sábado, abril 30, 2016

Nuevo distribuidor libros @0xWord en Uruguay: Entrenate

Hoy sábado aprovecho para daros la noticia de que en 0xWord tenemos un nuevo distribuidor de libros en Latinoamérica, en esta ocasión en Uruguay. La empresa a la que puedes comprar los libros en allí es Entrenate, un partner enfocado netamente en la seguridad informática que además da cursos de formación y workshops de hacking, pentesting y/o auditoría.

Figura 1: Nuevo distribuidor de libros de 0xWord en Uruguay -> Entrenate

Tienen su base en Montevideo y puedes ponerte en contacto con ellos a través de su página web donde tienen un formulario de contacto y el catálogo completo de libros que puedes pedir, a través de la dirección de correo electrónico info@entrenate.info o por llamada telefónica al número +598 9923 0263.

Con este nuevo distribuidor, en Latinoamérica tenemos distribuidores en los siguientes países:
- México: eHack
- Colombia: IT Forensics
- Chile: DreamLab
- Ecuador: Area51
- Argentina: Root Secure

- Uruguay: Entrenate 
Si tu país no tiene un distribuidor oficial, puedes ponerte en contacto con 0xWord en info@0xWord.com para ver cuál es la mejor opción para que puedas adquirir los libros. Si quieres ser el distribuidor de tu país, también puedes ponerte en contacto con nosotros. Además, aprovecho para dejaros la lista de cursos y conferencias en los que también puedes adquirir los libros de 0xWord. Son los siguientes:
- EastHackMad (Arganda del Rey) : 30 de Abril y 7 de Mayo
- Curso de Seguridad en Redes (Online): 9 de Mayo
- Curso de Haking Ético Avanzado (Online): 23 de Mayo
- Curso Universitario Especialización Perito Informático Forense (Online)
Saludos Malignos!


viernes, abril 29, 2016

Tus retransmisiones de Periscope están públicas 24 horas

Periscope es una aplicación disponible para dispositivos iOS y Android que nació de la motivación que tuvo Kayvon Beykpour en verano de 2013 cuando se encontró que ninguna televisión internacional estaba retransmitiendo las protestas que se estaban realizando en la plaza Taksim de Estambul. Es por ello que pensó en crear una herramienta de uso muy sencillo para que cualquier persona, con un dispositivo móvil, pudiera retransmitir por streaming y con la infraestructura proporcionada por las redes sociales, cualquier acontecimiento que le viniera en gana. Es decir, dotar a los usuarios de dispositivos móviles de una app para transmitir la vida en tiempo real.

Figura 1: Tus publicaciones de Periscope están públicas 24 horas

Cuando se produce la verdadera eclosión de Periscope es en enero de este mismo año cuando Twitter, propietaria de la app, decide integrar los vídeos de sus usuarios en su timeline. Así, cualquier persona con acceso al timeline de un usuario de Twitter puede ver, en tiempo real, qué es lo que este usuario está retransmitiendo.

Periscope y las fugas de información

Echando esta mañana un vistazo el funcionamiento de la app, decidí visitar su página web y comprobar si existía el fichero robots.txt:

Figura 2: Contenido del fichero robots.txt en la web de Periscope

Consultando la URL correspondiente su declaración de privacidad, puede leerse que la información relacionada con la emisión (comentarios, corazones, etcétera…) es pública por un tiempo máximo de 24 horas o hasta que se elimine.

Figura 3: Declaración de privacidad de Periscope

Cabe pensar que, si la publicación de una emisión no es eliminada por un usuario, será eliminada transcurridas 24 horas desde su emisión y publicación.

Visualización de las emisiones de los usuarios

Del contenido del fichero robots.txt, me llamó la atención la URL www.periscope.tv/w. En la siguiente figura puede verse que el servidor web devuelve el código 400, solicitud incorrecta, si le preguntamos por esta URL.

Figura 4: Error 400 en la web de Periscope

Sin embargo, haciendo un poco de Hacking con Buscadores y consultando a Google sobre la URL periscope.tv/w, inicialmente sólo muestra un resultado.

Figura 5: Resueltos devueltos inicialmente por Google

Repitiendo la búsqueda para los resultados omitidos, tenemos que, de un resultado, pasamos a más de 90.000 resultados.

Figura 6: Resultados obtenidos viendo los enlaces omitidos

Accediendo a algunos de los resultados que devuelve Google, es posible acceder a los vídeos y retransmisiones almacenadas por ciertos usuarios si aún no han pasado las 24 horas hasta que el vídeo sea eliminado o ellos no lo han borrado.

Figura 7: Una retransmisión de periscope almacenada que aún no ha caducado

En las imágenes anteriores puede observarse retransmisiones con un buen número de espectadores almacenadas que aún no han caducado o que aún no se han borrado que podrían llegar a comprometer a ciertos usuarios. Aunque estos vídeos tengan un tiempo de vida de 24 horas, si alguien graba la pantalla donde está visualizando el vídeo, aunque este caduque o se borre posteriormente, tendrá el vídeo para siempre y podrá hacer con él lo que considere oportuno.

Figura 8: Imagen de una retransmisión almacenada con imágenes privadas

Es más, si en él aparecen imágenes comprometedoras, como también es posible saber la cuenta de Twitter de ese usuario, si esta es pública, pueden conocerse quiénes son los contactos de este usuario para poder intentar una posible extorsión con el material interceptado.

Figura 9: Aunque el perfil Twitter esté protegido, la grabación Periscope no lo está

Y es más, aunque un usuario de Periscope tenga su perfil de Twitter protegido, sus retransmisiones han sido indexadas por un buscador y son accesibles, podrían conocerse quiénes son algunos de sus contactos.

Conclusiones Finales

Aunque un determinado servicio en Internet ofrezca la posibilidad de que tus contenidos van a ser eliminados o que únicamente van a ser compartidos con los contactos que tú permitas, cabe la posibilidad de que la plataforma utilizada por ese servicio presente fugas de información y esos contenidos puedan estar al acceso de cualquiera en Internet y puedan llegar a comprometerte.

En este caso, Periscope hace una mala gestión de las opciones de indexación en Google que tan malas pasadas le han jugado en el pasado a Facebook, Gmail, WhatsApp o Dropbox, y que tal vez el equipo de seguridad de esta plataforma pueda solucionar con solo aplicar ciertas configuraciones de seguridad en la indexación de contenidos.

Autor: Amador Aparicio (@amadapa)

jueves, abril 28, 2016

Lynis: Auditar y fortificar servidores GNU/Linux

Hace unas semanas hablaba sobre una herramienta que permite identificar si faltan paquetes de actualización en sistemas con Microsoft Windows. Este tipo de herramientas, como la citada Windows Exploit Suggester, pueden ayudar, y mucho, en la comprobación del nivel de actualización de nuestros servidores y equipos cliente en la empresa. Además, esta herramienta  en concreto era capaz de darnos información sobre exploits públicos disponibles, e incluso nos informaba de la existencia de algún módulo de Metasploit disponible que se aprovechara de la falta de un paquete de actualización.

Figura 1: Lynis, audita y fortificar servidores GNU/Linux

Hoy vamos a hablar de otra herramienta que sirve para auditar sistemas, en este caso fortificar GNU/Linux. La herramienta se denomina Lynis y permite realizar auditoria de seguridad y fortificación de los sistemas basados en Unix. Lynis realiza un escaneo profundo sobre el sistema en el que se lanza, aunque juntándola con SSH podríamos lanzarla de forma sencilla en otros servidores de la organización. El objetivo de Lynis es detectar fallos de seguridad y errores de configuración o debilidades en el propio sistema. Estos resultados se utilizarán para fortificar a posteriori el sistema. El reporte que proporciona la herramienta ayudará a la toma de decisiones que habrá que tomar para la fortificación o hardening de los servidores GNU/Linux.

La herramienta también escanea de forma general el sistema detectando la falta de software actualizado o la existencia de paquetes de software vulnerables y los errores de configuración en la máquina. Lynis es utilizado por el blue team de una empresa, para mejorar las defensas de los servidores. Además, la herramienta proporciona una forma automatizada de auditar el servidor en modo caja blanca, realizar o llevar a cabo test de compliance, cumplimiento de PCI-DSS, HIPAA, etcétera, y detectar vulnerabilidades conocidas y debilidades.

¿Qué es lo que podemos sacar?

Descargarse Lynis es sencillo, podemos bajarlo de Github con la instrucción git clone https://github.com/CISOfy/lynis.git. Tal y como se puede ver en la imagen se obtienen diversos archivos, pero su ejecución es rápida y sencilla ./lynis –help.

Figura 2: Estructura de ficheros de Lynis

Lynis ofrece multitud de opciones para ser ejecutado. Una de las que llaman la atención es la posibilidad de auditar un dockerfile, es decir, un contenedor que tiene todas las dependencias de una aplicación en un formato estandarizado. Su ejecución en modo audit es sencilla. Debemos ejecutar la instrucción ./lynis audit system y la herramienta comenzará a realizar diferentes tests. Cada test está implementado en un plugin, los cuales pueden ser enumerados en la carpeta plugins, una vez descargado Lynis versión Enterprise.

Figura 3: Lanzamiento de auditoría de un servidor

Por cada tramo de evaluación que hace la herramienta, ésta se detendrá para que podamos evaluar lo que se nos presenta en pantalla. Lanzando Lynis sobre una Kali Linux 2.0 lo primero que se nos proporciona es información sobre el sistema operativo. El uso de los plugins puede ser muy interesante, ya que se añade más información, aunque para ello debamos utilizar la versión Enterprise.

Lynis lanzará pruebas sobre los siguientes elementos y nos irá mostrando por pantalla los resultados parciales que va detectando:
• Boot y servicios.
• Evaluación de la configuración del kernel.
• Comprobación de memoria y procesos.
• Configuración de las políticas de usuarios, grupos y métodos de autenticación.
• Shells.
• Evaluación del sistema de archivos.
• Almacenamiento.
• Ports & Packages.
• Networking.
• Configuración del software: servidor web, SSH, SNMP, motores de base de datos, PHP, configuración del logging de la máquina, etcétera.
• Evaluación de los valores que fortifican el kernel.
• Por último, resultados.
Figura 4: Resultados de auditoría del kernel de un Kali Linux 2.0

En la siguiente imagen vemos cómo se lanza una serie de pruebas sobre los elementos de boot y los servicios y la herramienta nos proporciona rápidamente los resultados. Se detecta, por ejemplo, que el GRUB no está protegido con contraseña, por lo que cualquier usuario con acceso físico a la máquina podría editarlo y conseguir una shell como root de forma sencilla.

Figura 5: Resultados de auditoría del boot y los servicios

En la siguiente imagen se puede ver los test que se pasan a la política y configuración de usuarios, grupos y los métodos de autenticación. El color amarillo nos indica qué hay cosas que son mejorables, y serán tomadas en cuenta por Lynis en el reporte final, dónde nos entregarán una puntuación y nos recopilarán todos los fallos que deben ser resueltos.

Figura 6: Resultados de auditoría de usuarios, grupos y sistemas de autenticación

Por último, se presentan los resultados y la evaluación mediante un número que indica el nivel de fortificación de la máquina.

Figura 7: Resumen sumario de la auditoría

Además, se hace un recopilatorio de los tests realizados y los plugins habilitados. Además, la herramienta nos realiza una serie de sugerencias para mejorar el hardening de la máquina, lo cual es realmente interesante.

Figura 8: Recomendaciones extras de fortificación

Lynis es una herramienta muy útil para hacer hardening de los sistemas GNU/Linux y para poder evaluar su nivel de seguridad actual. Cómo mencioné anteriormente, es una herramienta con la que deben contar todos los Blue Teams para poder tomar decisiones con las que se mejore la seguridad de la empresa.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell

miércoles, abril 27, 2016

Hacking en Arganda, Talks en la Web y Cursos Online

Hoy toca actualizar la lista de eventos para las dos próximas semanas, que aunque no son demasiados sigue habiendo actividad a tener en cuenta que puede ser de tu interés.

Figura 1: Hacking en Arganda del Rey, Talks en la web y Cursos Online (Abril & Mayo)

Durante esta semana aún quedan algunas acciones, y durante las dos primeras de Mayo ya tenemos planificados algunos eventos que pueden ser de tu interés. Esta es la pequeña selección para estas dos semanas.

Eleven Path Talks [Online]

Como sabéis, con esta iniciativa estamos impartiendo sesiones de una hora a través de Internet todos los jueves, para hablar de diferentes temas de seguridad en general y de nuestras tecnologías en particular. Las próximas sesiones previstas son:
Figura 2: Eleven Paths Talks

Las sesiones ya impartidas yo las recojo en este artículo: Sesiones de Eleven Paths Talks, y la lista de las siguientes a las que puedes apuntarte está en la web de Eleven Paths Talks.

Empleo Digital [Madrid]

Este viernes participaré en un acto en la Fundación Telefónica dedicado a la búsqueda de empleo en el mundo digital. Será en el auditorio de Telefónica en Gran Vía y está enfocado a ayudar a enfocar a los jóvenes que están en búsqueda de Empleo Digital hacia las tecnologías y profesiones demandadas por las empresas tecnológicas.

Figura 3: Empleo Digital

Yo participaré con una pequeña charla y hablaré de la Seguridad Informática y el trabajo que hacemos en Eleven Paths.


EastMadH4ck [Arganda del Rey]

Una nueva reunión con charlas para hablar de seguridad y hacking en el este de Madrid, en concreto en Arganda del Rey. Ahí colaboramos desde 0xWord y podrás conseguir todos los libros del catálogo directamente en el evento.

Figura 4: EastMadH4ck

Está dividido en dos sesiones que tendrán lugar el 30 de Abril y 7 de Mayo (ambos días son sábado). Las agendas las tienes disponibles aquí:
- Agenda 30 de Abril de EastMadHack
- Agenda 7 de Mayo de East MadHack
Entre las charlas, pues un poco de todo: malware, pentesting, hacking, demos, etcétera. Para aprender un poco más, que nunca es malo.

Cursos Seguridad Informática [Online]

Como sabéis, en los cursos de The Security Sentinel participamos desde 0xWord con el material que se entrega a los alumnos. Son cursos impartidos online, con entre 6 y 10 semanas de duración y enfocados en temas concretos. Los siguientes cursos que se van a impartir son los siguientes:
9 de Mayo - Seguridad en Redes: Es un curso de 8 semanas de duración y en él se entrega el libro de 0xWord de Ataques en redes de datos IPv4 & IPv6 en el que yo escribí en la parte dedicada a IPv6. 

23 de Mayo - Hacking Ético Avanzado: Es un curso de 9 semanas de duración orientado a explicar técnicas avanzadas de explotación y post-explotación. En él se entrega el libro de "Pentesting con PowerShell".
Por último, os dejo información de un Curso Online Universitario de Especialización en Perito en Informática Forense que imparte la Universidad Europea Miguel de Cervantes y en el que se entregan también los libros de 0xWord. En este vídeo tienes una explicación del contenido del curso.



Figura 5: Curso Online Universitario de Perito en Informática Forense

Y esto es todo por ahora. A mediados de Mayo os haré una actualización, porque tenemos un evento gordo en Eleven Paths para finales de Mayo, pero no os puedo dar la información aún, y además hay más cosas para finales del mes que entra que os pueden interesar.

Saludos Malignos!

martes, abril 26, 2016

Cómo usar Latch en tu día a día: Ejemplos, códigos y Tutoriales

Ya os había avanzado que los premios para el último Latch Plugin Contest han sido concedidos, pero algunas de las ideas que nos han presentado merecen la pena revisarlas en detalle. En este artículo os voy a dejar información de seis Plugins y un SDK que tal vez te estimulen intelectualmente para crear algo nuevo, o te den idea para un Proyecto de Fin de Grado o de Máster, o para que lo uses como forma de fortificar algún sistema de seguridad en tu empresa.

Figura 1: Cómo usar Latch en tu día a día: Ejemplos, códigos y tutoriales

TwLatch: Un hack de Latch para Twitter

El primer premio del concurso se lo dimos a TwLatch, un hack que controla lo que se publica en tu cuenta Twitter para evitar que una app maliciosa, o un Community Manager "descontrolado", publique twitts en tu time-line sin tu consentimiento. Es un hack que nos ha gustado en su idea e implementación, y por eso le dimos el primer premio. Este es el vídeo que lo explica y el código lo tienes disponible en GitHub: TwLatch.

Figura 2: TwLatch - Hack de Latch para Twitter

SDK de Latch para GO y Latch CMD

El segundo premio se lo dimos a este proyecto doble, en el que primero se construyó un SDK de Latch para el lenguaje GO (GoLatch) y después, con él, se creo Latch CMD, que permite controlar por medio de comandos tus aplicaciones Latch. De esta forma puedes automatizar las tareas en script, automatizar el control de cada Latch en función de flujos de tareas, etcétera. Este es el vídeo de Lath CMD:


Figura 3: Latch CMD usando SKD de Latch para GO

Tienes los códigos en las siguientes URLs:
- SDK de Latch para GO
- Latch CMD
Latch Proxymity: Zonas físicas de seguridad con Latch

Este plugin permite, utilizando la API de desarrolladores de Latch, evitar que un usuario pueda desbloquear su Latch si no está en una zona de seguridad. Para ello, se utiliza una Raspberry Pi en la que se carga Latch Proximity (escrito en Python) que monitoriza el estado de Latch de un usuario y cuando se cambia el estado se verifica si está cerca el dispositivo físico. Si no está, se usa la API de desarrollador y se le bloquea el Latch al usuario, tal y como se explica en este vídeo donde se ve la banda naranja indicando el cambio.


Figura 4: Funcionamiento de Latch Proximity

LatchWake: Controlar el apagado y encendido de redes de ordedores

Este es otro plugin que hace uso de una Raspberry Pi para cargar un plugin que verifica cuál es el estado de Latch. Cuando el estado es abierto, LatchWake enciende los ordenadores de una red de equipos. Esto - si has leído el libro de Wardog y el mundo te sonará de una historia -. Este vídeo explica el funcionamiento.


Figura 5: Funcionamiento de LatchWake

Latch para NUXEO

La plataforma NUXEO es para gestionar sitios web con alto contenido multimedia. Por supuesto, tiene gestión de usuarios, y con este plugin puedes poner un Segundo Factor de Autenticación usando Latch a las cuentas de usuario. Aquí tienes un ejemplo de funcionamiento de Latch para Nuxeo.


Figura 6: Latch para NUXEO

Lockifi: Apaga y enciende la WiFi con con Latch

Este plugin se basa en un programa Windows con un script para conectarse al router y apagar o encender la red WiFi. Para decidir qué script debe lanzar, se verifica el estado de una cuenta de Latch pareada con el servicio. Aquí tienes el código de Lockifi y en el siguiente vídeo la explicación de su funcionamiento.


Figura 7: Lockifi para controlar tu red WiFi con Latch

Latch para MediaWiki

Este plugin sirve para añadir un 2FA a todas las cuentas de usuario de las plataformas MediaWiki usando Latch. Tienes una explicación detallada del plugin en este artículo: Fortificar Mediawiki con Latch y en este vídeo tienes un ejemplo de uso.


Figura 8: Latch para MediaWiki

Al final, el uso del pestillo digital de Latch tiene muchas utilidades, muchas más de las que se nos ocurren a nosotros mismos. Puedes adaptar las cosas al control de tu Latch. Si quieres hacer algo, puedes consultar con nuestros técnicos en la Comunidad Latch en Eleven Paths, y si quieres hacer un proyecto y necesitas ayuda extra ponte en contacto con nosotros que intentaremos resolver tus dudas.

Saludos Malignos!

lunes, abril 25, 2016

PayPal: Di adiós a tu dinero si te confundes con el e-mail

Tras publicar este jueves los fallos de privacidad y seguridad de Uber, en el que explicaba en un artículo que no se verifica la dirección de correo electrónico antes de crear una cuenta de Uber o de enviar información personal del uso de la cuenta, muchos se pusieron en contacto conmigo para contarme otro buen montón de servicios que no verifican la cuenta de correo electrónico antes de comenzar a usar el servicio o enviarte notificaciones con información confidencial. De todos ellos, el que más me sorprendió fue PayPal, un servicio que se promociona como muy seguro, y que cae en un fallo de seguridad tan simple y peligroso para el dueño de la cuenta como este.

Figura 1: PayPal. Di adiós a tu dinero si te confundes con el e-mail

Para comprobarlo le pedí a mi compañero Pablo que creara una cuenta en un minuto para ver si funcionaba de esa forma. decidimos crear una cuenta de PayPal asociada a una dirección de correo electrónico con una dirección que no tenemos y ver si podíamos utilizar esa cuenta de PayPal. Para ello, primero comprobamos que XXXX.rodriguez86@gmail.com es una cuenta que existe en Gmail. Como se puede ver en la siguiente imagen el servicio nos solicita la contraseña, por lo que podemos concluir que la cuenta existe.

Figura 2: Buscamos una cuenta que exista para la demo

Ahora vamos a PayPal y comprobamos los tipos de cuenta que existen a la hora de hacer una nueva. Elegimos la cuenta personal, que es rápida y gratuita. Una vez seleccionada el tipo de cuenta se nos solicitarán una serie de datos. Los datos que nos solicitan para crear una cuenta de PayPal y comenzar a usarla son: País, dirección de e-mail y la contraseña.

Figura 3: Tipos de cuenta en PayPal

Al contrario de lo que pasa con el e-mail, con la contraseña nos pide que la introduzcamos dos veces, para que no nos confundamos, es decir, por precaución para evitar el fallo. Sin embargo, y como se verá más delante, en el caso del e-mail es importante no equivocarse, ya que podríamos acabar creando una cuenta para otro usuario de nuestro proveedor de correo electrónico.

Figura 4: Se verifica la password, pero no la dirección de e-mail

Completamos el resto del registro con los datos más personales del usuario. Si nos fijamos, el número de teléfono móvil puede ser inventado también, no hay tampoco una comprobación de este número para poder comenzar a usar la cuenta. Es decir, no es necesario verificar ninguna información para comenzar a usar la cuenta de PayPal. Pero si te equivocas en el e-mail, la has liado gorda.

Figura 5: Completando la creación de la cuenta.
El número de teléfono no se verifica tampoco.

Una vez nos registramos en PayPal, podríamos esperar a tener que verificar el correo electrónico, pero si nos vamos al sitio web de PayPal podremos iniciar sesión sin ningún problema. Estamos utilizando el e-mail de un usuario de Gmail que no somos nosotros y lo tenemos vinculado a nuestra cuenta de PayPal, por lo que si el verdadero dueño, cuya dirección de e-mail es XXX.rodriguez86@gmail.com (que existe) puede robarnos la cuenta, ¿Cómo? Fácil, pidiendo recuperar la contraseña a través del correo electrónico.

Figura 6: Se puede iniciar sesión. La cuenta está funcionando.

Como se ve en la imagen siguiente podemos recuperar la contraseña a través de esa cuenta de correo electrónico.

Figura 7: Recuperación de cuenta por medio de correo electrónico

Al no haberse hecho una verificación del correo electrónico, el propietario real del correo podría quitarnos la cuenta simplemente restaurando la contraseña con el enlace que recibirá en su e-mail.

¿Y si hubiera puesto el número teléfono correcto?

Pues tu gozo en un pozo. En las opciones de recuperación de cuenta ves que hay una opción que dice "No me acuerdo de la dirección de e-mail" pero no, no sirve para que te manden un código OTP por SMS y solo te comprueban tres direcciones de correo electrónico que te puedan sonar.

Figura 8: Direcciones de e-mail para recuperar una dirección de e-mail

Y si has pesado que en la última opción de recuperación tal vez podrías recuperar la cuenta por medio de un SMS OTP, pues tampoco, PayPal vuelve a solicitar tres direcciones de correo electrónico para ver si alguna de ellas que ya tienes es la que asociaste a tu cuenta de PayPal. Así que, si te equivocas en el correo electrónico, comienzas a usar la cuenta, metes dinero en ella, puede que te quedes sin él, porque el dueño del correo electrónico de verdad podrá recuperar la cuenta y gastarse tu dinero.

Figura 9: Más direcciones de e-mail para recuperar contraseña o dirección de e-mail

Este fallo de no verificar la dirección de correo electrónico no se comete solo cuando se hace el registro de una cuenta, sino cuando se configura para recibir notificaciones. Cualquier sistema que envíe notificaciones con información confidencial - como sistemas bancarios, o aplicaciones con información personales - primero debería verificar que el dueño del correo es el usuario que es el dueño de la cuenta, y así evitar problemas de estos tipos.

Saludos Malignos!

domingo, abril 24, 2016

Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

El próximo 25 de Mayo hará 6 años que, desde el equipo de Informática 64 reportamos al equipo de seguridad de Chromium que en Google Chrome 4 había un comportamiento anómalo de seguridad por como gestionaba las opciones de protección contra la carga del contenido que se hace en una página web. Básicamente, existía un caso en el que aún habiendo sido bloqueada la carga de contenido JavaScript desde un determinado dominio, si este se metía en un iframe se saltaba esta protección.

Figura 1: Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

Para estudiar aquel caso se abrió un ID en el sistema de reporte de bugs con el número 44985 donde dejamos toda la información. Al principio, algunos de los ingenieros defendieron ese comportamiento y lo llegaron a calificar como un problema en la explicación de la "Feature", por lo que en la clasificación le asignaron un "WordFix" y lo dieron por cerrado en una primera catalogación.

Figura 2: Primera catalogación como Feature y se cierra como un "WordFix"

Por supuesto, al poco, comenzó el debate cuando algunos ingenieros no tenían tan claro que ese debiera ser el comportamiento de Google Chrome ante el contenido cargado desde un iframe si el usuario había expresado claramente que no quería cargar ningún JavaScript desde un determinado dominio - viniera o no ese contenido en un iframe -, por lo que se volvió a abrir y se convirtió en una "Issue" en una segunda catalogación.

Tercera catalogación

Con el paso del tiempo, este "Issue" se unió con otras conversaciones que fueron apareciendo posteriormente durante el año 2014 y se le asignó el ID 444744 para que lo estudiaran. En ese momento, la catalogación de este Issue pasó a ser de Privacy & Security-UX Feature con prioridad 3 para ser arreglada.

Figura 3: Tercera catalogación como Privacy & Security-UX Feature

Con este tratamiento, ya se puso en la cola de tareas a corregir, pero aún no se pusieron manos a la obra a corregirla. Tendríamos que esperar aún un par de años para que esto se tomara de otra forma.

Cuarta catalogación

Como yo abrí el caso, cada vez que hay un cambio en el estado de este "Issue" recibo una alerta, y la última me ha traído como sorpresa que ha sido recatalogado esta vez como Security & Privacy Bug con prioridad 2

Figura 4: Cuarta catalogación como Security & Privacy Bug

Es decir, la Feature mal explicada que se catalogó inicialmente como un WordFix, que luego se catalogó como Issue, que luego se puso como Privay & Security-UX Feature, ha terminado como Security & Privacy Bug al cabo de 6 años. Hemos pasado de la versión 4 a la versión 49 de Google Chrome, pero nunca es tarde si al final lo acaban corrigiendo.

Saludos Malignos!

sábado, abril 23, 2016

Aprender Sinfonier "from scratch"

El pasado mes de febrero nuestros compañeros de Sinfonier fueron a Granada para organizar un hackathon en el que enseñaron a los asistentes a desarrollar topologías de ciberinteligencia, bolts, spouts y drains para sacarle partido a esta tecnología.

Figura 1: Aprender Sinfonier "From Scratch"

Además de la competición, previamente se realizó un seminario de una hora de duración en el que se explicaron los conceptos básicos para que cualquier persona pueda comenzar a hacer uso de Sinfonier. Aquel seminario se grabó en vídeo y aquí lo tienes disponible. Sácate una cuenta gratuita en la web de Sinfonier Community, dedícale una hora a ver el seminario, y comienza a hacer tus primeros proyectos.


Figura 2: Cómo comenzar a analizar datos con Sinfonier

Además de el seminario, tienes muchos recursos que te pueden ayudar a conocer mucho más sobre esta tecnología. Aquí te dejo una lista de recursos que puedes utilizar para construir tus proyectos usando Sinfonier. Toma nota:
-Libro Sinfonier para Ciberseguridad
- Investigar el Cibercrimen en Android con Tacyt y Sinfonier
- Procesado y generación de ciberinteligencia con Sinfonier
- Controlar con Sinfonier un bot de Telegram con Latch y Virus Total
- ¿He sido Hackeado? Cómo construir un bolt para Sinfonier
- Desenmascarar cuentas de Twitter con una topología de Sinfonier
- El Internet de tus cosas con Edison y Sinfonier
- Cómo monitorizar la seguridad de una SmartCity con Sinfonier: Zaragoza
Además de estos artículos en los que se explican casos de uso de Sinfonier, tienes una buena cantidad de recursos que puedes utilizar para aprender en profundidad esta tecnología. Aquí tienes una conferencia de presentación del producto que dio nuestro compañero Fran - alma de este producto - contando los conceptos básicos que se persiguen.


Figura 3: Presentación de Sinfonier Project

Pero tienes todos estos recursos para estar al día:
- Web de Sinfonier Project
- Blog de Sinfonier
- Twitter de Sinfonier
- Foro de Sinfonier en la Comunidad Eleven Paths
- Lista de vídeos de conferencias y demos de Sinfonier
Y si aprendes a manejar Sinfonier, y haces tus proyectos con esta tecnología - ya sea un Proyecto Personal,  Proyecto de Fin de Carrera o Proyecto Fin de Máster - no dudes en enviarnos el currículo, que seguramente tengamos un hueco para ti en Eleven Paths

Saludos Malignos!

viernes, abril 22, 2016

Celebramos el día del libro 2016 en 0xWord: 10% menos

Este fin de semana tiene lugar la celebración del Día del Libro 2016, y en 0xWord queremos celebrarlo con un descuento para todos los que queráis adquirir alguno de nuestros productos. Absolutamente todos los libros, incluidas las novedades como Deep Web o Malware en Android, los packs descuento, el cómic de Hacker Épico o la novela de Cluster, contarán con un 10% de descuento utilizando el código descuento que hemos creado.

Figura 1: Día del libro 2016 en 0xWord

El código estará funcionando desde las 00:00 horas del día 23 de Abril de 2016 hasta las 24:00 horas el día 24 de Abril de 2016. El código que hay que introducir es DIALIBRO2016 en la parte de Cupones, tal y como se ve en la imagen siguiente.

Figura 2: Introducción del código descuento para el Día del libro 2016

Con este código, el costo de todos los productos que se compren en la tienda online en España se reducirán en un 10%, así que si tenías uno pendiente, es un buen momento para aprovechar y comprarlo.

Saludos Malignos!

jueves, abril 21, 2016

Uber Fail: Un e-mail sin verificar expone tu privacidad

El caso que os voy a contar ahora le pasó a uno de los lectores de El lado del mal y me lo pasó. Tiene que ver con las medidas de seguridad de Uber y la verdad es que parece que sea mentira que a día de hoy haya fallos de seguridad tan garrafales en la gestión de identidades en una empresa como esta. Tras leer la historia, espero que te animes a confirmar correctamente tus datos o podrás tener un disgusto no deseado.

Figura 1: Uber Fail. Una dirección de e-mail sin verificar expone toda tu privacidad

La historia comienza con la recepción por parte de nuestro lector de mensajes de correo procedentes de Uber con información de que se ha dado de alta en el servicio y de un viaje que nunca había realizado. 

Figura 2: Mensaje de bienvenida al servicio Uber

El usuario del viaje se había dado de alta como Rider, o lo que es lo mismo, como pasajero, y parece que lo estaba usando por México, a pesar de que el dueño del correo electrónico es de España, pero los mensajes le llegaban a nuestro amigo en lugar de al usuario de verdad.

Figura 3: e-mail desde Uber con información del viaje

Con esta preocupación contacto con Uber y recibió esta respuesta en la que venían a decirle que el correo electrónico suyo no estaba en ningún sitio asociado a ninguna cuenta de su plataforma.

Figura 4: Mensaje de soporte de Uber diciéndole que no había cuenta con su dirección de e-mail

Por supuesto, el protagonista de esta historia no se había dado de alta en ningún momento, pero el correo que había recibido era legítimo de Uber, lo que significaba que alguna cuenta de usuario había en la plataforma con su dirección de correo electrónico. Tras ver que soporte no le daba respuesta inicialmente, decidió probarlo él mismo y ver si había cuenta o no con su correo. Al llegar al proceso de login en Uber, hace falta tener no solo el correo electrónico, sino también la contraseña, así que no se puede iniciar sesión pese a que la dirección parece ser de algún usuario de la plataforma.

Figura 5: Proceso de login como rider en Uber

Esto no es óbice para conseguir averiguar qué ha sucedido, ya que como podéis ver el sistema de recuperación de contraseñas permite enviar un mensaje a la cuenta de correo electrónico asociada con un enlace para cambiar la contraseña y listo. 

Figura 6: Recuperar la contraseña de la cuenta con introducir el e-mail

Así que una vez dentro, se puede acceder a la información de la cuenta para darse cuenta de que su correo no solo se ha utilizado para crear una cuenta, sino que además Uber saber que no está verificado, que tiene un número de teléfono que sí que está verificado, que tiene datos personales y financieros del usuario y que aún así, Uber ha enviado el enlace para recuperar la contraseña al correo electrónico.

Figura 7: Datos de el usuario en el que se ve que el e-mail está sin verificar

Repito todo por si alguno no se ha quedado con la situación.
1) Uber ha permitido crearse un usuario asociado a un e-mail sin verificar.
2) Uber manda correos de la actividad a un e-mail sin verificar.
3) Uber ha verificado el número de teléfono del usuario.
4) Uber permite que la recuperación de cuenta sea por e-mail (sin verificar) teniendo verificado un número de teléfono.
Lógicamente, esto es un fallo de seguridad en el proceso de gestión de las cuentas de usuario bastante grande y que, como vemos, expone a los clientes y sus datos personales. También, con implicaciones fiscales, ya que se pueden incluso solicitar las facturas con los datos que se desee usando Uber Facturas.

Figura 8: Solicitud de facturas de los viajes

El usuario que se saca la cuenta puede pensar que el correo electrónico ha caído en el spam, que tarda en llegar el mensaje o cualquier otra cosa. Seguramente está confiado de que todo está bien, al fin y al cabo verificó su número de teléfono y pudo hacer uso del servicio, ya que añadió correctamente la tarjeta de crédito a la plataforma y pagó con ella.  Pero no es así. Y además este sistema puede meter en problemas al autentico dueño del correo electrónico que puede verse relacionado con esa persona sin saber quién es. 

Figura 9: La cuenta va creada solo con un e-mail que no es necesario verificar 

No sé si quiera si una forma de gestión de acceso a las cuentas de usuario y los servicios de pago así, pasaría una auditoría PCI completa para las empresas que gestionan medios de pago, pero lo más gracioso es que nuestro protagonista no consiguió que le quitarán el correo electrónico de la cuenta con facilidad, y el servicio de soporte lo explicaba que esto era así por motivos de seguridad.

Figura 10: Respuesta de soporte de Uber para no cambiar la cuenta de e-mail

Este fallo garrafal de permitir el uso de una cuenta sin verificar el correo electrónico ya lo vimos en el pasado con Instagram, pero en este caso es más sangrante porque Uber tiene verificado el número de teléfono y podría haber forzado la recuperación de la contraseña solo por número de teléfono. Pero no fue así.

Saludos Malignos!