lunes, abril 30, 2012

¿Realidad o Especulación?

Se supone que en el mundo hay miles de millones de personas, personas pertenecientes a distintos países en los que se habla de la “situación actual” por la que atraviesa cada uno de éstos; se habla de la población, la economía, la inseguridad, avances tecnológicos, educación, etc… Lo cierto es que en cada uno de los países no se habla de la situación actual real en la que se encuentran, y la mayoría de nosotros vivimos pensando que lo que el gobierno o personas importantes exponen es la verdad, hasta que alguien se interesa por investigar más allá de lo que se dice y verlo por sí mismo, o hasta que ocurre un desastre y se nos informa de que lo que creíamos no era cierto y las cosas eran mucho más graves, entonces descubrimos que en realidad existen muchas irregularidades en todos esos informes y estadísticas.

Explicaré lo anterior de una forma más comprensible: Somos parte de una red de redes, WAN, MAN y LAN (si lo quieren ver así). En cada una de éstas la mayoría de los usuarios ven sólo datos superficiales, datos generales que se observan fácilmente en cualquier host, hasta que alguno de nosotros se interesa por conocer datos más específicos y reales en las redes, equipos o archivos, y utilizamos un potente antivirus, algún extractor de datos (Obviamente sabemos que los mejores para esto son FOCA y Forensic FOCA) o algún otro programa, el necesario para hacer lo que queramos; entonces descubrimos muchos aspectos y datos que no se ven a simple vista; una vez que sabemos en qué situación se encuentra nuestra red, equipo, etc.. Procedemos a utilizar la información obtenida o realizar acciones para modificar y posiblemente mejorar la situación.

Entonces, retomando el tema de lo que se habla en cada país; una vez que alguien se da cuenta de que la realidad es muy diferente a lo que se creía, y que existen muchos problemas que deben ser tratados para erradicarlos y así evitar que se conviertan en un problema mayor, generalmente no se realizan acciones para mejorar, las personas simplemente ignoran el problema hasta que cada vez se vuelve más notorio y destructivo, ese problema lleva a otro y ese a otro y así hasta que es muy difícil terminar con ellos.

Por eso cuando se identifica un problema en la sociedad, es necesario terminar con él desde el momento en que nos damos cuenta de que existe; lamentablemente una sola persona puede hacer muy poco para solucionar un problema que es de muchos pero que nadie quiere reconocer… Lo digo por mi propia experiencia, ya que hace 4 meses me di a la tarea de iniciar un proyecto de tecnología para mejorar la calidad de vida de las personas en comunidades consideradas con alto grado de marginación (comunidades habitadas por personas que no cuentan con los recursos necesarios para vivir adecuadamente, personas con pobreza) en el estado de Guanajuato en México; pero los resultados del proyecto hasta ahora son muy desfavorables, ya que yo no cuento con los recursos necesarios para llevarlo a cabo y he recurrido a muchas personas e instituciones para pedir apoyo, pero prefieren evadirme o alejarme contestando simplemente con: “no se puede”; ¿acaso no hay personas que quieran ayudar y que quieran cambiar la situación del país? Es una pregunta que me he estado haciendo en estos últimos días…

Soy estudiante de la Universidad Tecnológica del Suroeste de Guanajuato y me dieron la oportunidad de que mi proyecto de tesis fuera en una comunidad (lo que es poco común), sabía que sería difícil pero no contaba con que nadie quisiera apoyarme. Mi proyecto consiste en crear un centro de cómputo con acceso a Internet en la comunidad llamada Botija (que se encuentra en el municipio de Valle de Santiago en el estado de Guanajuato), que permita: Incidir en el rendimiento escolar y desarrollo humano de los usuarios de los servicios, generar opciones productivas mediante cursos y talleres mediante la tecnología y brindar un espacio cultural y de conocimiento universal a los habitantes de Botija y comunidades aledañas.

En esta comunidad las personas no cuentan con acceso a Internet y para los estudiantes y personas en general es muy complicado trasladarse hasta otro lugar donde sí se cuenta con este servicio, ya que no cuentan con recursos y dinero necesarios, lo que hace que muchos jóvenes y niños abandonen sus estudios; y a falta de oportunidades esos jóvenes dedicarán su vida a trabajar en el campo, o a la delincuencia para obtener recursos que los ayuden a sobrevivir.

Como ya dije, un problema lleva a otro y a otro hasta que se convierte en algo casi imposible de detener. En esta comunidad tampoco se cuenta con líneas telefónicas lo que hace más difícil que se pueda tener acceso a Internet, he recurrido a varias empresas proveedoras de Internet en el país (desde la más importante hasta la menos conocida) pero cada persona con la que hablo me dice simplemente que como no hay líneas de teléfono, no se puede tener Internet, me pregunto si para esas empresas reconocidas internacionalmente y consideradas de las que obtienen más ganancias en todo el mundo, es muy difícil llevar Internet a una comunidad que lo necesita.

Necesito ayuda para que este proyecto sea una realidad, hasta ahora nadie ha querido apoyar con el servicio de Internet (¡y no estoy pidiendo que sea gratis! sólo quiero que lo lleven hasta esa comunidad, las comunidades cercanas también se beneficiarán) tampoco he encontrado quien apoye con recurso económico o en especie para los equipos, todos los necesarios para el centro de cómputo (pueden ser nuevos o seminuevos) todo lo que quiero es mejorar la vida de esas personas, personas que nadie más ve hasta que se hace una investigación a fondo de la realidad del país.

Estoy segura de que no soy la única que quiere hacer un cambio y ayudar a mejorar, por eso sigo buscando a más personas como yo que estén dispuestas a apoyar a una buena causa que mejorará la educación y evitará muchos problemas en el futuro de más pobreza, rezago educativo, rezago tecnológico, y delincuencia.

Quiero agradecer a Chema Alonso por permitir la publicación de este artículo y si alguno de ustedes desea saber más sobre este proyecto y apoyar estos son mis datos:

Verónica Ramírez R. estudiante de la Universidad Tecnológica del Suroeste de Guanajuato, e-mail: veronica_rrz@hotmail.com

domingo, abril 29, 2012

Man in the Middle en redes IPv4 por medio de IPv6

En la última sesión del viernes en el SOCtano, estuvimos definiendo los ataques que va a incorporar la herramienta Evil FOCA, y entre ellos, estuvimos hablando de cómo conseguir enrutar tráfico IPv4 a través de un ataque Man in the middle IPv6. Para ello, el primer punto es deshabilitar el protocolo IPv4 y conseguir que el algoritmo de precedencia haga el resto  se reenvíe el tráfico por la conexión IPv6

¿Cómo conseguir pasar el tráfico a IPv6?

El problema inicial se da cuando la conexión desde el cliente se hace contra una dirección de Internet IPv4, por lo que la conexión se va a hacer por IPv4 buscando el gateway, que también está en IPv4, por lo cual nuestro ataque man in the middle IPv6 no conseguirá capturar el tráfico.

Paso 1: Anular IPv4

El primer paso consiste en desactivar el tráfico IPv4 de la ecuación, para lo que, si el cliente no tiene ninguna protección tipo Marmita o PatriotNG, bastará con enviar un paquete ARP que configure una dirección MAC falsa a la dirección IP del gateway en el cliente. Esto, si todo va bien, dejará al equipo sin conectividad con el gateway, lo que le hará al sistema evaluar la posibilidad de IPv6

Paso 2: Configurar IPv6 en el cliente con Rogue DHCPv6

En segundo lugar habrá que establecer en el cliente una configuración IPv6 que nos sea de utilidad. Si tenemos un servidor Rogue DHCPv6 podremos hacer que el cliente obtenga todo lo necesario de este esquema de ataque:
- Una dirección IPv6 válida
- Una dirección IPv6 de un gateway para la red IPv6
- Las direcciones de los servidores DNSv6
Figura 1: DHCPv6 en Windows Server 2008
Para hacer esto, cualquier servidor Windows Server 2008 o Windows Server 2008 R2 nos permitirá configurar un servidor DHCP para IPv6 y preparar toda la configuración en el equipo víctima para hacer el ataque. Cómo configurar esto se explica en el libro "Ataques de Redes de Datos IPv4 e IPv6"

Paso 3: Configurar IPv6 en el cliente con SLAAC e IPv6 DNS AutoDiscovery 

Otra alternativa sería usar el servicio SLAAC (Stateless Address Auto Configurator) para poder configurar la dirección IPv6 y la dirección del gateway, para que el tráfico IPv6 sea enviado a la máquina del atacante. Sin embargo, el protocolo SLAAC no permite configurar valores como los servidores DNS, algo que complica mucho el esquema si el usuario se conecta a Internet usando nombres de dominios, y el servidor DNS está anulado - tras anular la red IPv4 -

Sin embargo, uno de los servicios de IPv6 que está implementado en las máquinas Windows - no he probado en Linux aún, pero supongo que será similar - es el servicio IPv6 DNS Autodiscovery, propuesto por el Network Working Group del IETF, por el que se realizan peticiones IPv6 a tres direcciones IPv6 fijas para encontrar servidores DNS en la red IPv6.

Figura 2: Ping a un dominio no existente desde un equipo con IPv4 anulado

Para probar esto, basta con hacer un ping a un nombre en la red IPv6 e interceptar el tráfico en el gateway, para ver cómo, en una máquina en la que está anulado IPv4, se lanzan peticiones DNS a las direcciones IPv6 fijas y reservadas, aunque no están configuradas en el cliente.

Figura 3: Peticiones DNS a servidores IPv6 fijados

Las direcciones que se utilizan son las que se ven en la siguiente captura de pantalla, por lo que si se quiere hacer el ataque habría que spoofear esas direcciones para que apunten a la/s maquina/s del atacante. Por supuesto, el documento del IETF se habla en la última sección de las implicaciones de seguridad que puede haber en una red en la que no se haga uso de técnicas para autenticar de manera robusta las direcciones IPv6.

Paso 4: Enrutar el tráfico IPv6 a IPv4 e IPv4 a IPv6

Para lograr que el cliente envíe todo su tráfico con IPv6, tenemos que lograr que toda la resolución de direcciones se haga en formato IPv6, así que hay que contar un servicio DNS64, es decir, un servidor DNS que escuche por IPv6, solicite las queries recursivas por IPv4 y devuelva las respuestas en formato de direcciones IPv4 sobre IPv6.

Figura 4: Esquema de enrutamiento de tráfico IPv4 a IPv6 controlando DNS y Gateway en IPv6

Esto, como se muestra en el esquema hará que las direcciones de servidores IPv4 tengan formato IPv6 y se envíen al gateway IPv6, donde el atacante deberá configurar un servicio NAT64 para enrutar el tráfico por Internet - a través del router IPv4 de la propia red -.

Puedes conocer más sobre esquemas de ataques en red en el libro Ataques en Redes de datos IPv4 e IPv6, y, por supuesto, todo esto se podrá implementar con nuestra querida Evil FOCA.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6 ***************************************************************************************************

sábado, abril 28, 2012

Google FeedFetcher como arma de destrucción masiva

Ya hace tiempo que le dedicamos Enrique Rando, algunos alumnos del Master de Seguridad de la UEM y yo un tiempo a jugar usando los Buscadores como arma de destrucción masiva, así que cuando he leído la entrada de hackplayers sobre cómo hacer un D.O.S. utilizando Google, me he ido a leerme la historia completa de cabeza.

El resumen de la historia es bastante peculiar e interesante. Resulta que Google tiene un agente, que no es el famoso bot de indexación GoogleBot, que se utiliza para la recolección de feeds XML en servicios como Google Reader, al que se ha denominado Google FeedFetcher.

Este bot está pensado para recolectar el contenido de URLs y mostrárselas al usuario a través de un lector XML. Sin embargo, el comportamiento es que lo que se obtiene a través de este bot no se incluye directamente en los índices del buscador, por lo que no tiene que preocuparse y por lo tanto no lo hace, del incomprendido funcionamiento de los robots.txt.

Esto quiere decir que si un usuario hiciera una lista de todas las URLs de un sitio y las metiera en un feed XML al que se suscribiera, haría descargarse todo el sitio a Google FeedFetcher. Una vez descargado todo el sitio, Google Reader cachea los contenidos, como vimos en el artículo de Puedes borrar tu blog, pero Google Reader guarda el feed.

Sin embargo, como descubrió este profesor de universidad, Google FeedFetcher también se utiliza para descargar contenido público enlazado desde servicios privados de usuarios, es decir, por ejemplo una hoja de cálculo en Google Docs que cargue un imagen desde una URL. Como este contenido no se cachea, Google FeedFetcher cada cierto tiempo va a volver a solicitar esa imagen al servidor.

De esta sencilla forma, creando una hoja de cálculo manipulada en Google Docs con carga de contenido remoto de un sitio, Google FeedFetcher estará descargando las URLs generando grandes cantidades de tráfico y costes en servicios de pago por uso de ancho de banda.

Figura 1: La factura de Amazon del profesor que se hizo su ataque vía Google DOCs

Lo curioso de este comportamiento es que los feeds XML manipulados, pueden convertirse en una buena arma de destrucción masiva si los bots no tienen límites adecuados o cacheo de contenido, ya que haciendo uso de Servicios de publicación masiva de Feeds, como por ejemplo Total Ping, un atacante podría crear un feed XML que cargase las URLs más pesadas de un sitio. Después lo publica en una URL de Internet y lo da de alta en Total Ping, generando que muchos bots automáticamente descarguen el contenido. 

Figura 2: Agregadores en los que Total Ping da de alta el feed XML

Para conseguir que aún sea más divertido, podría dar de alta varios feeds XML maliciosos apuntando a contenido del mismo objetivo, e ir rotando continuamente las URLs para que el bot que hace el crawling siempre lo perciba actualizado. Si el objetivo tiene una web de pago por uso de ancho de banda, seguro que no le hace mucha gracia.

Saludos Malignos!

Aprende más sobre esto en el libro: Hacking con Buscadores: Google, Bing & Shodan

viernes, abril 27, 2012

No Lusers 130: 10 días para el día señalado


Parece que la fecha se aproxima, y aunque en este mundo todo puede cambiar de un momento a otro, parece que el día señalado para que vuelva el héroe es el 7 de Mayo. Supongo que muchos estaréis tan ansiosos como yo, pero es que "su majestá el artizta" no me ha dejado ver nada de nada. Que si la pureza de la obra, que si la expectación, que si te va a gustar más si lo ves acabado, que si... leches.

Tengo hasta pesadillas, la emoción me impide ver, y él ahí, encerrado en su Palacio, cancelando la agenda de visitas de mandatarios que tenía encoladas, y nada... yo sin ver nada. Tanto que hasta dibujo a Cálico Electónico por los rincones, en mis presentaciones, en mi mente, en mi cárcel. Todo el rato igual, Cálico, Cálico, 23, Cálico, 23, 23... 

Quedan 10 días, 240 horas, y las voy a contar una tras otra, tic... tac... segundo a segundo, tic... 

Saludos Malignos!

jueves, abril 26, 2012

Análisis Forense de metadatos: Ejemplos ejemplares

Uno de los capítulos del libro de Análisis Forense en Windows se centra en la evaluación y análisis de cada uno de los tipos de archivos que aparezcan en la franja temporal de interés en el caso. Para ello, tras generar el Time-Line de documentos modificados, creados, borrados, impresos, etcétera, es necesario pararse a evaluar qué información puede extraerse de cada uno de ellos. Esa fue la motivación principal que nos llevó a crear MetaShield Forensics y generar un time-line dinámico generado sólo con los metadatos descubiertos en un fichero. 

Para ilustrar la importancia de los metadatos en un caso forense, recolecté una serie de incidentes de todo tipo en los que los metadatos son parte protagonista de la historia, y los usé para impartir una charla sobre Análisis Forense de Metadatos.

Ejemplo 1: Word bytes Tony Blair in the butt:

Tony Blair presentó un documento y afirmó que no lo habían editado. La información de los metadatos demostró como personal de su equipo lo había copiado, editado, etcétera.


Ejemplo 2: El programa electoral del PP

Se publicó en PDF. El análisis de los metadatos mostraba un título del que se había copiado el documento y que los datos de la persona que había publicado el documento. Un becario de las FAES.


Ejemplo 3: La ministra de la SGAE

Desde Security By Default analizaron los documentos de la sociedad DAMA, donde trabajaba la ministra Sinde. En los documentos se pudo leer que el propietario de las licencias era la SGAE, lo que dejaba a las claras la relación entre Dama y SGAE.


Ejemplo 4: La piratería de software en una empresa

Analizando los metadatos de los documentos se pueden sacar versiones de software utilizadas internamente. Si la compañía no tiene esas licencias puede ser un escándalo. Yo revisé con FOCA el software de la SGAE.


Ejemplo 5: El pliego de condiciones del ayuntamiento de Leganés

Un pliego de condiciones de un concurso fue adjudicado a una empresa. Cuando se analizaron los metadatos del documento que recogía las condiciones del concurso se pudo comprobar que el creador del mismo pertenecía a la empresa que ganó el concurso.


Ejemplo 6: El pliego de condiciones del Plan de Movilidad del Valle de Egüés

Más de lo mismo. El pliego de condiciones había sido escrito por personal de la empresa adjudicataria del mismo, y un documento en Word guardó estos datos en la creación.


Ejemplo 7: El hacker anonymous

El caso de Alex Tapanaris saltó a las noticias. En pleno momento de popularidad de anonymous, una de las notas de prensa de AnonOps mostraba en los metadatos un nombre Alex Tapanaris. Ese nombre apuntaba a un diseñador gráfico, del que analizando los metadatos de su web se podía leer un nickname t4pan. De ahí, a dar con su persona y acabar detenido fue cuestión de poco tiempo.


Ejemplo 8: La foto del alijo de Maria

No eran muchas bolsas, pero que apareciera una foto con droga en la que se publicaba la ubicación GPS de donde se estaba guardando fue muy gracioso.


Ejemplo 9: El escote de la novia del hacker

Caso similar con una fotografía de la novia de un defacer en Facebook que contenía información GPS de dónde se había tomado, y llevó al FBI a detenerlo.


Ejemplo 10: El asesinato como suicidio

Este no es un caso real, sino una prueba de concepto que se usa para recalcar la resolución de un asesinato mirando las fechas de modificación de un documento. Si la nota de suicidio está modificada después de la hora de la muerte es, por lo menos, sospechoso.


Ejemplo 11: La operación Aurora y las cadenas de texto en el malware

Los analistas de malware buscan siempre los metadatos y las cadenas en los binarios. Esa información puede llevar, como cuenta Mikko Hypponen a detener a un criminal en rusia por su matrícula, o conocer que Google estaba bajo un APT con nombre propio: Operación Aurora.  Por supuesto, las cadenas de texto que aparecieron en Stuxnet dieron mucho que hablar a la hora de determinar el origen del ataque.


Ejemplo 12: El ataque dirigido por pendrive

Uno de los usos clásicos de FOCA es el de pintar un mapa interno de la organización para conocer el software que usa cada empleado, con qué servidores trabaja y plantear un ataque dirigido. Hay que tener en cuenta que el Pentagono reconoció un ataque mediante pendrive como uno de los peores.


Ejemplo 13: El ataque dirigido con ingenio

Que los metadatos dan mucha información del personal interno de la organización es conocido y clave para preparar ataques de ingeniería social. En este caso, conocer quién crea un documento PDF podría ser utilizado para engañar al webmaster y colar un PDF con malware como una nueva versión del documento.


Ejemplo 14: El caso de la CENATIC y el apoyo al SW Libre

Que la CENATIC, organismo de referencia en el uso del Software Libre, publicara un documento escrito con Mac OS X y Apple Keynote, no habló muy bien de ser la referencia en el uso de software de fuentes abiertas.


Ejemplo 15: La guía de instalación de Linux... escrita en Word

Algo similar ocurrió/ocurre con la Guía de Instalación de Linux, en la que en el título se podría ver a las claras cómo era un documento escrito con Microsoft Word. ¿Tendrían la licencia?


Ejemplo 16: Seguir los pasos de personas por los metadatos de sus fotografías

Las redes sociales permiten publicar fotografías desde dispositivos móviles. Estos últimos vienen incorporados con un GPS y en las fotos quedan guardados. Usando programas como FOCA o  Creepy es posible seguir los movimientos de personas desde los datos de sus redes sociales.

- Creppy Data
- Cómo localizar a usuarios de flickr y Twitter a través de sus fotos
- Follow and meet Steve Wozniak

Ejemplo 17: Ocultando una webshell en los metadatos

La idea es que una fotografía del sistema puede llegar a contener una webshell completa de un servidor web vulnerado, lo que haría muy difícil su localización. Estos ejemplos muestran como:

- Ocultando el backdoor PHP Weevely en los metadatos de un JPG
- Backdoors web en imágenes: mejorando la técnica

Ejemplo 18: El dato del déficit en la Comunidad de Madrid

Desde la Comunidad de Madrid se aseguró que se comunicó el dato de déficit de la Comunidad el viernes, “en cuanto fue definitivo”. Sin embargo los metadatos reflejaban que el documento se creó 4 días antes.

- La Comunidad de Madrid conocía la desviación del déficit cuatro días antes de anunciarlo

Ejemplo 19: El malware Flame y los metadatos

Flame saltó a la luz de la prensa como un ciber arma, o un software para ataques dirigidos. Uno de los módulos de Flame está centrado totalmente en los metadatos, buscando incluso los datos GPS de las fotografías para ubicar la posición del equipo infectado.

- A Flame le importan los metadatos

Ejemplo 20: La trama Gurtel y las facturas falsas en Excel de Orange Market

La Unidad de Delitos Económicos y Fiscales (UDEF) que investiga la trama Gurtel, acreditó que 200.000 € en tres facturas hechas en Excel eran falsas porque, a pesar de tener meses de distancia entre unas y otras, en los metadatos todas se pudo ver que habían sido creadas con con una diferencia de 3 minutos entre ellas.

- La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel

Ejemplo 21: La filtración del ERE del PSOE por la Ministra de Empleo

El PSOE presentó un Expediente de Regulación de Empleo en el Ministerio de Empleo, y enseguida acabó en la portada de el diario La Razón. Después se descubrió que la filtración había sido generada por la propia Ministra de Empleo y su vocal-asesora, que aparecía como autora del documento doc adjunto.

- La filtración del ERE del PSOE filtrada por la Ministra de Empleo

Ejemplo 22: Recuperar cámaras digitales robadas por medio de los metadatos

Stolen Camera Finder es un servicio que permite localizar cámaras robadas por medio de los metadatos que estas graban en fotografías que se publican en Internet. Si el ladrón ha publicado alguna foto hecha con esta cámara y ha publicado la foto sin limpiar los metadatos, puede ser encontrada.

- Stolen Camera Finder: Buscar cámaras digitales robadas por medio de los metadatos

Ejemplo 23: La huida de John McAfee

El fundador de la compañía McAfee se encontraba escondido tras huir de las fuerzas de seguridad, que lo habían declarado "Person of Interest", pero invitó a un periodista a entrevistarle. Se publicó una fotografía en el que estaban los dos... con la información GPS, lo que dejaba a las claras que estaba en Guatemala. Luego intentó justificarlo, pero fue un FAIL.

- John McAfee y los metadatos de un iPhone 4S

Ejemplo 24: Las declaraciones de renta de D. Mariano Rajoy

Tras el escándalo de los papeles del ex-contable del PP, Luis Barcenas, en los que supuestamente D. Mariano Rajoy recibió sobres con dinero B, el presidente del gobierno anunció la publicación de sus declaraciones de Renta y Patrimonio. Cuando fueron publicadas estas no estaban limpias de metadatos y en alguna se mostraban modificaciones un par de horas antes de publicarse.

- Metadatos en la declaración de la renta de D. Mariano Rajoy

Ejemplo 25: Metadatos en justificantes de banca online

Mucho documentos PDF que se ofrecen en aplicaciones web se crean de forma dinámica mediante el uso de componentes. En algunos justificantes de banca online se puede leer el software que se utiliza en ellos.

- Metadatos en justificantes de banca online

Ejemplo 26: Los metadatos en la contabilidad filtrada del Partido Popular

El 8 de Julio de 2013 se filtraron en Internet todos los archivos digitalizados en formato PDF con los documentos que componen la contabilidad del Partido Popular desde el año 1990 al año 2013. Más de 400 documentos en formato PDF que no habían sido limpiados de metadatos. Aquí tienes el análisis con la Forensic FOCA.

- Análisis Forense de los metadatos en la contabilidad filtrada del Partido Popular

Ejemplo 27: El documento confidencial en el caso de la Infanta

Según la revista Interviú, en un documento confidencial que utilizó la defensa de la Infanta para preparar su comparecencia ante el juez, se podía comprobar por medio de los metadatos que éste había sido creado directamente por el propio fiscal anti-corrupción, lo que demostraría que el fiscal ayudaba a la Infanta.

- Los metadatos del documento de Intreviú en el caso Noos

Ejemplo 28: Los metadatos en las empresas líderes de DLP y del IBEX 35

Como parte de un par de estudios, se decidió mirar si las empresas líderes en proyectos de DLP (Data Loss Prevention) según el cuadrante de Gartner y las empresas del IBEX 35 estaban teniendo cuidado con la fuga de metadatos en los documentos publicados en la web. La respuesta fue abrumadoramente no.

- Los metadatos en las empresas líderes en DLP y en el IBEX 35

Ejemplo 29: Los metadatos en el SMS del supuesto pasajero del avión de Malaysia Airlines 370

En Internet apareció un supuesto mensaje SMS enviado por un pasajero que iba en el vuelo perdido de Malaysia Airlines 370. Dicho mensajes llevaba una fotografía negra con la ubicación EXIF de dónde se había tomado y en la que apuntaba a una base militar americana. Todo parece indicar que es una broma de mal gusto, pero aquí está explicado.

- La historia de los metadatos en el mensaje del pasajero del avión perdido de Malaysia Airlines 370 que vino en iPhone 5

Ejemplo 30: El asesino en serie BTK fue descubierto por los metadatos

En una de las cartas que envió el asesino en serie preguntó si podrían seguir el origen en el que había sido utilizado un disquete, a lo que la Policía contesto que no era posible hacer eso. Confiado, el 16 de Febrero de 2005, BTK Killer envió un sobre a una cadena de televisión en el que puso un disquete. Dentro del disquete de 3 1/2" y 1.44 MB se pudo recuperar un fichero borrado en formato Microsoft Word que se le había pasado a BTK Killer por no hacer un borrado seguro de los documentos. El archivo recuperado .DOC tenía metadatos, y se pudieron obtener datos suficientes para poner sobre la mesa un nuevo sospechoso que a la postre sería el asesino.

- El asesino en serie BTK fue descubierto por los metadatos

Ejemplo 31: Asesino descubierto por los metadatos de recarga del smartphone

Un homicida alegaba que estaba durmiendo a la hora en que su mujer fue asesinada. Para justificar mejor su coartada, a la mañana siguiente envió mensajes de texto a su esposa para dejar claro que él no sabía nada de nada. Sin embargo, el análisis forense del smartphone reveló que mientras que él decía que estaba durmiendo, realmente había conectado el terminal al cargar la batería. Acto consciente que no hace nadie dormido.

- Asesino condenado por los metadatos de cargar el smartphone

Ejemplo 32: Sé donde vive tu gato

Proyecto online geoposiciona fotos de gatos en las rede sociales, dejando al descubierto dónde vive cada uno de los dueños de los mininos.

- Más de 20.000 fotos de gatos revelan dónde viven sus dueños en España.

Ejemplo 33: Los clientes de FinFisher

En este caso se consiguió hackear un servidor de la empresa Gamma, responsable del desarrollo de FinFisher, un troyano vendido a gobiernos para realizar intrusiones en equipos bajo autorización judicial. Al recuperar los datos del servidor hackeado se pudo saber el nombre de algunos clientes por los nombres que aparecían en los metadatos de los ficheros adjuntos de algunos documentos.

- Se filtra el código y lo clientes de FinFisher

Ejemplo 34: El ministro Montoro, los metadatos en el informe de Hacienda

Se filtra a los medios de comunicación un argumentario desde el Ministerio de Economía y Hacienda pedido por el juez que investiga al PP para saber si es delito o no lo que ha hecho el Partido Popular. Supuestamente ese argumentario habría sido hecho por un asesor personal del Ministro Montoro - del Partido Popular -.

- El ministro Montoro, los metadatos en el informe de Hacienda y las conspiraciones en tiempo de Elecciones

Ejemplo 35: Un bombardeo de un cuartel general de ISIS por un selfie

Según un comandante de las fuerzas aéreas del ejercito de los Estados Unidos, se pudo localizar la ubicación de un cuartel general de ISIS gracias a la información que se extrajo de un selfie de uno de los miembros del grupo publicado en Internet. Todo apunta a que fueron los metadatos, pero no se confirmó o desmintió el origen de la información.

- Un cuartel general de ISIS descubierto por un selfie en Internet.

Limpieza de Metadatos en Microsoft Office, OpenOffice, Apple iWork y fotos

Todos estos incidentes de seguridad son la muestra de porqué en el Esquema Nacional de Seguridad se habla de tomar medidas claras y contundentes para evitar las fugas de información por metadatos, y esta fue la motivación por la que creamos MetaShield Protector.

MetaShield Protector for Outlook: Limpieza automática de metatados

Si quieres saber más de los metadatos en documentos, además de recomendarte el Libro de Análisis Forense en Windows, puedes leer los siguientes artículos, donde se habla de los riesgos y de las herramientas de limpieza de cada tipo de documento.

- MetaShield 3.0: Cómo funciona la limpieza de metadatos en la empresa
  Vídeo Tutoriales de MetaShield Protector 
- Libro de Pentesting con FOCA
- Metadatos en documentos Microsoft Office
- Metadatos e información oculta en documentos OpenOffice
- Metadatos e información oculta en documentos Apple iWork
- Limpieza de metadatos en fotografías desde Mac OS X

Saludos Malignos!

miércoles, abril 25, 2012

Curso de Análisis Forense de Móviles en Madrid y Pamplona

Durante las dos primeras semanas de Mayo vamos a impartir desde Informática 64 dos formaciones dedicadas al Análisis Forense de Dispositivos Móviles a las que te puedes apuntar. La primera de ellas se realizará en las oficinas de Informática 64 los días 3 y 4 de Mayo, en horario de 09:00 a 14:00 horas, mientras que la segunda formación será los días 09 y 10 de Mayo en Noain (Navarra), con la colaboración del CEIN.

En ambas formaciones se verán los principios fundamentales de un análisis forense de dispositivos móviles, y habrá prácticas especiales con los terminales Android, iPhone, el análisis de información de las tarjetas SIM, y cómo hacer un informe técnico.

En el curso se analizan las características de los terminales con Jailbreak, qué se puede obtener en offline, y online, como se pueden romper los cifrados de protección de los terminales o el funcionamiento de las técnicas de Juice Jacking, entre otros conceptos.

También se hacen prácticas de análisis forense de aplicaciones y demos como la del hijacking de Facebook o Dropbox - que es la que realicé en la charla de Hacking, Ciberguerra y otros palabros - o con cookies de sesión recuperadas de terminales móviles.

Para completar la formación, se utilizan herramientas profesionales para el análisis forense. En Informática64 nosotros utilizamos Oxygen Forensics, por lo que los asistentes podrán comprobar cómo funciona la versión Analyst de este software profesional.

Si quieres apuntarte a una de estas formaciones, tienes toda los datos en los siguientes enlaces:
- 03 y 04 de Mayo: Curso Análisis Forense Dispositivos Móviles Madrid
- 09 y 10 de Mayo: Curso Análisis Forense Dispositivos Móviles Navarra
Saludos Malignos!

martes, abril 24, 2012

Diabólicos FOCA Testers: Consigue tu Evil FOCA

Queridos FOCA Lovers,

La Evil FOCA está avanzando rápidamente para llegar a convertirse en una herramienta mucho más funcional, y ya está casi lista para pasar a las primeras fases de pruebas, así que queremos hacer un programa de FOCA Testers de la Evil FOCA. Actualmente Evil FOCA incorpora las siguientes características:
- Descubrimiento de equipos con Router Advertisement (SLAAC)
- Descubrimiento de equipos con Ping IPv6 multicast (Sólo para Linux)
- Reconocimiento de routers.
- Ataque Man in the Middle IPv6 con Neighbor Advertisement Spoofing
- Ataque D.O.S. IPv6 don ataque storm de Router Advertisement de SLAAC
- Ataque D.O.S. IPv6 con Invalid Mac Spoofing de Default Gateway IPv6
- Reconocimiento pasivo de puertos abiertos de equipos en Man in the middle
- Reconocimiento de sistemas operativos con paquetes ICMPv6
- Reconocimiento de nombres de equipos con LLMNR
- Descubrimiento de equipos IPv4 con ARP-Scan
- Ataque Man in the Middle IPv4 ARP-Spoofing
- Ataque Man in the Middle IPv4 DHCP ACK Injector + IP Forwarding
- Ataque D.O.S. IPv4 con Invalid Mac Spoofing de Default Gateway IPv4
No sabemos aún cómo distribuiremos esta herramienta, ni si será gratuita, de pago, open source, o qué leches, pero lo que sí que sabemos es que de momento vamos a hacer una versión beta/trial de pruebas que vamos a dar sólo a algunas personas.

Figura 1: Aspecto de la versión 0.1.1.0 de la Evil Foca

De momento, como el miércoles 25 e Abril acaba el Talentum Tour en Madrid, en la Universidad Carlos III por la tarde. En esta gira ha sido el lugar donde se ha presentado en sociedad nuestra Evil FOCA, así que ese día vamos a premiar a todos los asistentes con una versión beta/trial de Evil FOCA. No será fácil conseguirla, ya que deberás registrarte para el evento, asistir y pasar por la mesa de registro de Informática64 a la salida, y después te haremos llegar una licencia a tu correo electrónico.

Eso sí, los agraciados deberéis cuidar correctamente a nuestra Evil FOCA, o de lo contrario tendréis que véroslas con nosotros...

Saludos Malignos!

PD: No os preocupéis los demás, que ya abriremos algo más el programa de FOCA Testers }:))

lunes, abril 23, 2012

Hacking, ciberguerra y otros palabros raros

El viernes de la semana pasada tuve el gusto de participar en las conferencias de The App Fest. Cuando me tocó cerrar mi participación estaba un poco justo de tiempo, así que cuando me pidieron un tema sobre el que hablar dije algo como: "No sé, pon algo sobre Hacking, Ciberguerra y otros palabros raros"... y así se quedó el título. La charla que di la tenéis integramente aquí.

Gracias a todos los organizadores, colaboradores del evento, y a los animadores - que además compartían mi tremenda admiración por Rulo Pardo, Santiago Molero y el resto de los componentes de Sexpeare y todas las creaciones y que me dieron la alegría del día al contarme que la obra de teatro de ¡Que pelo más guay! la habían sacado en película.

Saludos Malignos!

domingo, abril 22, 2012

No Lusers 129 - El día M llegó a Mac OS X


El malware para Mac OS X FlashBack Trojan empezó a salir en las noticias el año pasado, cuando por medio de un truco de ingeniería social, simulando ser una actualización de Adobe Flash, se instalaba en los equipos de la manzana. "La culpa es del usuario que se deja engañar", dijeron muchos recordando las primeras respuestas dadas en los primeros años del adware, rogue AV y spyware en sistemas Microsoft Windows.

Luego se empezó a distribuir a través de un par de bugs de Java ya parcheados y los mensajes venidos del pasado decían: "La culpa es de los usuarios que no actualizan", dijeron muchos recordándome las segundas respuestas dadas en los años antes de la aparición de TCI en Microsoft.

Después empezó a utilizar un bug de Java parcheado por Oracle, pero no distribuido por Apple, y alguno dijo que: "La culpa es de Oracle y no de Apple porque el bug era suyo", algo que ya explicaron muy bien en Security By Default e Hispasec.

Mucho Fanboy y ChumChum ha salido a la palestra en los últimos tiempos, cuando la realizad es que si es profitable habrá malware para Mac OS X - como se puede comprobar en el libro del Fraude Online -, no hay que darle más vueltas. Apple ya aceptó que tiene malware, ahora solo tiene que ponerse las pilas y dejar de dar esos mensajes tan "subidos de tono que daba".

Este No Lusers va dedicado a los usuarios de Mac OS X que aceptaron con estoicismo y humor que el día M llegó, y hay que aprender a vivir con ello.

Saludos Malignos!

sábado, abril 21, 2012

Hacking de aplicaciones Lasso (IV de IV)

**************************************************************************************************
- Hacking de aplicaciones Lasso (I de IV)
- Hacking de aplicaciones Lasso (II de IV)
- Hacking de aplicaciones Lasso (III de IV)
- Hacking de aplicaciones Lasso (IV de IV)
**************************************************************************************************

Como se ha podido ver en la parte anterior de esta serie, con el modificador -findall es posible manipular el recordset de igual manera que si fuera una consulta SQL. Dentro de la referencia de comandos de Lasso Script es posible localizar más modificadores con incidencia en el recordset que se va a mostrar en el layout. En esta cuarta parte vamos a ver uno muy curioso.

Modificador Random

Uno de los problemas clásicos en la explotación de ataques SQL Injection es conseguir mostrar muchos resultados en una página en la que sólo se muestra un registro del recordset. Eso es justo lo que habíamos conseguido en el último ejemplo con -findall, es decir, pese a que el recordset devuelve todos los registros, sólo se muestran los datos de una persona.

Se podría jugar con los tokens y hacer filtros para descubrir la manera de recorrer el recordset completamente, pero hay un modificador que devuelve un registro distinto en cada petición, con una lógica aleatoria: El modificador -random.

Figura 18: El modificador -random

Cambiando los resultados

Probando el modificador, es posible irse a páginas web, como la de Mac Talent, una web para catalogar a los profesionales Mac con talento y gestionar trabajo para ellos, y añadir el modificador -random a cualquier ficha que aparezca. 

Figura 19: Sacando datos aleatorios de un layout

En cada petición los resultados son distintos, y en este caso puede verse claramente como el mundo del Black SEO se ha dado ya un paseo por esta web para dejar algún regalito en forma de anuncio de autopatrocinio.

Figura 20: Sacando más datos aleatorios de un layout

Extrayendo los datos de los usuarios

En el caso de la web en la que analizamos el proceso de login, es posible hacer una cosa bastante curiosa que puede ser repetida en sitios en los que se haga una mala gestión de la sesión de usuario. El asunto es que una vez conectado al sistema, al proceder al pago de la factura, se puede poner el modificador -random y cambiar de usuario de manera sencilla.

Figura 21: Usando random para sacar todos los datos de un layout

Este proceso, repetido tantas veces cómo se quiera, podría permitir, no sólo cambiar de cuenta en cada petición, sino que se pudiera extraer, en un layout que muestra un único registro, la información de todo el recorset (si se solicita un número suficiente de veces).

Figura 22: Sacando más datos con random

Saludos Malignos!

**************************************************************************************************
- Hacking de aplicaciones Lasso (I de IV)
- Hacking de aplicaciones Lasso (II de IV)
- Hacking de aplicaciones Lasso (III de IV)
- Hacking de aplicaciones Lasso (IV de IV)
**************************************************************************************************

viernes, abril 20, 2012

La semana que viene eventos para todos... {y hoy}

Hoy, cuando estés leyendo este post, ya estaré en Barcelona, a punto de participar en el Talentum Tour en la Universidad Politécnica de Catalunya. O tal vez, si lo has leído tarde, esté viajando en AVE para llegar a mi charla en el evento AppFest de Madrid. Si se te ha pasado el día, lo mismo me pillas participando en el Curso de Peritaje Forense informático en Arganzuela

Pero en cualquier caso te dejo la lista de eventos que tienes la semana que viene, para que te apuntes al que mejor te cuadre. Como siempre, os pongo [*] en los que yo voy a participar y [G] en aquellos que son gratuitos, para que tengas toda la información a primera vista.
20 Abril [Barcelona] Talentum Tour [*][G]
20 Abril [Madrid] The AppFest [*]
20 Abril [Online] Webcast Project Server 2010 [G]
21 Abril [Arganzuela] Curso Peritaje Forense Informático [*]
23 Abril [Bilbao] Talentum Tour [*][G]
23 Abril [Valencia] Cloud Ready [G]
24 Abril [Valencia] Talentum Tour [*][G]
24 Abril [Móstoles] HOL SQL Server 2012: PowerShell
24 Abril [Barcelona] Cloud Ready [G]
25 Abril [Zaragoza] Cloud Ready [*][G]
25 Abril [Madrid] Talentum Tour [*][G]
25 Abril [Móstoles] HOL SQL Server 2012: Tunning
26 Abril [Madrid] Cloud Ready [*][G]
27 Abril [Burgos] Cloud Ready [G]
Si vas a estar en alguno de los sitios en los que vamos a estar y quieres que te llevemos alguno de los libros de Informática 64, puedes pedírmelo. Si tengo un hueco en la maleta te lo llevo.

Saludos Malignos!

jueves, abril 19, 2012

Captura de ficheros transmitidos por SMB con ataques man in the middle en IPv6 usando Evil FOCA... toma título

Los equipos con Windows Server 2008 R2 y Windows 7 utilizan por defecto, siguiendo el algoritmo que elige entre IPv6 e IPv4 basado en la tabla de precedencias, el protocolo IPv6 para las comunicaciones SMB entre ellos. Debido a esto, algunas veces los ataques ARP-Spoofing para hacer ataques man in the middle en redes IPv4 parecen fallar, pero la explicación es tan simple como que el sistema no está haciendo uso de IPv4 para acceder al servidor SMB.

En la demostración que estoy haciendo en el Talentum Tour con la Evil FOCA, enseño cómo funciona esto por defecto en un entorno mixto con IPv4/IPv6 y se puede ver cómo el cliente y el servidor SMB se comunican por defecto con IPv6.

En esta primera captura se puede ver que Evil FOCA ha descubierto dos equipos que tienen tanto direcciones IPv4 como IPv6 configurado, pero que se ha elegido hacer un ataque man in the middle sólo en IPv6 utilizado un esquema de Neighbor Spoofing con ICMPv6.

Figura 1: Evil FOCA haciendo mitm con Neightbor spoofing

Activamos Wireshark en la máquina del atacante y después, desde el cliente nos conectamos a un recurso SMB en el servidor en el que se accede a un fichero llamado Password.txt en el que, como se puede ver en la previsulación está la contraseña buscada.

Figura 2: Accediendo a un recurso compartido por SMB

Analizando el tráfico capturado en la máquina atacante, podemos ver que todo el tráfico SMB ha sido transmitido sobre IPv6, por lo que se han podido grabar todos los paquetes que forman parte de los ficheros.

Figura 3: Trafico SMB sobre IPv6

Haciendo un seguimiento del flujo TCP es posible, como se ve en la siguiente captura, acceder a los ficheros que se han transmitido.

Figura 4: Ficheros transmitidos por SMB capturados

Para sacar los ficheros lo más molón hubiera sido poder utilizar el componente que desarrollaron para Wireshark nuestros amigos de Taddong, pero parece que no detecta bien los paquetes SMB que van sobre IPv6, por lo que utilizando el "canal de reporte de bugs oficial de Taddong"
 "José, que soy Chema, a ver si arreglamos esto leñe que luego me fallan las demos en las conferencias y esto no puede ser... ¿eh?, Vale, sí ... que sí que os invito a cenar... que sí, que a todos, que  a David y Raúl también...(me va a salir caro el parche). Que sí, que vuestro libro de hacking de comunicaciones móviles se vende muy bien...."
Si quieres aprender más sobre esto, tienes más información en el libro de Ataques en redes de datos IPv4 e IPv6.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
***************************************************************************************************

miércoles, abril 18, 2012

How to impress with FOCA, Connection Strings & Citrix

Me he permitido la osadía de tomarle prestado parte del título al paper que presentaron Alex Sotirov y Mark Dowd sobre cómo saltarse las protecciones de memoria en Windows Vista, para ilustrar la demo con la que quise terminar mi última charla en Troopers.

La gracia de la demostración final era que en esa conferencia había hablado hace dos años de Connection String Attacks, el año pasado de FOCA 2 y ese de Terminal Services y Citrix, y este ejemplo unía todo en una prueba bastante plástica. Este es el step by step.

Paso 1: EnFOCAndo la demo

La primer fase es algo bastante sencillo. Basta con lanzar FOCA sobre un dominio en el que entre los Juicy files aparezca un fichero de cadena de conexión de tipo UDL, como ya vimos en el artículo de Connection String Attacks.

Figura 1: Buscando un fichero UDL con password

Haciendo un poco de hacking con buscadores es posible encontrar fácilmente alguno con password, directamente, lo que nos lo pone todo mucho más sencillo.

Figura 2: La cadena de conexión en el fichero UDL. Copiamos la URL.

Paso 2: Buscando un EXCEL como plataforma base

La segunda parte consiste en buscar algún servidor en el que "tocando el piano" o haciendo jailbreak se pueda llegar a disponer de una aplicación EXCEL para realizar desde allí la demo. Así que se puede hacer algo de fingerprinting o encontrar los ficheros ICA con FOCA.

Figura 3: Un Excel en un servidor Citrix servido vía web

Paso 3: Encadenado el Excel a la base de datos

Una vez que tenemos la aplicación EXCEL en el servidor Citrix (o Terminal Services), el siguiente paso es crear una Conexión de Datos.

Figura 4: Añadir una conexión desde un documento EXCEL

Para hacerlo más chulo, bata con hacer uso del truco de "navegar sin navegador" y pegar la ruta copiada en el paso 1 del fichero UDL en el cuadro de diálogo de la creación de la conexión, concretamente en el nombre del fichero.

Figura 5: Pasándole la URL del fichero UDL al EXCEL

Una vez acabado tendremos la conexión creada.

Figura 6: Conexión entre Excel y la Base de Datos establecida

Paso 4: El truco final

Para terminar sólo hay que ir a las conexiones existentes para comprobar que estamos enlazamos y hacer doble clic sobre ella. Se selecciona la tabla que se desea volcar.

Figura 7: Selección de la tabla a volcar en Excel

Elegimos el formato de presentación:

Figura 8: Formato de la tabla a crear en Excel

Y EXCEL realizará el resto del trabajo volcando todos los datos en un bonito formato de hoja de cálculo.

Figura 9: Datos extraídos y bien formateados

[Applause]

Si todo ha ido bien, es el momento de pedir los aplausos al respetable, que seguro que agradece un buen truco de magia...

Figura 10: Magic happens...

Conclusiones

Esto es sólo una demo curiosa que permite, de forma cómoda, encadenar muchos trucos para explotar un fallo de seguridad. Lo cierto es que la gracia de este ataque está en que, como ya os publiqué en el artículo de Escaneando la red con Connection String y Excel, esto se puede hacer incluso con los servidores de la DMZ, lo que puede ser muy peligroso.

Saludos Malignos!