entender un poco si es posible lo que sucede en el mundo de la seguridad y el hacking. Lo que puedo, me da mi entendimiento y llego. Ni más, ni menos.

Sigo cometiendo errores de ortografía, sigo teniendo confusiones técnicas, sigo teniendo carencias de comportamiento y sigo errando como erré el primer día. Muchos de los textos que publiqué al principio los cambiaría, tal vez alguno lo borraría e incluso puede que me contestara en alguno de ellos, pero sería hacerme trampas y jugar con la máquina del tiempo, la vejez y la experiencia para explicarme lo que iba a ver, saber o encontrarme en el futuro. Sería injusto para mí y no quiero hacer eso.

Por ser justo con mi yo del pasado, y con los orígenes del blog me resisto a cambiar la plantilla o eliminar ese contador de calaveras que no sé por qué demonios me hizo gracia en su origen, y que ya casi no funciona. El contador maligno de visitas tiene un tope de 20.000 páginas vistas al día y la mayor parte de los días sale el mensaje de "límite de tráfico excedido". Debería quitarlo... pero aún no ha llegado el día de dar ese paso. El día que cambie la plantilla y quite las calaveras significará algo más.

Sé que la mayoría de los amigos que lleváis años - años de verdad - leyendo este blog, habéis compartido momentos conmigo en alguna conferencia de esas que he dado por los rincones de España, seguro que lo habéis hecho antes incluso de que me hubiera siquiera comprado mi gorro de rayas. Otros fuisteis alumnos míos en cursos de esos que daba yo de Photoshop, Java, Oracle, C o Linux. A otros os ha dado tiempo a ser asistentes a mis charlas en la Universidad, a trabajar conmigo y convertiros en grandes profesionales. Algunos, habéis comenzado en seguridad leyendo estos textos y ya habéis superado por largo los conocimientos que yo seré capaz de tener en mi vida. Ha sido mucho tiempo juntos, ¿eh?

De todos los lectores, también sé que algunos venís a leer el blog no por lo que pueda poner que sea técnico, sino para ver si ese día cuento algo de mí. Porque lleváis años conociéndome y lo que os interesa es poder saber cómo me encuentro, lo que me sucede y si estoy bien. Hasta cuando me retraso en publicar os preocupáis. Sabéis que si no contesto los correos electrónicos y los mensajes es porque alguna de las mil cosas que hago me ha superado temporalmente, pero si no sale el post en el blog algo está mal o me puede haber pasado algo. Siento el retraso en publicar de hoy.

Otros que lleváis menos tiempo sé que os habéis leído años enteros del blog del tirón porque me habéis ido dejando comentarios en posts antiguos. Los recibo aunque no los conteste, y espero que los textos y el tiempo invertido en la lectura os hayan servido para algo. No es fácil leer textos descontextualizados de un blog que antaño era tan personal, pero cuando los escribo hoy y desde hace tiempo lo hago con la perspectiva de que puedan ser leídos en el futuro.

Y otros venís porque simplemente os gusta cómo es ahora. A mí también me gusta como está ahora. Ha perdido algo de mí pero ha ganado más de El lado del mal y eso no está nada mal. Al final, puede que dentro de un tiempo ni siquiera sepa la gente que detrás del blog estoy yo. En el pasado me ha sucedido ya incluso que me citen uno de mis artículos en una conversación en la que me estaban contando algo. Palabra de Maligno.

Lo que sí que os puedo decir es que sea lo que sea en que se convierta este blog, será porque lo haya decidido yo. Siempre he hecho lo que he me ha parecido bien, correcto, erróneo o malvado, pero siempre saliendo de mí. Ahora es como es, ni mejor que antes, ni peor que antes. Es así y me gusta que estés aquí leyéndolo por algún motivo. Especialmente tú, aunque tu motivo no esté aquí y sólo tú sepas porqué estás aquí. Me alegra.

Saludos Malignos!

En la actualidad, como bien sabéis, cualquier dispositivo digital que forma parte de nuestras vidas es capaz de generar información que puede convertirse en posibles evidencias valiosas, en caso de presentarse un incidente de seguridad o en cualquier delito tradicional que pueda investigarse en el mundo digital. Las evidencias pueden venir en forma de una fotografía, documento, registro de geolocalización GPS, mensaje de texto, correo electrónico o incluso un número telefónico registrado como parte de una llamada.

Estas evidencias serían útiles para investigar casos relacionados con actividades cibercriminales o de ataques informáticos, el reto en este caso es que la recolección y el manejo de esta información no se realizan de manera adecuada. Si no se puede garantizar que una evidencia digital no ha podido ser manipulada, entonces solo se le podrá dar validez de indicio y nunca como una prueba.

Ultimamente se está impulsando mucho el mercado de la evidencia digital con soluciones profesionales que garantizan la evidencia digital en el correo electrónico, los mensajes SMS o los documentos oficiales. Si bien esto supone un avance legal y jurídico, no todas las soluciones ofrecen las mismas garantías y robustez y por tanto habría que tomar esos datos no como evidencias, sino como indicios de posibles datos. Todo lo que se tome como evidencia deberá haber superado una revisión completa extremo a extremo. Es decir, desde el punto de origen de la misma, hasta su punto de adquisición final y si algo puede ser manipulado no valdría.

Figura 1: Recorte de prensa sobre la validez legal de evidencias digitales de algunas soluciones profesionales.

Stamphoto: La aplicación que te permite certificar tus fotografías

Hoy voy a hablar en concreto de la appStamphoto de la empresa Lleida.net, que se presenta como una aplicación que certifica imágenes digitales, tomadas desde los dispositivos donde está instalado y donde como la publicidad del sitio web informa, se certifica la fecha y la ubicación de dónde se tomó la fotografía.

Figura 2: Publicidad de Satmphoto

Según el propio desarrollador de la app, Stamphoto realiza una fotografía y, en base a los datos GPS del dispositivo, emiten un certificado de fecha y ubicación, con información de la hora y el lugar exacto donde se tomó la fotografía. En principio es una buena idea ya que implica la colaboración de un tercero de confianza que certifica que los datos son correctos.

Figura 3: Información sobre el certificado que se genera con Stamphoto

Sin embargo, esto solo funciona si se puede afirmar que no pueden alterarse los parámetros que van a ser certificados, en este caso la geoposición del lugar donde se hizo y la fotografía y la fecha de realización de la misma.

En el caso de la fecha es fácil evitar la manipulación, ya que el tercero de confianza puede garantizar la hora a la que le llegó la petición de la fotografía. No así la hora a la que se hizo la fotografía. Si se utiliza la hora la a la que se recibe la fotografía puede haber un descuadre con la hora a la que se hizo. No obstante, no es el mayor de los problemas, ya que el verdadero dilema viene con la ubicación GPS.

El problema de los datos GPS en los smartphone

Todas las apps que funcionan en el sistema operativo de un terminal, solicitan datos al dispositivo de la ubicación y estos son los que utilizan, dándolos por buenos. Pero es bien sabido que los datos GPS de un dispositivo son manipulables, y o bien con un dispositivo externo se engaña al dispositivo, o bien con muchas apps disponibles en Internet se pueden cambiar los valores que estos devuelven.

Figura 4: Instalación y configuración de Fake GPS para Android

Para esta prueba he ido a Google Play y he descargado Fake GPS para Android, una aplicación gratuita que facilita a las aplicaciones del teléfono la ubicación que el usuario desea, por ejemplo si quiere mandar un Twitter desde una ubicación determinada, si se quiere ser el Major de cualquier ubicación de FourSquare o si se quiere, simplemente evitar el espionaje.

Para falsear la ubicación GPS los terminales iPhone existen otras aplicaciones similares, pero todas requieren el uso del Jailbreak. Una vez instalada la app, el uso es muy sencillo, hay que destacar que una vez iniciada la aplicación, nos solicita habilitar las ubicaciones falsas.

Para seleccionar una ubicación concreta donde queremos estar basta con pulsar en la opción de Set Location, y teóricamente todas las aplicaciones que usen geolocalización tendrán esa ubicación. Basta probar con Google Maps y comprobar que sitúa al dispositivo en la ubicación seleccionada.

Figura 5: Configuración de una ubicación y engaño a Google Maps

Configurado así, la idea era probar si Stamphoto es capaz de detectar la localización GPS falsa y evitar que se pudiese certificar una foto desde un lugar no real. Una vez instalada la app de Stamphoto y creado la cuenta desde el propio teléfono, al intentar tomar una foto para poderla registrar en el servicio, nos advierte y obliga a deshabitar las ubicaciones falsas, lo que indica que busca que estén activadas esas acciones.

Figura 6: Stamphoto detecta que la ubicación falsa está activada

Para continuara con el uso de Stamphoto hay que ir a las ubicaciones falsas y deshabilitarlas. Una vez hecho, volvemos a Stamphoto e intentamos certificar una foto haciendo uso de la app. Guardamos la foto, y como era de esperar, nos muestra nuestra ubicación real, por lo que parece a priori que no sería posible certificar ninguna foto con ubicación falsa.... ¿o sí?

Evasión de detección de ubicaciones falsas en Stamphoto

Pues bien, en este caso para evadir esta medida de seguridad de Stamphoto, sólo hay que mover la aplicación Fake GPS Location de la ruta por defecto /data/app a /system/app y reiniciar el dispositivo Android.

Con esto hacemos que Fake GPS Location sea una aplicación del sistema y nos permita, abrir Stamphoto con las ubicaciones falsas deshabitadas, que parece ser la medida de seguridad que comprueba la app para dejarte continuar y generar un certificado digital firmado con la fecha y la ubicación de la fotografía.

Figura 7: Recolocación de la app Fake GPS en la carpeta System/app

Reiniciamos el teléfono abrimos Fake GPS Location y ahora veremos que no nos solicita el habilitar las ubicaciones falsas, porque al ser una app del sistema no le afecta ese permiso, por lo que se puede realizar la prueba de nuevo. El resultado que se obtiene es que Stamphoto marca la ubicación seleccionada en la aplicación Fake GPS Location.

Figura 8: Stamphoto no detecta la ubicación falsa

Sólo nos queda hacer clic en Certificar Foto, y recibiremos nuestra foto certificada con Validez Jurídica en la ubicación que hemos seleccionado.

Figura 9: Certificada una foto tomada en París estando en mi casa

Hay que recalcar que este "truco" de poner la app de Fake GPS Location como una app del sistema se conoce desde antes del lanzamiento de Stamphoto, ya que es fácil encontrar referencias a él en el año 2011, con la salida de Android 4.4.

Detalles finales y respuesta del desarrollador

Dicho esto, mientras que no se pueda contar con un sistema de detección de datos GPS falseados, el tomar por bueno un certificado de una fotografía tomada por un terminal del que no se ha podido certificar su integridad, es un poco arriesgado. Podríamos seguir hablando de indicios, pero ni mucho menos de pruebas, más visto lo visto. Aquí está el vídeo completo de la Prueba de Concepto.

Figura 10: Vídeo con la Prueba de Concepto completa
El 10 de Agosto de este año informé a los responsables de la app de esta prueba de concepto informándoles de que había sido capaz de certificar una fotografía con una ubicación falsa usando Stamphoto.

El 12 de Agosto recibí la siguiente contestación:

"Ante todo, muchas gracias por tu correo. Estamos trabajando actualmente en mejorar las medidas de seguridad de la aplicación. En cualquier caso, la aplicación emplea los datos que le proporciona el dispositivo, con lo que si el dispositivo no es utilizado adecuadamente, no podemos hacernos responsables del resultado.”

Visto todo esto, si algún juez ha utilizado una fotografía certificada con Stamphoto sin haber comprobado la integridad del terminal durante todo el proceso, parece que sería bastante arriesgado.

Autor: JAEP
Twitter: https://twitter.com/Erratum_

Una de las "bromas" pesadas, si es que puede catalogarse de "broma", es la de la publicación de anuncios de personas con números de teléfono o datos personales de una víctima, para conseguir, molestar, difamar o generar un problema a una persona. Esto de publicar el número de teléfono de alguien en las puertas de los baños con un mensaje soez, ha pasado a hacerse vía los grandes silos de anuncios en Internet.

Figura 1: Búsquedas más hechas en Google sobre la publicación de anuncios

Hace poco tuve un caso de una persona que estaba siendo difamada vía Mil Anuncios, donde se había puesto una entrada con el número de teléfono de una persona inocente en la que se anunciaban servicios de alterne a muy buenos precios. Esto generó llamadas a horas intempestivas, molestias constantes y una preocupación extra en borrar todos los datos que hubieran quedado de ese anuncio en Internet. Este acoso innecesario sobrepasa el marco de las llamadas de teléfono y se cuenta también utilizando mensajes de WhasApp con fotos de todo tipo y mensajes de lo menos apetecibles de leer.

El número de teléfono de una persona es un dato personal, y la mayoría de los sitios de anuncios retiran cualquier mensaje que se haya dado de alta que se denuncie por haber suplantado el número de teléfono, pero el daño ya está hecho, y son muchos los que sufren estas situaciones.

Lo que a mí me llama la atención es ¿por qué no se produce una validación vía SMS del número de teléfono que se introduce en un anuncio? Esta simple comprobación ayudaría a eliminar no solo el caso de la publicación con mala fe de un anuncio lesivo contra una persona, sino que evitaría otros problemas, como el simple error humano o el todavía más peligroso caso de la estafa, donde se anuncia algo con datos totalmente falsos.

Figura 2: Números de teléfonos publicados en Mil Anuncios

La validación de un número de teléfono mostrado en un anuncio vía SMS ayudaría a garantizar que el propietario de ese número es consciente de que el número va a ser publicado y autoriza dicho proceso. Ayuda a reducir errores humanos, anuncios lesivos y estafas, al poder ser perseguido el dueño del anuncio cometiendo el delito vía un número de teléfono validado.

Si han publicado un anuncio con tu número de teléfono en un sitio que no valide correctamente esto, ve a la comisaría de policía y pon una denuncia contra el que publicó el anuncio y contra el sitio que aprobó esa publicación de tus datos personales sin tener tu autorización, a ver si así conseguimos que todos los sitios se tomen en serio la protección de nuestros datos personales.

Saludos Malignos!

Hoy he tenido lo que se llama una mala / buena experiencia con la web de una conocida compañía de vuelos de low cost y que me recuerda a una serie de divertidos articulo de este mismo blog sobre temas similares. Esta línea aérea, formato low cost, de la que hablo tiene sus ventajas y desventajas que desde mi punto de visto son:

Ventajas:

- Es barata... punto: Lo cual me parece bastante para elegirlos, pues esta la cosa "mu má" como decimos en Sevilla.

Desventajas:

- Equipaje exiguo: una maletita y poco más.

- Tasas muy altas: como no cumplas a rajatabla sus condiciones que algunos usuarios consideran abusivas. Algunas, como olvidar tu tarjeta de embarque, tienen el coste de 70 pavazos del ala.

- Viaje incómodo: Te molestan todo el rato en el viaje con publicidad y sorteos absurdos que nadie quiere. Vamos que no te dejan echar una cabezadita.

Por otro lado hay cosas que no sabes si es ventaja o desventaja. Cuando vas a hacer el check-inon-line no te permite hacerlo hasta una semana antes a no ser que les pagues 5 €, en cuyo caso puedes facturar cuando quieras con la única ventaja de elegir asiento. Un momento.... ¿pero esto es una desventaja no?

Pues depende amigo. Si eres desarrollador web y lees El lado del mal, aprendes que todas las validaciones que haces en el navegador, hay que hacerlas en el servidor y mira por donde los programadores de la web de una conocida compañía de vuelos de low cost no lo leen. ¿Serán irlandeses y pensarán que todo lo bueno se escribe en inglés?

En la web de esta compañía "Te pongo la miel en los labios pero paga por ello", para poder acceder al la facturación en línea, te dan dos opciones con un Radio Button justo en el momento en que uno esperaba poder sacar su billete impreso. Las dos opciones son:

Figura 1: Opciones de facturación

- Facturación extendida: con posibilidad de elegir un asiento por 5 € y facturar cuando quieras.

- Facturación gratuita: que como no haya menos de una semana de por medio esta "disabled" (Esto debe dar una pista los desarrolladores web).

Bien, pues como yo me iba un viernes "pa" Barcelona y volvía a casa casi dos semanas mas tarde, he podido sacar el billete de ida para el viernes de la semana anterior a mi viaje (5 días antes) pero el de vuelta no me deja imprimirlo de forma gratuita por hacerlo con mas de siete días de antelación antes de volver, y me venía mal, pues estaré en Barcelona sin impresora. Además, la verdad, me toca los bemoles que me cobren por imprimir algo que ya he pagado y ¡qué coño! me lo retienen con el chantaje de cobrarme 5 € si quiero imprimirlo antes.

Esto lo hacen a posta para que la gente no vuele tranquila y esté pendiente del billete de vuelta, ¡seguro!. A ver sin nos enteramos compañía de low cost, la gente que vuela con low cost lo hace para pagar menos no para que después de sacar el vuelo ustedes la molesten con este tipo de artimañas y sacarle más pasta.

Es mejor no cabrear en línea a un programador con tiempo y tan tacaño como yo, como hicieron con mi amigo Miguel Ángel en la estafa de "La linterna Molona". Mi tacañería, unida a la curiosidad y a la mala leche que es capaz de provocar las artimañas recaudatorias de esta conocida compañía de vuelos de low cost, ha sido lo que me ha llevado a evitar este chantaje que me parece intolerable.

Pues bien, la herramienta usada para perpetrar este modesto asalto, es un complemento de Firefox que te permite inspeccionar el código HTML de la web y... modificarlo. Además de depurar Javascript, ver las peticiones al servidor, etcétera, que se llama Firebug y que no solo es archi-conocido por pentesters y también está muy extendido entre los desarrolladores web. Hay más plugins similares a éste e incluso ya los navegadores mas modernos traen alguno inspector de código por defecto, pero yo uso este por inercia, pues me gusta como funciona y fue el primero que comencé a usar lo que hace que esté muy familiarizado con sus opciones (nada personal, de veras).

Figura 2: Zonas con opción de disabled. Hay que eliminar varias para activar el Radio Button

En fin, que me enrollo. Cuando llegué a la opción de facturar la vuelta con el Radio Button "de gratis" desactivado hasta una semana antes, se me puso la cara como el emoticon ese del "guasap" que está rojo con cara de cabreado. En ese momento se me ocurrió inspeccionar el elemento desactivado y buscar el TAG de HTML y, dentro de éste, el atributo que impedía marcarlo con el ratón. Borré todo lo que olía a disabled y ... ahí estaba.

Figura 3: Radio Button activado en el cliente de la web

Lo pinché con el editor de Firebug, lo eliminé y "tracatrá" se activó en pantalla y lo podía pinchar con el ratón. Ya había conseguido algo pero lógicamente más o menos sabía que aquello podia pasar pues ya había hecho cosas parecidas durante el desarrollo de páginas web, y lo que esperaba era que la validación en el lado del servidor arruinara mi exaltación. Le di al botón de facturar sin ninguna fe pues "...cómo iba yo a suponer que no se validarían los datos en el servidor en una página web como la de Una conocida compañía de vuelos de low cost que factura millones de euros y tal y tal..."

Figura 4: Realiza la facturación y permite imprimir el billete

Pues nada la realidad es tozuda, no los validó y me dio paso a la página de impresión en PDF y conseguí tener impreso mi billete para volver con la conocida compañía de vuelos de low cost sin pagar un duro, pues me ha permitido imprimirlo sin problemas y facturar gratis con mas de una semana de antelación por no validar lo que el usuario selecciona en el navegador, pensando que jamas se le ocurriría utilizar un inspector de código HTML para modificar las validaciones y restricciones programadas. El asiento es aleatorio pero por lo menos no tuve que pagar los 5 € para imprimir el embarque antes de tiempo.

Figura 5: El billete de regreso impreso.

Señores de la muy conocida compañía de low cost, para su desgracias los lectores de este blog sabemos que cuanto mas grande es una organización, mas grande es la cagada en seguridad y esto no es ninguna tontería, pues si no has gestionado correctamente este problema de validación mínima, ¿Quién me asegura que los datos de "my credit card" no están por ahí en manos de un cibercriminal con mas conocimiento que yo, y con mas mala leche, capaz de encontrar un fallo mas serio que esta pequeña trampa para coger lo que es mío?

Y lo dicho, cabrear a un programador por tratar de cobrarle cositas en línea que es injusto pagar, no es bueno, te puede dejar con el alerón trasero al aire y denunciar lo que puede ser un agujerito, pero que seguro que si un equipo profesional te hace un pentesting, te dejan la cabina al descubierto y con las alas principales a la altura del tren de aterrizaje (vamos, ¡con los calzoncillos bajados!). He pasado bien las vacaciones en Barcelona donde vi a mis colegas que me han invitado a su casa de gorra, y por suerte sin preocuparme de cuándo podría facturar la vuelta.

Quiero dar las gracias a los que como Chema Alonso escribís en los blogs para enseñarnos, porque gracias a ellos he aprendido, modestamente, bastantes cosas de seguridad (... y lo que me queda). Por cierto si alguien quiere visitar mi web y encuentra algún fallo que no dude en decírmelo, pues seguro que tiene algunos, pero al menos no facturo millones y este modesto programador no cobra nada por los servicios que presta, ni almacena datos personales de ningún de sus usuarios.

Saludos!

Autor: José Clemente Agudo Montero
Desarrollador de backend en la web y aplicaciones Android

Aunque estemos en Agosto, el proyecto Latch no ha parado de crecer, tanto en usuarios, como en sitios que utilizan ya esta tecnología que ya son más de 2.000, como en nuevas tecnologías creadas a su alrededor. Hoy voy a aprovechar este artículo para recopilar una serie de novedades que se han producido durante lo que llevamos de verano desde que anunciamos el plugin de Latch para Windows. Vamos a por ello.

Alta en repositorios de componentes para desarrolladores

A finales de verano lanzamos el SDK de Latch para Node.js ampliando el número de plataformas soportadas para desarrollar apps integradas con Latch. Después del lanzamiento de este SDK, me sugirieron con mucho sentido común que los SDK de Latch debían estar lo más cerca posibles de los desarrolladores, y que para .NET debería estar integrado en NuGet, un sistema que permite directamente tener controladas las versiones en los proyectos .NET con Visual Studio, así que lo hemos subido allí.

Figura 1: SDK de Latch para .NET en NuGet

No solo eso, los SDK de Latch están subidos en otros repositorios para que sea mucho más fácil su uso. Esta es la lista completa que se ha publicado en el blog de Eleven Paths:

- SDK de Latch para Python en el Python Package Index para usar con pip.
- SDK de Latch para PHP en Pear.
- SDK de Latch para Ruby en RubyGems, para que se instale con gem.
- SDK de Latch para Node.js en Node Package Manager para usar con npm.
- SDK de Latch para .NET en NuGet para usarlo desde Visual Studio.

Esto también lo estamos haciendo con los plugins, como en el caso de Latch para WordPress que ya está en el repositorio de plugins oficiales. Si crees que debemos subir algún SDK a algún otro repositorio, o si estas interesado en algún otro SDK para otra plataforma, puedes ponerte en contacto con nosotros para ver si te podemos ayudar.

Nuevos Plugins de Latch: Moodle y WordPress en Español

A la larga lista de plugins disponibles de Latch para que se puedan instalar directamente en los distintos frameworks o apps, hemos añadido este mes el plugin de Latch para Moodle, un sistema que ya nos habían pedido en el pasado y que ahora puedes descargar desde su GitHub.

Figura 2: Latch para Moodle como plugin de Autenticación

A este plugin, hay que sumar la localización al Español del plugin de Latch para WordPress que han hecho en SoftBreakers. Ahora estos cambios están disponibles en el repositorio oficial también, después de que cediera la trabajo. ¡Mil gracias! Para que fuera fácil entender cómo se hace un plugin de Latch y qué cambios son necesarios, hicimos una disección de los cambios del plugin de Latch para WordPress en el sistema.

Latch en tu cuenta de developer de Latch

Nos lo han pedido muchas veces, y ahora si quieres tener la cuenta de Latch con la que gestionas todos tus apps protegida con otra cuenta de Latch, puedes hacerlo.

Figura 3: Puedes poner Latch a tu cuenta de Latch

Está activo en el menú de tu usuario de developer y funciona como en el resto de las aplicaciones integradas con Latch.

Latch Support Tool

Ha sido un poco antes de este mes, pero una de las características que hemos añadido a Latch, además del Dahsboard que ya está disponible para la versión Community hace tiempo, es la nueva consola de soporte web para aquellos que tiene el plan Silver de Latch, llamada LST (Latch Support Tool) demostrando toda la imaginación del mundo.

Figura 4: Latch Support Tool

Desde esta consola, el dueño del sitio web que integra Latch puede saber el estado de los AccountID, puede solucionar acciones de soporte como abrir y cerrar los latches de sus usuarios en casos de emergencia, consultar el histórico de las cuentas pareadas, etcétera. Está pensada para poder resolver incidencias de soporte en el día a día y tener una experiencia del servicio más plena.

Si tienes un sitio con al menos 30 usuarios pareados y quieres probarla, ponte en contacto con nosotros y te dejamos que la puedas testear.

Experiencias y comentarios

Por otro lado, la verdad es que estamos sorprendidos por la acogida de la gente. Con más de 20.000 usuarios de Latch ya, con solo los meses que llevamos de vida del proyecto, estamos viendo cómo nos alegra cuando la gente que lo va descubriendo nos cuenta su experiencia y nos pone mensajes de ánimo y apoyo. Es gratificante leer reseñas de nuestras apps, y ver a la gente pedir Latch para otros servicios que aún no se han integrado.

Figura 5: Algunos comentarios de Latch en Twitter que me llegan

Por si tú no lo conoces aún, he subido el vídeo que hice en X1Red+Segura de en qué consiste Latch y cómo se usa. Una conferencia muy rápida y con varias demos seguidas de uso. Espero que te quede claro el funcionamiento.

Figura 6: Latch - Un pestillo digital para tu seguridad

Y hasta aquí el resumen de lo que ha ido avanzando el proyecto en este tiempo. Espero volver a haceros un resumen en breve con muchas más novedades, que nosotros seguimos trabajando fuerte en él y vamos a continuar peleando para que Latch sea la mejor plataforma posible para proteger tus identidades y servicios.

Saludos Malignos!

Examen Máster Seguridad 2014: Herramientas Auditoría

La redacción de "Diario De": La Red TOR

Mi niña de 2 años me ayuda a hackear la app de Pocoyó por Deepak Daswani

Gestionar el buzón de Gmail con comandos IMAP (1 de 4)

Google denuncia a pederasta convicto por fotos pedófilas

Gestionar el buzón de Gmail con comandos IMAP (2 de 4)

El "issue" de Google Chrome 4 sigue activo en la versión 36

Ganar dinero con 1.200 Millones de identidades robadas

Microsoft PhotoDNA "delata" a un pedófilo en One-Drive

Los gobiernos que nos espían y cómo lo hacen: Se filtra el código de FinFisher y sus clientes

Ideas para hacer un Proyecto de Fin de Carrera o Fin de Máster en el área de Seguridad Informática y/o Hacking

Check Usernames: ¿Qué identidad te puedo robar?

Google Authenticator NO te avisa de que te han robado tu contraseña

Ciberguerra con Comunicación vía Satélite: Hacking por Tierra, Mar y Aire

Codelink V2: Clon de Uplink para jugar online a ser hacker

La "desaparición" de Chema Alonso en El lado del mal

La discutible validez jurídica de la certificación GPS de Stamphoto en fotografías hechas desde un smartphone

"Han publicado un anuncio con mi número de Teléfono"

Cómo facturé un viaje low cost Barcelona-Sevilla sin pagar la tasa de facturación anticipada

Latch: Un repaso a todas las novedades del verano