miércoles, diciembre 31, 2014

Top 31 de artículos publicados en El lado del mal en 2014

Este año El lado del mal va a alcanzar los 8.000.000 de artículos vistos. En gran parte se debe a un montón de lectores que como tú que se ha acostumbrado a la lectura del post diario y que sé que os conocéis lo que escribo de principio a fin. Yo procuro que los artículos que salen sean los que a mí me gustaría leer y por eso también tengo mi propio criterio sobre cada uno de ellos.

Figura 1: Top 31 de artículos publicados en El lado del Mal durante 2014

Hoy he decidido haceros una selección de los 31 artículos de 2014 que yo personalmente creo que no deberías dejar de leer porque para mí tienen algo que los hace merecer la pena. Por supuesto, no todos los he escrito yo, que ya sabéis que este blog está abierto a todo el que quiera contar algo y, puesto a ponerme como lector, disfruto mucho de lo que escribís vosotros.
- Hacking de comunicaciones móviles GSM con RTL-SDR: En este artículo se explica en detalle cómo se puede capturar el tráfico GSM, descifrar los protocolos y extraer comunicaciones de voz y mensajes SMS. Escrito por Pedro Cabrera. 
- La estafa de la linterna molona que ilumina más en Android: Análisis detallado de una estafa de SMS Premium que utiliza una app de linterna en Android y Facebook como medio de distribución. Escrito por José C. Agudo y Miguel Angel Cardenete. 
- Cómo localizar los hidden-links de las redes: Explicación de cómo localizar las conexiones entre redes de computadores dentro de una empresa que se producen por medio de un USB que se conecta a varios equipos de segmentos de red aparentemente disjuntos. 
- Explotar un 0day de Format Strings en mp3blaster para Linux: Artículo que explica paso a paso como se puede crear un exploit para un software de Linux con una vulnerabilidad de Format Strings. Está escrito por Blackngel. 
- Una buena política anti-malware debe buscar en el pasado: En este artículo se explica cómo se debe crear una política de seguridad anti-malware en una empresa que busque en un almacén de copias de seguridad de equipos completos el posible malware que hay podido mutar. 
- Cómo saber el WhatsApp de alguien usando WhatsApp Discover: Un artículo que explica cómo se puede capturar el número de teléfono de una persona que usa WhtasApp en una red insegura cuando se está registrando en los servidores de WhatsApp. Escrito por Dipu Daswani. 
- Cómo robarle las contraseñas a los Administradores de WordPress con XSS haciendo Phishing con Unfiltered HTML: Artículo que explica cómo robarle las cuentas a los administradores de WordPress siendo un editor del sitio y aprovechando una configuración insegura por defecto. 
- OpenSSL, GnuTLS, Goto Fail y otros bugs en criptografía: Resumen de los fallos en los principales sistemas criptográficos descubiertos durante el tiempo reciente, y sospechosamente conectado con las capacidades increibles de la NSA para su descifrado. 
- Suplantar un contacto de WhatsApp clonando su SIM: Artículo que muestra cómo funciona el clonado de SIMs, y que puede llevar a que a una persona le clonen los servicios que utilizan SMS para registrarse, como WhatsApp y similares. 
- Ligar con Tinder en modo promiscuo. Solo para hax0rs: Un ejemplo de cómo utilizar la automatización de acciones en una aplicación para ligar. En este artículo en concreto para decir "Me gusta" a todas las chicas de Tinder. Escrito por Javier Espinosa. 
- USB Rubber Ducky: Un teclado malicioso como un pendrive: Este artículo habla del dispositivo USB Rubber Ducky que se usa para, simulando ser un pendrive, escribir comandos en el sistema operativo de la víctima y forzar acciones. Escrito con la colaboración de Alex TorreCrack. 
- Buscar bugs de HeartBleed en Well-Known Ports con Google Hacking: Cpanel, Oracle Web Server, Open View y demás: Cuando salió el bug de HeartBleed, muchos sitios se parchearon rápidamente, pero en este artículo se puede ver cómo los Well-Known Ports de servicios basados en servidores web aún eran muchos vulnerables. 
- Gmail, borraste en Google pero te quedan 121.000 en Bing: Este artículo recoge la historia de las URLs de Gmail indexadas en Google que no eran un bug, y luego fueron desapareciendo primero de Google... y luego de Bing. 
- Alise Devices: Una seguridad anti-falsificación para Penny: Artículo que explica el funcionamiento de la tecnología de Alise Devices para que cualquier persona pueda reconocer si algo es auténtico o falso mediante un material inteligente que proyecta imágenes distintas por los dos lados. 
- Explotar SQL Injection en Access para atacar Windows: Un caso que explica cómo utilizar una vulnerabilidad de SQL Injection en una aplicación web que usa Microsoft Access como motor de base de datos para poder sacar información del sistema operativo Windows en que corre. 
- SQL Injection: Aplicar Mínima Superficie de Exposición en las Cadenas de Conexión a BBDD: Ejemplo de cómo se deben gestionar las cadenas de conexión a bases de datos en aplicaciones web para aplicar el principio de Mínima Superficie de Exposición y Mínimo Privilegio Posible. 
- Asesino descubierto por metadatos al cargar el iPhone: Su coartada se vino abajo tras comprobarse que puso a cargar el iPhone cuando según él estaba durmiendo. 
- Riesgos de seguridad al cargar contenido externo en tu web: Artículo que recoge los principales riesgos de seguridad que se tienen en una aplicación web por cargar contenido de fuentes remotas. Problemas de hotlinking, Malvertising, etcétera, explicados en este post. 
- Bugs en Windows: Elevación de Privilegios y D.O.S. por usar rutas sin comillas en la creación de servicios: Curioso bug que entornos de explotación Windows podría utilizarse para hacer una elevación de privilegios de la forma más sencilla. 
- Cómo facturé un viaje low cost Barcelona-Sevilla sin pagar la tasa de facturación anticipada: Un bug en la web de una compañía aérea low-cost permitía sacar los billetes antes de tiempo sin pagar una tasa extra. Artículo escrito por José Clemente Agudo Montero. 
- Descuentos tramposos en los 14 días locos de Conforama descubiertos por Arvive.org: Una web de una empresa supuestamente pone un mejor descuento en una promoción, pero utilizando "The Wayback Machine" se descubre que no ha habido tal descuento. 
- Retromalware: Detecta y Controla NetBus con Metasploit: Artículo que explica cómo crear un módulo en Metasploit para hacer una frikada que seguro que adoras. Controlar el viejo NetBus. Escrito por Pablo González. 
- Cómo te espía tu centro comercial por WiFi y por Bluetooth: Recolección de técnicas utilizadas por grandes centros comerciales para conseguir datos de sus clientes y poder maximizar la información que de ellos tienen. 
- Cómo robar las fotos de iCloud de un usuario de iPhone: Paso a paso de la demostración que hicimos para robar las fotografías de iCloud robando las cuentas de un usuario de Apple iD obtenido con un ataque de phishing dirigido. 
- Dos casos reales de robo de dinero con suplantación de identidad de ayer mismo: Dos testimonios de ataques dirigidos con suplantación de identidad hechos para robar dinero a empresas y particulares. Uno fue detenido, otro no. 
- Ataques de Phishing con código Punycode: This is Espaarta: En este artículo se explica cómo utilizar Punycode para crar nombres de dominio visualmente similares a sitios que se quiere atacar. 
- Ataques de PHP Object Injection en aplicaciones web: Descripción de cómo funcionan los ataques de PHP Object Injection en aplicaciones web, con un ejemplo explicado y detalles. Escrito por Ricardo Martín. 
- ShuaBang Botnet: Red de terminales zombies Android creada vía Google Play para Black Hat App Store Optimization: Detalles de la investigación realizada en Eleven Paths para detectar esta botnet desplegada por Google Play. 
- ShellShock Client-Side Scripting Attack: Explotar bugs de ShellShock en sistemas NO publicados a Internet: En este artículo se describe como desde una página web visitada se pueden atacar los servidores internos de la red. En este caso para explotar ShellShock y devolver una conexión a Meterpreter. Escrito por Ricardo Martín y Alfonso Muñoz. 
- Navegadores de Android que no debes usar si no quieres que te roben tus contraseñas. Ten cuidado: Lista de una buena cantidad de navegadores en Android creados por un framework inseguro que no alerta de certificados digitales falsos. 
- Ahora Google audita cómo te atacan localmente en Gmail: Artículo que explica cómo Google ha aplicado CSP (Content Security Policies) en Gmail para auditar los ataques a clientes.
Espero que os gusten y os llenen los momentos libres que tengáis entre hoy y mañana. Feliz Nochevieja, y Feliz 2015. Nos vemos mañana por aquí.

PD: Bonus Track:
- Antenas WiFi de gran potencia. Enlaces a 1.000 km: Este artículo, escrito por Mandarache merece estar en esta lista. En él se explica cómo construir antenas WiFi que permitan tener enlaces de larga distancia, para conseguir localizar redes que se encuentran a grandes distancias. 
Saludos Malignos!

martes, diciembre 30, 2014

Cómo te pueden robar la Base de Datos de tu sitio web con bugs de Path Transversal & Local File Inclusion

A punto de terminar este 2014, la vulnerabilidad Path Transversal o Ruta Transversal sigue copando una de las primeras posiciones dentro del top ten establecido por la fundación OWASP sobre vulnerabilidades en aplicaciones web. Detectar páginas web que puedan sufrir este tipo de vulnerabilidad es relativamente sencillo aplicando un poco de hacking con buscadores, debido a que hay tipos de páginas que tienen este fallo muy tipificados. Uno de ellos muy común es el de una aplicación para descargar ficheros que no asegure correctamente la ruta ni la extensión del fichero que se le está pasando por parámetro.

Figura 1: Cómo te pueden robar la Base de Datos de tu sitio web con Path Transversal & Local File Inclusion

En el caso del paso del nombre de un fichero, es común encontrar, como veremos más adelante, parámetros file o fichero con el nombre y la ruta completa dentro del servidor, pero también es posible que el parámetros sea el nombre codificado en BASE64 o similares, por aquello de evitar la exposición al ojo del nombre del fichero. Si por el contrario se hace un acceso indirecto por medio de un ID, será necesario averiguar de qué forma guarda la tabla que recoge cuál es la asignación ID a ruta de fichero. Esto podría ser mediante un fichero de texto, un archivo XML o directamente una tabla en una base de datos - que suele ser lo más común en los CMS personalizados -.

Detectar este tipo de páginas en los buscadores es fácil, tal y como se explica en el artículo de "Cómo localizar webs vulnerables a LFI con Google" ya que el patrón que suelen seguir sus URLs es de la forma:

Figura 2: Resultados devueltos por Google

Como se puede ver en los resultados, el número de aplicaciones que cumple ese patrón es alto pero no todos son vulnerables. Para evaluar si ese tipo de aplicaciones son vulnerables o no, primero hay que determinar la estructura con la que se está accediendo al fichero. Este acceso puede ser de forma directa, para lo que se está pasando un nombre de fichero, o indirecta, mediante el paso de un identificador que le sirve a la aplicación para localizar la ubicación del fichero.

Al final objetivo de un Path Tranversal es obtener acceso a ficheros o directorios que se encuentren dentro del directorio raíz de un servidor web pero no accesibles directamente desde la aplicación web, sino utilizada por ésta para, por ejemplo, conectarse con la base de datos del sistema para validar un usuario, etc… Otras veces se aprovecha esta vulnerabilidad para acceder a ficheros fuera del directorio web como puedan ser /etc/passwd y /etc/shadow y, tras fusionarlos con herramientas de tipo unshadow, aplicar fuerza bruta sobre las claves hasheadas de los usuarios para intentar obtenerlas en texto claro, con herramientas como John The Ripper, etc…

Cuando se puede escalar de esta forma por la estructura de directorios de un servidor, esta vulnerabilidad podría venir acompañada de otras dos: Local File Inclusion para ver el contenido de los ficheros y/o Remote File Inclusion para ejecutar código remoto. La primera permite incluir ficheros locales donde se encuentra la web que presenta la vulnerabilidad y la segunda cargar ficheros de manera remota, básicamente para intentar ejecutar comandos dentro del servidor o ejecutar scripts.

Paso 1. Búsqueda de una web vulnerable.

En la siguiente prueba de concepto se muestra cómo localizar webs que puedan ser vulnerables a este tipo de ataque, cómo explotar el ataque para ver la información sensible que se puede obtener si no se ha pasado una auditoria web de seguridad. Para ello vamos a hacer un poco de hacking con buscadores y, para acotar los resultados, vamos a buscar páginas que se encuentren bajo un determinado dominio y que los ficheros tengan una determinada extensión.

Figura 3: Resultados de aplicaciones web que descargan archivos con la ruta del mismo

En este ejemplo, vamos a seleccionar una en la que el nombre del fichero venga directamente en el parámetro. Si viniera un ID, habría que ver si en él se puede inyectar un comando SQL Injection para poder hacer algo como:
MySQL -> id=-1 UNION SELECT "/etc/passwd"
Oracle -> id=-1 UNION SELECT "/etc/passwd" from dual
SQL Server -> id=-1 UNION SELECT "/etc/passwd" from sysobjects --
Al final, habría que construir una consulta INBAND con UNION para conseguir que la consulta que esté construyendo el programador devuelva un recordset vacío y se le una un recordset creado por nosotros. Construir la consulta INBAND en cada caso requiere reconocer el motor de la base de datos, analizar la consulta del programador mediante pruebas, etcétera. Si quieres saber más de esto tienes que dominar las técnicas de SQL Injection.

Paso 2. Comprobar si la web es vulnerable.

En este caso, centrándonos en una web en la que se recibe como parámetro el nombre de fichero - y a veces la ruta en un parámetro a parte -, para comprobar si está presente la vulnerabilidad Path Transversal, se usa la secuencia de caracteres especiales conocida como “dot-dot-slash” o ../

Pero también podemos probar a poner parte de la URL localizada - en concreto lo más fácil es intentar descargar el mismo fichero que se usa para descargas - para ver cuál es el comportamiento del navegador. Si es vulnerable, observaremos que nuestro navegador va a realizar una descarga, luego esto nos da la pista de que la vulnerabilidad de Path Transversal está presente en la aplicación web. Además tenemos la certeza de la existencia del directorio archivos dentro del servidor web.

Una vez visto que se pueden descargar ficheros arbitrariamente, intentaremos descargar ficheros como index.php o ../index.php para ver si es posible descargar estos archivos en texto claro y ver si podemos obtener rutas de archivos de configuración, claves de acceso a la base de datos, etc…

Figura 4: Descargando el fichero Index.php

Es en este punto, cuando ya se sabe que se pueden descargar ficheros del servidor, cuando entran en juego todos los data leaks que se puedan conseguir para listar los archivos locales del servidor web. Para eso, aprovecharse de los errores de conversión de tipos de datos en PHP, de las rutas locales mostradas en las páginas de error ASP, TCL o similares, y si es posible también de los directory listing, el bug de IIS Short name, ficheros .listing, archivos .DS_Store, DWSync.xml o módulo de mod_negotiation es de gran utilidad para saber dónde está y qué hay que descargar del servidor. Aquí tenéis un total de 20 técnicas para descubrir los ficheros de un servidor web.

Figura 5: Descubrimiento del fichero funciones.php citado en index.php

En este caso, si observamos el contenido de este fichero index.php, vemos que existe el fichero funciones.php en el mismo directorio junto con el fichero home.php. Además, debido a una mala configuración del servidor, podemos descargarlos. A veces los ficheros del tipo funciones.php contienen usuarios y contraseñas harcodeadas, por lo que siempre hay que mirar su contenido:

Figura 6: Descarga del fichero funciones.php Se descubre admin/conexion.php

Vemos en la imagen cómo es posible descubrir más fichero críticos dentro de una aplicación web, en este caso, conexion.php, que muy probable tenga los parámetros de configuración a la base de datos utilizada por la aplicación web donde puede haber usuarios y contraseñas de acceso, aparte de información sensibles de usuarios. Además también aparecen consultas a la base de datos, lo que nos puede dar una pista de cuáles son las tablas donde se almacena la información crítica de los usuarios, etc… Tras consultar el contenido del fichero conexion.php, se observan hardcodeados todos los parámetros de conexión a la base de datos.

Figura 7: Parámetros de conexión a la base de datos MySQL

Un atacante llegado a este punto podría intentar buscar la URL de acceso a PHPmyadmin o programar y un script de conexión en PHP a la base de datos, suponiendo que el servidor de base de datos acepte conexiones desde fuera del servidor.... o encontrar cualquier otro camino para llegar a la base de datos.

Paso 4. Implicaciones de la vulnerabilidad de tipo Path Transversal y de la fuga de información.

La finalidad de este ataque es poder acceder a ficheros a los que no debería de poder accederse por la información que contienen debido a los errores de programación en la aplicación web. Como hemos visto, podemos obtener los datos de conexión a la base de datos.

Si en la base de datos, a parte de la información de acceso hay información sensible de clientes, la fuga de información puede ser crítica, la pena por el incumplimiento de la LOPD 15/99 puede ser importante, además de que esos datos se puedan vender en el mercado negro tal y como hacen los cibercriminales dedicados al fraude online.

Autor: Amador Aparicio
Twitter: (@amadapa)

lunes, diciembre 29, 2014

En apps de Android en Google Play te puedes encontrar enlaces locales, a cuentas Dropbox y hasta a contraseñas

Ayer domingo, antes de acostarme decidí jugar un poco con Path 5, nuestro Big Data de apps de Android, para probar una serie de cosas que están rondando por mi cabeza. Como sabéis, en nuestra plataforma guardamos las apps y el entorno de publicación de las mismas para poder analizarlas a golpe de clics y poder realizar búsquedas o filtros que avisen cuando alguna app coincida con el patrón de búsqueda. Una vez que se genera esa lista de apps mediante un RSS, se puede automatizar su post-procesado con paneles de control realizados por Sinfonier, por scripts automáticos que decidan que apps deben ser analizadas con alguna otra plataforma de análisis de malware o directamente que llegue a un equipo HUMINT que revise las apps más sospechosas.

Figura 1: En los enlaces de apps de Android puede salir de todo

Entre las características por las que se pueden realizar búsquedas, están los enlaces o links, que aparecen en la app. Esta función permite localizar, entre otras cosas, cuando una app que aparentemente no tiene nada que ver con tu empresa, tiene enlaces a ella, que puedan estar usándose para hacer phishing y tomar imágenes de la web haciendo hotlinking, o simplemente para abusar de alguna función de los servicios expuestos. A nosotros, nos vino bien para descubrir la infraestructura completa de Shuabang Botnet.


Un vistazo rápido a enlaces en las apps de Android

Esta característica de buscar por enlaces de forma rápida y filtrada, nos permite, mediante los servicios de Vigilancia Digital, avisar cuando una nueva app está haciendo algo extraño y no controlado por el equipo de seguridad o de canales electrónicos de la empresa, pero también para detectar familias de adware que hacen uso de los mismos servicios para apuntarse dinero o, por ejemplo, hacer suscripciones ilícitas a servicios SMS de pago o similares como se hizo en la estafa de la linterna molona.

Figura 3: Apps con enlaces a cuentas de usuario de Dropbox

Como ayer era domingo, decidí perder un poco el tiempo a ver qué cosas era la gente capaz de poner en las apps que están publicadas en Google Play a día de hoy, probando cadenas que no deberían estar nunca en una app, pero que comprobado que incluso ponen sus Tokens de autenticación hardcodeados, podrían sorprenderme.

Figura 4: App con un enlace a un servidor local

Por supuesto, el número de enlaces a localhost, o a direcciones internas de la red exponiendo la infraestructura de la empresa es altísimo. Son muchas las que hacen eso a pesar de que todas las prácticas de desarrollo seguro de Android explican claramente que no deberían.

Figura 5: Enlaces remotos para cargar las API Keys

Entre las cosas que me dio por mirar, estaban los enlaces a Dropbox, para ver qué uso estaba dando la gente de este servicio. Curiosamente, muchas, y cuando digo muchas son muchas apps, están cargando sus configuraciones, API Keys, y datos desde ubicaciones públicas en DropBox.

Figura 6: Otro enlace remoto para cargar API Keys

En lugar de hacer un servicio en sus servidores y utilizarlo, ponen un archivo publicado en una carpeta de Dropbox y lo van actualizando.

Figura 7: Un enlace a la password de Gmail en Dropbox

Mirando lo que la gente pone en Dropbox para alimentar sus apps, aparecen las API Keys de servicios, pero uno incluso pone un fichero con la contraseña de una cuenta de Gmail que está utilizando para hacer notificaciones Push según parece, lo que no deja de ser un fallo de seguridad bastante peculiar.

Figura 8: El Fichero con la passwod. Comienza por Money... }:)

Algunas apps, hasta enlazan ficheros user.txt con cuentas de acceso que pueden utilizarse. Tal y como se ve, tienen datos de usuarios de QA y de pruebas, con ninguna complicación en las contraseñas.

Figura 9: Lista de usuarios cargado desde un txt remoto

De todos los enlaces curiosos que encontré, hubo uno que se dedica a mostrar gente que ha sido vista por otras personas en la calle para poder saber quién es. La idea es sencilla, alguien ve a alguien y sube los datos de quién lo ha visto, cuándo y dónde, para que el resto de usuarios puedan darle información correcta de esa persona. Pues bien, la base de datos de esa app es un fichero subido a una cuenta de Dropbox.

Figura 10: Una base de datos en txt publicada en Dropbox. El fichero es muy largo.

Esto de tener la base de datos de la app enlazada no es raro, y de hecho algunas apps tienen ficheros en formato Sqlite con la base de datos que está usando la app enlazada remotamente para que se cargue en periodo de ejecución, y que cualquiera puede descargar de Internet.

Figura 11: Enlaces a base de datos de app en formato Sqlite

Si vas a hacer una app para Android, recuerda que los enlaces es algo que todo investigador va a analizar, así que ten cuidado con qué expones en ellos, ya que lo que pongas ahí será público.

Saludos Malignos!

domingo, diciembre 28, 2014

El lado del mal a partir de hoy también en Teletexto

Hoy es un día muy especial para mí, pues comienzo una nueva andadura con El lado del mal. Como sabéis, yo soy un amante del Teletexto, ese antiguo sistema que aún funciona en nuestras televisiones y por eso le dediqué una entrada especial al mismo, titulada Generación Teletexto. En aquel artículo os confesaba que yo sigo utilizando ese sistema de información y muchos respondisteis confirmando lo que yo ya sabía, que aún somos muchos. 

Figura 1: Desde hoy, podrás seguir los contenidos de El lado del mal también en Teletexto

Aquel artículo lo leyó gente de Televisión Española, y al poco tiempo recibí un correo electrónico que venía escrito desde el equipo que cuida y da cariño al Teletexto de TVE en el que me ofrecían poder colaborar con ellos. El mensaje decía lo que podéis ver a continuación.

Figura 2: e-mail de ofrecimiento recibido en el mes de Septiembre

No tengo mucho tiempo, pero como sabéis me encanta meterme en jardines, así que hoy ya podéis encontrar la primera página de Teletexto en TVE escrita y mantenida por mí, en la que trataré los temas de seguridad informática y hacking. La página que me han buscado es la 666, por eso de hacer un guiño al lado del mal. Yo pedí la 1337, pero no fue posible porque estaba asignada a un programa de cocina rápida para solteros.

Figura 3: Primera página de Seguridad Informática escrita por mí en el Teletexto

Será como un pequeño "lado del mal" en versión ASCII para que los amantes de ir a la página 100 a buscar la información de vuestra vida me podáis tener mucho más cerca. Aún me queda mucho que aprender con el editor de las páginas, pero al menos ya estoy ahí para todos vosotros.

Saludos Malignos!

sábado, diciembre 27, 2014

Hacking con Buscadores 3ª Edición, un Fix para la FOCA y algún anuncio más desde 0xWord & Eleven Paths

Hoy, último sábado del año, voy a aprovechar para recoger unos pequeños anuncios que tenía pendientes desde hace unos días en relación a Eleven Paths y 0xWord. En primer lugar os quería dar la mala noticia, por eso de que lo difícil cuanto antes mejor, así que os informo de que si pensabas regalar estas navidades a alguien el libro de Máxima Seguridad en Windows no va a poder ser si no lo tienes ya comprado, ya que se ha agotado y a corto no hay fecha de que vayamos a tenerlo otra vez en el catálogo.

Figura 1: Resumen de anuncios de 0xWord & Eleven Paths

Dicha la mala noticia, la buena es que ya tenemos disponible Hacking con Buscadores 3ª Edición. Hemos tardado en tenerlo otra vez casi un año, porque durante este periodo de tiempo los buscadores han cambiado mucho y han aparecido muchas cosas nuevas, por lo que ha revisado completamente. Ya está disponible, y este sí lo puedes tener desde pasado mañana lunes.

Figura 2: Hacking con Buscadores - Google, Bing, Shodan & Robtex - 3ª Edición

Además de esto, tras un cambio en Google, los amantes del Pentesting con FOCA sabíais que FOCA estaba dando problemas a la hora de buscar documentos y servidores, así que desde Eleven Paths hemos sacado algo de tiempo y hemos actualizado la herramienta para que no de más problemas en esa parte. Ya la puedes descargar desde aquí.
Por último, los últimos dos mensajes tienen que ver con un par de pruebas realizadas desde QA para probar Latch con las nuevas versiones de WordPress 4.1 y con Joomla v3.3.6, para garantizaros que los plugins funcionan perfectamente y así podáis actualizar lo antes posible para solucionar todos los bugs parcheados en estas nuevas publicaciones.

Figura 4: Anuncio de las pruebas con el plugin de Latch para Joomla

Y eso ha sido todo, os deseo que este último sábado del año sea mejor que todos los anteriores si es posible, pero que no sea nada comparado con la fiesta de Nochevieja.

Saludos Malignos!

viernes, diciembre 26, 2014

Cómo te pueden espiar por Telegram

Desde la irrupción de Telegram en el mundo de las apps de mensajería, muchos son los que han abrazado este sistema como forma de comunicación por defecto. Las críticas a los múltiples fallos de seguridad del rey en este mundo, que ha llevado a la aparición de técnicas, estafas, herramientas y sistemas para espiar WhatsApp, hizo que la llegada de Telegram con sus mensajes cifrados end-to-end y la posibilidad de usar comunicaciones que se autodestruyen, pareciera un sistema súper seguro de comunicación. Pero no es tan así, y hay formas y maneras para que afecte de forma drástica a la privacidad de tu vida personal.

Figura 1: Cómo te pueden espiar por Telegram

Estas son algunas cosas que debes conocer antes de que consideres a esta aplicación como la panacea de la seguridad y la privacidad de tus comunicaciones móviles.

1.- Los mensajes que se autodestruyen no tienen porque autodestruirse

Cuando se envía un mensaje cifrado a un destinatario de Telegram, por mucho que hayas puesto un temporizador en los mensajes, estos no tienen porque eliminarse. Si el usuario al que le envías el mensaje utiliza una aplicación de consola es bastante sencillo para él tener una aplicación que capture los mensajes.

Figura 2: Con Telegram Anti-Delete Protection Tool los mensajes que se borran o autodestruyen se guardan

Si el destinatario tiene una aplicación en un dispositivo móvil, como por ejemplo iPhone, podría utilizar una app como Telegram Anti-Delete Protection Tool que modifica la app para que si se borra algún mensaje quede guardado y se pueda recuperar desde un equipo con Windows. Este tipo de herramientas son similares para otras apps de mensajería como Twitter, Skype o WhatsApp.

2.- ¿A qué horas usas Telegram?

El famoso "estar en línea" que tienen las aplicaciones de mensajería como WhatsApp o Telegram permite a cualquiera automatizar un control constante de los horarios de uso de la aplicación. En el caso de WhatsApp, si intentas hacer uso de esta característica de forma automatizada, hemos visto que la plataforma de mensajería anula la cuenta, con lo que no se puede hacer fácilmente.

Figura 3: Telegram, como WhatsApp, informa si alguien está conectado

Con Telegram, abusando de la app oficial de consola mediante una automatización hecha con Python, hemos creado una Prueba de Concepto que muestra, en todo momento, a qué horas está en línea o no un usuario de Telegram.

Figura 4: Seguimiento de actividad de una persona por medio de Telegram

Conocer esta información puede servir a alguien - un mal jefe, un acosador@ o simplemente un stalker - saber a qué hora te levantas, a qué hora te acuestas y, por supuesto, si usas o no Telegram. Esta información puede ayudar a saber incluso en qué franja horaria se encuentra un determinado directivo o persona.

3.- Espionaje de mensajes por personas cercanas

Al igual que en el primer ejemplo, alguien de tu entorno podría utilizar Telegram Anti-Delete Protection Tool para espiar tus mensajes. Si esa persona tiene acceso a un ordenador al que conectas tu iPhone, con esa herramienta - sin conocer el passcode ni tener jailbreak - podría sacar todos los mensajes que están en la base de datos almacenados, e incluso ver los que se han borrado.

Figura 4: Con Telegram Anti-Delete Protection Tool se ven los mensajes
en base de datos de Telegram y borrados extraídos directamente desde el iPhone

Debes tener mucho cuidado con qué equipos pareas con tu terminal iPhone, pues como se explica en el libro de hacking iOS: iPhone & iPad, desde él se pueden hacer muchas cosas malas - incluso con tu Telegram. Ten mucho cuidado.

¿WhatsApp o Telegram?

Hoy en día, con los esfuerzos de WhatsApp en temas de seguridad, y con la llegada de la tecnología de TextSecure del hacker Moxie Marlinspike, y con las protecciones contra los abusos masivos en ataques, parece que va a mejorar mucho su seguridad.

Figura 5: Comparativa de EFF sobre apps de mensajería

En la EFF hay un ranking de seguridad de aplicaciones de mensajería en las que algunas como iMessage o TextSecure o Wickr salen bastante bien parados. No obstante, pensar que una u otra van a ser seguras y tú no vas a tener que preocuparte de su seguridad es un error. La mayoría de los casos, el principal problema es dónde y cómo se usan esas tecnologías.

Saludos Malignos!

jueves, diciembre 25, 2014

Wikileaks filtra las preocupaciones de la CIA por el uso de la biometría en Europa

El uso de la biometría se está instaurando cada día más dentro de los sistemas de seguridad nacionales. En todo el mundo se utilizan controles biométricos de muchos tipos, como son las huellas dactilares en los fronteras o el reconocimiento facial que se está instaurando en muchos aeropuertos en Europa. El problema de la biometría, como ya se ha hablado muchas veces, es que si alguien la captura una vez, la captura para siempre, y Europa está empezando a capturar muchos datos biométricos de los viajeros, algo que parece que preocupa a los agentes encubiertos de la CIA. Suponed que un agente entró hace 5 años con una identidad y unos datos biométricos. Si estos son capturados y utilizados 5 años después con otra identidad, podrían ser descubiertos en la frontera. Esa es su gran preocupación.

Figura 1: Wikileaks filtra las preocupaciones de los agentes de la CIA
por el uso de la biometría en las fronteras de Europa


A través de Wikileaks se ha filtrado un documento, que puedes descargar en formato PDF, donde se informa a los agentes de la CIA de cuáles son las medidas de seguridad biométricas que se aplican en los sistemas de entrada y salida de los países del acuerdo Schengen de libre circulación de viajeros, al que pertenecen la mayoría de los países de Europa.

Figura 2: Documento filtrado por Wikileaks sobre la biometría en Europa

Como se puede ver, en el resumen ejecutivo del documento se informa de que el riesgo de que su identidad sea amenazada es baja, ya que para entrar en los países de Schengen desde Estados Unidos no se requiere proporcionar biometría. Esto es así porque según el informe esos datos, a día de escritura del memorandum, no se están utilizando como elemento de contra-inteligencia, sino como forma de control migratorio para detectar anomalías en la entrada y salida de personas.

Figura 3: Resumen ejecutivo del informe

Los sistemas de seguridad en los que se centra el documento son VIS (Visa Information System), utilizado para solicitar un permiso de entrada en los países del acuerdo Schengen. Según el informe, los ciudadanos de Estados Unidos no necesitan aún dar datos biométricos, pero si se entra con una nacionalidad distinta, entonces el riesgo de su identidad crece, ya que los controles son mayores.

Figura 4: Resumen del programa VIS y los riesgos para agentes

El segundo de los sistemas en los que se centra ese documento es SIS II (Schengen Information System), un programa de intercambio de información para poder localizar, mediante datos biométricos, anomalías en la entrada y salida de viajeros por distintos puntos fronterizos o para reconocer personas buscadas. Este sistema incorpora reconocimiento facial en muchos puntos ya, y te lo puedes encontrar desplegado en varios aeropuertos europeos. Como podemos ver, por ahora no se utiliza para reconocimiento de agentes, pero sí que se hace captura de datos biométricos.

Figura 5: Programa SIS II

El siguiente programa, que parece ser que está previsto implantarse para el año que viene es EES (Entry/Exit System). La idea es registrar de forma automática la entrada y salida de todos los ciudadanos no europeos para saber el tiempo de estancia en cada punto del país. Para ello deberían desplegarse antes VIS y SIS II, y a partir de ese instante, la obtención de un visado a cualquier ciudadano no europeo llevará consigo la captura de datos biométricos de huella y fotografía digital.

El documento no se queda solo en estos programas, sino que además es una completa guía del resto de programas, como Eurodac, que es la base de datos de huellas digitales a nivel europeo de personas que han sido detenidas y fichadas para que se puedan hacer consultas aisladas en caso de un estudio detallado de una persona. Esos datos capturados durante la consulta se retienen en Luxemburgo durante un periodo de 10 años y luego son borrados.

Figura 6: Programa EURODAC

Por último, el último programa del que habla el informe es FRONTEX, un programa de coordinación entre los puntos fronterizos para mejorar el intercambio de información entre los distintos países y lugares, pero al mismo tiempo facilitando el flujo de pasajeros. Según la CIA, no supone ningún riesgo extra ya que además cada país es responsable de sus datos, y solo se usa como forma de coordinación.

Figura 7: Programa FRONTEX

El documento es perfecto para conocer el estado de la biometría en Europa y conocer los programas que existen. Además, para que los agentes tengan el máximo de información a la hora de planificar su operación, les adjuntan la checklist de los agentes de frontera, para que sepan exactamente a qué se van a enfrentar cuando entreguen su documentación.

Figura 8: SealSign, plataforma de captura y uso de firma manuscrita biométrica

Está claro que Europa está haciendo un esfuerzo en capturar aún más datos biométricos, y en algunos países ya se están comenzando programas de recogida de firma manuscrita biométrica para poder ampliar los puntos de reconocimiento de una identidad, así que en breve estos programas seguramente cambiarán.

Saludos Malignos!

miércoles, diciembre 24, 2014

Cálico Electrónico os desea Feliz Fiesta de 2015

Aún nos queda por terminar el último capítulo de la temporada quinta de Cálico Electrónico, pero aprovechando este parón hemos ido recuperando algunas cosas que teníamos por ahí guardadas, como un Animatic que muestra cómo se trabaja un capítulo antes de terminarlo, algún vídeo antiguo del año 2006 y hasta algún dibujo nuevo como el del concurso de disfraces de Flash.

Figura 1: Feliz 2015 (no te hagas un esguince)

Llegadas las navidades y las fechas previas al año nuevo, Cálico Electrónico no ha querido olvidarse de vosotros y os trae este pequeño corto de 1 minuto para desearos Feliz 2015, que como no tiene una rima mucho más allá que con "esguince", es mucho más musical. Esperamos que os guste.


Figura 2: Especial Feliz 2015 de Cálico Electrónico

Yo también aprovecho para desearos una Feliz Noche hoy, que discutáis mucho con todo el mundo, y a eso de las 00:01, cuando ya sea Navidad, aprovechad para preguntar en la mesa eso de: "¿Sabéis qué técnica de hacking fue publicada por primera vez tal día como hoy pero hace 16 años?" Si alguno de la mesa lo sabe, ya tienes un compañero para charlar toda la noche.

Figura 3: Cálico Electrónico y los Niños Mutantes de San Ildefonso en el Concurso de disfraces de Flash

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que puedes descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

martes, diciembre 23, 2014

Navegadores de Android que no debes usar si no quieres que te roben tus contraseñas. Ten cuidado.

El viernes pasado se publicó un aviso de seguridad relativo a una herramienta llamada AppsGeyser que permite crear aplicaciones a partir de aplicaciones web. La idea es bastante sencilla, automatizar un sistema de flujo a través de las famosas Web Views que se usan tanto en apps para iOS como para Android. El hacer navegar por la web un usuario dentro de una aplicación móvil usando estas WebViews puede tener riesgos, ya que en ellas es necesario aplicar todas las medidas de seguridad que un WebBrowser de verdad tiene, y muchas veces hemos visto que no es así. En casos como el ejemplo del robo de cuentas de Apple ID aprovechábamos las Web Views de Gmail para iOS para ocultar la URL donde estaba publicado el servidor de phishing.

Figura 1: Cuidado con los Web Browsers que usas en Android

La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web de https://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones. 

Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.

Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminales Andorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.

Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook

Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APK de las apps que genera, que como podéis ver lleva por nombre BrowserTools.

Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser

Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.

Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play

La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.

Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser

Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.
- MEGA Fast Browser
- Best & Fast Web Browser
- My Personal Browser
- Santini Labs Web Browser
- Suvy Browser
- TheAlwaysBrowser
- Aurora Web Browser
- Internet Access Browser
- STAR WEB BROWSER
- PC Browser Mini
- RSD Browser
- WeBuddy Browser
- IB8 BROWSER - India Browser 8
-
bTown video,serials & browser
Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.

Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces

Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.

Saludos Malignos!

lunes, diciembre 22, 2014

Los Guardianes de la Paz, el ataque a Sony, Batman y el gran Joker

No sé ni cuantas horas habré gastado en mi vida leyendo aventuras de Batman. El miedo que me transmite desde siempre Gotham City ha dejado una impronta imborrable en las partes más sensibles de mi cerebro. Noches visitando el terrorífico Arkham Asylum he estado sin poder dormir con tranquilidad y sosiego. Ese lugar, a día de hoy, creo que solo puede haber salido de la suma de las peores pesadillas de todos los guionistas y dibujantes que han ido volcando, revisión tras revisión, lo que más pánico les daba en su vida. Y de todo ese mundo, lo peor sin duda, es la sonrisa del Joker

Desde que leí "The Killing Joke" de Alan Moore, creo que no puedo dejar de leer cualquier cómic de Batman en el que aparezca ese ser que se toma la vida de todos tan a broma, que no le importaría quitártela solo por hacer un chiste.

Figura 1: El gran villano de todos... El Joker

El Joker es realmente el que da sentido a Batman. Muchos han sido los enemigos a los que ha tenido que enfrentarse Batman, desde Bane hasta Ra's al Ghul, pasando por algunos de los más estrambóticos malos que hemos visto, pero el Joker es especial. Da miedo porque su locura no puedes controlarla. Nunca sabes por qué te va a intentar matar, pero da igual. Va a intentar matarte, así que más vale que estés preparado. Los villanos son los que de verdad dan sentido a los héroes. Así que si no hay villanos, no hay héroes que tengan que hacer algo heroico para salvarnos. 

En el mundo de la informática los responsables de la seguridad informática saben bien de esto. Si no hay malos no habría nada de que defenderse. Por ello, un responsable de seguridad informática vive siempre bajo la dualidad de "Si no hay villanos ¿para qué te queremos?" y "Si los villanos nos ganan... ¿para qué te queremos?". Siempre sufriendo entre en el no pasa nada luego soy sobrante y el pasan cosas así que no vales para este puesto.

En el mundo de la política y la gestión de la seguridad nacional, los estadounidenses saben bien de esto, así que procuran que la opinión pública sepa siempre que hay villanos ahí fuera para que el pueblo entienda que necesitan a Batman. Un héroe humano - sin más superpoderes que su sacrificio, fuerza de voluntad y dinero - que utilizando la tecnología más moderna y las mejores estrategias consigue derrotar al Joker, sea lo que sea lo que planee dicho ser que aglutina en sí la maldad por pura diversión.

El gobierno de Estados Unidos, la NSA, el FBI, la CIA, el Ejercito y en general el Departamento de Defensa de los USA está a gusto con ese papel de Batman, y lo único que necesitan es que haya un Joker que justifique todas sus necesidades. Tras el fatídico y lamentable 11 de Septiembre se dio la tormenta perfecta: El Joker se hizo palpable. Por eso a Batman se le dieron las llaves de la ciudad para que controlase toda Gotham, haciendo del mundo de todos un campo de acción para Batman que llevó a todas las exageraciones y abusos de funciones que hemos visto con las filtraciones de Edward Snowden.

Figura 2: Batman nunca lo haría.

En el año 2013, cuando el gobierno de los USA se enfrentaba a una congelación presupuestaria, previo todo a las filtraciones de Edward Snowden, el Departamento de Defensa no estaba dispuesto a que la gente se olvidase de que el Joker estaba solo encerrado temporalmente en Arkham Asylum, del que podría salir en cualquier momento. Así, pudimos ver las publicaciones de Departamento de Defensa donde se atribuía el papel de Joker a China. Los chinos son los malos. Los chinos son el Joker y nos están atacando.

Poco después, esta estrategia de Jokerizar a China se exacerbó en un sprint publicitario con el Informe Mandiant sobre APT1, donde al gobierno chino se le apuntaba exactamente dónde estaba la guarida del Joker. "Está allí, podéis verlo", dijo "Batman". 

Tras la llegada de las filtraciones de Edward Snowden sobre las acciones realizadas por la NSA, que no nos olvidemos, llevaban incluidos micrófonos y chips para copiar los faxes, en las embajadas de los países aliados, espionaje a dignatarios en las reuniones del G8 y el G20, espionaje al Vaticano, interceptación de tráfico de Internet masivamente sin necesidad de que hubiera una orden judicial y una "poco explicada" colaboración entre las principales entidades tecnológicas de Internet en el programa PRISM, resulta que el Joker no era tan Joker y Batman se había convertido en un matón.

Figura 3: Batman alguna vez perdió el control...

Había que cambiar todo esto, y pronto. No hay que olvidar que Estados Unidos funciona como una máquina engrasada para gestionar el control sobre su principal infraestructura crítica "Internet", y por ello primero contener, y luego construir. 

Europa, espiada y vilipendiada en muchas de las filtraciones que fueron haciéndose públicas, reaccionó políticamente con regulación y control de algunas de las actividades de las empresas norteamericanas. Por supuesto, se revolvieron y haciéndose garantes algunas de las empresas que aparecían en el programa PRISM como garantes de la privacidad en Internet, consiguieron por arte de magia que el presidente Barack Obama, la misma semana que Alemania y España apretaban las tuercas a alguna de las serpientes de la "hidra" tecnológica, saliera a la palestra para hablar de "Neutralidad en la Red".

Yo, lector de cómics de toda la vida, tras oír a un mismísimo Premio Nobel de la Paz, después de todo lo que hemos visto de la NSA... no pude más que sonreír.

Para completar el paquete de buena suerte, y teniendo en cuenta la próxima negociación de presupuestos en el Departamento de Defensa de Estados Unidos, aparecen los Guardians Of Peace para darle a Batman, al héroe caído en una hilo argumental anterior, un nuevo Joker con el que luchar. Un dictador de un país en Asia, malo, malo, malísimo, como en las películas de James Bond. El pequeño megalómano ha lanzado una fuerza descomunal de ciberatacantes para robarle las películas a una empresa que hace cine. Como si hubiera sido el ataque más increiblemente complicado del mundo, los medios de comunicación se suman a la fiesta de halagos hacia Batman. "Acaba con el Joker, estamos contigo".

Figura 4: GOP y el hackeo de Sony

La verdad es que ha sido impactante ver las películas filtradas en la red, junto con un montón de documentos internos, pero no es la primera vez que pasa algo así, ni a Sony, ni a cualquier otra empresa. Casos hemos tenido como el de HBGary, donde los documentos de toda esa empresa de seguridad que trabajaba para el gobierno de USA, acabaron en los mejores Torrent de la comarca. 

En el caso de Sony, más que un ataque a la red, habría que citar la intrusión en Sony Play Station Network que llevó a que el servicio tuviera que discontinuarse después de que todos los datos de clientes fueron filtrados y la compañía tuvo que decir eso de "To protect against possible identity theft or other financial loss, we encourage you to remain vigilant...", pero ni mucho menos ha sido la única empresa atacada en los últimos años. Casos como el de Target, el de Ebay o el impresionante robo de los algoritmos de seguridad de los tokens criptográficos de RSA.

Dicho esto, el cliffhanger de toda esta historia han sido las amenazas de que habría un nuevo 11 S en Estados Unidos si se estrenaba la película, algo que ha llevado a los cines a no estrenarla - ¿Será realmente buena o no lo era tanto? - lo que da credibilidad a las posibilidades de un ataque real por parte del pueblo. ¿Sería posible hacer ese ataque? Yo no lo sé, pero amenazas de próximos 11-S son vertidos por muchos grupos en la red, día a día, y las últimas amenazas de Corea del Norte de comenzar una guerra analógica acabaron con un par de muestras sobre el país del amenazante del poderío norteamericano.

En definitiva, que ver a los medios de comunicación temblando y preocupándose por los "ciberatacantes" del GOP me parece que ha sido una gran cortina de humo para que los medios se olviden realmente de quiénes son los que han hecho, hacen y tienen realmente la capacidad de controlar el ciberespacio de Internet a su antojo... y no solo para filtrar una película en los torrents o poner amenazas en foros.

Saludos Malignos!

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares