viernes, mayo 31, 2013

Un pequeño "truco de bar" de iPhone con Siri, Gmail o Hotmail y Twitter

Desde que participé en la escritura del libro de "Hacking de dispositivos iOS: iPhone & iPad" siempre que hay una sobremesa a los comensales con iPhone les pido con amabilidad y dulzura su terminal para jugar con él. Les enseño a reconocer los modelos con solo verlos para saber si es un iPhone 4 o un iPhone 4S, a saber si tiene un iOS 6.X o un iOS 5.X con solo jugar con la pantalla bloqueada, sacar los códigos IMEI de las bandejas de SIM, a hacer llamadas con FaceTime, usar los bugs de saltar el passcode, etc... vamos algunos de los trucos de iPhone Local Tricks que recogí en el capítulo 2 del libro.

De todos ellos, hay uno que si se da bien es como la demo de How To Impress with FOCA, Connection String Attacks & Citrix, debido a lo espectacular e impactante de la demo. Os la cuento por si pilláis a alguien cerca que caiga y podéis triunfar en una sobremesa como si supieras tocar la guitarra.

Paso 1: Busca un iPhone 4S o un iPhone 5
Tienes que buscar a alguien que tenga un terminal de estas características porque buscamos que tenga Siri. Para eso, reconocer al iPhone 5 es muy fácil porque es distinto, pero para reconocer iPhone 4S también, ya que es el iPhone 4 con los dos cortes de la antena exterior en el mismo lado.
Paso 2: Comprueba que tiene passcode y Siri activado
Si te ha tocado el típico que no tiene passcode: Regáñale. No nos vale para la demo, ya que se trata de hacer todo con el terminal bloqueado. Si tiene passcode comprueba que tiene Siri activado. Para eso pulsa el botón unos segundos y espera a que salga Siri.
Paso 3: Averigua su dirección de e-mail
Este es el primer truco de Siri que puedes usar. Basta que preguntes: "¿Quién soy yo?" a Siri, y te responderá amablemente mostrándote la información del dueño del terminal iPhone. Ahí aparecerá más que probablemente su dirección de correo. Para la demo nos valen las cuentas de Gmail o Hotmail, así que tienes que tener suerte.
Figura 1: Averiguado quién es el dueño del telefóno


Paso 4: Usa tu teléfono y pide resetear la contraseña
Con tu terminal en la mano conéctate a Gmail o Hotmail y di que quieres recuperar la contraseña por medio de tu teléfono. De esa forma podrás ver unos números del terminal y solicitar que te llegue al iPhone que tienes en la otra mano el SMS con el código.
Figura 2: Pidiendo resetear la contraseña con un código enviado por SMS

Paso 5: Previsualización del código SMS en el iPhone
Si hay suerte y tiene la previsualización de mensajes SMS en el terminal, podrás ver el código que es necesario para cambiarle la contraseña, así que introduce el código y róbale la cuenta... Eso sí, con gracia y salero para que no se enface mucho.
Figura 3: Previsualización del SMS en la pantalla bloqueada

Paso 6: Publícalo en Twitter
Siri también puede publicar en Twitter con el terminal bloqueado, así que usa Siri para poner un twitt que diga: "Con mucha gracia y salero, me acaban de robar la cuenta de Gmail en mi cara".
Se tienen que dar muchas consecuencias juntas, pero si se dan - y algunas veces se dan - la cara de la otra persona merece que termines haciéndole una foto con su propio iPhone - que también puedes hacerlo sin passcode -. Si no se dan todas, pero al menos tiene activado Siri, configúrale una alarma a las 3 de la mañana, para que se acuerde de ti por la noche.

Saludos Malignos!

jueves, mayo 30, 2013

Sistemas resistentes a ciberamenazas y otras ciberguerras

Esta semana parece que ya no hay que preocuparse por ocultar la carrera militar de todos los países en el mundo de Internet, así que bastaba con leer unas cuantas noticias para que saliera que si China está preparando unas pruebas de Ciberguerra en una base militar de Mongolia, que si el ejercito de Indonesia prepara una unidad militar altamente entrenada para operar en Internet o que los americanos se quejan de ataques de robo de información militar por parte de China.

De todas esas noticias y artículos hay dos que creo que merece la pena darles una lectura. El primero de ellos es del Departamento de Defensa Americano que aboga por Sistemas Militares Resistentes y las Ciberamenazas Avanzadas. En ese diseño que propone creo que les encaja muy bien la idea que os dejé por aquí de diseño de sistemas "Pentesting by Desing" para que soporten un pentesting continuo 24x7 durante 365 días al año.

Figura 1: Sistemas Militares Resistentes y las Ciberamenazas Avanzadas

Además, de él, lo más curioso ha sido este párrafo que os dejo aquí donde - supongo que para meter mucho miedo a los que gestionan el presupuesto de los USA - se afirma que se ha sufrido el robo de información técnica detallada de cómo funcionan ciertos sistemas de defensa de alta importancia para la seguridad nacional. 

Figura 2: El enemigo está en nuestras redes, dice el Departamento de Defensa Americano

El otro informe que creo que os debéis leer es el de Operation HangOver, donde desde Norman se  intenta descubrir cómo desde la India se está haciendo algo similar a lo que apuntaba el informe Mandiant sobre APT1 de China. Es decir, que también hay un ciberjercito de índios dedicado al ciberespionaje.

Figura 3: Informe sobre las actividades de ciberguerra desde India

A este grupo se le atribuye el malware utilizado en ataques dirigidos contra activistas africanos firmado digitalmente con un Apple Developer ID para infectar equipos OS X Mountain Lion - al que se llamó OSX/KitM.a - y del que se encontraron más muestras usando Virus Total. Vamos, que si te apasiona este mundo de los incidentes de ciberespionaje y ciberguerra tienes para leer un rato.

Saludos Malignos!

miércoles, mayo 29, 2013

Cómo meter un troyano en iOS y espiar un iPhone o iPad

A pesar de que un terminal iPhone o iPad con iOS cuenta con muchas protecciones contra apps no deseadas en la AppStore, y de que el sistema está limitado a usuarios no privilegiados por defecto, siguen existiendo posibilidades y formas de meter un malware dentro de un terminal iPhone o iPad para espiar a su dueño. Esto es algo que se explica en detalle en el capítulo de Malware en iOS del libro Hacking iOS: iPad & iPhone, pero os voy a hacer un resumen de las distintas posibilidades.

1.- Terminal iPhone con Jailbreak usando Cydia: Si el usuario ha realizado Jailbreak existen varias formas de instalarle el malware al terminal. La primera de ella sería posible instalar el troyano desde algún repositorio usando Cydia. Para ello habría que subir la app del troyano a Cydia u otro repositorio y convencer al usuario que instale esa aplicación con trucos de ingeniería social, como por ejemplo dentro de un juego.

Figura 1: Pasos para instalar FlexiSpy en iOS con Jailbreak. Repositorios a añadir.

Muchos repositorios de apps con Jailbreak no son tan escrupulosos en los controles y es posible subir una app con un troyano en ella. En los repositorios oficiales no es tan sencillo, pero como ya vimos ha habido algún caso de apps maliciosas haciendo click fraud en este intro. El troyano FlexiSPY se descarga desde Cydia.

2.- Terminal con Jailbreak usando Juice Jacking: Si el terminal tiene Jailbreak y no se han cambiado las contraseñas de los usuarios por defecto entonces se puede poner el troyano usando una conexión OpenSSH o USBMux con solo conectar el terminal a un equipo desde el que se va a hacer el Juice Jacking. Un troyano que se puede instalar para este método es iKeyGuard.

Figura 2: Proceso de instalación de iKeyGuard en iOS con Jailbreak

3.- El terminal no tiene Jailbreak y tiene un passcode complejo pero tiene un chip A4: Los terminales iPhone 4 y los iPad 1 cuentan con un bug Limera1n en el BootROOM que permite que se pueda hacer Jailbreak en el arranque sin necesidad de conocer el passcode. Haciendo el Jailbreak es posible instalar un Custom Bundle - un programa empaquetado que se ejecuta en el terminal - para meter OpenSSH o un malware con RedSn0w en el terminal una vez hecho el Jailbreak. Eso sí, el terminal quedaría con Jailbreak y el usuario podría darse cuenta, aunque los troyanos comerciales ocultan las pistas de ello. Es necesario tener acceso físico.

Figura 3: Instalación de Custom Bundle en un terminal con Jailbreak

4.- El terminal no tiene Jailbreak, pero tiene un chip A4 y un passcode sencillo: En ese caso lo mejor es hacer un proceso de ruptura del passcode haciendo un Untethered Jailbreak usando iPhone DataProtection o Gecko. Una vez averiguado el passcode se reinicia el terminal para que pierda el Untethered Jailbreak y se inicia sesión con él passcode para instalar un troyano basado en un provisioning profile - fichero de despliegue temporal firmado por un Apple Developer ID -. Para ello será necesario tener acceso físico al terminal y haber creado un malware a medida - esto se explica en detalle en el libro de Hacking iOS: iPhone & iPad

Figura 4: Muestra de FinSpy para iOS firmada por un Apple Developer ID

Este truco es el que utiliza FinSpy para iOS de FinFisher para hacer ataques dirigidos, y será necesario obtener del terminal no también el UDID para crear el provisioning profile.

5.- El terminal no tiene Jailbreak y es un iPhone 4S, iPhone 5/5S o iPhone 6, así que se usa un Provisioning Profile: A pesar de que un terminal no tenga hecho el Jailbreak, si es posible convencer al usuario de que acepte un provisioning profile - o se ha podido averiguar el passcode con algún truco local -, será posible instalar un troyano en el equipo si este va firmado digitalmente. Por ello, si se cuenta con un Apple Developer ID se puede firmar el código e instalarlo en el equipo aun no habiéndose hecho el Jailbreak.

Si se tiene acceso físico al equipo y se conoce el passcode o se tiene acceso a un equipo con el que está pareado, entonces se podría instalar fácilmente el troyano con el provisioning profile o incluso utilizar la herramienta WhatsApp Anti-Delete Protection Tool para monitorizar los mensajes de WhatsApp borrados. De forma similar funciona MacTans, haciendo uso de un terminal desbloqueado que se conecta sin passcode a un equipo camuflado que simula ser un cargador. Automáticamente genera un provisioning profile para el equipo conectado e instala la app accediendo al sistema de ficheros.

Una evolución de esto fue el ataque de Wirelurker y Masque, donde usando provisioning profiles desde el equipo Windows/OS X pareado al iPhone, se introduce una app que reemplaza a una de las originales del equipo, pero troyanizada. En este caso se puede ver la secuencia de pasos para meter un Gmail troyanizado firmado por un provisioning profile.

Figura 5: Ataque Masque para iOS. Se mete un Gmail troyanizadoa partir de un falso Flappy Birds

Por último, hemos visto que software de espionaje como Hacking Team utilizan las herramientas de Jailbreak para infectar el dispositivo realizando primero el proceso de jailbreak cuando está el iPhone pareado.

Figura 6: Hacking Team primero hace el jailbreak y luego instala el troyano

6.- Sin Jailbreak, sin acceso físico y sin provisioning profile vía App Store: Aunque parece que meter un malware un la AppStore es muy complicado, ya ha habido casos de software malicioso introducido vía AppStore como Find & Call, los robos de datos de los juegos de Storm-8, o los comportamientos "maliciosos" de algunas apps como Twitter for iOS o Path

Figura 7: Los juegos de Storm 8 que robaban datos

Además, hemos tenido caso de apps "no maliciosas" que han insertado malware para Windows o usado técnicas de descarga de malware, además de contar con pruebas de concepto como la de InstaStock de Charly Miller. Todas ellas pasaron todos los controles de la AppStore. Si eres capaz de hacerlo tú, solo deberías convencer al usuario de que se instalase esa app.

Esto es solo un resumen del capítulo del Libro de Hacking iOS: iPhone & iPad que hemos escrito entre muchos profesionales de la seguridad, y que de verdad creo que ha sido uno de los mejores libros publicados por nosotros hasta el momento.

Saludos Malignos!

martes, mayo 28, 2013

Charlas y Conferencias para Junio de 2013

Durante el mes de Junio además de estar todos los martes en la radio, voy a participar en algunos eventos en las ciudades de Madrid, Barcelona y Lima (Perú), así que si te interesa y puedes asistir a alguno de ellos, aquí tienes toda la información disponible.

Barcelona

En Junio estaré en el I Congreso de Seguridad en la Red dedicado a Ciberespionaje y Ciberseguridad que tendrá lugar en la Universidad Oberta de Catalunya el próximo día 4 de Junio. La jornada creo que está llena y no hay plazas, pero si ya estás apuntado aprovecho para recordarte que no faltes, y si no puedes venir avises para que los que están en lista de espera puedan asistir.

Además, el día 14 volveré a estar por allí en la gira OWASP EU 2013, junto con un buen plantel de ponentes. Creo que este evento aún no está lleno, así que si quieres y puedes asistir aprovecha para registrarte cuanto antes.

Madrid

En Madrid estaré en un par de eventos. El primero de ellos el día 6 de Junio en Bolsalia, al que puedes apuntarte cuanto antes, y después el día 26 de Junio en una sesión para clientes de Telefónica, así que si quieres asistir habla con tu comercial de Telefónica para que te ayude a registrarte.

Lima (Perú)

Algo similar sucederá en Perú, donde el día 19 de Junio estaré en Lima en otro evento de clientes de Telefónica, por lo que si quieres asistir deberás hablar con tu responsable de cuenta en Telefónica y conseguir que te reserve alguna plaza. Yo no controlo ninguno de estos registros.

Radio e Internet

Como llevo haciendo desde el mes de Septiembre, estaré todas las semanas del mes en el programa de Radio de Javi Nieves (@javinieves) en La Mañana de la Cope. Todos los martes un poco pasadas las 11 de la mañana. Se puede escuchar por streaming por Internet.

Además, durante este mes de Junio comenzará en Móstoles el Módulo V del FTSAI, dedicado a seguridad WiFI, VoIP, VPNs e IM, y si no puedes apuntarte a nada por el trabajo siempre puedes encargarte uno de nuestros libros en la nueva editorial 0xWord.

Saludos Malignos!

lunes, mayo 27, 2013

¡Recoja ya sus cuentas de servicio y váyase de la empresa!

Cuando un empleado entra en una empresa a trabajar recibe una cuenta de correo electrónico. Esa cuenta dejará de ser suya cuando termine su relación contractual con la compañía que le aprovisionó de esa dirección de correo electrónico, y por tanto todas las cuentas de servicios de Internet que se hayan asociado a ellas. Esto es especialmente importante si esa dirección de correo electrónico es una cuenta de correo de tipo "piedra clave", es decir, sobre la que recae la recuperación de todas las contraseñas de otras cuentas de servicio.

Figura 1: Un e-mail como piedra de clave

Para cualquier empresa es sencillo saber si una dirección de correo electrónico corporativa de un ex-empleado está asociada a un servicio, ya que en casi todos los sitios de Internet es posible conocer si la dirección está en uso en en él. Para ello, se puede utilizar:
- El servicio de Login: Al introducir la cuenta de correo electrónico en el proceso de login es posible conocer si la cuenta existe o no en el servicio. El caso más claro de esto es FaceBook, donde te saca hasta la foto de la persona. 
- El servicio de recuperación de contraseñas: En la mayoría de los sitios web se puede pedir que te envíen un correo electrónico para recuperar la contraseña. Muchos dicen si existe o no existe esa cuenta. Un ejemplo de ellos es Menéame, que al intentar recuperar la clave dice si existe o no. 
Figura 2: Recuperación de contraseña en Meneame 
- El proceso de alta de nuevas cuentas: En este caso, cuando se desea crear una nueva cuenta, si se usa una dirección de correo electrónico que ya tiene asociado esa dirección de correo electrónico sale un mensaje de error. Un ejemplo de esto es Twitter, donde se avisa de este hecho.
Al final, si te han despedido, en cualquier momento una empresa podría recuperar la cuenta de correo electrónico - o asignarla a otra persona - y con ella podrían secuestrarte o borrarte todas las cuentas en redes sociales - como ya vimos en el caso de Instagram donde no se valida que seas el dueño de la cuenta -, así que más vale que lleves apuntado dónde la has utilizado.

Saludos Malignos!

domingo, mayo 26, 2013

Pentesting Persistente, Pentesting Contínuo, Pentesting by Desing

Cuando se hace la auditoría de seguridad a una empresa lo más probable es que siempre acabes entregando un informe en el que se demuestra que ha sido posible entrar - si no a todo - a zonas importanters del sistema. Además, siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes al sistema o fallos de configuración en el entorno que abren definitivamente la puerta.

Esto en la vida real se puede ver fácilmente en lo sencillo que es encontrar vulnerabilidades en sitios web de grandes compañías como Apple, o en webs de proyectos de importancia como el Senado o la web de la famosa Presidencia Europea de España, que acaban sufriendo por errores fácilmente detectables en una auditoría de seguridad.

Aún así, muchos de los sitios webs que acaban siendo vulnerados han pasado alguna auditoría de seguridad en algún momento de su ciclo de vida, lo que hace dudar más si cabe, sobre si el modelo de auditoría de seguridad externa que contratan muchas empresas tiene sentido o no. O lo que es lo mismo, responder a la pregunta de por qué en la mayoría de los casos en los que se hace una auditoría de seguridad, se descubren cosas graves. La respuesta a esta pregunta es sencilla:

El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24x7 durante todo el ciclo de vida de tu sistema.

Todos los días a todas horas debería estar el sistema informática bajo el ataque del pentester. Para ello tu sistema tiene que estar diseñado con soporte para Pentesting desde la fase de diseño. Y si no, pues perderás la guerra y acabarás owneado.

Mi teoría es que mientras te ataquen más los más malos que los buenos, tienes las de perder, y para ello es necesario contar con un proceso de pentesting diferente. No se puede contar con una grupo de pentesters durante una semana que vengan y te demuestren que pueden colarse en tu sistema. Así lo único que estás contrastando es que en la próxima auditoría que te obliguen a hacer dentro de un año volverás a ser comprometido - si no totalmente, al menos parcialmente -.

Pentesting Persistente/ Pentesting Continuo

Entre el tiempo que pasa entre un proceso de pentesting y otro tu sistema informático va a sufrir cientos de mutaciones provocadas por actualización del software de los servidores, el software de los clientes y/o toda la electrónica de red. También habrá actualizaciones y cambios en el código de tus sitios web que habrán realizado tus desarrolladores. Tus certificados digitales se habrán hecho un poco más viejos, algunos hasta habrán caducado, y las contraseñas de tus usuarios habrán sido usadas de forma insegura en cientos de sitios. Por supuesto, tu sistema informático habrá crecido en tamaño, quieras o no, un buen porcentaje.

A todo esto, habrá que sumar unos cuantos miles de charlas en conferencias de seguridad y hacking en las que se habrán publicado cientos de herramientas, cientos de nuevos trucos de hacking y cientos de bugs en componentes que utilizas en tus sistemas.

Todos estos cambios, todas estas nuevas herramientas, todo este nuevo conocimiento estará ya en el arsenal de un pentester que habrá seguido estudiando Kung-Fu para darle una buena paliza a tu sistema la próxima vez que te encuentre.

¿Y si tengo el al equipo de pentesting interno?

Genial. Si tienes un equipo de seguridad haciendo pentesting todo el día, con formación continua, con capacidad de lanzar una prueba contra un sistema todos los días a cualquier hora, sin necesidad de pasar una enorme lista de restricciones antes, entonces estarás haciendo lo que te digo: Pentesting Continuo

Pero si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testear el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido, ya que tu sistema no cuenta con Pentesting by Desing.

Tus sistemas tienen que estar diseñados para soportar el acoso 24x7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24x7 de los buenos. Si no es así, los malos ya han ganado y es cuestión de tiempo que acabes con un defacement de LulzSec - u otro grupo - o una portada en los medios de comunicación por un bug de renombre.

Yo sistematicamente pruebo los bugs nuevos que aparecen con sitios que deberían tener un cierto nivel de preocupación con estos temas, como los metadatos con la Misile Defense Agency o en las agencias de inteligencia mundiales, los .DS_Store con Apple y Google, o los fallos de IIS Short Name en webs de Beijing y Washington D.C. Al final ni ellos tienen un sistema de Pentesting continuo 24x7.

Pentesting by Design

Para que puedas tener un proceso de auditoría que sea más rápida y efectiva que los ataques de los malos tienes que hacer que tu sistema cuente con el Pentesting by Design. Esto quiere decir que el dimensionamiento de la memoria, el almacenamiento y el ancho de banda de la línea de comunicaciones en tu sistema esté diseñado con el porcentaje necesario para dar una calidad de servicio adecuada a tus usuarios, más el porcentaje destinado al ataque continuo de los malos, más el porcentaje necesario para que tu sistema pueda sufrir un proceso de Pentesting Continuo 24x7 desde el primer día.

¿Es suficiente esto?

Pues no, por supuesto. El Pentesting by Desing te permitirá realizar un Pentesting Persistente de tu equipo, lo que te permitirá sólo que los procesos de auditoría de seguridad tengan las mismas oportunidades que un atacante malo, pero luego deberás seguir haciendo los deberes en todas las fases de gestión de la seguridad de tus sistemas.

Actualización: La implementación de esta idea la llevamos finalmente a la realidad con nuestro servicio de Pentesting Persistente Faast que ofrecemos a grandes empresas e industrias.

Saludos Malignos!

sábado, mayo 25, 2013

Crónicas: Policí@s y L@drones

Hace un par de meses se estuvo grabando un documental sobre el mundo del e-crime y el fraude online en Internet para el programa Crónicas de La 2. En ese programa entrevistaron a cuerpos de seguridad del estado, profesionales del mundo de malware y expertos en delincuencia en Internet. El programa ha terminado teniendo una duración de 45 minutos e intenta explicar detalles técnicos para el gran público, explicando qué es una botnet, un kit de exploits, un ataque DDOS, etc..


Además hay una entrevista con un mulero y la oferta de empleo. También se hacen algunas demos con Poison Ivy o Phishing y se habla del Virus de la Policia. Como es muy fácil de entender, es el vídeo perfecto que debes ver y compartir con todo el mundo para que conozcan mejor los riesgos de Internet.

Saludos Malignos!

viernes, mayo 24, 2013

Internet es Mío: El vídeo de la charla

El viernes 17 de Mayo volví a colarme una vez más en el evento Internet es Tuyo. Solo lo hice para dar una charlita de 20 minutos, pero al final puse un vídeo de Cálico Electrónico y la cosa se me fue a media hora. Ya lo han publicado, y como esta semana ando bastante liado con el trabajo y no tengo mucho tiempo para escribir posts, aprovecho para publicarlo hoy.


Además de hablar de FOCA y Evil FOCA, añadí una nueva sección "correos que me mandan", al estilo de los de "Buscas criminales, no hackers" y el "Escarmiento maligno para la delincuente del Tuenti", aunque en este caso tienen mucho que ver con el tema del servicio de Recuperar Mensajes Borrados de WhatsApp que lanzamos, llamado RecoverMessages.com

Saludos Malignos!

jueves, mayo 23, 2013

Vídeos de conferencias en DefCON 20

Ya se han publicado todos los vídeos de la DefCON 20 en Youtube en el formato montado - con vídeo del speaker y de la pantalla -, así que ya puedes pasar horas de diversión viéndote todas las charlas. Puede llevarte más de una semana sin descansar verlas todas, pero... aprenderás mucho.

Figura 1: Vídeos de la Defcon 20

Entre las charlas, está la de Owning bad guys {and mafia} using JavaScript Botnets, así que si no la has visto aún o tienes ganas de volver a verla, aquí la tienes.


Saludos Malignos!

miércoles, mayo 22, 2013

Doctor Maligno

Durante los años 2007 a 2009 estuve trabajando con intensidad en terminar mi tesis doctoral en seguridad informática. Ese periplo me llevó a varios congresos académicos por diversos países, teniendo que llegar presentar en un IEEE en la ciudad de Guangzhou en China. Aquella presentación me resultó tan extraña por el ambiente, el lugar, y la forma, que tuve que hacerle un No Lusers a mi conferencia en China.

Dejé todo publicado en congresos académicos, pero como muchos otros doctorandos, a la hora de terminar de cerrar el texto final de la tesis fui relajándome poco a poco, teniendo un parón desde el 2010 al 2012, años en los que me centré más en el trabajo profesional que en la vida académica.

Ya por fin, en Septiembre de 2012 me tomé en serio el acabar de cerrar esta etapa de mi vida académica y saqué tiempo de mi apretada agenda para terminar y depositar la tesis en la Universidad Rey Juan Carlos, donde ayer me tocó defenderla ante el tribunal.

Normalmente se suele decir que defender la tesis es un trámite, pero después de estar sometido a las preguntas del tribunal durante más de dos horas puedo deciros que no tuve yo tal impresión. Los doctores venían con anotaciones que iban desde puntuaciones a referencias, aplicabilidad, críticas para la mejora y aportes de calidad para completar el trabajo. Algo que agradezco por encima de todo, pues demuestra un gran interés en lo que he estado haciendo.

Después de estar todo ese tiempo de pie, con la tensión propia del momento, empecé a pensar que mi madre, que andaba por allí, estaría sufriendo más que yo al ver a su "josemaricariño" bajo el tercer grado del tribunal. 

Por fin se acabó el acto y tras la deliberación del tribunal y las felicitaciones por acabar el doctorado, pasamos a una fase mucho más lúdica en la que pudimos cenar y departir sobre muchas cuestiones. Y es que hablar de seguridad informática y tomar un lomo de buey con vino es otra cosa. Así debería haber sido la defensa hombre, con mesa y mantel de por medio.

Ahora, como doctor, ya os podré recetar las inyecciones, que será de LDAP o SQL dependiendo de si tu sistema se rompe de una u otra forma. 

Saluos Malignos!

martes, mayo 21, 2013

0xWord: Nueva marca, nuevos libros y nuevos packs

Hace tiempo que llevamos trabajando sin parar en la editorial de libros de seguridad informática y hacking, y hoy es el día en que hemos contaros todo. En primer lugar, y lo más importante es el nuevo cambio de nombre de la editorial de libros, a la que hemos bautizado como 0xWord y donde no solo tenéis a la venta los libros que ya teníamos disponibles, sino que hemos añadido muchas sorpresas.

Figura 1: La nueva editorial 0xWord

Hemos querido mejorar todo el proceso de venta, automatizando mucho los pasos que hay que dar para poder adquirir los libros, con lo que esperamos que os sea mucho más cómodo el realizar vuestros pedidos.

Novedades: Los nuevos libros

Para el lanzamiento hemos querido traeros una buena cantidad de novedades, que esperemos que os gusten, porque hemos puesto mucho mimo en los títulos y en el contenido de los libros. Ahí van.

Figura 2: Hacking iOS y Pentesting con Kali

Hacking de dispositivos iOS: iPhone & iPad

Al final del libro de Metasploit para Pentesters añadimos un capítulo de unas 20 páginas en las que explicábamos estrategias que se podían seguir para usar Metasploit en un proceso de pentesting de dispositivos iOS. Haciéndolo, nos dimos cuenta de que merecía un libro completo, y empecé a reclutar a los que pensé que mejor podían explicar los diferentes puntos, así que junté a Juan Garrido "Silverhak", José Selvi, José Picó y David Pérez de Taddong, Ioseba Palop, Igor Lukic, Juan M. Aguayo, Pablo González, Alejandro Ramos "Dab", y acabamos haciendo un libro que creo que es de los mejores que hemos publicado en mucho tiempo. Os animo a que descarguéis el índice y echéis un ojo a todo lo que se ve en él.

Pentesting con Kali

Nada más que se anunció la evolución de BackTrack a Kali Linux nos pusimos a analizar todo lo que traía la nueva distribución, así que el equipo de auditoría terminó por hacer este libro que explica todas las herramientas y cómo utilizarlas en un proceso de pentesting. Si quieres aprender a hacer tests de intrusión con Kali Linux, este es el libro que necesitas. 

Figura 3: Hardening GNU/Linux y Criptografía

Hardening de servidores GNU/Linux

Hace tiempo que nos lo habían pedido, así que al final nos decidimos a publicar un libro de Hardening de servidores GNU/Linux. En él se dedica una parte a las arquitecturas LAMP, donde se ven recomendaciones para Apache, PHP, MySQL, pero también los servicios VPN, las conexiones SSH, el registro de eventos y análisis de los mismos, etcétera. 

Cifrado de comunicaciones digitales: De la cifra clásica a RSA

Tenía ganas ya de tener un libro de criptografía en el catálogo, así que no había mejor forma de hacerlo que contando con Jorge Ramió y Alfonso Muñoz, dos eminencias en esta materia, que cuando apareció el "algoritmo mágico" que retaba a los hackers se encargaron de dejar las cosas claras. Si quieres aprender criptografía desde el principio hasta el algoritmo RSA y las debilidades criptográficas conocidas, éste es tu libro con toda seguridad.

Nuevos Packs de oferta

Además de los nuevos libros, queremos celebrar la apertura de la nueva tienda con 6 packs con ofertas que podrás adquirir desde hoy hasta el próximo 1 de Junio. Los packs que hemos creado son:

- Pack Colección Completa

Para los que quieran tener la colección completa, para regalarla a los amigos, para hacer que el departamento técnico de la empresa esté más feliz, o para leer y aprender mucho, hemos creado un pack que tiene todos los libros a buen precio.

La Colección Completa

A día de hoy, hemos conseguido que la colección haya crecido bastante, y el número de libros que tenemos en el Catálogo Completo es el siguiente.
- Libro 26: Hacking dispositivos iOS: iPhone & iPad NOVEDAD
- Libro 25: Pentesting con Kali NOVEDAD
- Libro 24: Hardening de servidores GNU/Linux NOVEDAD
- Libro 23: Criptografía: De la cifra clásica a RSA NOVEDAD
- Libro 22: Desarrollo de Aplicaciones Android Seguras
- Libro 21: Wardog y el Mundo
- Libro 20: Hacking y Seguridad VoIP
- Libro 19: Microhistorias: Anécdotas y curiosidades de la Informática
- Libro 18: Hacker Épico
- Libro 17: Metasploit para pentesters
- Libro 16: Windows Server 2012 para IT Pros
- Libro 15: PowerShell: La navaja suiza de los SysAdmin
- Libro 14: Desarrollo Apps para iOS: iPad & iPhone
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicaciones Web: SQL Injection
- Libro 11: Aplicación del ENS con tecnologías Microsoft
- Libro 10: Hacking de comunicaciones Móviles
- Libro 9: Máxima Seguridad en Windows 2ª Edición
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores: Google, Bing, Shodan y Robtex 2ª Edición
- Libro 6: Una al Día, 12 años de Seguridad (Últimos ejemplares)
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación de LOPD
- Libro 1: Análisis Forense Windows 3ª Edición
Distribuidores de libros en Latino América

Como ya os he dicho hace poco, actualmente tenemos distribuidores de nuestros libros en los siguientes países:
- Argentina: Root-Secure
- Colombia: IT Forensic
- Ecuador: HCK-S
- Chile: DreamLab Technologies
También os quería dar las gracias a todos los que habéis comprado y leído nuestros libros, que han llevado a que tanto Metasploit para Pentesters, Hacker Épico y Hacking de Aplicaciones Web: SQL Injection hayan superado el millar de ejemplares vendidos, algo que nos llena de alegría. Y no me gustaría terminar este texto sin dar las gracias a jurado por el Premio SIC 2013 que recibió Hacker Épico por innovar en la forma de enseñar, divulgar y entretener con seguridad informática y hacking.

Saludos Malignos!

lunes, mayo 20, 2013

Un matemático japonés señalado como creador de Bitcoin

Hoy en día casi cualquier persona ya sabe lo que es un BitCoin, la famosa moneda criptográfica que se usa tan comumente en la Deep Web y ya en muchos sitios de la Web, siendo robada hoy día por el malware como una moneda tradicional más. Sin embargo, el paper que dio soporte a Bitcoin es uno de los que más curiosidad ha levantado a lo largo de los últimos años. No solo porque describe todo su funcionamiento en un documento de 8 páginas en el que se define todo el sistema monetario que se ha metido en la economía mundial con tanta intensidad, sino por que su único firmante está oculto bajo un pseudónimo: Satoshi Nakamoto.

Figura 1: El paper de BitCoin

Como a muchos de vosotros, estos misterios que se ocultan como huevos de pascua en el mundo de la informática me atrapan irremediablemente y que sea en tecnologías tan importantes más todavía. Esto no es único de Bitcoin, y como apuntaban en Security By Default sucede también por ejemplo con los creadores de TrueCrypt, que también permanecen en el anonimato, en teoría, como mecanismo de protección del proyecto.

A lo largo de los años que lleva BitCoin funcionando las especulaciones han sido muchas alrededor de quién puede estar detrás de él, y ahora, Ted Nelson - creador del termino HyperText - en un vídeo de 12 minutos, tenemos otra que apunta a un matemático japonés llamado Shinichi Mochizuki, profesor de la Universidad de Kyoto.

Figura 2: El vídeo de Ted Nelson explicando sus conjeturas

Las pistas, porque no podemos hablar de pruebas, en las que se basa para dar esta afirmación son que el creador de la moneda debe tener conocimientos en matemáticas y criptografía suficientes para poder crear algo así. En segundo lugar que la forma de trabajar de Mochizuki es publicar primero y enviar a revisión de congresos después, es decir, que no espera la revisión inicial de sus iguales y lanza a publicar sus ideas. La última es, por supuesto, que BitCoin se ajusta al tipo de trabajo que ha desarrollado Shinichi Mochizuki en su vida académica.

Una de las cosas a las que se refiere también, es que el paper de BitCoin está escrito en un perfecto Inglés, y que esto sólo podría hacerlo alguien que hubiera estudiado inglés profundamente y que el citado Mochizuki ha sido Salutatorian en Princeton, y que para serlo tienes que escribir un inglés de alta calidad.

Al final no puede garantizar que sus afirmaciones sean correctas, pero de ser así resolvería uno de los misterios que llevan años circulando por el mundo de la informática, "¿quién creó Bitcoin?".

Saludos Malignos!

domingo, mayo 19, 2013

Españoles por el mundo

Hace no demasiado David Barroso (@lostinsecurity) recogía en us blog una lista de los ponentes Españoles que habían participado en las conferencias de BlackHat, donde él fue el pionero que abrió la lista. Desde que él comenzara, poco a poco nos hemos ido animando a participar en este tipo de eventos de seguridad, y ya empieza a ser común que en las conferencias internacionales haya ponentes nacidos en España

Esto antes no era así, y me da mucha alegría ver a chavales fantásticos como José Miguel Esparza (@eternaltodo), Hugo Teso (@hteso) o Ángel Prado (@PradoAngelo) en las listas de la última Hack In The Box o anunciados para la próxima Black Hat USA 2013. Son jóvenes de una nueva generación de investigadores de seguridad mucho más proclive - tal vez por la situación económica - a salir de nuestro país, pero también mucho más preparada a todos los niveles.

Figura 1: Hugo Teso. Aquí su presentación de la HiTB que causó tanto buzz mediático

Una generación de ingenieros e investigadores de seguridad.... que está ahora casi toda fuera de nuestras fronteras o pensando en irse, porque tanto Ángel, como Hugo, como José Miguel Esparza han seguido los pasos de otros como Ero Carrera, Dreyer o Fermín J. Serna, por poner solo tres ejemplos del cada vez más largo etcétera de profesionales de primer nivel que se fueron a trabajar al extranjero. Algunos pocos con más suerte han convencido a sus empleadores para que les monten la oficina en Málaga, pero son los menos, y el resto ha tenido que emigrar fuera.

Figura 2: CVE de Fermín en la última update de Apple iTunes

Retener a gente de tanto nivel suele ser difícil para un país que no tiene un tejido tecnológico como debería tener, pero espero que algún día, todos estos emigrantes tecnológicos, puedan venir a trabajar a su tierra otra vez, que sé que muchos se hubieran quedado, aún sacrificando cosas, en sus lugares de origen si las oportunidades hubieran sido un poco menos malas.

Suerte a todos los que abandonáis vuestro país para buscaros la vida. En cuanto a los españoles que estáis en las conferencias enseñando vuestros trabajos al mundo, enhorabuena y seguid así. Los que sois de aquí seguro que ya sabéis lo que diría el Rey... (¡Ouch!)

Saludos Malignos!

sábado, mayo 18, 2013

DreamLab Technologies: Distribuidor de libros en Chile

Como sabéis, estamos trabajando para conseguir tener un distribuidor de nuestros libros de seguridad informática y hacking en todos los países de Latino América. Hoy os anuncio que hemos cerrado un acuerdo con la empresa DreamLab Technologies para que podáis comprar a través de ellos todos nuestros libros en Chile. Ponte en contacto con ellos y solicita los tuyos.

Figura 1: Contacto con DreamLab Technologies

Ahora mismo, podéis comprar los libros en Colombia a través de IT Forensic, en Ecuador a través de HCK-S, en Argentina a través de Root Secure y en Chile a través de DreamLab Technologies. En el resto de los países aún no hemos podido cerrar acuerdos, pero intentaremos poder hacerlo cuanto antes.

Si eres una empresa en alguno de estos países, y te apetece ser distribuidor nuestro, puedes ponerte en contacto con nostros y te damos la información. Si en tu país no tienes distribuidor aún para comprar los libros, ponte en contacto con nostros y te informaremos de cuál es la opción más económica ti.

Saludos Malignos!

viernes, mayo 17, 2013

Metadatos en algunos justificantes de la Banca Online

Supongo que muchos habréis comprado alguna vez online, y recibido un documento por correo electrónico con el justificante de la compra. Si miras con FOCA encontrarás que en esos documentos siempre suele haber algún metadato curioso, y hasta alguna ruta interna de la aplicación web que lo genera.

Lo que no había probado nunca es a hacerlo con un justificante de banca online y, como han podido probar algunos compañeros, en ellos también es posible encontrar metadatos. Entre la información que aportan estos metadatos se encuentra el software que utilizan para generar dichos documentos.

Figura 1: Metadatos en un justificante bancario de banca online

Una curiosa y pequeña fuga de información que muestra información del software que utiliza una compañía tan sujeta a ataques del mundo del e-crime y el fraude online, y que fácilmente se podría evitar con soluciones como nuestro querido MetaShield Protector }:).

Si te topas con alguna información curiosa en algún documento que te genere alguna aplicación online, no dudes en pasármelo para mi colección de ejemplos ejemplares de casos con metadatos.

Saludos Malignos!

jueves, mayo 16, 2013

Tu privacidad en peligro por culpa de las conexiones WiFi

Hace tiempo que quería escribir sobre este tema que me tiene dando vueltas a la cabeza, y no es otra que la privacidad de las personas y las redes WiFi que frecuenta. En un titular, la idea es que alguien puede saber qué lugares frecuentas - includo dónde vives - gracias las redes WiFi que busca tu dispositivo. Es decir, saber en qué ciudades has estado, en que hoteles, en qué bloques de edificios o en que restaurantes has comido, siempre que te hayas conectado a una red WiFi allí y no hayas tenido la precaución de eliminarla.

Esta afirmación tiene muchos detalles importantes, así que voy a intentar ir por partes para no dejarme nada, y poder llevaros a una conclusión final entendible. Comencemos por un fallo de seguridad en los dispositivos iOS, Android y los equipos Mac OS X - seguro que alguno más también, pero no los Microsoft Windows -, como aperitivo.

Búsqueda de redes WiFi

Cuando una red WiFi expone su SSID (su nombre) mediante la difusión de Beacon Frames, no es necesario que ningún equipo cliente vaya buscándola incansablemente. ¿Qué ganaría?. El equipo sólo podría conectarse a ella si la red está emitiendo Beacon Frames que indiquen que está activa.

Sin embargo, aunque la red no esté oculta, los equipos con iOS, Android o Mac OS X, buscan insaciablemente todas las redes a las que se han conectado alguna vez, lo que permite a cualquier atacante que escuche los mensajes Probe de estos dispositivos, saber a qué redes se ha conectado alguna vez ese dispositivo.

Figura 1: SSIDs buscados por un iPhone

Si a esto le sumamos que ni iOS, ni Android, ni Mac OS X validan el BSSID - y la validación BSSID es importante -, los hacen más que propensos a los ataques de Rogue AP, pero esa es otra historia de la que ya hemos hablado por aquí hace tiempo.

En el caso de los sistemas Microsoft Windows esto no es así. Si un equipo con Windows 6.X {Vista, 7 u 8} tiene configurada una red WiFi, este equipo no emitirá un mensaje Probe si la red no está emitiendo los Beacon Frames, con lo que no descubrirá nunca a qué redes se ha conectado en el pasado. Como debe de ser para proteger la seguridad de un cliente.

Conexiones a redes WiFi ocultas

Pero como en todo, hay dos caras en esta moneda. Si el dueño de la red WiFi, para quitarse curiosos ha decidido ocultar la red WiFi mediante la no emisión de Beacons Frames, entonces los clientes Microsoft Windows no se conectarían nunca a esa red, ya que no emitirían mensajes Probe hasta no recibir un anuncio de la presencia de la WiFi. Para ello, en la configuración de las propiedades de una red inalámbrica es posible marcar una opción que dice: "Conectar aunque la red no difunda su nombre (SSID)".

Figura 2: Opciones de conexiones a redes WiFi en Windows

En ese caso, los equipos Windows emitirían mensajes Probe para localizar las redes WiFi que están ocultas - solo con estas redes -, pero claro, esto lo harían en cualquier ubicación donde esté el sistema, descubriendo las redes a las que se han conectado en el pasado. La ventaja en Microsoft Windows es que se puede elegir - como en muchos de los ejemplos descritos en Máxima Seguridad en Windows -, y en el peor de los casos se comportaría como un Mac OS X, y solo a cambio de tener el beneficio de poder tener la red WiFi oculta - algo se gana -.

Pensando en la privacidad de los clientes

No obstante, visto lo visto, creo firmemente que puestos a elegir es mejor no descubrir a qué redes se conecta una persona - para garantizar su privacidad - a costa de no ocultar el SSID de una red WiFi, ya que esa protección solo es para curiosos, y no para atacantes que estén haciendo wardriving en la zona. Cualquier atacante avanzado solo tiene que esperar un poco en la zona para descubrir toda la información de la red, ya que con el primer cliente que se conecte será posible descubrir que allí hay una red WiFi oculta con un SSID que va en el mensaje Probe de establecimiento de conexión.

Por otro lado, el que una persona vaya contándole a todo el mundo a qué redes se conecta es como ir contándole a todo el mundo dónde vive, dónde trabaja, dónde veranea y en que lugar vive su amante. Algo que puede afectar seriamente a la privacidad de los clientes.

Cómo saber en qué lugar está una red WiFi

Hasta el momento yo he dicho que publicar a qué redes te conectas es como enumerar una lista de sitios que frecuentas, y esto es así gracias a las bases de datos de wardriving creadas con el esfuerzo de muchos amantes de esa disciplina. Estas bases de datos no suelen ser abiertas para todo el mundo, y suele haber sistemas de radio para acceder a ellas - es decir, tú colaboras reportando las redes WiFi que descubra tu equipo y te dejamos consular la base de datos -. 

Figura 3: Popular herramienta de Wardriving WiFiFoFum

Ejemplos de estas herramientas pueden ser WiFiFoFum o WiFiGet Scan, pero si quieres ver un ejemplo funcional de una base de datos grande, Wigle.net tiene una base de datos de los Estados Unidos bien repleta, y permite buscar todas las redes en ubicaciones GPS utilizando el SSID.

Figura 4: Ubicación GPS de la red amanda3413 en Wigle.NET

Los grandes Wardrivers: Google y Apple

Para que la localización de personas se pueda hacer a través del valor SSID de la red WiFi es necesario contar con una buena base de datos de nombres SSID, valores BSSID y ubicaciones GPS, lo que implica muchos amantes del wardriving peinando ciudades. 

Para solucionarlo, los grandes wardrivers, a.k.a. Google y Apple, decidieron convertir a todos los clientes de sus terminales iOSAndroid - además de utilizar el Google Street Car - en wardrivers, de tal manera que cada vez que un usuario con los servicios de localización activados en su dispositivo detecta una red WiFi, reporta su posición tanto a Google como a Apple.

Figura 5: Ejemplo de reporte a Apple de información de red WiFi

Esto dio lugar a la famosa charla de "Cómo conocí a tu chica" en BlackHat, en la que se hacía uso de la API de Google para localizar ubicaciones físicas de equipos WiFi basados en su dirección MAC. Pero la API está ahora prohibida. Google ha capado esa conexión.

Lo curioso es que el reporte no es inmediato, así que si activas los servicios de localización se reportan las últimas redes WiFi y sus posiciones, lo que lleva a que el propio reporte de las redes WiFi a las que te conectas con un iOS sea también un leak de información que deje claro a que BSSIDs te conectas.

Debido a este comportamiento de los dispositivos Apple se ha publicado iSniff-GPS, que permite capturar los mensajes que emite un iPhone/iPad pudiendo localizar las redes WiFi a las que se ha conectado y su ubicación GPS. Adios privacidad.

Figura 6: iSniff-GPS mostrando en un mapa las redes a las que se conecta un terminal iOS

¿Cómo protegernos de esto?

Tras analizar esto, hay que suponer que, el SSID y el BSSID de nuestra red WiFi, y su ubicación GPS, de una manera u otra ha acabado en una base de datos de Wardrivers, ya sea de aficionados a esta disciplina o de grandes profesionales en esta materia como Google o Apple. Así que, cualquiera que sepa a qué redes nos conectamos acabará por localizar nuestros lugares de hábito, lo que para muchas personas puede ser un grave problema.

Para evitar esto, si tienes un equipo portátil, parece que Windows es el que mejor trata la seguridad de las conexiones WiFi, así que no ocultes el SSID de tu red WiFi, fortifica la red para estar más protegido contra los ataques, y listo. Como truco, utiliza SSIDs comunes, aunque no demasiado. Me explico, lo suficientemente comunes para que salgan bastantes redes con el mismo SSID en cualquier base de datos de wardriving, pero no demasiado comunes como para que alguien haya decidido pre-calcularse las rainbow tables de ese SSID para WPA/WPA2-PSK. Aquí tienes un artículo sobre cómo atacar redes WPA/WPA2-PSK.

Si tienes la red oculta, o un Mac OS X, o un terminal móvil con iOS {iPhone & iPad} o Android, lo mejor que apagues la WiFi siempre que no sea estrictamente necesario que la tengas encendida, usa conexiones 3G - cuidado con las GPRS - siempre que te sea posible, y borra cualquier red WiFi que hayas usado una vez termines de trabajar con ella - y aún esté en tu ámbito de alcance -.

Saludos Malignos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares