domingo, agosto 20, 2017

Una opción en Telegram que arregla el "Desbloquéame" de WhatsApp

Durante el mes de Julio publiqué en un post el trabajo que hicimos con WhatsApp, explicando que era posible automatizar la creación de de grupos de WhatsApp por medio de una aplicación web que permitiera a una persona "desbloquearse" de la lista negra de otro contacto de WhatsApp

Figura 1: Una opción de Telegram que arregla el "Desbloquéame" de WhatsApp

La idea era probar que una pequeña característica de seguridad - conocida por muchos - podría ser explotada de una manera automatizada, pero por supuesto no publicamos el servicio ni el código del mismo.


Esa debilidad que WhatsApp tiene se puede arreglar de una manera muy sencilla, si la aplicación tuviera una opción de configuración tan útil como la que tiene Telegram para restringir quién te puede añadir a un grupo. Mientras que en WhatsApp cualquiera - le tengas en contactos o no - puede agregarte a un grupo, en Telegram los usuarios pueden restringir esta opción solo a sus contactos de la agenda.

Figura 3: Opción de Telegram que permite restringir quién puede agregarte a un grupo

Con un control tan sencillo como este, el problema explicado en "Desbloquéame" de WhatsApp se solucionaría, así que esperamos que en próximas actualizaciones acabe apareciendo, para dotar al servicio de un poco más de control por parte de los usuarios.

Saludos Malignos!

sábado, agosto 19, 2017

Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

Son muchos los blogs que han recibido los correos electrónicos de Google indicando que su blog tiene páginas que van a ser marcadas como inseguras. Remarco esto de "páginas" y no el sitio completo, pues en los correos electrónicos que Google está enviando a los dueños de sitios web en Blogger especifica exactamente qué páginas en concreto son las que van a ser marcadas como inseguras.

Figura 1: Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs.
Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

La lista de páginas son aquellas que tengan campos de introducción de datos, es decir, los INPUT tipo TEXT o tipo e-mail, como explican en el ejemplo que acompaña al mensaje de advertencia que se envía. Si te pasa esto en la página principal, entonces será todo el sitio.

Figura 2: Mensaje de advertencia para SeguridadApple.com

Como se puede imaginar uno, la solución es bastante sencilla. La opción 1 es quitar esos campos de entrada de datos, pero claro, eso llevaría a una pérdida de funcionalidad de algunos sitios. Además, tal y como está redactado el texto - al menos en Español - deja claro que es en la web en la que soliciten los datos (no importa si estos campos van en un FORM que tira en el ACTION contra un Backend HTTPs). Si la página muestra los campos de entrada de datos bajo HTTP, entonces saldrá la alerta.

Figura 3: Páginas que serán marcadas como inseguras

Esto tiene todo el sentido del mundo, porque el riesgo es que un campo mostrado bajo HTTP es susceptible a multitud de ataques, incluidos los famosos SSLStrip que presentó hace ya muchos años Moxie Marlinspike. Y en la charla de Owning Bad Guys {and mafia} with JavaScript Botnets, usamos el hooking de FORMs en conexiones HTTP para robar credenciales y datos de formularios. Puedes ver la demo aquí.



Figura 4: Owning bad guys {and mafia} with JavaScript Botnets


Esto nos lleva a la Opción 2, que es poner todo el sitio bajo HTTPs. Esto no es "Rocket Science", y basta con pedir un certificado con el nombre del dominio y aplicarlo para que el listener del sitio web escuche solo por peticiones HTTPs o, al menos, por las dos.

Figura 5: Si tienes un dominio personalizado, te "frunges"

Pero como ya se han quejado otros bloggers, esto no es posible de configurar en Blogger si tienes un dominio personalizado, como por ejemplo, www.elladodelmal.com, así que a partir de la versión de Google Chrome 62 puede ser que pasen cosas raras en muchos blogs.

Dicho esto, me parece una buena iniciativa marcar las páginas inseguras como inseguras, pero Google, ¿no podéis arreglar esto de una forma lógica y coordinada para que los usuarios de Blogger puedan hacerlo bien?

Saludos Malignos! 

viernes, agosto 18, 2017

King of Code: ElevenPaths CODE Talks for Devs

Desde ayer mismo tienes ya publicada la nueva serie de charlas que vamos a hacer desde ElevenPaths, en este caso, dirigidas a desarrolladores que quieran aprender cómo sacar el máximo partido de nuestras tecnologías. Cómo funcionan los SDKs, los WebHooks, o los Limited Secrets en Latch, pero también cómo integrar SealSign en tus proyectos con biometría.

Figura 1: King of Code: ElevenPaths CODE Talks for Devs

La serie la tenéis publicada en la web de ElevenPaths y dará comienzo dentro de menos de un mes, en concreto el día 13 de Septiembre, para que coincida con la vuelta de todos de las vacaciones.

Figura 2: ElevenPaths CODE Talks for Devs

La lista de seminarios es la que podéis ver, pero si queréis algún tema nuevo, podéis contactar con nosotros a través de nuestra Comunidad de ElevenPaths, para sugerirnos nuevas temáticas que abordar desde nuestras ElevenPaths Talks o nuestras ElevenPaths Code Talks for Devs.

Saludos Malignos!

jueves, agosto 17, 2017

In-Directo: Canales de Youtubers emiten los partidos de fútbol PPV en Live Streaming

Ayer no me dio la vida para ver la vuelta de la SuperCopa de España. Vi unos minutos nada más y el trajín de vida que me tiene en París hizo que cayera rendido con el ordenador en el pecho. Sin embargo, me dio tiempo a descubrir lo fácil que es para cualquiera acceder a contenidos de emisión en directo - como un partido de fútbol PPV a través de los servicios de Google.

Figura 1: In-Directo: Canales de Youtubers emiten los
partidos de fútbol PPV en Live Streaming

Tiempo atrás ya os dejé un post que generó bastante polémica en algunos lugares, sobre lo fácil que era encontrar películas piratas en Youtube y cómo los sistemas de Google no estaban funcionando tan adecuadamente en la detección del contenido pirata, generándose efectos secundarios, cuanto menos, "curiosos".

En este caso, cuando los derechos del fútbol tienen un coste de adquisición exorbitante por medio de las plataformas de distribución de contenido, como las televisiones de pago, llama poderosamente la atención lo sencillo que es para cualquiera acceder a través de Google y YouTube, a ver casi cualquier partido. 

Figura 2: Partidos que han comenzado a las 19:00 en PPV de la Europe League

Ahora mismo, mientras espero para terminar mi viaje, he hecho un pequeño experimento, esperando a que comiencen los partidos de las 19:00 de la Europa League. En la web, se puede ver que el contenido de estos partidos es en PPV (Pago Por Visión).

Figura 3: D.Zagreb contra Skënderbeu

Basta con ir a Google y buscar vídeos "recientes" con Live Streaming del partido que se quiera buscar. Como podemos ver, ya hay varios canales esperando para emitir en director el partido que queremos ver. Muchos son solo vídeos que en la descripción te llevan a servicios web de dudosa legalidad y no emiten el partido por Youtube realmente.

Figura 4: Canales que "supuestamente" emiten el futbol PPV en directo desde Youtube

Pero entre ellos, hay algunos que sí que lo emiten, y llegada la hora, el partido comienza en el Canal Youtube, como estaba anunciado, y se puede ver.

Figura 5: El partido en directo vía YouTube, a pesar de ser PPV

La experiencia que he tenido haciendo pruebas dice que a veces, como a los 20 minutos o así, aparecen reclamaciones del dueño del contenido que tiene que estar proactivamente buscándolos en estas plataformas que ofrecen Live Streaming de vídeo. Pero con repetir el proceso, aparecen nuevos canales que están preparados para cuando caigan los primeros.

La pregunta que queda en el aire es la misma que hay con servicios en Internet que almacenan contenido pirateado. ¿Deben hacer más? ¿Deben ser los dueños del contenido los que se quejen a las plataformas? ¿Se puede automatizar esto de una mejor manera que ir denunciando canal a canal en los servicios de Live Streaming la emisión del contenido pirateado? ¿Se puede hacer más? 

Saludos Malignos!

PD: Esto sucede en otras plataformas de que emiten Live Streaming Vídeo, aunque para el ejemplo se ha utilizado Youtube y Google.

miércoles, agosto 16, 2017

Nucleótidos usados para inyectar malware en muestras de ADN. Jugando a ser ROOT con el ADN.

Hace unos días hablamos sobre el hackeo a los coches autónomos utilizando señales de tráfico falsas. Hoy vamos a hablar de otro hackeo en el mundo real, esta vez de cómo unos biohackers han conseguido introducir en secuencias de ADN código de malware para atacar ordenadores. De momento sólo puede infectar equipos que tengan dispositivos y software destinado a decodificar el ADN (secuenciadores de ADN), por lo tanto, no es que tenga mucha utilidad en el mundo de la seguridad o sea un riesgo a día de hoy (recalcando la frase “a día de hoy”).

Figura 1: Nucleótidos usados para inyectar malware en muestras de ADN.
Jugando a ser ROOT con el ADN.

Secuenciar y analizar ADN era algo lento y costoso hace unos años, pero actualmente cada vez es más barato y rápido analizar millones cadenas de ADN. Las herramientas bioinformáticas son cada vez más asequibles y no podemos olvidar que, al fin y al cabo, se podrían catalogar como un dispositivo más dentro de los ICS. Almacenar información en cadenas de ADN no es algo nuevo y se presenta como un posible futuro de almacenamiento para datos digitales, actuando como discos duros orgánicos.

Almacenar datos en ADN tiene ventajas como durabilidad o incluso la no obsolescencia (el ADN no pasará de moda), pero quizás la mayor sea la capacidad de almacenamiento siendo posiblemente el sistema con más densidad de información existente (llegando incluso a 214 Petabytes en un gramo). Por lo tanto, es posible que, en un futuro, existan ordenadores que utilicen secuencias de ADN para almacenar y recuperar todo tipo de información.

Figura 2: Paper publicado sobre la secuenciación de malware en ADN

Pero este hipotético futuro también podría acarrear nuevos tipos de ataques utilizando muestras falsas de sangre o saliva para poder acceder a la información de ordenadores ubicados en hospitales que secuencien ADN, universidades o incluso más allá, inyectar código malware a secuenciadores utilizados por la policía para identificar posibles sospechosos de actos delictivos y modificar los resultados. Pero bueno, esto es especular demasiado, ¿o no? - y habrá que dejarlo por ahora para una posible  novela de 0xWord Pocket -. Vamos a concentrarnos en el paper y la PoC que han creado estos investigadores de la Universidad de Washington.

Figura 3: Muestra real de ADN sintetizado con el malware incrustado en su secuenciación

Como lamentablemente ocurre en otros dispositivos del IoT o los ICS, los programas y el hardware de secuenciadores de ADN no implementan apenas medidas de seguridad. Los investigadores fueron capaces de sintetizar ADN, que después de secuenciarlo y una fase de post-proceso, era capaz de generar un fichero que podría facilitar un acceso de control remoto al mismo aprovechando vulnerabilidades en el código del programa.

Todos hemos visto las famosas letras A, C, G y T (formando cadenas como por ejemplo AAATGGTCTTATCC) que representan la estructura primaria de una molécula de ADN y dichas letras corresponden a subunidades de nucleótidos llamados Adenina, Citosina, Guannina y Timina. Estas secuencias se agrupan en cadenas generadas con dichas letras las cuales a su vez se almacenan en ficheros de ordenador en un formato estándar llamado FASTQ. Estos ficheros tienen una estructura simple tipo ASCII como se puede ver en este ejemplo:

Figura 4: Ejemplo de FASTQ Format file
<9><9>
Estos ficheros provienen directamente del secuenciador sin ningún tipo de análisis previo (RAW). Antes de que comience el análisis de dicha secuencia almacenada en el fichero FASTQ, se realiza un pre proceso de limpieza para eliminar los datos no deseados basados en valores con poca puntuación (cuarta línea del ejemplo de arriba). Durante la secuenciación es cuando estos datos sin formatear se agrupan y alinean (este proceso es realmente complejo y se suele utilizar mucha potencia de cálculo) utilizando otras secuencias como referencia (por ejemplo, el genoma humano). Esta nueva alineación se guarda en otro formato llamado SAM o su versión comprimida llamada BAM y las posibles variaciones se almacenan en un fichero tipo VCF.

PoC: ADN para explotar malware

Entonces ¿puede el ADN utilizarse para comprometer un ordenador? Para poder contestar a esta pregunta tenemos antes que analizar los pasos que a realizar para tener éxito. El primer paso es poder sintetizar una secuencia de ADN sintético real con el código malicioso incrustando en él. Otro paso será poder secuenciar dicho ADN utilizando métodos de secuenciación estándares. Luego será necesario realizar un post-proceso utilizando un programa para analizar dicha secuencia de ADN. Finalmente, el exploit debería de provocar la ejecución de código arbitrario en el ordenador objetivo del ataque. Este es el aspecto final que tendría un fichero final FASTQ con el código de un exploit incrustado y secuenciado:

Figura 5: Exploit en formato FASTQ secuenciado


El primer intento de ataque se realizó utilizando como objetivo el programa fqzcomp, una utilidad para comprimir secuencias de ADN. Para el experimento se insertó una vulnerabilidad en su versión 4.6. Dicha vulnerabilidad se basa en que el programa lee de forma individual los datos del fichero FASTQ y los almacena en un buffer con un tamaño fijo específico (en concreto, 177 pares). Esta versión modificada de fqzcomp utiliza una decodificación simple de 2 bits que corresponde A como 00, C como 01, G como 10 y T como 11, empaquetándolos en bytes que comienzan con el bit más significativo.

Esto implica que será posible ejecutar un ataque tipo buffer overflow cuando el programa intente leer una cadena que sea mayor que el tamaño máximo de almacenamiento de dicho buffer. Por lo tanto, se preparó un Shellcode de 55 bytes de tamaño con otros 39 más para almacenar otros datos como valores de los registros (0xdeadbeef). Finalmente se obtuvo un exploit con 94 bytes de tamaño que se codificó en 376 nucleótidos. El proceso, con resultado negativo, se puede ver en la siguiente imagen:

Figura 6: Primer intento fallido de secuenciar el malware

Para sintetizar el exploit se utilizó el programa IDT gBlocks el cual generó fragmentos de hasta 3.000 bases de longitud. Pero aquí es donde aparece el primer gran problema. Los comandos utilizados como NOP o los bytes 0xdeadbeef antes mencionados, generan cadenas repetidas (NOP genera cadenas “GCAA”). Estas repeticiones pueden no ser correctas, ya que no encajan en un tipo de ADN válido y el programa IDT gBlocks las rechaza. El segundo problema apareció debido a la longitud del exploit, que intentaron resolver con una versión de 32 bits que finalmente no tuvo éxito. Este primer ataque fracasó principalmente al no encontrar una secuencia que pudiera ser secuenciada razonablemente por el secuenciador utilizado, modelo NextSeq de la marca Illumina.

Figura 7: Secuenciador de ADN NextSeq

El segundo intento se realizó utilizando un exploit basado en una característica de bash, la cual afecta los dispositivos virtuales /dev/tcp que crean conexiones TCP/IP. Por lo tanto, se redireccionaron stdin y stdout de /bin/sh a un socket TCP/IP, el cual conectaba a su vez con el servidor atacante. Este ataque se combinó con otro tipo return-to-libc dando como resultado un exploit de 43 bytes. Esta vez procuraron ocupar el menor espacio posible a la hora de escribir el código fuente del exploit. Por ejemplo, para la ejecución arbitraria de código remoto, utilizaron un servidor el cual su FQDN se codificó con un nombre de dominio lo más corto posible, para de esa forma mantener el exploit también con el menor tamaño posible.

Esta vez sí consiguieron un contenido sintetizado con un nivel aceptable para ser considerado válido por IDT gBlocks. Finalmente se obtuvieron 4 ficheros diferentes FASTQ con 811.118 elementos. Una vez ejecutado el programa fqzcomp, se activó el código del exploit el cual conectó a su vez con el servidor antes comentado habilitando la ejecución de código remoto con éxito.

Figura 8: Segundo intento, esta vez con éxito, de secuenciar el malware

Estos ataques se realizaron ad-hoc, utilizando programas reales, pero preparando el terreno para que la infección y la ejecución tuviera éxito. En cambio, también analizaron otros programas (en concreto 13) utilizados a día de hoy para el análisis de código de ADN y encontraron numerosas vulnerabilidades, la mayoría basados en buffer overflow. Muchos de estos programas están escritos en C y C++, utilizando todo tipo de librerías que utilizan funciones inseguras como strcat, strcpy, sprintf, vsprintf, gets y scans (siendo strcat, strcpy y sprintf las más utilizadas). Terreno abounado para buscar y explotar bugs. Por ejemplo, los programas fastx-toolkit, samtools y SOAPdenovo2, fueron atacados con éxito utilizando técnicas de buffer overflow.

En definitiva, el caso de la secuenciación de ADN y sus herramientas es muy parecido, en lo que a falta de seguridad se refiere, al mundo de los ICS. Aunque este problema aún no resulta una amenaza real, este primer acercamiento ayudará a concienciar a estos desarrolladores a crear código más resistente a cualquier tipo de ataques. Aunque todo esto suena a ciencia ficción, es una amenaza totalmente real y cada vez más se acerca el momento de avisar a las empresas que crean ADN sintético de que es hora de comprobar que no tengan código malicioso incrustado en él.

Autor: Fran Ramírez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

martes, agosto 15, 2017

Guiarte la Fuerza debe para en Amazon la compulsiva compra evitar

A mi hacker & survivor les gustan los cuentos. A mí me gusta Star Wars. Así que cuando el otro día descubrí que habían sacado las películas de la saga en forma de cuentos no me pude resistir. Debía comprarme los cuentos y comenzarles a explicarles porque hay que evitar el lado oscuro, cómo Anakin podría haber sido un gran Caballero Jedi si no hubiera sido atraído por el malvado Palpatine, y esas cosas que todos conocemos al dedillo.

Figura 1: Guiarte la Fuerza debe para en Amazon la compulsiva compra evitar

Por supuesto, yo soy de gatillo fácil en Amazon Premium y Amazon Prime, así que tiré de búsqueda de la línea "Star Wars Planeta Junior" y rápidamente salieron algunos de los cuentos, que evidentemente metí en mi cesta de la compra. 

Figura 2: El Imperio Contraataca en cuento. A la saca.

Pero cuando fui a añadir algún otro me di cuenta de que no estaba sujeto a las condiciones de Amazon Premium, lo que quiere decir que suele tener gastos de envío extras o que tarda más en llegar. No problem at all. Podía esperar y asumir unos euros extras por tener una herramienta para compartir con mi hacker & survivor un poco de mi mundo de fantasía.

Figura 3: ¿¿Hay un problema con el precio??

Sin embargo, me pareció que había un pequeño error en el precio. Parecía que alguien había errado al introducir la coma y que cuando quería poner que costaba dieciséis y algo había puesto que eran ¿¿165 Euros??? No puede ser.

Figura 4: Pues aun lo hay más caro

Cuando fui a revisar las opciones de compra me di cuenta de que sí, que es lo que piden por este cuento de apenas 32 páginas y que aún puedes comprar en las tiendas. De hecho, me lo he comprado en un librería y ya lo tengo por menos de 7 €.

Figura 5: Cuentos de Star Wars en Créditos Espaciales

Lo cierto que es que buscando y ordenando por precio de mayor a menor, es fácil encontrar estos artículos con precios altos. Supongo que, por un lado buscarán coleccionistas con ansias, pero en mi caso yo podría haber pagado eso por un libro, simplemente por ser rápido con el clic y asumir que valdrían todos lo mismo. 

Saludos Malignos!

lunes, agosto 14, 2017

Descubrir la infraestructura interna de SAP con Metasploit

Un ERP (Enterprise Resource Planning) es un software de gestión utilizado por empresas para la mejor administración y el aprovechamiento más optimo de sus recursos. También persigue simplificar los procesos involucrados en las gestiones de las empresas. Están íntimamente ligados a los sistemas de producción, ya que por lo general, gestionan inventarios, pedidos, etcétera.

Figura 1: Descubrir la infraestructura interna de SAP con Metasploit

SAP es uno de los ERP más conocido en el mercado y muy utilizado debido a la gran ventaja que presenta en la integración dentro de las compañías y al gran número de módulos que presenta para un montón de funcionalidades. En este artículo se mostrará cómo, en caso de no tener bien fortificado nuestro sistema SAP accesible desde Internet, es posible extraer e interactuar directamente con los host de la red interna de una empresa. traer los host que que se encuentran en la DMZ de la red empresarial.

Búsqueda de sistemas SAP accesibles desde Internet

Los sistemas SAP que vamos a localizar expuestos en Internet serán “SAP NetWeaver”. Se trata de una aplicación orientada especialmente a servicios que proporciona una fácil integración con todas las aplicaciones SAP. Lo primero, un poco de Hacking con Buscadores. Realizando una sencilla búsqueda en Google, se observan más de 2000 resultados:

Figura 2: Búsqueda de sistemas SAP NetWeaver en Google

También es posible usar Shodan para localizar este tipo de sistemas, utilizando para ello la cadena “SAP NetWeaver Application Server”, obtenemos un buen número de resultados.

Figura 3: Búsqueda de sistemas SAP NetWeaver en Shodan

Arquitectura del sistema SAP NetWeave

Una vez localizados estos sistemas, el siguiente paso es conocer cuál es la arquitectura que tienen todos ellos para saber qué dispositivo es el que comunica las peticiones que los usuarios realizan desde Internet con los servidores o host internos de la empresa.

Figura 4: Arquitectura perimetral de un sistema SAP NetWeaver

Como puede observarse, existe un elemento, el “SAProuter”, encargado de la enviar las peticiones que realizan los clientes del sistema, mediante su interfaz gráfica o navegador, con los diferentes servicios atendidos por los servidores que componen la plataforma, alojados en la red interna de la empresa.

Lozalización del SAProuter

Uno de los componentes más importantes dentro de la arquitectura SAP es el SAProuter, ya que es quién permite o restringe las comunicaciones de red entre el sistema ERP y el exterior.

Para conocer qué máquinas se encuentran dentro de la red interna de la empresa, lo primero será localizar el SAProute de un sistema que se encuentre accesible desde Internet. Utilizaremos el módulo sap_service_discovery de Metasploit. Por defecto no viene directamente integrado en Metasploit, pero es posible descargarlo directamente desde el repositorio de GitHub de la empresa Rapid7.

Una vez descargado el módulo, le movemos al directorio de Metasploit donde se encuentran los escáneres de SAP.

Figura 5: Diferentes módulos pertenecientes a la categoría scanner de Metasploit

Lanzamos Metasploit y comprobamos que el módulo está listo para utilizarse.

Figura 6: Módulo de Metasploit cargado para utilizarse

Como se ve en la descripción del módulo, su función es escánear los diferentes servicios que están a la escucha en un sistema SAP. Uno de ellos será el SAProuter. Tras configurar la opción RHOSTS con la dirección IP del sistema SAP expuesto en Internet, lanzamos el módulo ver si es posible localizar el SAProuter.

Figura 7: Descubrimiento del SAPRouter

Se observa que el SAProuter escucha las peticiones por el puerto 3299/TCP y que existen diferentes servicios:
• SAP Internet Communication Manager (ICM): escucha las peticiones por los puertos 8000/TCP y 8001/TCP y es el encargado de comunicar el sistema SAP con el exterior a través de los protocolos HTTP, HTTPS y SMTP. 
• SAP JAVA EE Dispatcher: encargado de distribuir las peticiones de los clientes a los diferentes procesos de trabajo y aplicar las políticas necesarias de planificación de procesos.
Obtención de información sobre el SAProuter

Localizado quién es el SAProuter, es posible usar el módulo sap_router_info_request de Metasploit para obtener si la tabla de rutas del SAProuter está accesible. Si es así, la posibilidades de conocer los servidores de la red interna de la organización serán altas.

Figura 8: Información del SAProuter

El módulo devuelve información sobre el directorio de trabajo donde se encuentra instalado el SAProuter y el nombre de la tabla de rutas usada (routtab) por el componente para poder enviar las peticiones de los clientes a los servidores correspondientes dentro de la organización.

Descubrir la infraestructura interna de SAP

Tras comprobar cómo el SAProuter es capaz de desvelar el nombre de su tabla de rutas, el siguiente paso será obtener parte o la totalidad de la infraestructura interna utilizada por SAP dentro de la red de la empresa. Para ello es posible utilizar el módulo de sap_router_portscanner de Metasploit. Tiene dos modos de funcionamiento:
• SAP_Proto: escaneo para detectar cuándo se está utilizando una ACL para denegar conexiones de capa 4. 
• TCP: permite escanear puertos TCP sin intentar detectar ACLs.
Configuraremos el módulo para detectar detectar máquicas en la red interna desde el SAProute (set rhost 195.x.x.x) con el puerto 445/TCP abierto (set ports 445). No sabemos el rango de direccionamiento interno de la organización - hemos probado una consulta al Primary Name Server y un ataque PTR Scanning al DNS pero no están expuestos los registros -, así que probaremos con el 192.168.0.0/16 (set targets 192.168.0.0/16). Podríamos haber hecho lo mismo con los rangos de direccionamiento interno 10.0.0.0/8 y 172.16.0.0/16. Existen más trucos para detectar los rangos internos de direccionamiento, pero aquí ha sido suficiente con probar.

Figura 9: Configuración del módulo sap_router_portscanner

Se observa cómo el módulo descrubre dos host en la red interna de la empresa con el puerto 445/TCP abierto.

Figura 10: Máquinas dentro de la red de la empresa con el puerto 445/TCP abierto

Conclusiones

Analizando la información de las pruebas realizadas, se concluye que:
• Un ERP como SAP NetWeaver es utilizado en multitud de empresas y organizaciones, y hemos visto una manera muy sencilla, haciendo un poco de Hacking con Buscadores, la manera de localizarlos en Internet. 
• En todos ellos, el elemento que comunica las peticiones que llegan desde Internet con la red interna de la empresa, es el SAProute, lo que hace especialmente interesante la localización de este tipo de dispositivo para ver si de él podemos obtener información de la red interna de la organización. 
• Si el SAProute no está bien configurado, proporciona información sobre la ruta absoluta donde se encuentra instalado, C:\saproute, de donde podemos inferir que muy probablemnete el sistema operativo de ese servidor sea Windows. 
• La posibilidad de que en la red interna de las organizaciones utilicen Windows como sistema operativo es alta, de ahí que se decida buscar por el puerto 445/TCP correspondiente al servicio Samba usado para el intercambio de ficheros. 
• Observamos cómo el esquema de direccionamiento de la red interna de la empresa es 192.168.0.0/24, ya que también se ha probado con los intervalos 10.0.0.0/8 y 172.16.0.0/16 y no se han obtenido resultados.
Autor: Amador Aparicio de la Fuente (@amadapa)
Escritor del libro "Hacking Web Technologies"

domingo, agosto 13, 2017

ElevenPaths Talks Temporada 3 en vídeos

Como ya hiciera con los vídeos de la Temporada 1 de las ElevenPaths Talks y con todas las sesiones que conformaron la Temporada 2, aprovecho este domingo de Agosto para traeros la lista de las sesiones que hemos grabado en 2017 en ElevenPaths sobre tecnología en general y seguridad informática en particular. Tienes ya más de 50 charlas gratuitas disponibles con las sesiones anteriores.

Figura 1: Vídeos de las ElevenPaths Talks Temporada 3

Si quieres conocer la agenda de sesiones que tenemos por delante - que estamos en plena campaña - para apuntarte y asistir a ellas gratuitamente, puedes acceder a la web: ElevenPaths Talks

Figura 2: Lista de próximas sesiones de ElevenPaths Talks 3

Por ahora, los vídeos que tienes disponibles son los siguientes, e iré actualizando este artículo a medida que vayan publicándose las grabaciones cada dos semanas, así que pon este artículo en favoritos.

Figura 3: La Guerra contra el Ransomware


Figura 4: La red bajo ataque


Figura 5: Data Access Control y De Duplication en Cloud Computing


Figura 6: DirtyTooth. It´s only Rock'n Roll, but I like it!


Figura 7: Jugando con la seguridad de Apps de Mensajería


Figura 8: Asegurando los Host en modo paranoico


Figura 9: Criptografía, criptomonedas y otras hierbas


Figura 10: ¿Es posible prevenir el Fraude?


Figura 11: Phishing. A la pesca de víctimas


Figura 12: PinPay y la seguridad en los micropagos


Figura 13: NOC, SOC y CyberSOC


Figura 14: mASAPP. La solución para analizar apps móviles


Figura 15: DroneTinder. Privacidad en redes sociales


Figura 16: Seguridad Defensiva vs Seguridad Ofensiva

Por último, si quieres debatir sobre algo de lo que se haya hablado en las sesiones a posteriori, a priori o quieres proponer algún tema, puedes hacerlo a través de nuestra Comunidad online de ElevenPaths.

Saludos Malignos!

sábado, agosto 12, 2017

Vehículos autónomos hackeados con falsas señales de tráfico

Cada día somos testigos de nuevos avances en la conducción autónoma de vehículos. Muchas empresas presentan prototipos y algunos incluso ya lo tienen en producción como Tesla autopilot. Estos vehículos son capaces de analizar el entorno que les rodea y de esa forma conducir por ellos mismos, sin intervención humana alguna.

Figura 1: Vehículos autónomos hackeados con falsas señales de tráfico

Los vehículos autónomos se basan principalmente en la información que recogen multitud de sus sensores. Pero la información más importante, al igual que ocurre con el ser humano, es la que llega a través de sus sensores de visión. En concreto son las cámaras las que recopilan las imágenes para luego ser procesadas por algoritmos de reconocimiento visual y tomar decisiones en base a ellas.

Por lo tanto, si conocemos o simulamos el algoritmo utilizado para clasificar imágenes, se podría manipular la imagen de origen para engañarlo y modificar la acción a realizar por el sistema que esté utilizando dicho algoritmo. Esto es justamente lo que han realizado investigadores de la Universidad de Washington, Michigan, Stony Brook y Berkeley. Han encontrado varias formas de engañar a los algoritmos de visión utilizando técnicas bastante simples como, por ejemplo, colocar pegatinas en las señales de tráfico.


Figura 2: Ejemplo vehículo Tesla en modo autopilot

Para poder “perturbar” el mundo físico y así confundir a la Inteligencia Artificial prepararon dos tipos de ataques que asombran por su sencillez de implementación:
1. Utilizando posters, es posible imprimir una señal, introducir las modificaciones y superponerla a la original. 
2. Utilizando pegatinas, las cuales se colocan sobre señales reales.
Para que dichas perturbaciones no fueran detectadas por observadores humanos, se camuflaron en forma de actos vandálicos típicos como grafitis o mensajes, en el caso de las pegatinas. Para los posters, se imprime la misma señal original, pero se introducen modificaciones muy sutiles y difíciles de ver para un observador humano. Todo esto utilizando sólo una cámara y una impresora a color.

Figura 3: Ejemplo de poster sobre una señal de STOP, a diferentes distancias y ángulos,
con detalles borrosos y difuminados en su superficie que ofrecen otra lectura a la IA

Las consecuencias de esta investigación son realmente alarmantes viendo los resultados obtenidos. Utilizando el método de los posters cubrieron la señal, la cual parece la original, pero se añadieron ligeras zonas un poco difuminadas de forma superficial o sutil simulando algún tipo de pintura hecha con pintura de spray. El algoritmo de visión en función de los ángulos y distancia, podría confundirla con otra señal de limitación de velocidad por ejemplo a 45 millas por hora, provocando que el coche acelerara o directamente no parara en el STOP. También probaron esta técnica en otras señales confundiendo las que indicaban giro con STOP.

Utilizando el segundo método en el cual se utilizan simples pegatinas, las colocaron de manera estratégica en una señal de STOP de forma que formaran la palabra LOVE y HATE. Esta combinación provocaba en más de la mitad de los casos, combinando los diferentes algoritmos de ataque, que la IA encargada de conducir el vehículo pensara que era una señal de limitación de velocidad en vez de un STOP (y algunas veces la confundía con una señal de ceda el paso).

Figura 4: Ejemplo de pegatinas sobre una señal de STOP, a diferentes distancias y ángulos,
con las palabras Love y Hate para disimular pero que ofrecen una lectura distinta a la IA

La pregunta es ¿cómo se puede llegar a realizar este tipo de ataque? Todos los sistemas de visión artificial para vehículos autónomos, tienen dos componentes fundamentales, un detector de objetos y un clasificador. El detector de objetos es capaz de detectar peatones, las luces de la carretera, las señales de tráfico, otros vehículos, etc. El clasificador se encarga en analizar los objetos detectados por el detector e identificarlos (clasificarlos). Por ejemplo, el detector detecta una señal de tráfico en una calle y el clasificador la identifica como una señal de STOP. Es en este clasificador donde se centra el estudio y donde se materializa el ataque.

Por otro lado, hay tres componentes que tienen un gran impacto en el algoritmo clasificador y que serán objetivo principal de los atacantes a la hora de analizar el comportamiento del mismo. Estos son la distancia, el ángulo y la resolución de la imagen. La distancia es importante ya que a medida que el vehículo se acerca o se aleja, va obteniendo diferentes capturas de la señal con mayor o menor detalle y una perturbación añadida en esta fase puede dar varias lecturas en función de la distancia.

El ángulo es también importante, ya que no hay una sola cámara en un vehículo autónomo, por lo tanto, la perturbación en la señal de tráfico debe de ser capaz de engañar al clasificador con capturas tomadas desde diferentes ángulos. Y finalmente la resolución, la cual puede variar por diferentes factores como por ejemplo el clima (lluvia, niebla, etc.) y por lo tanto se podrían obtener diferentes lecturas de la señal original.

Figura 5: Ejemplo de poster sobre una señal de giro a la derecha añadiendo
perturbaciones, a diferentes distancias y ángulos

Para hacer la PoC, crearon su propio clasificador utilizando técnicas habituales basadas en redes neuronales (DNNs, Deep Neural Network). Una base de datos con señales (47 utilizadas en USA) fue utilizada para generar el dataset de entrada. Para entrenar la red neuronal y escribir el clasificador utilizaron herramientas y técnicas ampliamente utilizadas como el famoso Tensorflow y Adadelta. El nivel de acierto del clasificador llegó al 91%.

La principal condición para que este tipo de ataque tenga éxito es que el atacante tenga acceso al clasificador después de haber sido entrenado. Esto que puede parecer complicado, es más sencillo de conseguir de lo que parece en un principio por varios motivos. El primero son las técnicas utilizadas en visión artificial, las cuales son bastante comunes y cuyo acceso a los algoritmos e incluso al código fuente de algunas librerías es abierto y totalmente accesible. Por otro lado, es posible adivinar el modelo utilizado simplemente probando y entrenando un sistema similar y comprobar sus datos de salida.

Para preparar el ataque, se siguieron los siguientes pasos:
1. Obtener al menos una imagen clara de la carretera y de la señal sin ninguna perturbación. 
2. Se extrae la señal desde la imagen tomada en el punto 1 para luego cortarla y separarla del resto utilizando un algoritmo de detección de imágenes o un software específico de recorte de imágenes. 
3. La imagen obtenida y sus resultados en el clasificador son introducidos en el algoritmo de ataque, el cual genera una nueva imagen que será la base para luego introducir las modificaciones. Por ejemplo, marcar, cortar o difuminar la parte que rodea a la imagen. 
4. Una vez añadida la perturbación “ambiental” (en el paper se llama “adversarial perturbation”) en el paso 3, ahora se aplica una función de mapeo que, en función de la ubicación física de señal, indicará dónde colocar la perturbación “digital” (llamada perturbación “digital adversarial”). 
5. Esta perturbación digital se fabrica en función a los resultados obtenidos con la función de mapeo en forma de pegatinas o poster.
Figura 6: Recreación del proceso de identificación de señales realizado por un vehículo autónomo.

A pesar de lo perturbador (y a la vez fascinante) de este ensayo, el cual está aún en una fase muy temprana de desarrollo, pero hay que empezar a tomar nota para el futuro, ahora es el momento de buscar posibles soluciones para intentar evitar este tipo de ataques. Una de ellas pasaría por hacer que el vehículo sepa exactamente en qué ubicación se encuentra y contraste en todo momento la información que está recibiendo de las señales. Por ejemplo, si es una calle dentro del casco urbano, es imposible que haya una señal que le indique un límite de velocidad alto.

Esto es sólo un ejemplo de las nuevas fronteras que se están abriendo en la seguridad, los cuales no sólo los coches autónomos son el objetivo, estas técnicas podrían ser utilizadas también, por ejemplo, en técnicas de Realidad Aumentada, cámaras de seguridad que utilicen también técnicas de IA para el reconocimiento de imágenes y un largo etc. Desde luego, tanto si eres aficionado la seguridad o te dedicas a esto, no te vas a aburrir en los próximos meses o incluso años ;)

Figura 7: Broma de disfraz de radar móvil

PD: Este trabajo recuerda a lo que hace años se hizo muy popular. La bromadonde se disfrazaron de Radar Móvil para engañar a los conductores y hacerles detenerse. El vídeo de hizo muy popular, incluso con la detección de los bromistas.

Autor: Fran Ramírez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

viernes, agosto 11, 2017

El Gigante de los Juguetes

Cómo ya os anticipé, quería escribir las historias "De mi boca" en forma de cuentos que he ido construyendo a lo largo de los últimos años según se los he ido contando a mi Hacker y mi Survivor. Son cuentos para ellas, donde no hay nada más especial que verles las caras mientras se los cuento. Por supuesto, aprovecho siempre para meterle algún mensaje de enseñanza o moralina, lógicamente. la historia es más corta o más larga según se la cuento un día u otro. Y lo que os he dejado es un compendio de todas las cosas que he ido añadiendo a la historia a base de contársela muchas veces. Si os gustan los cuentos leed la historia, si no, mañana habrá otro post. A ellas les encanta esta historia.

Saludos Malignos!

Figura 1: El Gigante de los Juguetes

Parte I: La llegada del Dragón Matías al Castillo del Rey Papá

Érase una vez que se era, un día soleado en el Castillo del Rey Papá cuando llegó el Dragón Matías volando. Ya eran viejos amigos, así que el Dragón Matías sabía perfectamente cómo aterrizar con sus grandes patas en la parte alta del Castillo del Rey Papá - donde además había una piscina en la que podía refrescarse –. No era un castillo muy grande, pero definitivamente era un castillo, donde los príncipes y las princesas podían jugar durante horas con todo tipo de juguetes.

El Dragón Matías le pidió ayuda al Rey Papá. Un dragón, amigo del Dragón Matías – no el maloso Dragón Juancho -, se había clavado una astilla muy fina en el “culete” y estaba sufriendo.
- “Ya os he dicho muchas veces que cuando os comáis las moras no os sentéis cerca, que siempre hay zarzas y os podéis pinchar el culete con ellas”, dijo el Rey Papá con tono de regañina.
El Rey Papá y el Dragón Matías se habían hecho amigos hace mucho tiempo cuando le había pasado lo mismo al bueno de Mati-itas – que era como llamaban en la familia al Dragón Matias - comiendo moras negras, que son las que más le gustaban. Tenía la espina clavada en el cachete del culete y no se la podía quitar con sus cortas patas delanteras y sus grandes zarpas.

El Rey Papá le quitó la espina, y desde entonces se hicieron grandes amigos. Y de vez en cuando, como en la historia de hoy, algún que otro dragón distraído se sienta sobre alguna zarza a comerse las dulces moras y se queda con una espinita en el culete. Y el Rey Papá se la tiene que quitar. Era el quita-espinas-del-culete-de-dragones-oficial. Más o menos. A cambio, el Dragón Matías siempre le ayudaba y le defendía del maloso Dragón Juancho, que al final para eso están los amigos, para ayudarse.

Ese día, el Rey Papá se tenía que ir con el Dragón Matías, así que le pidió a su madre, la Abuela Roncona, que se ocupara de cuidar de Chiquitina, Rapidín, Cassandra y la bebé Asmara, los niños que estaban actualmente en el Castillo del Rey Papá, pues no había nadie más para ocuparse. Solo serían unas horas, mientras el Rey Papá se iba a aliviar al pobre dragoncito de su dolor en el culete.

La mayor de todos los niños era Cassandra – que los días que estaba de mal humor todos la llamaban Pedorrina por una afición poco asociada a princesas -, después estaba Rapidín, que de mayor quería ser un caballero andante que corriendo más rápido que nadie salvara a todos los buenos de todos los malos. Iba a ser un súper-héroe veloz, veloz.

Chiquitina ya no era la chiquitina de todos, pero la llamaban así porque cuando nació era tan pequeña, tan pequeña, tan pequeña que se bañaba en un vaso de agua. Tanto, que el Rey Papá casi se la bebe un día – pero esa es otra historia que otro día os contaré -.

Después estaba Saritina, que a pesar de ser un bebé ya gustaba de viajar sola por el mundo y había aprendido hasta a Chino ¿Por qué? Pues porque por las noches no dormía y vivía el doble de deprisa. Claro está, tanto viajaba que, ese día, se encontraba de viaje y no estaba en el Castillo del Rey Papá.

Por último, la más pequeñita de todos era la bebé Asmara, que aún no se había recuperado del susto de venir al mundo y no había aprendido a hacer ruidos. No sabía llorar, no sabía reír. Y además, no hacía falta, ya que con la cantidad de ruido que generaban Rapidín, Cassandra y Chiquitina ya daba para todo el reino.

La Abuela Roncona les pidió a los niños que se fueran a jugar a la Habitación de la Diversión mientras el Rey Papá estuviera fuera con el Dragón Matías, y así ella aprovecharía para echarse una buena siesta… y roncar un ratito mientras regresaban.

El Dragón Matías apareció por la ventana de la Habitación de la Diversión para despedirse de los niños, y para que se entretuvieran les dio un juguete nuevo. Los niños tenían infinidad de juguetes en la Habitación de la Diversión, pero el bueno de Mati-itas siempre les traía algún detallito. En esta ocasión les dio un tamborcito de dos membranas, con unas bolitas golpeadoras, de tal forma que al frotarlo con las manos las bolas hacían sonar el tambor por los dos lados. Y salió volando con el Rey Papá a lomos, que se despidió por la ventana.
- “¡Adiós!, ¡Pronto estamos de vuelta!”
Pero como sucede muchas veces, algo que se hace para un bien, a veces genera un foco de conflicto y los niños, en lugar de estar felices, comenzaron a discutir por el nuevo juguete.

Parte II: La llegada del Gigante de los Juguetes

El tamborcito se convirtió en el corazón de una gran discusión entre Rapidín, Cassandra y Chiquitina. Gritos, llantos, pellizcos en el culete, carreras, brincos y desorden del resto de los juguetes de la Habitación de la Diversión. Ya no servía para nada la ingente cantidad de juguetes que tenían en la habitación, todo giraba en torno a quién podía jugar con el nuevo juguete que les había regalado el Dragón Matías.

La pequeña Asmara, sin hacer ningún ruido, se limitaba mirar a un lado y a otro viendo el espectáculo, incapaz de entender qué es lo que hacía que los tres niños generasen tanto alboroto por un juguete cuando la Habitación de la Diversión tenía una cantidad enorme de ellos. Había de todo para entretenerse, pero los niños discutían por el nuevo tamborcito.

El ruido se hizo tan grande que se oyó por toda la comarca. Bueno, no toda la comarca. La Abuela Roncona seguía durmiendo la siesta plácidamente ajena a todo lo que sucedía. El sonido de sus ronquidos durante años había hecho que cualquier ruido que hubiera mientas ella estaba durmiendo no fuera escuchado, así que ya podían estar cantando las canciones de La Kalabaza de Pippa sobre su cabeza, que no se iba a despertar. Ella seguía a lo suyo sierra que te sierra árboles.

Pero de repente… alguien golpeó en la puerta de la Habitación de la Diversión. Fueron tres golpes secos y fuertes, espaciados entre sí:
- TOC. TOC. TOC.
Los niños se quedaron perplejos, y miraron a la puerta sorprendidos. No esperaban a nadie. Y ni el Rey Papá, ni el Dragón Matías ni la Abuela Roncona hubieran llamado a la puerta de esa forma, así que debía ser alguien distinto. Rapidín, Chiquitina y Cassandra se miraron extrañados y dijeron:
- “¿Quién será?”, dijo Cassandra. 
- “No lo sé, pero será por los ruidos”, dijo Rapidín. 
- “¡Yo abro!”, dijo Chiquitina mientras iba corriendo a la puerta.
Chiquitina era la más activa de todos, así que siempre estaba pensando en qué ocupar sus energías, y una carrera a la puerta para ser la primera en abrir era tan buena idea como cualquier otra cosa. Además, ella siempre quería ser la primera en todo. Hasta en las cosas malas. Ella siempre, la número 1.

Rapidín aceptó de buen grado el reto de Chiquitina y los dos corrieron hacia la puerta, abriéndola al unísono. La abrieron de par en par rápidamente y se encontraron con que detrás de la puerta había un par de grandes botas. Y dentro de ellas, según fueron mirando hacia arriba, un Gigante con un gran saco a la espalda apareció. Era más grande que la propia puerta de la Habitación de la Diversión.

Los niños se quedaron mirando con cara de sorpresa al Gigante y le preguntaron:
- “¿Quién eres?”, dijo Chiquitina. 
- “Soy el Gigante de los Juguetes”, respondió el hombretón. 
- “¿El Gigante de los Juguetes? ¿Nos traes más juguetes?”, dijo Rapidín. 
- “Ja, Ja, Ja. No, mi amigo. Ni mucho menos”, respondió el Gigante de los Juguetes. 
- “¿No?, ¿entonces qué quieres?”, dijo Cassandra.
El Gigante de los Juguetes entró a la desordenada Habitación de la Diversión y miró alrededor para deleitarse con el caos que reinaba entre tal montonera de juguetes de todo tipo. Vio a la pequeña Asmara y la dedico una monería con la mano al tiempo que la sonreía. Luego miró a los niños y les dijo:
- “Vuestro escándalo ha sido tan grande que me he visto obligado a intervenir. Soy el Gigante de los Juguetes, y me llevo todos los juguetes de los niños que se portan mal para que aprendan a valorar lo que tienen. No queremos niños malcriados en este reino”, dijo el Gigante de los Juguetes.
- “Pero… yo quiero a mis juguetes, no puede llevárselos”, dijo Cassandra.
- “Sí, sí que puedo. Tenéis todos estos juguetes y sin embargo estáis discutiendo todo el rato, así que eso significa que no estáis contentos con ellos. Por eso, como hago con los juguetes de todos los niños mal cridados, me los voy a llevar en mi saco”, explicó el Gigante de los Juguetes.
Y comenzó a llenar su gran saco con todos los juegos que tenían los niños en la Habitación de la Diversión. Metió los puzzles, las muñecas, los coches de carreras, los peluches, los juegos de construcción, las pelotas, los bolos, los juegos de maquillaje, los disfraces, etcétera. Todos los juguetes de los niños cupieron dentro del enorme saco del Gigante de los Juguetes. Los niños estaban mirando sin poder creérselo.
- “Ya tengo todos vuestros juguetes, pero no será para siempre… por ahora. Podéis venir a mi casa esta tarde con la lista de todos los juguetes que recordéis que tenéis. Si sabéis qué juguete es, lo echáis de menos y podéis decirme cómo lo habéis llamado, os lo devolveré. El resto de los juguetes que no sepáis que tenéis o cómo se llama, se los regalaré a otros niños que los valoren más, y les haga más felices. Aquí tenéis un mapa de cómo llegar a mi casa, la Cabaña del Gigante de los Juguetes, para recogerlos”, dijo el Gigante de los Juguetes mientras le daba a Cassandra un pequeño mapa con la ubicación de la Cabaña del Gigante de los Juguetes.
Y salió por la puerta, dejando a los niños en una Habitación de la Diversión totalmente desolada. Sin juguetes. Sin juegos. Sin puzzles. Sin muñecas. Sin pelotas o coches de carreras. No había ningún juguete en la habitación. Y los niños se sintieron verdaderamente tristes, ya no tenían ninguno de los juguetes por los que discutían habitualmente en la Habitación de la Diversión, y todo estaba en silencio.

Parte III: La Cabaña del Gigante de los Juguetes

Los niños querían recuperar sus juguetes, pero para ello tenían que ir a la Cabaña del Gigante de los Juguetes con la lista de todos sus juguetes, si no, se quedarían sin ellos. ¿Se acordarían de todos?
- “Chicos, necesitamos hacer la lista con todos los juguetes cuanto antes. Si no están aquí cuando regrese el Rey Papá con el Dragón Matías, nos van a castigar de por vida”, dijo Cassandra.
- “¡Hagamos tres listas con nuestros juguetes y vayamos a la Cabaña del Gigante de los Juguetes para recuperarlos cuanto antes!”, dijo Rapidín.
- “¡Vale!”, dijo Chiquitina, “… pero yo no sé escribir, así que necesito ceras y lápices de colores para dibujar”.
Los tres niños, bajo la mirada atenta de Asmara, comenzaron a hacer memoria y escribir su lista. Comenzaron con sus juguetes más preciados, como Pepe, Pepita o Tiger – sus muñecos de apoyo -, luego con los que más jugaban, pero a medida que avanzaban en sus listas, les costaba más recordar todos los juguetes que tenían.

Chiquitina dibujaba y dibujaba sin parar, y se reía mientras lo hacía. Cassandra, cada vez que recordaba un juguete era porque se acordaba de quién se lo regaló, o de cómo jugó con él, pero no estaba segura de si se estaba olvidando de alguno de ellos. Rapidín, el más ordenado de los niños, utilizaba un sistema distinto. Iba mirando las estanterías y los cajones donde guardaba sus juguetes para ir recordando qué iba en cada sitio. Aun así, algún sitio no le era fácil de recordar a Rapidín. No sabía qué juguete estaba allí.

A medida que avanzó el día, completaron su lista, y decidieron que tenían que ir cuanto antes a por sus juguetes, o cuando llegaran a la Cabaña del Gigante de los Juguetes lo mismo ya había regalado todos sus juguetes a otros niños, así que urdieron un plan rápido para ir cuanto antes.

Cassandra se tiró un pedete al lado de la puerta de la habitación donde dormía la Abuela Roncona, y después comenzaron a agitarla:
- “¡Abuela Roncona, Abuela Roncona!, Asmara huele mal, hay que cambiarla”, dijo Chiquitina.
La Abuela Roncona se despertó y empezó a sentir en su nariz el mal olor y dijo:
- “Uff, sí, que mal huele, voy a por ella”, mientras se incorporaba de la cama.
Mientras que la Abuela Roncona iba a cambiar a Asmara, los tres niños aprovecharon para coger tres sacos vacíos de la habitación de la ropa e irse hacia la Cabaña del Gigante de los Juguetes en el bosque.

Aún no era tarde, así que no les costó mucho seguir las indicaciones del mapa. Debían llegar al quinto árbol, seguir por el camino de la derecha. Saltar por encima del trébol de cuatro hojas, cruzar bajo la sombra de tres grandes árboles de grandes troncos morados, saludar a la Lechuza Madrugadora, vadear el río por el puente de una cuerda y bajar por la escalera de piedras, mármol y musgo hasta la entrada de la Cabaña del Gigante de los Juguetes. Todo muy sencillo y claro.

Cuando llegaron a la puerta de la Cabaña del Gigante de los Juguetes había un gran cartel grabado en madera que decía:
“Bienvenido a la Cabaña del Gigante de los Juguetes.

¿Sabes cómo se llama tu juguete?
Rapidín se apresuró a llamar rápidamente, cómo si no, a la puerta con tres golpes… rápidos.
- Toquitoquitoqui.
Y la puerta se abrió. Allí estaban las dos mismas botas que habían visto con anterioridad ese mismo día, con el mismo Gigante de los Juguetes dentro de ellas.
- “¡Vaya!, si están aquí Rapidín, Chiquitina y Cassandra. Habéis sido veloces en venir a por vuestros juguetes. Y lo más extraño. También habéis sido silenciosos. Desde que salí de vuestra Habitación de la Diversión con todos vuestros juguetes no he escuchado ningún grito, alboroto o ruido proveniente de allí. ¿Os sabéis el nombre de vuestros juguetes para que os los devuelva?”, dijo el Gigante de los Juguetes sin dejarles entrar en la cabaña.
Los niños vieron que detrás del Gigante de los Juguetes estaba su gran saco, a rebosar de todos los juegos, muñecos y juguetes en general que se había llevado de su Habitación de la Diversión, así que comenzaron a decirle qué juguetes tenía cada uno.

Cassandra iba leyendo su lista deprisa. Rapidín iba leyendo la suya más despacio que había aprendido a leer hace no mucho. Chiquitina iba enseñándole al Gigante de los Juguetes los dibujos que había hecho, haciendo que éste dedicara unos segundos a cada dibujo para entender bien a qué juguete representaba cada uno de ellos.

Poco a poco, los sacos de los tres niños se fueron llenando de juguetes que conocían bien, y se fueron alegrando, pero el Gigante de los Juguetes no les dejaba ver si el saco que él tenía estaba muy lleno aún o muy vacío. Solo veían sus sacos llenándose.

Y llegó el momento en que acabaron su lista, y el Gigante de los Juguetes les preguntó:
- “¿Algún juguete más?”
Los niños se miraron entre sí y luego al Gigante de los Juguetes.
- “No nos acordamos de más juguetes”, dijo Cassandra.
- “Entonces están todos los que necesitáis”, dijo el Gigante de los Juguetes.
Sonrió y cerró la puerta tras de sí, dejando a los niños en el bosque listos para marchar. Se echaron el saco a la espalda y regresaron por el mismo camino que habían venido – saludando a la Lechuza Madrugadora – hacia la Habitación de la Diversión en el Castillo del Rey Papá.

Parte IV: Los Juguetes en la Habitación de la Diversión

Cuando los niños llegaron al Castillo del Rey Papá fueron directamente a la Habitación de la Diversión, y pusieron todos los juguetes en su sitio, justo antes de que llegara la Abuela Roncona con una Asmara feliz y sonriente de ver a los niños juntos otra vez.
- “No sé, no echo en falta ningún juguete, pero sin embargo la Habitación de la Diversión parece como más vacía, ¿no?”, dijo Cassandra.
- “A lo mejor es que como los hemos ordenado ahora ocupan menos”, dijo Rapidín.
Chiquitina no dijo nada, pues estaba jugando con Pepita, su muñeca favorita. En ese momento llegó el Dragón Matías volando con el Rey Papá subido a lomos, que saltó sobre el tejado para que el dragón no tuviera que detenerse más. El Rey Papá, bajó a la Habitación de la Diversión.
- “Hola niños, ¿qué tal lo habéis pasado mientras estaba fuera?”, dijo el Rey Papá.
Chiquitina, Cassandra y Rapidín dieron un beso al Rey Papá, y éste a su vez se lo dio a la Abuela Roncona y la bebé Asmará, mientras le decían:
- “Todo muy bien, Rey Papá”, dijo Cassandra. 
- “No hemos salido de la Habitación de la Diversión a ningún sitio”, dijo Rapidín. 
- “No, y por el bosque hemos ido de día”, dijo Chiquitina.
El Rey Papá sabía que algo había pasado, pero todo parecía en regla, así que les mandó a lavarse la cara y las manos para irse a cenar mientras él se iba a cambiar. Todo parecía en regla.

Cuando llegó la noche, y todos los niños dormían, el Gigante de los Juguetes abrió la puerta de la habitación de la bebé Asmara, que dormía plácidamente. Él se sonrió, y sacó de su saco un juguete. Era un tambor con dos membranas y dos bolas con un hilo que lo golpeaban. El Gigante de los Juguetes había dibujado sobre las caras del tambor dos niñas sonrientes, con lo que había convertido al tambor en algo diferente. Lo colocó en la cunita de la bebé Asmara y se fue después de darle un beso en la frente.

A la mañana siguiente, todo el Castillo del Rey Papá se despertó con dos sonidos extraños. Por un lado un sonido de tambores que redoblaban:
- ToquiToq, ToquiToq, ToquiToq, ToquiToq, ToquiToq….
Por otro lado, la risa dulce, aguda y emocionante de la bebé Asmara que jugaba feliz en su habitación con el nuevo juguete.

Y colorín colorado, este cuento, se ha acabado.

FIN.

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares