Quantcast
Channel: Un informático en el lado del mal
Viewing all 4255 articles
Browse latest View live

Cómo Facebook "espía" tus conversaciones de WhatsApp #WhatsApp #Facebook #Privacidad #doxing

June 1, 2016, 8:30 pm
$
0
0
No, no os alarméis que Facebook no se lee vuestros mensajes que enviáis en vuestras conversaciones de WhatsApp, aunque si vigila con quién tienes las conversaciones. Esto se nota porque poco a poco Facebook va haciendo la integración entre los datos que tiene de los usuarios y los datos que de por sí tiene en la red social, con el objetivo de mejorar el funcionamiento de sus sistemas de inteligencia. Y se puede palpa en varios aspectos de la red social, como por ejemplo en la sugerencia de amigos que a día de hoy se hace ya en Facebook para lo que parece más que claro que utiliza también como referencia con quién tienes conversaciones en WhtasAppPara contaros eso os traigo la historia que me describió un lector (¡gracias Avelino Domínguez!) que le había pasado con WhatsApp y Facebook.

Figura 1: Cómo Facebook te "espía" tus conversaciones de WhatsApp

La anécdota comienza con un descuido que alguna vez seguro que os ha sucedido. Consiste en que envíes por error un mensaje de WhatsApp a un número equivocado o antiguo o, en su defecto, que lo recibas. Esto es algo que entra dentro de lo posible cuando estamos hablando de teclear un nuevo número dentro del terminal por primera vez o dar de alta un contacto. En este caso nuestro amigo recibió un mensaje de una desconocida en su WhatsApp, y que, como se puede ver en la imagen, no estaba en su lista de contactos.

Figura 2: El mensaje erróneo recibido por WhatsApp

Si nos fijamos en la captura de la imagen se puede inferir información de la configuración de WhatsApp de la persona que envía el mensaje, que está lejos de tener configurado WhatsApp a prueba de balas, especialmente en cuanto a las opciones de privacidad de WhatsApp.

Como se puede ver, es posible acceder a la fotografía del remitente del mensaje sin que el destinatario lo tenga en sus contactos, lo que significa que la opción de compartir foto la tiene habilitada para todo el mundo o que la opción de visualizar la foto la tiene solo para sus contactos y ha agregado a nuestro protagonista como contacto - algo probable -.

Figura 3: Opciones de visualización de foto de perfil

Por supuesto, nuestro protagonista, como se puede ver en la captura de la Figura 2, no le contestó en ningún momento, pero más tarde, cuando se conectó a Facebook pudo ver que la red social le estaba recomendando como amigo a la misma persona que se había equivocado a la hora de enviar el mensaje. 

Figura 4: Amigos recomendados en Facebook

Es fácil darse cuenta de que es la misma persona porque, casualidades de la vida, no solo la persona que le envió el mensaje de WhatsApp tenía configuradas sus opciones de privacidad para que le mostrara su foto de perfil, sino que además había utilizado la misma foto en su perfil de Facebook.

¿Cómo había hecho Facebook la conexión?

Pues según cuenta nuestro amigo, parece evidente que mediante los datos de WhatsApp. Sabía que había una conversación en WhatsApp así que posiblemente se conocían por que buscaría su conexión de usuarios a nivel de Facebook y el motor descubrió que los usuarios de Facebook no eran amigos, así que se lo recomendó.  La pregunta es, ¿cómo conectó los usuarios de WhtasApp - números de teléfono -, con los usuarios de Facebook? Las respuestas pueden ser dos distintas, y probablemente Facebook utiliza las dos aproximaciones.

Aproximación 1: Números de Teléfono registrado en cuentas Facebook

Como ya hemos visto en varios artículos, tu puedes asociar tu número de teléfono en tu cuenta de Facebook para tener un segundo factor de autenticación o para hacer uso de Facebook Messenger, esto, como vimos, puede utilizarse para desenmascarar cuentas de Facebook o para hacer una base de datos inversa de números de teléfono asociados a cuentas de Facebook. Esto le permite a Facebook tener la relación Facebook User -> Número de Teléfono.

Figura 5: ¿Quién puede buscarte por número de teléfono en Facebook? Respuesta: Facebook

Este es el caso del protagonista de esta historia, que tiene el número de teléfono asociado a su cuenta de Facebook, así que el 50% de la conexión ya la tiene hecha el motor de inteligencia de la red social.

Aproximación 2: Identificadores de dispositivos móviles

Facebook es una platform App, es decir, es de las que más permisos requiere en el mundo de los dispositivos móviles. Esta es la lista de permisos que pide en Android, vista en nuestra plataforma Tacyt. Con estos permisos puede extraer información del dispositivo suficiente como para identificar un mismo dispositivo desde la app de WhatsApp y desde la app de Facebook, con lo que si el usuario tiene de Facebook tiene la app del móvil instalada en el mismo móvil desde el que usa WhatsApp puede tener la base de datos del cliente con la relación Número de Teléfono  -> ID Device o número de Telefónono -> Facebook User.

Figura 6: Permisos de Facebook en Android

Entre los permisos, se puede ver que tiene acceso a GET_ACCOUNTS, que puede permitirle acceder a las cuentas configuradas - incluso sacar el número de teléfono de otras apps que lo hayan usado como identificador - y READ_PHONE_STATE, que también puede ser utilizado para obtener ese número de teléfono.

Figura 7: PoC de acceso a número de teléfono con permiso READ_PHONE_STATE

Una vez que Facebook tiene asociado el número de teléfono en las dos cuentas en su base de datos de usuarios de Facebook y descubre que hay un mensaje - cifrado o no extremo a extremo - sabe que hay una conexión, así que aunque no "espíe" tus mensajes al estilo que la gente entiende que es espiar los mensajes de WhtasApp, pero sí que "espía" con quién tienes conversaciones. Hay que tener cuidado, porque esto abre muchas posibilidades para el doxing, sobre todo si resulta que utilizas tu número de teléfono en anuncios de contactos para adultos en los que preferirías cierto anonimato, ya que con dar tu número de teléfono a alguien o que alguien lo conozca, existen posibilidades de que Facebook le ofrezca tu perfil en la red social, así que configura bien la privacidad y seguridad de tu cuenta de Facebook. Y para completar esta noticia, lee esta otra que explica cómo evitar que Facebook oiga tus conversaciones delante de tu smartphone... que ahora lo hace.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord
Search

Nuestro nuevo libro de "Hacking Web Technologies" @0xWord #pentesting #hacking

June 2, 2016, 9:15 pm
$
0
0
Hoy estoy contento, pues después de varios meses de trabajo ya esta disponible desde hoy un nuevo libro de 0xWord en el que he podido trabajar con grandes amigos. Haciendo equipo con Enrique Rando, Pablo González, Ricardo Martín y Amador Aparicio hemos escrito un libro orientado al pentesting y hacking de tecnologías web, y desde hoy lo puedes comprar: Hacking Web Technologies

Figura 1: Nuestro nuevo libro de "Hacking Web Technologies" @0xWord

El libro está centrado en explotar diferentes vulnerabilidades de los sistemas basados en tecnologías web, sin tocar para nada las técnicas de SQL Injection, de las que ya sabéis que escribimos otro libro Enrique Rando y yo. En éste libro nos centramos en otros tipos de ataques como son, por ejemplo, los ataques a las tecnologías LDAP, ataques a Connection String, los ataques de Info Leaks, las técnicas de Local File Inclusion o XPath Injection

Figura 2: Libro de Hacking Web Technologies

Además, en el libro se tocan temas como el uso de herramientas de auditoría web como ZAP Proxy de manera profesional, las técnicas de ataque de PHP Object Injection o la explotación de ataques de MongoDB Injection. El índice del libro lo he subido a SlideShare para que lo podáis ver en detalle.


Este es el libro número 40 de la colección de libros de 0xWord, y por ahora está dentro ya del pack de Colección Completa, aunque probablemente lo incluyamos pronto en algún pack. Puedes comprarlo online y solicitarlo a nuestros distribuidores en latinoamérica para que te llegue lo antes posible.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Security Day 2016_: Todas las presentaciones en vídeo

June 4, 2016, 12:07 am
$
0
0
Ya hemos publicado los vídeos de todas las sesiones que se realizaron durante el Security Day 2016 de Eleven Paths para que puedas ver todo lo que presentamos allí. Para que te sea mucho más cómodo verlas, hemos dividido todas las sesiones vídeos cortos clasificados por temáticas concretas, así que puedes verlos seguidos o uno a uno seleccionando el que más te apetezca en cada momento.

figura 1: Security Day 2016_. Todas las presentaciones en vídeo

Ya os iré desgranando una a una las novedades en el blog de Eleven Paths, porque hemos presentado integraciones de Faast con FortiWeb, de MetaShield Protector con FortiGate, hemos presentado MetaShield Protector for Exchange Server en entornos privados, pero también como versión App para Office 365. Además, en la sesión hemos hablado de las novedades de SandaS y SandaS GRC - preparados para entornos de Ciberseguridad Industrial - y hemos hablado de nuestros servicios de Data Loss Detection además de los proyectos de Firma Digital integrando certificados digitales y firma digital manuscrita. Todo ello, en los siguientes vídeos y en este artículo tienes un resumen de lo principal.


Figura 2: Bienvenida por Chema Alonso & José Luis Gilpérez 


Figura 3: Keynote por Chema Alonso


Figura 4: Unidos somos más fuertes


Figura 5: Unidos somos más fuertes - Fortinet


Figura 6: Virtual Patching - FortinWeb & Faast


Figura 7: SandaS


Figura 8: SandaS GRC para ciberseguridad industrial


Figura 9: Hack Your Future! Entrega de premios


Figura 10: Firma Digital con SealSign


Figura 11: Data Loss Detection

Espero que este fin de semana, estos vídeos de entre 2 y 30 minutos llenen tus huecos de relax con algo de información que te pueda ser útil.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

SMShing para robar tu 2nd Factor Authentication en tus cuentas Google o Apple #SMShing #Google #Apple

June 5, 2016, 12:21 am
$
0
0
Para robar una identidad en Google o AppleID existen varias estrategias que un atacante puede seguir. Primero podría cotillear la seguridad de tu cuenta para descubrir si la protección es de sólo un factor (usuario y contraseña) o de más de un factor - utilizando un OTP vía SMS o Google Authenticator con 2nd Factor Authentication. Si solo tuviera protección por la contraseña, se podría intentar robar mediante un ataque de Phishing al uso.  Si una vez robada la contraseña, el atacante fuera a utilizarla y estuviera activado Google Authenticator, el atacante no podría entrar, pero la víctima - como ya os expliqué en este artículo - no se enteraría de su contraseña ha sido comprometida porque Google Authenticator no deja ningún rastro si no se intenta el inicio de sesión.

Figura 1: SMShing para robar tu 2nd Factor Authentication

Otra de las formas de robar la cuenta es por medio de las opciones de recuperación de contraseñas, pudiendo utilizar los mensajes SMS con un OTP para ello. En ese caso el atacante tiene que haber dado su número de teléfono a Google o Apple y activado el 2nd Factor Authentication para el login (como alternativa a Google Authenticator) o para recuperar la cuenta.

Figura 2: Google Authenticator solo avisa si se introduce un
código incorrecto, no cuando no se introduce.


En esos escenarios, intentar robar la cuenta por medio del sistema de recuperación vía SMS se puede hacer de muchas formas, desde usar la previsualización en el smartphone - si el atacante está cerca del terminal -, hasta robar el mensaje SMS si estamos en la misma celda de la red de comunicaciones usando ataques de RTL-Software Defined Radio, pasando por clonar la SIM si es una de las vulnerables y antiguas Comp128v1, o robarla usando los códigos PIN o PUK de tus contratos de línea.

Figura 3: SMShing que pide el token OTP para bloquear el acceso

Pero una forma muy sencilla que he visto hoy en Twitter se basa en utilizar un poco de ingeniería social y las técnicas de SMShing. Estas técnicas se basan en suplantar a una entidad por medio de mensajes SMS y en este caso el atacante le pide a la víctima el Token OTP que le van a enviar - o podrían pedirle el token TOTP de Google Authenticator - usando como gancho que han iniciado sesión con su cuenta desde una localización remota y que si quiere bloquearlo debe enviar por SMS el código que reciba en su terminal.

Figura 4: Todos los accesos e intentos de acceso a una cuenta protegida por Latch

Como se puede ver, el conocer que una víctima tiene un 2nd Factor Authentication sin que la víctima conozca que ya le han robado la contraseña - como dije que hacía mal Google Authenticator - es un problema. Recientemente una persona en uno de los clientes que usan nuestro sistema de 2nd Factor Authorization basado en Latch, detectó a un atacante que le había robado la cuenta por las alertas de Latch. Usando el lista detallado de accesos que metimos en la app les fue sencillo dar con el atacante y capturarle.

Figura 5: SMShing para robar cuentas de Apple

Dicho esto, ten mucho cuidado con estos ataques, pero especialmente avisa a tus amigos y conocidos que no no tienen 2nd Factor Authentication, que no saben qué es un OTP o qué es un TOTP para que estén alerta contra estos ataques. El SMShing se ha hecho muy popular sobre todo para robar los accesos a Find My iPhone de los terminales bloqueados por iCloud. Así que, primero se hacen con el iPhone bloqueado, y luego intentan robar la cuenta de acceso con SMShing usando SMS o iMessage.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Microsoft gestiona mejor el log de seguridad que Google #Gmail #Outlook

June 5, 2016, 9:18 pm
$
0
0
Hace tiempo que publiqué el artículo que explicaba que cuando usas Google Authenticator, si no haces ningún intento de resolver el valor del TOTP, Google no te deja ningún rastro. Esto es una mala idea de seguridad porque entonces nunca serías consciente de que alguien te ha robado la contraseña y está solo a un paso - robarte el segundo factor con alguno de los trucos que contaba ayer - de quitarte tu cuenta. Hoy quise revisar cómo gestiona Microsoft esta situación en Hotmail, a.k.a Windows Live Mail, a.k.a. Outlook.com, para ver si lo hacía bien o lo hacía mal. Y lo hace mejor que Google.

Figura 1: Microsoft gestiona mejor el log de seguridad que Google

Si has visto el título, ya te podrás imaginar que en este caso, el log de tu cuenta de Microsoft sí que refleja correctamente la situación que yo que describo. Para comprobarlo, tenemos que ir a la página de Actividad Reciente de tu cuenta, donde que da información de todos los accesos que se hacen a ella y veremos el último acceso correcto a la cuenta - he borrado toda la información anterior, así que solo me muestra el último acceso -.

Figura 2: Entrada en el log de Outlook.com de una sesión abierta en al cuenta.

Ahora vamos a abrir otra sesión desde otro navegador en Modo Incógnito y ponemos correctamente la contraseña, pero nos quedamos en la parte donde se nos solita la verificación del segundo factor de autenticación - que en este caso es un OTP vía SMS o vía e-mail asociado -. Y no respondemos nunca a esta pregunta porque somos un atacante y aún no hemos resuelto el problema de robar el 2nd Factor Authentication.

Figura 3: Petición de verificación del 2nd Factor Authentication

Si refrescamos el listado al que podemos acceder vía Actividad Reciente en nuestra cuenta de Microsoft, veremos que ahora aparece una entrada con el identificador de "Security Challenge", lo que refleja justo esta situación.

Figura 4: Descripción de esta situación donde se pide el 2FA.
No importa si el atacante no introduce ningún valor.

Si nos vamos a la ayuda de Microsoft veremos que el log al que podemos acceder es de lo más florido y refleja cualquier situación de seguridad que haya tenido que ver con nuestra cuenta. Desde el acceso correcto o el Security Challenge hasta cualquier cambio que suceda en alguna de las propiedades de seguridad de la cuenta. La lista completa la tienes haciendo clic en la imagen.

Figura 5: Todas las entradas posibles en el log de Microsoft Outlook.com

En definitiva, que me gusta más este log que el que tiene Google, aunque por desgracia la mayoría de los usuarios no revisan estos detalles de su cuenta periódicamente. Aquí os dejé unas acciones extras para saber si te estaban espiando tu cuenta de Hotmail/Live/Outlook o Gmail ahora mismo.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Nipper Toolkit for Android: Una revisión rápida de tu CMS #CMS #WordPress #Joomla #Drupal

June 7, 2016, 1:20 am
$
0
0
Nipper Toolkit Web Scan para Android es una herramienta que permite comprobar vulnerabilidades en los CMS(Content Management System) comúnmente utilizados, es decir, plataformas como Wordpress, Drupal, Joomla!, etcétera, que te puedes encontrar en cualquier sitio de Internet o en la Intranet. Nipper Toolkit Web Scan es una herramienta que dispone de 15 módulos distintos para la recopilación de información de una determinada dirección URL proporcionada por un usuario y que explota algunos de los bugs más comunes, y que puede completar la colección de herramientas que puedes llevar en un terminal Android, como DSploit, Intercepter-ng o WiFiKill, junto con tu Metasploit de base.

Figura 1: Nipper Toolkit for Android: Una revisión rápida de tu CMS

Este tipo de herramientas están creadas para aquellos auditores de seguridad que quieren realizar pruebas de seguridad desde un terminal móvil sin llamar la atención. ¿Cuántas veces has visto a alguien sentado en la sala de espera de tu empresa usando su teléfono? Pues ese podría ser un auditor haciendo una prueba de seguridad, o un atacante que está en tu WiFi en medio de un APT. Aunque tengas el WordPress o el Joomla! en tu Intranet, no pienses que un atacante no puede estar rondando por ella.

Funcionamiento de Nipper Toolkit

Nipper Toolkit es una herramienta que busca bugs y explota fallos en servidores web, por lo no necesitaremos permisos de root para que funcione, con tener conexión de red será suficiente. Podemos adquirirla directamente en el Google Play Store y es completamente gratuita pero solo funcionará si nuestra versión de Android es la 3.0 o superior.

Figura 2: Introducción de una URL del CMS a auditar

Una vez hayamos descargado la app la abriremos y aparecerá el menú principal. En la parte superior encontraremos un icono con tres putos donde pulsando podremos ver la versión del programa e información sobre el desarrollador.

En la parte central de la pantalla encontraremos una ventana para introducir la URL sobre la que queramos lanzar las pruebas y sobre ésta un botón con el símbolo “Play”. Una vez introducida la URL pulsaremos sobre él y tras unos segundos nos mostrara en pantalla la plataforma utilizada por la web, su dirección IP, el tipo de servidor y nos permitirá ver su código fuente. También mostrara algunos módulos.

Figura 3: Información básica del CMS auditado

Si miramos en la parte superior encontraremos tres botones, el botón de la izquierda es el botón de retroceso, a su derecha encontraremos el botón –“Share”- que nos permitirá compartir la aplicación y la información conseguida sobre la URL, el ultimo botón -“3 puntos”- nos dará la opción de buscar en Exploit-DB y la opción ButeForceWP en su versión beta, esta opción nos permitiría iniciar un ataque de fuerza bruta con un CMS de tipo Wordpress, como los que se explican en este artículo "Cómo fortificar tu Wordpress frente a ataques de fuerza bruta"

Figura 4: Módulos para analizar un WordPress con Nipper Toolkit

A continuación explicare lo que hacen algunos de los módulos que nos podemos encontrar tras realizar un análisis. Estos serán distintos en función del dominio y la plataforma que estemos analizando. Algunos de sus módulos son:
DNS Lookup: este módulo se utiliza para identificar los servidores del dominio seleccionado, nos mostrará también el nombre del servidor en formato TXT. 
Nmap: Nmap nos permite realizar un escaneo de puertos a nuestro objetivo, una vez tengamos el listado de estos podremos observar cuales están abiertos, esta información nos sería muy útil a la hora de realizar algunos ataques.
Figura 5: Ejecutando Nmap
Enumeración de usuarios: Este módulo realiza un escaneo en búsqueda de usuarios, en este caso usuarios de Wordpress, realizando un listado de los usuarios encontrados, tal y como se hace con WPScan. 
Enumeración de Plugins: Con este módulo podremos extraer los detalles de los plugins utilizados, este escaneo tardara un poco, pero nos proporcionara un listado de plugins y nos dará la opción de buscar exploits, introduciremos los plugins de los que queramos obtener exploits y realizaremos una búsqueda en ExploitDB, también podemos realizar una búsqueda sin introducir el plugin del que queremos conseguir exploits y obtendremos todos los exploits al mismo tiempo. Lo que hay por detrás son los trucos explicados en este artículo: Cómo listar plugins de WordPress. 
Figura 6: Listado de plugins
Theme identify: nos mostrara los detalles sobre el tema utilizado en la web. Algunos de ellos tienen bugs conocidos. 
Core Analysis: Este módulo nos mostrara la versión de la web CMS objetivo utilizando un fingerprinting basado en el reconocimiento de ficheros utilizados en la plataforma.
Figura 7: Información del Core

En caso de que la web CMS se tratase de una plataforma Drupal encontraremos otro modulo llamado “Drupal Modules”, personalizada con otro tipo de ataques.

Nipper es una herramienta sencilla e intuitiva con la que podremos realizar mini-auditorías de seguridad a una web de forma rápida desde nuestra mano, en cualquier sala de espera de una empresa, de una forma fácil y rápida automatizando algunos de los ataques conocidos para estos CMS. Tal vez no hagas una auditoría completa, pero a lo mejor en unos minutos, aprovechando el tiempo en la salita, seas capaz de llevarte la lista de usuarios o info de cómo está administrado ese WordPress que has encontrado en la Intranet accesible por la web.

Autor: Sergio Sancho Azcoitia

Un informático en el lado del mal - Google+RSS0xWord

¿Tienes un oído fino? Cifrado y esteganografía de datos en ficheros de audio y un test de estegonanálisis con tu oreja

June 7, 2016, 8:46 pm
$
0
0
Tras ver la invitación de Chema Alonso para escribir algún artículo en El lado del mal me decidí a enviar un resumen de lo que fue mi proyecto final de carrera de ingeniería informática, en el que tocaba el tema de esteganografía y cifrado de datos en ficheros de audio. Hace poco se habló de una técnica parecida en el artículo "Esteganografía con ficheros de audio: enviar tus documentos ocultos en canciones", pero en este trabajo se añade la capa de cifrado y el trabajo se hace con MatLab, así que espero que os sea de utilidad y complemente un poco más el conocimiento de las técnicas de esteganografía y estegoanálisis.

Figura 1: ¿Tienes un oído fino? Cifrado y esteganografía de datos en
ficheros de audio y un test de estgonanálisis con tu oreja

Considero que todo documento científico debe contar con una breve introducción de los conceptos que se tratarán, así que, para empezar a tener claras las ideas, me gusta empezar siempre con definiciones y, si es posible, dar algunas pinceladas de etimología a los términos sobre los que escribo. Y aquí van:
Definición 1: esteganografía es la ciencia que trata el estudio y la aplicación de un conjunto de técnicas que permiten ocultar o esconder información, de modo que no se perciba su existencia. 
Etimología 1: Estegano-, del griego tégos-/steganos, que significa disimular, disfrazar o cubrir. 
Definición 2: criptografía es el arte de escribir con clave secreta o de un modo enigmático. 
Etimología 2: Cripto-, del griego kryptós, que significa recubierto.
Etimología 3: -grafía, de la raíz del griego grafein, que significa escritura o representación gráfica.
Con todo esto presente, mi objetivo fue construir un criptosistema que fuera capaz de cifrar información y para posteriormente esconderla dentro de un fichero de audio en formato WAV, maximizando la cantidad de mensaje a ocultar y minimizando todo lo posible el ruido introducido. Para la parte del cifrado me decanté por usar cifrado asimétrico RSA y para la de esteganografía, utilicé 2 métodos, uno bastante empleado, como es el LSB y otro no tanto, conocido como Phase Coding.

Explicación del funcionamiento del criptosistema

El sistema consta de dos capas de seguridad, la primera será criptográfica, ya que a toda la información que se pretenda transmitir, le aplicaremos un cifrado asimétrico. Una vez tenemos la información cifrada, realizaremos el proceso de esteganografía, escogiendo para ello un fichero de audio WAV como portador y ocultando en él los datos cifrados en el paso anterior.

Figura 2: Diagrama global del criptosistema

En la Figura 2 vemos cómo encajan todos los subsistemas entre sí, donde las cajas rojas conforman el subsistema criptográfico, que se corresponden con los procesos de cifrado y descifrado. Aquí es importante destacar que el emisor cifra la clave secreta (o clave de sesión) con la clave pública del receptor y que el mensaje se cifra usando la clave secreta, generada automática y aleatoriamente por GPG4WIN.

Las cajas azules conforman el subsistema esteganográfico, que se corresponden con los procesos de ocultación y extracción. El resto de elemento son las entradas y salidas del sistema, y un medio de transmisión.

Explicación general de cada subsistema

Teniendo una visión global del sistema, veamos el comportamiento de cada uno de sus elementos de procesamiento de la información.

Subsistema criptográfico: es el componente que aplica un algoritmo de cifrado o descifrado, en función de la etapa en la que se encuentre la información que procesemos dentro del sistema global. Recurrimos a RSA 2048 bits, mediante la herramienta GPG4WIN. En la Figura 1 se ve el flujo de la información y cuándo entra en juego cada componente. Para gestionar nuestro criptosistema de la forma que queremos, debemos configurar adecuadamente GPG4WIN. Los pasos a seguir son:
1. Crear un certificado de tipo ‘OpenPGP key pair’
2. Introducir algunos datos personales: Dentro de las opciones avanzadas, elegimos el uso que le vamos a dar. En nuestro caso solo queremos cifrar, así que elegimos el método RSA con 2048 bits y marcamos la casilla de ‘Encryption’.
3. Crear una ‘passphrase’ para cifrar la clave privada (este cifrado es tipo simétrico)
Si todo el proceso se ha llevado a cabo correctamente, obtendremos una ventana de confirmación que nos mostrará el ‘fingerprint’ de nuestro certificado. Con este certificado será con el que podamos cifrar/descifrar ficheros. Para cifrar en GPG4WIN lo podemos hacer con el propio gestor de certificados que incluye, llamado Kleopatra. Simplemente lo abrimos y seguimos estos pasos:
1. Elegimos ‘Sign/Encrypt Files’, y marcamos la opción de Encrypt. Seleccionamos el fichero a cifrar.
2. Seleccionamos el certificado que queramos usar para cifrar. En este caso, como ya lo tenemos creado, seleccionamos y añadimos el que hemos hecho anteriormente.
3. Pulsamos en ‘Encrypt’ y esperamos a que el proceso finalice. El programa nos avisará.
Para descifrar en GPG4WIN lo haremos también con Kleopatra:
1. Elegimos ‘Decrypt/Verify Files’, y seleccionamos el fichero a descifrar. También podemos elegir dónde se guardará la información descifrada.2. Introducimos la ‘passphrase’ para nuestro certificado, que se nos indica en pantalla. Cada certificado que creemos tiene su propia ‘passphrase’, de modo que hay que recordarla para poder realizar el proceso de descifrado.3. Pulsamos en ‘OK’ y esperamos a que el proceso finalice.
Subsistema esteganográfico: es el componente que aplica un algoritmo de ocultación o extracción. Depende también de la etapa, y en la misma Figura 2 vemos las interacciones de este componente con el sistema.

1. LSB (Least Significant Bit): es un método de ocultación que se basa en esconder la información en los bits menos significativos del fichero de audio original. El proceso consiste en realizar una sustitución de los bits menos significativos de las muestras del audio original por todos los bits del mensaje. En la Figura 2 vemos un ejemplo de ocultación, donde:
• Audio: muestras de sonido del fichero WAV original. El subíndice indica el número de muestra y el superíndice indica el peso del bit de la muestra.
• Datos: cadena de bits del mensaje original.
• Portador: muestras de sonido del fichero WAV con el mensaje ‘Datos’ incluido.
Figura 3: Ejemplo de ocultación LSB. Sustitución de los bits menos significativos
de las muestras de audio original por los bits del mensaje

2. Phase Coding: Es un método de ocultación que se basa en esconder la información en la fase de las componentes espectrales de la onda de sonido que se obtiene a partir del audio original. El proceso de ocultación es como sigue:
a. Dividimos la señal acústica en varias ventanas de tamaño fijo.
b. Calculamos la DFT (transformada discreta de Fourier) de cada ventana, obteniendo la fase y la magnitud.
c. Elección de puntos de cada ventana candidatos para esconder la información.
i. Todos los puntos que cumplan Thmin< magnitud < Th albergarán el mensaje a ocultar.
• Umbral, Th, es un porcentaje del valor máximo de la señal.
• Umbral mínimo, Thmin, es un valor fijo obtenido de forma empírica, 10^-4 genera 0 errores.
ii. Para cada punto, dejaremos el valor de la fase original, con el siguiente criterio:
• Si bit a ocultar 0, entonces: (-1) x fase
• Si bit a ocultar 1, entonces: (1) x fase
Figura 4: Pasos para aplicar el método de esteganografía de Phase Coding

Implementación de esteganografía con Matlab

Entrando un poco más en materia, paso a explicar cómo implementé ambos algoritmos esteganográficos en Matlab.

• LSB, ocultación:
1. Leer fichero con los datos a esconder
[Datos, count] = fread(fopen('C:\ruta\mensaje.txt'));
Datos = matriz de ‘count’ filas (cada caracter) y 1 columna.
count = cantidad de caracteres leídos.
2. Leer fichero de audio, que hará de portador
[x,fs] = audioread(ruta);
x = muestras de audio
fs = frecuencia de muestreo
3. Sustituir los bits menos significativos de ‘x’ por todos los bits que haya en ‘Datos’
% La parte del mensaje que cabe justa
coded(1:F_smr,(end-LSB+1):end) = stego_mensaje;
% La parte del mensaje que sobra
coded(F_smr+1,end-sobran+1:end)=Datos(L_esconder-sobran+1:end);
Básicamente estos son los pasos, pero se ve mucho mejor en la Figura 3. Hay que tener en cuenta que hay que moldear bastante las matrices y jugar con los tipos de datos en Matlab, para poder ajustar todos los cálculos, ya que el algoritmo lo hice para poder escoger una cantidad variable de bits menos significativos.
4. Crear un nuevo vector de muestras, que contenga el mensaje sustituido y el resto de muestras originales, es decir, las muestras del fichero portador, incluyendo el mensaje a esconder.
y = coded;
audiowrite(‘C:\ruta\LSB-codedAudio.wav’, y, fs);
• LSB, extracción:
1. Leer fichero de audio, que es el portador del mensaje oculto
[x_ext,fs_ext] = audioread(‘C:\ruta\LSB-codedAudio.wav’);
2. Extraer los bits menos significativos de ‘x_ext’
% Recupero el mensaje, por partes: la divisible, y el resto
% 1º Recupero la parte divisible del mensaje
recup1 = x_ext(1:F_smr,end-LSB+1:end);
% 2º Recupero la parte que falta del mensaje
recup2 = x_ext(F_smr+1,end-sobran+1:end);
% Juntamos todo
recup = vertcat(recup1,recup2);
3. Crear un nuevo fichero que será el mensaje extraído.
fwrite(fopen('C:\ruta\mensaje_extraido.txt','w'), recup);  
%Recordad que este mensaje extraído está cifrado.
• Phase Coding, ocultación:
1. Leer fichero de audio y dividir la señal en ventanas
[x,fs] = audioread(ruta);
% Longitud archivo portador en muestras
T = length(x);
% Longitud de cada segmento
L = 1024;% Numero de segmentos
N = floor(T/L);
% División en segmentos de la señal (cada columna un segmento)
for n=1:N
xf(:,n) = x((n-1)*L + 1:n*L);
end
2. Calcular DFT y obtener fase y magnitud
% DFT de cada segmento (fft lo hace de golpe)
Xf = fft(xf);
% Matriz de magnitud original
M_ori = abs(Xf);
% Matriz de fases original
P_ori = angle(Xf);
3. Calcular umbrales y obtener los puntos candidatos
Th = porcentaje*max(M_ori(:));Th_min = 0.0001;indhide = find(M_ori<Th & M_ori>Th_min);
4. Calcular umbrales y obtener los puntos candidatos
for k=1:L_esconder % desde 1 hasta el tamaño del mensaje que quiero esconder
if Datos(k)==0
P_hide(indhide(k)) = abs(P_ori(indhide(k)))*(-1);
else
P_hide(indhide(k)) = abs(P_ori(indhide(k)))*(+1);
end
end
5. Crear el audio portador con el mensaje a esconder.
% Mensaje portador con datos ocultos
Xhide = M_ori.*exp(1i*P_ori);
xm = real(ifft(Xhide));
audiowrite(‘C:\ruta\PC-codedAudio.wav’,xm,fs);
• Phase Coding, extracción:
1. Los pasos para extraer son los mismos que para ocultar, desde el 1 al 3 
2. Extraemos la información del vector con los puntos candidatos
% Extraer índices de los puntos con bits ocultos
indhide = find(M_decod<Th & M_decod>Th_min);
indhide = indhide(1:L_esconder);
Decp = P_ decod(indhide);
Recordad que ‘L_esconder’ es el tamaño del mensaje que voy a extraer. En principio lo sabemos de antemano, pero se podría crear un espacio dentro del mensaje a ocultar para indicar cuál es su tamaño, y transmitirlo también una vez cifrado y ocultado. 
3. Extraemos el mensaje oculto
% Mensaje extraído en Datadec
Datadec = (Decp<=0)*0 + (Decp>0)*1;
Guión final y resultados

Bien, ahora que hemos visto cómo funciona cada parte por separado, vamos a hacer un pequeño guión de cómo hacer funcionar todo el sistema.

CIFRADO Y OCULTACIÓN
1. Elegimos un fichero cualquiera que será nuestro mensaje a ocultar.
2. Elegimos un fichero de audio, en formato WAV, que será nuestro portador.
3. Ciframos el fichero con GPG4WIN.
4. Ocultamos el mensaje obtenido en el paso 3 mediante una técnica esteganográfica: LSB o Phase Coding.
5. Obtenemos un fichero WAV con el mensaje incluido. Este fichero lo podemos transmitir o almacenar teniendo 2 ventajas principalmente:
a. Tenemos la información escondida, luego será más difícil encontrarla para cualquiera que no sepa dónde/cómo buscar.
b. Tenemos la información cifrada, de modo que, incluso aunque se llegue a descubrir que tenemos información oculta, sería casi imposible descifrar sin tener la llave.
EXTRACCIÓN Y DESCIFRADO
1. Elegimos un fichero de audio que sea portador.
2. Extraemos el mensaje mediante una técnica esteganográfica: LSB o Phase Coding.
3. Desciframos el fichero obtenido en el paso 2 con GPG4WIN.
Para comprobar que todo este proceso de cifrado y ocultación funciona bien, quise realizar una serie de pruebas a personas de mi entorno. Recurrí para ello al test ABX, que es un tipo de prueba auditiva que se realiza a ciegas, lo que se conoce también como ‘blind test’, es decir, que el sujeto desconoce el origen del audio que escucha. Para hacer las pruebas más sencillas, recurrí a la herramienta llamada Lacinato ABX/Shootouter, que permite cargar ficheros de audio, y realizar la prueba de forma automática, mostrando los resultados obtenidos por cada sujeto. Sin entrar en mucho detalle matemático, necesariamente derivado de este tipo de pruebas, os explico en qué consiste el test ABX.

Figura 5: Herramienta Lacinato ABS/SHootouter

Durante la prueba, una de las muestras recibe el nombre de A y la otra muestra recibe el nombre de B. El programa elige una muestra X, que puede ser cualquiera de las muestras A o B, que el usuario ha indicado como banco de muestras, pero el sujeto no sabe cuál es. La tarea del sujeto es escuchar atentamente todas las muestras, tanto A y B como X, y entonces decidir si X se corresponde con la muestra A o con la muestra B. Por cada vez que el sujeto se vea sometido a esta elección, lo llamaremos intento. Al final de la prueba, se analizan el número de pruebas realizadas, el número de aciertos y fallos.

Las señales acústicas que hemos elegido para el test se pueden agrupar en cuatro tipos diferentes de audio:
Música clásica: Sinfonía nº 6 en Fa mayor, op. 68, “Pastoral”, Ludwig Van Beethoven.
Música comercial: Diamonds, Season One, Emancipator.
Música pop-rock: Cuando los ´árboles se sequen, Casa Grande, Marco Boz y Pablo Páez.
Voz hablada: Blue Sky Bridge, narración en inglés, Fergus Sound Enterprises.
Estos cuatro tipos de audio son muy comunes a día de hoy, por lo tanto, son un adecuado objeto de estudio para nuestro proyecto. Cabe destacar que los formatos de los audio obtenidos son del tipo sin pérdida, concretamente en formato WAV. Esto es así para poder trabajar a partir de un material que ofrezca el menor error posible. Destacar que, para homogeneizar las muestras, todos los audio han sido normalizados y convertidos a monocanal con 16 bits de profundidad. Los resultados que obtuve para cada algoritmo esteganográfico fueron los siguientes:
Resultados para LSB: Para evitar detección auditiva, recomiendo utilizar como máximo los 4 bits menos significativos. Capacidad de ocultación del LSB es el producto del número de muestras del audio original y el valor de LSB elegido en cada caso: numero_muestras x N lsb 
Resultados para Phase Coding: Para evitar detección auditiva, recomiendo utilizar un valor Th ≤ 10-4.
Es importante tener en cuenta que lo que más pesa a la hora de realizar un buen proceso de ocultación es el fichero portador. En nuestro caso, cuanto más intenso sea el nivel de sonido de nuestra onda portadora, más disimulará el contenido oculto. Por eso he especificado qué tipo de fragmentos musicales he utilizado, y también porque necesitaba una base sobre la que partir. Es por ello que se hace complicado dar un valor preciso que indique cuánta cantidad de información puedo introducir por muestra mediante esta técnica.

Para terminar, ahora que os he soltado toda esta marea de ideas y conceptos, aquí podéis escuchar los ficheros de audio y realizar vosotros mismos vuestras comparativas. Os los dejos organizados por carpetas y por estilos musicales [Audios CodificadosAudios Originales] ¿Hasta dónde sois capaces de detectar el ruido en cada técnica? Empieza el reto ;)

Autor: Jorge Peris (Universidad de Valencia)

Un informático en el lado del mal - Google+RSS0xWord

Bettercap: Una katana para realizar ataques de red

June 8, 2016, 10:14 pm
$
0
0
En alguna ocasión os he hablado de MITMf, un framework que implementa diversos ataques basados en interceptar una comunicación y colocarse en medio de ésta. Últimamente están saliendo herramientas que nos ayudan a automatizar y simplificar las pruebas de auditoria de red. Hoy hablaré sobre Bettercap, una evolución de la famosa navaja suiza de red Ettercap que ayuda a implementar los Ataques en redes de datos IPv4& IPv6. Vamos a verlo.

Figura 1: Bettercap, una katana para realizar ataques de red

Bettercap está escrito en código Ruby y se aprovecha de la flexibilidad y potencial de dicho lenguaje. En la propia página de Bettercap se preguntan, ¿Por qué otra herramienta de MiTM? y los propios desarrolladores explican este hecho porque Bettercap es completo, actualizado, modular, portable y fácil de extender por cualquier usuario. Si alguien argumenta que Bettercap es un Ettercap le contestan lo siguiente:

Figura 2: Explicación de por qué utilizar Bettercap

La instalación de Bettercap es realmente sencilla. Tiene dependencias, pero ejecutando gem install bettercap el proceso se lleva a cabo completamente. En caso de necesitar alguna librería se puede utilizar apt-get para completar el proceso. Una vez instalado, dispondremos de un binario, el cual podremos ejecutar.

Figura 3: Instalacion de Bettercap en un Kali Linux 2.0

Una vez instalado, lo mejor es comprobar todas las opciones que la herramienta proporciona. A continuación se pueden ver las opciones por módulos:
• Spoofing.
• Discovery.
• Sniffer.
• TCP-Proxy.
• HTTP-Proxy.
• HTTPS-Proxy.
• SSLStrip.
• HTTP-Server.
• DNS-Server.
Cada módulo dispone de diversas opciones parametrizables, lo cual hace que la herramienta sea flexible y muy potente. Como primer ejemplo, vamos a ver cómo realizar un sniffing básico, almacenando lo que pasa por la interfaz de red en un fichero PCAP. Además, vamos a aplicar un filtro al sniffer mediante el uso del parámetro –P.

Figura 4: Protocolos que pueden analizarse con Bettercap

Los protocolos “filtrables” se pueden consultar en la documentación del sitio web de Bettercap. A continuación se muestran los protocolos que serán tratados por la herramienta:

PoC: Sniffando con Bettercap y aplicando filtros

En esta prueba de concepto se configura Bettercap como sniffer. Se debe indicar al framework que no se quiere realizar spoofing mediante el parámetro –no-spoofing, tal y como se puede ver en la imagen. Si analizamos el tráfico que genera Bettercap, el módulo de Discovery está habilitado por defecto, por lo que veremos cómo se está realizando un ARP Scan de forma constante. Es decir, enviando ARP Request a todas las direcciones IP de la red. En la imagen se puede ver como la herramienta nos indica rápidamente las máquinas con las que tenemos conectividad, esto es debido al módulo de Discovery.

Con el parámetro –L indicamos a Bettercap que “parsée” los paquetes que llegan al equipo, e implícitamente habilita el modo sniffer, el cual se activa con el parámetro –X. Por otro lado, el parámetro –sniffer-output hace que todo lo que llega a la interfaz se almacene en el fichero, en este caso better.pcap.

Figura 5: Bettercap en modo sniffer

En la propia pantalla se puede visualizar las peticiones que se han realizado, aunque todo queda almacenado en el fichero PCAP. El código de colores ayuda a visualizar la información de manera sencilla y útil.

PoC: ARP Spoofing by default

En esta prueba de concepto configuraremos a Bettercap con el módulo de ARP Spoofing y aplicaremos un filtro para poder visualizar el tráfico que sea solo HTTP o al puerto 80 TCP. El escenario propuesto para esta prueba de concepto es el siguiente:
• Una máquina Windows será la víctima.
• Un router con el que la máquina Windows se comunica para enviar peticiones y tráfico hacia a Internet.
• Una máquina con Kali Linux con Bettercap instalado.
Desde Bettercap ejecutamos la instrucción bettercap –sniffer-filter “tcp port 80”. Esto por defecto activa los módulos de Spoofing, Discovery y Sniffer. Hay que recordar que para no habilitar el módulo de Spoofing habría que indicarlo con el parámetro –no-spoofing. El filtro nos permite filtrar la información no deseada y centrarnos en lo deseado, en este caso, tráfico HTTP. Si quisiéramos realizar un ARP Spoofing contra dos máquinas concretas, podríamos utilizar con el parámetro –T la dirección IP a suplantar, por ejemplo –T 192.168.1.35 y con–G 192.168.1.1 indicamos la dirección IP del router.

Figura 6: Ataque de ARP Spoofing con Bettercap

El ataque de suplantación se puede realizar a través de ARP Spoofing o con ICMP Redirect. Con el parámetro –spoofer se puede indicar ARP, ICMP o NONE. Por defecto, si no se indica se lanzará ARP Spoofing. Además, si no se indican direcciones IP a las que spoofear, el ataque se llevará a cabo contra toda la red de ámbito local y todos los equipos que se encuentren disponibles en la red.

PoC: SSL Strip 2 con Bettercap

En esta prueba de concepto vamos a configurar un SSLStrip+ o SSLStrip2 de Leonardo Nve, el cual viene implementado con Bettercap y se puede utilizar de forma muy sencilla, como ya se vio con MITMf en el artículo de “Ataques man in the middle a HSTS: SSLStrip 2 & Delorean”. Bettercap es compatible con el SSLStrip de Moxie Marlinspike, por lo que también se puede utilizar. Configuramos el módulo de Proxy para reenviar todo el tráfico dirigido al puerto 80 a Bettercap, le indicamos el target con el parámetro –T y con el parámetro –P le indicamos que “parsée” las peticiones POST.

Figura 7: Ejecución de bettercap en modo proxy

El parámetro –proxy-module permite inyectar código HTML, CSS o Javascript. Esto es interesante si se quiere modificar el contenido de un recurso, e intentar ejecutar código del lado del navegador tal y como se hacía con el trabajo de "Owning bad guys {and mafia} using Javascript botnets". Un posible objetivo podría ser la inyección de código HTML con intención de lograr un Phishing en la página o conseguir que el navegador realizara peticiones a un recurso externo el cual devolviera un exploit.

En la documentación de Bettercap viene un ejemplo de lo que se verá cuando el Bypass de HSTS funcione. Sabemos que el bypass de HSTS es parcial y que depende de una serie de condiciones, pero si las cumplimos, la eliminación de la cabecera HSTS por parte de Bettercap es fundamental para que nos funcione el ataque. Recordando las condiciones nos encontramos con:
• El navegador Firefox o Chrome no debe tener cacheado el dominio en su caché HSTS, es decir, el Max-Age no debe estar insertado en el navegador. En caso de que esté cacheado durante N segundos, lo que se indique en Max-Age, las peticiones a ese dominio no se realizarán nunca por HTTP, y serán siempre por HTTPS. 
• En el caso de tener cacheado dicho dominio o esté en una lista precargada, podríamos realizar un ataque de tipo Delorean, creado por José Selvi. Con este ataque se busca provocar la caducidad de dichas entradas en la caché del navegador. Este ataque se logra interceptando peticiones NTP de las máquinas y llevándolas hacia el futuro.
Figura 8: Ataque de HSTS bypass cambiando el dominio de la víctima

En la imagen se puede ver cómo Bettercap muestra “Found stripped HTTPS link”. El módulo de SSLStrip está funcionando y podemos ver cómo todo pasa por nuestro Proxy, el cual hemos arrancado con el parámetro –proxy. Es fundamental el cambio de las “www” a las “wwww”. Estamos apoyándonos en un servidor DNS que está devolviendo la dirección IP del mismo Facebook en este caso.

Figura 9: Ataque ejecutado con éxito saltándose el sistema HSTS

Si analizamos las peticiones POST nos encontramos con información jugosa. Por ejemplo, SSLStrip+ nos ha funcionado y vemos como el usuario introdujo su dirección de e-mail y su contraseña “dadada”. Las peticiones pueden verse en texto plano, cuando en un uso normal estarían protegidas bajo HTTPS, pero de esta forma tenemos acceso al contenido.


Figura 10: Captura de credenciales en texto plano
Conclusión final

Bettercap es una herramienta llena de posibilidades con la que podemos realizar gran parte de los ataques de red modernos y que permite ser ampliada de forma sencilla gracias al lenguaje sobre el que está programada. Sin duda, Bettercap es una de las herramientas que debemos llevar en la mochila en una auditoria interna y/o de red.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell

Un informático en el lado del mal - Google+RSS0xWord
Search

My WordPress in Paranoid Mode

June 10, 2016, 1:28 am
$
0
0
A pesar de que la agenda de trabajo nos come cada día más, dejar la oportunidad de probar una idea loca con un amigo no entra dentro de los planes de los que amamos la tecnología en general y la seguridad informática y el hacking en particular. Y ese es el motivo principal que nos ha llevado a Pablo González (@pablogonzalezpe) y a mí, a pasar un par de semanas enredando con una idea loca que se me pasó por la cabeza: Configurar un WordPress in Paranoid Mode usando Latch de una forma que no se había utilizado hasta ahora.

Figura 1: WordPress in Paranoid Mode with Latch

La idea, como ya veréis más adelante, tiene más fases, pero digamos que en esta primera etapa consistía en añadir una capa extra en la fortificación de sistemas WordPress aplicando el principio de Defensa en Profundidad. Para ello, como no, decidimos usar Latch a varios niveles y conseguir el resultado que buscábamos: añadir un 2nd Factor Authorization a nivel de consulta SQL en las operaciones realizadas sobre la base de datos MySQL. Estas es la charla que impartí en Open Expo 2016 sobre este tema.


Figura 2: My WordPress in Paranoid Mode

Aquí os dejo un resumen de esta parte de configuración paranoica que hacemos con Latch en WordPress, pero a partir de la semana que viene os vamos a publicar un artículo largo que terminará en un whitepaper no solo con esto configuración, sino con otra PoC que hemos hecho tocando el core de WordPress para fortificar las cadenas de conexión en modo paranoico. A ver si os gusta.

Paso 1: Latch a nivel de usuario de WordPress

Para fortificar un servidor WordPress in Paranoid Mode, primero añadimos el plugin de Latch para WordPress con el objetivo de tener a los usuarios con un 2nd Factor Authentication en el proceso de login, tal y como se explica en este vídeo.


Figura 3: Configuración y uso de Latch para WordPress

Esto no es nada nuevo, y ya lo conocéis todos. De hecho, éste es uno de los procesos más repetidos a lo largo y ancho de Internet entre los medio millón de usuarios de Latch que existen hoy en día, ya que Latch para WordPress es uno de los plugins más utilizados.

Paso 2: Latch a nivel de conexión SSH

El segundo proceso de esta configuración es añadir Latch a nivel del sistema operativo para fortificar el servidor Linux en que corra, para lo que hemos usado el plugin de Latch para UNIX que nos permite configurar Latch en la conexión SSH al servidor donde corre el CMS de WordPress. Nada nuevo bajo el sol.

Figura 4: Latch para UNIX

En este vídeo tienes también un proceso de configuración Latch en UNIX por si lo quieres poner en tanto en el login y como en la conexión SSH de tu servidor y evitar cualquier ataque de fuerza bruta o diccionario contra alguno de tus servidores expuestos en Internet.

Paso 3: Latch en las tablas de WordPress [NEW]

Esta es la parte novedosa del proceso, y consiste en configurar triggers en las operaciones SQL de INSERT, UPDATE y DELETE que se producen sobre las tablas que usa WordPress en MySQL. De esta forma configuramos tres modos: Read Only (Paranoid++), Edition & Administration, que permiten al administrador del sitio configurar un WordPress para que nadie pueda acceder al sistema, comentar o publicar algo nuevo. Configurarlo para que se pueda leer el blog desde Internet, publicar comentarios pero no crear artículos ni gestionar usuarios o abierto para que pueda ser administrado. Aquí tienes las diapositivas de las dos charlas que he dado para presentarlo.


De esta forma, si apareciera un bug de SQL Injection en el CMS de WordPress (o en uno de sus plugins), o se hiciera un ataque de Network Packet Manipulation contra WordPress sobre una consulta realizada sin cifrar contra el motor de bases de datos MySQL, esta estaría protegida por Latch. Aquí puedes descargar este PoC (¡Ojo! no se ha pasado por QA ni se han probado todos los escenarios de instalación y desinstalación, así que tómalo como una PoC que está en proceso de cambios).

Figura 6: PoC de WordPress in Paranoid Mode

Ya tienes disponible el código de esta PoC que hemos preparado para vosotros, y lo mejor de todo es que la idea de poner el 2nd Factor Authorization con Latch a nivel de trigger ha funcionado muy bien, lo que abre una nueva forma de utilizar Latch para proteger aplicaciones web: ¿Qué te parece configurar un Joomla!, un Magento, un PrestaShop o un Moodle en Paranoid Mode?

Saludos Malignos!

Chema Alonso & Pablo Gonzalez

Un informático en el lado del mal - Google+RSS0xWord

Charlas, eventos, cursos y conferencias en Junio

June 11, 2016, 1:22 am
$
0
0
Aprovecho hoy sábado, un día tranquilo de fin de semana, para dejarlos la lista de acciones en las que vamos a tener algo de participación desde Eleven Paths, 0xWord o yo personalmente. Como veréis, según nos acercamos al corazón del verano el volumen de actividades se reduce un poco, pero aún quedan bastantes para participar, y si ya te vas de vacaciones, pues a descansar, hacer deporte y leer mucho que seguro que te recarga las pilas.

Figura 1: Charlas, eventos, cursos y conferencias en Junio

Eleven Paths Talks [Online]

Como sabéis, las sesiones de Eleven Paths Talks son sesiones que damos vía Internet gratuitas para durante una hora poder discutir sobre un tema con la audiencia. Aquí tenéis las sesiones anterioremente dadas y el calendario que nos queda [Eleven Paths Talks]. 

Figura 2: Equipo de CSAs en las oficinas de Eleven Paths

Para lo que queda de Junio tenemos las siguientes citas metidas en nuestro calendario, donde los CSA de Eleven Paths tocarán los siguientes temas:
16 de Junio: SealSign en IoT con Jorge Rivera.
23 de Junio: ¿Las contraseñas desaparecerán? con Claudio Caracciolo.
30 de Junio: Wordpress in Paranoid Mode con Pablo González Pérez.
Cursos de The Security Sentinel [Online]

También son online, pero con una duración de varias semanas cada uno. En estos cursos participamos desde 0xWord con The Security Sentinel aportando la documentación que se entrega en ellos. La lista de los que comienzan en esa segunda quincena de Junio es:
13 de Junio: Curso Online de Análisis Forense dispositivos móviles
27 de Junio: Curso Online de Hacking Ético
Además, tienes abierta de forma continua la matrícula para el Curso Online Universitario de Especialización en Perito Judicial en Informática Forense, que se puede hacer en cualquier momento.

EuskalHack y Fesctival [Móstoles & Donostia]

El sábado 18 de Junio tendrá lugar en Donostia EuskalHack, un congreso de seguridad para disfrutar de charlas de seguridad y hacking en el que desde 0xWord estaremos apoyando y donde podrás comprar nuestros libros. Las charlas, de primer nivel con speakers como Pedro Candel, Jorge Bermudez, Joxean Koret, Dani Creus o nuestro compañero Pablo San Emeterio, por citar solo algunos. La agenda completa la tienes en la web de EuskalHack

Figura 3: Agenda de Euskalhack

En Móstoles, del día 21 al día 24 tiene lugar una nueva edición del Festicval en el que nuestro compañero en Eleven PathsSergio Sancho Azcoitia dará una conferencia en los tracks de ciberseguridad. Tienes la agenda completa aquí: FesTICval 2016 URJC.

Telefónica Business Solutions Leadership [Miamí]

El día 29 nos trasladamos a Miami para estar en nuestra conferencia anual con grandes clientes en el que aprovecharemos para compartir nuestra visión sobre la evolución tecnológica de las empresas. Es un evento al que se va con invitación, pero si la has recibido, aquí tienes información detallada del mismo.
Esto es lo que está por ahora planificado. Creo que habrá una charla más en Madrid donde participaré a final de mes antes de centrarme en pasar el verano, pero todavía no tengo los detalles exactos, así que os lo contaré con más detalle un poco más adelante. Mientras tanto, que disfrutéis el fin de semana en la parte del mundo en la que estéis.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

El Google Hacking acabó con la ilusión de la magia #magia

June 12, 2016, 1:35 am
$
0
0
Para hoy os traigo una artículo de esos que probablemente os tengan entretenidos hoy domingo más de lo que pensabas al inicio. Se trata de una historia a la que he llegado gracias a una historia a la que me refirió Enrique Rando, mi compañero de libros de SQL Injection y Hacking Web Technologies. La aventura se explica en muy pocas líneas, pero merece la pena jugar con ello, pues se trata de descubrir cómo funcionan los trucos de magia haciendo Google Hacking.

Figura 1: El Google Hacking acabó con la ilusión de la magia

Ya había hablado de ello el blog de patentes y marcas de Madrimasd en el año 2014, y cuenta cómo los magos, a lo largo de la historia han protegido sus trucos con patentes que evitaran que otros magos los interpretaran sin pagar los correspondientes royalties a los inventores o para proteger su exclusividad por un tiempo. Si no has visto la película de "El Truco Final" (The Prestige) merece la pena que la veas para que entiendas la importancia que esto puede llegar a tener para ellos. 


Figura 2: Trailer sobre "El truco final" (The Prestige)

De hecho, fue noticia cuando se conoció que Jorge Blass, uno de los magos españoles que más fronteras han traspasado, acabó vendiendo su truco del amigo de Facebook al gran David Copperfield.


Figura 3: El truco de Jorge Blass con Twitter

Estas patentes están en las oficinas de registradas, y acaban publicadas en Internet con nombres que describen la invención, por lo que si buscas de la manera adecuada puedes llegar a descubrir, por ejemplo, cómo David Copperfiled hacía su truco de levitación.


Figura 4: David Copperfield Levitando

Alambres de 1/4 milímetro de grosor para sostener con un arnés el cuerpo del mago mientras hace su show de luces, música, escenografía, etcétera. Aquí tienes la patente publicada del dispositivo.

Lo curioso del asunto es que puedes encontrar patentes de magos desde el siglo XIX, con aparatos descritos con todo tipo de ilusiones, desde el cofre para cortar personas, a efectos visuales de todo tipo. Algunos cofres son para cortar por la mitad horizontalmente, otros para cortar por la mitad verticalmente, etcétera.

Figura 6: un aparato para dar la ilusión de cortar a las personas

Algunos incluso del Gran Houdini,"El gran escapista", como este truco del traje de buzo que describe cómo se desata las botas de su fijación y como salir del traje en unos segundos.

Figura 7: Traje de buceo de Houdini

Hay, como cuenta Enrique Rando, hasta un código especial que puedes utilizar para hacer tu Hacking con Buscadores. Se trata del código A63J 21/00, cuyo nombre es "Aparatos de magia; Accesorios para prestidigitadores", por lo que afinando tus búsquedas en los repositorios de búsqueda de patentes puedes encontrar casi cualquier cosa.

Figura 8: 120.000 patentes de aparatos de magia indexados en Google Patents

Como deberes para este domingo, os dejo este truco de magia que hizo David Copperfield y que luego muchos han replicado para ver si sois capaces de encontrar la patente que protege este truco.


Figura 9: Truco del hombre cortado

Lo que estoy pensando yo es si los trucos de hacking deberíamos empezar a patentarlos, porque para los que no conocen las técnicas detrás de ellos, a veces el efecto es mucho mayor que un truco de magia }:).

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Email Sherlock: Doxing y ataques APT de Spear Phishing o de Spear Apps

June 12, 2016, 9:18 pm
$
0
0
Email Sherlock es un servicio que nos permite realizar búsquedas de cuentas y perfiles asociadas a una dirección de correo electrónico con el fin de descubrir en qué redes y, si es posible, quién se encuentra detrás de ella. En un primer vistazo podemos entender que Email Sherlock nos permite obtener información de dónde una cuenta de correo se encuentra dada de alta, además de otros detalles relativos al alias de correo, como datos del dominio del e-mail o sitios en los que el usuario está en uso.

Figura 1: Email Sherlock - Doxing y ataques APT de Spear Phishing o de Spear Apps

El objetivo es sencillo, en una investigación se trata de hacer un doxing y estrechar el cerco y, sabiendo que tiene una cuenta de un determinado servicio, un potencial atacante podría realizar desde ataques de Spear Phishing adaptados a una red social de la que se sabe que forma parte, o un miembro de los cuerpos de seguridad en plena investigación policial solicitar datos de esa cuenta. Este tipo de utilidades son muy útiles para las investigaciones OSINT, tal y como se cuenta en la charla dedicada a este tema por nuestro compañero Diego Samuel Espitia, CSA de Eleven Paths en Colombia.


Figura 2: Eleven Paths Talks [11] - Técnicas OSINT

Es un servicio que se puede consumir vía página web, pero además también puedes encontrar la aplicación en formato móvil en Google Play Store y en AppStore para iPhone. Gracias a esta herramienta podremos obtener información personal de quién se encuentra detrás de una cuenta de correo electrónico, podremos conocer su nombre completo, su localización, profesión, hobbies y muchas cosas más - dependiendo de los servicios -.

Figura 3: Email Sherlock para Android

En principio puede no ser sencillo conocer dicha información, pero al saber en qué redes sociales está dado de alta, se podría verificar si el perfil está abierto y conocer información de él. Por supuesto, también te puede ser útil para saber en qué redes has dejado tus rastros y debes eliminarlo... si lo deseas.

¿Cómo funciona el proceso de Email Sherlock?

Tras abrir la página en nuestro navegador observaremos un campo donde introducir la dirección de e-mail objeto de nuestra búsqueda, a continuación pulsaremos sobre “GO” y comenzara la recopilación de información, este proceso tardara un poco y al acabar nos mostrará en pantalla los resultados de nuestro análisis. Entre otras cosas podremos verificar que la cuenta introducida es válida, el nombre completo de su propietario y si se han encontrado otras cuentas asociadas a este usuario en diversas redes sociales.

Figura 4: También permite buscar información en bases de datos del gobierno

Normalmente estos ataques se hacen aprovechándose de los leaks de información que se dan en estos servicios en las procesos de login, de registro de una cuenta nueva o de se me ha olvidado la contraseña. Por ejemplo, en Facebook, si la cuenta existe es posible acceder a información del usuario aún no teniendo la contraseña con un proceso de login incorrecto - igual que se hace con el número de teléfono -. Otras redes sociales dan un mensaje distinto en el proceso de recuperación de contraseña cuando la dirección de correo electrónico existe a cuando no, etcétera. Teniendo todos ellos catalogados, te sale el servicio de Email Sherlock.

Figura 5: Información asociada a la cuenta de e-mail en Gravatar

Gracias a la información sobre las redes sociales en las que el usuario tiene una cuenta, un atacante podría iniciar un ataque de Spear Phishing suplantando la dirección de un sitio donde tenga cuenta. Si ademas es una información que él no ha publicado en ningún otro sitio, el efecto puede ser mayor y hacerlo más propenso a caer.

Figura 6: Información asociada a la cuenta de e-mail en Vimeo

Estos ataques son muy comunes y en muchas ocasiones pueden ser muy peligrosos y si por medio de estos e-mails se consigue inyectar una Spear App, bastaría para conseguir dar un paso de gigante. Es decir, si descubrimos que un usuario tiene una cuenta en Vimeo o Gravatar, tal vez sea útil enviar un correo con un Spear App para robar el token OAuth de esa cuenta de Outlook mediante una oferta irrechazable de una nueva app premium de Gravatar o Vimeo para su correo electrónico.

Figura 7: Resultados de búsqueda con UserSherlock

La página también nos muestra con más detalle si el usuario tiene perfiles en algunas de las plataformas más conocidas de la red revisando los nombres de los usuarios enlazando otro servicio útil de OSINT llamado UserSherlock. En ese caso no se puede garantizar que sean los usuarios asociados a esa dirección de correo electrónico, pero es información útil que quizá merece la pena revisar una a una.

Autor: Sergio Sancho Azcoitia

Un informático en el lado del mal - Google+RSS0xWord

0xWord Pocket presenta "Got Root El poder de la mente"

June 13, 2016, 9:18 pm
$
0
0
Hace nada os estaba hablando de nuestro último libro de "Hacking Web Technologies" y hoy ya toca hablar de un nuevo proyecto de 0xWord, en este caso de la línea 0xWord Pocket, para publicar Got Root: El Poder de la mente, la nueva novela de Pablo González, autor de libros como Ethical Haking, Metasploit para pentesters o Pentesting con PowerShell, y Felipe Colorado ganador del premio Desnivel de Literatura 2009 con su obra “Om, la montaña roja”, finalista del prestigioso Premio Ignotus 2013 en la categoría mejor novela por “Corazón de alacrán” y que ha publicado en 0xWord la novela "Cluster", que entró de lleno en el género tecno-thriller policiaco, abordando los peligros de Internet desde el acoso a menores hasta los ataques a infraestructuras críticas.

Figura 1: 0xWord Pocket presenta "Got Root: El poder de la mente"

Yo aún no he tenido ocasión de leer la historia, pero tras leerme Cluster y disfrutar de Hacker Épico, creo que no voy a tardar mucho en ponerme con ello, ya que ésta tiene tintes de ambas en cuanto a su concepción.

Figura 2: Libro de 0xWord Pocket "Got Root: El poder de lamente"

La sinopsis de la obra es la siguiente y para entender mejor lo que podemos encontrar en ella, Pablo González me ha respondido a unas preguntas.
"Una trama entre la etapa americana de Hitchcok y “El arte de la intrusión” de Mitnick. Historia que narra la vida de un hacker, el cual en un momento dado de su vida vive una experiencia que hará que tenga que buscar en lo más oscuro de su cerebro y pasado reciente. 
Casos de hacking a lo largo de la narración embebidos en un absorbente psicothriller. Pentesting y psicología unidos, periodismo de investigación, narcotráfico o sicarios, son algunos de los elementos que recoge Got Root. El poder de la mente prevalecerá por encima de todas las cosas, siempre ayudado y apoyado en el hacking."
- ¿Por qué una novela para explicar hacking?
Una novela puede ayudar a muchos lectores no acostumbrados a entender ciertos contextos. Situar el hacking en escenarios, entornos y vidas potencialmente reales hacen que sea más fácil captar ciertos conceptos, tal y como ya vimos con Cluster o Hacker Épico. Podemos entender que el hacking tiene un contexto, un ámbito y unas circunstancias. Aunque todo lo que encuentras en la novela es ficticio, todo lo que puedes leer en ella es potencialmente real. 
Tras escribir varios libros técnicos puedes darte cuenta que algunas cosas solo pueden explicarse en un contexto distinto. El hacking es un estado emocional de nuestra mente, es investigación, es inquietud, es pasión, es conocimiento, es saber cómo funcionan las cosas, intentar llevarlas un paso más allá, ¿no son valores ideales para la juventud? 
En el libro se puede encontrar muchos de estos aspectos enumerados reflejados en las vidas de los personajes. En definitiva mucho hacking que te permite conocer en detalle técnicas de hacking. ¿Resolverás el misterio de Antonella? ¿Hackearas la mente de Coque? ¿Te vendrán recuerdos del Retro Hacking? Disfruta de la novela, como nosotros disfrutamos escribiéndola.
- ¿Qué puedes encontrar en el libro?
En la novela el lector puede encontrar diversas cosas, pero sobretodo mucho hacking explicado y detallado, mucha reflexión sobre la mente y, por supuesto, una trama psico-thriller que te llevará a un estado diferente. 
Además, puede encontrar diversas reflexiones que le llevarán a un plano personal que te hará preguntarte algunas cosas. Reflexiones personales y profesionales que nunca vienen mal, y un toque de humor. Got Root? Tú mismo podrás comprobar si hackeas tu mente o si ella te hackea a ti.
- ¿Qué cuenta la historia?
Esta es una pregunta difícil. La novela cuenta la historia de Coque un joven mostoleño que desde hace un tiempo tiene ciertos problemas que hacen que su vida no sea como antes. Antonella, es una joven psicóloga que intentará ayudar a Coque a salir adelante. En este punto mente y hacking se unen para apoyarse mutuamente. 
Dos misterios en uno, una vida llena de huidas, o una quiebra emocional temporal, acompañarán a nuestros protagonistas por la senda de la vida. A veces, hay que mirar hacia nuestro pasado para encontrar ciertas respuestas en nuestro presente. En algunas ocasiones, desde el diván de una psicócolo se puede conquistar el mundo, y no se necesitan exploits para ello, ¿O quizás sí?. Got Root te llevará a una experiencia distinta.
El libro ya está a la venta, y puedes obtenerlo desde mañana mismo, así que es incluso probable que te lo encuentres en la próxima EuskalHack para adquirirlo. Si quieres pasar un verano con buenas lecturas en la playa que te amenicen los días, además de aprender cosas, mi Top 5 del verano es el siguiente:
- Got Root: El Poder de la mente
- Hacker Épico
- Cluster
- Microhistorias: Anécdotas y curiosidades de la historia de la informática
- Wardog y el Mundo
Y que no se diga que no hay diversión con el mundo de la tecnología }:)

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Cómo hacer que el iPhone de tu enemigo viaje en el tiempo {y en el espacio} #GPS #iPhone #Hacking #SDR

June 14, 2016, 10:41 pm
$
0
0
La historia que os voy a contar es un ejemplo de cómo los detalles de seguridad en las tecnologías pueden acabar por tumbar muchas de las conclusiones que damos por ciertas usándolas. En el caso de hoy, voy a hablaros otra vez de algo que muchos ya saben que es inseguro, pero que sin embargo es parte fundamental de nuestras vidas hoy en día, las señales GPS que reciben nuestros dispositivos. De hoy va la historia en la que ha estado trabajando el investigador español JAEP Erratum y que os voy a explicar.

Figura 1: Cómo hacer que el iPhone de tu enemigo viaje en el tiempo {y en el espacio} con GPS Spoofing

Las señales GPS las utilizamos en todos los servicios de navegación que llevan nuestros dispositivos, desde los servicios como Waze, Google Maps, Apple Maps o TomTom, hasta los detectores de radares de velocidad que se venden y van en cualquier lugar del coche para avisar al conductor de un posible control oculto en la carretera. Pero no solo eso, se utilizan en servicios de las redes sociales, en publicidad dirigida, en el mundo de los juegos, etc...

Ataques SDR-RTL

Esta señal GPS, como hemos visto muchas veces, se puede falsificar fácilmente en el terminal por el dueño del mismo, por lo que algunos servicios podrían ser abusados. Este fue el ejemplo del caso de Tinder, lo que permite a una persona localizar a otra en cualquier lugar del mundo, ligar con todo un país o perseguir a una víctima con una especie de drone de vigilancia. También, manipulando la señal en el terminal podría afectar a la validez legal de los de certificación digital de fotografías tomadas en una ubicación, como en el caso de Stamphoto, pero esto, como vamos a ver, también se puede hacer remotamente con un ataque de SDR-RTL.


Figura 2: Configurar ataque SDR-RTL para localizar satélites

Las tecnologías de SDR (Software Defined Radio) permiten a un atacante emitir y escuchar señales en frecuencias del espectro utilizadas por diferentes tecnologías que dan soporte a comunicaciones de toda índole y son una pieza clave en el Hacking de Comunicaciones Móviles. Como ya vimos, un ejemplo sencillo es utilizar un sistema SDR-RTL para poder escuchar las conversaciones GSM y hasta poder capturar los mensajes SMS que se envían por la red. Esto, podría ser utilizado para robar cuentas de de servicios de Internet protegidas por mensajes SMS si el atacante está cerca de la antena por la que la víctima va a recibir la comunicación.

Ataques GPS Spoofing con SDR

También se pueden atacar otro tipo de señales, como las del mundo IoT - de las que podremos hablar largo y tendido en otros artículos, pero hoy, como os podéis imaginar por el cariz que lleva la historia, las señales de las que hay que hablar son las de GPS, que no están cifradas ni protegidas. Esto permite que cualquier atacante que esté cerca tuya pueda inyectarte una señal falsa GPS en el terminal, mandando tu dispositivo GPS a cualquier ubicación del mundo y, lo que es peor, a cualquier fecha.

Figura 3: Ataques de GPS Spoofing con Open Source Projects

Esto es porque la señal GPS también se utiliza en muchos terminales para configurar la fecha y la hora - como por ejemplo los dispositivos iOS -. En esta conferencia impartida en DefCON 23 podéis ver todos los ataques SDR contra GPS que se pueden realizar. 36 minutos de learn&fun.


Figura 4: Ataques GPS Spoofing

Manipular la fecha y la hora vía GPS de un terminal iPhone puede hacer que todas las apps que tenga un sistema empiecen a fallar, dejen de funcionar, o comprometan a una persona a la que un atacante puede situar en un lugar y una fecha concreta ante los ojos de un analista forense que tire de herramientas para analizar los datos de un terminal.

Ataques GPS Spoofing con SDR a iPhone

En este vídeo hecho por JAEP Erratum se puede ver cómo remotamente, un atacante puede enviar señales falsas GPS a una víctima con su iPhone - utilizando la herramienta sdr-gps-sim y tenerla paseando por Barcelona, París o cualquier lugar del mundo.



Figura 5: Demo de ataque GPS Spoofing a iPhone con SDR

Por supuesto, este ataque afectaría a cualquier servicio de certificación de ubicaciones GPS, o a los sistemas sociales - podrías tener a tu amigo adicto Tinder toda una noche buscando pareja con chicas del otro lado del mundo -, o en el caso de iOS 5 la señal GPS también se podía cambiar desde las señales 2G/Edge/GPRS, y esto producía un efecto muy curioso en iPad e iPhone, ya que se engañaba al sistema y te permitía acceder a las fotografías sin desbloquear la pantalla del terminal.

¿Te imaginas que alguien desde un puente de una autopista justo antes de una salida se pusiera a enviar señales GPS que situaran a los coches desplazados 300 metros? Podríamos estar hablando de la generación de un problema serio, ya que todos los conductores podrían sufrir una distracción de alto peligro. Pero es que se puede hacer que el terminal iPhone deje de funcionar con todas su apps. Por ejemplo, en este otro vídeo de JAEP Erratum se puede ver cómo enviar a cualquier iPhone al futuro. En concreto, al 16 de Agosto del año 2029, justo al lado del Santiago Bernabéu en la bella ciudad de Madrid - supongo que para ver algún partido del Real Madrid -.


Figura 6: Demo (D.o.S.) de cambio de fecha y ubicación GPS a iPhone

Dicho esto, ya hay muchas iniciativas para cambiar los sistemas GPS por sistemas más robustos en los que los terminales clientes validen a los emisores de la señal GPS, y hay medidas de contención para detectar señales falsas en los sistemas operativos de los smartphones, pero la realidad es que como se puede ver, a día de hoy las cosas están como están.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Ranger: Atacar con Python a máquinas Windows #pentest

June 15, 2016, 10:16 pm
$
0
0
Hace unas semanas estuve viendo una herramienta denominada Ranger, la cual estaba escrita en Python y me quedé sorprendido del potencial que ofrecía. Ranger es una herramienta que permite acceder e interactuar con sistemas remotos basados en Microsoft Windows. Según se indica en el manifiesto de su sitio web el proyecto conceptualmente fue el de no reinventar la rueda, si no hacerlo más eficiente. A la par que sus autores intentaban realizar acciones de forma eficiente, se conseguía centralizar diferentes herramientas y funcionalidades en una, tal y como se verá más adelante.

Figura 1: Ranger, atacar con Python a máquinas Windows

Ranger es una herramienta de línea de comandos utilizada en test de intrusión, generalmente. Con ella podemos realizar diferentes ataques contra sistemas Windows. Por ejemplo, de un usuario del que se conoce el hash o un conjunto de hashes, podrían ser utilizados con el objetivo de ganar y obtener acceso al sistema. Este tipo de ataques lo hemos visto con Powershell Empire en un par de artículos como fueron: Powershell Empire: Post Explotación++ y Powershell Empire: El imperio contraataca.

Ranger: Funcionalidades

Con Ranger podemos lograr realizar un gran número de cosas muy útiles en un escenario de Ethical Hacking, sobre todo cuando nos bloquean el uso de ciertas herramientas. A continuación se enumeran algunas de las acciones que más pueden llamar la atención de un pentester:
- Extraer credenciales en texto plano fuera del ámbito de la memoria de un sistema.
- Acceder al contenido de la SAM.
- Ejecutar comandos de forma remota.
- Ejecutar scripts de Powershell o binarios de Windows.
- Bypassear la mayoría de soluciones IPS que podemos encontrar, lo cual, solo por este hecho, merece la pena probarla.
La herramienta está relacionada con los repositorios de PowerView, Powershell Mimikatz & Impacket Teams. Ahora vamos a ver cómo es de fácil realizar la instalación de la herramienta. Simplemente hay que utilizar un git clone del repositorio y ejecutar python ranger.py –update para actualizar la herramienta a la última versión. Ranger utiliza dos elementos fundamentales para entender su estructura. Por un lado, nos encontramos con el método y por otro el ataque. Un método es una vía, protocolo o forma de realizar una acción. El ataque implementa la acción que se quiere llevar a cabo, por ejemplo la ejecución de un comando en la máquina remota a través de un método (o vía).

Hay un par de métodos que, además, son ataques. Estos son: scout y secrets-dump. Scout permite identificar usuarios que han iniciado sesión en la máquina remota. Por otro lado secrets-dump nos permite extraer los hashes almacenados en la SAM, enumera usuarios del sistema y almacena en el fichero credential_matrix las credenciales obtenidas, en la mayoría de los casos hashes. Existen cuatro métodos que se enumeran a continuación, y que son realmente conocidos por los pentesters:
- Wmiexec: Se utiliza el protocolo de instrumentación WMI para ejecutar comandos de forma remota. 
- Psexec: Un clásico para ejecutar procesos remotos bajo autenticación SMB. 
- Smbexec: Permite ejecutar procesos y órdenes a través del protocolo SMB. 
- Atexec: Permite ejecutar un ataque o comando a través de la herramienta atexec.
Hay una gran cantidad de ataques que pueden ser utilizados con Ranger a través de los métodos. Los ataques, según los creados de la herramienta, se pueden dividir en invocadores, ejecutores y descargadores. A continuación se enumeran los diferentes ataques que se pueden llevar a cabo:
- Invoker: Ejecuta el script de Mimikatz para Powershell sobre la máquina remota. 
- Downloader: Configura el comando para utilizar el módulo de Metasploit exploit/multi/script/web_delivery. 
- Executor: Ejecuta un script de Powershell. 
- Command: Ejecuta un comando que se indique. Por defecto se ejecuta un cmd.exe. Por esta razón, y como se verá más adelante, cuando utilizamos Psexec u otro método, por defecto se obtiene una cmd.exe remota. 
- Domain-group-members: Identifica, a través de Powershell, miembros de un dominio. 
- Local-group-members: Identifica miembros de un grupo local de la máquina.
- Otras funciones basadas en scripts de Powershell que interactúan con el dominio y la máquina Windows con el objetivo de recopilar más información.
PoC: Jugando con los métodos

Una de las primeras pruebas que se pueden hacer es utilizar un método clásico. Uno de los métodos más utilizados históricamente, con casi toda certeza, es el de psexec. Como se puede visualizar en la imagen es fácil conseguir una shell a través del uso de los hashes, previamente obtenidos tras la explotación de una vulnerabilidad o reutilización de hashes de una máquina. Los parámetros base son –u para el usuario, -p para el password o hashLM:hashNT, -d para el dominio o grupo de trabajo y –t para el target. Simplemente, hay que añadir el tipo de método que utilizaremos, en este caso psexec.

Figura 2: Ejecución de psexec desde Ranger

En el siguiente ejemplo se puede ver cómo, simplemente, modificando el método y utilizando smbexec se puede lograr el mismo resultado, es decir, obtener una shell. Hay que recordar que si utilizáramos el parámetro –c o –command podríamos indicar qué orden o instrucción debe ejecutarse por parte de Ranger en la máquina remota.

Figura 3: Ejecución de smbexec desde Ranger

En el siguiente ejemplo utilizamos el método wmiexec para conseguir acceso a la máquina remota con el hash que se puede ver en la imagen.

Figura 4: Ejecución de wmiexec desde Ranger

En este caso, en vez de ejecutar el comando por defecto, se utiliza whoami como instrucción, por lo que la salida es distinta a la que se había obtenido en casos anteriores.

PoC: Jugando con Web Delivery de Metasploit y Ranger

En esta prueba de concepto se propone un escenario dónde el pentester invoque desde Ranger la operación de descarga desde un recurso web, el cual habrá sido creado con Metasploit y el módulo exploit/multi/script/web_delivery. Con este módulo podremos configurar el código que será descargado y ejecutado en la máquina remota.

A continuación explicamos los roles y máquinas que participan en esta pequeña prueba de concepto:
- Pentester con máquina, por ejemplo, Kali Linux en el que está ejecutando la herramienta Ranger. 
- Máquina remota un sistema Windows 7. 
- Segunda máquina, podría estar en el mismo Kali Linux, controlada por el Pentester con un Metasploit configurado con el módulo exploit/multi/script/web_delivery.
En primer lugar, hablaremos de la configuración del módulo exploit/multi/script/web_delivery. Es un módulo de tipo exploit muy sencillo de configurar. Los parámetros básicos a configurar son los siguientes:
- La elección del payload queda de la mano del usuario, aunque para el ejemplo utilizaremos el clásico Meterpreter de tipo inverso tcp. 
- Hay que indicar por cuál interfaz de red estará a la escucha el servicio web_delivery. Esto se realiza a través del atributo SRVHOST, que por defecto tiene por valor 0.0.0.0, es decir, cualquier interfaz por la que se obtenga una petición. 
- El atributo LHOST del payload debe ser la dirección dónde se encuentre el handler de Metasploit configurado para recibir la conexión. A continuación se puede ver un resumen de la configuración. Como se puede ver es realmente sencillo configurarlo.
Figura 5: Configuración de web_delivery en Metasploit

Al ejecutar el comando exploit podremos ver como se configura de manera transparente el handler y, el propio Metasploit, nos indica que había que ejecutar en Python para obtener el payload. Si miramos los Jobs de Metasploit podemos ver cómo se ha generado un servicio a través del módulo web_delivery. Si quisiéramos detener esto deberíamos ejecutar Jobs –K.

Figura 6: Ejecución de exploit

La herramienta Ranger debe ser ejecutada de la siguiente forma: ranger –u [user] –p [password o hash] –d [domain] –t [target] –downloader. El parámetro downloader hace que Ranger se autentique en la máquina remota, ejecute un script codificado en Powershell, tal y como se puede ver en la imagen. Este script lo que realizará es una llamada a nuestra máquina para encontrar el payload a ejecutar.


Figura 7: Ejecución de downloader desde Ranger

Si echamos un ojo a lo que se descarga la máquina remota gracias a la interacción con Ranger y el uso de Powershell, podemos ver que es código Python. Este código ejecutará el payload que hayamos configurado en el módulo web_delivery de Metasploit.

Figura 8: Código descargado

Como veis, Ranger aporta múltiples opciones, métodos y ataques que pueden ser necesarios en un pentest. Además, Ranger incorpora otros ataques interesantes, como por ejemplo la posibilidad de ejecutar un Mimikatz a través de un script de Powershell y obtener las credenciales de los usuarios que han iniciado sesión en la máquina en plano. Sin duda, una herramienta a tener en cuenta y guardarla en nuestra mochila para llevar a cabo un test de intrusión. Si quieres sacarle partido a un pentest en Windows, es importante que conozcas bien las tripas de seguridad de Windows, para que entiendas qué puedes hacer y cómo te pueden bloquear.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell

Un informático en el lado del mal - Google+RSS0xWord
Search

BlackSEO: Así es como los cibercriminales montan su negocio en la Web de otros #BlackSEO #Cibercrimen #SEO

June 16, 2016, 10:21 pm
$
0
0
El mundo del BlackSEO (BlackHat Search Engine Optimization) tiene muchas formas de funcionar. Hace ya mucho tiempo, como siete años o así, colaboré con Chema Alonso en un artículo llamado "Técnicas SEO para gente de moral relajada" en el que reflejábamos algunos de estas, pero hoy os quiero contar una historia nueva, para que veáis cómo han ido evolucionando este negocio que, como todo en el mundo digital, se adapta a las nuevas necesidades día a día, aquí va la aventura.

Figura 1: BlackSEO. Así es como los cibercriminales montan su negocio en la web de otros

Hace poco me encontré un dominio curioso. La mayor parte de los buscadores que suelo usar para las técnicas de Hacking con buscadores que describo en mi libro, haciendo caso a su fichero robots.txt, apenas decían saber nada de él:

Figura 2: Nada de información del dominio scriptds.com en los buscadores

La excepción a esto, sin embargo, era el buscador qrobe.it que había decidido ignorar las recomendaciones de robots.txt.

Figura 3: Resultados en Qrobe.it para este dominio

Una cosa a tener en cuenta cuando usas Qrobe es que éste genera sus respuestas de una forma mucho más dinámica que la de otros buscadores. De modo que a veces, si se recarga la página, se obtienen otras distintas:

Figura 4: Nuevos resultados con solo una recarga de página

Aparecen en los ejemplos tres tipos de resultados. Para empezar, el correspondiente a la página inicial del dominio, de la que no tenemos otra información que la URL. En segundo lugar, hay otros que hacen alusión a fármacos. Y, finalmente, nos encontramos con uno que incluye el texto “kodirovka”.

Análisis inicial del dominio

Por si hay aquí alguien que no sepa ruso, kodirovka es una palabra de ese idioma y significa “codificación”. Si se usa el traductor de Google para saltarnos las barreras del idioma, puede comprobarse que es una herramienta de codificación de cadenas de caracteres para su uso en URLs.

Figura 5: Traducción de la página de kordirovka

Y, dicho sea de pasada como curiosidad, este script no tiene un acabado demasiado profesional. Si se le pide que codifique algo… la página muestra un mensaje de tipo warning que revela detalles sobre la plataforma sobre la que está desplegada.

Figura 6: Mensajes de error con filtrado de información

Un sitio web con páginas sobre medicamentos y un URL encoder. Curioso. Pero más lo es el resultado que obtuve cuando utilicé una herramienta de análisis de SEOCongnitive SEO Explorer, para obtener más información. Tras indicarle el nombre del dominio a estudiar, hacer clic en el correspondiente botón y esperar un poco, apareció un dato curioso.

Figura 7: Resultó ser un dominio con buena influencia

De manera que un dominio del que la inmensa mayoría de los buscadores no muestran más resultados que su página principal (o incluso ni eso) y que contiene lo que contiene es considerado como poseedor de una buena influencia SEO. Esto pasa ya de curioso a interesante.

Dos niveles de gestión del SEO

Cognitive SEO Explorer proporciona un gráfico de distribución de enlaces que nos indica qué páginas aportan enlaces al dominio. En este caso, el diseño del ecosistema montado para promocionar el dominio era claro. Sencillo a la par que elegante:

Figura 8: Gráfico de distribución de enlaces

Como puede observarse, la arquitectura está fuertemente jerarquizada. El nodo central de la imagen se corresponde con el propio dominio. A él se conectan sus páginas, que son quienes le aportan su “influencia SEO”. Éstas a su vez reciben enlaces de otras, pertenecientes a otros dominios.

Figura 9: Segundo nivel

Llama la atención que cada página externa (cada nodo periférico en el gráfico) aporta enlaces a una única página del dominio objeto de estudio. Algo que no siempre ocurre pero que se ve que en esta ocasión parece haber funcionado bastante bien y sobre lo que volveremos más adelante.

Análisis de los enlaces desde el exterior

A continuación del gráfico anterior, Cognitive SEO Explorer muestra una lista de las páginas externas que aportan enlaces al dominio, con indicación del destino de las mismas. El problema es que si no se tiene una suscripción de pago, esta relación tendrá una longitud máxima de 25 elementos. En cualquier caso, hay otras herramientas que pueden rellenar este hueco. Como Linkody BackLink Checker, que proporciona hasta 100 resultados, con sólo un enlace por domino de origen.

Figura 10: Linkody Backlink Checker


O también European Bussiness Connect Backlink Checker, que identifica de forma clara sus orígenes:

Figura 11: BackLink Checker

La información de la tabla mostrada en la imagen podría ser tratada con una hoja de cálculo para analizar ciertos extremos. Como el hecho de que muchos de los sitios que aportan (o aportaron) enlaces al dominio estudiado comparten dirección IP:

Figura 12: Orígenes de los enlaces

Y algunos lo hacen también con el dominio objeto de estudio

Figura 13: Nslookup

¿Es mucho suponer el pensar que todos estos sitios pueden estar relacionados, pertenecer a una misma red? ¿Que en ella cada dominio aporta enlaces a otro para darle relevancia? ¿Que el número de dominios implicados es grande?

Arquitectura multimarca

Si se piensa detenidamente, lo anterior no es tan raro. Algo similar ocurre en otros mercados, como el de los electrodomésticos: Una misma empresa (o un mismo grupo de empresas) ofrece sus productos bajo una serie de distintas marcas. De ese modo tienen más boletos en la lotería de ser elegidos por los consumidores. No es de extrañar, pues, que en el mercado de estas “tiendas” online de fármacos ocurra lo mismo. Para hacernos una idea, se puede partir de una de ellas, elegida al azar.

Figura 14: "Tienda" de medicinas. Fotos al estilo de los "Doctores del Viagra"

En la parte superior de la página, justo al lado del mensaje en el que te invita a revisar a tu prima (cada cual sabrá lo que hace) aparecen los teléfonos de contacto. Aunque tiene pinta de texto, en realidad se trata de una imagen. Una vez determinada su URL se puede usar como criterio en la búsqueda de imágenes de Google. Se hace clic sobre el icono de la cámara que aparece en el campo de consulta, se introduce la dirección:

Figura 15: Buscando por imagen en Google
Y obtenemos un total de...

Figura 16: Tiendas que utilizan el mismo número e contacto

Google dice que tiene 1.500 resultados. Claro que no va a darnos tantos. Y que algunos de ellos se referirán a otras imágenes parecidas. Y que es seguro que muchos dominios aparecerán repetidos varias veces. Pero aún eliminando estas contingencias, 1.500 siguen siendo muchos resultados.

Análisis de las salidas del dominio

Otro aspecto interesante de las herramientas SEO utilizadas anteriormente, es que aportan una lista de páginas del dominio objeto de estudio. Algo que los buscadores no nos proporcionaban.

Figura 17: Páginas del dominio

Todas ellas tienen un comportamiento similar. No tienen contenido propio sino que redirigen con código HTTP 301 (movido permanentemente) a páginas pertenecientes a otros dominios que parecen dedicarse a la venta de medicamentos.

Figura 18: Redirigido a una tienda

Se encontraron hasta cinco dominios distintos de destino, uno de los cuales ya no existe

Figura 19: Dominios de salida

Dos de ellos indican claramente en sus páginas que son sitios afiliados

Figura 20: Afiliados (texto sacado de dos páginas distintas)

O sea, declaran que no tienen en realidad una farmacia propia sino que se dedican a vender los productos de otras farmacias. Se supone que a cambio de una comisión u otra contraprestación. Ocurre como con los enlaces de entrada: aquí encontramos de nuevo un modelo de dos niveles con las tiendas reales y sus afiliados

Apariencia de ¿legalidad?

Las cosas mostradas hasta aquí pueden resultar llamativas e incluso sospechosas pero poco más. Un dominio que recibe enlaces, sobre todo, de una serie de dominios externos que parecen formar parte de la misma red. Y cuyas páginas redirigen a pretendidas farmacias online.

Salvo que las farmacias operen al margen de la ley, todo parece... legal. En cuanto a si es legítimo o no, eso es algo que siempre se podrá discutir. La balanza puede comenzar a inclinarse hacia el “no” cuando, analizando los enlaces entrantes al dominio, nos encontramos con páginas creadas en sitios de hosting gratuitos exclusivamente para tal fin:

Figura 21: Páginas en sitios de hosting gratuitos

Pero, sobre todo, se decide cuando se encuentra un caso de sitio web de un ayuntamiento al que se le han añadido contenidos de forma no autorizada:

Figura 22: Sitio web vulnerado

En todo caso, éste es el único de los enlaces encontrados que parece tener un origen ilegal. Es extraño que alguien dispuesto a realizar este tipo de actividades lo haga una única vez. Que no repita. Si hasta hay ya mercado fuera de rincones oscuros de la red para vender y comprar estos servidores vulnerados.

Los donantes del PageRank

Y es que en realidad sí lo hizo. Sólo que eligió otro escenario para su actuación. Como se recordará, el dominio que estamos analizando era sólo un primer nivel en una arquitectura de dos capas. En la segunda se encontraban los dominios externos que le aportaban enlaces (y relevancia SEO).

La mayor parte de éstos tienen un modelo de comportamiento común. Presentan una única página compuesta por una única imagen que llena toda la ventana del navegador y que es en realidad un hiperenlace. No es de extrañar pues que, como se vio anteriormente, sólo puedan aportar un enlace al dominio estudiado.

Para la organización o persona que los gestiona, estos dominios de segundo nivel parecen ser los peones de una partida de ajedrez. Para empezar porque da la impresión de que no se han molestado demasiado en darles un contenido que al menos tenga buena apariencia. Por ejemplo, muchos de ellos usan la misma imagen y el nombre de la tienda que aparece en el pie de página no se corresponde con su nombre.

Figura 23: Discordancia

Y también porque así lo insinúa un análisis de sus características SEO. Lo primero que llama es la estructura de los enlaces:

Figura 24: Estrella de la arquitectura de BlackSEO montada. ¿No es bonita?

Un único nivel en estrella. Una obra de arte de ingeniería de BlackSEO. Y esta vez los orígenes de los enlaces son en ocasiones bastante sospechosos: sitios que Google cataloga como posiblemente vulnerados o maliciosos, páginas con contenidos extraños, posiblemente añadidos de forma ilegítima, en dominios que no tienen ninguna relación con los fármacos, etcétera.

Figura 25: El lado oscuro

Bien pensado, tiene su lógica. Una vez un dominio tiene cierto peso en los buscadores, su valor económico comienza a ser relevante y útil para el SEO. Seguro que su propietario no querría perderlo. De modo que, para no echarlo a perder con problemas con Google y otros buscadores, ni con la ley, mejor que los enlaces que reciba y su apariencia sean lo más limpios posibles.

Sin embargo, un dominio creado recientemente aún tiene poco valor. Puede ser él el que reciba los enlaces ilegítimos y/o ilegales y si esto ocasiona problemas… se elimina y ¡listo!. Eso sí, mientras su suerte no se haya decidido, mientras no se sepa si está destinado a desaparecer o a mayores glorias, puede ir aportando enlaces a los dominios estrella de la casa.

Y, quién sabe, quizá con el tiempo él se convierta también en uno de ellos y haya que hacerle un lavado de cara y adecentarlo un poco.

Autor: Enrique Rando, escritor del libro "Hacking con Buscadores"

Un informático en el lado del mal - Google+RSS0xWord

MetaShield para Exchange y Outlook Online en Office 365 @elevenpaths #Metadatos #Office365 #Exchange

June 17, 2016, 11:52 pm
$
0
0
Parece que no ha pasado el tiempo desde que empecé a jugar con los metadatos en documentos Microsoft Office y los metadatos en documentos Open Office. De aquellos juegos surgió la idea de comenzar a desarrollar FOCA, que culminó en la publicación del Whitepaper titulado "Disclosing Private information from metadata, hidden info and lost data" que publicamos para la edición de BlackHat Europa 2009, de hace ya siete años. Todos aquellos trabajos culminaron en una herramienta de protección llamada MetaShield Protector, que era útil para evitar fugas de información en la empresa y cumplir la legislación, por ejemplo el Esquema Nacional de Seguridad, y que incluso llegó a recibir un premio a la innovación.

Figura 1: Metashield Protector para Exchange y para Outlook 365

De aquellos inicios sacamos una versión del motor que aplicamos solo a los servidores web IIS de Microsoft, pero los problemas con los metadatos en los documentos son tantos que al final sacamos una versión para analistas forenses.


Figura 2: Demostración del funcionamiento de MetaShield Forensics

Con el comienzo del proyecto de Eleven Paths, hicimos un ejercicio de re-ingeniería del producto, dividimos la arquitectura del sistema en engines y puntos de limpieza, para acabar sacando versiones de MetaShield Protector 3.0 para servidores de ficheros, para SharePoint, para sistemas Windows de escritorio, una versión para Microsoft Outlook en versión cliente pesado y una versión online para que todo el mundo pueda analizar metadatos desde la web "MetaShield Analyzer".

Figura 3: Consola de administración de MetaShield Protector 3.0

Después, avanzamos en la evolución del producto sacando una Consola de administración centralizada, un engine en versión stand alone y una versión para ICAP que se puede integrar con cualquier Web Application Firewall, tal y como mostró mi compañero Tony Bordón en esta presentación en el pasado Security Day 2016_.


Figura 4: Demostración de MetaShield Protector for ICAP integrada con FortiWeb

En el mundo del correo electrónico, las últimas versiones que hemos presentado son: Microsoft Protector para Microsoft Exchange Server, permitiendo que para el usuario sea totalmente transparente esta limpieza de metadatos e información oculta en los documentos que envía, lo que permite que no importe qué cliente de correo o sistema operativo esté utilizando el usuario.

Figura 5: MetaShield Protector for Exchange Server. Se eligen los usuarios a proteger y listo.

En segundo lugar hemos presentado el cliente de MetaShield Protector para Office 365 integrado directamente en Outlook Online, lo que hace que desde cualquier navegador de Internet se pueda tener la limpieza de metadatos con MetaShield Protector, incluso un iPad o un iPhone.


Figura 6: Demostración de funcionamiento de MetaShield Protector para Outlook Online en Office 365

Ahora la familia de MetaShield Protector ha crecido mucho, y se pueden evitar las fugas de datos de las empresas de forma sencilla controlando todos los puntos de fuga de los sistemas de manera centralizada.

Figura: Familia de productos de MetaShield Protector

Aún así, para los sistemas Apache, Web Clean-Up y OS X estamos desarrollando un módulo especial que tendremos en el futuro, así que es posible que próximamente vuelva a hablar de este proyecto de investigación personal que surgió de un trabajo en un blog por aquí.

Saludos Malignos!

Un informático en el lado del mal - Google+RSS0xWord

Vigila la publicación de tus datos personales o sufre un APT de SMShingo Spear Phishing: Ejemplo con Hacienda

June 19, 2016, 12:43 am
$
0
0
El pasado 7 de abril salió publicada la noticia relacionada con un fallo de la web de la Agencia Tributaria. Al solicitar desde la web de la Agencia Tributaria el borrador fiscal para realizar la declaración de la renta, era posible acceder al borrador fiscal de otros ciudadanos. De esta forma se estaba vulnerando la confidencialidad de los datos fiscales que fija la Ley General Tributaria por un error en el sistema. Cuando leí esta noticia, recordé también que el año pasado, esta misma web había sido utilizada como imagen de una campaña de Ransomware para infectar a los usuarios mediante un ataque de Spam Phishing.

Figura 1: Vigila la publicación de tus datos personales o sufre un APT
de SMShing o Spear Phishing: Ejemplo con Hacienda

Debido a estas dos noticias decidí echar un vistazo a la web de la Agencia Tributaria que posibilita la petición de Cita Previa, para ver qué medidas de seguridad tiene el sistema ante una posible evolución de estos ataques si alguien hubiera querido unir los dos conceptos en uno, es decir, ver el borrador fiscal de un ciudadano con un ataque dirigido de Spear Phishing o SMShing.

Fas 1: Footprinting

Para gestionar la petición de cita previa, la web de la Agencia Tributariaúnicamente solicita un número de DNIe correcto y el primer apellido vinculado a ese DNI.

Figura 2: Acceso al sistema de la Agencia Tributaria

Haciendo un poco de Hacking con Buscadores, es muy fácil obtener un DNI válido y el primer apellido de una persona ya que son datos que no están demasiado protegidos hoy en día. Bastaría con buscar, por ejemplo, calificaciones de alumnos dentro de las universidades españolas, exámenes de oposiciones, currículos, etcétera. En este ejemplo, es posible localizar notas en servidores web que tienen la posibilidad de realizar un directory listing bajo el patrón “index of” en el caso de Apache.

Figura 3: Listado de notas con campo indexado en Google

Una vez que tenemos un DNI válido, lo siguiente es buscar el nombre y apellidos de esa persona. Hoy en día resulta una tarea muy sencilla debido a la cantidad de información que hay en Internet. En el caso de las notas, a pesar de que en la aventura del "misterio criptográfico en la universidad" pudo parecer que se utilizaba algún tipo de cifrado para proteger los datos, lo cierto es que la información está en los listados. Seleccionado un DNI, es fácil localizar el primer apellido.

Figura 4: Documentos con información de DNI y apellidos.
En este caso listado de funcionarios de la administración pública española.

Probamos ahora si el DNI encontrado y el apellido son datos válidos para poder acceder al sistema de petición de cita de la Agencia Tributaria. Hacer esto, puede ser aún más fácil si se conoce de antemano la víctima, es decir, si lo que se quiere es acceder a la documentación de una persona concreta, como el directivo de una empresa, un familiar, o un en/amigo.

Figura 5: Acceso válido e información del segundo apellido.

Una vez dentro, tenemos una primera filtración de información, ya que es posible acceder al segundo apellido en caso de que no fuera público. Ahora al solicitar la petición de una cita previa en una oficina de la Agencia Tributaria que preste el servicio en su domicilio fiscal, el sistema ofrece la dirección de una delegación de Hacienda cercana. Puede ocurrir que coincida con la ciudad donde el usuario tenga fijada su residencia.

Figura 6: Información de la oficina de Hacienda recomendada
Y es más, con la información anterior buscando en Internet, redes sociales, etcétera, es posible obtener información como la de un número de teléfono. Información que muchas veces las personas comparten demasiado a la ligera. Con estos datos, un atacante podría realizar ya un ataque dirigido.

Por último, tras realizar la reserva de cita previa con el sistema de la Agencia Tributaria, este sistema ofrece la posibilidad de enviar la información de la reserva mediante un mensaje SMS o a través del correo electrónico.

Figura 7: Envío de SMS o e-mail de comunicación

Fase 2: Spear Phising & SMShing

Con toda esta información recogida ya podría plantearse un APT (Advanced Persistent Threat) mediante un esquema de SMShing & Spear Phising a una víctima. Para realizar el ataque de Spear Phishing primero es necesario obtener el formato de correo electrónico enviado por el sistema de la Agencia Tributaria. Podemos poner cualquier dirección de correo electrónico a la que enviar la información de la reserva realizada ya que el sistema no verifica si el correo electrónico pertenece o no al usuario que ha accedido para la petición de cita previa.

Figura 8: Correo utilizado por Hacienda

Después ya se puede enviar un correo electrónico falso a la víctima con el formato del correo electrónico obtenido en el paso anterior donde, por ejemplo, le solicitemos unos datos personales o mandemos un enlace con URL acortada para la descarga de algún tipo de malware, por ejemplo un ransonware, como ya se hizo en el pasado.

Figura 9: Correo spoofeado con el dominio oficial

El servidor de nombres utilizado por la Agencia Tributaria no tiene habilitado el filtro SPF (Sender Policy Framework) ni el mecanismo DKIM (DomainKeys Identified Mail) para evitar la suplantación de remitentes, lo que posibilita que se envíe con facilidad un mensaje de correo electrónico bajo el nombre de dominio agenciatributaria.gob.es abriendo la puerta a los ataques de Spam Phising y Spear Phishing.

Figura 10: El dominio no cuenta con registro SPF en el servidor DNS

Por último, se podría plantear también el envío del ataque por SMS con un esquema de SMShing ya que el sistema de petición de cita previa de la Agencia Tributaria no valida si el teléfono introducido para el envío de la información de la reserva pertenece o no al usuario correspondiente. Basta con introducir un número de teléfono válido para que el sistema envíe el SMS con la confirmación de la reserva de la cita.

Figura 11: SMS oficial enviado por el sistema

Reflexiones finales

Aunque la publicación de datos personales en Internet requiere el previo consentimiento de los titulares de los datos de esa publicación, tal vez las administraciones públicas tendrían que utilizar otros mecanismos para la identificación de personas en Internet que no fuese su número de DNI y primer apellido. Además de no ponérselo demasiado difícil a los malos, con este esquema tal vez sería posible realizar un ataque de denegación de servicio (D.o.S.) al sistema de reserva de citas para un día en una ciudad. Basta con tener tantos datos como horas disponibles para ese día.

Figura 12: Horas disponibles para reservar una cita

No obstante, es cierto que muchas organizaciones han premiado la usabilidad del sistema y la comodidad en contra de relajar las medidas de seguridad en el perímetro - la autenticación - pero incrementando los controles en la detección del abuso. Esto quiere decir que aunque algunas medidas de seguridad no se vean en el acceso, puede que en cuanto se realice un ataque masivo o automatizado el sistema detecte ese comportamiento y lo ataque. Es decir, se invierte más en la detección y la respuesta para hacer que la prevención de los ataques no penalice la usabilidad del sistema.

Figura 13: Aviso de la disponibilidad de acceso al sistema de petición de cita previa

Por último, hay que destacar que tu información personal se utiliza para representarte a ti, así que es conveniente que periódicamente revises que datos tuyos personales se encuentran disponibles en Internet para que ejerciendo tu derecho la privacidad y el cumplimiento de la LOPD en las empresas, puedas solicitar que los eliminen.

Autor: Amador Aparicio de la Fuente (@amadapa)
Escritor del libro "Hacking Web Technologies"

Nota del Autor: Para hacer este post no se ha hecho ningún ataque, solo se ha mirado información pública y se ha hecho acceso a la web de Hacienda con una cuenta autorizada. Es un artículo para concienciar a los usuarios de sus posibles riesgos y no para alentar en ningún caso a cometer un delito. Si alguien accede de forma ilegal, deberá atenerse a las consecuencias de suplantar a una identidad en un sistema oficial.

Sigue Un informático en el lado del mal - Google+RSS0xWord

Sweet11Paths: Chema Alonso y la fábrica de caramelos

June 19, 2016, 9:23 pm
$
0
0
La verdad es que con la cantidad de cosas que salen día a día de Eleven Paths, a veces me siento casi como si fuera un Willy Wonka cualquiera. Todas las semanas hay varias novedades, que descubro vía la newsletter CyberSecurity Pulse, la nueva sección con informes de investigación CyberSecurity Avatar, los informes de incidentes de seguridad CyberSecurity Shot o los CyberSecurity Reports en los que se publican informes de actualidad del mundo de la seguridad. Pero también salen nuevas PoC vía el laboratorio, como el último WordPress in Paranoid Mode, novedades desde el área de producto - que os conté en el resumen del Security Day 2016_ o esta última, que ha salido de parte del equipo de CSAs después de estar jugando con la Seguridad Criptográfica en el mundo IoT.

Figura 1: Sweet11Paths. Chema Alonso y la fábrica de caramelos

Este juguete se llama Sweet11Paths, y no es nada más que la integración de un buen conjunto de tecnologías con el objetivo de hacer un hack muy dulce. En definitiva es una máquina de caramelos que se ha convertido en un dispositivo IoT conectado a Internet vía WiFi y usando un chip criptográfico para garantizar la robustez de la comunicación con el servidor. En la serie de artículos de Seguridad Criptográfica en el mundo IoT se explica en detalle este trabajo.

Figura 2: Conexión al mundo IoT de la máquina de caramelos

Esta máquina de caramelos solo entrega su nectar si has sido autenticado previamente en una tablet, pero para hacer la vida más sencilla al usuario, el sistema de autenticación se basa en el reconocimiento de la firma manuscrita de cada usuario. Es decir, por medio de SealSign se valida a los usuarios a través de su firma manuscrita en una tableta, tal y como podéis comprobar en este vídeo en el que yo estoy probando el juguete.


Figura 3: Probando la máquina de caramelos en Eleven Paths

La idea del proyecto es usar la firma manuscrita NO para firmar documentos, sino como forma de reconocer a los usuarios que están frente a un sistema, lo que ayuda a evitar las contraseñas y hacer la vida más sencilla a todos los empleados.


Figura 4: Eleven Paths Talks [12] SealSign y el mundo IoT

En la sesión de las Eleven Paths Talks de esta semana, el constructor de este juguete, nuestro CSAJorge Rivera, explicó en detalle cómo funciona esta plataforma de forma completa. En la Figura 4 tenéis el vídeo de la sesión, y recordad que este jueves tenéis otra nueva charla dedicada al mundo de la identidad y las contraseñas, para extender este debate.


Figura 5: Hucha protegida por Latch y Biometría de SmartID

Al final, de igual forma que aplicamos al mundo IoT la tecnología Latch a un cerrojo, o a una hucha, en este caso se ha unido SealSign a una máquina de caramelos como sistema de autenticación. Esto, no es nada más que una funcionalidad.


Figura 6: El Rey Felipe VI intentando saltar la validación de SealSign

En la administración española usan un sistema similar para autenticar a los usuarios mediante su firma manuscrita con el objeto de firmar documentos con su certificado digital almacenado en un HSM, tal y como se cuenta en esta charla.


Figura 7: Autenticación de usuarios con firma manuscrita y firma digital con certificados

Si quieres venir a comerte unos caramelos y probar este juguete, ponte en contacto con nosotros y te damos un paseo por la fábrica de caramelos, y si quieres aprender cómo hacer esto en tus proyectos, no dudes en contactar con nosotros vía la Comunidad de Eleven Paths, donde podrás contactar con todos los CSA y los ingenieros de Eleven Paths.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Esconder datos en pista oculta de un CD Audio HTOA con esteganografía y cifrado al estilo Mr. Robot #MrRobot

June 20, 2016, 9:28 pm
$
0
0
El CD o disco compacto es un formato de medios que lleva usándose más de 30 años. Su éxito puede deberse al uso para el audio digital, llegando a ser un estándar para los grupos musicales aunque poco a poco vaya desapareciendo por sistemas de streaming de música por Internet. Sin embargo, con el fin de llamar la atención de los fans, algunos CD Audio han tenido portadas de diferente material a la del plástico como el cartón u otro tipo de filigranas y respecto al interior, a veces nos encontrábamos con contenido extra como las pistas “Bonus Track”, aquellas canciones de más, que solían venir en ciertas tiradas o si bien estaban dentro del CD, no aparecían en la setlist.

Figura 1: Esconder datos en pista oculta de un CD Audio HTOA con esteganografía y cifrado al estilo Mr. Robot

Algunas eran fáciles de encontrar, pues estaban al final siguiendo la última canción, otras residían también al continuación pero con la diferencia de haber un tiempo prolongado de silencio hasta llegar a ella, haciendo impacientar o curiosear al oyente. Entre la cantidad de trucos que se han utilizado para ocultar estas canciones nos centraremos en la pista oculta, conocida también como pista fantasma o secreta. Este lugar para ocultar canciones “Bonus Track” se hace llamar HTOA (Hidden Track One Audio) y también lo podemos utilizar para guardar datos ocultos a los ojos menos especializados.

Estructura de un CD Audio y mi primera pista HTOA

Este tipo de pista viola las especificaciones del “libro rojo” porque se aprovecha del silencio de la primera Pregap. La función del pregap (o marca) no es más ni menos que la de separar las pistas entre sí, ya sea de 0 segundos (sin silencio, haciendo unión entre canciones como en grabaciones de conciertos en directo) o insertando silencio para diferenciar una canción de otra. HTOA es el tipo de pista que solo la encontraremos antes de la pista 1, es decir, puesta en orden alfabético quedaría como la “pista 0”.

Figura 2: Estructura del CD Audio con una HTOA

En mi caso, la verdad es que lo descubrí de pura casualidad. Solía escuchar música mientras me duchaba en un viejo reproductor de CD. La primera pista me solía gustar bastante así que para volver a hacer sonar dicho principio pulsaba el botón de rebobinar un toque. Ese día mantuve unos instantes de más el botón recorriendo así la pista hacia atrás manualmente y apareció un peculiar sonido. ¿Pero qué demonios?, ¿qué está ocurriendo aquí?

La HTOA que escuché fue de Rammstein, del álbum Reise Reise, donde el fragmento de la grabación proviene de la caja negra de un avión, concretamente del vuelo JAL 123. Podéis encontrar una lista de discos que contienen este tipo de pista, quizá tengáis alguno en casa y hasta ahora no os habíais dado cuenta ;).


Figura 3: El álbum Reise Reise de Rammstein que contiene una HTOA

Después de esto me pregunté: ¿Puedo yo insertar una pista oculta en un CD grabable?¿Puedo “Hackear” esto con herramientas (¡Y si es software libre mejor!) disponibles para el público? Pues sí, sí se puede. Y para muestra decidí plasmarlo en un vídeo bajo mi "English" con el fin de ser algo tipo "chuleta multimedia".  Vamos a verlo paso a paso en este artículo.

Empleando Esteganografía en la HTOA 

Tras leer el artículo, Esteganografía con ficheros de audio: Enviar documentos secretos en tus canciones preferidas y más tarde, ¿Tienes un oído fino? Cifrado y esteganografía de datos en ficheros de audio y un test de estegonanálisis con tu oreja me hice una nueva pregunta: ¿Puedo ocultar datos en una HTOA usando esteganografía y criptografía? Sí, se puede, y con algo más de estilo que el del mismísimo Sr. Elliot de la serie Mr. Robot, usando el mismo software DeepSound pero añadiendo un factor más de dificultad y seguridad.  

Es por tanto la hora de ponerse manos a la obra, las herramientas que he utilizado para hacer la PoC (Prueba de Concepto) han sido las siguientes:
Audacity: Unión de la pista 0 + pista 1.
DeepSound: Insertando los datos secretos en la pista 0 + pista 1.
ImgBurn: Grabación de la HTOA.
EAC Exact Audio Copy: Para extraer la pista 0 + pista 1 para su descifrado con DeepSound.
P.D.: Todas estas herramientas son gratuitas, pero podéis escoger cualquiera que os haga sentir más cómodos.

Fase 1: Uniendo pistas con Audacity 

Necesitamos realizarlo en un solo fichero de audio en formato WAV. La pista oculta y lo que va a ser la primera pista (pista 0 + pista 1), no pueden ser dos ficheros por separado porque de ser así no podemos emular el Pregap. Luego le indicaremos donde queremos que empiece la primera pista manipulando su “hoja de ruta”, la CUE sheet (puedes obviar este paso y convertir cualquier pista en oculta, o sea partir la pista 1 en dos sin usar software de edición de audio, ya que esto se realiza manipulando los índices de la CUE sheet). 

En un primer momento pensé en ocultar los datos solo en la pista 0, pero al empalmarla con la pista 1 en Audacity y exportarlo, se perdía el formato (no el audible pero sí a nivel de estructura de onda imagino) y DeepSound no era capaz de leer la parte esteganográfica… Parecía que el chiringuito se desmontaba. Pensé entonces en un “plan b”, en juntarlas y guardar los datos secretos (y cifrados ) en la pista 0 + pista 1 (HTOA + pista 1) y volví a ver la luz (o volví a escuchar datos…). 

Figura 5: Construcción del fichero de audio con Audacity

Importamos las dos pistas, yo lo he realizado arrastrándolas de una en una, por orden de reproducción. Primero la HTOA o pista 0 y luego la pista 1. Nos dirigimos a la parte gris de la cabecera de la pista 1, cortamos con Ctrl+X, nos movemos hacia el final con >> Forward (o con la tecla Fin de teclado) y pegamos con Ctrl+V. Para saber la duración de la HTOA nos puede ser útil cambiar la escala de tiempo del proyecto seleccionando CDDA (hh:mm:ss + CDDA frames (75 fps)). 

Figura 6: Cambiando la escala de tiempo en Audacity a CDDA

Una vez hecho este trabajo, exportamos el resultado en “File->Export Audio…” a formato WAV y 16-bit para mínima pérdida de calidad. Y ya podemos pasar a la siguiente fase.

Fase 2: Ocultando los Datos en Fichero de Audio 

La decisión de usar DeepSound fue inspirada en la serie de Mr.Robot, aunque él usa la versión 1.6, nosotros somos un poco más chulos y usaremos una superior, la 2.0 (hasta día de hoy la última). Abrimos el fichero de audio unido en “Open carrier Files”. Dependiendo del tamaño podremos insertar más o menos cantidad de info secreta.

Figura 7: Ocultando los datos en el fichero de audio que estará en la pista oculta

Fijaos que si variáis la calidad del audio podréis ganar algunos bytes de más a costa de desmejorar el audio. Añadimos los ficheros a ocultar y ciframos con una bonita password bajo AES 256

Figura 8: Cifrando el contenido con DeepSound

Fase 3: Grabando el audio cifrado en CD Audio

Aquí viene la parte donde se le hace el “Hack” al CD Audio para esconder la pista 0, un lugar de difícil acceso si no tienes el hardware adecuado. 

Figura 9: Reproductor y grabadora CD/DVD capaces de funcionar con HTOA

En la Figura 9 tenéis en la parte de arriba un reproductor de CD Audio capaz de retroceder al HTOA. En la parte inferior tenéis una grabadora externa CD/DVD capaz de extraer HTOA. ¿Con una grabadora de CD/DVD no basta? Sí, pero no. Es necesario que tenga soporte para grabar HTOA.

Figura 10: Porción de base de datos con equipos que soportan HTOA o no

En Internet puede encontrarse alguna base de datos (aunque algo anticuada) de qué modelos lo soportan. Si quieres estar seguro de que tu grabadora es apta para ir a la oscuridad de la pista, aquí hay un test (imagen con CUE) ya preparado para quemar y probar o bien con el software EAC, o con un CD Audio Player (que tampoco no todos son aptos…). 

Usando ImgBurn, nos dirigimos a “Write image file to disc” y hacemos clic en el icono “Create CUE file…”.  Añadimos primeramente el archivo pista 0 (HTOA) + 1 que unimos antes y las que queráis después de esta (aquí se añaden un par más pero no es mandatorio). 

Figura 11: Creación de una CUE Sheet en ImgBurn, mostrando la HTOA + Pista 1

Guardamos la obra y en “Source”, a su apertura, lo editamos mientras lo “medio abrimos”, así pues, al picar en el botón de abrir (para ahorrarnos pasos) podemos editarlo con clic de botón derecho y usar un editor de texto y… empleamos el truco de magia
FILE "C:\DeepSound_Project\IO\0+1.wav" WAVE
REM FILE-DECODED-SIZE 00:52:39
   TRACK 01 AUDIO
     INDEX 00 00:00:00 [Agregamos este índice 0]
     INDEX 01 00:24:35 [Duración de HTOA - Se obtiene con Audacity]
FILE "C:\DeepSound_Project\Track2.wav" WAVE
REM FILE-DECODED-SIZE 00:05:49
   TRACK 02 AUDIO
     INDEX 01 00:00:00
FILE "C:\DeepSound_Project\Track3.wav" WAVE
REM FILE-DECODED-SIZE 00:04:45
   TRACK 03 AUDIO
     INDEX 01 00:00:00
Con ello estamos marcando o creando un Pregap con una duración de más de 2 segundos, ocultando el secreto, en este caso no tanto a nivel sonoro pero sí a nivel de bits. 

Figura 12: Revisando en ImgBurn la HTOA mediante el Index 0

Tatuamos el CD, dejamos los checks de “Verify” y quemamos a la velocidad más baja soportable para mayor compatibilidad. En el proceso de verificación nos servirá de test para saber si nuestra grabadora puede con ello, si no es compatible nos daremos cuenta en seguida, veréis este mensaje: 

Figura 13: Fallo en ImgBurn durante el proceso de verificación cuando la grabadora no soporta HTOA

¡Listo!, ahora veamos cómo podemos sacar los documentos. 

Fase 4: Sacando los secretos a la luz con EAC y DeepSound 

Para extraer la HTOA + pista 1 no nos vale un software de ripeo cualquiera. Uno de los que son capaces de extraerla es EAC (Exact Audio Copy) para coger el rango incluyendo el oculto.  A la apertura de EAC, veremos resaltado en rojo la primera pista, indica que contiene una HTOA.  Para realizar la copia hacemos “Action – Copy Range – Uncompressed…”. 

Figura 14: Copiando el rango de audio con EAC, abarcando HTOA + Pista 1

En “Select Start Position” deslizamos hasta la izquierda del todo, al comienzo del bloque 0 y en “Select End Position” deslizamos a la raya que indica el final de la pista 1 y pulsamos botón “Snap Track” para que nos quede justo en la posición. Nos extraerá el rango íntegro (en el caso de una grabadora no soportada, solo los 2 primeros segundos serán audibles, el resto será silencio). Podemos probar a extraer con DeepSound la pista 1 para verificar cómo ésta es incompleta, incapaz de ver los datos secretos. 

Figura 15: Pista 1 del cda en DeepSound 2.0

Si la grabadora está soportada entonces podremos extraer la pista 1 junto la HTOA y el fichero saldrá correctamente. Probamos ahora con la unión del fichero extraído y si pregunta por un password estaremos de suerte y todo habrá ido correctamente. 

Figura 16: Importando el fichero de Audito HTOA + Pista 1 en DeepSound

Extraemos desocultando los ficheros del CD Audio y listo. Para concluir, aquí tienes resumido todo el proceso en un vídeo a modo rápido: 



Figura 17: Vídeo mostrando todo el proceso 

¡Bonus Track! 

Suelo empezar con algo de tipo teórico, esta vez me he decantado por dejarlo para el final. Quise indagar un poco en las entrañas de los códigos en hexadecimal (sin centrarme en las cabeceras del formato WAVE ), comparando el fichero original de audio y el que crea DeepSound una vez se esconde el fichero en él.

A modo de PoC he insertado un archivo de texto pequeño y sin cifrar en un fragmento de audio con sólo silencio de 1 segundo de duración para hacer un poco de estegoanálisis. A la izquierda tenemos el fichero original, a la derecha el fichero con el txt incrustado.

Figura 18: Comparando los ficheros de Audio, sin y con esteganografía, en hexadecimal

¿Qué es lo primero que destaca a simple vista? Si os fijáis, se cambia solo el segundo dígito del par hexadecimal (usando técnica LSB), haciendo efecto de columnas, “este sí, este no,…” con este método, cada 8 bytes usamos 2, podemos hacer parejas de un par de dígitos hexadecimales, y tenemos: 

44 53 43 46 04 00 44 53 53 46 65 6c 6c 61 64 6f 64 65 6c 6d 61 6c 2e 74 78 74 00 00 00 00 00 00 00 07 00 00 00 00 6d 61 6c 69 67 6e 6f 00 00 00 00 00 44 53 53 46

Que si lo convertimos a string daría algo como (pasando los caracteres no imprimibles a números): 

DSCF40DSSFelladodelmal.txt000000070000maligno00000DSSF 

Mis deducciones sobre estos valores han sido: 

DSCF: Indicador de que “hay algo” aquí… yo interpreto el acrónimo como Deep Sound Content/s File/s seguidamente, un 4 que no sé si es distintivo propio (se repite en otras ocasiones) pero el 0 de después es el byte que indica si está cifrado o no, por la prueba que realicé del mismo fichero en AES 256.

DSSF: Parece que sea el indicador de inicio/fin, deduzco Deep Sound Secret File/s.

Nombre de fichero: observamos el fichero con su extensión, según testeos solo podremos insertar hasta 19 dígitos incluyendo la extensión del archivo (DeepSound lo reduce cubriendo la extensión) sólo quedarían 3 dígitos en este caso.

Lo que prosigue, parece que hay ocho ceros y justo en el medio el número indicando cuantos bytes tiene el fichero, aquí puede verse maligno, 7 letras=7 bytes.

Llegamos al final con unos pocos ceros (aquí tendría que hacer más testeos para aclaración, si es que llego a una conclusión. Probablemente sean flags para opciones extras del programa, ¿alguien se anima?. Y el indicador que indica el final.

Un apunte importante, decir que si hay más ficheros secretos en el audio, irán precedidos de DSSF cerrándolo con su DSSF  - DSCF sólo se encuentra en la cabecera de los datos RAW -, es decir, que si extraemos el rango con EAC, y entre lo que abarcamos, habiendo antes un DSCF, hay un DSSF inicial y final tendremos ese fichero aunque el audio se haya creado para contemplar más. En el caso inverso, si tomamos un rango de bloque más allá del principio, por más que existan ficheros no tendremos éxito, parece que DeepSound necesita encontrar el DSCF antes. 

Reflexiones finales 

Hemos visto una forma más de emplear esteganografía haciendo uso del HTOA. Con ello, no solo DeepSound puede ser empleado como software, ya que cualquier herramienta como las que hemos visto en los artículos citados al principio de este artículo usadas para camuflar información en el sonido es válida para esconder los datos cifrados en la profundidad de la pista 0 de un CD Audio

Como ventajas, aquella persona que se dedique a curiosear, lo va a tener un poco más difícil, pues no solo se le suma la contraseña, sino que además, necesita tener un hardware adecuado para llegar al fondo de la cuestión. En muchos casos, podría incluso llegar a pensar que no hay nada al hacer una importación directamente desde el CD (leyendo en formato cda) con el propio DeepSound, porque necesita otra llave, la HTOA.

 Autor: Gerard Fuguet

Sigue Un informático en el lado del mal - Google+RSS0xWord
Viewing all 4255 articles
Browse latest View live
Search