viernes, julio 21, 2017

Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

En los últimos años, la seguridad informática ha adquirido una gran relevancia, y no hace falta que lo jure, ¡por algo estáis en el lado del mal! Todos los sectores están haciendo lo que pueden para protegerse de los ciberataques; sin embargo, en algunas partes de los sectores industriales hay quién se está quedando por detrás, y para entender por qué hay que remontar al año 2000. En aquellos años Internet no traía grandes beneficios aún a muchos sectores, por lo que las redes de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) eran locales, lo que hacía que fueran vulnerables solo ante un ataque realizado por alguien que estuviera físicamente en el entorno.

Figura 1: Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

Con el auge de Internet estos últimos años, ha surgido la llamada Industria 4.0, que define un modelo híperconectado para ofrecer servicios de inmediato en cualquier parte del mundo, y son numerosas las empresas que se han sumado a esta innovadora tendencia. Pero la mayoría al conectarse, han mantenido sus ICS tal y como las tenían antes de conectarse por lo que se están descubriendo más y más vulnerabilidades cada año. Y eso era, y es, un problema.

Figura 2: Vulnerabilidades descubiertas en sistemas ICS del año 1997 al 2015

Tenemos la suerte, aunque en parte desgracia, y ahora explicaré por qué, de que en la Ley PIC (protección de infraestructuras críticas, 8/2011 de 28 de abril) se establecieran unas medidas de seguridad obligatorias para las infraestructuras críticas de España, las cuales están controladas por ICS, así que hay que protegerlas con todo lo que se pueda. Ahora bien, antes he dicho que en parte era una desgracia, y esto es porque infraestructuras críticas solo son aquellas que son indispensables para la población y que si se pararan no podríamos cubrir.

Figura 3: Ley de Protección de Infraestructuras Críticas en España

Pero la ley solo cubre a las infraestructuras críticas e Internet es un lugar muy vasto. Una vez que conectamos las industria a la red, cualquiera puede hacer un poco de Hacking con Buscadores utilizando el buscador de dispositivos de Shodan, y, ¿podéis adivinar qué se puede encontrar? Efectivamente, los ICS vulnerables. Y lo mejor es que son tan buscados que Shodan ya tiene un apartado para ellos.

Figura 4: Buscador de ICSs en Shodan

Lo curioso de Shodan es que además puedes buscar protocolos y puertos abiertos, que son una vía de entrada al sistema que está al otro lado. Y rebuscando un poco entre los protocolos más comunes de ICS, como Modbus o DNP3, podemos encontrar bastantes ICS vulnerables, y lo más preocupante es que no hay que tener mucho conocimiento previo para penetrar en una red en la que puedes provocar un desastre gordo como una inundación al abrir las compuertas de una presa o fastidiar la fabricación de algún producto que luego cause daños y pérdidas de dinero.

Figura 5: Contraseñas en los resultados de los productos

Además, como podéis observar en la Figura 5 tras buscar un poco se empiezan a encontrar las contraseñas de servidores a la vista sin protección alguna - ¿Será algún Honey Pot? -. Y no penséis que es un solo caso específico, hay por lo menos cientos de ICS que o tienen la contraseña a plena vista o usan las contraseñas por defecto (investigadores rusos de SCADA StrangeLove listaron más de 100 productos SCADA, los utilizados por los ICS, y sus contraseñas por defecto, que no son cambiadas en muchos casos), o, mucho más peligroso aún, no requieren de credenciales para entrar.

Figura 6: SCADAPASS


En la Figura 7, por ejemplo, se ha entrado sin que pidieran credenciales, y nosotros que somos aficionados a la seguridad no hacemos nada con ello, solo informamos, pero la posibilidad de que un ciberdelincuente entre es muy alta, y estando sin credenciales, establecer unas nuevas y dejar fuera a los verdaderos dueños es un paso muy sencillo, tan solo hay que navegar un poco por el portal.

Figura 7: Sistemas de control ICS sin passwords publicados en Internet

Que los sistemas SCADA de los que dependen nuestras industrias sean tan vulnerables parece una situación de ficción; y lo que parece más ficción todavía es que su seguridad no sea obligatoria por ley. Ya va siendo hora de que los gobiernos tomen medidas, y que posiblemente hagan que la ley PIC no abarque solo a infraestructuras críticas, porque, como ya habéis visto, entrar en ICS y hacer estropicios gordos es tan sencillo como mirar y rebuscar un poco en Shodan. Os recomiendo la lectura del libro de Infraestructuas Críticas & Sistemas de Control Industrial: Auditorías de Seguridad y Fortificación para conocer mucho más de este tema.

Autor: Jorge "Junior" de la Morena (Intership at ElevenPaths)

miércoles, julio 19, 2017

Cómo explotar EternalRomance & Synergy en Windows Server 2016

Hace pocos días escribí algunos post explicando cómo comprometer equipos con Windows 7/2008 R2 y 2012 R2 a través del famoso exploit ETERNALBLUE. Esta vez estuve jugando con ETERNALROMANCE con el objetivo de llegar un poco más lejos y ganar un acceso en Windows Server 2016.

Figura 1: Cómo explotar EternalRomance & Synergy en Windows Server 2016

Cuando Microsoft publicó los parches para la vulnerabilidad MS17-010, quedó expuesto que el problema afectaba desde Windows 7 (desde Windows Vista en realidad, pero… bueno) hasta Windows Server 2016. Sin embargo, la versión de ETERNALROMANCE publicada por TheShadowBrokers, tiene una gran inestabilidad al momento de impactar sistemas con versiones de Windows Server 2012 en adelante, provocando la mayoría de las veces el crítico pantallazo azul.

Figura 2: Versión EternalRomance del exploit

La buena (¿o mala?) noticia, es que hace pocos días se publicó un exploit que aprovecha el bug de ETERNALROMANCE/SYNERGY, con mejoras en el método de explotación, para hacerlo más estable al momento de atacar sistemas con Windows Server 2012 y 2016. Pero lo cierto es que, al fiel estilo de su autor (Sleepya), si se quiere utilizar dicho exploit es necesario ingeniárselas un poco, entender cómo funciona y modificar algunas pequeñas cosas para lograr que, al momento de impactar un objetivo, ocurra lo que nosotros queramos.

Figura 3: PoC de ETERNALROMANCE/SYNERGY en Windows Server 2016

Es por eso que tras haberlo analizado, me decidí a escribir un nuevo "How to” explicando paso a paso todo lo necesario para hacer funcionar el exploit de Sleepya correctamente y modificar su comportamiento con el fin de obtener una sesión de meterpreter sobre el equipo objetivo.


El paper fue publicado en su versión en inglés en exploit-db, y en este artículo puedes leer el mismo en español.  :-). Enjoy! Nos vemos en DefCON.

Autor: Sheila A. Berta (@UnaPibaGeek) – Security Researcher en ElevenPaths.

martes, julio 18, 2017

Una entrevista a Yaiza Rubio antes de DefCON & BlackHat

Hoy estoy en Las Vegas, lugar que pronto será tomado por hackers de todo el mundo para disfrutar de BlackHat y DefCON, las dos conferencias más míticas de la historia. Yo he tenido la suerte de estar muchos años participando en ellas, y para mí siempre fue una maravilla. Este año, varios investigadores de ElevenPaths estarán por allí. Claudio Caracciolo y Sheila A. Berta del equipo de Buenos Aires, y Félix Brezo y Yaiza Rubio de la oficina de Madrid.

Figura 1: Una entrevista a Yaiza Rubio antes de DefCON & BlackHat

Aprovechando que estoy cerca de ellos, he querido hacer una pequeña entrevista a Yaiza, la primera mujer hacker de España que va a participar en estas conferencias. Una persona muy importante para nuestro equipo de Ciberseguridad en Telefónica, dentro de los analistas de ElevenPaths. Estas son las preguntas y estas son las repuestas.

Saludos Malignos!

1.- Sabes que eres la primera mujer de Telefónica y de España que va a dar una charla en Defcon, y para mí es un orgullo que seas de ElevenPaths, pero la pregunta que se hacen muchos es cómo se llega ahí. ¿Qué has estudiado para tener los conocimientos suficiente para lograr esto?
Te aseguro que hay caminos más directos que el que he hecho yo. Yo soy licenciada en Ciencias de la Información, Máster en Análisis de Inteligencia, Máster en Logística y Economía de la Defensa y Máster en Derecho Tecnológico y de las TIC. Estuve trabajando en S21sec e ISDEFE, pero fue a raíz del 2013 cuando entré en la unidad de ciberinteligencia de Telefónica cuando comencé a pegarme con esto de verdad. 
Como muchos, compaginaba el trabajo con formaciones, en mi caso, de hacking y de análisis forense, pero la realidad es que la mayoría de los conocimientos que tengo son a raíz de haber tenido cierta inquietud sobre algo que me ha parecido importante aprender.
2.- Y de ahí, ¿cómo llegaste a meterte en este mundo? ¿Qué te hizo acabar aquí?
Fue de pura casualidad. Félix y yo nos conocimos en el Máster de analisis de inteligencia. Con él fui adentrándome poco a poco en este mundo. Yo trabajaba en ISDEFE, en la unidad de desarrollo de negocio de la industria española de defensa y seguridad, y Félix en el laboratorio de seguridad que la Universidad de Deusto.
Nunca se me olvidará el día en el que Félix me llamó para decirme que se había encontrado con David Barroso y le dijo que estaban montando en Telefónica una unidad de ciberinteligencia. A la semana estábamos trabajando con Carlos Díaz y David Prieto en cómo montar lo que hoy es el servicio de CyberThreats de ElevenPaths.
3.- Eres una persona de gran importancia para ElevenPaths y Telefónica en el área de la Seguridad, ¿cómo se lleva la presión con eso? ¿No te da cierto vértigo?
Tampoco es para tanto. Por suerte, en Telefónica tenemos gente que lleva desde hace muchos años dedicados a la ciberseguridad como es tu caso, el de Pedro Pablo Pérez o Alejandro Ramos. El hecho de que nos hayan cogido en las dos mejores conferencias del mundo simplemente es un síntoma de que lo estamos haciendo bien.
4.- Y con tu primera experiencia en Defcon en unos días, ¿Qué es lo que más te asusta? ¿Qué es lo que más te motiva?
Lo que más me motiva es mirar atrás y ver mi evolución. Este viaje es un premio a la actitud de trabajo y la capacidad de aprender todos los días. En realidad me asustan muchas cosas, pero si lo dejara para cuando piense que estoy lo suficientemente preparada al final acabaría no haciéndolo.
5.- Resúmenos un poco de que es lo que vais a hablar en DefCON y qué es lo que vais a presentar en el BlackHat Arsenal, que también vas a estar por allí.
En BlackHat mostraremos OSRFramework. Un conjunto de herramientas de software libre con el que venimos trabajando ya cuatro años y que dan soporte a los procedimientos de investigación sobre la huella digital de ciberidentidades con presencia en la red. 
Por otra parte, en Defcon profundizaremos en el proceso de preparación de un ataque de phishing el que los atacantes verán protegida su identidad apoyándose en tecnologías como Tor y la explotación de malas prácticas en la gestión de enlaces difundidos a través de redes sociales. Aunque lo hemos notificado a varias plataformas, pocas han corregido un fallo que proporcionaría una mayor seguridad a los usuarios.
6.- ¿Cómo es el día a día en ElevenPaths?
Imposible aburrirse. En mi caso, estoy muy enfocada a la investigación pero eso no quita que como analista deba trabajar conjuntamente con el resto de áreas como innovación, producto o desarrollo de negocio. Al final nos dedicamos a la venta de servicios y productos de ciberseguridad.
7.- Además, también te animaste a escribir un libro para 0xWord sobre BlockChain con otro grande, Félix Brezo. ¿Esto cuenta como hobby o como trabajo?
Es un hobby con mucha responsabilidad. Además, esta editorial se diferencia por proporcionar a sus lectores una aproximación práctica de la seguridad. No quieren ni casos de uso ni ideas que en un futuro se puedan implementar. Invierten su dinero para que después de seguir el libro tengan cierta soltura en un tema. 
Figura 2: Libro de Yaiza y Félix sobre BlockChain & BitCoin
Desde el punto de vista del que escribe, implica mucho más trabajo planteando retos para que el lector no pierda el interés sobre el tema.
8.- BlockChain es un tema muy de actualidad, y tú llevas años con Félix estudiándolo. ¿Cómo crees que va a cambiar el mundo en los próximos años?
Sin duda están surgiendo, con ciertas dudas, nuevas oportunidades relacionadas con esta tecnología. Sin embargo, desde el punto de vista de la seguridad, es probable que lleguemos a ver dentro de poco diferentes aplicaciones maliciosas que, con el objetivo de perpetuar la comunicación entre víctimas y administradores, utilicen la cadena de bloques. 

Figura 3: Charla de Yaiza y Félix sobre BlockChain & BitCoin en RootedCON
De la misma manera, con el auge del ransomware llevamos unos cuantos años sufriendo el anonimato de Bitcoin. Es triste pero antes de WannaCry no nos llegaban tantas peticiones de gente interesada en conocer cómo investigar los pagos en Bitcoin.
9.- Los que tenemos el veneno éste de la tecnología estamos siempre pensando en lo siguiente. En el To-Do list tenemos muchas cosas. ¿Qué hay en la tuya?
Blackhat y Defcon es una primera toma de contacto. En el futuro esperaremos llevar investigaciones que nos permitan competir con los mejores analistas de seguridad del mundo. Respecto a mi To-Do list personal, me gustaría invertir más tiempo en el proyecto de Cibercooperantes de INCIBE. Es importante promover la sensibilización de los riesgos de internet entre niños, padres y profesores. 
Ayudar a la gente que tienes cerca con tu experiencia es muy necesario, pero para cambiar las cosas también es necesario influir en aquellas personas que toman decisiones y que nos marcan las reglas del juego constantemente y a vaces sin el conocimiento necesario. Principalmente porque es imposible que puedan abarcar tantos temas y tan complejos. También, poco a poco completar asignaturas de la carrera de derecho que estoy haciendo, así como continuar con mis clases de árabe que ya son cuatro años los que llevo con este idioma infernal. 
¡Ah! Y no todo va a ser seguridad. En noviembre juego el campeonato de España de Padel junto con mi compañera de Telefónica de España Elena Sumastre. ¡Seguro que haremos un buen papel!
10.- ¿Quiénes fueron tus referentes?
Seguro que mucha gente que lee este blog sabía desde pequeño que quería dedicarse a la seguridad. Yo, no. Yo he tenido la suerte de conocer a mis referentes en el día a día como un tal Chema Alonso, Pablo González, Sergio de los Santos o Antonio Guzmán.
11.- Sabes que eres un referente ahora tú para las futuras generaciones, y sabes que yo tengo una niña de 9 años preciosa que ya hace pinitos con Arduino. Tú, que has sido niña y has tenido 9 años seguro que sabes mejor que yo que pasa por su mente. ¿Qué le dirías a las niñas de 8 a 12 años que hacen sus pinitos con la tecnología?
Más bien es qué le diría a sus padres y profesores. Al final, la capacidad de influencia en los jóvenes se encuentra en su círculo más cercano. Todo se fundamenta en proyectar entre los pequeños el valor de la constancia y que sus familiares se esfuercen también en fomentar esa primera experiencia positiva con la tecnología. El objetivo es que este sector sea una opción entre las jóvenes cuando crezcan. No aparecen Nadales de la nada sin un entorno favorable y sin perseverancia. 


Figura 4: Yaiza es una de las mujeres hacker

No es la primera vez que me piden mi opinión sobre por qué hay tan pocas mujeres que dediquen a lo que hago yo. Creo que Amy Cuddy, psicóloga en Harvard, dió con la clave. Las niñas cuando llegan a los 12 años cambian su lenguaje corporal porque de repente pierden seguridad. El entorno debe tener muy en cuenta este detalle porque cualquier comentario negativo sobre su valía o sobre la tecnología puede ser decisivo para no generar en ellas ese gusanillo que se necesita para querer aprender diariamente sobre esto.
12.- Para terminar, me tienes que recomendar tres libros de lectura que te hayan emocionado. Que llega el verano y hay que hacer la selección de libros. "Pásate" tres referencias.
1984 de George Orwell. Es mi libro favorito desde siempre. Es increíble cómo un libro publicado en 1949 pudo interpretar tan bien el futuro y las diferentes formas del poder para ejercer el control sobre sus ciudadanos. A pesar de estar ambientado bajo regímenes totalitarios, me gustaría volver a leerlo teniendo en cuenta lo que sabemos después de Vault 7.

Los Guardianes de la Libertad de Noam Chomsky y Edward S.Herman. Es un ensayo un poco duro de leer pero merece la pena analizar cuál era el modelo de los medios de comunicación a finales de los años 80 y cómo tenían y siguen teniendo la capacidad de dirigir la opinión pública a pesar de la aparición de internet y las fake news.

Y, por último, me gustaría recomendar el libro de Silvia Barrera, Claves de Investigación en Redes Sociales. Siempre he valorado mucho a las personas que se dedican a la seguridad pública en España. Tenemos la suerte de contar con muy buenos profesionales y más después de leer el libro de Silvia, una persona que ha dedicado toda su carrera a ayudar a los demás.

lunes, julio 17, 2017

Adiós Julio: Últimos eventos online para este mes

Esta semana voy a tener una pequeña participación en el evento MGX de Microsoft, así que estaré por Las Vegas durante los próximos días. Mientras tanto, online, tienen lugar las últimas tres actividades que hay organizadas para este mes de Julio, que es lo que os voy a dejar hoy en este post.

Figura 1: Julio, últimos eventos online para este mes

Las tres actividades que tenemos online son para el jueves, dos tienen que ver con The Security Sentinel y nuestros libros de 0xWord, la otra tercera es una talk de ElevenPaths. La charla, por comenzar por la tercera, está dedicada a explicar las diferencias entre lo que es un NOC (Network Operations Center), un SOC (Security Operations Center) y un CyberSOC, además de entender el tipo de servicios que se ofrecen en cada uno de ellos.

Figura 2: ElevenPaths Talk 20 de Julio "NOC, SOC & CyberSOC"

La primera formación que comienza el día 20 de Julio es un Curso Online de Hacking Ético avanzado, donde durante más de 180 horas se realizan prácticas avanzadas de lo que son proyectos de Ethical Hacking. En el curso, se entrega como material el libro de Pentesting con Powershell.

Figura 2: Curso Online de Hacking Ético Avanzado

Por último, el mismo jueves da también comienzo el Curso Online de Auditorías Móviles, donde se tratan durante 180 horas de formación teórica y práctica cómo se realizan las auditorías de seguridad y los análisis forenses a dispositivos móviles. Como material de apoyo se entrega nuestro libro de "Hacking iOS: iPhone & iPad [2ª Ed]".

Figura 3: Curso Online de Auditorías Móviles

Y esto es todo para este jueves, yo os dejo ya que me voy volando. Que paséis una buena y productiva semana.

Saludos Malignos!

domingo, julio 16, 2017

Agradecidos arranques espontáneos de comunicación

Hoy domingo os iba a dejar el típico post en el que enumero los eventos de esta semana, pero teniendo en cuenta que el día de mañana voy a estar metido en un avión en mi viaje a Las Vegas, he querido tomarme un poco de tiempo para hablaros de algo que hace tiempo tenía en mente, y no es otra cosa que algunos de los mensajes de apoyo, felicitación y ánimo que me llegan.

Figura 1: Agradecidos arranques espontáneos de comunicación

A veces los mensajes me pillan de la forma más inesperada, como cuando pregunto a un trabajador de un centro comercial por el ascensor para subir el carro de la compra y me contesta con un “Está allí. ¡Eres un crack, Chema!”. O tomando unas copas con unos amigos alguien se para, y me dice “Eres Chema, ¿verdad? Que sepas que estoy contigo y tienes todo mi apoyo.” O alguien que me escribe un correo y me dice “Me has inspirado y me has ayudado a cambiar mi vida”.

El último en persona, este mismo viernes mientras me tomaba un café, y un chaval – que ahora trabaja para la competencia – se me acercó a saludarme para decirme que mi trabajo le inspiraba. Y luego continúo por Linkedin. El último por correo hace unos segundos, y ha sido el detonante para escribir este post.

También están los otros que llegan en forma de comentarios anónimos, o cuentas troll que me dicen que no tengo ni puta idea de nada, que gustan menos, pero también afectan menos. De hecho, muchos de esos me llegan de segundas cuando un amigo o conocido me cuenta que alguien se ha metido conmigo en una cena, charla o evento, por mi gorro, las pintas, mi skate, mi coche o porque no sé nada de nada – que digo yo, que tanto como nada…¿algo sabré, no? -.

Nunca pensé, cuando comencé a estudiar informática, que mi trabajo daría tanto de qué hablar. Que lo que yo haga o deje de hacer sería digno de comentar tanto. Por suerte, el número de mensajes de gente que aprecia mi trabajo, o que de forma espontánea me cuenta que gracias a mis charlas ha encontrado su vocación, o que leyendo mis artículos o libros ha mejorado un poco en su vida profesional, es infinitamente mayor que el de trolls. Me siento afortunado y feliz.

De hecho, yo he aprendido a hacer lo mismo con mi gente y con mis amigos. Les digo lo positivo que hacen en mí, para que lo escuchen de mi voz. Que me gusta trabajar con ellos. Que me gusta su trabajo. No me lo guardo. Si tengo un buen pensamiento sobre mis compañeros o amigos, se lo digo. Porque sé que hace bien saberlo. En una sociedad donde los tontos creen que mola ser un hater, y confunden la grosería con sinceridad, yo creo que la gente valora cuando le dices las cosas positivas. No se trata de adular, sino de expresar lo positivo. Lo negativo se escucha con más frecuencia.

Muchos de los arranques espontáneos de comunicación que recibo por e-mail son de gente que no conozco personalmente, o de gente con la que he estado solo unos segundos o minutos en un acto. Y yo les agradezco sus mensajes. Muchas veces no sé si he sido lo suficientemente explícito al agradecérselo, porque suele dar bastante apuro, pero lo cierto es que es de agradecer.

Pero también recibo estos mensajes de amigos que llevan años conmigo, de conocidos de profesión que me conocen bien en detalle, de compañeros de trabajo que se dejan la piel conmigo en el día a día. Y los valoro mucho.

Os cuento esto, porque en las últimas dos semanas me han pillado cerca tres fallecimientos de compañeros de profesión. En esos momentos duros para los seres más allegados es cuando suele decirse eso de “No quiero molestarle ahora que estará muy agobiado”, pero no es verdad. Es en esos momentos es donde hay que personarse y estar. Tener un arranque espontáneo de comunicación con las personas que más lo sufren y explicarle porqué estás ahí. No es fácil, ni cómodo, para los que sufren más directamente la pérdida, y yo procuro estar ahí.

Por eso, no quiero que los que lo hacéis conmigo, los que me mostráis vuestros buenos sentimientos hacia mí, penséis que no lo valoro. Que penséis que me va a sentar mal o me vais a molestar. Y por supuesto, intento agradecérselo especialmente a los amigos que estáis ahí cuando estoy mal. Que me decís que pedalee cuando estoy sufriendo por algo. Que me llamáis cuando algo me pasa. Que me escribís o me ponéis un WhatsApp cuando os enteráis de algo que me ha sucedido. No importa si se os pasa la fecha de mi cumpleaños o si estamos sin vernos meses.

Tampoco necesito que hagáis nada extra por mí, tanto si nos conocemos como si no. Yo hago mi trabajo como lo hago porque es mi pasión. A las personas que quiero se lo digo. A las personas que no quiero las ignoro. No necesito fans ni haters. Soy un chico de Móstoles que disfruta con la tecnología. Que acierta y se equivoca como los demás. Pero os agradezco todos los mensajes de ánimo, apoyo, y gratitud. No sé si lo expreso correctamente cuando los contesto. Agradezco cuando me paras por la calle, o te acercas en un café para decirme algo amable. Incluso si no lo parece en ese momento porque estoy un poco avergonzado. Luego me hace mucho bien.

He pensado muchas veces en dejar de escribir este blog, o en dejar de dar charlas, o en dejar de escribir, y centrarme en mi trabajo. Sobre todo en los malos momentos personales. Cerrar las cuentas de las redes sociales, pasar más tiempo con mi familia. Dibujar más con mis hijas o leer más libros y comics en soledad –algo que disfruto-. Salir más con la bici e irme a patinar. Pero me sigo sentando a escribir en este blog, a preparar una nueva charla o meterme en un nuevo jaleo. En parte es porque vuestros arranques espontáneos de comunicación me animan a ello. Gracias.

Saludos Malignos!

sábado, julio 15, 2017

Hoy Sábado: Último día del cupón descuento en @0xWord

Hoy 15 de Julio es el último día en el que es válido el Cupón descuento del Verano en 0xWord. Hasta las 23:59:59 de hoy estará funcionando y todo el material adquirido con él tendrá automáticamente un 10% de descuento.

Figura 1: Hoy Sábado, último día del cupón descuento en 0xWord

Para hacer uso de él, hay que introducir el código VERANO2017 a la hora de finalizar la compra. Todos los artículos de 0xWord -incluido el último libro de Máxima Seguridad en Windows -, incluyendo los packs oferta, el pendrive de Cálico Electrónico, los libros de 0xWord Pocket, los VideoBooks, o el cómic de hacker épico, tendrán automáticamente le descuento.

Figura 2: Cupón VERANO2017 para obtener 10% de descuento

Después, la semana que viene 0xWord finalizará de procesar todos los pedidos y se cerrara para hacer el inventario del verano, tal y como se hace todo los años, así que si no has hecho tus pedidos antes del miércoles de la semana que viene, ya deberás esperar hasta finales de Agosto para poder volver a recibir el material.

Saludos Malignos!

viernes, julio 14, 2017

Tu PLC Sauter viene con una cuenta de e-mail de "regalo"

Sauter moduweb Vision es un módulo que proporciona un aplicativo web para la visualización de manera compacta, sencilla e intuitiva de la información que proporcionan diversos PLCs a los operarios que los utilizan en sus Sistemas Industriales. También permite interactuar de manera directa en la configuración de ciertos parámetros de este tipo de autómatas programables.

Figura 1: Tu PLC Sauter viene con una cuenta de e-mail de "regalo"

Una funcionalidad que incorpora este módulo, es la configuración de un cliente de correo electrónico para que, en el caso de que se dispare una alarma (temperatura por encima de una consigna, extractores de humo averiados, etc…), automáticamente se envié una notificación por correo electrónico a la persona responsable, avisando del tipo de incidencia.

Figura 2: PLC Sauter

Veremos en el presente artículo cómo, aprovechándonos de la configuración por defecto de acceso a la gestión del PLC mediante el módulo moduWeb Vision, es posible acceder a la configuración del cliente de correo electrónico del PLC, obtener la contraseña de la cuenta de correo indicada para las notificaciones y comprobar, con la ayuda del protocolo SMTP, si el password de acceso a la cuenta de correo electrónico realmente se corresponde con ésta.

Fase 1: Búsqueda de dispositivos Sauter con el módulo moduWeb Vision

Localizar PLCs con el módulo moduWeb Vision es realmente fácil, utilizando el patrón “Sauter moduWeb - Login” presente en el título de la web. Realizando un poco de Hacking con Buscadores, Google devuelve los siguientes resultados:

Figura 3: Dorking y resultados devueltos por Google

Fase 2: Datos de acceso por defecto

Muchos de estos PLCs conectados a Internet, que controlan entornos donde las vidas humanas tienen un papel fundamental ya que pueden estar en Sistemas Industriales o Infraestructuras Críticas, siguen presentando configuraciones inseguras por defecto. Una sencilla búsqueda en Google nos proporciona los datos de acceso por defecto a estos dispositivos con moduWeb Vision: “admin” y “password”.

Figura 4: Búsqueda de los datos de acceso por defecto

Introduciendo la información mostrada en la figura anterior, es posible acceder a buena parte de estos dispositivos. En la figura siguiente, se muestra el panel de manipulación y monitorización del sistema de calefacción de un bloque de viviendas comunitario con credenciales por defecto.

Figura 5: Diagrama de un sistema de calefacción comunitario

Fase 3: Configuración del cliente del correo electrónico del PLC

Como se ha comentado, el módulo moduWeb Visión dispone de un cliente de correo electrónico que se comunica con un servidor de correo electrónico bajo el protocolo SMTP (Simple Mail Transfer Protocol) usando el puerto 25/TCP. Para ello, hemos de proporcionar en el la configuración del cliente de correo, quién es el servidor de correo electrónico saliente que enviará el mensaje de alerta a un buzón de correo electrónico, la cuenta de correo electrónico y la contraseña de correo.

Figura 6: Parámetros de la configuración del cliente de correo electrónico por SMTP

Por defecto, léase la documentación del PLC, la opción de SSL para enviar correos electrónicos cifrados viene desactivada.

Fase 4: Seguridad por ocultación

En la figura anterior puede observarse cómo la contraseña, a primera vista, no aparece en texto plano debido al uso del campo input de tipo password en el formulario de configuración del cliente de correo SMTP. Basta realizar un cambio en caliente desde el navegador web para obtener la clave en texto claro de la cuenta de correo electrónico.

Figura 7: Modificación en el formulario del cliente para ver la password

Conocida el password de uno de los usuarios del servidor de correo saliente usado por el PLC, el siguiente paso es comprobar que realmente se trata de una identidad digital válida utilizada por el PLC. Aquí es dónde entrará en juego el protocolo SMTP.

Fase 5: Diálogo con el servidor de correo electrónico mediante SMTP

El protocolo SMTP (Simple Mail Transfer Protocol) utiliza por defecto el puerto 25/TCP. Para conectarnos, basta realizar una conexión TCP del servidor. Inicialmente intentaremos mandar un correo electrónico desde la cuenta de correo descubierta en el PLC. En caso de no estar bien configurado el servidor de correo, podríamos “spoofear” cualquier cuenta de correo electrónico (aunque el nombre de dominio fuera diferente al nombre de dominio configurado en el servidor de correo electrónico) y usar ese servidor para realizar ataques, por ejemplo, de spear phishing.

Comprobamos cómo el servidor de correo no permite el envío de correos electrónicos si no nos autenticamos correctamente en él.

Figura 8: Conexión SMTP e intento de envío sin autenticar. El servidor no lo permite.

Es en este punto es donde utilizaremos para la autenticación el password descubierto en la figura 6. Tras conectarnos al puerto 25/TCP, con la opción “auth login” decimos al servidor que queremos autenticarnos en él. El servidor nos devolverá el mensaje “334 VXNlcm5hbWU6”, que se trata de una cadena codificada en Base64 solicitando el nombre de usuario.

Introducimos el nombre de usuario codificado en Base64 (c2xxxxxxxxx20=) y el servidor nos devuelve el mensaje “334 UGFzc3dvcmQ6” codificado en Base64 solicitando el password. Codificamos el password de la figura 7 en Base64 y se lo enviamos al servidor de correo. El servidor devuelve un mensaje de que la autenticación es correcta (authentication succeeded).

Tras indicar quién es el emisor del mensaje y el destinatario, finalizar el mensaje con punto (.), el servidor devuelve el mensaje “mail accepted for delivery” (correo aceptado para la entrega). A continuación se muestran todos los pasos de la conexión SMTP AUTH a través de Telnet:

Figura 9: Conexión SMTP AUTH a través de Telnet

En estos momentos, podemos determinar que la cuenta de correo electrónico y el password presente en la configuración del cliente de correo del PLC de la figura 7, realmente pertenecen a una identidad digital válida en el servidor de correo saliente usado por el módulo moduWeb Vision del PLC Sauter y está distribuida en todos y cada uno de los dispositivos. Todos con la misma. No parece la forma más segura de crear un sistema industrial.

Autor: Amador Aparicio (@amadapa), autor del libro "Hacking Web Technologies"

jueves, julio 13, 2017

Saltarse AppLocker en Windows 10 con los CPLs del Panel de Control

Hemos hablado recientemente de AppLocker y las técnicas de Bypass. Son técnicas interesantes para cualquier proyecto de Ethical Hacking, ya que nos permiten evitar las políticas de restricción de aplicaciones que pueden contener los distintos equipos de una organización. Hace unas semanas hablábamos de una técnica que utilizaba la herramienta BGInfo de Sysinternals para saltarse la restricción de ejecución. Por otro lado, vimos una segunda técnica que utilizaba las reglas por defecto de AppLocker para llevar a cabo el Bypass.

Figura 1: Saltarse AppLocker en Windows 10 con los CPLs del Panel de Control

En otras ocasiones hemos hablado de los Bypass de UAC en entornos Windows y os dejamos algunos de los más relevantes para que los tengáis en vuestra mochila:
UAC Bypass Fileless 1
UAC Bypass Fileless 2
UAC Bypass Fileless 3
Nuestro Invoke-CompMgmtLauncher
Hijacking DLL en WinSxS
Hoy hablaremos de una técnica que se basa en el abuso de los CPLs utilizados por el panel de control de los sistemas operativos MS Windows.

¿Qué es un CPL?

Pues es básicamente una Librería de vínculo dinámico (DLL). Es decir, cuando el panel de control es ejecutado se cargan diferentes CPL que tienen ciertas funcionalidades, pero, a efectos prácticos funciona como una DLL. El escenario que se va a mostrar es un AppLocker configurado con las reglas por defecto. Una vez creadas las reglas por defecto, se deniega el uso del cmd.exe, por lo que cuando intentemos ejecutar una cmd.exe no se podrá.

Figura 2: Reglas por defecto y denegación de cmd.exe

Si se ejecuta el Panel de Control, a través del binario control.exe, y se indica el CPL concreto, como rundll32 está en una lista negra, no se podría ejecutar el contenido de la CPL, si ésta fuera a invocar un cmd.exe. Es en este punto donde debemos pensar en ¿cómo el panel de control carga por defecto los CPLs? Al final, como hemos dicho anteriormente, no son más que DLLs, por lo que el panel de control hace uso de estas funcionalidades en su ejecución.

Con Procmon se puede visualizar de dónde se cogen los CPLs, y se verá como están todos en HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs. Lo curioso es que con Procom, se puede ver como el binario explorer.exe busca en HKCU primero. Como sabemos esta rama es manipulable por el usuario, sin necesidad de privilegio, por lo que podremos crear la rama HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs.

Figura 3: Manipulación de la clave de registro

Para escribir la clave en el registro apuntando al CPL, se puede utilizar la siguiente instrucción, aunque en el caso de que reg o regedit se encuentren bloqueadas, se puede utilizar VBScript o Javascript para crear esas ramas en el registro:
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs” /v [nombre CPL] /t REG_SZ /d [ruta CPL]

Ahora, para crear la DLL utilizamos msfvenom y la movemos como fichero CPL. Desde Windows nos descargamos el fichero CPL y lo dejamos en el escritorio. El fichero debe encontrarse en la ruta dónde apunte la clave del registro que previamente se ha creado. La instrucción con msfvenom es sencilla y rápida: msfvenom –p [payload] -f [formato] -o [ruta salida].

Figura 4: Ejecución co msfvenom en Kali Linux 

Para ejecutar el Panel de Control se puede utilizar la ruta completa C:\Windows\System32\control.exe. El resultado debe ser que, aunque tengamos AppLocker con reglas por defecto y restricciones, el código del CPL debe ser ejecutado, evitando la restricción de rundll32.exe, y la propia de la no ejecución de cmd.exe. Para muestra el vídeo siguiente:

Figura 5: PoC de saltar AppLocker en Windows con los CPLs del Panel de Control

Recapitulando, este es un trick que debemos tener en la mochila, como los comentados anteriormente sobre AppLocker. Los ingredientes a modo de receta son:
• Creación de la DLL, por ejemplo, con msfvenom. Ponle imaginación y piensa en una shell_bind_tcp u otros. 
• Renombrar el fichero DLL a CPL. 
• Creación de la ruta en HKCU. 
• Lanzar el control.exe utilizando algún método válido.
Si todo va bien, tendremos la ejecución del código de la DLL en nuestro equipo evitando la política de AppLocker. Para mitigar este tipo de técnicas, se puede habilitar lo que se denomina DLL Rule Collection en la pestaña de configuración avanzada de AppLocker. Esta opción viene deshabilitada por defecto.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

miércoles, julio 12, 2017

Guardia Civil lanza la Operación Rikati contra las estafas de mensajes SMS Premium en apps maliciosas de Android

El Departamento de Delitos Telemáticos de la Guardia Civil ha terminado la primera fase de la investigación contra las estafas en el mundo de las apps móviles que suscribían a las víctimas a servicios SMS Premium, con costes de hasta 30 € al mes utilizando muchos trucos. El principal de ellos, usando las técnicas de las app Gremlins tan utilizado por el malware en Android.

Figura 1: Guardia Civil lanza la Operación Rikati contra las estafas de mensajes SMS Premium en apps maliciosas de Android

En ElevenPaths hemos estado muy metidos en este tipo de investigaciones desde que comenzamos a trabajar en TACYT, nuestra plataforma de inteligencia en el mundo de las apps móviles, y hemos analizado en detalle muchos casos como el de la Linterna Molona, viendo cómo utilizaban tus propias apps de mensajería para suscribirte a números SMS Premium. En esta conferencia, explico algunas de ellas.


Figura 2: Investigación en el malware de Android con Tacyt

El número de referencias sobre este tema en el blog es alto, así que si te interesa ver cómo funcionan, te dejo algunos artículos que puedes leer:
Como veis, el número de investigaciones que hicimos en el mundo del malware es amplio, y estas investigaciones se compartieron con los cuerpos de seguridad, así como con las empresas de software implicadas. La Guardia Civil tras investigar todos estos actos ha hecho una Operación, denominada Rikati, , y ha realizado acciones en esta primera fase de la operación contra tres empresas españolas que estaban involucradas y que han estafado hasta un total de 30 Millones de Euros con este negocio de subscripción a SMS Premium mediante apps maliciosas.

Figura 3: El comandante Juan Sotomayor, Jefe del Departamento de Delitos Telemáticos
de la Guardia Civil presentando los resultados de la operación Rikati.
Ahora el Departamento de Delitos Telemáticos de la Guardia Civil ha puesto una página web en la que los clientes que haya sufrido cargos en su factura por estos mensajes SMS Premium no deseados, pueden comprobar si han sido inducidos por alguna de las apps o números de teléfono implicados en esta operación. Puedes comprobarlo en esta web abierta en Internet.
Por desgracia, tenemos que ver a cibercriminales haciendo este tipo de negocios constantemente, así que lo mejor es que si tienes un terminal Android, además de mantenerlo completamente actualizado, evites la instalación de apps gratuitas de dudosa procedencia, y que pongas un antimalware profesional con protección en tiempo real para vigilar el comportamiento de tu sistema.

Si quieres saber más sobre cómo investigar estos casos, te recomiendo encarecidamente el libro de 0xWord "Malware en Android" donde se explican muchas de las cosas que usamos para hacer estas investigaciones.

Saludos Malignos!

martes, julio 11, 2017

Cómo saber si te han bloqueado en WhatsApp

El tema de ayer sobre cómo se pueden utilizar los leaks de WhatsApp para saber que se ha leído un mensaje generó mucho revuelo entre distintos lectores, y las preguntas que e hicieron al respecto fueron muchas - incluso por WhatsApp -, así que hoy quería aclarar otra curiosidad, que es bastante sencilla de probar: ¿Qué pasa si agregas a alguien a un grupo y te tiene bloqueado?

Figura 1: Cómo saber si te han bloqueado en WhatsApp

La verdad es que no tiene ningún misterio. Pídele a alguien que te bloquee y haz tu mismo el experimento. Lo que sucede es que no te deja agregarlo, y no te da ningún mensaje. Simplemente no te deja agregarlo.

Figura 2: Agregas un contacto que te tiene bloqueado a un grupo y no puedes

Como side-effect, lógicamente, éste es un buen mecanismo para saber si alguien te tiene bloqueado o no en WhatsApp, más allá de mensajes con textos vacíos o configuraciones con y sin foto de la cuenta. Intenta agregar al contacto a un grupo de uno, y si no puedes, entonces te tiene bloqueado. Tenlo presente a la hora de gestionar tu privacidad en WhatsApp.

Saludos Malignos!

lunes, julio 10, 2017

Cómo tener el doble check azul en WhatsApp cuando está deshabilitado: "leaks" de privacidad en WhatsApp

La herramienta de WhatsApp es muy popular en el mundo de las relaciones personales. De hecho, es una de las cosas que más quiere hacer la gente que va por la vereda oscura de Internet y es fundamental conocer cómo te pueden "espiar WhatsApp". Hoy os voy a contar dos pequeños leaks de privacidad en esta herramienta que muchos utilizan para confirmar que una persona ha visto los mensajes que se han enviado.

Figura 1: Cómo conseguir el doble check azul en WhatsApp cuanto está deshabilitado
"Leaks" de privacidad en WhtasApp

Estos dos tricks hay que tenerlos presentes para poder Proteger tu WhatsApp a Prueba de Balas, así que os los cuento en detalle.

Leak 1: El Grupo de un solo contacto

Una de las características que tiene el doble check azul - de confirmación de lectura de los mensajes - es que solo aplica a chats personales, pero no a chats en grupo. Es decir, que por mucho que quites el doble check azul de confirmación de lectura, en un grupo esto no aplica.

Figura 2: Deshabilitar las notificaciones solo funciona en los grupos

El leak de información puede aprovecharse de forma simple. Basta con que la persona que envía un mensaje se cree un grupo con el mismo nombre que la persona que lo va a recibir lo tiene dada de alta en la agenda. Si le pone la misma foto que usa en su perfil de WhatsApp, podría parecer a un destinatario, al menos temporalmente, que es el chat habitual.

Figura 3: Creando un grupo de WhatsApp con tu nombre en la agenda del destinatario
y con solo dos miembros, tú y el destinatario. Y tu misma foto de perfil.

Como la opción de desactivar el doble check azul no funciona con grupos, la persona que lo recibe no podrá evitar que el emisor del mensaje reciba la confirmación de la lectura. Para darse cuenta de que es un grupo (y por tanto hay doble check azul) hay que fijarse que debajo del nombre del grupo aparece el nombre de la persona. El de arriba es un grupo, el de abajo no lo es.

Figura 4: Aspecto de que vista de grupo y de chat directo

Se ve claramente que es un grupo una vez que se ha entrado, así que el truco solo funciona si el destinatario no conocía las opciones de la figura 2 en detalle, o si, simplemente, le pica la curiosidad por saber el porqué de ese grupo o los mensajes. Pero si entra, manda el doble check azul.

Bonus Track 1: Cómo saber el nombre en la agenda

Para conocer el nombre con que una persona tiene a otra dada de alta en la agenda, ya os conté que existe otro leak que permite descubrir los nombres en la agenda de contactos con un enlace malicioso, así que hay que tener mucho cuidado con los links que se pulsan.


Figura 5: Leak en WhatsApp que permite robar los nombres de la agenda del destinatario


Bonus-Track 2: Cómo eludir las opciones de previsualización

El doble check azul no se envía cuando el lector no ha visto el mensaje en la pantalla del chat. Muchas personas, avezadas en opciones de privacidad, utilizan las opciones de previsualización de WhatsApp en el sistema operativo iOS de iPhone o Android para evitar esta notificación, así como la ventana que muestra WhatsApp Desktop o WhatsApp Web

Figura 6: Algunas personas usan las previsualizaciones in-app (o en iOS o widget de Android)
para evitar que se sepa que leen los mensajes - incluidos los de grupo -.

Sin embargo, esas opciones de previsualización tienen un límite de caracteres, así que para evitar que el destinatario pueda acceder al contenido del mensaje, uno de los trucos que usan es escribir mensajes largos, en lugar de muchos cortos. Con esto, el destinatario está obligado a entrar en la pantalla del chat para acceder al contenido, y por tanto, si es de un grupo, se enviará el doble check azul.

Figura 7: Límite de texto que puede previsualizarse en WhatsApp Web/Desktop

Si se sabe el sistema operativo que tiene el destinatario del mensaje o si se sabe si está usando la app móvil o WhatsApp Desktop/Web, es más fácil calcular los límites de la previsualización de mensajes. Existen formas de saber si se están usando las apps móviles o la versión Desktop/Web, por ejemplo, porque en las apps siempre corrige las frases de los mensajes para empezar con mayúscula, y la versión Web/Desktop de WhatsApp no lo hace.

Leak 2: El mensaje de audio

En WhatsApp, la confirmación de lectura de un mensaje se puede evitar, pero no la confirmación de que un mensaje de audio se ha escuchado. Esto permite a la persona que envía un mensaje enviar un mensaje de audio - que puede estar incluso vacío - y que llegará al destinatario sin que este sepa su contenido. No hay nada que ver en la previsualización, solo que hay un mensaje de audio.

Figura 8: Cómo se ve en previsualización un mensaje de audio antes y después de ser escuchado 

Si el destinatario quiere acceder al contenido de audio, deberá hacer clic en la pantalla del chat, lo que obligatoriamente indicará que los mensajes anteriores han sido vistos si está en un chat de grupo, ya que se enviarán los doble check azul.

Figura 9: Mensaje enviado y no escuchado. El icono del micro sale en gris.

Si por el contrario el mensaje de audio está en un chat personal, cuando el destinatario haga play en el audio se enviará una confirmación de mensaje escuchado, lo que indicará la hora exacta en la que se escuchó, y por tanto, a la hora exacta a la que se visualizó la pantalla de chat junto con todos los mensajes de texto enviados antes. Incluso, se puede enviar un fichero de audio vacío solo como forma de conseguir el doble check azul.

Figura 10: Mensaje de audio en WhatsApp que ha sido escuchado. Manda el doble check azul
con el "played". Eso indica que también se han visto los mensajes anteriores.

Estos leaks de información que existen en WhatsApp pueden ser utilizados para que una persona dé información a un emisor sin querer hacerlo. O a lo mejor queriendo. Lo cierto es que si no quieres recibir mensajes de una persona porque de verdad no quieres ninguna comunicación por WhatsApp de ella, lo mejor es bloquearla y listo. Si quiere algo, que te llame o que te ponga un bonito y clásico e-mail sin confirmación de lectura truculenta.

Saludos Malignos!

domingo, julio 09, 2017

Temporada de verano para Chema Alonso @chemaalonso

Queridos lectores y lectoras de "Un informático en el lado del mal", no se si os habéis dado cuenta, pero el veranito ha llegado a la tierra donde habito. Así que, no os extrañéis si algún día no hay publicación por aquí. No planeo dejar de publicar en el blog, pero sí que puede que algún día no llegue, o siga menos la actualidad.

Figura 1: Temporada de verano para Chema Alonso

Me quedan pocas actividades antes de que tome unas más que merecidas vacaciones, y encima me va a tocar viajar, por lo que mis tiempos van a estar muy reducidos. Pasaré un par de días en la sierra de Madrid, luego me iré una semana a Las Vegas, otros diez días que me he reservado en la playa, y un par de semanas en la montaña para machacar bici, actividades con niñas y Mojitos en las puestas de sol. 

Entre medias, ya habéis visto que me he pertrechado de libros para leer, además de preparar mi viaje a finales de Agosto - si acabamos de cuadrar las fechas - a Silicon Valley para ir a principios de Septiembre a Chile, Argentina y Brasil. Un verano intenso que pinta muy bien.

A post shared by Chema Alonso (@chemaalonso) on


Como en la escritura de este blog ya colabora mucha gente - gracias a todos los que me enviáis artículos para compartir con el resto - quizá ni se note mi periplo, pero si algún día no hay nada por aquí, ya sabéis cuál es el motivo. Estoy disfrutando del verano.

Antes de irme de vacaciones en firme, haré una nota de prensa para compartir con todo el mundo, por si la seguridad nacional se ve afectada por mis días de asueto. Eso sí, no os preocupéis, que dejo un retén y me llevo el teléfono rojo cuando me vaya a tomar un mojito o a tumbar en la playa leyendo un libro con mi familia. 

Citas para la semana que viene

Ah, se me olvidaba, para aprovechar que es el post del domingo y siempre os dejo los eventos de la semana que viene, aquí tenéis la lista de los que tengo apuntados para a partir del lunes:
- 13 de Julio: Changing the Game with Big Data [Barcelona] 
- 13 de Julio: Talentum Hackathon (Marketing & Comms) [Madrid]
Saludos Malignos!

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares