domingo, marzo 24, 2019

Un leak en “Pipl” que weaponiza tus leaks y publica tu teléfono en Internet. ** Ten cuidado **

Las técnicas OSINT (Open Source Intelligence) se basan en extraer información que es pública o que está disponible públicamente. Pero no siempre quiere decir que esa información debiera ser pública. En muchos casos esa información proviene de leaks que tiene las plataformas que dan soporte a los servicios de Internet, como los que explota OSR-Framework, o los simples info-leaks del login.

Figura 1: Un leak en “Pipl” que weaponiza tus leaks y publica
tu teléfono en Internet. ** Ten cuidado **

Jugando con estos leaks se puede sacar mucha información, como ya os conté con el caso del número de teléfono en Paypal del que os hablé hace un año, haciendo algún proceso de "weaponización". Es decir, automatizando la fuga de información para sacarle algún provecho en la extracción de datos, como en el caso de los números de teléfono en cuentas de Facebook haciendo búsquedas inversas.


Figura 2: Charla sobre Info-leaks en servicios web por Chema Alonso

Y de todas estas técnicas sabe sin duda la web Pipl, un motor de búsqueda de información sobre las personas utilizado en procesos OSINT y que bebé de miles de sitios web y redes sociales. Perfecto para demostrar que otro Cambridge Analytica es más que posible todavía y que estamos lejos de dejarnos ser perfilados fácilmente por técnicas de Big Data.

Figura 3: Web de Pipl con más de 3 mil millones de personas registradas

En esta web podemos buscar a cualquier persona y ver rápidamente cuáles son sus perfiles principales, y una breve descripción de quién es, llegando a dar datos personales como su número de teléfono o dirección de correo electrónico.

Figura 4: Registro de Chema Alonso en pipl

Esta información, que a priori parece que no es accesible desde la web externa, es bastante importante, más, cuando se pueden hacer búsquedas inversas utilizando los números de teléfono, lo que completaría perfectamente el servicio de "Dirty Business Card" del que hablaba Chema Alonso tiempo atrás.


Figura 5: Dirty Business Card Reader: PoC

Esta información es accesible si ha sido filtrado por algún leak o si, por desgracia, el dueño de la cuenta en una red social no ha sido lo suficientemente precavido como para configurar de la manera adecuada las opciones de privacidad de sus cuentas en los servicios de Internet en los que se ha sacado cuenta.

Sacando E-mail y Telefóno de Pipl

Pero lo peor es que esta información, que parece que no está disponible a priori, realmente sí que lo está. Está en campos hidden de la web de Pipl que está abierta a todo el mundo. Basta con buscar el campo "phn" y aparece el número de teléfono que ha sido descubierto por esta web. En el caso de Chema Alonso sale el de su antigua oficina en Informática 64.

Figura 6: Teléfono y cuenta registradas de Chema Alonso

Este es un leak fácil de weaponizar, por lo que el riesgo es bastante alto. Si tienes cuentas en redes sociales o servicios de Internet en los que has configurado tu número de teléfono personal como información adicional o como 2FA te recomiendo que te busques. Puede que te sorprenda encontrar la información que de ti tienen.

Figura 7: E-Mail y Teléfono particular de una cuenta en Pipl

El proceso de salir de esta base de datos es un poco lento, por lo que te recomiendo que comiences por averiguar de donde puede provenir el leak que ha llevado tu información a esta base de datos, configurando de manera robusta todas tus cuentas, y después que solicites de manera legal la retirada de tus datos. Este es nuestro mundo hoy en día. Uno en el que tus datos vuelan con mucha facilidad.

Autor: Pablo García Pérez

sábado, marzo 23, 2019

Y esta semana toca... @0xWord @luca_d3 @elevenpaths

Como dicta la rutina que he tomado, os dejo un sábado más la lista de eventos, cursos, conferencias, charlas, y demás citas a tener en cuenta de las que realizamos nosotros. Yo estaré de viaje por Argentina que tengo que ir a Córdoba a asistir y tener una pequeña participación en el VIII Congreso Internacional de la Lengua Española.

Figura 1: Y esta semana toca...

A mi vuelta, ya sabéis, estaré en la RootedCON 2019 en Madrid con una ponencia el viernes por la tarde y firmando libros de 0xWord. Con eso tengo la semana echada por mi parte, que los vuelos al otro lado del Atlántico y el cambio horario se llevarán parte de mi tiempo útil. Pero la semana tiene muchas más cosas que merece la pena que tengáis en el radar, así que os las traigo por aquí para que las tengáis controladas.

25 de Marzo: Curso Profesional de Auditorías Móviles [Online]

Si eres un profesional de la informática y quieres adentrarte en el hacking o quieres mejorar tus aspectos profesionales en el mundo de la seguridad informática, o simplemente sientes curiosidad por el hacking, puedes apuntarte a este curso que permite estudiar cuándo, cómo y dónde quieras. Con este curso conocerás las últimas y más eficientes técnicas de pruebas de hacking ético a dispositivos móviles con sistemas operativos Android e iOS

Figura 2: Curso Online de Auditorías Móviles

Esta es una formación que te permitirá, posteriormente, realizar auditorías de pentesting a dichos dispositivos móviles de manera profesional. Con 120 horas de formación que abarcan un temario que va desde la auditoría de aplicaciones móviles hasta el análisis forense de los dispositivos completos. Tienes el temario completo en la web de esta formación.

Figura 3: Libro de Hacking iOS: iPhone & iPad (2ª Edición)

Además, se entrega como complemento a la formación el libro que escribimos entre varios profesionales centrada en la auditoría, el hacking y el análisis forense de dispositivos de Apple de 0xWord titulado "Hacking iOS: iPhone & iPad (2ª Edición)". 

25 de Marzo: Experto en red TOR y Deep Web [Málaga]


Formación de 16 horas que comienza el día 25 de Marzo en Málaga en horario de tarde. Este curso se ha desarrollado para dotar al alumno de los conocimientos en el uso de tecnologías que proporcionan privacidad y anonimato al usuario. 

Figura 4: Curso experto en la red TOR y Deep Web Málaga

Se abordaran distintas temáticas tales como el uso de Proxys, VPN y red TOR, pros y contras de cada una de ellas, comparativas entre las distintas tecnologías y como pueden se pueden usar de forma combinada para proporcionar un mayor nivel de privacidad y anonimato. 


Figura 5: Libro Deep Web: Tor, FreeNET & I2P

La formación constará de una parte teórica y una parte práctica para poder sacar el máximo provecho a este taller. Los alumnos recibirán como material de apoyo el libro de 0xWord de "Deep Web: TOR, FreeNet, I2P. Privacidad y Anonimato". Tienes toda la información sobre esta formación en la web de Comunix dedicada al curso: Experto en red TOR y Deep Web.

26 y 27 de Marzo: FutureNET World [Londres]

FutureNet World es un evento anual para compartir los desafíos más difíciles de las operadoras, enfocándose en los últimos avances tecnológicos, con un análisis visionario de los servicios que los clientes están demandando en el mundo digital.



Figura 6: FutureNET World

El Dr. Richard Benjamins, Big Data & AI Ambassador en LUCA, participará en la ponencia “Examinando cómo la automatización de la red y la IA están habilitando nuevos modelos y servicios de negocios digitales mediante el uso de datos”.

27 de Marzo: Datanomics [Madrid]

Una de las mayores expertas de nuestro país en identidad digital y aspectos legales de la tecnología, Paloma Llaneza, estará en nuestro auditorio realizando un didáctico repaso a las implicaciones legales y sociales que puede tener en nuestra vida cuando pulsamos el botón “Acepto la política de privacidad y términos de uso”. Paloma Llaneza conversará con el escritor Pepe de la Peña.



Figura 7: Evento Datanomics en el Espacio de la Fundación Telefónica


El último ensayo de Llaneza, Datanomics, editado por Deusto, supone un demoledor y brillante repaso a todas las consecuencias que preferimos obviar cuando aceptamos que las grandes compañías tecnológicas comercien con nuestros datos personales.

Estos datos reflejan comportamientos y pensamientos profundos perfectamente identificados e individualizados, que facilitan a las empresas y a los Estados la toma de decisiones sobre nosotros, pues así saben lo que vamos a hacer en cada momento. Y como nos conocen más que nosotros mismos, nos dirigen hacia una toma de decisión u otra. 

28 a 30 de Marzo: RootedCON 2019 [Madrid]

Como ya os había dicho, durante estas fechas tiene lugar la RootedCON Madrid. Tres días de charlas, formaciones, hacking y networking en el sector de la seguridad informática. Yo estaré el viernes, y durante los tres días habrá muchos compañeros de 0xWord, ElevenPaths y Telefónica. Tienes la lista de todas las charlas en la web del congreso.



29 de Marzo: RITSI 2019 [Albacete]

Este año la X Edición del RITSI tiene lugar en Albacete, y aunque yo he intentado poder estar de forma presencial allí, mi viaje a Argentina no me lo ha permitido, por lo que estaremos colaborando con un stand de 0xWord donde podrás adquirir nuestros libros. Si quieres que alguno de los autores - incluido yo mismo - te firme el libro, puedes pedirlo por anticipado a info@0xWord.com y lo recoges allí mismo. Tienes toda la info de la jornada en esta web.

Figura 9: X Congreso RITSI en Albacete

Y esto es todo, pero para completar el post os dejo la última entrevista que me hicieron vía teléfono tras mi participación en la Campus Party Punta del Este en Uruguay.


Figura 10: Entrevista radiofónica para En Perspectiva

Espero que estos eventos tengan alguna actividad que os sea interesante en la que participar. Nos vemos en el post de mañana que me toca hacer un poco de deporte.

Saludos Malignos!

viernes, marzo 22, 2019

Mastering iBombshell: Para tu próximo Ethical Hacking

Esta semana ha tenido lugar el CodeTalk for Developers de ElevenPaths centrado en cómo sacar partido a iBombShell, y ya lo tienes disponible en Youtube para que en cuestión de poco más de treinta y cinco minutos veas cómo empezar a utilizarlo en tus proyectos de Ethical Hacking.

Figura 1: Mastering iBombshell: Para tu próximo Ethical Hacking

Como siempre, el proyecto está abierto y vivo, por eso esta sesión está pensada también para que aprendas a crear módulos o extender su funcionalidad. Todo el repositorio de código está en GitHub y puedes tanto aportar como sugerir nuevos módulos. Aquí tienes la sesión completa en vídeo.


Figura 2: CodeTalk for Developers "iBombShell"

Y para que completes tu estudio, aquí tienes todos los recursos publicados hasta la fecha sobre iBombShell, con toda la información que tenemos disponible.

- [GitHub] iBombShell
- [White Paper] iBombShell: Dynamic Remote Shell
- [Vídeo] CodeTalk for Developers "iBombShell"
- [Blog Post] Pentesting MacOS & Windows with iBombShell
- [Blog Post] iBombShell: Tu Shell de pentesting en MacOS con PowerShell
- [Blog Post] iBombShell: Creando una función para MacOS
- [Blog Post] iBombShell: Environment Injection in Windows 10
- [Blog Post] iBombShell: Crear módulo para extracción de claves SSH privadas
- [Blog Post] iBombShell: UAC Bypass con Mocking Trusted Directories
- [Blog Post] iBombShell: Nuevas funciones presentadas en BlackHat Europe 2018
- [Blog Post] iBombShell: Cómo saltarse AMSI y Windows Defender
- [Blog Post] iBombShell: Cómo hacer un popup phishing
- [Blog Post] BlackHat Arsenal: Tools for Research & Pentesting -> iBombshell
- [Blog Post] iBombShell: Módulo de RID Hijacking & C2 GUI en .Net
- [Blog Post] iBombShell: Novedades en la versión 0.2b Evolution++

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

jueves, marzo 21, 2019

Chema Alonso: Año UNO

El día 15 de marzo de 2018 fue el día marcado en mi calendario para abandonar este mundo. Y hacerlo a lo grande, con un mortal hacia delante desde mi monopatín mientras bajaba por una cuesta para terminar en una baldosa mal fijada al suelo. Pero no fue así. Y aquí sigo. Haciendo balance de lo que ha sido mi vida en este primer año de extra-time que llevo sobre el planeta.

Figura 1: Chema Alonso "Año uno"

Aunque los que estuvieron por allí y me despertaron ensangrentado recuerdan que mi conmoción fue un debate cíclico sobre lo que había pasado, lo cierto es que yo lo viví, como os conté, de otra manera mucho más placentera. El sistema operativo de mi cabeza entró en modo a prueba de fallos y no grabó ninguno de los estímulos que llegaban desde mi cuerpo. Mi cerebro colapsó y no aguantó el malfuncionamiento hardware.

Pero me desperté. Y no con poco dolor y cabreo por lo cómodo que estaba en ese punto de standby con negrura en el que me encerró mi mente.

Lo hice mientras me estaban cosiendo y fabricando las dos cicatrices de nueve puntos en total que tengo en el párpado en el ojo derecho. Podéis llamarme “ScarEye”, que para nombre de Supervillano de segunda no está mal.



Y al día siguiente me fugué del hospital. Y me fui a comer con los amigos, y comencé a vivir con el tiempo extendido de la "Extra Ball" que me tocó.

Desde entonces poco y mucho cambió mi vida.

Poco, porque lo que hago es lo que me gusta. No creo que aunque hubiera sido otro villano, mi vida hubiera cambiado mucho. Ya en un post muy antiguo, de hace unos años, hablaba de la Esencia del Antihéroe para explicar que fuera yo el villano que fuera, acabaría siendo informático. Me gusta la tecnología y lo que hago, así que hace un año cuando tuve una segunda oportunidad no cambié mucho.

Seguí haciendo mis cosas en Telefónica. Mis cosas en 0xWord. Mis cosas como el Chema Alonso ese que lleva tantos años dando guerra por Un informático en el lado del mal, o las tablas de muchos escenarios.

Me gusta Telefónica, me gusta escribir, me gusta pensar, me gusta crear, me gusta contar cosas, que siempre había soñado con ser profesor y enseñar. No fue casualidad que me sacara el CAP para dar clases en secundaria o que estuviera durante tantos años enganchado en la radio con el maravilloso Javi Nieves o dando clases en la universidad tantos y tantos cursos.

En la forma de afrontar la vida, tampoco es que fueran a cambiar después de ese salto de cabeza contra el suelo. Ya había encontrado el hilo de Ariadne un poco antes y enfocado mi vida de una forma que me gusta. Aprovecho cada segundo de mi vida balanceando entre tecnología, lectura, series, deporte, chuletón, vino, música o patinar con mis niñas. No voy a volverme loco porque me haya podido matar o me vaya a morir con seguridad.

Lo que sí que valoro un poco más es el tiempo.

El tiempo es finito, y disfrutarlo es lo que quiero. No me eches la bronca. No quieras que cambie a mis años. No quieras que no sea como soy. No me quites la energía. No me des lecciones de vida que yo ya llevo una. No llores cada momento por lo que pasó. No quiero a mi alrededor vampiros de energía. O gente que me diga lo que tengo que hacer o dejar de hacer. Eso ya lo sé yo y decido si me hago caso o no a cada poco. Y hago lo que me hace feliz o me piden las entrañas.

Quiero a mi lado gente divertida. Vitalista. Que quiten el peso de la vida, para aceptar que no tenemos esa misión trascendental que muchos necesitan atribuirse. Como si el paso por la vida fuera el batido de las alas de mariposa que van a cambiar el universo. No creo en eso.

Me iré, como me pude haber ido hace un año. Me iré y me habrás dicho lo que me hubieras dicho hasta ese día. Me iré y te habré dicho lo que te dije hasta ese momento. Habrá una última conferencia. Un último beso. Una última palabra. Ese abrazo de despedida que nos dimos al decirnos adios hasta la próxima vez. Que realmente será un último adiós. Y un último sentimiento. Y nada más.

Será de la forma que sea. Tarde, pronto, o a media distancia. Será en soledad o en compañía, pero será. Y tampoco será para tanto. "Goodbye, my friend". Y listo. Y no pasará nada. Y no esperes que tenga en mi vida un objetivo por cumplir que se quede a medias. Una obra inacabada. O algo por hacer que me hubiera hecho pleno. ¡Qué va! Ya me acabé Internet que me hice una foto con Chuck Norris, di una charla con Mi Hacker y grabé un anuncio con Mi Survivor. Habré hecho cosas buenas, cosas malas, y habré vivido mi tiempo de la mejor manera que se me ocurrió.


Quiero que queden en tus ojos de la memoria cosas chulas que te agraden. Las risas. Las tonterías esas que decía y hacía. Las veces que lloramos entre carcajadas. Las veces que te abracé como un gorila después de habernos tomado una botella de vino, que con mis amigos nos abrazamos así. Cuando nos fuimos de viaje. Las que me metí contigo con humor inocente, porque si lo hice fue porque eras especial. Las veces que te acaricié sin decir nada. Las veces que te sorprendí con una chorrada. Las que lo hice a lo grande. Las cosas buenas. No las malas. Cuando me viste haciendo algo diferente. Las veces que pinté monstruos contigo o las que te castigué porque era bueno para ti. Las veces que comimos en buenos restaurantes. Las que tomamos café en el Starbucks o en el Vips. Las que fui un Pirata buscando una batalla.

Las malas, entiérralas.

Y poco más. pasó un año. Y vamos a por otro. A por "Chema Alonso: Año 2". Lo que será este año habrá que verlo. Por ahora no preveo más que cosas similares a las del año pasado. No desearía matarme pronto que me gustaría hacerme viejo y ver a mis niñas crecer y vivir sus vidas, pero... ¿Quién sabe?

Saludos Malignos!

miércoles, marzo 20, 2019

RootedCON 2019: Horarios, charlas, fotos y firmas @rootedcon @0xWord

Esta será la décima edición de RootedCON en Madrid, y por supuesto nosotros estaremos para apoyar estar iniciativa tan bonita que comenzó con la ilusión de un grupo de personas que luchó para sacarla adelante hasta convertirse en lo que es hoy. Habrá muchos compañeros de ElevenPaths, muchos amigos del sector, y muchos grandes ponentes que han surgido al calor de estas conferencias por toda España.

Figura 1: RootedCON 2019: Horarios, charlas, fotos y firmas

Yo voy a dar una charla sobre una pequeña idea que me surgió el verano pasado, mientras disfrutaba del descanso merecido bajo el sol, y que tiene que ver con ser el "Papaete" de Mi Hacker y Mi Survivor, dos niñas que adoran la tecnología. Y tiene que ver con ataques de red, con ataques de redes de tipo man in the middle, algo de HSTS, criptojackers,  con niñas viendo Youtube y conectándose para estudiar. A ver si os gusta el resultado final.


Mi charla será el viernes a las 15:30, pero podéis ver ya más o menos la lista completa de speakers y la agenda cómo va ahora mismo en la web, y localizar a todos los que vamos a estar por allí este día. Además, como desde el principio, habrá un stand de 0xWord en el que haremos sesiones de firmas y fotos con los autores de los libros. Estos son los horarios.

Jueves 28 de Marzo

La sesión de firmas será de 11.00 a 12.00 de la mañana y estarán Amador Aparicio, que además de escribir periódicamente en El lado del mal, es uno de los autores principales del libro de Hacking Web Technologies, donde yo también participé, y también Francisco Ramirez, que de nuevo, además de escribir un montón de posts por aquí tiene tres libros geniales, como son:

- Microhistorias: Anécdotas y curiosidades de la historia de la informática y los hackers
Docker: SecDevOps
- Machine Learning aplicado a Ciberseguridad

De todos ellos podrás conseguir las firmas el jueves. Podrás pedir el libro por anticipado contactando con info@0xWord.com, o podrás traerte el tuyo si ya lo tienes comprado para que te lo firmen o hacerte una foto con ellos.

Viernes 29 de Marzo

Será por la tarde. Como ya sabéis yo tengo mi charla de 15:30 a 16:30, así que justo después estaremos por el stand de 0xWord en la RootedCON los siguientes autores.  Toma nota: Elías Grande, que es autor del libro de Docker: SecDevOps, Carlos GarcíaValentín Martín autores de Hacking Windows: Ataques a redes y sistemas Microsoft y Alfonso Muñoz, autor de dos libros de ciencia de base, como son Esteganografía y Estegoanálisis y Cifrado de las comunicaciones digitales: de la cifra clásica a RSA (2ª Edición), que acaba de ser publicado. Yo, estaré allí para firmaros algunos de los libros en los que he participado, como son :

Sábado 30 de Marzo

Por último, el sábado a partir de las 11:45 le toca el turno a nuestro compañero Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters (4ª Edición)", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows: Ataques a sistemas y redes Microsoft", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, que como sabéis es Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de mi unidad CDO de Telefónica.

También estarán Francisco Ramírez y Rafael Troncoso para firmar sus libros de "Microhistorias: Anécdotas y curiosidades de la historia de la informática (y los hackers)" y "Docker: SecDevOps". Vendrá también Carmen Torrano que firmará junto a Fran Ramírez el libro de "Machine Learning aplicado a Ciberseguridad" y para terminar el gran David Melendez con su "Best Seller" Hacking con Drones: Love is in the air"

Como os he dicho, podéis pedir vuestros libros, packs, pegatinas, camisetas, cómics, etcétera por anticipado contactando con info@0xWord.comy tenerlo listo para recoger allí mismo, y si lo quieres firmado, puedes pedirlo por anticipado y no tendrás que hacer ninguna cola para ello. Nos vemos en la RootedCON.

Saludos Malignos!


martes, marzo 19, 2019

Cómo crear un servicio de reconocimiento OCR con Cognitive Services de Visión Artificial en Google Cloud

Mi compañero Lucas, del equipo de Ideas Locas de mi unidad, ha participado en una LUCA Talk de las que hacemos en la unidad LUCA de Big Data & AI - valga la redundancia - para explicar a desarrolladores cómo se puede crear un servicio en cloud para tener un reconocimiento de caracteres OCR que se pueda utilizar en cualquier procesado de datos no estructurados basados en documentos escaneados.

Figura 1: Cómo crear un servicio de reconocimiento OCR con
Cognitive Services de Visión Artificial en Google Cloud

Dentro del proceso de digitalización de documentos físicos, el procesado OCR de documentos es una pieza fundamental. Permite digitalizar el archivo de una compañía y hacer que los datos almacenados en esos documentos físicos pasen a ser parte de las bases de datos de la organización. Esto permite que se puedan procesar y tomar decisiones en base a la información que contienen.


Figura 2: LUCA Talk de cómo crear un servicio OCR con Google Cloud

De cómo hacer esto con Google Cloud utilizando los servicios de cognitivos de Visión Artificial ha hablado durante esta sesión de poco más de media hora nuestro compañero. Si quieres aprender cómo hacerlo tú mismo paso a paso, puedes verlo en el vídeo.

Saludos Malignos!

lunes, marzo 18, 2019

SocialFish2.0: Nueva herramienta para concienciar contra el Phishing

Ya hemos hablado en otras ocasiones sobre el cómo medir la concienciación y la cultura de seguridad en una empresa. Es algo complejo, nada sencillo, ya que depende de las personas, depende del mimo que la organización haya dado a los empleados y la formación, concienciación y conocimientos que fluyen hacia éstos. Nosotros hicimos, allá por el 2016, una herramienta a la que llamamos SAPPO y que permite medir este tipo de datos tan interesantes para poder dilucidar si vamos por el buen camino.

Figura 1: SocialFish2.0: Nueva herramienta para concienciar contra el Phishing

También hablamos de Weeman, un framework para generar phishing de forma automática y poder evaluar si los empleados de una organización caen ante este tipo de pruebas en un Ethical Hacking. Otro ejemplo es cómo la inteligencia artificial entra en el mundo de la ciberseguridad con Phish.AI. Una herramienta que permite utilizar una IA para detectar sitios que pueden ser phishing e ir aprendiendo sobre esto. Este tipo de evoluciones e integraciones se pueden ver en el libro de Machine Learning aplicado a Ciberseguridad de 0xWord.

Figura 2: Machine Learning aplicado a Ciberseguridad

Hace muy poco tiempo, se ha liberado una nueva herramienta que permite ayudar a llevar a cabo este tipo de pruebas. La herramienta se llama SocialFish y se puede descargar desde su Github. Esta aplicación proporciona un entorno para poder gestionar las “campañas” de concienciación a través de un ataque de phishing. Además, hace seguimiento de lo que se quiere realizar y los resultados de éstos. Es decir, podremos saber qué usuario ha pinchado en el enlace, ha accedido y ha introducido credenciales.

Figura 3: SocialFish en GitHub

Hay dos versiones de esta herramienta. La versión 1.0, es la antigua, y la interacción con la herramienta funciona a través de un script, al más puro estilo Social Engineer Toolkit o setoolkit, quizá una de las más famosas herramientas de ingeniería social en el mundo de la ciberseguridad.

Versión 1.0

La versión 1.0 dispone de diferentes plantillas que nos daban a elegir al ejecutar el script. Hay que indicar que la aplicación se encuentra escrita en flask en la versión 2.0 y tiene PHP en la versión 1.0. Las plantillas que nos daban a elegir, aunque se podía personalizar, son las de Facebook, Google, LinkedIn, Github, StackOverflow o Wordpress. Lógicamente, sitios interesantes para el engaño.

Figura 4: Plantillas de SocialFish

Cuando se configuraba una plantilla y se indicaba a dónde retornar la información de las credenciales que se obtenían se puede ver algo similar a la imagen de a continuación. Hay que tener en cuenta que es un funcionamiento similar al famoso Social Engineer Toolkit.

Figura 5: Sitio web de Phishing para Facebook

A continuación, se puede ver las contraseñas que se pueden obtener desde el sitio anterior. Muy sencillo de crear y de colgar en un dominio real, siempre pensando en la prueba de evaluación de concienciación de los empleados. Lógicamente, en las organizaciones, se suele personalizar las páginas buscando un cebo creíble para generar la confianza con los empleados con menor concienciación.

Figura 6: Log con accesos al sitio de phishing y credenciales capturadas

El funcionamiento de esta versión se puede ver en el siguiente video de los creadores. Realmente interesante como alternativa este tipo de herramienta.


Figura 7: Demo de SocialFish v1.0

Versión 2.0

La aparición de la versión 2.0 de SocialFish trae un lavado de cara importante. Desde el uso de un nuevo lenguaje, como es Flask, a la posibilidad de poder manejar la herramienta desde una atractiva página web.

La instalación de SocialFish puede traer un quebradero de cabeza, aunque si partimos de una distribución Kali Linux no debería ser así. Los requisitos que nos marcan son varios, desde el uso de Python 3.6 o superior a usar pip3. Además, tiene un largo número de dependencias que son incluidas en el fichero requirements.txt que se puede encontrar en el repositorio. Al final, todo se reduce a ejecutar python3 -m pip install -r requirements.txt para que las dependencias sean instaladas.

Figura 8: Libro de Pentesting con Kali Linux

Una vez todo está listo, debemos ejecutar Python3 SocialFish.py [user] [pass]. Esto ejecuta la aplicación web y levanta un servicio en el puerto 5000. Cuando nos conectamos a ese puerto con un navegador web veremos una página como la que se muestra, dónde debemos introducir el usuario y contraseña generado anteriormente.

Figura 9: Login en SocialFish v2.0

Una vez se accede a la aplicación nos encontramos con un aspecto como el que se puede ver en la siguiente imagen. Aspecto limpio, claro y de uso sencillo. Hay un apartado dónde se indica el sitio a clonar y a dónde realizar la redirección. Además, vemos una especide de dashboard dónde podemos ver los datos que se van recopilando:
  • Clics que se han hecho sobre el recurso fake.
  • Visitantes que no hicieron clic.
  • Credenciales capturadas.
  • Número de phishings realizados.
Además, de este dashboard web que vemos en la figura siguiente, SocialFish v2.0 también dispone de aplicación móvil para llevar a cabo el seguimiento y el lanzamiento de ataques.

Figura 10: Dashboard Web de SocialFish v2.0

En el siguiente Github se puede encontrar la app móvil de SocialFish. El aspecto es similar al que se puede ver en la imagen siguiente.

Figura 11: App movil de SocialFish v2.0

Sin duda, SocialFish es una aplicación que tiene recorrido y que puede crecer mucho. Ahora mismo, goza de gran apariencia, aunque la funcionalidad se limita a un phishing y seguimiento básico de éste. Puede que en próximas versiones veamos mayor número de funcionalidades que puedan aportar diferentes pruebas basadas en ingeniería social y que permita medir la concienciación de los empleados.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

domingo, marzo 17, 2019

Un domingo por la noche cualquiera

Es domingo por la noche. Un domingo por la noche más. Una noche más de otro domingo que cierra una semana. El comienzo de una nueva semana de trabajo. Tengo el estómago atenazado. Otra vez. No puedo cenar tranquilo. No tengo hambre. No puedo ver una película. Es muy larga. Más de hora y media de duración. Dónde estarán las películas al estilo Ramones cuando las necesitas. Es mucho tiempo para invertir en ocio. Tengo que descansar. Ya he limpiado las armas. Tengo que prepararme. Tengo que aprovechar las horas de sueño que tengo hasta que comience el lunes. Un lunes más. Detrás de un domingo más. Un lunes con muchas cosas. Cosas que me he auto impuesto yo. Pero muchas. Como siempre.

Figura 1: Un domingo por la noche cualquiera

Los viernes solía terminar el día diciendo eso de “qué pedazo de semana”. Siempre tenía la sensación de que había hecho muchas cosas. Y volvía a decir lo mismo el viernes siguiente. Después de haber hecho mil cosas. Avanzado muchos proyectos. Dado muchas charlas. Peleado todo lo que había que pelear. Como los perros peleones. Que yo no me escatimo una pelea. No hay pelea demasiado grande si mi cabeza dice que merece la pena el objetivo. Y decía lo mismo el viernes. Una semana más en la que habría viajado muchos kilómetros. En aquel tiempo cada semana me parecía especial e intensa. Hasta que me di cuenta de que terminaba todos los viernes por la noche igual de destrozado. Y diciendo exactamente lo mismo: “qué pedazo de semana”.

Es verdad que la edad ha hecho que cambie la forma en que afronto los días de la semana. Es verdad que ahora vivo más apretado entre semana. Que disfruto mucho más los lunes, los martes, los miércoles y los jueves. Que los exprimo una décima más en cada curva. Con "Los niños perdidos", con "Los 50 chuletones de Grey", con más bici y más carreras, con más series de ciencia ficción, con más superhéroes, música y risas. Sacando un poco más de cada semana. Con cenas, vino, pedales y risas. Muchas más risas. Que descubrí hace algo de tiempo que la vida no es una función discreta que se vive cada cinco días de trabajo.

Pero aún así, cuando llegan los viernes sigo diciendo eso de "qué pedazo de semana". Desde hace muchos años.  Desde que me movía en espiral por el mundo en mi pequeña Informática 64, hasta hoy en día donde el mundo se me ha hecho un poco más pequeño. Sigo exprimiendo cada semana como si fuera la última. Al final, ¿quién sabe?, podría serlo.

Y llegan los viernes. Esos viernes. Siempre fueron los días que más me gustaron. Porque llego con los deberes hechos. Con la semana cumplida. Con la batería gastada. Con el cerebro saturado. Hecho fosfatina. Con ganas de no pensar. Cansado como un gato que ha tenido que correr mucho para salvar el pellejo. Hambriento. Como un perro mojado, sucio y débil que ha correteado por el mundo siendo un callejero. Muerto de hambre. Muerto de energía. Un viernes para ir a morir en la cama.  Para morir con vino o con cerveza. Y caer inconsciente unas horas en los brazos de Morfeo. Las horas en que mi muñeco es capaz de vivir perdiendo el control.

Un viernes para que me regañen por no cuidarme. Para que se metan conmigo los amigos, que me envían mensajes y fotos mientras preparan el esquí por la montaña o los saltos por el monte con la bici. Para que me hablaran de árboles y de ardillas. De relax. De albariño. De casas perdidas en el campo. De viajes en los que no me voy a tener que poner el gorro. De esos en los que las mañanas empiezan muy tarde. De cómo hay que acompasar la respiración para relajarse. O decido esconderme y sentarme en soledad a ver una serie. Una buena o una mala, que más da. Hasta Dirk Gently me vale. Y tomar cervezas hasta cerrar los ojos en el sofá mientras el mundo se apaga ahí fuera. Y yo solo quiero poner en modo stand-by para volver a la acción. O para dejarme machacar por Mi Hacker y Mi Survivor a lo que ellas quieran.

Pero los domingos son distintos. La batería se ha cargado todo lo que puede cargarse en un móvil viejo. Al sesenta o setenta por ciento. No da para más la pila cuando la has gastado tanto. Pero llega otra semana por delante. Con muchas decisiones. Con muchas batallas en las que pelear. De explorador. De ser el alférez al que se le fuerza voluntario para la misión suicida con un grupo de mercenarios que darían su brazo y su sangre por él. O de ser el primer violín que debe actuar en la Ópera de Viena delante de público y crítica. O simplemente un zapador que va desactivando minas a escondidas al tiempo que pone otras. Una semana nueva. Con muchos días. Con muchas horas. Con muchos kilómetros por delante.

Y no duermo esas noches de domingo. Nada. Y doy vueltas en la cama. Muchas. Y me duele el estómago. Hasta agarrarme las cicatrices que pueblan mi cuerpo. Y mi cuerpo se tensa. Se estira más allá de lo que quiero. Por fuera y por dentro. Me retuerzo en los pensamientos. En los planes. En los datos que acumulé la semana anterior y que el viernes comprimí al desconectar mi cerebro. En analizar situaciones al detalle. En darle una vuelta más al tablero de ajedrez. Del derecho y del revés. A ver lo que significa esa palabra dicha. Ese cuadro que me han pintado. Ver la foto por detrás. Encontrar la trampa en la pantalla de esta fase del Manic Mansion. Un vistazo de nuevo antes de cruzar la puerta en esta fase del Quake II. Viendo si merece la pena correr o acechar. Repasando los discursos dichos y por decir.

Y cierro los ojos. Para dormir. Para no ver nada. Pero veo más que nunca. Dentro de mi cerebro hay luz y taquígrafos repasando toda la información. Todos los papeles de la trama. El argumento de esa temporada tres de True Detective. Y estoy tumbado. Pero mi corazón corre como si estuviera dando pedales por el monte. Y salto, pero sin moverme. Solo para caer del revés en el mismo sitio. Me destroza las entrañas. Maldito estrés. Malditos nervios. Me siento como un piloto de Formula 1 esperando que se apague el semáforo. Quiero salir a pista ya.

E intento pensar en cosas bonitas para pasar esa página que ya he garabateado en mi cerebro. Me fuerzo a ello. A pensar en un rato divertido sobre los patines. En esa canción que me gusta. Esa secreta que solo me gusta a mí y no he compartido en Instagram. En un descenso sin matarme con la tabla de snowboard por la nieve. En el sol dándome en los ojos cuando subo la cuesta de la Casa de Campo de Madrid buscando ese límite que sé que está tan cerca. En ese libro que me canse los ojos y la mente. Y me dé reposo. Relax. Energía para quemar la semana que entra. Y me veo bajando con mi monopatín por la rampa del edificio central para terminar en la oscuridad en la que estoy ahora. Y enciendo la luz solo para ver que ya hace un par de horas que es lunes. Y que me queda poco tiempo para descansar. Y me enfado. ¿Por qué no estás aquí cuando lo necesito?

Y me enfado mucho. Me enfado porque voy a estar lento. Como Homer. Y no puedo permitírmelo. Necesito estar fuerte esta semana. Como la anterior. Y la anterior. Y la siguiente. Y busco un libro. O un cómic. O algo que cierre ese cerebro que se enciende los domingos noche. Que no deja de pensar en los detalles. En lo bueno y en lo malo. Que tiene clarividencia cuando más oscura es la noche de ese domingo. Lo anota todo. Todos los detalles. Y revisa las notas del pasado. Y revisa los detalles con minuciosidad. Y lo ve. Y quiere que llegue el lunes ya para hacerlo. Para tener en la mano el mando de mis actos. Para tener el teclado sobre las piernas y escribir letras una tras otra en un largo texto. O en un corto mensaje. O poder llamar por teléfono sin que piensen que estoy loco.

Y comienza el lunes. Pronto. Muy pronto. A esas seis de la mañana que marcan el reloj de mis biorritmos. Con una ducha larga. Con un café amargo. Busco la musa de las letras para que me inspire. Bajo el agua. De agua caliente. Mi cerebro se ha encendido. Está a tope. A mil. Está iluminado como el Condensador de Fluzo. Las mañanas son suyas. Son su momento. El café lo activó. De un salto. Y la noche del domingo ya no existe. Comienza la carrera para llegar al viernes. Para decir en meta eso de "qué pedazo de semana".  Pero... ya no me quejo. Esta es mi vida. Y me gusta.

Saludos Malignos!

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares