martes, febrero 25, 2020

Hacking Trick: Bypass de Políticas de Grupo (GPO) en Windows 10

Recientemente se ha publicado un truco para hacer un bypass de GPO (Group Policy Objetcs -Políticas de Grupo). El propio funciona en políticas locales y en políticas aplicadas por un administrador de dominio. Hay que decir que, probando este bypass pues la máquina puede sufrir algún inter-bloqueo (deadlock) o inestabilidad, por lo que si quieres probarlo, hazlo sobre un entorno virtual y en un entorno controlado totalmente por ti.

Figura 1: Hacking Trick: Bypass de Políticas de Grupo (GPO) en Windows 10

Me llamó la atención la sencillez y el paso a paso que siguió el investigador para lograr su objetivo. Hay que tener en cuenta que saltarse una política de grupo es algo interesante para los pentesters que se encuentran en proyectos de Ethical Hacking o en grupos de Red Team, pero existen muchas protecciones por detrás que pueden ayudar a seguir protegiendo el equipo. ¿Qué quiero decir? Que no es el fin del mundo hacer un bypass de esto, pero que ayuda y que, por supuesto, la gente de IT debe proteger y restringir ciertas acciones mediante un buen uso de la política de grupo.

Figura 2: Hacking avanzado en el Red Team

Teniendo en cuenta que en una semana son los RootedLab y donde estaré con el de Ethical Hacking y el de Offensive Powershell, pues quería mostrar el tipo de cosas que se pueden aprender en estos lab. Así que si te interesa este mundo, no dudes en pasarte por los labs y por RootedCON dónde daremos charla varios compañeros de Telefónica.

Figura 3: RootedLab "Offensive Powershell"

El investigador que ha publicado la técnica indica que lo ha probado en Microsoft Windows 7 y Microsoft Windows 10. Como parte del trabajo en Hacking Windows, yo lo he probado en Windows 10 con buen resultado, aunque la pantalla puede provocar algún “tembleque” hasta que se carga correctamente el hive de registro.

¿En qué consiste todo esto?

La técnica consiste en aprovecharse de la forma en que se carga el registro, en particular el hive HKCU, al iniciar sesión en el equipo. Cuando el usuario inicia sesión se cargan ajustes desde la rama HKEY_CURRENT_USER. Este hive contiene ajustes relacionados con el usuario y aplicaciones que se relacionarán con él. Este hive es un archivo que se puede encontrar en la siguiente ruta: %USERPROFILE%\ntuser.dat. Cuando se inicia sesión, el servicio de perfiles de usuario utiliza NtLoadKeyEx para cargar el hive en el registro.

Figura 4: Libro de Hacking Windows

¿Y si quieres cambiar algo en la clave del registro durante el inicio de sesión? Pues hay que pasar por las APIs de Microsoft que comprobarán los permisos de las claves que se quieren modificar. Como dijo David, el investigador que descubrió el truco, es un mini sistema de archivos.

¿Dónde está el problema?

Con ProcMon (y boot logging activo) se puede ver que el servicio ProfSvc comprueba si existe %USERPROFILE%\ntuser.man, antes de cargar el fichero ntuser.dat. Esto nos debe sonar mucho de la parte de los bypasses de UAC o de la técnica DLL Hijacking.

Uno se puede preguntar, ¿qué es ntuser.man? Es un archivo similar a ntuser.dat o, a efectos prácticos, igual. La diferencia sería que se utiliza cuando se requiere un perfil obligatorio. En %USERPROFILE% el usuario puede escribir, por lo que podrá escribir el fichero ntuser.man que mejor le interese para conseguir el bypass de la política que le marquen. Como se puede ver, la idea es sencilla. Los pasos serían:
1. Crear el hive ntuser.man 
2. Añadir o eliminar las políticas clave/valor que se quieran del hive 
3. Mover el archivo a la ruta %USERPROFILE% 
4. Salir de la sesión y volver a iniciarla
El bypass parece sencillo, pero no lo es tanto. Las políticas se sincronizan y se vuelven a aplicar al inicio de sesión o en intervalos regulares. Si se intenta evitar la anulación eliminando la rama SYSTEM o SISTEMA de la ACL de nuestra clave, el cliente de GPO de Windows detectará esta situación y corregirá la ACL. Es decir, recuperará los permisos de escritura y volverá a escribir la configuración de la política de grupo.

El cliente de política de grupo de Windows o GpSvc se ejecuta y encuentra una subclave en el hive llamado “Políticas” o Policies. Entonces llama a una función interna denominada ForceRegCreateKeyEx, la cual intenta abrir una de las subclaves de políticas con permisos de escritura, si falla, llama a AddPolicyPermissionOnKey para que tome la propiedad de la clave y restaure “SISTEMA” con permisos de escritura en la clave. Luego se reabre la clave y se sobrescriben las entradas de la política de grupo.

Entonces, David vio que la rutina AddPolicyPermissionOnKey modificaba la ACL de la subclave para agregar a SYSTEM, pero no eliminaba ninguna entrada de la ACL existente. Esto quiere decir que si se estable una entrada explícita para denegar los permisos de escritura de SYSTEM, entonces se bloquea a SYSTEM y no podrá obtener los permisos necesarios para restablecer la política de grupo.

Después de la teoría, vamos con los ejemplos

En la presentación de la técnica se mostraba un ejemplo con el Task Manager (administrador de tareas). Para el artículo he realizado el mismo ejemplo, pero también añadiendo la prohibición de la ejecución de un CMD por parte de un usuario por GPO (que es típico de encontrar por ahí). El primer ejemplo, se puede habilitar de la siguiente forma, a través del MMC y las GPO:

Figura 5: Habilitar GPO para eliminar el Task Manager

En la ruta System (sin entrar en Ctrl+Alt+Del Options) se puede encontrar la directiva para bloquear la ejecución de un CMD. El resultado es que el "Administrador de Tareas" no está accesible para el usuario y que el CMD queda bloqueado como puede verse en la siguiente imagen.

Figura 6: Task Manager está deshabilitado

Ahora empezamos con la creación del fichero ntuser.man. Lo primero es conseguir uno de un Windows con la misma versión, esto es importante. Se puede copiar de un usuario que esté “no conectado”, es decir, no haya iniciado sesión. Una vez se tiene un archivo copiado de ntuser.dat, lo podemos “abrir” con el registro de Windows. Abrimos con regedit.exe y en el menú "Archivo" podemos encontrar la opción Cargar hive. Una vez cargamos el hive, en el ejemplo lo hemos hecho sobre HKEY_LOCAL_MACHINE, le ponemos un nombre y podemos modificar todo lo necesario.

Lo primero es cambiar los permisos sobre la raíz, para que haya un control total, por parte del usuario “todos”, sobre todas las subclaves que hay debajo de la raíz. Hay que recordar que, aunque lo he llamado “poc”, esa clave y su jerarquía corresponde con el HKEY_CURRENT_USER que queremos “emular” para conseguir el bypass de las políticas de grupo GPO.

Figura 7: Cambio de permisos sobre "poc"

Ahora, hay que llegar a \Software\Microsoft\Windows\CurrentVersion\Policies. En función de la política que se quiera sobrescribir o añadir, se necesitará encontrar la subclave correspondiente. En el caso del administrador de tareas y del CMD la clave es \Software\Microsoft\Windows\CurrentVersion\Policies\System. La subclave System es donde añadiremos la regla DENY para lograr que SYSTEM no tenga privilegios de escritura/creación. De esta forma se logra el bypass.

Figura 8: Se mueve el fichero ntuser.man al %USERPROFILE%

Por último, se mueve el fichero ntuser.man a la ruta %USERPROFILE% y se puede cerrar e iniciar sesión de nuevo, tal y como se ve en la Figura 8.

Figura 9: Task Manager vuelve a estar disponible

El resultado es que volvemos a tener “Task Manager” y que la CMD vuelve a estar disponible.

Figura 10: CMD vuelve a estar disponible

Es un buen truco que cualquier pentester debe llevar consigo en la mochila para las auditorías y proyectos de hacking ético. Estos trucos dan un valor añadido a la figura del pentester. Recordad probarlo en un entorno controlado por vosotros, ya que puede causar inestabilidad en el sistema si se aplica incorrectamente.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 11: Contactar con Pablo González

lunes, febrero 24, 2020

Del Apple II al Apple IIgs o cómo un genio (Steve Wozniak) se empeñó en revolucionar la informática gracias, en parte, al videojuego Breakout de Atari [Parte 2 de 3]

En la primera parte de este artículo hemos hablado de sólo algunas de las cientos de anécdotas y curiosidades que han rodeado la creación del mítico Apple II. En esta nueva entrega, vamos a centrarnos esta vez en el aspecto técnico de cada uno de los ordenadores de la gama, comenzando por el Apple II y terminando con el Apple IIGS. No todos comparten la fantástica historia llena de motivación y “hacks” que rodea al Apple II pero sí tienen en común la misma raíz del genio de Wozniak, creando una línea de ordenadores que lamentablemente, no se volvió a repetir en Apple.

Figura 12: Del Apple II al Apple IIgs o como un genio (Steve Wozniak)
se empeñó en revolucionar la informática gracias, en parte,
al videojuego Breakout de Atari [Parte 2 de 3]

Detalles como los numerosos puertos de expansión o su facilidad para abrirlo y acceder a su electrónica, fueron desapareciendo a lo largo de los modelos posteriores. El Apple II podemos afirmar que fue (y sigue siendo) un ordenador creado por un hacker para hackers.

Apple II (Junio de 1977)
  • Precio base: 1298$
  • RAM: 4KB hasta 48KB
  • CPU: MOS 6502. 1.0 MHz
  • Display: NTSC. HiRes 280 x 192 (6 colores) y LoRes 40 x 24 (16 colores)
  • Puertos: salida de video compuesto, interfaz para el casete y 8 slots de expansión
  • Almacenamiento: casete y disquetera externa Disk II
  • OS: Woz Integer BASIC (ROM) y Apple DOS
Figura 13: Apple II original

Quizás una de las características que lo hizo realmente especial para la época era que simplemente sacándolo de la caja y conectándolo a un televisor, ya podíamos empezar a trabajar con su BASIC (es decir, era “user friendly” no como ocurría con el Altair, el cual era un poco complicado para usuarios menos expertos).

Fijaos que el número de puertos que traía de base, tal y como se ve en la imagen siguiente, aunque no incluía algunos tan importantes como un puerto serie, por ejemplo. Esto se suplía con creces al tener esos magníficos ocho puertos de expansión que permitían que se fabricaran tarjetas tan diversas como expansión de memoria, controladoras de disco, tarjetas de emulación CP/M, puertos serie o paralelo, SCSI, de vídeo y un largo etcétera.

Figura 14: Vista interior del Apple II. Hay que destacar los 8 puertos de expansión

Pero realmente la aplicación que hizo que el Apple II fuera un éxito absoluto en ventas fue VisiCalc (1979), la primera hoja de cálculo que abrió todo un mercado orientado a los negocios. No os perdáis esta fantástica charla que ofreció Dan Bricklin, uno de los creadores de la hoja de cálculo en TED.


Figura 15: Dan Bricklin en TEDxBeaconStreet

Los juegos fueron también una base importante para su triunfo frente a otros ordenadores, sobre todo en EE. UU., ya que aquí en Europa es un ordenador menos conocido. En 1978 aparecería un periférico también diseñado por Wozniak, la unidad de discos de 5 ¼ (la Disk II, otra maravilla a la altura del Apple II que podéis ver en la foto siguiente), la cual se creó para eliminar las cintas de casetes por otro método de almacenamiento más rápido, con más espacio y eficaz.


Encontrar un Apple II original de 1977 es bastante complicado y caro, rondando entre los 2.000$ y 3.000$ en eBay. Como curiosidad final, el cine comenzó a incluir ordenadores Apple II en multitud de series y películas debido a su gran popularidad, como por ejemplo “La Cosa” (1982) o incluso “Rambo” (1982). En este enlace podéis ver algunas de sus apariciones estelares.

Apple II Plus (Junio de 1979)
  • Precio base: 1200$
  • RAM: 16KB hasta 64KB
  • CPU: MOS 6502. 1 MHz
  • Display: NTSC. HiRes 280 x 192 (6 colores) y LoRes 40 x 24 (16 colores)
  • Puertos: salida de video compuesto, RF, interface para el casete y 7 slots de expansión
  • Almacenamiento: casete y disquetera externa Disk II
  • OS: Applesoft BASIC (ROM), Apple DOS y Apple ProDOS opcionales
Figura 17: Aspecto del Apple II Plus. Identico al Apple II

El Apple II Plus apareció en el mercado dos años después del Apple II para mejorar en algunos aspectos el original, aunque básicamente era un Apple II pero con una ROM distinta en la cual se incluyó una nueva versión de BASIC (Applesoft BASIC, creado junto a Microsoft, lo que marca la primera colaboración entre ambas empresas durante su historia) que incluía el uso de las operaciones de coma flotante. Realmente la inclusión del Applesoft BASIC y otras modificaciones en la ROM, fueron la gran mejora del Apple II en esta versión Plus.

Figura 18: Cinta de casee con AppleSoft BASIC by Microsoft 1977.

Como curiosidad, la empresa Bell & Howell (en un acuerdo empresarial con Apple) sacó al mercado un modelo clónico del Apple II Plus orientado a la educación, el cual incluía una gran cantidad de conectores para audio y vídeo.


Figura 19: Aspecto del Apple II Plus de Bell &Howell, también llamado "Darth Vader"

Debido a su color negro, se le conoce como el Apple II Plus “Darth Vader” ;) y es uno de los modelos más difíciles de encontrar en el mercado de segunda mano. Si Apple ya había conquistado el mercado personal y de empresas gracias  al Apple II, los juegos y VisiCalc, en su alianza con Bell & Howell conquistó el único feudo que le faltaba: la educación.

Apple II Europlus (Junio de 1979)
  • Precio base: 1200$
  • RAM: 16KB hasta 64KB
  • CPU: MOS 6502. 1 MHz
  • Display: PAL. HiRes 280 x 192 y LoRes 40 x 24. Mononocromo.
  • Puertos: salida de video compuesto, RF, interface para el casete y 7 slots de expansión
  • Almacenamiento: casete y disquetera externa Disk II
  • OS: Applesoft BASIC (ROM), Apple DOS y Apple ProDOS opcionales
Figura 20: Aspecto del Apple II Europlus, idéntico al Apple II

No hay mucho más que contar de este modelo el cual era básicamente un Apple II Plus pero con modificaciones en su fuente de alimentación (para los 220v en Europa) y cambios en su firmware para adaptarse a los estándares europeos. Lo más curioso de este modelo es que no tiene colores (es monocromo), ya que el truco que Wozniak aplicó para obtener colores con la versión NTSC no sirve para formato PAL. Para poder obtener colores era necesario adquirir una tarjeta de video adicional. En Japón también salió al mercado un ordenador similar al Europlus llamado J-Plus, el cual se adaptó a los estándares japoneses.

Apple IIe (Enero de 1983)
  • Precio: 1400$
  • RAM: 64KB hasta 1MB
  • CPU: MOS 6502 o 65C02. 1 MHz
  • Display: NTSC. 280 x 192 (6 colores) y 590 x 192 (16 colores) modo gráfico, 40 x 24 y 80 x 48 en modo texto (ambos con 16 colores)
  • Puertos: salida de video compuesto, RF, interface para el casete, puerto de joystick y 8 slots de expansión
  • Almacenamiento: casete y disquetera externa Disk II
  • OS: Applesoft BASIC (ROM), Apple DOS 3.3 y Apple ProDOS opcionales
Figura 21: Apple IIe

La historia del Apple IIe (“e” de “Enhanced”) es realmente interesante, ya que es un superviviente que se llevó por delante al mítico Apple Lisa y al Apple III. Steve Jobs quería terminar con la gama Apple II y crear una nueva línea, incompatible con la anterior. Esto enfrentó de lleno a Jobs con Wozniak, el cual creía que la evolución tenía que mirar siempre hacia el Apple II, el ordenador con más éxito y el que era el que sustentaba la empresa con sus beneficios.

El primer intento fue el Apple III pero acabó siendo un tremendo fracaso, ni siquiera el gran despliegue para su presentación (se alquiló Disneylandia) pudieron evitarlo. Además, era un producto muy caro para la época (entre los 4.000$ y 7.000$) e incluso salió al mercado sin estar totalmente acabado, como demuestra la curiosa forma de reparación que indicaban desde el mismo soporte de Apple, que no era más que levantarlo y tirarlo contra la mesa a cierta altura.
Figura 22: Cartel de la presentación al público del Apple III en Disneyland

Finalmente tuvieron que hacerle caso a Wozniak y continuar la gama Apple II con este nuevo modelo mejorado, el Apple IIe. Este nuevo modelo era un auténtico lavado de cara a los modelos anteriores. Se había reducido bastante el número de circuitos integrados en la placa base (de 100 a 31) y también incluía dos cambios que sorprendentemente no tenían los modelos anteriores: un botón de Reset y por fin ¡letras minúsculas! Estas nuevas mejoras lo elevaron como el ordenador más popular de Apple, llegando a vender entre 60.000 y 70.000 unidades al mes.

Aunque se discontinuó en 1993, Apple lo volvió a resucitar creando una tarjeta de expansión llamada Apple IIe Card, la cual era un Apple IIe (no exactamente igual, pero aprovechaba la tecnología de los ordenadores anfitriones para configurar las mismas características de un IIe) lo que permitía que los usuarios de ciertos modelos de Macintosh como el LC, pudieran tener un dos por uno en la misma máquina.

Figura 23: Apple IIe Platinum, donde podemos ver el cambio de estilo y sobre todo el teclado numérico

Todavía se mejoró un poco más con una versión que llamaron “Platinum”, el cual básicamente era igual pero incluía un teclado numérico, una revisión de la placa base y una nueva carcasa. Para concluir, el Apple IIe es la culminación definitiva, a nivel de hardware y prestaciones, del Apple II, el ordenador que Wozniak siempre quiso fabricar. Por cierto, de nuevo nos corroe la envidia al ver que Chema Alonso tiene uno de estos también en su despacho. No os perdáis la siguiente y última parte.

Happy Hacking Hackers! 

***********************************************************************************
- Del Apple II al Apple IIgs [Parte 1 de 3]
- Del Apple II al Apple IIgs [Parte 2 de 3]
- Del Apple II al Apple IIgs [Parte 3 de 3]
***********************************************************************************

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.


 Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso
(@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.



Contactar con Rafael Troncoso en MyPublicInbox

domingo, febrero 23, 2020

Cómo configurar un Remote Mouse en tu iPhone para controlar tu MacOS y no morir en el intento

Hace tiempo que vengo utilizando el mismo equipo para trabajar. Un MacBook Pro pre-Retina. De los que NO llevan USB-C y no hay que ponerles cien mil millones de adaptadores para conectarles cosas tan raras como un disco USB normal, o cualquier otro dispositivo de los millones que hay con USB. Es cierto que confiando en Apple me compré un Macbook de esos que llevan la TouchBar en el teclado, y después de perder algún adaptador y de dejarme tirado en alguna presentación, opté por regresar al MacBook Pro "antiguo"

Figura 1: Cómo configurar un Remote Mouse en tu iPhone para controlar tu MacOS
y no morir en el intento

Y le he dado mucha caña. Tiene más programas de puntos por viajes que yo. Lo he usado hasta que lo he roto por muchos sitios diferentes. Algunos técnicos de audiovisuales en eventos conocen ya mi equipo por "el del USB machacado", porque se me cayó una vez al suelo y tengo abollado la entrada USB izquierda de mi MacBook Pro.

Y sí, me he cargado también el teclado y el TouchPad del equipo original, así que ahora para trabajar llevo un teclado USB/BlueTooth Apple y un raton Magic Bluetooth de Apple, también. Y así voy tirando hasta que decida qué equipo va a sustituir definitivamente a mi MacBook Pro, que ya no sé si aguantará muchos más viajes. Aquí lo tenéis conmigo en medio del mar mientras posteo con él.


Si has leído hasta aquí entenderás la historia que te voy a contar, porque me sucedió cuando, como os podéis imaginar, me olvidé del ratón y necesitaba usar mi equipo para trabajar. Como de costumbre, me hallaba en mitad de Madrid, así que entré a una cafetería de un hotel a tomarme un café americano de los míos e intentar trabajar un par de horas.

Pero no tenía ratón, así que la historia se complicaba un poco, pero no mucho, pensé. Al final, estamos en el siglo XXI largo ya, así que esto debe ser fácil. Voy a configurarme un ratón en la pantalla del iPhone y lo conecto por Bluetooth y andando. Pero me dio un poco más de guerra de lo deseado, así que quiero compartirlo con vosotros para que tengáis las lecciones aprendidas en mente por si os pasa alguna vez.

Usando una App Ratón en iPhone

Pensé en utilizar una app en iOS que simulara un mouse y se conectara a MacOS por BlueTooth. Esto no debía ser tan difícil, pero lo que descubrí es que esta idea que tenía yo en la cabeza que "debía de estar", no estaba tal y como yo la imaginé. Sí que existen apps que te permiten controlar el ratón del MacOS o del Windows desde iPhone pero utilizan la red WiFi y necesitan una conexión a un servidor HTTP que debe ser instalado en el equipo. 

Las apps de mouse remoto por BlueTooth puro no funcionan, así que debe ser que iPhone no implementa alguno de los perfiles necesarios para esta función - o no - ya lo investigaré con mi equipo de Ideas Locas. Bueno, podría valerme la solución WiFi, pero eso implicaba para mí una serie de tareas a realizar antes de poder tener un ratón en mi iPhone. Tenía que:
1.- Conectar el equipo a Internet: Esto implica que debería conectar mi terminal iPhone haciendo uso del Personal HotSpot que se puede crear en iPhone o conectarme a la red WiFi del sitio. En cualquier caso, implicaba una serie de clics en zonas del sistema operativo de las que no me sabía las combinaciones de teclas necesarias para llegar allí. Y como veréis más adelante no es fácil del todo. 
Para no consumir todos los datos, y sobre todo porque había poca cobertura dentro de la cafetería, y por que la red WiFi era pública con clave para los clientes - y la tenía - decidí que lo mejor sería usar la WiFi y listo.
2.- Descargarme un servidor de una web de Internet: Más clics, pero todos dentro de las pestañas del navegador. No parecía muy complicado, si no fuera porque tuvieras que lidiar con las opciones de accesibilidad de los diseñadores de las páginas web.
3.- Instalar el servidor y configurarlo: Más configuraciones de seguridad. Hay que deshabilitar Firewall, FileVault y hay que revisar qué es lo que vas a meter en tu equipo. No soy precisamente un tipo  confiado para instalar nada en mi ordenador, así que más trabajo de revisión.
4.- Instalar la app en el iPhone: Esto paso es el más sencillo, así que no parecía que fuera a generar ningún problema.
Como podéis ver, tenía muchas tareas a realizar, y tenía que conseguir hacer todas ellas sin tener un ratón, antes de poder disponer de un ratón en mi iPhone para controlar el MacOS, así que... manos a la obra.

Manejando el MacOS con teclas

La experiencia de manejar MacOS con teclas no resulto 100% placentera, pero sí que es cierto que siempre podía abrir el Terminal de comandos y jugar con los comandos de la Shell. Saberse los comandos del terminal, y las teclas rápidas en el sistema es algo muy útil cuando te ha tocado trabajar en seguridad informática con MacOS, como explica el libro de MacOS Hacking, pero además, como tenía el móvil al lado, pude buscar las combinaciones de teclas que me faltaban, hasta que topé con una barrera que me resulto inexplicable: La ventana del portal cautivo de la red WiFi.

Figura 3: Libro de MacOS Hacking en 0xWord

Resulta que si te conectas a una red WiFi que tiene un portal cautivo, se te abre una ventana en primer plano de la pantalla que no es seleccionable con teclas, y que además no se queda en segundo plano. Es verdad que cuando te estas conectando a la red WiFi tienes el foco en esa ventana, pero si lo pierdes, volver a él es imposible, y la única solución es volver al terminal, matar los procesos y volver a realizar con teclas la conexión a esa red WiFi con portal cautivo.

Figura 4: Ejemplo con portal cautivo de WiFi Guests de Telefónica.
La pantalla se queda en primer plano y no se puede llegar por teclas
a ella si pierdes el foco cuando se conecta la WiFi.

Además, seleccionar con teclas los iconos de la barra de tareas en la zona superior de la pantalla tampoco es fácil sin ratón, así que tocar la WiFi para conectar se te puede complicar. Al segundo intento tuve mucho cuidado de no perder el foco de la ventana del portal cautivo, pero me topé con otro problema.

Figura 5: La opción de PIN no tenía opción de accesibilidad de teclado,
así que no se podía llegar a ella con teclas. Fin del camino.

Este fue muy divertido e imposible de salvar. Resulta que el portal cautivo tiene dos opciones de acceder. Una siendo cliente del hotel - que no era mi caso ya que solo estaba de paso -, el otro usando un PIN de acceso que me dieron en la cafetería. Pero la opción por defecto en el portal cautivo era la de la habitación, y tenía que - con teclas - pasar al iframe que mostraba la opción de introducir el PIN. 

Pero... los programadores de esa parte de la aplicación web no habían hecho el QA necesario y no había forma con ninguna de las teclas de navegación que ofrece el Web Browser de MacOS para llegar a ella. Así que llegué a un "dead-end" solo con teclas por culpa de una falla en accesibilidad.

Activando un ratón de emergencia en el teclado de MacOS

Mi primer intento de manejar el MacOS con teclas y comandos de Terminal para configurarme la WiFi habían resultado infructuosos por culpa de las opciones de accesibilidad de un portal cautivo que los desarrolladores se habían saltado, así que fui a la Opción 2, consistente en utilizar el ratón de emergencia que MacOS permite activar.

Para llegar a las opciones de accesibilidad de MacOS con teclas es fácil. Tienes que usar FN+Option+Command+F5 y te sale en pantalla este menú que os estoy enseñando. Por favor, si puedes porque tienes un MacOS hazlo tú mismo y verás lo que te voy a contar a continuación. Como se puede ver, tenemos la opción de activar un ratón en el teclado, y un teclado en pantalla. Y vas a necesitar las dos a la vez, o ir cambiando de una a otra para hacer primero la selección de foco con el ratón auxiliar, y luego poder introducir por teclado el PIN de acceso a la red WiFi.

Figura 6: FAIL de Diseño. ¿Sabrías decirme qué opción tiene el foco?
¿Crees que es una buena decisión de diseño UX en las opciones de accesibilidad ésta
para gente que va buscando Invert Display Colour o Colour Filters porque no ven bien?

Lo curioso de ese menú es que para saber qué opción tienes seleccionada - se va moviendo el foco entre las diferentes opciones co el Tabulador - tienes que tener una vista de águila y el brillo de la pantalla a tope, ya que los desarrolladores de Apple han puesto un sutil brillo morado o azul, o yo qué sé, para que sepas qué opción tiene el foco en este menú. De hecho, si miras la pantalla, tendrás que fijarte varias veces para saber qué opción está con foco. Cuando te acostumbras, la seleccionas con el Espacio y listo, ya tienes ratón en pantalla.

Figura 7: Con este teclado se pueden introducir datos usando el ratón alternativo.

El ratón se maneja con las teclas 789 arriba, UO, al medio, JKL abajo, y el clic es la I. Va a la velocidad que va, pero ya puedes moverte por pantalla ya hacer clic en el iframe de la web del portal cautivo para poder introducir el PIN. Para ello, vuelves a desactivar el ratón auxiliar, o lo introduces con el teclado en pantalla. Con la velocidad del ratón auxiliar, y la introducción de la URL para descargar el servidor, tuve que ir activando y desactivando constantemente el ratón auxiliar, pero al final conseguí llegar a la web de descarga del servidor y bajar el software para mi MacOS.

Configurando el servidor para el ratón en iOS

Saber el software qué te tienes que bajar no es complicado. Basta con que te bajes una de las varias apps que están aprobadas en AppStore para dar ratón remoto vía WiFi y cuando la ejecutes lo primero que te va a decir es de qué URL te tienes que descargar el software. Para ello, con que arranques la app en tu iPhone, te va a guiar en cómo configurarlo.

Figura 8: Apps de remote mouse en AppStore

Por supuesto, tienes que desactivar el FileVault, y luego configurar el Firewall para permitir tráfico entrante en tu MacOS por HTTP para el puerto del servidor que te indique la app, y luego necesitas que funcione la red WiFi suficientemente rápido.

Figura 9: Configuración de servidor de WiFi Mouse en IPv4 & IPv6 

Por supuesto, si tienes ese software, lo mejor es que protejas el acceso a este servidor con una contraseña, así que tienes que configurar la opción en las opciones del servicio en tu MacOS, tal y como se ve en la imagen.

Figura 10: WiFi Mouse te da un TouchPad en iOS para manejar MacOS

El resto, es fácil, manejar el MacOS desde tu app como si fuera un TouchPad remoto, pero la aventura de configurarlo por culpa del portal cautivo y de las opciones de "accesibilidad" de MacOS hizo que tardara más de lo deseado. Eso sí, al final lo pude hacer.

Lecciones aprendidas

La primera de todas es que la venta de Portal Cautivo necesita tener la posibilidad de ser accesible mediante teclado, algo que no es posible y Apple debería arreglar. La segunda es que las opciones de accesibilidad de las webs, especialmente de las de los portales cautivo, son muy importantes en cualquier desarrollo que se haga en estos entornos. La tercera es que Apple debería arreglar la forma en la que presenta el elemento seleccionado en las opciones de accesibilidad, sobre todo teniendo en cuenta que va a venir gente con visibilidad reducida - como yo que ya tengo que llevar gafas para leer de cerca -.

Y la última, y más importante, que ya tengo todo pre-configurado para la próxima vez, así que si tienes un MacOS, no viene mal que lo pruebes un día, lo dejes preinstalado y te ahorras un problema en el futuro - sobre todo si lo usas para dar charlas como yo -. Ahora voy a mirar lo del Remote BlueTooth Mouse en iPhone a ver cómo se puede hacer. Ya os contaré.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


sábado, febrero 22, 2020

Las actividades para la semana que viene

Como todos los fines de semana, os traigo la lista de eventos para la semana próxima. Donde las citas importantes son la RSA en San Francisco, donde estarán nuestros compañeros de ElevenPaths un año más, y la MorterueloCON - que me adelante un mes anunciándola - donde tendréis nuestro stand de 0xWord y algunas charlas chulísimas. Toma nota, que con la cancelación del MWC yo voy a estar tranquilo.

Figura 1: Las actividades para la semana que viene

Lo primero de todo, lo dicho. La RSA que tendrá lugar des el día 24 de Febrero al día 27. Allí tendréis un stand de ElevenPaths que os puede servir de punto de referencia para la comunidad hispana, así que allí os esperamos.
También tenemos un evento muy especial de innovación en el trabajo que estamos haciendo en Wayra - Open Future junto a RENFE, ya que en Barcelona vamos a estar en el DemoDay del TrenLab que hemos creado conjuntamente. Todo dentro de la semana del Barcelona Tech Spirit que tenemos del 24 al 27 de Febrero.

Y por si fuera poco, aprovechando nuestra estancia en Barcelona, nos hemos embarcado en el Barcelona Tech Spirit de lleno con muchas charlas, así que puedes apuntarte y estar con nuestros compañeros de Wayra y Open Future disfrutando de la innovación.
En siguiente lugar, en el Espacio de la Fundación Telefónica en Madrid, tienes varias actividades a las que puedes apuntarte gratuitamente o asistir por streaming, ya que todos los actos se retransmiten en directo con doblaje a lengua de signos. Estos son los que tienes por delante:

Figura 5: Eventos en el Espacio de la Fundación Telefónica en Madrid
26 Febrero 19:00 - Encuentros Telos: Setsuko Thurlow
27 Febrero 19:00 - Almudena Grandes, nueva novela
28 Febrero 10:00 - Programación con App Inventor
28 Febrero 10:00 - Tendencias en innovación tecnológica abierta 2020
28 Febrero 19:00 - Eusebio Lázaro “Aquello bien podía ser México”
En la presentación del evento de Tendencias en innovación tecnológica abierta 2020 estarán, enre otros, nuestra compañera Yaiza Rubio, Philippe Lardy - organización de Open Expo Europe -, y Paco Estrada, que dirige el podcast Más Allá de la Innovación, con el que he participado hace un par de días, y que os dejo por aquí.


Figura 6: Entrevista a Chema Alonso en Más allá de la innovación

La siguiente cita es el programa de Inmersión digitalXborder que es una experiencia de aprendizaje intensiva, que ofrece a CEOS de empresas las herramientas clave para facilitar la toma de decisiones en un entorno digital en continua transformación. El 27 de Febrero Richard Benjamins, Data & AI Ambassador de Telefónica, participará en la sesión del Digitalxborder en Valencia donde se hablará de la necesidad de aplicar soluciones de Inteligencia Artificial en el sector de las pymes en España.

Figura 7: DigitalXBorder Valencia

Y para terminar los eventos, el día 28 de Febrero llega MorteueloCON en Cuenca, donde nuestro CSE Carlos Rodríguez del equipo de ElevenPaths dará una interesante charla sobre Blockchain, tecnología cuántica y ciberseguridad. Además, ese mismo día, también estará nuestro experto del equipo de Ideas Locas CDCO Pablo González con su taller “Pivoting, jumping to heaven“. La lista de ponentes es larga, con Josep Albors, Eduardo Sánchez Toril, el mítico Angelutxo, y un largo etcétera que está en la web.

Figura 8: MorterueloCON en Cuenca

Allí tendréis un stand de libros de 0xWord, y entre los ponentes se encuentran algunos de los autores de los libros que puedes adquirir. Está Daniel Echeverry que es autor de los libros "Python para Pentesters", "Hacking con Python" y "Deep Web: Anonimato y Privacidad". También está, como ya os he dicho, Pablo González que ya sabéis que hasta tiene un pack de libros con su nombre. O el propio David Meléndez, autor de "Hacking con Drones: Love is in the air".

Y para terminar, aunque no es exactamente para la semana que viene, ya que es para el día 2 de Marzo, lunes, pero con el objetivo de que os dé tiempo de sobra a gestionar el registro si queréis ir, tenéis el Curso online de Seguridad Informática Ofensiva de HackBySecurity. Este es un curso netamente práctico pensando para formar pentesters y auditores de seguridad que cuenta con 26 horas de formación en vídeo, más 150 horas de trabajo práctico para superarlo. 

Figura 9: Curso de Seguridad Informática Ofensiva

La descripción completa del curso la tenéis en la web del mismo, y además todos los asistentes al curso tendrán como material del apoyo el libro de 0xWord de Pentesting con Kali 2ª Edición, en el que yo también participé, y que ayudará a completar los ejercicios y prácticas de este curso.

Figura 10: Pentesting con Kali 2ª Edición

Y esto es todo lo que tengo en el radar para la semana que viene, así que espero que alguna de las cosas que os he traído os sean de interés.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


Entrada destacada

Hacking Avanzado en el Red Team con Empire (& iBombShell) de @0xWord

Con el comienzo de año hemos sacado el primer libro de 0xWord para todos aquellos que quieran aprender tácticas profesionales de pentestin...

Entradas populares