sábado, julio 21, 2018

Motivación e Inspiración

A veces, cuando voy en un tren, o en un avión en un viaje, me paro a pensar en las cosas que tengo que hacer. Normalmente, las cosas que tengo que hacer son acciones motivadas por las cosas que quiero hacer. Las metas que me he auto-impuesto. Los objetivos que me he marcado conseguir. Los lugares a dónde quiero llegar con un proyecto o una idea. Es algo que llevo haciendo años.

Figura 1: Motivación e Inspiración

Esta forma de hacer las cosas es la misma que llevo haciendo años. Creo que desde que aquel día llegué con las manos ensangrentadas por las esquirlas de ladrillo tosco que se me metían en los guantes cuando trabajé de albañil aquel verano. Cuando regresé aquel día me prometí que mis manos no volverían a estar ensangrentadas para ganarme la vida, ni mi cabeza encerrada en algo que no me permitiera hacer cosas.

Lo peor en aquel trabajo no era el calor, o el miedo a caerse al bajar una rampa de lo que sería en el futuro una escalera entre un cuarto y un quinto piso sin protección más que una cinta de aviso cargando puntales. Lo peor era tener la mente llena de ideas y no poder hacerlas. Lo sentí como una cárcel. La prisión donde metieron mi mente durante un tiempo.

Recuerdo que leía libros a la hora del bocadillo o la hora de la comida. Era mi forma de huir de allí. La forma de que mi mente no estuviera encarcelada en aquella obra de pisos del barrio de Tetuán en Madrid en la que estuve trabajando. 

Con el paso de los años, he tenido muy claro que aquellas gotas de sangre, al igual que los "pitos" (dolor en los dedos por haberte lijado la piel de los dedos al golpear la lija contra un borde) que me salían en las manos de mis veranos de barnizador lijando cercos de puertas, o los dolores en mi espalda por cargar sacos de temple o botes de pintura plástica en mis años de pintor, me dieron una motivación extra para luchar por las cosas que quería hacer.

Pintar un piso, barnizar puertas, o poner paredes de ladrillo tosco no eran los objetivos que me había marcado en mi vida. Quería hacer muchas cosas, y no eran esas.

Hoy han pasado más de veinte años desde aquellos días. Después de esas aventuras en el mundo de la construcción, comencé a dar clases particulares con dieciocho años, y a sacar mis estudios adelante. Daba entre 4 y 8 horas de clases particulares todos los días y luego sacaba mis estudios. Esa fue mi rutina durante los tres años que estuve haciendo mi Ingeniería Técnica de Informática de Sistemas. Y eran tiempos geniales. Duros, intensos, y geniales.

Mis días se llenaban con las horas de clases, las horas de estudio, los ratos leyendo mientras sacaba a mi viejo perrito a la calle y nos sentábamos a disfrutar yo de la lectura y él del aire, y por último, el café con Rodol hablando de sueños. De hackers, de juegos, de tecnología, de programación, de modems, de Internet. Ayudar a los estudiantes que tenía en mis clases, la lectura de libros, los estudios de informática y los cafés con Rodol eran mi motivación para hacer cosas.

Fueron años maravillosos. Con horarios cronometrados al minuto, pero llenos de vida en mi cabeza. La cabeza que estaba libre para hacer cosas. Para crear cosas. Para planear sueños y compartirlos con Rodol. Él tenía los suyos, y compartirlos era motivador. "¿Te imaginas Rodol que un día hacemos...?"

E hicimos. Claro que hicimos. Hicimos muchas cosas. Y hacemos. Aún hacemos muchas cosas. Hicimos Informática 64, 0xWord, ElevenPaths, Aura, Movistar Home, libros, herramientas de hacking, estudios, papers, PoCs, Hacks, trabajamos con amigos, conocimos gente nueva, ampliamos nuestra vida, viajamos por el mundo - cada uno dónde quiso, que a él le gusta la aventura, y a mi por aventura me viene solo "¿habrá churros en el desayuno?".  

Aún recuerdo el juramento que nos hicimos en la cafetería de la flecha, cuando diseñamos el logo de Informática 64 en una servilleta y él me dijo que nunca montaría una empresa, que era una locura. Nos prometimos que nos íbamos a divertir con lo que hiciéramos, y que sería para que en el fondo, pudiéramos tener una vida mejor que la que, por destino, nos había tocado.

Han pasado muchos años, veinte desde aquel juramento de amigos, cuando estábamos pensando en montar nuestra empresa. Hemos hecho muchas cosas juntos y separados. He visto más mundo del que soñaba. He conocido a más gente de la que imaginé. Volví a hacer todo lo que no pude hacer de joven. Acabar mi Ingeniería Superior de Informática, mi Máster y mi Doctorado, pero también sacarme el carné de moto, aprender inglés y transformar la vida de amigos y compañeros. Ira Defcon y BlackHat, hacerme un sitio en lo que me gustaba. Jugar con la tecnología y volver a jugar con ella.

Suelo decir muchas veces, que tengo la sensación de haber acabado varias vidas. La académica, la profesional, la familiar, la de pirata por los mares del sur navegando por el mundo y la de intelectual leído y aburrido. Ha ido a centenares de conciertos, y he volado miles de kilómetros para volver a lomos del Dragón Matías para recoger besos y abrazos pequeñitos.

Y aún, antes de irme a la cama una noche pienso: "¿Qué tengo que hacer mañana?". Y miro mi blog, y miro mi calendario, y anoto las nuevas ideas. Y llego el lunes a la oficina y me siento con Pablo González para repasar alguna nueva, y molesto a Antonio Vila que está desarrollando un sistema de seguridad para una red mundial con un nuevo Hack. Y me siento un minuto con Victor Mundilla para decirle que no me gusta el color de un interfaz y que la idea que me ha pasado nueva de Faast me mola cantidad, y busco a Igor o a Rodol, y les doy un abrazo porque después de veinte años están ahí, cerca de mí. 

Y me levanto un sábado, como hoy, después de haber estado viajando una semana entera, con Jet Lag, pensando en qué voy a postear hoy en mi blog. Con qué os voy a intentar informar, entretener, enseñar, o simplemente qué voy a compartir con vosotros, que estás leyendo este artículo un día más. Algunos lleváis años leyendo ya este blog.

Al final, la motivación y la inspiración la tengo en lo que hago, no lo que he hecho. No se trata de llegar a ningún sitio. Yo ya sé cuál es el final del camino hace mucho tiempo. Se trata de lo que hago cada día. De cómo lo hago. De lo que me permite que mi mente esté libre. Que se cumpla aquel juramento que nos hicimos Rodol y yo. Y vosotros, sois parte de eso. Venir a este blog con regularidad es parte de mi motivación e inspiración para seguir disfrutando de lo que hago. Doy gracias por ello.

Saludos Malignos!

viernes, julio 20, 2018

Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Haciendo uso de consultas basadas en parámetros de búsqueda sencillos, se puede obtener una gran cantidad de información relevante que, en principio, podría ser difícil de recopilar mediante las búsquedas habituales que se suelen hacer en los principales motores de búsqueda (por ejemplo, Google, Bing o Shodan).  Es el arte del Hacking con Buscadores, donde apuntando a los keywords adecuados, puede obtenerse información privada que no ha sido convenientemente protegida en algunos servicios.

Figura 1: Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.

Figura 2: Hacking con Buscadores

Es por ello por lo que es conveniente conocerse los pormenores de los motores de búsqueda - tal y como se cuentan en el libro de Hacking con Buscadores - y conocerse cosas como el truco de la barra en Google o la búsqueda en el índice secundario, o el funcionamiento de los modificadores de cada uno de los motores como Bing.  Son muchos los artículos en los que se ha hablado de esto en este blog, y puedes leer algunos artículos publicados con anterioridad:
Hacking con buscadores en los repositorios Open Source 
10 motivos por los que debes pensar en hacer Bing Hacking 
Sacándole más partido a BING Hacking con Contains 
Cómo las invitaciones a grupos de WhatsApp filtradas en Internet afectan a tu Privacidad 
Hundir la flota por computador: Fallos de seguridad en miles de barcos navegando por el mundo.
Google Hacking en Trello

Recientemente nos topamos con un artículo que revelaba la posibilidad de encontrar información sensible de usuarios que hacían uso de la SaaS app Trello - muy similar al ejemplo de Google Hacking con Evernote - en aquellos boards que estaban configurados como públicos.

Esta vulnerabilidad se descubrió haciendo uso de Google Hacking, un método de ataque pasivo también conocido como Google Dorking, que nos permite obtener desde nombres de usuario y contraseñas hasta listas de emails, documentos con información sensible, información fiscal de personas o vulnerabilidades de sitios web susceptible de ser usada para actividades ilegales o no lícitas.

La sintaxis más básica  comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:
inurl: seguido por una url, hacia donde apuntamos la búsqueda.

intext: seguido por un string, para quedarnos sólo con aquellos resultados que contengan esa palabra.
 
site: concatenado por un dominio, al que se restringe la búsqueda. 
filetype: especifica la extensión de ficheros en las que estamos interesados (i.e., .doc, .docx, .pdf., .xls, .xlsx… Se puede extender la búsqueda dentro de un mismo query a varios formatos separando las extensiones con “|”.
Un query de este tipo presentaría una estructura similar a la siguiente:
inurl:[target_url] AND intext:[target_text_1] AND intext:[target_text_2] AND filetype:[filetype_target] …
Quisimos probar si, tras habérsele notificado el descubrimiento de la vulnerabilidad a Trello hace ya dos meses, habían puesto algún remedio el filtrado de información. Para nuestra sorpresa, la información sensible seguía disponible en aquellos tablones que fueron creados como públicos. Comenzamos a hacer pruebas rápidas con queries muy simples. En sólo diez minutos, pudimos ver la ingente cantidad de información que actualmente hay disponible en los tablones públicos de Trello.

No sólo teníamos visibilidad de credenciales de acceso a cuentas de todo tipo, sino que también teníamos visibilidad total de todas las publicaciones, conversaciones, ficheros adjuntados dentro de cada tablón y usuarios que conformaban el tablón. Nos encontramos con múltiples tablones creados por empleados de empresas donde se intercambiaban información sensible relativa a los proyectos en los que estaban involucrados.

Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:
• Para buscar por usuarios y contraseñas de correos electrónicos almacenados en los tablones públicos de Trello: 
inurl:https://trello.com AND intext:@gmail.com AND intext:password
Figura 4: Credenciales de acceso a WordPress disponibles en un tablón público de Trello
inurl:https://trello.com AND intext:@yahoo.com AND intext:password
Como podéis observar en la figura anterior, con sólo apuntar a los dominios de correo más usados, y sin necesidad de refinar mucho la búsqueda, somos capaces de obtener credenciales de accesos no sólo a los mails de ese dominio, sino también a otras plataformas como Wordpress.
• Para tener visibilidad de información sensible de acceso a cuentas de PayPal:
inurl:https://trello.com AND intext:paypal AND intext:password
Figura 5: Usuarios y contraseñas de PayPal al descubierto en tablones públicos de Trello
• Si lo que queremos es encontrar credenciales de acceso a cuentas de redes sociales como Twitter, Instagram o Facebook, basta con una mínima modificación del query: 
inurl:https://trello.com AND intext:twitter AND intext:password 
inurl:https://trello.com AND intext:instagram AND intext:password 
inurl:https://trello.com AND intext:facebook AND intext:password
Este post debe servir para concienciar sobre la importancia de educar a los usuarios a gestionar de manera adecuada cómo almacenar (o no almacenar) información sensible. No sólo las credenciales deben ser gestionadas de manera adecuada, ser lo suficientemente complejas y modificarse con cierta frecuencia; además, la información que intercambiemos con otras personas debe transcurrir a través de canales lo más seguros posibles.


Figura 6: Cómo proteger cuentas de WordPress con Latch en 10 minutos

Además de las prácticas comunes para garantizar la seguridad de tus cuentas, recomendamos hacer uso de segundos factores de autenticación como Latch o Latch Cloud TOTP para protegerte de accesos no autorizados tanto en los ejemplos de WordPress o PayPal usands aquí como de tus redes sociales. Podéis encontrar en los siguientes artículos algunos ejemplos de cómo aplicar este segundo factor de autenticación basado en el uso de sistemas TOTP (Time One-Time Password):
Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP
Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP 
Latch Cloud TOTP en Facebook sin SMS ni número de Teléfono 
Cómo proteger WordPress con Latch  
Autor: Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica

Entrada destacada

Cupón Verano 10 % descuento en @0xWord

Como todos los veranos, tenemos que cerrar la editorial de 0xWord durante el mes de Agosto , pero antes de que llegue ese días os vamos a ...

Entradas populares