lunes, septiembre 30, 2013

Becas Talentum Startups Long Track en Eleven Paths

Como muchos sabéis he visto nacer el programa Talentum Startups de Telefónica desde el día uno, y soy uno de los mayores fan de la oportunidad que está suponiendo para muchos jóvenes a los que veo transformarse desde el principio de la beca hasta el final, solo con el esfuerzo que el dedican y los contactos con los compañeros de aventuras. Es por ello que desde Eleven Paths hemos querido apoyar el programa y sacar 5 becas para que estén algunos Talentums más haciendo este trabajo en nuestras oficinas.

Figura 1: Primera selección de Talentums

Las becas que vamos a tener son Talentum Startups Long Track, es decir, que vendrán a hacer 5 proyectos que nosotros vamos asignarles para que los lleven a cabo durante 6 meses en horario de media jornada - de mañana o de tarde -. Los proyectos serán de seguridad informática, por supuesto, así que están abiertas para chicos y chicas menores de 30 años que disfruten de estas cosas. Además, por requisitos del programa tendrán que estar en la Universidad matriculados cursando algunos estudios en el momento.

Figura 2: Talentum Startups Long Track en Eleven Paths

La selección final de los becados la haré personalmente yo, así que primero hay que apuntarse antes del 2 de Octubre en la Fundación Sepi a estas becas, y luego os haremos una pequeña prueba escrita y una  prueba presencial donde hago preguntas de esas que me gustan a mí de seguridad, programación y tecnología.

Figura 3: Más hackers en la segunda  Talentums

Por supuesto, hay que saber programar en algún lenguaje para optar a las becas, así que deberá saberse Java o C# principalmente, aunque si se sabe programar en otros lenguajes también podría servir, ya que adaptaríamos el proyecto.  Eso sí, te tiene que gustar mucho esto, que luego os vamos a exigir bastante, pero a cambio creo que os lo váis a pasar bien con todos los que andamos por allí dando a la tecla.

Saludos Malignos!

domingo, septiembre 29, 2013

Problemas de privacidad de WhatsApp con Google y Bing

La verdad es que de entre todas las formas posibles de espiar WhatsApp, estos problemas de indexación de WhtasApp en los buscadores Google y Bing son una gota de agua en un océano, pero aún así sirven para ilustrar cómo las fugas de información con datos de tu vida personal pueden estar en cualquier rincón inesperado.

Aprovechando que había estado mirando los problemas de indexación de Facebook en Google y Bing, quise comprobar cuántos otras empresas grandes estaban teniendo situaciones de confusión similares. Como ya expliqué en aquel artículo, el que haya que usar etiquetas X-Robots-tag en los servidores web, etiquetas Meta en las págginas HTML, los ficheros robots.txt y una cuenta de cada uno de los buscadores para pedir que elimine los documentos que se han indexado por error, me parece lo suficientemente confuso como para que muchas empresas tengan problemas con ello. Y lo he querido probar con WhtasApp.

Figura 1: El fichero robots.txt de WhatsApp.com

Como se puede ver, en el fichero robots.txt de WhatsApp no hay mucho que rascar, pero aparecen dos URLs prohibidas lo suficientemente jugosas como para darle un vistazo a las URLs que se hayan quedado indexadas en los buscadores de alguna forma.

Figura 2: El patch indexado en Google

De la URL de Android/Third_party no hay más que un patch con no demasiada información en él, pero ahí está, indexado en Google. De la siguiente URL sí que hay más jugo. Si buscamos por URLs con la ruta payments aparecen bastantes de ellas, y como se puede ver, muchas tienen el parámetro phone con el número de teléfono de la persona que acaba de comprar la app.

Figura 3: Rutas de payments con números de teléfono

Si miramos el código fuente de cksum_pay vemos que no hay ninguna meta para evitar el cacheo de las páginas ni la indexación de las URLs, por lo que todos estos datos, cuando Google o Bing los indexan, quedan guardados en la base de datos.

Figura 4: Datos de campos hidden de cksum_pay.php

Si revisamos el resto de URLs que aparecen dentro de la ruta payments del servidor web de WhatsApp, vemos que hay alguna de compra de una extensión del servicio, en la que se puede acceder también al número de teléfono de la persona que ha hecho la compra de dicho servicio.

Figura 5: Datos de una compra de extensión de servicio

Por supuesto, como el mensaje de saludo y la fotografía son datos públicos en los servidores de WhatsApp, y sabiendo que este número ya tenía Whatsapp de antes, he hecho como con los teléfonos de las páginas de contactos adultos, y he ido a buscar a la persona que tenía su número indexado. Y ahí está.

Figura 6: Perfil Whatsapp de la persona indexada en Google

En definitiva, creo que toda esta arquitectura de robots, metas y demás parches para controlar lo que se debe indexar o no en los buscadores de los sitios es un poco lioso y puede generar problemas a muchas grandes empresas que no hayan tenido en cuenta eso, que esa URL que envias a tus clientes puede ser tu perdición. En este caso son pequeños detalles de la privacidad de los usuairos de WhtasApp, pero viendo el interés que tiene todo el mundo en la seguridad de Whatsapp, probablemente pueda ser aprovechado por alguien de alguna manera...

Saludos Malignos!

sábado, septiembre 28, 2013

Historias de espionaje personal por miembros de la NSA

Desde que escribí el artículo de Owned! (o cómo la NSA mató el espíritu de Internet), se han ido publicadno muchas informaciones más referentes a los documentos filtrados por Edward Snowden que voy guardando y leyendo en detalle para escribir una segunda parte, pero hoy voy a hacer una excepción y hablar solo de un nuevo documento, esta vez no filtrado sino desclasificado por la propia Not-Such-Agency.

Ha sido en la revista Wired donde se ha publicado un documento desclasificado de la NSA en el que se recopilan 12 historias protagonizadas por miembros de la Agencia de Seguridad Nacional Norte-Americana que han utilizado toda la mega-estructura de "recolección de información" de la organización para su beneficio personal. En estas tristes aventuras descritas, que por supuesto tienen detrás historias personales, se han propasado en sus funciones haciendo uso de su posición privilegida para espiar a novias, novios y personas aleatorias civiles, que probablemenete han sufrido experiencias negativas.

Figura 1: Documento desclasificado con casos de ciberespionaje personal en la NSA

Este documento de solo 5 páginas recopila solo una pequeña muestra con docena de casos, pero vistos los pocos controles que exige el Patriot Act y FISA, la verdad es que es bastante preocupante el que esto haya podido pasar muchas más veces. El que una persona tenga a su alcance un poder de tal magnitud sin que haya una supervisión ferrea por parte de la justicia civil hace temer a muchos que este tipo de situaciones se hayan dado en muchas más ocasiones con personas indefensas ante estos sistemas de comunicación.

Ahora el presidente Barack Obama quiere regular un poco más los cometidos y las funciones en este tipo de investigaciones, pero ya veremos en qué acaba esto. Tras el conocimiento de todas las operaciones en Internet, parece imposible frenar ya esto, más cuando no parece que sea solo algo de EEUU y son muchos los países que se han lanzado a esta carrera de espionaje en Internet.

Saludos Malignos!

viernes, septiembre 27, 2013

Conéctate a TOR con tu propio nodo y sin Internet "normal"

Anoche en la fiesta de speakers de Ekoparty tuvimos una buena charla durante un buen rato donde acabamos contándonos esas historias de no dormir que han pasado a uno u a otro hacker en algún momento. Cosas de esas que asustan un poco si te dedicas a esto que nos tocó por pasión. Por supuesto llegamos al tema de la red TOR, las conexiones anónimas o no, y el caso del hacker "hache" para discutir técnicas de cómo había podido ser detectada su dirección IP de conexión a Internet real.

En el caso de la red TOR, parece que el exploit de Mozilla Firefox usado por el FBI - y que ahora está incluido dentro del framework de Metasaploit - es el que se ha llevado por delante el anonimato de muchas personas, revelando la dirección IP de la máquina, la dirección MACy el nombre del sistema en una conexión HTTP realizada a un servidor de Virgina, USA, por lo que si se quiere ser anónimo hay que pensar en alguna capa de protección extra a nivel de red.

En medio de esas conversación, Juliano Rizzo nos comentó que lo mejor era solucionarlo con un sencillo truco de arquitectura en la cada de red, que debería utilizar todo el que quiera investigar en la red TOR o darse un paseo por la Deep Web, y que os lo dejo por aquí por si os sirve de utilidad.
- Sin conexión a Internet: Suponiendo que haya un exploit del navegador con el se conecta alguien a TOR, lo mejor es que esa máquina no tenga conexión a Internet sin pasar por TOR, eso evitaría que se revelara la dirección de conexión a Internet.  
- Red local privada aislada de la de trabajo: En el caso de que el exploit tenga acceso a la configuración local de la dirección IP, como en el caso de WebRTC en Mozilla Firefox y Google Chrome, lo que se debe evitar es que la dirección IP de la máquina pública, por lo que se debe crear una red privada aislada.  
- No Macs ni hostname identificativos: Se deben utilizar direcciones MAC spoofeadas y nombres de equipos que no identifiquen para nada al usuario de la máquina o su localización. 
- Con tu nodo TOR de por medio: Por último, mejor tener claro a que nodo de entrada te conectas, así que evita conectarte a un nodo TOR de otro que pueda ser malicioso en primer lugar. Si lo puedes tener en una máquina Raspberri Pi o similar separado, mejor que mejor.
Con todos estos ingredientes, la solución es una arquitectura más o menos como la que se ve en la imagen. La maquina de trabajo tendrá el hipervisor donde deben correr dos máquinas en un segmento de red aparte. Una que será el nodo de la red TOR - y tendrá conexión a Internet - y la otra, la máquina virtual desde la que se conecta el cliente a la red TOR, y que si no hay conexión vía TOR, no tiene conexión a Internet, para evitar reportar tráfico por una conexión fuera de la red.

Figura 1: Sugerencia de arquitectura de conexión a red TOR

Es una forma sencilla de tomar una precaución extra que evitaría caer en esquemas de ataques client-side, Javascript Botnets, o rogue node TORs de entrada, basados en data leaks y que parece más fácil de montar por cualquiera. Por supuesto, si te lanzan un exploit con elevación de privilegios y control total de la máquina, capaz de saltarse la VM y pasar a la máquina física la historia se acabó, pero el trabajo que hay que realizar es mucho mayor al que es necesario con solo tener un cliente TOR en tu máquina física.

Saludos Malignos!

jueves, septiembre 26, 2013

Prescinde de tu Sistema Operativo, si puedes...

Imaginemos la siguiente situación: Usted tiene la intención de realizar un ataque de fuerza bruta sobre una contraseña aplicando un algoritmo dado. Entonces debe de tomar algunas decisiones importantes que influirán en el rendimiento y el tiempo de ejecución que su programa de crackeo tardará en completar el proceso. A pesar de que puede escribir su aplicación ayudado por las facilidades de algún lenguaje interpretado (como Perl o Python), se da cuenta de que escribir el código en C y obtener un binario compilado puede brindarle algunas mejoras significativas en lo que a performance se refiere.

Finalmente, y antes de correr el programa, cierra todas las aplicaciones y procesos que pudiesen estar consumiendo recursos del sistema: el navegador web, el procesador de textos y quizás hasta su preciado antivirus. Ahora ya puede dejar que su ordenador haga todo el trabajo y sentarse en el sofá a la espera de resultados, al fin y al cabo su procesador se encuentra ocupado únicamente con el algoritmo de bruteforce, ¿verdad?

La cruda realidad no muestra una cara tan bonita, por desgracia. Puede regresar a su equipo y abrir el monitor de procesos/administrador de tareas, tranquilamente otros 20 procesos podrían estar ejecutándose además del suyo, y algunos de ellos ni siquiera pueden “matarse” sin cargarse el sistema. Pero esto no es más que la punta del iceberg, su SO está gestionando por detrás múltiples hilos de kernel, interrupciones, mecanismos de entrada/salida (I/O), y si todavía no se ha desconectado de Internet, atendiendo a todos los paquetes que entran y salen por la interfaz de red.

Y hay más, muchísimo más, su querido sistema multitarea realiza controles de colas, intercambio de stacks entre procesos, IPC, y está haciendo verdaderas virguerías con la paginación y gestión de memoria virtual ayudado por el hardware subyacente. Digamos que cada 100ms una interrupción se genera en el procesador (ticks de reloj) y el núcleo del sistema retoma el control e invoca el scheduler para comprobar cuál es el próximo proceso que merece su tiempo (slice). Desde luego, esto es lo que hace un sistema operativo moderno, y otra infinidad de tareas que de forma intencionada nos dejamos en el tintero, pero usted solo quería crackear una contraseña, todo lo demás es “tiempo perdido”.

Bajo esta premisa decidí realizar la siguiente demostración. Cree un pequeño programa que aplicara la conjectura de Collatz para los primeros cincuenta millones de números. Al igual que un algoritmo de bruteforce, esto proporciona alimento suficiente para el procesador. El cálculo es sencillo, se selecciona un número, si es par se divide entre 2 y si es impar se multiplica por 3 y se suma 1, y se vuelve a aplicar el mismo proceso sobre el resultado. La conjetura dice que para todos los números naturales la secuencia siempre termina en 1. Observe el siguiente programa:
#include <stdio.h&gt
#include <stdlib.h>
#include <string.h&gt
#include <time.h>
void print_time(void)
{

char buff[32];
time_t now;
memset(buff, 0, 32);
now = time(0);
strftime (buff, 32, "%H:%M:%S", localtime(&now));
printf("%s\n", buff);
int main(int argc, char *argv[])
{

unsigned int i, n;
print_time();
for ( i = 1; i < 50000000; i++ ) {

n = i;
while ( n != 1 ) {
if ( n % 2 == 0 )

n = n / 2;
else
n = n * 3 + 1;
}
}
print_time();
return 0;
}

Luego lo ejecutamos en una distribución Ubuntu 12.04 (3.5.0-40) sobre un procesador Intel(R) Core(tm)2 Duo T8300 2.40 GHz con 3GB de memoria RAM. La imagen muestra el resultado.

Figura 1: Tiempo de ejecucion del programa de ejemplo

El cálculo se ha prolongado por 50 segundos del reloj. Y ahora viene la pregunta clave, ¿qué ocurriría si pudiésemos hace que el procesador dedicase todo su tiempo a nuestro algoritmo? La solución pasaba por crear un bootloader en el primer sector de un disquete o USB que simplemente crease una GDT básica para pasar del modo real al modo protegido (facilitando así la posibilidad de ejecutar código C) y luego aplicar el mismo algoritmo.

No tenemos la intención de mostrar aquí el código completo, solo lo suficiente para que comprenda la explicación. He aquí la primera parte del proceso de boot en ensamblador. En lo que nos concierne, no hace falta que lo comprenda, digamos que simplemente pasa al modo protegido y luego llama a una función bootmain().
.code16
.globl start
start:

cli
xorw %ax,%ax
movw %ax,%ds
movw %ax,%es
movw %ax,%ss
clear_scr:
movb $0x06,%ah
movb $0x07,%bh
xorw %cx,%cx
movb $24,%dh
movb $79,%dl
int $0x10
seta20.1:
inb $0x64,%al # Wait for not busy
testb $0x2,%al
jnz seta20.1
movb $0xd1,%al # 0xd1 -> port 0x64
outb %al,$0x64
seta20.2:
inb $0x64,%al # Wait for not busy
testb $0x2,%al
jnz seta20.2
movb $0xdf,%al # 0xdf -> port 0x60
outb %al,$0x60
lgdt gdtdesc
movl %cr0, %eax
orl $CR0_PE, %eax
movl %eax, %cr0
ljmp $(SEG_KCODE<<3), $start32
.code32
start32:

movw $(SEG_KDATA<&lt3), %ax # Our data segment selector
movw %ax, %ds # -> DS: Data Segment
movw %ax, %es # -> ES: Extra Segment
movw %ax, %ss # -> SS: Stack Segment
movw $0, %ax # Zero segments not ready for use
movw %ax, %fs # -> FS
movw %ax, %gs # -> GS
movl $start, %esp
call bootmain
spin:
jmp spin
.p2align 2
gdt:

SEG_NULLASM # null seg
SEG_ASM(STA_X|STA_R, 0x0, 0xffffffff) # code seg
SEG_ASM(STA_W, 0x0, 0xffffffff) # data seg
gdtdesc:
.word (gdtdesc - gdt - 1) # sizeof(gdt) - 1
.long gdt # address gdt
Y ahora la función bootmain() en C que finalmente ejecuta la Conjetura de Collatz e imprime el rango de tiempo:
#include "types.h"
static ushort *crt = (ushort*)0xb8000; // CGA memory
void
bootmain(void)
{

unsigned int n, i;
unsigned short segundos = 0x00, minutos = 0x00, horas = 0x00;
asm volatile ("xorb %%al,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(segundos));
     asm volatile ("movb $0x02,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(minutos));
asm volatile ("movb $0x04,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(horas));
crt[160] = ((horas >> 4) + '0') | 0x0a00;
crt[161] = ((horas & 0x0f) + '0') | 0x0a00;
crt[162] = ':' | 0x0a00;
crt[163] = ((minutos >> 4) + '0') | 0x0a00;
crt[164] = ((minutos & 0x0f) + '0') | 0x0a00;
crt[165] = ':' | 0x0a00;
crt[166] = ((segundos >> 4) + '0') | 0x0a00;
crt[167] = ((segundos & 0x0f) + '0') | 0x0a00;
for ( i = 1; i < 50000000; i++ ) {

n = i;
while ( n != 1 ) {

if ( n % 2 == 0 )
     n = n / 2;
else
     n = n * 3 + 1;
}
}
asm volatile ("xorb %%al,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(segundos));
     asm volatile ("movb $0x02,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(minutos));
     asm volatile ("movb $0x04,%%al;"
     "out %%al, $0x70;"
     "in $0x71, %%al": "=a"(horas));
crt[240] = ((horas >> 4) + '0') | 0x0a00;
crt[241] = ((horas & 0x0f) + '0') | 0x0a00;
crt[242] = ':' | 0x0a00;
crt[243] = ((minutos >> 4) + '0') | 0x0a00;
crt[244] = ((minutos & 0x0f) + '0') | 0x0a00;
crt[245] = ':' | 0x0a00;
crt[246] = ((segundos >> 4) + '0') | 0x0a00;
crt[247] = ((segundos & 0x0f) + '0') | 0x0a00;
return;
}
En el centro de este código observamos el mismo bucle for() que en el programa original que ejecutamos en Linux, todo lo demás son las virguerías que hay que hacer para interactuar con los puertos y obtener la hora de la máquina. Recuerde que lo que estamos haciendo en realidad es programar un “mini sistema operativo” que únicamente ejecuta nuestro algoritmo y luego entra en un bucle infinito. Una vez que compilamos todo el tinglado y lo insertamos en un disquete (obviamos este proceso en el artículo), accedemos a la BIOS para indicarle que arranque desde el floppy. En la imágen el resultado:

Figura 2: Resultado obtenido prescindiendo del sistema operativo

El proceso ha durado tan solo 30 segundos frente a los 50 invertidos por el sistema operativo. Sorprendentemente hemos realizado la misma tarea en un 60% del tiempo inicial, lo cual quiere decir, de forma aproximada, que un ataque de bruteforce que se prolongase por 24 horas, podría realizarse en unas 14 horas “si prescindimos del sistema operativo”.

Otra prueba sobre Windows XP con un procesador AMD Athlon(tm) 64 3000+ 1.81GHz y 512 MB de RAM, proporcionó un resultado de 46 segundos frente a los 68 que tardaba la aplicación en la shell del sistema operativo.

¿Qué es un sistema operativo? Pues esos 22 segundos “fantasmas” de diferencia que usted no sabía que podía ahorrarse.

Obviamente, esta demostración y el artículo que está leyendo no son más que una demostración curiosa. Usted necesita un sistema operativo para trabajar y créame que hoy en día estos invierten ese tiempo fantasma de una forma más económica y elegante que hace algunos años.

Las pruebas se han realizado sobre sistemas operativos de 32 bits, con un procesador x86_64 y un Windows 7 de 64 bits (por poner un ejemplo), seguramente habría que trabajar sobre long mode para poder realizar comparativas fiables...

Entienda que estamos programando la máquina desde cero, y no disponemos de ninguna de las facilidades que un sistema operativo le ofrece al programador, no existen librerías del sistema y todo debe hacerse a bajo nivel, pero no sería descabellado crear un sencillo framework con un bootloader básico que cargase un kernel mínimo en el que usted pueda insertar su algoritmo. Funciones de manejo de cadenas y otras de salida por pantalla pueden ser creadas de antemano sin mucho esfuerzo y proporcionadas por anticipado. No es más que una idea... interactuar directamente con la GPU de la tarjeta gráfica siempre parece más atractivo.

Toda esta teoría también podría aplicarse a un dispositivo Raspberry Pi si usted es capaz de crear un bootloader para ARM, prescindiendo así de la distribución Raspbian de Linux. Estos aparatos pueden realizar algunas tareas costosas si se combinan en un potente cluster, pero si usted no es un gurú o un ninja de la programación, será realmente complicado comunicar entre sí todos los dispositivos y realizar cualquier tipo de procesamiento paralelo.

Por lo demás… Happy Hacking!

by blackngel (blackngel@blackbycode.com)

miércoles, septiembre 25, 2013

De paseo por la Deep Web

Ayer participé en el congreso e_Coned organizado por el periódico El Norte de Castilla. Como no tenía mucho tiempo para estar allí, me situaron en el primer bloque, que estaba dedicado a medios de pago. Y como lo mío es la seguridad, decidí hacer una charla hablando de La Deep Web y los medios de pago que allí se usan durante los 25 minutos de tiempo que tenía. Estas son las diapositivas que hice, pensadas para alguien que no tuviera mucho contacto con ella, y como las no son demasiado explícitas, os dejo un poco más de detalle por aquí de lo que conté, además de dejaros las referencias que usé.


Una introducción a la Deep Web

El termino Deep Web se puede leer en el paper publicado en el año 2001 por Michael K. Bergman, titulado: "The Deep Web: Surfacing Hidden Value". En él se habla más de cómo conseguir hacer accesible el contenido que no está indexado en las fuentes más comunes de búsqueda de información que de una red oculta con intención, pero lo cierto es que cabe entenderse esa interpretación.

En todas partes encontraréis datos que hablan de que la Deep Web es equivalente, más o menos, al 96 % del contenido de lo que hay en Internet, pero la verdad es difícil confirmar este dato. Hay muchos trabajos que hacen sampling y estimaciones de cuánto puede ser lo que hay en Internet sin que esté controlado, o esté oculto. A mí me ha gustado cómo echa las cuentas en el año 2006 Denis Shestakov del tamaño de la Deep Web Finlandesa.

Dentro de lo que está en la Deep Web, es obligatorio hablar de la red TOR, aunque después de la cantidad de formas de buscar datos en ella no parece que esté tan oculto, a priori. Sí que habría que tomarla como oculta al principio, ya que para navegar se necesitaba un cliente especial que debe ser instalado, pero desde que están los proxies que conectan la Web con la Deep Web, como por ejemplo Onion.To, ahora no parece que sea imprescindible ni ese software. Ya es posible, usando esos servicios buscar contenido y acceder a dominios .onion sin necesidad de ningún software especial en la máquina cliente.

El nacimiento de la red TOR estaba pensado no para tener contenidos ocultos, sino para garantizar anonimato a los clientes que se conectan y privacidad en el envío de la información entre los nodos, para, entre otras cosas, ayudar a las personas oprimidas y perseguidas en regímenes dictatoriales. En el informe de los Enemigos de Internet 2013 queda a las claras recogido como muchos gobiernos tienen un control de Internet total, y desde que se han publicado algunos programas de espionaje de la NSA, parece que esto lo hace la gran mayoría de los gobiernos.

Por supuesto, en la red TOR también se ocultan depredadores y delincuentes que quieren hacer su Agosto, como los vendedores de identidades y dinero falso, el mercado negro de armas, explosivos y drogas, o los llamativos asesinos a sueldo que se venden por un puñado de monedas electrónicas.

En el caso de las monedas electrónicas en la Deep Web, siempre se busca que las transacciones puedan ser tan anónimas como unos billetes entregados en un sobre, por lo que BitCoin, la moneda respaldada por capacidad de cómputo, es una de las más populares.

Una introducción a las monedas virtuales

En los últimos años yo he visto como el BitCoin ha pasado de valores de 20 o 30 USD por cada BC hasta los actuales 130 USD más o menos que se pueden dar por cada BitCoin en cada uno de los intercambios. En esta web se puede acceder a una cotización mundial de esta moneda, que además deja ver el histórico de fluctuación en los últimos meses. Sorprendentes los cambios.

Que la moneda sea anónima, como los billetes, hace que los ladrones quieran robarlos de las e-wallets que los almacenan, por lo que a lo largo de la historia ha habido incidentes de millones de USD en grandes robos de BitCoins, y malware que ha ido buscándolos en las carteras de las víctimas.

Sin embargo, lo peor que puede pasarle a alguien es que la moneda deje de funcionar, como sucedió como la empresa de Costa Rica que llevaba Liberty Reserve, y que de repente convirtió todo el dinero en humo cuando fue cerrada por los cuerpos de seguridad. No hay que preocuparse, rápidamente los usuarios se mueven hacia otras alternativas como Web Money o Perfect Money que permiten, si no todas, muchas de las características que ofrecía Liberty Reserve.

Unas preguntas para reflexionar

Visto todo esto, las preguntas que se puede hacer una persona o un comercio online pueden ser varias, que cada uno debe responder con la mayor de las sinceridades.
- ¿Me puedo fiar de vender objetos con monedas virtuales? El caso de BitCoin deja claro que podemos hablar de una moneda con un buen recorrido pero con alta fluctuación de valores. Como punto negativo pesa sobre ella lo sucedido con Liberty Reserve, aunque mi opinión es que no tienen nada que ver, y que BitCoin tiene aún larga vida. 
- ¿Me puedo fiar de los clientes que vengan por la red TOR? Esto es algo que yo me pregunté, sobre todo con el tema de la banca online, pero visto el nivel de espionaje en la red, y la paranoia de muchos, es probable que navegar por TOR sea la forma habitual de muchas personas, incluso para ver sus fondos personales o comprar sus artículos de primera necesidad. De hecho, un ejemplo de la duda que genera el que vengan las conexiones de la red TOR la tenemos en el caso del diputado Santiago Cervera, ya que el correo que recibió citándole provenía de un servidor de dicha red. Turbio. Muy turbio. 
- ¿Es realmente anónimo usar la red TOR? Pues ya vimos que no tanto. Desde el uso de exploits que localizan la dirección IP, el nombre de la máquina y la dirección MAC como el que usó el FBI para detectar las direcciones IP de los clientes con las versiones de Mozilla Firefox vulnerables - que más que probablemente se llevo a nuestro amigo "Hache" por delante -, hasta los sistemas de análisis pasivo de tráfico que son capaces de descubrir las auténticas direcciones, hacen pensar que ser totalmente anónimo es imposible.
Para terminar la introducción

Por último, ¿es TOR toda la Deep Web? La respuesta es que no. Ni lo era en el paper inicial que hablaba de contenidos no localizables por estar lejos del alcance de los indexadores, ni lo es hoy en día, donde hablamos de Deep Web como algo mucho más "underground", con clientes de red específicos - hay otras redes de las que se podría hablar largo y tendido - o ubicaciones ocultas. Hasta los mundos online de los juegos son a día de hoy lugar donde se interactúa de forma más o menos secreta para compartir y hacer negocios al margen del Internet de los negocios. Las "Marianas" de la Deep Web llaman algunos a estos sitios ocultos más allá...

Saludos Malignos!

martes, septiembre 24, 2013

Eleven Paths: Algunos detalles y más "hackers"

Hace poco que acabamos de cumplir cinco meses en la corta historia de Eleven Paths, pero os aseguro que durante este tiempo no hemos parado de hacer cosas. A pesar de que por ahora no he querido contaros mucho, internamente estamos trabajando duro para intentar sorprenderos en breve con muchas novedades.

Figura 1: Logo de Eleven Paths

Sí que habéis podido ver que hemos hecho un trabajo en la re-ingeniería de los productos destinados a evitar la fuga de información por metadatos, que ha dado lugar a la familia de productos MetaShield Protector que ya está disponible para todo el mundo, y que hemos "matado" a la FOCA para convertirla en el servicio de pentesting continuo 24x7 que hemos bautizado como Faast.

Algunas otras cosas de las que estamos haciendo os las dejamos suponer si vais prestando atención con cuidado a los temas que se van tratando en el blog de Eleven Paths y a las pequeñas herramientas que allí vamos publicando, hasta que podamos hablar de los productos abiertamente.

Como el trabajo en Eleven Paths va cogiendo tracción, la necesidad de crear un equipo de trabajo más fuerte es fundamental, para lo que yo continuo cual director deportivo seleccionando uno a uno los compañeros que quiero que estén en Eleven Paths, que ahora es la niña de mis ojos. Y alguno más comienza a unir su trabajo a nosotros.

A los que ya sabéis que están en el equipo hemos unido durante este mes a tres amigos y dos Talentums, que son Dani "The Doctor" Kachakil, Manu "The Sur",  y Claudio Caracciolo más los jóvenes Tero de la Rosa y Javier Espinosa. Los primeros son tres caras nuevas que para mí están ya muy vistas y que aún así quería ver más a menudo, e integradas en nuestro equipo.

Figura 2: Claudio Caracciolo hablando de ingeniería social en TEDxUTN

Claudio Caracciolo será nuestro germen en la región de Latam, donde trabajará como nuestro Chief Security Ambassador con el objetivo de poder estar más cerca de nuestros clientes en la región, así que será nuestro hombre allí para cualquier cosa relativa a Eleven Paths.

Manu "The Sur" se ha incorporado ya a afinar las pruebas de auditoría que que hace Faast, con lo que se ha unido al equipo de Pablo González, Ioseba Palop, Oscar, Julia y Ricardo para continuar incrementando la base de conocimiento del servicio. Algún día os publicaremos en el blog de Eleven Paths comparativas de resultados entre FOCA y Faast para que entendáis mejor a qué me refiero.

Figura 3: Mandingo, Atar, Dani Kachakil, el Maligno, abuelo Parada y RoMaNSoFt hace años

Dani Kachail se unirá al equipo de David Barroso con Palako, Rodol, Sergio de los Santos y Antonio Guzmán, a desarrollar los proyectos que aún tienen nombres código y de los que os contaremos más en el futuro.

Los jóvenes Javier Espinosa y Tero de la Rosa son más cantera de la buena que da este país, ya que he decir que el programa Talentum - que ahora se ha extendido para jóvenes hackers desde 10 u 11 años - creo que es de lo que más he disfrutado en mucho tiempo. Cada vez son más los que veo que han pasado por el programa haciendo cosas chulas con la tecnología.

Figura 4: Tero de la Rosa en la European AppCup en Bélgica

Tero de la Rosa ya se ha dado la vuelta por muchos países participando en casi todos los hackatones que se han puesto en su camino y ahora es el compañero de aventuras de Sergio en Málaga. Javier, además de tener no-se-cuál récord de resolver varios cubos Rubik a ciegas en unos segundos se va a montar en un avión para convertirse en el padawan de Palako en su destino londinense. 

En definitiva, en estos meses el trabajo en Eleven Paths está siendo divertido, acelerado y excitante, así que esperemos que en breve pueda contaros más de esos "internal paths" que tenemos dentro de la zona de incubación de proyectos.

Saludos Malignos!

lunes, septiembre 23, 2013

La Ekoparty, el CTF de la NCN, y algún evento más

Esta semana he cambiado mi día de participación en el programa de La Mañana y estaré hoy a las 11:30 hablando de todos los bugs de iPhone 5S, iPhone 5C e iOS 7 que se han descubierto en estos días. Esto es así porque mañana martes voy a participar en Valladolid en las conferencias e_Coned para irme luego del tirón a la Ekoparty 2013 que tendrá lugar esta semana en Buenos Aires, donde además haré alguna cosa con nuestro distribuidor Root Secure de libros de 0xWord allá, y también algo con Telefónica y Eleven Paths que os contaré en detalle, si no es por aquí, por mi cuenta Twitter (@chemaalonso)

Pero también hay otra lista de cosas que van a pasar en el corto plazo que debes tener presente, ya que este mimos viernes da comienzo el CTF que organiza el equipo de Facebook para la NoConName. Ya os podéis apuntar a él, e intentar resolver los retos que se podrán realizar en remoto del 27 al 29 de Septiembre. Promete ser más que interesante.

Esta semana también continúa el curso de Criptored sobre Ciberdefensa a través de Internet. Ya no os podéis apuntar al curso completo, pero sí a las charlas individuales que van a continuar impartiendo todos los compañeros. Tenéis más información en la web del curso: Ciberdefensa. Os podéis apuntar a los módulos 4 a 8 por separado, donde también participaré con una charla en el módulo que comienza ¡hoy!

Ya durante la primera mitad del mes de Octubre yo volveré al horario habitual de los martes en el programa de radio de La Mañana, donde estaré los días 1, 8 y 15 del mes que entra en el horario normal de 11:15 a 11:30.

El primer fin de semana de Octubre, del 3 al 5, tendrá lugar la Navaja Negra en Albacete, donde hay una buena lista de ponentes anunciados y donde podréis comprar los libros de 0xWord con un descuento dentro de las conferencias. Las inscripciones están ya abiertas, y en la web del congreso tenéis toda la información necesaria.

Y ya sobre mitad de mes yo participaré en un par de eventos que tendrán lugar en el entorno universitario. El día 17 de Octubre en la Universidad Europea de Madrid, en el Campus de Villaviciosa de Odón, tendrán lugar las V Jornadas sobre Ciberamenazas y Ciberdefensa, en horario de 16:00 a 20:00. Yo En dicho evento participará también el Ministerio de Defensa, la Guardia Civil y Alejandro Ramos, entre otros.

El día 18, 19 y 20 de Octubre, en la Escuela Universitaria de Informática de la UPM tendrá lugar el evento CodeMotion, donde daré una charla el día mismo día de apertura a última hora de la jornada. Puedes apuntarte a este evento ya desde la web de la iniciativa, disponible en: CodeMotion.

Y eso es todo lo que tengo en mente de forma pública, que el resto del tiempo estaré dedicado a otras lides de más íntimo proceder. El resumen de todo lo que os he dicho os lo dejo en esta mini-agenda con la leyenda [G]ratuito y [*] que significará que yo participaré:
Septiembre
23: Online [Radio La Mañana a las 11:30] [G][*]
23: Online [Ciberdefensa - OSINT] [*]
24: Valladolid [e_Coned] [*]
25 - 28: Buenos Aires [Ekoparty][*]

27 -29: Online [CTF NoCONName][G]
Octubre
01: Online [Radio La Mañana a las 11:15][G][*]
03-05: Albacete [Navaja Negra]
08: Online [Radio La Mañana a las 11:15][G][*]
15: Online [Radio La Mañana a las 11:15][G][*]
17: Villaviciosa de Odón [Ciberdefensa UEM][G][*]
18-20: Madrid [Codemotion][*] 
Saludos Malignos!

domingo, septiembre 22, 2013

Denunciar a un acosador en Facebook, Twitter o WhatsApp

Las redes sociales como Facebook o Twitter tienen herramientas para bloquear y denunciar usuarios, pero su control acaba cuando la cuenta es eliminada del sistema. Facebook o Twitter NO llevan sus acciones al mundo legal, identificando la ubicación y nacionalidad real del acosador y la víctima, capturando las evidencias necesarias y enviándoselas a los cuerpos de seguridad de cada país. No es tarea de ellas, y por tanto no lo hacen.

La investigación de un caso de acoso

La tarea de investigación es responsabilidad de los cuerpos de seguridad de cada estado, y por tanto La Policía, Los Mossos, la Ertzaintza o la Guardia Civil en España, y en cada país los cuerpos de seguridad correspondiente, serán los encargados de construir un caso para detener y enjuiciar al acosador.

Para ello, hay que denunciar la situación de acoso ante los cuerpos de seguridad poniendo una demanda, y entregar todas las pruebas, evidencias e indicios que sean posibles. Cuanto más robustas sean las pruebas mejor, ya que en muchas ocasiones será necesario solicitar datos de direcciones IP, huellas digitales de conexión, o mensajes enviados ya borrados a los proveedores tecnológicos, como Facebook, Microsoft o Google, así que hay que darle el máximo de herramientas para argumentar su petición, y de verdad que no siempre es fácil conseguir esos datos.

Figura 1: Datos de colaboración de Microsoft con los cuerpos de seguridad

En el caso de Microsoft hay datos exactos de peticiones que atienden de cada país, y sé de buena tinta cómo tiene estructurado un equipo para agilizar cualquier denuncia de este tipo, aunque como siempre no son perfectos. En otros proveedores a veces es más difícil de conseguir, ya que no se han establecido las relaciones institucionales adecuadas en todos los países, o porque la legislación en el país de creación de esa empresa tienen una ley distinta a la del estado donde tiene lugar el acoso. Hay muy trabajo de relación entre instituciones policiales para solicitar información vías bi-laterales, EuroPol o InterPol. Es un trabajo arduo el de investigación, y que se ha endurecido después de todo lo sucedido con el "escándalo" de espionaje masivo de la NSA.

Figura 2: Sistema PRISM de "colaboración" de tecnológicas con NSA

Por eso, es necesario recabar toda la información posible que demuestre la infracción. Decir: "Me puso algo amenazador por Facebook y lo borré, pero si le piden los datos a Facebook podrán comprobarlo" no es lo mismo que "Me dijo esto que pueden ver en esta copia firmada digitalmente". Hay que intentar que los indicios sean lo más parecido a algo que se pueda convertir en una prueba. Cualquier dato es una herramienta para que el investigador policial pueda hacer mejor y más rápido su trabajo.

eGarante y la firma digital de evidencias

El servicio eGarante proporciona la tecnología necesaria para realizar la labor de obtener una evidencia digital. Actúa como un testigo tercero independiente y genera un documento en formato PDF con un screenshot de la web de la que queramos obtener la evidencia. Ese documento PDF lleva a su vez una firma digital hecha por eGarante  - en calidad de testigo - y un sello de tiempo emitido por una entidad reconocida para acreditar el momento de la evidencia.

En el caso de acoso vía redes públicas como Twitter se puede hacer uso del servicio de eGarante para firmar digitalmente los twitts. Así, si son borrados, siempre quedará constancia de que eso se digo. También es útil para aquellos políticos o personajes públicos que atentan al honor de las personas con salidas de tono de lo peor.

Figura 3: Twitt firmado digitalmente con eGarante

Otro servicio donde se puede conseguir una copia digital firmada, y que es utilizado habitualmente por acosadores, son las notas que se autodestruyen al cabo de un tiempo, de las que os hice en un ejemplo con DestructingMessage.

Figura 4: Nota autodestructiva firmada digitalmente por eGarante

Mensajes Privados en Facebook o Twitter

El problema es si son mensajes enviados en privado por Facebook, Mensajes Directos en Twitter, o correos electrónicos. En esos casos, para que el tercero, - en este ejemplo eGarante - pueda constatar que se envió a una determinada hora ese mensajes, es necesario utilizar el plugin de eGarante para Firefox, que enviará los datos necesarios de la sesión para firmar la página en, por ejemplo, la red social Facebook. Una vez descargo e instalado aparecerá como plugin en el navegador.

Figura 5: Plugin de eGarante para Firefox permite capturar evidencias de sitios web

En este ejemplo, simplemente con navegar por Facebook y detectar algo que se quiere dejar constancia y convertir en evidencia, se puede solicitar la firma de la página con el plugin y eGarante devolverá la página firmada en un documento PDF, y con un timestamp para que se pueda entregar junto al dossier de la denuncia. Esto ayudará al investigador a realizar su trabajo en la solicitud de datos.

En el ejemplo siguiente - caso simulado con cuentas falsas para la demostración - se puede ver como es posible obtener una página firmada digitalmente con un delito de acoso que está teniendo lugar en un grupo de Facebook.

Figura 6: Página web de Facebook firmada digitalmente por eGarante

Saber quién es, a veces puede ser fácil, si el acosador es descuidado, y se le puede capturar la dirección IP con enlaces señuelo que apunten a servidores web controlados, de los que se podría ver qué dirección tiene de conexión, pero normalmente suele ser infructuoso debido a que procuran no conectarse de sitios que puedan apuntarle a él, pero no hay que desdeñar esta opción.

Para los cuerpos de seguridad, argumentar una orden de petición de datos que sea aceptada por la empresa tecnológica puede dar mucha más información, ya que no solo se pueden solicitar direcciones IP, sino cualquier dato de la huella digital de la conexión que tenga el proveedor tecnológico del acosador, como versión del navegador, sistema operativo, horas de conexión habituales, formato de hora que tiene en el equipo, plugins instalados en el web browser, etcétera, etcétera, que apuntará mucho más a una persona en concreto de lo que puede imaginar el acosador al inicio.

WhtasApp: Conversaciones en WhatsApp

Para el caso de WhatsApp es más complicado, no hay cliente web y todo depende del terminal móvil - que puede ser manipulado - y hay que fiarlo todo a los datos de conexión del número de teléfono detrás de WhatsApp - que puede que no corresponda con el lugar donde está instalada la app - o a una colaboración muy incierta desde la empresa detrás de WhatsApp.

Sí que se puede intentar conseguir evidencias de mensajes borrados, y es algo muy habitual en el uso de Recover Messages, donde se obtienen mensajes que han sido eliminados, pero que pueden ser utilizados para generar un indicio útil en una causa judicial. La página de resultados con las conversaciones borradas que devuelve Recover Messages, también puede ser firmada digitalmente por eGarante para argumentar mejor el análisis forense de un WhatsApp.

Figura 7: Mensajes de WhatsApp recuperados con Recover Messages

Normalmente, en casos de mucha importancia lo mejor es contratar  un analista forense que haga un informe pericial con un análisis forense del terminal. Cómo hacer un análisis forense de un iPhone (es extrapolable a otros terminales) se explica en detalle en en el libro de Hacking iOS: iPhone & iPad.

Saludos Malignos!

sábado, septiembre 21, 2013

Nuevo Código Penal: Evita ser una "web de enlaces"

Esta mañana, tras madrugar un montón, me he topado con la noticia de que la reforma del Código Penal en España ha pasado el trámite de ser debatida en el Congreso de los Diputados sin problemas, y que si nada cambia, en breve se endurecerán las penas contra las webs de enlaces a contenido protegido bajo derechos de autor. Según la noticia, una nota de prensa del Ministerio de Justicia aclara que ni Google, ni los usuarios "neutrales", ni los programas de transferencia P2P estarán perseguidos por este cambio en el texto de la ley.

Figura 1: Extracto de la noticia sobre la reforma del código penal en España

Por si acaso tú tienes una web, o un blog, con mucho contenido desde hace muchos años, tal vez sea una buena idea que tengas controlados cuáles son las páginas donde se encuentran enlaces a este tipo de programas, para lo que yo te recomiendo que uses el operador Contains, del que tanto os he hablado para hacer Bing Hacking en esquemas de hacking con buscadores.

Figura 2: Búsqueda de archivos con el historial de comandos de shell Bash

Este comando permite encontrar páginas en un sitio web con enlaces a un determinado tipo de contenido, lo que te permitiría saber si en un blog, por ejemplo, hay un enlace aun archivo Torrent. Para hacer este ejemplo he usado el blog de La Mazmorra del Androide, que cumple tres características curiosas:
- Es un dominio .es gestionado en España.
- Está abandonado hace tiempo - su última entrada es del año 2008 -.
- Tiene anuncios publicitarios de Google.
Estas características podrían hacer que si se aprueba la ley, y alguien investiga las webs de enlaces en España, pudiera pasar por allí, hacer una búsqueda como la que os muestro a continuación, y alegar que, gracias a esos anuncios de Google es un contenido con ánimo de lucro.

Figura 3: Búsqueda de enlaces a ficheros Torrent en La Mazmorra del Androide

Como podéis ver, las páginas con enlaces a Torrent son sólo tres en el buscador, pero si vamos a una de ellas, sí que vemos que están los hipervínculos a los ficheros de una película Manga.

Figura 4: En la web hay dos enlaces a los ficheros Torrent con la película

Esta podría ser una búsqueda sencilla que automatizaría la localización de contenidos, y algo que puedes utilizar tú para conocer mejor qué es lo que publicaste antes de la aprobación de la nueva ley y que no te pille desprevenido.

Saludos Malignos!

viernes, septiembre 20, 2013

En la cola del Apple Store para comprar un iPhone 5S

Sí, digo un iPhone 5S, porque dicen que la S es por "Seguridad" en contra de lo que dicen de iPhone 5C, que es por "Colores". Realmente yo sigo pensando que la S la siguen usando por "Speed" y la C por "Cheap"...o "Cutre" que dicen algunos por aquí - para el que considere que es barato pagar más de 500 USD por un terminal smartphone -.

Lo cierto es que hoy salen a la venta y yo quiero ponerle las zarpas encima a un iPhone 5S así que me iré a hacer cola esta misma tarde como el resto de los fanboys, - como ya hicieron los 4 fanáticos con el 4S - porque tengo muchas ganas de probar el Sensor Biométrico. Es cierto que ha habido mucha controversia sobre si la biometría en un sistema como iPhone 5S y la nube de Apple iCloud es una buena idea o no.

Figura 1: Sensori Biométrico en iPhone 5S

Las quejas con el uso de la huella dactilar como forma de autenticarse en Touch ID son que si alguien te copia las huellas dactilares, te las copia para siempre, y una vez que asocies tu huella como llave de acceso a tus servicios en la nube, tendrías que ir con mucho cuidado limpiando todo aquello que toques para no dejar allí rastro de tus huellas.

Apple insiste que no se almacenan las huellas, sino valores en que derivados de ella - que serán los mismos que se deriven de una huella clonada - y que nunca se envían a Apple iCloud, es decir, que sólo sirven para que el terminal libere las passwords de Apple ID o el passcode del sistema operativo. Es decir, seguridad local junto con usabilidad. También permite asociar 5 huellas dactilares distintas, y poder asociar perfiles de sistema operativo diferentes. Tengo ganas de probarlo en detalle para ver cómo funciona todo esto. La polémica es tal, que hay un fondo de dinero comunitario que ofrece más de 20.000 USD, un puñado de Bitcoins y alguna botella de vino a los que lo hackeen.

Figura 2: Servicio de Touch ID

Además de esta pieza hardware tan especial, iPhone 5S es más rápido, funciona con microprocesador de 64 bits e incorpora un nuevo sistema de comunicación inalámbrica para espacios cercanos. No, no es NFC como en Android, sino los famosos iBeacons. Por supuesto, como habréis podido imaginar por la "i" del principio del nombre, de momento todo esto lo lleva sólo Apple, así que habrá que observar como evoluciona esta tecnología.

El resto de novedades hay que pasarlas a iOS 7, la nueva versión del sistema operativo que tras dar muchos problemas en su descarga inicial, ya ha sufrido su primer bug de saltarse el passcode mediante la flamante nueva característica del Control Center, que se añade a la larga lista de bugs para saltarse el passcode en iPhone & iPad.

Figura 3: Bug permite saltarse el passcode en iOS 7.0

En esta nueva revisión se han metido un montón de cambios en la usabilidad, en la multitarea - ya se pueden descargar archivos adjuntos de un correo y leer otros mensajes mientras esto sucede - o las páginas abiertas en Mobile Safari cargan las páginas mientras lees otra cosa en otra de las pestañas. Más opciones, algunas mucho mejor pensadas, otras aún por afinar.

En cuanto a seguridad destacan el Activation Lock, que obliga a que un terminal hardware tenga que ser activado cuando vaya a ser reinstalado, evitando que ladrones puedan utilizarlo. La gracia es que esta característica va unida a una fortificación de Find My Device que evita que pueda ser desactivado sin tener la contraseña de Apple ID o el Touch ID, pero sin embargo con Siri se puede desactivar sin tener ni e passcode poniendo ON el modo avión -.

Figura 4: Activación del modo avión con Siri sin passcode

También se han añadido mejoras para evitar ataques de Juice Jacking, informando al usuario cuando una conexión con un cargador no es realmente con un cargador sino con un equipo, con el objetivo de evitar ataques como el presentado en la pasada BlackHat con MacTans.

Figura 5: Aviso de conexión a un equipo ¿Confias o no confías?

Y para completar esa protección y evitar que la gente se muera electrocutada por usar cargadores de baja calidad, han creado un sistema que reconoce los fabricantes autorizados para crear y vender accesorios, mostrando una alerta de seguridad cuando no sea así e inutilizándolos. Por supuesto, en la versión beta ya se habían saltado esta protección, y es de esperar que tengamos una nueva disciplina más: Jailbreak, para evitar el codesigning, Unlock para la liberación del terminal del operador de telefonía y Llámalo-X para poder usar cualquier accesorio sin pasar por caja con Apple y sus distribuidores.

Lo cierto es que la administración Obama está impulsando ya que no sea delito y se pueda hacer tanto el Unlock como el Jailbreak, y por supuesto la comunidad de jailbreakers ya está trabajando en el Jailbreak para iOS 7.

Figura 6: Verificación de accesorios oficiales

El resto de opciones que trae iOS 7 son bastante conocidas, aunque alguna como Apple iCloud Keychain, o "almacén de passwords, datos personales y números de tarjetas de crédito en la nube", ha sido eliminada de la versión final en el último momento, supongo que por "seguridad", pero no hay mucha más información. 

Por otro lado, he querido probar algunos de los fallos que permiten hackear iOS en iPhone & iPad, y lo cierto es que sigue teniendo la misma gestión insegura de redes WiFi, sigue teniendo la misma gestión de certificados digitales, sigue teniendo los mismos problemas de client-side en las apps, siguen existiendo formas de meter un troyano en iPhone, etcétera, etcétera, etcétera. Es decir, es un más mejor, pero iOS 7 sigue teniendo aún mucho de iOS 6.X. Eso sí, sin el molesto bug del CoreText y unos 80 CVEs menos que iOS 6.1.4.

Figura 7: En la cola del Apple Store de New York haciendo noche

Resumiendo, el terminal iPhone 5S me parece mucho más mejor que el iPhone 5 y con muchas cosas con las que jugar, así que tendré que probar con él todas las herramientas, como WhatsApp Anti-Delete Protection Tool y alguna otra más de las que ya os contaré en breve que estamos construyendo. Nos vemos en la cola del Apple Store del Xanadú esta tarde.

Saludos Malignos!

jueves, septiembre 19, 2013

El interés del mundo en la seguridad de WhatsApp

Ayer se cumplían 8 meses desde que, sin hacer mucho ruido los primeros días, pusimos up & running el servicio de recuperación de mensajes borrados de WhatsApp en Recover Messages - aunque no lo publiqué en el blog hasta pasados unos días -. Durante todo este periodo, el servicio ha ido creciendo en usuarios y clientes, y ha mantenido una alta transferencia de ficheros que han puesto al límite la infraestructura inicial que se montó, obligándonos a dimensionarla de nuevo un par de veces.

Figura 1: Algunas estadísticas de Recover Messages

Hoy ya hemos alcanzados los 300.000 ficheros subidos, con unas medias a día de hoy de unos 2.500 ficheros día, y más de 17.000 los clientes de todo el mundo que se han registrado ya y utilizan normalmente nuestro servicio. Lo hacen no sólo para recuperar mensajes borrados de WhatsApp en iPhone o en Android, sino también para recuperar mensajes borrados en Skype o datos eliminados de cualquier base de datos SQLite como en el ejemplo que os puse de las bases de datos de Suversion wc.db y Pristine.

Figura 2: WhatsApp Anti-Delete Protection Tool para iPhone

La verdad es que nos ha sorprendido gratamente la acogida del mismo, y nos animamos a publicar WhatsApp Anti-Delete Protection Tool, la herramienta que permite crear una papelera de reciclaje a WhatsApp para que los mensajes nunca puedan ser borrados realmente, y de la que ha habido más de 3.500 descargas. Ahora pensamos continuar ampliando el número de características ofrecidas en él, así que cualquier idea o sugerencia que podáis darnos siempre será bienvenida.

Figura 3: What's App On PC es un malware escrito en Java

Desde luego, como se ha visto recientemente con los nuevos movimientos de malware para desktop simulando ser una versión de WhtatsApp para PC, el interés de los analistas forenses, los criminales y los que quieren saber cómo espiar WhatsApp sigue siendo muy alto.

Saludos Malignos!

Entradas populares