sábado, marzo 31, 2018

Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook, Twitter y WhatsApp #Paypal #OSINT #WhatsApp #Facebook #Gmail

El presente artículo es una mezcla de técnicas OSINT (Open Source INTelligence) y algo de Doxing "desenmascaramiento de perfiles", donde como objetivo se trata de localizar el número de teléfono móvil de una persona. Esta información es algo que identifica cuasi unívocamente a una persona debido a las cada vez más restrictivas identificaciones a la hora de conseguir una tarjeta SIM y a la conexión constante a las antenas de comunicación celular que identifican dónde está el terminal en cada momento.

Figura 1: Cómo averiguar números de teléfono privados usando Paypal, Gmail, Facebook y WhatsApp

Con este ejercicio se quiere poner de manifiesto cómo una persona puede estar dejando que cualquier otro, con un proceso similar al escrito, pueda localizar el número de teléfono si la persona objetivo no ha tenido muy presente la privacidad de sus cuentas en Internet. En este caso concreto vamos a utilizar Paypal, Gmail, Facebook y WhatsApp, que si no tienen las opciones restringidas permiten ese proceso.

Paso 1: Conseguir el e-mail del objetivo

Este es un primer paso. Se trata de averiguar cuál es el correo electrónico de una persona para averiguar las cuentas en las redes sociales asociadas a ellas. Ese correo personal no ha sido tratado como una dato privado por las personas y, de hecho, se asume público y se comparte con mucha gente, cuando debería ser algo distinto. En muchos casos basta con hacer un poco de Hacking con Buscadores o de "stalker" en las redes sociales, para llegar a esta información.

Cada persona debería tener un correo electrónico "privado" como piedra angular, que no debería compartirse con nadie ni publicarse en redes sociales y solo usarse para registrarse en servicios que no lo filtren o para tenerlo como forma de recuperar cuentas sociales. Pero es difícil porque en la mayoría de los servicios es el nombre de usuario, y por tanto, público. Si se obtiene esa dirección de e-mail, es posible averiguar redes sociales en las que esa persona tenga presencia, para aprovecharse de los leaks que existan en cada una de ellas.

Un poco e-mail "guessing" con Facebook & Gmail

Sin embargo, no es así y la gente lo tiene expuesto en sus redes sociales. En otras ocasiones es fácil averiguarlo. Uno de los mecanismos que normalmente se hace es intentar adivinar cuál es el correo electrónico de una persona, haciendo e-mail guessing. Para ello, basta con pedir la recuperación de una cuenta en Facebook y obtener algunas de las letras del correo electrónico.

Figura 2: Letras del mensaje de correo electrónico en Facebook

Muchos servicios en Internet hacen algo parecido. Mostrar el correo electrónico parcialmente. Si conocéis algún servicio que lo haga, os lo agradecería si lo pusierais en los comentarios. Además, en el caso de Facebook, si no se ha Protegido correctamente la dirección de e-mail, alguien podría jugar a averiguar el correo viendo qué sale en los resultados de búsqueda. Este artículo de Facebook y la Privacidad del correo electrónico habla de eso.

Figura 3: Con el e-mail Facebook te deja ver la foto asociada para hacder e-mail guessing

Si no hemos averiguado el correo electrónico con Facebook, pero tenemos algunas de las letras del e-mail, podemos jugar con Gmail a averiguar el mensaje completo. Para ello, basta con poner la dirección de correo electrónico en el destinatario de un mensaje de Gmail y ver la fotografía que nos aparece - si es una cuenta de Google -. Si no es la buena, volvemos a cambiar y probar otra.

Figura 4: e-mail guessing con el cliente de Gmail

Desde mi punto de vista personal es un fallo garrafal, ya que puedes escribir las combinaciones que se te ocurran de una dirección de e-mail y pasando el cursor por encima de todas las combinaciones, sabrás cuál es la correcta al ver la foto.

Cellphone number "guessing" con Paypal & WhatsApp

La próxima vez que pase por delante de las oficinas de PayPal , entraré a decirles que dejen de dar cuasi-entero mi número personal a todo el mundo. Hoy en día prácticamente todo el mundo tiene una cuenta de Paypal, la misma que usamos para comprar por Amazon - aunque  a veces te falle con las Nancys -.

Figura 5: Pidiendo ayuda para recuperar la cuenta

Paypal nos da más de la mitad de los números

Cuando se da a recuperar la contraseña en Paypal debes poner la dirección de correo electrónico que has averiguado en el paso anterior y te saldrá la opción de enviar un código al número de teléfono que la persona ha asociado a esa cuenta. Si lo ha asociado. Y como veis, se muestran 5 de los 9 dígitos del número.

Figura 6: Paypal te da 5 de los 9 números del teléfono

Esto hace que el ataque, más que fuerza bruta, yo lo calificaría como de fuerza media. Al final, nos faltan 4 posiciones, por lo tanto sin hacer mucha matemática son 10.000 las combinaciones posibles. del 0000 al 9999. No hay magia.

Importemos los contactos a Gmail

Para averiguar el número, he hecho este pequeño ejercicio, pero seguro que a alguno se le ocurre alguno más rápido - a los comentarios con él -. Ahora que tenemos una hoja de cálculo con 10.000 números de teléfono entre los que está el de nuestra víctima, solo nos queda encontrarlo.

Figura 7: Hoja Excel con 10.000 contactos ficticios

Ahora Importamos la hoja con los 10.000 contactos a nuestra cuenta de Gmail. Nuestro cerco se estrecha ya que la gran mayoría de los números no existirán. El ratio que he estimado tras varias pruebas es del 30%. Quedándonos de media, con 3.000 números válidos.

Figura 8: Importamos los contactos a Gmail

Y una vez hecho esto, lo sincronizamos con nuestros contactos del terminal Android. En iPhone con iOS seguro que es más o menos similar o existe una forma de hacerlo.

Miremos fotos en WhatsApp

Ahora pueden darse dos situaciones muy comunes. La primera de ellas es que el contacto no haya leído los artículos de Chema Alonso de Proteger WhatsApp a Prueba de Balas y la foto de perfil de WhatsApp sea pública, que es lo que sucede en el 90% de los casos, más o menos. En ese caso nos abrimos un buen vino de "El Bierzo", y sólo nos queda bajar por nuestros contactos de WhatsApp durante 10 o 15 minutos aproximadamente - eso se tarda en revisar 3.000 contactos con una buena conexión - hasta que veamos a nuestro objetivo. Easy Stuff! Tened en cuenta que hasta la gente que utilizaba su número de teléfono en contactos "adultos" tenía su foto pública.

Figura 9: Contactos "adultos" con foto pública en WhatsApp

También puede pasar que la foto de perfil de WhatsApp no sea pública, en el otro 10% de los casos. Estos suele pasar si nuestro "target" es un loco de la privacidad, y ha puesto su foto sólo visible a los contactos que él tiene agregado. Mucho peor si es una de esas personas que se pone de foto de perfil una colina o el mar atardeciendo (WTF!...). ¿estamos perdidos? No, aún nos queda un tiro.

Volviendo a Facebook y Twitter, con los números de teléfono que nos quedan

Si no hemos conseguido encontrar entre nuestros números de teléfono en WhatsApp a nuestro objetivo, seguro que hemos podido descartar una gran cantidad. Así que, entre los que no eran números válidos, los que hemos descartado con WhatsApp, nos queda probar el truco de averiguar la cuenta detrás de un número de teléfono en Facebook.

Figura 10: Averiguar la cuenta de Facebook detrás de un número de teléfono

De esto ya se publicó por aquí en un post para averiguar la cuenta en Facebook detrás de un número de teléfono, así que solo deberemos ir metiendo con paciencia el número en la página de Facebook y ver las fotos y/o correos electrónicos a los que vamos accediendo. Hay un post muy interesante de cómo gestionar el número de teléfono en las opciones de privacidad de Facebook... o cómo puede ser un grave fallo.

Figura 11: Averiguar cuentas de Twitter asociadas a número de teléfonos

Pero no hay que olvidarse de que en Twitter esto funciona de forma muy similar, así que si te queda algún número de teléfono pendiente, también se puede probar con la otra red social. Aquí tienes un artículo de Cómo averiguar cuentas de Twitter asociadas a números de teléfono.

¿Cómo protegerse de esto?

Pues la solución es fortificar las opciones de privacidad de Paypal, de Gmail, de Facebook y de WhatsApp. Aquí os dejo algunos enlaces interesantes del blog, pero para el caso de Paypal, Chema Alonso ha prometido un post con la info y los pasos necesarios para conseguir tener una cuenta de Paypal protegida y que no filtre 5 de los 9 números de teléfono.

Saludos!

Autor: Pablo García Pérez

viernes, marzo 30, 2018

Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP #paypal #latch

Una de las cuentas que puedes proteger con servicios TOTP es la de tu cuenta Paypal, y es de las que no deberías tener sin 2FA ni de broma, pues como os podéis imaginar es de las más buscadas junto con las cuentas de BitCoins. Hay dinero detrás de ellas, así que aquí tienes una pequeña guía de cómo puedes proteger tu dinero en Paypal usando Latch Cloud TOTP.

Figura 1: Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP

En primer lugar debes activar tu clave de seguridad. Esto por defecto se puede hacer en Paypal de dos formas diferentes. La primera, usando un número de teléfono y recibiendo un número SMS - pero como veremos en el artículo de mañana  esto tiene "efectos laterales" - o bien configurando un servicio como Latch Cloud TOTP. Para ello, debes entrar en la siguiente URL, que no está muy fácil de localizar cuando inicias sesión, así que quédate con este enlace: Activar 2FA en PayPal.

Figura 2: Activar Clave de Seguridad en Paypal

Aquí se debe seleccionar la opción 2, que como se puede ver es un dispositivo físico de Symantec que utiliza un TOTP, así que lo único que necesitamos es tener los datos del TOTP para poder generar ese en nuestra cuenta de Latch el Cloud TOTP adecuado. Cuando demos a esta opción nos pedirá tres datos:
- El número de serie del dispositivo físico. 
- Un número TOTP. 
- Otro número TOTP.
Esto lo podemos hacer de dos formas diferentes. La primera de ellas es utilizando un script en Python llamado python-vipaccess que está disponible en pip, el gestor de paquetes. En este artículo explican paso a paso: Cómo generar un TOTP para Paypal en Python.

Figura 3: Proceso para la creación de un TOTP válido para Paypal desde Pyhont

La otra opción es utilizar este servicio online que corre este mismo script en una web, para ello deberemos dar los datos que queremos que se muestren en el cliente Latch Cloud TOTP y recibiremos el número de serie que necesitamos para registrar nuestro 2FA de autenticación en Paypal y el QRCode que necesitamos para generar los TOTP desde Latch

Figura 4: Serial Number y QRCode con semilla TOTP creados

Lo recomendable, a pesar de como dice la web no guarda ningún dato, es que te corras el script en Python - os haremos un post para explicarlo paso a paso - o que nunca pongas el correo electrónico de tu cuenta Paypal en esta web. Yo puse correos falsos para las pruebas, ya que al final esa información es solo para el cliente Latch, y nos da igual que no aparezca esa información.

Una vez tengamos el QRCode, debemos abrir Latch y generar un nuevo servicio, en este caso de Cloud TOTP y pasar a escanear el QRCode para tener creado el servicio en nuestra aplicación Latch.

Figura 6: Creado el Cloud TOTP para Paypal en Latch

Con estos datos, ya podremos registrar en Paypal el servicio, poniendo el Serial Number que nos ha devuelto el formulario, y dos números TOTP que nos haya devuelto el servicio de Latch Cloud TOTP que acabamos de crear.

Figura 7: Asociación en Paypal del Latch Cloud TOTP creado

Una vez creado, y tras probar dos o tres veces que todo va bien, podemos eliminar el número de teléfono de la lista de dispositivos que obtendrán el código de seguridad o tener los dos elementos activados. Un mensaje SMS y/o un código de Latch Cloud TOTP.

Figura 8: Elementos para hacer el 2FA en Paypal. Se ha desactivado el número de Telefónco

A partir de este momento, siempre que se vaya a iniciar sesión, tras introducir correctamente el usuario y la contraseña, se pedirá el 2FA por alguno de los dispositivos que se hayan seleccionado.

Figura 9: Introducción del PIN TOTP en el login de Paypal

Y podrás utilizar el PIN TOTP que te devuelva tu servicio de Paypal en Latch Cloud TOTP, sin necesidad de esperar mensajes SMS o utilizarlos si no quieres.

Saludos Malignos!

jueves, marzo 29, 2018

10 detalles "ocultos" en el evento de presentación de Movistar Home

El pasado evento en Mobile World Congress, donde se lanzó AURA en seis países, se habló de las integraciones con Microsoft Cortana, Google Assistant y Facebook Messenger, y se anunció Movistar Home, tenía mucho trabajo detrás. Fueron muchos meses trabajando solo para ese día, y el equipo entero pusimos mucho cariño y cuidado en cada detalle.

Figura 1: 10 detalles "ocultos" en el evento de presentación de Movistar Home

Los proyectos de 4ª Plataforma, AURA y Movistar Home no son proyectos de una unidad de Telefónica, son proyectos de toda la compañía en los que la gente está poniendo lo mejor de cada uno de ellos. Son infinidad los esfuerzos que ha habido que hacer en la casa para que los proyectos vayan como vana, y que el evento quedara como quedó. Aquí tenéis el evento completo de una hora de duración.


Figura 2: Evento completo Aura & Movistar HOME

Para el día de puesta de largo, el trabajo fue Excelsior! - como diría el gran Stan Lee -, y desde el diseño del escenario, hasta la ubicación de las personas, pasando por la coreografía - sí, los movimientos y ubicaciones de cada persona en cada momento on stage también se sincronizan -, los efectos musicales donde los profesionales de audiovisuales hacen magia para saber cuándo y donde y de qué manera - la ubicación de las cámaras, los mensajes y alertas de tiempo, la visualización de cada cámara en cada pantalla, es decir, todo, iba programado de antemano. 


Figura 3: Parte del lanzamiento de Movistar Home

Incluso, detalles que preparamos para ese día. En concreto en la parte de Movistar Home, yo tenía el escenario con muchos detalles. Primero de todos, el de la camiseta que utilicé para ese día. Estaba de estreno con ella. Esa camiseta lleva a Mi Survivor montada en mi skate - con casco - eso sí.

A post shared by Chema Alonso (@chemaalonso) on

La foto se la hice yo un día de los muchos en los que voy a patinar en familia, y como me gustó mucho Rodol y Pablo Álvarez, compañeros en la casa, me hicieron unos posters bonitos. Uno de ellos decora ahora mi despacho.

A post shared by Chema Alonso (@chemaalonso) on

Otro de los elementos del escenario de este año era que tenía que ser lo más opuesto a la realidad virtual con las Hololens del año pasado. Por eso, al principio de la charla, hago un guiño al momento de la Augmented Reallity para centrarnos en el mundo físico, y queríamos que la gente sintiera que estaba en mi salón de casa, así que pusimos el escenario como si fuera él. Momento que aprovecharon mis compañeros para hacerme un meme con Padre de Familia... con "realidad aumentada".

A post shared by Chema Alonso (@chemaalonso) on

En el salón de casa puse cosas que tuvieran que ver conmigo, así que, si os fijáis, al lado de Movistar Home hay un pendrive de Cálico Electrónico, de los que yo utilizo para guardar documentos de forma muy habitual. Además, el "gordito" fue creado en Barcelona por el gran Nikotxan, y nos parecía un homenaje más que bonito que estuviera allí. En la foto de arriba se ve al lado izquierdo, y si te fijas en la siguiente foto se le ve erguido al lado de Movistar Home.


También puse libros de los que he escrito yo, en 0xWord, así que podéis ver el libro de Pentesting con FOCA, de Hacking Web Technologies, de Hacking Aplicaciones Web: SQL Injection o el de Hacking iOS: iPhone & iPad.


Otro detalle curioso es el de las zapatillas de AURA que poca gente vio. El equipo de Brand Experience de nuestra unidad diseñó unas zapatillas con el nombre personalizado de las personas del equipo que estuvieron dejándose la vida para este evento, y, por supuesto, yo tenía las mías sobre el escenario.

A post shared by Chema Alonso (@chemaalonso) on

También en el sofá había otro detalle. Montse, una artista con los muñecos de trapo de Barcelona me había hecho una FOCA de peluche, un Chema Alonso de peluche y un Peluche con un Papaete tal y como me ve mi hija. Como pude conocerla el día antes, no dudé en poner sus peluchines en mi sofá. Ahora Mi Hacker y Mi Survivor duermen con ellos.

A post shared by Chema Alonso (@chemaalonso) on

También hubo otro detalle curioso con la vídeo conferencia de Mikel Landa. Como sabéis, en el vídeo son solo unos segundos, para lo cuál Mikel se iba a poner un polo del equipo Movistar Team y listo, pero yo personalmente pedí que se vistiera de ciclista, para que todo el mundo lo reconociera al instante.

A post shared by Chema Alonso (@chemaalonso) on

Esto me costó caro, y el martes de esa semana me hicieron vestirme a mí de ciclista en la tienda Movistar de Barcelona, donde además me dio un repaso subiendo virtualmente unos kilómetros de Los lagos de Covadonga.


Después de eso, Mikel me firmó la camiseta que usamos para esta prueba y a día de hoy está colgada también en mi oficina, como forma de no olvidarme de esos días.

A post shared by Chema Alonso (@chemaalonso) on

En otro de los momentos de la demo yo llamo a Irene y ella no me atiende. Para muchos era un momento de tensión porque parecía raro que Irene, "la mamá de AURA" como la llamo yo cariñosamente,  no atendiera. Lo cierto es que Irene estaba recuperándose en casa en una baja médica pero yo no quise que no estuviera en el evento de lanzamiento de su AURA.


Por último,  el evento cierra con la llamada de teléfono de mi madre que  yo atiendo a través de Movistar Home. Y sí, es mi madre, que como ya os he contado vino a hacerse una sesión de fotos y grabar los vídeos de Movistar Home, así que como la teníamos en la agenda, es la persona que me llamó al final del evento.


Estos son solo algunos de los detalles que se vieron a simple vista, pero os garantizo que montar un evento como este, después de estar trabajando tanta gente en tantos países y con tanta gente, deja infinidad de momentos.

A post shared by Chema Alonso (@chemaalonso) on

En Brasil, en Chile, en Argentina, en Alemania, en España, en UK, en corporativo, en los equipos de red, en los de comunicaciones, en desarrollo, en IT, en sistemas, en relaciones con analistas en marketing, en los equipos de marca, en los EXCOM, en las unidades de CCDO, Global Resources, Seguridad, Red, etcétera, han pasado mil detalles para que esto llegara como llegó. Ahora, mirar hacia atrás da sensación de vértigo al ver todo lo que se ha avanzado.

Saludos Malignos!

miércoles, marzo 28, 2018

Mi charla en TalentLand (México) será por Vídeo Conferencia

Llevo un tiempo buscando una oportunidad buena para visitar México, pero la verdad es que no se cuadran los astros. En esta ocasión iba a pasar por México D.F. y Guadalajara aprovechando la oportunidad de visitar Talent Land, pero mis restricciones a la hora de viajar son altas, ya que tengo obligaciones con mis responsabilidades laborales que cumplir.

Figura 1: Mi charla en TalentLand (México) será por Vídeo Conferencia

En este caso concreto, los compañeros de la organización de Talent Land no han podido conseguir los billetes de vuelo que yo necesitaba para poder estar presente allí y dictar mi charla presencialmente, al tiempo que me permitían atender el resto de compromisos que tengo en España, así que finalmente mi participación en este evento será de manera remota, vía Vídeo Conferencia. Todavía no ha sido anunciado en la Web de Talent Land, pero yo quiero que lo sepáis cuanto antes.

Figura 2: Horario de mi charla en Talent Land

Como sabéis, la agenda de speakers es lo suficientemente amplia y de nivel como para que no se note nada mi ausencia de forma presencial, pero si alguien compró la entrada para verme en persona, tendrá que ser en otra ocasión en que visite México, que en esta cita se ha escapado la organización del viaje de mis manos. Como sabéis, no dejo que me anuncien en un evento si no pienso ir - que luego la gente piensa que yo he cancelado por algún motivo, cuando realmente nunca confirmé -.

En este caso, sí que estaba en mis planes ir, pero los viajes que la organización tenía que conseguir eran muy concretos, y finalmente no han sido capaces de conseguirlos, por lo que me tendré que quedar en España y que no afecte este problema al resto de actividades que ya tengo planificadas.

Figura 3: Charala de Chema Alonso en Talent Land

Desde aquí, os deseo mucha diversión, y os envío un fuerte abrazo a todos los amigos de México y compañeros de todo el mundo que estaréis por allí. A los casi 1.000 asistentes que habéis dicho que queríais ir a mi charla, os doy las gracias por ello. Si aún venís, intentaré que a pesar de ser vía Vídeo Conferencia, la charla sea de vuestro agrado.

Saludos Malignos!

martes, marzo 27, 2018

Latch (Voice) Assistant: Controla tu casa con Latch, Siri y Alexa

El pasado jueves el área de CDO celebró la sexta edición del Equinox, un hackathon que realizamos cada 6 meses y que busca que sus participantes lleven a cabo un proyecto que han ideado, que tienen ganas de hacer, y que puedan realizar en 24 horas. Yo ya he participado en cuatro ediciones con ésta, solo he faltado a dos, y me sigue resultando apasionante.

Figura 1: Latch (Voice) Assistant: Controla tu casa con Latch, Siri y Alexa

En mi primera participación junto a Ioseba Palop hicimos el AirTick o también conocido como Air Profiling, en el que mediante la captura de tráfico hacíamos un perfilado de un dispositivo y de su propietario. Por aquella época WhatsApp tenía el leak del número de teléfono, lo cual hacía muy interesante el proyecto consiguiendo relacionar tu número de teléfono, tu foto de Facebook, tu nombre, tu sistema operativo, tu versión, algunas apps que utilizabas, tu historial de navegación, incluso, saber si tenías una cuenta bancaria en un banco :-) Este proyecto se vio traducido en un TFM de CDO Challenge y algunas cosas más.


Figura 2: LatchsApp

En la segunda participación junto a Álvaro Nuñez-Romero hicimos LatchsApp, un proyecto el cual hace de Latch una plataforma de exfiltración de datos a través del movimiento de sus cerrojos. Un nuevo Covert Channel con el que nos lo pasamos muy bien. Además, hicimos un módulo que integraba LatchsApp en DET. También se tradujo en parte de un TFM que realizaron alumnos que tutoricé.


Figura 3: LatchsApp en Data Exfiltration Toolkit

En la tercera participación junto realizamos un proyecto llamado LiLaS o Little Latch Snitch. Este proyecto fue realizado por un equipo más amplio en el que contábamos con Félix Brezo, Álvaro Nuñez-Romero, Carmen Torrano, Santiago Hernández, José Torres y servidor. El proyecto nos permitía bloquear protocolos de red a través de Latch, ya fuera por activación manual o por los indicadores de compromiso, transformados en reglas que se ejecutaban.


Figura 4: LiLaS

Es una experiencia realmente interesante como reflejaba vía Twitter mi compañero Félix Brezo.

Para esta cuarta participación estuve hablando con mi compañero Álvaro Nuñez-Romero y me comentó su intención de hacer que Siri pudiera abrir cerrojos en Latch. La idea y el reto me sedujo, y llegado el jueves del Equinox fuimos a por ello. La idea radicaba en hacer uso de Home Assistant como centro de operaciones. Al proyecto se unió a última hora nuestro nuevo compañero Enrique Blanco al que tenemos jugando con Inteligencia Artificial desde que se unió. Y lo de jugando es literal.

Latch Voice Assistant

Home Assistant proporciona una plataforma y framework que nos permite crear plataformas y componentes que hagan que cualquier dispositivo IoT pueda ser integrado en nuestra casa. Estuvimos viendo la plataforma HomeKit que proporciona HomeAssistant, la cual es una integración para poder hablarse con el HomeKit de Apple.

Figura 6: Home Assistant

Estuvimos estudiando la arquitectura de HomeAssistant, y tras un análisis de ello, entendimos que había una serie de plataformas y componentes. Nos pusimos a ver qué era cada cual, qué diferencia había, qué necesitábamos y así fuimos creando nuestro primer componente.

Figura 7: Arquitectura de Home Assistant

Este primer componente era capaz de leer señales que viajan por el bus de HomeAssistant. Este bus maneja las diferentes señales, eventos, estados, etcétera, que circulan por HomeAssistant y que vienen y van hacia los diferentes dispositivos que podemos tener en la casa. El primer componente nos permitía leer del bus y poder detectar ciertos eventos que nos interesaban.

A modo de ejemplo, y código de prueba en los primeros momentos, tenemos esto. El objeto hass representa a HomeAssistant. Dispone de la posibilidad de escuchar en el bus, como se puede ver en la última línea del código. Cuando el evento que se observa es el de cambio de estado, lanzamos el método handle_event.

Figura 8: Código para manejar el evento en HomeAssistant

El método handle_event ya trabajará con lo que significa el evento ‘State_Changed’. Aquí nuestra estrategia, cuando utilizamos Siri a través de HomeKit en HomeAssistant se generan diferentes eventos, entre ellos los ‘State_Changed’, ya que Siri activará o desactivará interruptores, encenderá o apagará luces, etcétera. Por ello, estudiamos los eventos y vimos como diferenciar un evento que viene del HomeKit.

Lo que hicimos fue crear un ‘mapping’ de un dispositivo en HomeKit con un Latch de nuestra cuenta. Esto en primera instancia. Si vemos el siguiente video, vemos un ejemplo de lo que queríamos.


Figura 9: Encendiendo y apagando luces con Latch (Voice) Assistant

Una vez comprobado que el componente nos funcionaba y conseguíamos integrar Latch llevamos a cabo la mejoría del código. Entendimos que la plataforma es lo que debíamos crear, ya que si queremos liberarlo en algún momento debería ser así. En la siguiente imagen se puede ver el código del método setup de la plataforma. El método setup es ejecutado en la carga de la plataforma, es decir, al arrancar HomeAssistant.

Figura 10: Método setup

Hicimos un segundo video, ya con la plataforma implementada. La plataforma es capaz de integrar los latches de una cuenta de Latch en HomeAssistant. Es decir, la plataforma hace login en tu cuenta de Latch y construye sobre HomeAssistant los diferentes latches. Posteriormente, se pueden relacionar e invocar desde HomeKit, por lo que desde Siri podemos abrir y cerrar los latches.


Figura 11: Integración e invocación de Latch desde HomeKit

Conseguida esta integración, una de las curiosidades que más nos gustó es poder abrir un latch desde el reloj de Apple, es decir, desde WatchOS.

Por último, quisimos jugar con Alexa. Gracias al Echo Dot que nuestro compañero Enrique tiene, y que prestó al proyecto, pudimos integrarlo con HomeAssistant y llevar a cabo la apertura y cierre de latches desde el altavoz inteligente de Amazon.


Figura 12: Integración de Latch con HomeAssistant y Alexa Echo

No se sabe si habrá tiempo para participar en otro Equinox, espero que sí, seguro que sí, pero lo que puedo decir es que es un evento interesante y pido desde aquí que mis compañeros más Seniors se atrevan a participar y dejarse contagiar por ello. Llevo 10 años entre Telefónica, ElevenPaths e Informáica64, pero quiero que cada día sea como el primero y el Equinox me deja volver a jugar…


Figura 13: El Equinox de Otoño de 2016 en fotos

En definitiva, muy orgulloso del Equinox, de la gente que hace posible esto y de sus participantes. Orgulloso de ser el responsable del equipo de ideas locas de CDO y poder exprimir nuestras ideas, pruebas de concepto, llevarlas a patente, llevarlas a producto, jugar, disfrutar, pero también, trabajar muy duro. Orgulloso del equipo que tengo conmigo, los cuales crecen cada día y aportan hasta el último granito que crean y hacen que las ideas puedan ser una realidad.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths

domingo, marzo 25, 2018

Dos plugins para FOCA OpenSource y uno para Metasploit


Figura 1: Dos plugins para FOCA OpenSource y uno para Metasploit

Los plugins de FOCA OpenSource están ya disponibles en el Market de Plugins de FOCA para que se puedan descargar y comenzar a utilizar desde ya, donde además cuentas con el resto de los ya existentes. Aquí los tienes todos.

Figura 2: Market de plugins de FOCA

El primero de los nuevos es un pequeño plugin para buscar y explotar vulnerabilidades SQLi directamente desde FOCA OpenSource. En el siguiente vídeo tenéis un ejemplo de su funcionamiento.

Figura 4: Demo del Plugin de SQLi de FOCA Open Source

El segundo de ellos permite llevar las direcciones e-mail que FOCA OpenSource va descubriendo al servicio de Have I been Pwned para conocer si han sido leakeadas o no en la red y pueden ser utilizadas en un Ethical Hacking.

Figura 5: Demo del Plugin de Have I Been Pwned

Además de estos plugins de FOCA OpenSource, el equipo del laboratorio ha sacado un módulo de post-explotación para Metasploit que implementan los ataques HSTS y HPKP que hemos estado presentando por ElevenPaths en BlackHat y RootedCON.

Figura 6: HTST Eraser en Metasploit

El módulo lo ha programado nuestra compañera Sheila A. Berta y recoge el trabajo de investigación que llevaos haciendo los dos últimos años en esta materia. En los siguientes enlaces tienes artículos que hablan sobre este tema:
Saludos Malignos!

sábado, marzo 24, 2018

Mi conferencia en Converge Buenos Aires en YouTube

Durante mi paso por Buenos Aires he participado en actividades con mis compañeros de Telefónica, y los equipos de AURA en Argentina, de reuniones con amigos y de, una participación en las jornadas de CONVERGE, organizadas por la empresa Globant y que en esta ocasión se centraron en las tecnologías de Inteligencia Artificial ayudando a los humanos. Algo que ellos llamaron Inteligencia Aumentada.

Figura 1: Mi conferencia en Converge Buenos Aires en YouTube

El evento ha sido de lo más animado, y mi participación fue, primero con un dialogo en el escenario en la jornada de la mañana en la que pudimos hablar del futuro de la IA aplicada al mundo de los negocios, a los servicios fundamentales de nuestra vida, y su impacto en las sociedades. Una charla distendida en la que pudimos elucubrar sobre el presente y el futuro.

A post shared by Chema Alonso (@chemaalonso) on

En la sesión de la tarde, la jornada fue con charlas, y en esa ocasión yo aproveché para contar en poco más de 20 minutos algunos detalles de la construcción de AURA y la 4ª Plataforma en el grupo Telefónica, y aquí la tenéis, subida a mi canal de YouTube.


Figura 3: Conferencia en GONVERGER BA

Las soluciones de AI han eclosionado con fuerza en nuestro mundo profesional y personal, y cada día más, veremos cómo se va colando en todos nuestros rincones. Esa es mi opinión. La AI ha venido para quedarse al igual que llegó Internet, la digitalización o los smartphones.

Saludos Malignos!

viernes, marzo 23, 2018

El leak de Siri para leer los mensajes de WhatsApp a través de las notificaciones de iOS

Cuando leí la primera noticia sobre el nuevo leak de Siri que permitía leer los mensajes de WhatsApp me pareció extraño. Yo - que me miro y documento de todos los bugs de iOS para mantener el libro de Hacking iOS: iPhone & iPad al día - , no hace mucho tiempo atrás, había estado jugando con estas opciones en Siri y la verdad es que, a pesar de ser un poco confusas para el usuario genérico, acceder a WhatsApp con la pantalla bloqueada no parecía posible.

Figura 1: El leak de Siri para leer los mensajes de WhatsApp a través de las notificaciones de iOS

De hecho, lo curioso de Siri es que puedes controlar lo que publicas en WhatsApp a través de Siri, ya esté la pantalla bloqueada o desbloqueada, pero cuando se trata de mensajes SMS o correos electrónicos, el funcionamiento es distinto. En el artículo "Puedes controlar si Siri lee o no tus WhatsApp, pero no si envía SMS, iMessages o e-mails " hablaba de estos asuntos hace casi un año.

Figura 2: Intento de acceso de Siri a los mensajes de WhatsApp

En el caso de Siri accediendo a Facebook, la cosa es aún más confusa. Con eso de que nativamente iOS tenía conexión con Facebook desde hace tiempo, las opciones de Siri para controlar Facebook son una referente sí y no, depende de cómo lo hagas. En el artículo "Y con Siri "sí, no, no, sí, sí" puedes controlar el acceso a tu cuenta de Facebook" hablaba de esto en abril de 2017.

Figura 3: Posteando en Facebook con Siri usando el soporte nativo

Ahora, el leak que ha salido a la luz es distinto, y me ha encantado. Se trata no de leer los mensajes de WhatsApp con Siri, sino leer las notificaciones en pantalla, que llevan los mensajes de WhatsApp. Al final, aquellas personas que tienen las notificaciones activas  por pantalla tienen - aún con la pantalla bloqueada - la lista de los mensajes recibidos. pero escondidos hasta que se autentique con Face ID o Touch ID.


Figura 4: Demo (En portugués) de Siri leyendo las notificaciones

Sin embargo, esas notificaciones pueden ser leídas por medio de Siri si una persona, con la pantalla bloqueada, pide que las lea, lo que produce el efecto de leer los mensajes de WhatsApp. Esto afecta a las versiones 11.2.6 y 11.3 de iOS.  Un truco sencillo, pero funcional, como se puede ver en el vídeo.

Figura 5: Opciones  para notificaciones de WhatsApp

Lo mejor es que WhatsApp no envíe notificaciones a la pantalla bloqueada, o que si lo hace, no tengas disponible Siri con la pantalla bloqueada. De lo contrario, atente a las Whatsapp-consecuencias. Añade esta precaución - que ya deberías tener de antes - para Proteger tu WhatsApp a prueba de balas.

Saludos Malignos!

Entrada destacada

Big Data for Social Good: Ready for a Wild World? 24 de Mayo en Madrid #BD4SG2018 @luca_d3

El próximo 24 de Mayo en Madrid , en el auditorio del Espacio de la Fundación Telefónica en la Gran Vía , tendrá lugar la segunda edición d...

Entradas populares