lunes, agosto 31, 2015

Si eres un adolescente y estás "perdido"... es normal

Desde que empecé a mantener más en serio los contenidos de mi Canal Youtube, una buena cantidad de jóvenes, más aficionados al vídeo que al RSS de lectura, se han puesto en contacto conmigo. Chicos y chicas de entre 15 y 20 años que están indecisos sobre su futuro, o sobre a qué dedicarse, o sobre cuáles son las prioridades en su vida. Algunos, confiesan estar perdidos, o haber perdido un año de su vida por cambio de estudios o por no haber aprovechado su año escolar. Algunos no saben si serán capaces porque les cuesta estudiar o porque les cuesta ser constantes. Es para ellos para los que escribo este artículo.

Figura 1: Si eres adolescente y estás "perdido"... es normal

Recuerdo que yo toqué mi primer ordenador cuando tenía 12 años. Recuerdo que fue ver la película de TRON y enamorarme para siempre de la programación. Me apunté a una academia de barrio - que hace años que dejó de existir - y ya sabía algo. Adoraba la informática y me encantaba estar aprendiendo siempre cosas. 

Figura 2: Los programas, protagonistas en TRON

Aunque paso muy a menudo por delante de la academia en cuestión, para poder ver el local exacto donde se encontraba el aula en la que por primera vez escribí eso de 5 CLS, hay que meterse en un recoveco y este fin de semana lo hice. Me quedé mirándola y le tiré una foto. He pasado tantas veces por delante que no me había dado cuenta de lo "zulo" que era. Sin ventanas, sin luz, parece un almacén. Pero ahí estaban los Amstrad, los dragones, los Sinclair, etc... Ya os lo conté en el artículo "Una aventura de Switches, acumuladores y contadores"

Figura 3: Este local con la puerta verde era el aula de ordenadores de la Academia RUS

Me quedé un rato pensando en cómo, desde aquel día hasta hoy, el camino me había llevado a estar ligado a la informática. Y recordé que no siempre lo tuve tan claro. Sí, es cierto que lo tuve claro con 12 años y también que lo tuve claro con 20 años, pero en una época difícil llamada adolescencia, no lo tuve tan claro... y me perdí en otras cosas.

Me perdí en las fiestas de "Bronxtolex". Me perdí en los botellones. Me perdí en las "acampedos". Me perdí en las conciertos de música cuanto más salvajes mejor. Me perdí en las partidas de mus en el bar y los cigarros al son de una guitarra en unas escaleras. Me perdí en las cañas y los partidos de fútbol en la tele con los amigos. Me perdí en vicios de adolescente que está descubriéndose a sí mismo y el mundo. Y podría haber salido mal.... claro que sí, pero solo fue una fase - y que no recuerdo como algo malo, sino como algo circunstancial -.

[Aquí iba una foto de aquella época loca]
Figura 4: Foto de aquella época que de momento no pongo en el post }:)

De hecho, hubo una época en la que tener algo de dinero más en el bolsillo era más importante que estudiar. En la que tomarse una cerveza más tenía prioridad sobre programar y en la que quedar con chicas era más importante que los estudios. Sí, era un adolescente normal y corriente del montón. Probablemente como tú y muchos más de los que estáis leyendo este artículo. Me metí en problemas, estuve a punto de liarla parda varias veces en cosas que prefiero ni escribir e hice el capullo como esos adolescentes que ves por ahí.  

Luego... me centré. No sé si por la edad, por mi situación personal, porque incluso mis amigos me decían que tenía que seguir estudiando ya que era buen estudiante o porque encontré en mi amigo Rodol - con el que acabaría montando Informática 64 - un compañeros con el que seguir alimentando mi pasión por la informática.

Figura 5: Con mi amigo - y aún socio - Rodol en Informática 64

No sé cuál fue el motivo. Supongo que sería contar con una madre que siempre me apoyaba y empujaba a seguir, o con una necesidad imperiosa de buscarme la vida, con un amigo con el que hacía piña en el mundo de la informática - aunque fuera jugando al Quake por teléfono en el año 1997, o hablando de como actualizar el firmware de su router US Robotics para que pudiera ir a 56 Kas, o como gaitas liberábamos más memoria para que pudiera cargar un programa -, o simplemente casualidad, destino o la suma de todo un poco. Con 12 años me enamoré, y con 20 me di cuenta de que seguía enamorado de los ordenadores.

Si estás perdido ahora, y tienes las prioridades en otro lado, no te flageles. Puede que aún seas un adolescente y estés como estaba yo. Intenta centrarte poco a poco y no olvides aquello que cuando tenías 10 u 11 años querías ser y amabas. Probablemente en esa edad tendrías mucho más claro lo que te gustaba que ahora, que puedes estar contaminado con ese "mal" de hormonas alteradas que se llama adolescencia. Cuando sepas lo que quieres hacer. Comienza a trabajar en esa dirección. Aprovecha tu tiempo y te convertirás en lo que quieras ser. No pienses que no puedes. Tú puedes como cualquiera de los demás, que no hay cosas difíciles, sino que hay que trabajarlas. ¡Ánimo!

Saludos Malignos!

domingo, agosto 30, 2015

El negocio del Internet Gratis por 30 € a costa de tu WiFi

Ya se está poniendo de moda en muchas ciudades de todo el mundo que algún grupo, aprovechándose de sus conocimientos de hacking de redes WiFi, ofrezca un servicio masivo de venta de Internet Gratis por una cantidad de dinero que, en Madrid concretamente, es de 30 €. Una oferta fantástica, sin duda, para cualquiera que quiera poner en riesgo la privacidad de sus comunicaciones. Basta con darse una vuelta por la ciudad y buscar en las paradas de autobús, farolas y cualquier otro elemento de mobiliario urbano para localizar los carteles con dichas ofertas.

Figura 1: El negocio de Internet Gratis por 30 € a costa de tu WiFi

Por supuesto, el negocio del Internet Gratis es un gran reclamo para sus clientes, a los que probablemente ya se les pueda comercializar algún otro servicio. Pero esto puede tener serios problemas para las dos partes. Tanto para el dueño de la red WiFi a la que se están conectando estos clientes que pagan por tener Internet Gratis, como para los clientes que se están conectando a una red WiFi que puede no salirles tan gratis.

La red WiFi abierta y gratuita de una organización

Pudiera ser que este Internet Gratis se diera de forma en la que, una vez llegado el técnico que oferta este servicio, se hiciera un análisis del espectro de redes WiFi y se buscase alguna abierta y gratuita en la cercanía. Es más, podría hasta pensarse en que se comercializa una tarjeta WiFi de mucha más potencia para poder llegar a redes WiFi abiertas y gratuitas más lejanas - ya vimos que se pueden construir antenas WiFi para grandes distancias.

Figura 2: Con una antena WiFi de larga distancia es fácil tener un gran abanico de redes cerca

En este caso, el cliente, tiene como riesgo el de compartir una red pública con no se sabe muy bien quién, pero es el mismo que asumiría cuando se conecta en un establecimiento que ofrece el mismo servicio. Por supuesto, el riesgo para las empresas y organizaciones que dan servicios de red WiFi gratuitos existe en tanto en cuanto tendrían que hacer un control de lo que se hace en su red, ya que alguno de los que se conectan podrían cometer delitos desde esa red.

La red WiFi abierta de un particular

Esto mismo, pero más exacerbado y peligroso sería para una persona que, por dejadez, por decisión personal, o por desconocimiento, deja su red WiFi abierta para que se conecte todo el mundo. Si la red es utilizada para delitos graves esta persona podría verse inmiscuida en un proceso judicial, sufriendo la interceptación de su material informático y pasando por un análisis forense de sus dispositivos, como ya le ha pasado a mucha gente. 

Figura 3: En Alemania en 2010 multaron a las WiFi inseguras

En Alemania, en el año 2010 ya un juez dictaminó contra el propietario de una red WiFi insegura desde la que se habían cometido delitos, haciéndole parcialmente responsable de los delitos allí cometidos.

La red WiFi hackeada

Si ya pasamos a entorno en el que el técnico que vende Internet Gratis hace cualquier tipo de hackeo de la red WiFi, entonces la cosa se pone más peligrosa. Estaríamos hablando de un delito continuado como el que realizan los que manipulan los contadores de gas, electricidad o agua cobrando por ello, y por supuesto para el que hace uso de este Internet Gratis podría suponer acabar en un juicio por haber vulnerado la seguridad de un sistema en su provecho. En este caso las consecuencias podrían ser mucho peores para todo el mundo. 

Figura 4: El servicio de Internet Gratis por 30 € que se anuncia por Madrid

Lo peor de todo es que al contratar este servicio de Internet Gratis sin contar con el dueño de la red, los problemas pueden ser muchos más:

Para el comprador del servicio de Internet Gratis
1) Problemas legales: Como ya se ha explicado, puedes acabar metido en un proceso judicial por haber vulnerado la seguridad de un sistema y haber consumido la conexión a Internet de otro. Es como si le quitases la luz, el gas o el agua a tu vecino. 
2) Problemas de servicio: No hay garantía de que mañana se cambie la clave de la WiFi y listo. Se acabó tu servicio de Internet Gratis para siempre por 30 €. 
3) Problemas de privacidad: Te estás conectando a una red WiFi en la que no sabes con quién compartes. En el post de Dipu Daswani de "Hackeando al vecino Hax0r que me roba la WiFi" se pueden ver todos los problemas en que te puedes meter. 
Para el que da (sin saber) el servicio de Internet Gratis
1) Problemas legales: Tener una red WiFi sin seguridad o mal securizada puede llegar a hacer que seas responsables de los delitos que desde esa dirección IP se produzcan. Como en el caso de Alemania, o acabar en una redada por compartir contenido pedófilo. No sabes qué se puede estar haciendo desde esa dirección IP. 
2) Problemas de servicio: Tu conexión está compartida y vas a tener que competir por el ancho de banda con todos los que se te cuelguen de la red. Una pena que seas el que paga para que no tengas servicio.
Figura 5: El pedófilo hackeaba la red WiFi y luego infectaba el ordenador
3) Problemas de privacidad personal: Igual que en el caso anterior, cualquier usuario conectado a tu red local puede acabar hackeando tus conexiones e incluso tu equipo. Recordad que esta era una de las técnicas utilizadas por el vecino de Zaragoza que espiaba a sus vecinas por la cámara web del ordenador.
Dicho esto, lo que te recomiendo es que tengas mucho cuidado con tu red WiFi y la fortifiques. En este artículo os dejé una lista de recomendaciones para proteger la red WiFi. Quizá no seas capaz de aplicar todas, pero por lo menos quita el WPS, usa WPA2 con una contraseña compleja que crees de nuevo, cambia el SSID y elimina los paneles de administración remotos. Por otro lado, evita este tipo de servicios que te pueden llevar a acabar teniendo problemas de verdad.

Saludos Malignos!

sábado, agosto 29, 2015

Lightbeam: Controlar las conexiones cuando navegas

Cuando navegas por una página web, esta puede estar forzándote a conectarte, de forma implícita, con terceros sitios. Esto se puede hacer porque carga recursos desde sitio remotos - como por ejemplo una imagen o un vídeo -, porque hace llamadas para enviar datos a servicios terceros para mostrar contenido - por ejemplo un wigdet para sacar los últimos tweets -, porque carga publicidad remota, porque pone una cookie de un sitio o porque directamente carga un píxel de seguimiento para llevar estadísticas de navegación en todo momento. Esa carga de contenido externo puede ser un riesgo de seguridad para el sitio web, y generar un problema de privacidad para el usuario.

Figura 1: Lightbeam for Firefox. Controlar las
conexiones a terceros cuando navegas por Internet

Cada vez que se realiza una conexión a un sitio tercero para pedir un recurso, este sitio puede hacer una captura de la huella digital de la conexión, accediendo los datos del navegador, sistema operativo, horarios y direcciones IP, con lo que se puede ir gestionando un perfil de navegación de esa huella. Esto, mucho más elaborado es lo que llevó a los escándalos de espionaje de navegación de Google o de Facebook que han acabado en los tribunales.

Figura 2: Add-on de Lightbeam para Firefox

Lightbeam es una extensión para Mozilla Firefox que te permite conocer qué conexiones remotas se están produciendo mientras estas navegando, algo que sirve no solo para controlar la navegación, sino para poder hacer una auditoría de seguridad a un servidor web, al darte todas la información exportable en un fichero que puedas procesar.


Figura 3: Visualización de conexiones con terceros en Lightbeam.
Se pueden controlar cookies, poner Watchers y bloquear sitios.

En la herramienta tienes la posibilidad de visualizar los sitios que visitas de forma explícita, que se pintan como un círculo, los sitios que han recibido peticiones desde tu navegador por estar enlazados desde un sitio que tu has navegado, que se pintan como un triángulo, y luego las conexiones. Si es una petición desde tu navegador se pinta como una linea completa, si es una cookie que hay guardada de ese sitio se marca como una línea punteada.

Figura 4: Estudio de conexiones a un sitio. Se puede bloquear su uso.

La herramienta luego permite poner Watchers para vigilar un sitio de tal manera que lo verás en otro color y centrado en tus visualizaciones, bloquear servidores remotos, lo que haría que dejaras inmediatamente de enviar ni un solo dato a esos sitios web (ni de forma explícita ni de forma implícita), y configurar un modo Track Protection  que elimina todas las peticiones que se producen no para obtener recursos, sino de seguimiento de navegación - como los conocidos por ser usados por grandes sitios o las famosas imágenes de píxeles transparentes -, pero aún está en modo experimental.

Figura 5: Tracking Protection es experimental aún, pero funciona.

En definitiva es un plugin interesante que merece la pena probar para conocer mucho más de los sitios que visitamos y poder controlar un poco más la navegación. Si lo pruebas con sitios de contenido adulto podrás ver cuántos sitios son capaces de ver lo que estás visualizando en tu pantalla de tu navegador.

Figura 6: Vídeo de funcionamiento de Lightbeam for Firefox

En el siguiente vídeo os he dejado una pequeña prueba para que veáis cómo funciona y las herramientas que trae. Para que te animes, lo instales y le des un vistazo.

Saludos Malignos!

viernes, agosto 28, 2015

Hackear Facebook en 1 minuto con mi chiringuito

La demanda existente de gente que quiere robar las cuentas de Facebook de novias, amigos, familiares, conocidos, enemigos, gente famosa, o cualquier pichopata que pase por delante es enorme, lo que ha hecho que aparezca una nutrida oferta de gente que, sin tener ninguna posibilidad de robar las cuentas de Facebook de nadie, busca hacer su Agosto - este que ya se nos termina - con un chiringuito. Ya os he hablado muchas veces de las apps mágicas para hackear Facebook, que las hay por doquier, y hoy he ido a revisar algunas webs de esas que se promocionan para hackear Facebook.

Figura 1: Hackear Facebook en un minuto con mi chiringuito

Al final, después de jugar un rato con algunas de ellas, el resultado final ha sido siempre el mismo. Ni intentan hackear la cuenta de Facebook de nadie ni nada parecido. Los resultados obtenidos han sido diversos pero todos malos. Algunos solo buscan ganar dinero con campañas de publicidad agresivas y robo de datos, otros intentan infectarte con adware, otros tienen campañas de publicidad agresivas con malvertising, otros piden el número de teléfono para suscribir a las personas a servicios premium y uno de ellos, directamente que le envíes dinero vía Western Union haciéndote creer que han hackeado la cuenta con un e-mail spoofing al igual que la estafa del cambio de notas de la Universidad . Os he hecho un vídeo para resumir todas estas cosas.


Figura 2: Vídeo de webs para "Hackear Facebook en 1 minuto"

Las cosas más curiosas que he visto, y que tenéis en el vídeo, os las resumo aquí:
- Animaciones de hacking: Siguiendo con el imaginario Holywoodiense, las webs cuentan con animaciones de hackers lanzando comandos en pantallas negras, hablando de hashes, "desencriptado", MySQL, Backdoors, etc... Incluso una web usa el nombre de TrueCrypt para que suene más a seguridad informática y hacking, haciendo uso de la marca del software de cifrado TrueCryt. 
Figura 3: Animaciones espectaculares de hacking. 
- El vídeo con Magia: Una de las webs tiene un vídeo promocional para que se vea cómo se consigue la cuenta y contraseña de una cuenta, y en el vídeo se hace un "pase de magia" cambiando de la web suya a un fichero TXT que tiene abierto en el PC con los datos de una cuenta de Facebook dignos de una gran ilusionista.
- El e-mail spoofing: Los mejores sin duda son los de Golden Hacker que han creado toda una tienda con una estética súper profesional para al final hacer un e-mail spoofing (eso sí, haciéndote esperar horas para dar más emoción) con el objetivo de conseguir que le envíes una transferencia por Western Union.  
Figura 4: Garantía 
- Si cambian la password, una más gratis: Una vez que desde Golden Hacker pagas y te envían la contraseña, lógicamente no funciona. No pasa nada, ellos te ofrecen volver a robar la contraseña una vez más... gratis. El resto, otra vez a pagar. Hay que tener en cuenta que la víctima puede estar bajo sospecha y cambie la password cada 20 minutos. (*sarcasmo*).  Como los trileros de la feria.
Figura 5: Your IP is Banned
- El baneo de la cuenta: La web de Golden Hackers, cuando detecta que la conexión viene de una dirección IP de una empresa de seguridad, o alguien que está cabreado, automáticamente te la banean. Y aquí paz y después gloria.
Sea como fuere, si tienes una cuenta en la red social por excelencia, yo te recomiendo que pases por un proceso de fortificación de tu Facebook para evitar posibles problemas. Y a los que caigan en estas estafas... bueno, merecido lo tienen por viajar por la vereda oscura de Internet.


Figura 6: Proteger tu cuenta de Facebook con Latch Cloud TOTP

Para evitar que at ti te la roben, lo mejor es que pongas una protección como Latch Cloud TOTP en tu cuenta. Sácate una cuenta gratuita de Latch y protege tu cuenta para que no te la roben. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

jueves, agosto 27, 2015

¿Quieres una camiseta de Latch? Consíguela de esta forma

Cuando el equipo de diseño gráfico de Eleven Paths se puso a trabajar en hacer unas camisetas de nuestros productos, nunca pensé que me fuera a gustar tanto una de las camisetas. En concreto la camiseta de Latch, que no solo a mí, sino a muchos compañeros también gusta. Es raro pasar un día por la oficina de Eleven Paths y no ver a varios empleados llevando la camiseta. Hicimos un par de centenas de esas camisetas, con tallas para chica y chico, y las regalamos a los empleados y algún contacto cercano, pero luego mucha gente nos las empezó a solicitar, así que decidimos que había que hacer muchas más.

Figura 1: ¿Quieres una camiseta de Latch? Consíguela de esta forma

Esta vez, vamos a regalar una camiseta de Latch a todo el que se pase por el próximo Security Innovation Day 20015, que haremos el 8 de Octubre por la tarde en el Auditorio del Edificio Central de Telefónica en el Distrito C - aún no está el registro abierto, pero en cuanto esté os avisaré - y nos enseñe su app de Latch. Si la app de Latch tiene tres o más pestillos configurados en tu Latch, te ganarás la camiseta de Latch.

Figura 2: La camiseta de Latch que te llevarás ¿a que queda genial?

Para ello, puedes utilizar cualquiera de los servicios que están disponibles, o instalarlo en los tuyos propios, es decir, en tu WordPress, tu Windows, tu OS X, tu Joomla, tu página Web en PHP, etcétera. Tú decides dónde quieres poner Latch. De momento lo vamos a hacer solo en este evento en Madrid, pero seguramente lo extenderemos a otros eventos en otras ciudades. No os preocupéis.


Figura 3: Cómo proteger WordPress con Latch en 10 minutos

Además, a los tres que tengan más identidades protegidas por Latch, yo personalmente les voy a regalar tres lotes de 3 libros de 0xWord (que también puedes proteger con Latch) compuestos por los libros de Pentesting con FOCA, Hacking Web: SQL Injection y Ataques en Redes de Datos IPv4&IPv6

Figura 4: Siempre elegante con mi camiseta Latch

Así que, si quieres conseguir tu camiseta, ver reservándote la fecha y configurando tus latches. Creemos que hemos comprado camisetas de Latch suficientes para todos, pero por si acaso, ya sabéis que daremos las camisetas por orden de recogida.

Saludos Malignos!

miércoles, agosto 26, 2015

Smart Cities: Ataques en redes IEEE 802.15.4 & ZigBee

Las redes industriales y, concretamente, las redes de sensores son hoy en día una realidad emergente y con muchas expectativas de cara al futuro tanto en entornos empresariales o públicos. Los grandes ayuntamientos están apostando por convertir sus ciudades en las llamadas “Smart Cities” con este tipo de estructuras. Entre las tecnologías que existen parece que hay dos a día de hoy que se imponen sobre los demás en cuanto a su aceptación en el mercado. Son el estándar IEEE 802.15.4 y ZigBee, que entre ambos proporcionan un conjunto de protocolos y servicios a los usuarios para permitir una comunicación fiable y segura en este tipo de redes.

Figura 1: Smart Cities, ataques en redes IEEE 802.15.4 & ZibBee

Estas redes de sensores, al igual que la mayoría de redes inalámbricas, no están exentas de potenciales peligros que pueden ponerlas en un serio riesgo de compromiso de seguridad. Mostraré la implementación de un ataque de denegación de servicio mediante un caso real. Como prueba de concepto, se muestra como dejar inhabilitado un nodo de una red que utiliza la especificación IEEE 802.15.4.

Smart City: Estructura básica de una red de sensores

No hay quien pueda negar que están de actualidad. Los equipos de gobiernos de todas las ciudades quieren tener ciudades inteligentes que controlen el riego, el tráfico, las plazas de aparcamiento en las calles, la recogida de la basura, el control de la calidad del aire, la temperatura en cada zona de la ciudad, los transportes públicos y el estado las playas.


Figura 2: Vídeo promocional del proyecto Valencia Smarty City

Las posibilidades de dotar a una ciudad de más y mejores servicios son grandes, y el primera paso es contar con una red de sensores que capture la información necesaria de todos los puntos de la ciudad. Sensores que midan la humedad y la temperatura en los jardines, sensores que detecten si un espacio de parking está ocupado o no, sensores que detecten si hay personas esperando en el semáforo, sensores que sean capaz de capturar cualquier información que sea útil para tomar una decisión de actuación en la Smart City.

Figura 3: Sensores de calidad del aire y en un contenedor de basuras

Todos esos sensores se comunican entre ellos y con el Gateway para gestionar estas la recogida de datos y, recibir las ordenes de configuración y actuación. Esta comunicación se hace - centrándonos en las redes creadas con las tecnologías de este artículo - con los estándares IEEE 802.15.4 y el protocolo ZigBee hacia los Gateways, que también deben estar colocados en las calles y que son los encargados de encaminar esos datos hacia los centros de control a través de una red de fibra óptica o WiFi, para que los datos queden almacenados en un Big Data sobre el que se pueda construir la inteligencia de actuación para mejorar la vida en la Smart City.

El ataque de Denegación de Servicio

Esta es una prueba de concepto en la que se ha llevado a cabo un ataque de denegación de servicio sobre una red con las tecnologías IEEE 802.15.4/ZigBee. El proceso que se ha seguido es muy simple y lo que se desea mostrar es la facilidad con la que ha sido posible dejar sin recursos un nodo de la red. Para montar la red ZigBee se han utilizado varios sensores (o motas). Concretamente se ha utilizado la plataforma Z1 de la marca Zolertia. Por otro lado, para simular el dispositivo atacante se ha utilizado un Sniffer/Inyector de paquetes la marca Atmel: el dispositivo RZUSBSTICK.

Figura 4: Dispositivo AVR RZUSBSTICK

En esta prueba de concepto es necesario que un sensor actúe como nodo encaminador (o Gateway, M1) y que el otro actúe como dispositivo RFD (Reduced Function Device) hoja, M2. Los dispositivos que funcionan como RFD son sensores que no cuentan con una fuente de energía constante, es decir, que funcionan con batería y a los que se les reduce las funciones para maximizar la vida útil de su reserva de energía. Para ello, si un dispositivo va a ser un sensor de temperatura y su misión va a ser solo recoger la temperatura y emitirla hacia la red para que llegue vía Gateway hacia el Big Data, se le configura como RFD.

En una red con múltiples sensores, dependiendo de si se han configurado como FFD (Full Function Device) o RFC (Reduced Function Device) se pueden configurar diferentes topologías de red, ya que un RFD solo emite su información, mientras que un FFD puede hacer un encaminado de comunicaciones de otros. Así, existen topologías árbol, en estrella o en malla de redes de sensores. Para esta PoC, la topología escogida es la de estrella y el nodo al que se atacará agotando los recursos es el que actúa como Gateway, por lo que en el caso de tener más sensores conectados a la mota Gateway, todos dejarán de comunicarse.

Figura 5: Topología en estrella en red de sensores

Para poder programar las motas en este prueba de laboratorio se han de conectar inicialmente a una sistema GNU/Linux Debian con un cable USB/MicroUSB, después ya no es necesario esa conexión y pueden operar mediante baterías, (como en una implantación real ) y por tanto ser un nodo completamente autónomo.

El siguiente paso consiste en examinar los paquetes que se envían en el momento de la asociación de la mota M2 en la red y los que se envían durante la transmisión de paquetes al servicio para poder, posteriormente, inyectar los paquetes previamente modificados desde el dispositivo atacante. Para averiguar qué paquetes circulan por la red durante las fases de asociación de dispositivos y la conexión al servicio se ha utilizado el software WireShark y la herramienta zbdump. Para escuchar la red mediante el dispositivo RZUSBSTICK son necesarias las herramientas que se encuentran en KillerBee. Eso es debido a que una simple tarjeta WiFi convencional no puede escuchar las frecuencias de las redes IEE 802.15.4


Mediante el dispositivo RZUSBSTICK, el software Wireshark y la herramienta zbdump se ha determinado cuáles son los paquetes esenciales y necesarios para llevar a cabo la asociación de un dispositivo al encaminador. Y al mismo tiempo se ha obtenido el paquete que se envía cuando se solicita el servicio de la mota M2. Esta información se ha utilizado para construir posteriormente unos paquetes maliciosos específicos con los que atacar el sistema.

Figura 6: Datos de asociación de una mota a la red usando ZigBee

La Figura 6 muestra los datos que se han obtenido al escuchar la red inalámbrica, con estos datos se pueden falsificar nuevos nodos, ya sea con la utilización de motas nuevas o con la posibilidad que aporta el dispositivo RZUSBSTICK que es capaz de inyectar tramas en el medio de transmisión. Con esta capacidad, podemos hacer un ataque de spoofing para simular la entrada de una nueva mota a la red. En la Figura 7 podemos ver como se ha falsificado una nueva mota dentro del sistema con una MAC “CAFECAFE”

Figura 7: Adición de una mota falsa con MAC "CAFECAFE"

El protocolo ZigBee cifra los datos que se envían entre los diferentes nodos, pero sigue funcionando sobre el estándar IEEE 802.15.4, por lo que aunque no se puedan obtener los datos, sí que podemos insertar una mota a nivel de capas de comunicación más bajas y obtener los datos de inicio y destino de cada una de las transmisiones. Ya que el estándar no cifra los datos. La Figura 8 muestra cómo podemos obtener los datos de la comunicación entre las motas, aunque funcionen con ZigBee, por lo que podemos hacer una composición exacta de la red y su modo de funcionamiento, y saber cada cuando se despiertan los sensores para transmitir los datos hacia el Gateway.

Figura 8: Captura de comunicación ZigBee

ZigBee funciona con tres contraseñas a diferentes niveles. Una que viene de fábrica, con la que se insertará en la red ZigBee del mismo fabricante y se crearan las otras dos claves. La segunda, creada a partir de la primera, común a toda la red y que servirá para las comunicaciones Broadcast, y una tercera única, que se obtiene mediante un proceso llamado SKKE, entre el Gateway y cada nodo, con la que cifrará el contenido que se envían entre ellos dos.

Posibles ataques a una red IEEE 802.15.4 & ZigBee

De forma rápida, en un esquema como el que se ha mostrado, podríamos realizar algunos de estos ataques que podrían afectar al funcionamiento, y por tanto a la seguridad, de los servicios desplegados en una Smart City sobre una red de sensores vulnerable.
Denegación de servicio (Denial of Service-DOS). De difícil mitigación, colocando un nodo que controle las comunicaciones permanentemente. 
Escucha de la red (eavesdropping): un dispositivo escucha la red a la espera de recibir la información que se transmite. Con cifrado se hace más difícil la escucha. 
Usurpación de identidad (spoofing): Hacerse pasar por otro nodo de la red para recibir y enviar datos de terceros. Si es encaminador podrá capturar todo el tráfico que pase por él. 
Reenvío de paquetes (replay): Consiste en el reenvío, o no, de paquetes capturados anteriormente para desestabilizar la red o el nodo que los recibe y que únicamente espera un dato. El control de secuencia ayudará a la mitigación de este ataque.
A día de hoy estamos en los inicios del estudio de la seguridad y las técnicas de hacking en este tipo de protocolos, y visto como la evolución de las técnicas de hacking han pasado del software, a las redes, a los servicios de Internet y a cualquier elemento con software embebido - como coches, drones o rifles - la eclosión de las redes de sensores en el mundo iOT puede llevar a la aparición de múltiples problemas de seguridad en las ciudades o en las empresas si no se toman desde el diseño de las mismas medidas para evitar las técnicas de ataque conocidas.

Autor: Dr. Jordi Serra, Profesor de la UOC
Escritor del libro "Esteganografía & Estegonanálisis"

martes, agosto 25, 2015

Windows 95 cumple 20 años. Un homenaje personal.

Ayer era el día en que Microsoft Windows 95 cumplía 20 años desde su lanzamiento. Con él llegaba la multimedia. Llegaba Internet... Bueno, llegaba Internet si añadís TCP/IP a los protocolos de red que se instalaban por defecto - que venía con NetBIOS para las redes de trabajo en grupo - y si instalabas algún navegador, ya que Internet Explorer 1.0 venía en el paquete Plus! Pero era Windows 95, con su botón de Inicio y con la capacidad de utilizar CD-ROM y una cosa fantástica llamad Plug&Play que permitía configurar dispositivos mucho más cómodamente. Él detectaba que había nuevo hardware y tú le dabas el driver adecuado.

Figura 1: Windows 95 cumple 20 años

Como sabéis yo empecé con el sistema operativo CP/M, luego tocó pasar por varias versiones de MS/DOS, alguna de DR/DOS de IBM, Window 3.x (las versiones anteriores de Windows las vi pero no las llegué a utilizar en mi día a día) para llegar a Windows 95. Llegó a mi vida con un equipo nuevo que mis padres me compraron a plazos (375.000 pesetas de aquellos años). Era un equipo clónico. Un 486DX2 a 66 MHz con 4 MB de RAM y disco duro. El disco duro tenía 256 MB, creo recordar. Toda una máquina para la época, ya que traía Sound Blaster, VGA, un scanner de mano y una impresora inyectora a color.


Figura 2: Momento del lanzamiento de Windows 95.
Bil Gates y Steve Balmer bailando Start Me Up de los Rolling Stones

Aún recuerdo a mis padres decirme eso de: "Hijo, esto es para estudiar, para que lo aproveches bien y puedas ser alguien el día de mañana". ¿Os lo dijeron a vosotros también alguna vez?. Era el tipo más feliz el día que le instalé el sistema operativo Windows 95, disquete a disquete. 

Pase muchas horas con ese Windows 95 OEM, hasta que apareció el Windows 95 OSR2.5, que ya vino con Internet Explorer 4. Con Windows 95 comencé a navegar dirariamente por la web utilizando la conexión de Infovía de Telefónica para buscar tutoriales de todo tipo, especialmente de programación en los lenguajes de la época, de cómo hacer páginas web con HTML y JavaScript, que era lo que más me gustaba en aquel entonces - ya os he comentado muchas veces que yo en la Universidad lo que quería era programar, me gustaba la algoritmia, las estructuras de datos, las bases de datos y no me llamaba mucho la seguridad informática... hasta poco tiempo después.


Figura 3: Anuncio de Windows 95 presumiento de Multitasking

No sé si tuvisteis la oportunidad de probar Windows 95 cuando salió, o erais muy jóvenes para él, pero el cambio fue brutal. El concepto de escritorio, la barra de tareas abajo (o arriba, o aun lado según te la configurases tú) para acceder rápidamente a los programas de uso frecuente o a los que tenías minimizados en segundo plano, la capacidad de instalar un nuevo hardware preparado para Windows 95 con solo meter el disquete de su driver y que lo detectase, el configurar la pantalla a golpe de botón derecho, el explorador de archivos que estaba muy mejorado comparado con las herramientas de MS/DOS que utilizaba antes (aunque reconozco que utilicé algunos años más otros exploradores de archivos también para automatizar tareas con ficheros), el poder tirar de los comandos de MS/DOS con solo dar al "Símbolo del Sistema", era una comodidad.

Sí, con los ojos de hoy, de 20 años después, aquello ya no es lo mismo. Ahora lo ves y la sensación que da es que es "enano". Las cosas que se podían hacer con él, comparadas con las que se pueden hacer con un Windows 8.X o un Windows 10 no son comparables, pero es que en aquel entonces los sistemas operativos tenían unos recursos locales muy limitados y remotos (online) inexistentes o casi inexistentes. No había Cloud Computing, ni Big Data, ni cosas similares, no había backends de programas que ejecutaran las funciones en servidores en la nube y devolvieran los resultados. No, todo se tenía que ejecutar en tu 486DX2 de 66 MHz. Una pasada.

Figura 4: Clippy, queriendo ayudar como siempre

En Windows 95 la seguridad importaba poco aún. Vídeo, audio, juegos, entretenimiento, la Encarta y su enciclopedia multimedia. Eso es lo que quería la gente. Eso es por lo que lo compraba todo el mundo. Todo aquello empezaba a acelerarse con la llegada posterior de DirectX y OpenGL en Windows 95.  Incluso tendríamos las primeras versiones de los asistentes virtuales. Los que hoy serían los abuelos de Siri o Cortana, en aquel entonces llegó Clippy con la suite de Microsoft Office para Windows. Yo incluso le dediqué una tira de No Lusers cuando fue puesto a realizar otras funciones y se dio a la bebida. Podéis ver la tira en el No Lusers 59 "Recolocación laboral".

Figura 5: Clippy bebiendo Stöh

Recuerdo aquellos momentos donde me sentaba a programar con mi equipo, con el Borland C++ o el Turbo Pascal para Windows o el Visual Basic. Recuerdo como hacía mis trabajos con Lotus Word Pro de Lotus Smart Suite, que era el pack que me habían comprado en una oferta para poder tener herramientas ofimáticas en mi Windows 95. Esas horas saben en mi memoria a mi madre llamándome para cenar y regañándome porque no pueden recibir llamadas ni llamar porque estaba conectado a Internet y el teléfono no funcionaba.

Figura 6: Windows 95 BSOD

Por supuesto, ahí comenzamos a conocer a nuestro amigo Blue Screen of Death, y a descubrir que podrías saltarte la seguridad de la red de formas tan absurdas como usar las Sticky Keys y la ayuda. Los discos duros no iban protegidos con ACLs, no había firewall, ni gestión de actualizaciones, ni antimalware, ni se podría utilizar un sistema de cifrado de disco como Bitlocker. No había mucho de seguridad en Windows 95, pero tampoco lo habría en Windows 98 o Windows XP, porque aún estábamos lejos de que este loco mundo de la ciber-seguridad eclosionara y de la famosa TrustWorthy Computing Initative. En aquellos momentos se deseaba la multimedia. 

Figura 7: Saltarse el login de Windows 95 en red con las sticky keys y la ayuda

Después para mí, llegaría Windows NT y el Quake II a mi vida, descubriría que se podían montar servidores RRAS para tener un tiempo de respuesta más corto y jugar por Internet con mi amigo Rodol, pero eso ya os lo conté en la historia que titulé 1997. Y más tarde acabaría presentado con Microsoft Windows XP, Windows XP SP2, Windows Vista y Windows 7, quién me lo iba a mí a decir cuando desempaquetaba mi 486DX2 y le iba instalando uno a uno los disquetes de Windows 95.

Yo aprendí con Windows en casa, en la universidad con UNIX y con un sistema operativo raro que teníamos en un disquete que ponía "Linux 0.98" que servía para hacer las prácticas de sistemas abiertos si no podías acceder a los servidores UNIX de la Universidad. Una versión antigua y limitada. En aquel año 1995, aún me quedaría algo de tiempo para tocar mi primera Red Hat Linux que, curiosamente, había sido lanzada antes incluso que Windows 95. Pero esa es otra historia...

Saludos Malignos!

lunes, agosto 24, 2015

Ashley Madison Hack: Suicidios, Mentiras y Negocios Túrbios

Tras la filtración de algo más de 30 Millones de usuarios en la base de datos de Ashley Madison, la continuación ha sido un auténtico terremoto mediático y de sucesos que parecen no parar. Todo el mundo está agitado con lo que de ahí sale y ya hemos visto hasta un posible suicidio atribuido *posiblemente* como consecuencia de esta filtración de datos

Figura 1: Ashely Madison Hack - Suicidios, Mentiras y Negocios Turbios

La historia aún está lejos de terminar. Y estas son algunas informaciones de lo que ha pasado por ahora, y que probablemente seguirá pasando un tiempo.

La segunda filtración de datos

Cuando se produjo la primera filtración, en muchos sitios se negó que esa fuera la base de datos completa y que los datos fueran originales. De hecho, desde Ashley Madison se negaba su autenticidad, pero una segunda filtración con los datos completos de los usuarios parece que ha dejado en evidencia que los datos eran auténticos.


Figura 2: Mensaje de Impact Team para Ashley Madison

Mucha gente dice estar ahí sin haberse registrado, incluso algún político como Damian Green, ministro de la policía en Reino Unido que ha aparecido en esa base datos y lo niega, pero también de personas normales. Lo cierto es que las personalidades públicas tienen más probabilidades de haber sido incluidas en esa base de datos, y se habla de que algunas cuentas de mujeres eran falsas, pero no creo que los que han liberado esa base de datos se hayan dedicado a buscar cuentas de tarjeta de crédito de personas normales de a píe para introducirlas. No olvidemos que, ahora, se han liberado los datos de las tarjetas de crédito.

Figura 3: Dump de datos publicado en la segunda ola

Los miembros del infame grupo Impact Team han negado ser trabajadores internos o haber trabajado internamente alguna vez - aunque todas las investigaciones apuntan hacia esa posibilidad - y ello dicen que llevan mucho tiempo con acceso completo a la red desde fuera, que era muy sencillo entrar en sus servidores - tan fácil como que hubieran detectado un bug sin parchear de los muchos que hemos visto en estos dos últimos años - antes de que los equipos de seguridad lo hubieran arreglado, como HeartBleed, ShellShock, PHP en modo CGI, etc... o un simple bug en el código de la aplicación, que no tenían Bug Bounty.

Las consecuencias inmediatas

De hecho, muchas son las personas que están buscando cómo salir de esa base de datos - como si una vez ya publicada en Internet hubiera alguna posibilidad de ello - tal y como contaba Kevin Mitnick con algunos de los correo electrónicos que estaba recibiendo al más puro estilo de #BuscanHakers -.


Figura 4: Mensaje recibido por Kevin Mitnick para borrar datos


Tal es el revuelo que esto ha creado que Have I Been Pwned? tuvo que cerrar las consultas de correos electrónicos NO registrados en su servicio, es decir,  que no estuvieran verificados. Algo que no habían hecho antes con el caso de Adult Friend Finder. Tal vez porque el tamaño de la base de datos es casi 10 veces mayor, o tal vez porque el servicio de Ashley Madison estaba muy metido en la sociedad anglosajona.

Figura 5: Nota sobre los datos de Ashley Madison en Have I Been Pwned?

Una cosa importante es, que cuando aparece el correo en la base de datos de Ashley Madison no quiere decir que alguien haya hecho uso de los servicios, sino que simplemente se ha registrado - esto es lo que se podía consultar en Have I Been Pwned? -. Ahora, con la nueva filtración con los datos de las tarjetas de crédito, la cosa cambia.

Suicidios y Extorsiones

Una de las temidas consecuencias, el que algo de esto pudiera llevar al suicidio a una persona, se ha publicado ya en la red. Un funcionario de la ciudad de San Antonio en USA parece que ha podido suicidarse debido a que su correo electrónico aparecía en la base de datos.

Figura 6: El suicidio de una persona relacionado con el leak de Ashley Madison

Y es que la base de datos con todos los correos electrónicos está siendo ya usada en todo tipo de campañas de spam, e incluso intentando aprovechar para hacer extorsiones u ofrecer servicios milagrosos como borrar los datos de ella.

Figura 7: Campaña de spam de una empresa.
El mensaje gancho "Estos datos podrían arruinar tu vida"

Pero también al contrario, hay personas que se han hecho con la base de datos y ofrecen a cualquiera la posibilidad de consultarla por algo de dinero. Todo un negocio a costa de justo lo que prometía, la privacidad de los usuarios.

Saludos Malignos!

domingo, agosto 23, 2015

Cómo localizar cuentas en Twitter por número de teléfono #stalkers

Hace unos días publicaba un artículo en el que explicaba cómo era posible localizar cuentas de Facebook a partir de su número de teléfono, que completaba la búsqueda de números de teléfono que se puede hacer en Facebook. Con esa misma idea fui a ver qué sucedía en Twitter, y la verdad es que aunque no es exactamente igual, se pueden hacer cosas bastante curiosas. Aquí os dejo unas ideas por si os sirven de ayuda.

Figura 1: Cómo localizar cuentas en Twitter por número de teléfono #stalkers

Paso 1: Localizar si un teléfono está asociado a una cuenta de Twitter

Esto resulta bastante fácil, aunque no nos va a permitir saber a qué cuenta pertenece en concreto. Eso habrá que ver si es posible sacarlo en una segunda derivada. Para saber si el número de teléfono está asociado a una cuenta de Twitter basta con ir a las opciones de Login.

Figura 2: Login en Facebook usando número de teléfono

Como se puede ver, al igual que en Facebook, puedes autenticarte usando el número de teléfono y esto no se puede evitar con ninguna opción de seguridad de las que tienes en Twitter, así que si tienes asociado tu número de teléfono vinculado en Twitter, se puede intentar hacer login con él. La única opción es desvincular el número de teléfono de la cuenta, eliminado así la posibilidad de utilizar un Segundo Factor de Autenticación basado en mensajes SMS ni la recepción de alertas vía SMS - aunque sí que podrás seguir usando 2FA basado en la app de Twitter para el smartphone -.

Figura 3: Forgot my password con número de teléfono

Como en el caso de Facebook, basta con intentar recuperar la contraseña y poner el número de teléfono de la persona que se busca, para ver si existe o no existe ese número de teléfono en Twitter. Si existe, se obtendrán las opciones de recuperación disponibles que serán, ver los últimos números de teléfono - un poco sin sentido cuando has dado el número de teléfono para localizar la cuenta -, pero además se podrán parcialmente datos de la cuenta de correo electrónico asociados.

Figura 4: Datos parciales de cuenta de correo electrónico asociado a número de teléfono

Con esos datos parciales de la cuenta de correo electrónico, ya estamos más cerca de sacar la cuenta de Twitter asociada.

Paso 2: Localizar la cuenta de correo electrónico asociada en Twitter

Viendo las opciones de recuperación en Twitter, se puede ver que la cuenta de correo muestra los dos primeros caracteres del nombre y el primero del dominio. Aún, con Facebook, se podría sacar el TLD, para saber si es .ES, . COM, o .NET, como en este caso.

Figura 5: En Facebook sale el TLD del correo electrónico

A partir de aquí toca "averiguar" el resto de la cuenta de correo electrónico. Si no eres capaz de localizar el resto de los caracteres de la cuenta de correo electrónico la cosa estará difícil. Para ello, utiliza todo el conocimiento que tengas de esa persona y todo lo que hayas podido sacar de otras cuentas, por ejemplo en Facebook. Será como jugar a la Ruleta de la Fortuna.

Figura 6: Jugar a la ruleta de la fortuna o seguir buscando info en otras redes sociales

Para probar que estás en lo cierto con tu suposición, deberás volver a intentar recuperar la cuenta de Twitter, utilizado ahora la cuenta de correo que crees que está asociada a ese número de teléfono. 

Figura 7: Buscar información de recuperación de cuenta Twitter utilizando correo electrónico

Si es la que cuenta que tú suponías, entonces llegarás exactamente a las mismas opciones de recuperación de cuenta que salieron cuando introdujiste el número de teléfono.  Tanto si has sido capaz de descubrir la dirección de correo electrónico como si no has sido capaz, puedes intentar descubrir la cuenta Twitter con el último paso.

Paso 3: Localizar la cuenta de Twitter asociada a esa dirección de correo electrónico

En Twitter hay dos opciones para permitir que te localicen. Una de ellas es por medio de correo electrónico y otra por medio de número de teléfono. Si la cuenta ha sido fortificada y ha eliminado estas dos opciones, entonces no podremos seguir.

Figura 8: Opciones de visibilidad de cuentas Twitter para que te localicen

Sin embargo, si ha dejado la opción por defecto para localizarle por correo electrónico y número de teléfono, el proceso es sencillo. Basta con ir a Encontrar Amigos en Twitter.

Figura 9: Encontrar amigos vía agenda de contactos de cuentas de correo elecrtrónico

Yo tengo una cuenta de Yahoo! creada especialmente para eso. En ella pongo en los contactos entradas de las direcciones de correo y números de teléfono que deseo localizar. Una vez la tengo dada de alta, le pido a Twitter que busque mis amigos de mi cuenta de Yahoo!


Figura 10: Cuenta de Twitter localizada a través de contacto de agenda de Yahoo!

Si esa cuenta de Twitter tiene por defecto la opción de que le localicen por correo electrónico, entonces obtendremos cuál es la cuenta de Twitter que está asociada a esa cuenta de correo, que a su vez estaba asociada a ese número de teléfono.

Corolario sobre el descubrimiento por número de teléfono en Twitter

Como habéis visto, en las opciones de Twitter que se ven en la Figura 8, hay una opción para permitir que te busquen vía número de teléfono, y según dice la ayuda esta información por defecto deja que te localicen vía correo electrónico o número de teléfono - si hay alguno vinculado a la cuenta -.

Figura 11: Por defecto te pueden localizar por e-mail y número de teléfono

En la API normal de Twitter no he localizado forma de hacer esa consulta en USER LOOKUP, pero creo que dejando marcada la opción de que te localicen por número de teléfono, Twitter puede permitirle esto a terceros con APIs comerciales - o directamente con la búsqueda de de amigos- , así que mi recomendación es que lo quites. De hecho, la información que da en la ayuda al respecto es bastante clara.

Figura 12: Cómo Twitter usa tu teléfono y correo electrónico con terceros

Recordad que Twitter necesita tu número de teléfono - así como el resto de anunciantes necesitan tu cuenta Twitter si ya tienen tu número de teléfono - para poder ponerte anuncios en función de los cereales que desayunas por la mañana o si vas a tener un bebé.

Saludos Malignos!