Hall of Shame de ladrones en modo #EPIC_FAIL

Una vez me robaron una computadora portátil...y no mola nada. Me sucedió en España, por confiado, y la sensación tras el robo no es agradable nada de nada. Por eso, cuando casi estuve a punto de perder mi computadora en el tren me quería morir. Es un momento de verdadero fastidio, que mi amigo DragonJAR traslucía cuando contaba la historia de los errores que le costaron un MacBook Pro.

Supongo que por todo esto, todos los que hemos sufrido el robo alguna vez de un teléfono, computadora o cualquier dispositivo, disfrutamos cuando el ladrón la acaba cagando de forma estrepitosa. En este post he querido recoger algunas de las historias en las que el ladrón acaba con un EPIC FAIL, para disfrute de todos.

1.- Pwned by the owner. What happens when you steal a hacker's computer

Esta historia dio la vuelta al mundo cuando Zoz contó en Defcon como tras sufrir el robo de su equipo en Boston, éste había aparecido 2 años después en Las Vegas, y se tomo justa venganza del "fucker". La conferencia no tiene desperdicio.

2.- Don´t steal computers belonging to people who know how to use it

La historia de Mark Bao, un joven empresario de 18 años al que le robaron el equipo, pero que tenía herramientas de control remoto en él. Al final, grabó al ladrón bailando y lo subió a Internet. El ratero acabó suplicando perdón y no lo obtuvo....

El ladrón bailando... }:O

- Pillar al ladrón que te ha robado el portátil haciendo el gilipollas: Priceless

3.- Los ladrones de iPads en la conferencia de seguridad ISC West 20122

No hay que ser muy listo para pretender robar el iPad de un expositor de sistemas de vigilancia avanzada dentro de una conferencia de sistemas de seguridad, donde el mayor producto por metro cuadrado eran cámaras de vídeo vigilancia. Pues bien, no fue uno sino dos los que lo intentaron, y a ambos les grabaron. Cosas que hay que ver una vez en la vida para creer...

Uno de los ladrones de iPads a punto de hacerlo...

- Robar un iPad en una conferencia de seguridad es de hax0s.... si no te pillan

4.- El ladrón del iPhone que se olvido de parar iCloud.. y enviaba sus fotos a la víctima

Esta historia es reciente, y nos hizo mucha gracia por lo poético del asunto. Un camarero de un crucero de lujo le robó el iPhone a una clienta, pero se olvidó de cambiar la cuenta de iCloud, y este seguía haciéndose fotos, y subiéndolas con el proceso de backup a la cuenta de la víctima, que las publicó en Facebook y consiguió que lo despidieran.

Las fotos del ladrón subidas a iCloud, con metadatos y todo

- iCloud delata al ladrón: Aventuras de un iPhone robado

5.- El ladrón condenado a pagar 10.000 USD por la recuperación de los archivos

En este caso un profesor fue la víctima. Tras recuperarlo, perdió gran parte de los documentos, y el juez obligó al ladrón a pagar 10.000 USD en concepto de salario de recuperación. Le salió cara la computadora.

- Ladrón deberá pagar 10.000 USD por la recuperación de datos

6.- Este tipo tiene mi portátil

La historia normal de un robo en California. Entran en casa, se llevan el equipo portátil y lo empiezan a utilizar. El propietario Joshua Kaufman puso la foto en Internet del ladrón durmiendo en el sofá - por no tapar la webcam con una pegatinita - con el texto: Este tipo tiene mi portátil. Al final acabó detenido y recuperó su equipo.

Figura: El ladrón de la computadora portátil de Joshua Kaufman

- Este tipo tiene mi portátil

7.- El ladrón del iPad de Steve Jobs

Un tipo pensó que era buena idea robar en casa de la familia de Steve Jobs. Nada más encender el iPad, este se conectó a los servidores de Apple y su dirección IP quedó registrada. En 15 días tenían todos los datos para detenerle y recuperar todos los objetos robados. A lo mejor pensó que no tenían el número de serie del iPad de Steve Jobs localizado.

Informe de la conexión

- Informe de la resolución del robo del iPad de Steve Jobs

8.- Pillar ladrones por los metadatos de fotos tomadas con cámaras robadas

El servicio Stolen Camera Finder permite a los usuarios que han sido víctimas de un robo de una cámara digital, buscar fotografías publicadas en Internet con el número de serie de la cámara robada en los metadatos. Muchos de ellos han conseguido recuperar las cámaras y pillar a los ladrones.

- Stolen Camara Finder: Buscar cámaras robadas por los metadatos

9.- El ladrón que fue pillado con drogas por un servicio de backup online y Google StreetView

Esta historia es la de un ladrón que fue detenido tras robar un MacBook Pro que tenía un servicio de copia de seguridad online de fotos y vídeos. El ladrón puso en la computadora la foto de su coche que iba a vender por Internet, y las víctimas buscaron la casa por la zona desde la que se conectaba el equipo usando Google StreetView. Al final, cuando llegó la Polícia no solo recuperó el equipo, sino que se hizo con un alijo de drogas del ladrón.

- Ladrón pillado por servicio de Backup Online y Google StreetView

10.- El ladrón del iPhone que ligaba con el perfil de la víctima

A Nadav le robaron el iPhone en Noche Vieja y al día siguiente recibió un correo de la red de contactos que usaba que le dejaba claro que el ladrón estaba usando su perfil para ligar. Se creo un perfil de chica, engañó al ladrón para quedar, y le esperó con un martillo con el que le "convenció" para que le devolviera el teléfono.

- Recupera un iPhone robado con un martillo y un perfil falso de chica

11.- El ladrón fumeta postea sus fotos en el Facebook con el iPhone 4S robado

Un mujer de 27 años sufre un robo de su iPhone4S en la ciudad de New York, el ladrón comienza a usarlo y publica sus fotos suyas fumando "no se sabe bien qué" en el Facebook de la víctima.

- El ladrón fumeta publica fotos en su Facebook con el iPhone robado

12.- Mamá ladrona se tira fotos con el iPad robado

Una madre de familia californiana robó un iPad y luego dejó que sus hijos la hicieran fotos contenta sin saber que éstas acabaron subidas a la nube. Al final, las fotos acabaron en manos de la dueña del iPad que las publicó en Facebook, las llevó a la policia y fueron publicadas en la televisión local. La ladrona, bajo la presión, se entregó en la comisaría donde dijo que el iPad no lo robó, que se lo "encontró" perdido.

- Mamá ladrona se tira fotos contenta con el iPad robado

Por desgracia también hay muchas historias que terminan mal, como cuentan las estadísticas de robos, y muchos son casos como el del profesor brasileño al que le quitaron su iPad, y pese a saber quién la tenia, no pudo conseguirlo de vuelta. Sin embargo, aquí queremos hablar de las otras, así que, si conoces alguna historia que haya acabado con el ladrón pillado, pásamela, me encantará añadirla a este particular Hall of Shame de ladrones #EPIC FAIL.

Saludos Malignos!

Junio 2012: Red Innova Developers Day en Madrid

Este año, en la Red Innova, que tendrá lugar en Madrid, los días 14 y 15 de Junio en el Circo Price, además de los ponentes de nivel habituales en el track principal, se ha querido hacer especial foco en desarrolladores y técnicos, para que compartan experiencias, conocimientos, y currículos, ofertas de trabajo con inversores y emprendedores dentro del evento.

Para el track de técnicos me han permitido recomendar algunos ponentes, además de estar yo en la agenda. Sorprendentemente, después de recomendar que me trajeran de Argentina al gran Nico Waisman, para que venga a hablar de cómo se programan exploits de manera profesional, lo han traído. La verdad es que ha sido una grata sorpresa, así que aprovecharé todo el tiempo que pueda pasar con él por el evento, y calentar la HackCup de este año.

Figura 1: Nico Waisman confirmando su presencia en Red Innova

Además,de él, en la agenda vamos a tener a Pedro Peláez y Alejandro Hidalgo, de Plain Concepts, que han sido los encargados de hacer la web de la Precuela de Alien: Proyecto Prometheus, que vendrán a contarnos cómo desarrollaron en HTML5 sin WebGL, gráficos en 3D y una experiencia de usuario similar a Flash, para que funcionase en todos los navegadores y todos los dispositivos.

Figura 2: Web del Proyecto Promtetheus

También estará Jon Valdes, de Ideateca, a explicar cómo han hecho un framework para desarrollar juegos en JavaScript que funcionen en todas las plataformas con un código único. Esto, lógicamente, lleva por debajo la magia de C++ y Objetive-C y lo contarán, con ejemplos, durante la charla.

Figura 3: Oficina de Ideateca

Por otro lado, tendremos a César de la Torre y Elisa García de Microsoft, que darán una charla sobre cómo "Tocar las nubes". La idea es desarrollar aplicaciones touch y multi-touch que gestionen la potencia de servicios de Cloud Computing. .Net, Windows Azure y Windows 8 en vena.

Figura 4: Elisa García, de Microsoft

Además, habrá retos de desarrollo de NOKIA, que dará un taller sobre cómo desarrollar y monetizar aplicaciones y regalará un Lumia al mejor, de Telefónica I+D que hará un desafío y regalará un tablet, y el concurso de falsificadores de firmas biométricas que realizará la empresa SmartAccess, a ver si eres capaz de hackear SealSign y que terminará con un SamSung Galaxy Tab con Android de regalo.

Ese mismo día, además de darse los premios de los ganadores de todos los desafíos, retos y concursos, se estrenará el 2 Capítulo de la IV Temporada de Cálico Electrónico, en la que Nikotxan, en una charlita de 20 minutos, además de mostrar el capítulo, contará la historia del mayor superjirou aspañol de todos los tiempos, del que ya hemos podido ver el título y la presentación.

Figura 5: Capítulo 2 de la Temporada IV de Cálico Electrónico

En el evento se entregarán como añadido, las becas a los seleccionados del programa Talentum Startups, que tendrán la posibilidad de realizar su propio proyecto durante el verano, o incorporarse durante seis meses dentro de una startup.

Y me tocará a mí cerrar la agenda del día, en Developers Day, con una charlita sobre seguridad, hacking y alguna sorpresa que me prepararé para ese viernes, que acabará con las cervezas que se van a repartir en la zona de descanso durante la conferencia. Prometo llevar el gorro puesto }:)).

Figura 6: El gorro

El evento tiene un coste, pero hay un periodo super-reducido durante el mes de Mayo, un descuento especial para estudiantes, y aquí os dejo un código de descuento con un 20% que durará 72 horas, es decir, hasta finalizar el viernes: CHALONSO. El registro y la información del evento en Red Innova Developers Day.

Saludos Malignos!

Repositorios de código fuente: Protege tu software

En la pasada Ekoparty tuve el gusto de tomarme un buen asado rodeado de amigos. En esos entornos no se suele hablar, como mucho pueda pensar de fiestas y sexo, y las conversaciones suelen tender a las cosas más variopintas. En una de las conversaciones que tuve, con no quiero recordar quién, nos explicaban como estaban monitorizando los repositorios de proyectos Open Source, para detectar los cambios en código que pudieran ser bugs de seguridad.

Esto es algo que se supone que los malos en operaciones APT están haciendo desde hace tiempo ya que el poder detectar un parche que solucione un fallo del código fuente en el repositorio antes de que esté en la imagen compilada da una ventaja competitiva en tiempo que puede terminar en tener un exploit para un bug no parchado durante una ventana de tiempo. Esto puede significar un beneficio que haga que merezca la pena la monitorización constante. Por supuesto, el trabajo no es sencillo, ni cómodo, ni fácil, y obliga a revisar mucho código, pero... ¡qué la musa te pille trabajando!

Figura 1: Un repositorio de código público en /viewvc/

En un proceso de pentesting externo, o una auditoría de seguridad web, leer el código fuente de algún proyecto de la compañía y buscar un fallo para hacer un exploit suele quedar fuera de nuestro ámbito por cuestiones de tiempo y limitaciones económicas - salvo contadas excepciones -, pero aún así sigue siendo útil localizar los repositorios de código, que pueden estar llenos de información.

Figura 1: Panel de administración de BuildBot

De un repositorio de código como donde haya un Buildbot o un Subversion, o cualquier otro es posible descubrir usuarios, rutas internas, fechas e información táctica de la compañía que puede ser de mucha utilidad para lanzar ataques de fuerza bruta, descubrir ficheros "ocultos" o perdidos, o simplemente nuevas URLs de servidores web a analizar.

Figura 3: Rutas, usuarios y fechas en cada revisión del código

En el caso de los Subversion, los ficheros de log .svn/entries nos han dado ya bastantes éxitos en auditorías, no solo por el descubrimiento de usuarios que aprovechar en los diccionarios, sino por las rutas a "Juicy Files" que a veces nos sorprenden con sus propias webshells.

Figura 4: Plugin de FOCA SVN Extractor analizando rutas en el fichero .svn/entries descubierto

Al final, descubrir esos ficheros suele ser una tarea que se realiza con el WebFuzzer, usando un buen diccionario que se alimente con las rutas más comunes donde se suelen encontrar dichos repositorios. De esas listas de ficheros hay que ir coleccionando los valores más usuales para poder luego encontrarlos. Algunos que hemos ido coleccionando son: .svn, .svn/entries, viewvc, trunk, cvs, smartcvs, viewvc.cgi, viewvc.php, etc... Cualquiera que conozcas que sea de interés se agradecerá que lo compartas.

Fichero 5: Webshell en PHP publicada

Actualmente FOCA marca todos ellos como Juicy Files, y el próximo plugin que vamos a liberar es SVN Extractor, ul analizador de ficheros .svn/entries que parsea todas las rutas, extrae todos los usuarios, y mete las URLs al proyecto principal, para buscar en ellas todas las vulnerabilidades que ya busca FOCA.

Por tu seguridad, siempre que puedas, procura proteger el acceso a los paneles de administración o los repositorios del código fuente de tus proyectos. No sólo porque alguien te robe el código, sino por toda la información que pueda obtenerse de ellos, de que esa parte del servidor web también sea atacable.

Saludos Malignos!

Webcasts gratuitos y recursos de MS SQL Server 2012

Esta misma tarde comienza una serie de Webcasts Gratuitos dedicados a SQL Server 2012, que impartirá Rubén Alonso (Punto Compartido). Estos webcasts se hacen a través de Internet, y son totalmente gratuitos, por lo que puedes asistir desde cualquier punto del mundo y participar en las sesiones. Los contenidos que se van a ver son los siguientes:

28 de mayo: MS SQL Server 2012 y SharePoint Server 2010 - Perfecta simbiosis

29 de Mayo: MS SQL Server 2012 - Servicios de Datos Maestros

30 de mayo: MS SQL Server 2012 - Business Intelligent Semantic Model

31 de mayo: MS SQL Server 2012 - Servicios de Calidad de Datos

Estas formaciones se completarán con unos laboratorios presenciales que se impartirán la semana del 11 de Junio en Informática 64, a los que se ha puesto un precio reducido gracias a un acuerdo en la campaña de difusión conjunta que se va a hacer con Microsoft.

11 de junio: HOL-SQL58 MS SQL Server 2012 - Administración

11 y 12 de junio: HOL-SQL53 MS SQL Server 2012 - Servicios de Datos Maestros

12 de junio: HOL-SQL57 MS SQL Server 2012 - SQL PowerShell

13 de junio: HOL-SQL59 MS SQL Server 2012 - Optimización del rendimiento

13 y 14 de junio: HOL-SQL54 MS SQL Server 2012 - Servicios de Calidad de Datos

14 de junio: HOL-SQL55 MS SQL Server 2012 - Business Intelligent Semantic Model

15 de junio: HOL-SQL56 MS SQL Server 2012 - Informes con SQL Server Power View

Más información de todos los próximos eventos

Si quieres conocer más sobre estos temas, en el blog de Punto Compartido se ha publicado una serie dedicada a los Servicios de Datos Maestros en SQL Server 2012, a la instalación conjunta de SQL Server 2012 y SharePoint 2010, a las Novedades que ofrece SQL Server 2012 "Denali" y al Proyecto Crescent para la generación de informes. 

Por último, si quieres profundizar más en SQL Server 2012, puedes descargarte el Developer Training Kit y el eBook gratuito: Introducing MS SQL Server 2012 de Microsoft Press.

Saludos Malignos!

No Lusers 133: Cuatreros en España

Una de las aficiones en que empleo el tiempo de mis muchos viajes es la de dibujar. Hago mis garabatos con el ay!Pad plasmando las cosas que me hacen gracia a mí, me entristecen, o simplemente me motivan en el momento. Hay muchas de ellas que no publico en el blog porque las hago para mí, o las mando a amigos personales. 

Ésta en concreto la hice de camino en Colombia, con todo el jaleo en España con la banca, pero no la quise publicar. Sin embargo, a la vuelta de Holanda, me encontré en el avión con la tira del gran Forges en el periódico del día, y me llamó mucho la coincidencia de apreciación en el sentir.

Para los que no conozcáis a Forges, porque seáis de fuera de España, he de decir que durante toda mi vida consciente, Forges ha sido un cronista único de la sociedad Española, con sus grandezas, sus miserias y sus situaciones cómicas, y es difícil encontrar a alguien que no tenga El País y vaya pasando las páginas una tras otra en busca de la viñeta del día de Forges.

Además, Forges fue el encargado de ilustrar una colección de libros de Informática para Torpes con el gran Megatorpe, que llenó con cientos de viñetas relativas al mundo de la informática - que he de decir poseo sólo por sus viñetas, junto a fascículos de la Historia de España que también ilustró -. Aquí os dejo una de las muchas que hizo sobre el tema de la ciencia de la computación, pero en su web podéis ver muchas, muchas, más.

Saludos Malignos!

LeadkedIn: Seguir los data leaks por RSS

Este proyecto con forma de blog y nombre haciendo honor a la famosa red social de contactos profesionales, permite, de forma similar a otras herramientas de monitorización de Pastebin, seguir las fugas de datos por RSS o Twitter. El proyecto analiza todo lo que está siendo publicado en tiempo real en Pastebin, y etiqueta por categorías lo que va apareciendo, siendo fácil encontrar números de tarjetas de crédito, cuentas de correo electrónico, datos personales o credenciales de servicios.

Figura 1: Carder pasando tarjetas de crédito de "demo".¿Estarán marcadas?

En el about del proyecto se especifica que es un blog personal con el único objetivo de concienciar a la gente de la importancia de controlar las fugas de datos en las organizaciones, algo que a día de hoy no han tenido demasiado en cuenta muchas empresas, a tenor de lo que se puede ver hoy en día. Tiene una dirección de abuso para solicitar el borrado de posts por los dueños de los datos.

No deja de ser un proyecto más de monitorización de fugas de datos, pero visto que yo soy mucho más seguidor de RSS que de Twitts, voy a meterlo en mi lector de blogs, a ver qué aparece por ahí. ¿Qué otros sistemas de monitorización de fugas de datos seguís vosotros?

Saludos Malignos!

Pruebas para descubrir un LFI al estilo FOCA

En la versión privada de la FOCA, que vamos a enseñar en un ratito en Hack in the Box, se busca automáticamente por vulnerabilidades LFI. Para ello, en las URLs parametrizadas - las que tienen parámetros por GET, vamos - se hacen unas pequeñas pruebas para saber si es posible o no que tenga un Local File Inclusión.

Paso 1: La URL con la respuesta original.

Primero se toma la URL sin realizar ninguna modificación, para tomarla como referencia en las subsiguientes pruebas. Así que en la primera petición no se inyecta nada.

Figura 1: La URL sin inyectar

Paso 2: Probando el directorio local

Después se prueba si es posible acceder a la misma página haciendo uso de ./, lo que implicaría que hay probabilidades de que se permita inyectar caracteres en la ruta de acceso al fichero local. Si devuelve la misma página que en el paso 1, entonces vamos por el buen camino.

Figura 2: Probando el directorio local

Paso 3: Probando un directorio falso

Una de las pruebas más significativas es la de solicitar un subdirectorio inventado y luego subir con ../ al directorio padre para acceder al mismo fichero. Si se devuelve el mismo resultado, es que tiene muy buena pinta, pero aún no es seguro ya que podría tener un comportamiento de tratamiento de errores que devolviera siempre la misma página, por lo que hay que hacer alguna prueba más.

Figura 3: Probando un directorio falso y subiendo al padre

Paso 4: Generando un error conocido

Para descartar la posibilidad de que sea el tratamiento de errores el que siempre nos devuelve la misma página, se pide el fichero, pero en una ruta que no exista, para o que lanzamos un directorio fantasma. ¡Cuidado no aciertes con el nombre de un directorio oculto! Prueba con un par por si se diera ese caso.

Figura 4: Probando un directorio falso sin anularlo

Paso 5: Por si hay un filtro

En este caso en concreto ya sabemos que hay un LFI, pero por si hubiera un filtro que quitase "../" de manera erronea, un truco es pedir "..././", ya que si quita "../" de la ecuación, quedaría "../". Aunque parezca mentira muchos filtros mal programados pueden ser saltados de esta forma.

Figura 5: Probando un posible bypass de un filtro

Existen muchas herramientas que implementan este tipo de comprobaciones, pero nuestra FOCA se porta muy bien con estos tests en las auditorías de seguridad web que realizamos a nuestros clientes. ¿Qué más trucos usáis vosotros para descubrir LFI?

Saludos Malignos!

El déficit de la Comunidad de Madrid y los metadatos

Las historias relativas a los metadatos no dejan de aparecer, y esta última le ha tocado a la Comunidad de Madrid, por una sencilla afirmación: "Hicimos público el dato del déficit en cuanto fue definitivo".... y resulta que el documento se había creado 4 días atrás, lo que parece suponer que no fue tan rápida su publicación.

Figura 1: El documento fue creado el 14 de Mayo con eDocPrinter PDF ProVer 6.42

En cualquier caso, desde hace tiempo voy recopilando todas estas historias en un post que ya se llama: Análisis Forense de Metadatos, y en el que hay 18 casos por el momento, en los que los metadatos fueron los protagonistas. Desde el caso de Tony Blair, al del Déficit de la Comunidad de Madrid pasando por la foto de las tetas de la novia del hacker, los casos de corrupción en ayuntamientos descubiertos por los metadatos, la manera de esconder una webshell en metadatos o el asunto del Programa del PP para salir de la crisis publicado por el becario.

Todos estos casos son alimento para la FOCA y, por supuesto, con MetaShield Protector o siguiendo las recomendaciones del Esquema Nacional de Seguridad sobre metadatos no hubieran pasado.

Saludos Malignos!

Pruebas de Selección Talentum Startups esta semana

La semana que viene tendrán lugar las pruebas de selección de Talentum Startups para estudiantes universitarios que quieran participar en las becas tecnológicas que se van a entregar para este verano desde Telefónica y Wayra. Existen dos tipos de becas.

- Talentum Startups Short Track: Se realizarán durante los meses de Julio, Agosto y Septiembre a jornada completa en las instalaciones de Wayra en Madrid (10 becas) y Barcelona (10 becas), y se darán a jóvenes universitarios que quieran desarrollar un proyecto tecnológico para arreglar algún problema en la sociedad. Más información en: Talentum Startups Short Track. 

- Talentum Startups Long Track: Se realizarán en la academia Wayra de Madrid (10 becas), y serán para jóvenes universitarios a media jornada e integradas en los proyectos de las nuevas startups seleccionadas en Wayra, desarrollando algún proyecto de innovación tecnológica. Más información en Talentum Startups Long Track.

Todos los seleccionados tendrán una dotación económica, además de recursos técnicos, un grupo de tutores y un programa de mentoring en el que se les formará en diferentes tecnologías y disciplinas profesionales. Para participar en la selección es necesario primero apuntarse en la web de Talentum. Después hay que hacer una pequeña prueba de selección que se hará la semana que viene en cuatro ciudades: 

Sevilla: 28 de Mayo de 11:00 a 12:30. Aula de Grados.
ETS Ingeniería Informática. Avda. Reina Mercedes s/n. 41012, Sevilla 

Madrid: 29 de Mayo de 9:00 a 10:30h. Edificio A, aula A-137.
Escuela Técnica Superior de Ingenieros de Telecomunicación, Avda. de la Complutense, 30, 28040 Madrid 

Barcelona: 29 de Mayo de 16:00 a 17:30. Aula Teleensenyament, Edificio B3 (1era planta) Escuela Técnica Superior Ingeniería de Telecomunicación - UPC Campus Nord, Jordi Girona 1-3, 08034 Barcelona 

Valencia: 30 de Mayo de 11:00 a 12:30. Aula 2.2, Edificio 4P
ETSI Telecomunicación, Universitat Politècnica de València, Camino de Vera s/n, 46022, Valencia

Para participar en esta prueba es necesario asistir con el DNI y rellenar una pequeña prueba escrita de resolución de problemas y conocimientos técnicos y/o tecnológicos generales. Además, es necesario traer ese día un Curriculum Vitae impreso. Tras esta prueba se hará una selección de preliminar que deberán pasar una entrevista personal, para recibir las becas en el próximo evento de Red Innova en Madrid, el 14 y 15 de Junio.

Yo iré personalmente a hacer todas las pruebas de selección, así que espero veros allí con muchas ganas de hacer cosas chulas, y a sufrir con el más Maligno de todos los tutores. }:))

Saludos Malignos!

SmartBouncer: Control de accesos usando NFC y Bluetooth

Esta tarde es el día de la presentación de Proyectos de Fin de Master del Master de Seguridad de la UEM, y como todos los años, uno de mis grupos va a presentar un trabajo en el que han invertido un buen montón de esfuerzo. Se llama SmartBouncer, y la idea era hacer un prueba de concepto de cómo extender el control de acceso físico de una organización a los dispositivos móviles.

Para ello han diseñado un hardware de reconocimiento de personas utilizando NFC (y por ende RFID) y BlueTooth además de una aplicación Android para conectarse con ella. Aquí tenéis un resumen del trabajo, una demostración y el código de la aplicación disponible.

Saludos Malignos!

Diseño e implementación de un sistema de control de accesos mediante NFC y Bluetooth

En los últimos años la sociedad ha experimentado un gran cambio en su vida diaria gracias al avance de las comunicaciones móviles. La mayoría de la población dispone de un dispositivo móvil que ofrece altas prestaciones y una gran versatilidad en diferentes campos de la comunicación. Una de estas funcionalidades que se encuentra en auge es la tecnología NFC (Near Field Communication).

Figura 1: Esquema de la plataforma desarrollada

La plataforma desarrollada en este proyecto está compuesta de un cliente móvil, en este caso un terminal Android, que se conecta a una placa diseñada y fabricada de manera casera y artesanal. Esta placa dispone de tres interfaces con las que se puede interaccionar:

Figura 2: Placa hardware diseñada y creada de manera artesanal

• Interfaz NFC: que permite al empleado o al encargado identificarse para acceder a la empresa. La tecnología NFC establece tres modos de comunicación. Las especificaciones de NFC son emitidas por el NFC-Forum y se encuentran en Especificaciones NFC.
• Reader/Writer: este modo de comunicación se establece entre un dispositivo activo - aquel que requiere de energía -, por ejemplo un terminal móvil y un dispositivo pasivo, por ejemplo una tarjeta RFID o un smartposter, como el utilizado en la campaña de la película X-Men.
• Peer to Peer: este modo de comunicación se establece entre dos dispositivos activos, por ejemplo dos teléfonos móviles o un teléfono móvil y una receptor NFC. Este modo es el que se utiliza en este proyecto.
• Card Emulation: en este modo un dispositivo que es activo se comporta como pasivo, esto le permite emular tantas tarjetas como recursos posea para guardarlas. El gran problema de este modo reside en el elemento seguro que debe almacenar esta información. En general serán tarjetas de crédito de ahí la importancia de la seguridad. Las grandes compañías no están de acuerdo en qué utilizar. Así, Google Wallet  implementa en el elemento seguro en un chip y Telefónica junto con RIM en la tarjeta SIM.
• Interfaz Bluetooth: La interfaz Bluetooth se implementó para dar un valor añadido al proyecto y una posibilidad más al empleado, no obstante NFC es la tecnología prioritaria. El empleado puede utilizarla también para autenticarse. Además la interfaz Bluetooth permite al miembro de seguridad del control de acceso comprobar quien está accediendo en cada momento, mediante línea de comandos.
• Interfaz RJ-45: que permite conectarse vía web al panel de configuración del control de accesos, en caso de que un usuario haya olvidado su credencial y quiera entrar o el sistema mecánico se haya averiado.

En definitiva se ha desarrollado una plataforma de identificación que integra los dispositivos móviles en el control de accesos de una empresa y que además de ser más seguro, ofrece un nuevo canal de comunicaciones entre la empresa y el empleado.

Figura 3: Portal web de monitorización del sistema

Imaginad, por ejemplo, que cuando el usuario accede todas las mañanas a la empresa le aparece en el móvil la agenda del día recordándole que tiene una reunión con un compañero  en 2 horas, los mensajes dejados en la recepción, paquetería o simplemente información del edificio como la temperatura, la humedad, los planos de evacuación de incendio o los empleados que se encuentran en el edificio. Os dejamos un video donde se puede ver el funcionamiento de la plataforma.


El objetivo de este proyecto es poder estender las políticas de seguridad de una compañía a los accesos físicos, pudiéndose desplegar en el futuro los permisos de acceso físico de una empresa desde un sistema de seguridad de red, por ejemplo las políticas de Active Directory, y gestionarlo utilizando dispositivos móviles, lo que ayudaría a tener una gestión más globalizada de la seguridad de una compañía.

Figura 4: Aspecto de SmartBouncer para Android

El código de la aplicación SmartBouncer se ha puesto a disposición pública en Google Code para todos los que deseen utilizarlo como ejemplo para un sistema de comunicación BlueTooth o NFC, ya que utiliza los protocolos estándares.

Autores: Jesús González Tejería y Javier Cacho Pérez

Common Vulnerability Reporting Framework 1.1

Los días que hay muchos advisories de trabajo siempre pienso en mi amigo Sergio de los Santos echando "ofús". Esos días debe filtrar todos los documentos publicados por los fabricantes de software para que sean distribuidos a través de su servicio SANA y para ello debe pegarse con las maneras que cada uno de los fabricantes tienen de poner disponible esa información, así que sé que tiene una tarea larga por delante, por muy automatizados que tengan los procesos internos.

Esto es algo que sucede en casi todos los frameworks de gestión de vulnerabilidades, consolidación de reportes, o integración de resultados, en los que se muestra el expediente de seguridad del fabricante para ampliar la información del bug.

Para evitar esto se está trabajando en estandarizar la forma en la que se publica y consume esta información en un formato de documento definido como Common Vulnerability Reporting Framework, en el que se intenta crear un tipo de documento en XML que sea capaz de ser producido y procesado de manera estándar.

Figura 1: Esquema del schema de CVRF 1.1

El formato del documento está siendo definido por ICASI (An Internet Consortium for Advancement of Security on the Internet), y en el whitepaper publicado, además de justificar la necesidad de un consenso para hacer más fácil gestionar esta información, expresan la necesidad de seguir trabajando en la integración y evolución de otros formatos estandarizados para comunicarse, como son:

- Security Content Automation Protocol
- Common Platform Enumeration
- Common Weakness Enumeration
- Open Vulnerability and Assessment Language

Hoy en día, modelos como el CVSS para medir la criticidad de una vulnerabilidad son ampliamente utilizados - aunque algunos fabricantes adapten esas métricas y la expresen de otra forma -, pero todos estos esfuerzos en estandarización del advisory ayudarán a que haya un lenguaje completo y no solo una "manera de hacer las cosas", para que sea mucho más sencilla la tarea de consumir toda la información de seguridad que se produce.

Algunos fabricantes ya han anunciado que comenzarán a utilizarlo, como es el caso de Microsoft o de CISCO, que incluso ha publicado un manual en dos partes con un ejemplo de cómo transformar un advisory de CISCO a formato CVRF 1.1.

- The Missing Manual: CVRF 1.1 (Part 1 of 2)
- The Missing Manual: CVRF 1.1 (Part 2 of 2)

Espero que en el futuro, mi amigo Sergio de los Santos eche menos "ofús" los días que se hayan publicado muchos security advisories, y le quede más tiempo para otras cosas.

Saludos Malignos!

Suplantación de identidad en Facebook

Hace medio año aproximadamente, se encontró una vulnerabilidad en la gran red social por la que se puede suplantar la identidad de un usuario del sistema fácilmente. Es decir, hacerse pasar como si fueras otra persona haciendo un spoofing. El motivo por el cual escribo este articulo es porque me di cuenta que a día de hoy la gran mayoría de usuarios no está enterada de esto.

Según Inteco (Instituto Nacional de Tecnologías de la Comunicación), este defecto "se deriva del propio protocolo de correo electrónico de Internet, que es el que utilizan Facebook y otros proveedores de servicio similares, y que no permite por defecto asegurar al receptor quien es el auténtico emisor del correo".

Este problema existe en todos los servicios de correo electrónico como en Hotmail, Gmail, Yahoo!, para lo que se han implementado soluciones como DKIM, SPF, o la firma digital PGP o S/MIME. Quizás en Facebook es más gravé aún porque el mensaje llegaría como una notificación más con el nombre e imagen de "x" persona, lo cual si no sabe del tema, generaría grandes consecuencias.

El sistema de suplantación es muy fácil de realizar, lo único que se necesita es:

Dirección de correo electrónico de la persona que se va a suplantar.
Dirección de correo electrónico de Facebook de la persona a quién se engaña.
Un sistema para enviar correos SMTP.

Suplantación de identidad en Facebook paso a paso

Generalmente para obtener el e-mail de una persona en Facebook es suficiente con ir a su perfil, luego a información y buscar donde dice Información de Contacto. Ahí estará su dirección de correo, siempre y cuando no la haya ocultado. Si es el caso, el email se puede obtener a través de la simple deducción, usando servicios que el mismo Facebook nos brinda.

Figura 1: Usuario de Facebook

Para obtener el email de Facebook de una persona, basta con saber su nombre de usuario. Facebook asigna como dirección de correo con el mismo nombre de usuario, por lo que si el nombre de usuario es "username" su dirección de correo de facebook sera username@facebook.com. Eso siempre y cuando el usuario tenga habilitado el correo de Facebook.

Figura 2: Identificación de contacto en Facebook

Para saber si tiene habilitado el correo de Facebook o no, podemos googlear y buscar algún sitio que chequee si una dirección de correo es válida o no. Un sitio efectivo es Verify Email.

Una vez que se obtienen los datos, se debe hacer uso de algún sistema pare enviar correos spoofeados. Esto puede hacerse con una simple conexión telnet al servicio SMTP de algún servidor MX de Facebook, con un sistema de enviar a un amigo inseguro o con un formulario PHP creado para tal uso.

Figura 3: Servidor MX de Facebook.com

En este caso se ha hecho un formulario con la estética de Facebook, para que sea más bonito. En el campo del receptor va el e-mail de Facebook y en el campo del emisor va la dirección de correo de la persona que va a ser suplantada, en este caso el propio Mark Zuckerberg. Finalmente se envían los datos.

Figura 4: Formulario para enviar correos SMTP vía PHP

Este correo electrónico se envía al correo asociado a Facebook y aparece dentro de la conversación que el usuario que lo recibe mantenía con el contacto que supuestamente se lo envía. Luego de unos segundos, me llega un mensaje privado a mi cuenta... Y si, del CEO de Facebook:  Mark Zuckerberg me necesita en su equipo de seguridad informática...

Figura 5: Correo recibido de Mark Zuckerberg.. spoofeado

Pero por el momento no le voy a dar bolilla porque Bil Gates me contactó primero para Microsoft hace ya bastante tiempo, asi que sigo con lo mio :).

Figura 6: Alerta de seguridad en el mensaje recibido

Si tienen buena vista, habrán visto en la imagen anterior, a la derecha del mensaje un pequeño triángulo de color amarillo - signo de alerta -. Si ponemos el puntero del ratón encima del símbolo, saldrá un cartel con lo siguiente:

Figura 7: Identidad no verificada

Como verán, Facebook alerta que no puede confirmar si el mensaje fue enviado por esa persona. Ustedes pensaran que entonces no es grave ya que nos avisara.. pero lamentablemente, sólo da la alerta cuando la dirección de e-mail de la persona que nos envía el mensaje proviene de algún servicio de e-mail con tecnologías SPF, Sender ID o DKIM y no se ha podido verificar la dirección IP del servidor emisor.

Sin embargo, lo peor de todo es que la alerta solo aparece en las conexiones vía aplicación web, y no en las aplicaciones Facebook para iOS o Android, algo que deberían arreglar, además del almacenamiento inseguro de la sesión que permite hacer hijacking en Facebook.

Las consecuencias que trae este bug pueden ser graves si se hacen contra usuarios que no esté prevenidos de este problema del correo electrónico usado en Facebook, y por supuesto ya ha habido mucho malware y spam que ha hecho uso de esta característica en la red social, adjuntado binarios o distribuyendo enlaces a sitios maliciosos. Todo depende de la imaginación que le aplique cada uno.

La suplantación en el chat

Otra de las cosas que sucede es que que si la persona a la que se le envía el mensaje está chateando con la persona a la que se suplanta, el mensaje le llegará al chat sin ninguna advertencia, ya que el chat realmente está creado sobre el sistema de mensajes de Facebook. Una curiosidad perfecta para los ataques dirigidos.

Lo recomendable para evitar que los malos utilicen tu identidad sería ocultar tu dirección de correo del perfil de Facebook y no pasársela a extraños, aunque se rumorea que, en un movimiento de marketing, Facebook podrá la dirección @facebook obligatoria a todos los usuarios. Así que, lo mejor es tener precaución y vigilar esa pequeña alerta en la recepción del correo, utilizar cuentas lo más seguras posibles para registrarse en Facebook y verificar la información recibida antes de tomarla en serio.

Ariel Ignacio
ariel.ignacio.la.cono at facebook.com (ya saben cómo suplantarme)

No Lusers 132 - Gobiernos Transaccionales

Saludos Malignos!

Distribución de libros en Colombia con IT Forensic LTDA

Con el fin de que sea más fácil y económico comprar los libros en Colombia, desde Informática64 hemos llegado a un acuerdo con la empresa IT Forensic LTDA, que permitirá comprar todos los libros de Informática 64, la Forensic FOCA, FOCA Pro y MetaShield Protector, a través de ellos, con gastos de envío sólo locales, lo que hace que sea más económico.

Si estás en Colombia, y quieres comprar un libro de Informática 64, ponte en contacto con IT Forensic LTDA a través de su página web, y solicita el libro en que estás interesado, así como un presupuesto con los gastos de envío. 

Mientras tanto, desde Informática 64 continuamos trabajando en acuerdos de colaboración con otras empresas por Latinoamerica para poder reducir el coste de los libros en todos los países que actualmente tienen que pagar el envío internacional. Esperamos que dentro de poco los podáis comprar con este modelo en todos los países.

Saludos Maignos!

FOCA Web Fuzzer y API 0.1 para desarrollo de plugins

Ya hace tiempo que se ha creado una pequeña API en FOCA para poder cargar plugins. En la actualidad hay creados ya tres que vamos a ir publicando para que podáis sacar mucho más partido a la herramienta en cuanto vayamos testeándolos un poco más.

FOCA Web Fuzzer

El primero de ellos que vamos a poner público es un Web Fuzzer que se carga desde la opción de Plugins que tiene la herramienta. Una vez que se ha cargado aparecerá en el menú de plugins, y se podrá invocar para utilizarlo con cualquier URL. Tienes más información en el manual del API de plugins en FOCA.

El Web Fuzzer tiene un funcionamiento muy sencillo, en esta primera version, y para hacerlo funcionar necesitas solo un fichero con una buena cantidad de palabras comunes. Ese diccionario se irá sustituyendo en todas las peticiones, en la posición de la FOCA.

Figura 1: Configuración del fuzzer

En los resultados se obtienen aquellas respuestas que han devuelto un determinado código de servidor y de un tamaño distinto en palabras, lineas o tamaño, a las que se han configurado para ser ocultadas.

Figura 2: Respuestas positivas, y envío al proyecto de FOCA

Seleccionando esas URLs, se pueden meter en el proyecto principal de la FOCA. Puedes descargarlo desde la página web de la FOCA. Esperamos que os sea útil.

El API 0.1 de para plugins de FOCA

Figura 3: Plugin de ejemplo en FOCA

Además, si quieres desarrollar tus propios plugins de FOCA, puedes descargarte el manual sobre el API de la FOCA que se ha creado inicialmente y el código fuente de un plugin de ejemplo, para que extiendas la funcionalidad de tu FOCA.

Saludos Malignos!

SoapUI: Auditar Seguridad Webservices (WSDL & WADL)

SoapUI es una herramienta Open Source con soporte para Windows y Mac OS X pensada para testear el funcionamiento de WebServices. De manera sencilla carga todos los interfaces de los ficheros WSDL o WADL y permite que se puedan lanzar tests de funcionalidad, test de carga o test de seguridad automatizados para evaluar el comportamiento de los mismos. 

Desde el punto de vista de una auditoría de seguridad web, hace muy sencillo cargar el interfaz completo de un sitio y empezar a realizar las pruebas al uso, ya que con sólo crear un proyecto con el fichero de interfaz, ya tenemos todo lo listo para empezar a probar.

Figura 1: Creación de un proyecto con SoapUI

Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google, y con crear un nuevo proyecto ya están listas todas las peticiones, para que solo sea necesario sustituir los valores marcados con un signo de interrogación.

Figura 2: Uno de los interfaces de la Nasa cargados con SoapUI

La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español, que puedes utilizar para sacarle el máximo provecho, pero desde el punto de vista de un auditor, lo más cómodo es tener las peticiones, y enchufarlas a través de un proxy a tu herramienta de auditoría manual preferida, como Zap o Burp.

Figura 3: Opción de Proxy en SoapUI

Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing, pero si lo prefieres, puedes hacer también los tests desde la propia herramienta, tal y como si lo hicieras directamente desde el propio navegador.

Figura 4: Testing manual desde SoapUI

Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.

Si quieres aprender a automatizar pruebas, José Vila en SecurityArtWork ha hecho un artículo genial sobre cómo hacerlo: Automatizando pruebas con SoapUI.

Saludos Malignos!

DEF CON me gusta mogollÓN

La primera vez que fui a Defcon era la edición número 16, y llegué muerto de miedo. Estuve semanas enteras preparando la charla sobre Time-Based Blind SQL Injection & Marathon Tool, porque el lugar me daba todo el respeto que merece dicho evento.... y me lo pasé genial, y estuve arropado por un montón de amigos.

Al año siguiente en la Defcon 17 fui con mi amigo Palako, a hablar de Tactical Fingerprintng using Metadata, Hidden Info and Lost data, y a sacar a pasear la FOCA, en una charla que creo nos quedó como nunca. Recuerdo que no salí tan satisfecho de una charla nunca. Trabajar con Palako en aquella charla fue una pasada, y creo que en su memoria también estará ese buen recuerdo. En la mía, nunca se borrará el incidente por el que casi acabo en la cárcel.

En Defcon 18 repetí con Palako, después de haber pasado por la Yahoo! Security Week y volvimos a hablar de FOCA en este caso la versión 2 "The FOCA Strikes Back", donde fue genial ver que teníamos a la gente del año pasado y se acordaban de los chistes del anterior. A día de hoy, cuando Moxie Marlinspike me encuentra por cualquier conferencia del mundo, le oigo decir eso de "FOCA is working, FOCA is working...".

Este año, también nos animamos a impartir otra charla, en este caso la de Connection String Attacks, donde hablamos de Connection String Parameter Pollution y sacamos a pasear el CSSP Scanner. Creo que también nos quedó chula, aunque el comentario del final casi me cuesta un disgusto...


En Defcon 19, el año que ganamos el triplete [Eurocopa, Copa del Mundo y HackCup], primero hablé sobre DUST: Your RSS Feed Belongs to you, en un sitio donde no tenía todas conmigo de que el tono de la charla fuera a ser entendido.


Después, en esa misma edición de Defcon, acompañado por Juan Garrido "Silverhack", hablamos sobre Bosses Love Excel, Hackers Too, en una charla en la que Juan y yo trabajamos lo indecible. Puede que parezca que todo es muy sencillo, pero entender todas las políticas, las versiones, y afinar las demos nos llevó al trianero y a mí horas y horas y horas de trabajo, pero el resultado fue muy satisfactorio, y he de reconocer que después de ya varias charlas en Defcon, me sentí muy cómodo en el escenario en todo momento, aunque me pasé todo el tiempo trabajando.

Ahora, la charla de Owning Bad Guys {and mafia} with JavaScript Botnets que dimos en la Rooted  ha sido seleccionada para la Defcon 20 (parece que ya es costumbre eso de presentar primero en RootedCON lo que luego haremos en Defcon), y la verdad es que estamos muy contentos. Creo que el espíritu de esa charla encaja mucho con el espíritu de Defcon [version No Lusers]

Actualización: Esta es la versión Audio-Slides de la charla que impartí en Defcon XX


Y claro, ya que vamos... habrá que volver a ganar la HackCUP, ¿no? ¿Quién se viene a la Defcon este año? ¿Quién quiere jugar en el FOCA Team? Amigos argentinos: Nico, Fran, Fede, Mariano, Eze, Hernán, Claudio, y compañía ... Fear the FOCA!

Saludos Malignos!