domingo, enero 31, 2021

Servicios Digitales Financieros: Una mirada a la seguridad de los Mobile Financial Services.

Nos encontramos ante un nuevo paradigma o nicho de mercado, donde los tradicionales servicios financieros, están migrando hacia servicios dependientes cien por ciento de las comunicaciones. Las autoridades y grandes holdings financieros están empujando fuertemente a la sociedad y empresas a hacer uso de ellos, pues les conviene en todo sentido.

Figura 1: Servicios Digitales Financieros: Una mirada a la
seguridad de los Mobile Financial Services.

El crecimiento de estos DFS, del inglés “Digital Financial Services”, es vertiginoso y por tanto necesitamos construir esto sobre sistemas seguros para dar confianza a los usuarios, protección a los bancos y medios de pago, y estabilidad al nuevo mercado.

El mundo Fintech

Cuando se utiliza el término “Fintech” se hace de una manera amplia abarcando al uso de aplicaciones digitales, servicios, software y tecnología por parte de empresas y startups centradas en la innovación en el mundo de la banca y las entidades financieras, y pueden ir desde servicios de pagos, como Bizum o Twyp, hasta sistemas de crédito al consumo como Movistar Money.

Esta disrupción ha hecho que la industria de los servicios financieros, especialmente la industria bancaria, se esté convirtiendo cada vez más en un negocio de tecnología. Más que nunca, la competitividad de varios productos centrados en las finanzas se diferencia por las soluciones tecnológicas que los habilitan.


En los mercados emergentes, donde más carencia de ciudadanos bancarizados existían, los teléfonos inteligentes se han convertido en el medio principal por el cual las personas acceden a Internet y utilizan diferentes servicios financieros.

Debido a este crecimiento, se ha comenzado a trabajar en dar forma al futuro de los servicios financieros en la economía digital. Según las actas de la Cuarta Cumbre de Políticas y Conocimiento entre América Latina y el Caribe y China , el crecimiento exponencial de la digitalización y la conectividad a Internet es la columna vertebral de la Cuarta Revolución Industrial, que ha afectado a todos los sectores, incluidos los servicios financieros.

La economía digital ha impactado profundamente el sector de servicios financieros en China al permitir nuevos modelos de negocios de banca e inversión basados en Internet con un menor costo de operación que han ampliado significativamente el alcance entre los consumidores, como es por ejemplo el uso de pagos con la plataforma de mensajería de WeChat.

Los Servicios Financieros Digitales

Los DFS incluyen una amplia gama de servicios a los que se accede y se prestan a través de canales digitales, incluidos pagos, crédito, ahorros, remesas y seguros. Y como hemos visto, en ellos el concepto DFS incluye servicios financieros móviles basados en los smartphones – pero también los Feature Phones que son el principal medio usado en algunos países de Africa e Índia -, llamados Mobile Financial Services (MFS), como elementos fundamentales del mundo Fintech. Dentro de los MFS, que utilizan el teléfono móvil para acceder a servicios financieros y ejecutar transacciones financieras, se encuentran los denominados:

- M-Money: es un servicio móvil que facilita las transferencias electrónicas y otros servicios transaccionales y no transaccionales que utilizan redes móviles. Es decir, centrados en la transferencia de dinero entre cuentas bancarias. Existen algunos como Instant Money, que permiten enviar dinero a cualquier teléfono móvil (SmartPhone o Feature Phone), con solo enviar un SMS.


- M-payments: es el servicio concreto de pagos por móvil, como por ejemplo Mobile Pay, WePay de WeChat, Twyp de Bankinter con el que puedes pagar en comercios y gasolineras - por ejemplo -, o el popular Bizum

- M-Banking: es el uso de un teléfono móvil para acceder a servicios bancarios y ejecutar transacciones financieras, donde empresas como BBVA o Banco Sabadell han hecho auténticos esfuerzos por construir una banca móvil puntera. A menudo se utiliza este termino, lógicamente, para referirse solo a clientes con cuentas bancarias.

En los servicios Fintech, hay tres tipos de compañías que están realizando estos negocios, como son los servicios virtuales construidos sobre los servicios de la banca, que funcionan de forma similar a los operados móviles virtuales de las redes de comunicaciones, pero en el entorno bancario, y que son conocidos como MVNO como es el caso de Twyp y Bizum que se basan en entidades bancarias y clientes bancarizados asociando números de cuenta bancaria o tarjetas de crédito, los que han construido algunas empresas del mundo de las telecomunicaciones aprovechando que tienen suscripciones mensuales con sus clientes y, por tanto, tienen historial crediticio solvente y domiciliación de pagos actualizada, lo que les permite crear nuevos DFS, y que son llamados MNO por ser precisamente basados en eso, en un Mobile Network Operator.

A estos, hay que unir servicios independientes creados por nuevas empresas que se meten en el mundo de los DFS, como es el caso de WePay de WeChat o WhatsApp Payments que se basan en pagos y wallets gestionados por su red de servicios de chat, por ejemplo. Por supuesto, nos vamos a encontrar situaciones mixtas, porque hay bancos que se convertirán también en MVNO de sus propios servicios, como es el caso de SberBank o, alianzas entre varios bancos como es el caso de Bizum, conformada por la unión de 27 bancos españoles.

Riesgos de seguridad en los DFS

Por supuesto, donde hay dinero, hay gente buscando la oportunidad de robarlo, así que hay que evaluar bien los riesgos de seguridad y qué debemos hacer para mejorar su seguridad. En concreto, hay que mejorar algunos aspectos de la confirmación de las operaciones con los códigos de firma de operación basados en Segundos Factores de Autenticación utilizando códigos OTP (One-Time Password).

Teniendo en cuenta que los usuarios de estas plataformas pueden sufrir en cualquier momento un robo de las credenciales de acceso, los servicios DFS cuentan con ese Segundo Factor de Autenticación que se envía por un canal paralelo, ya sea una aplicación instalada en el móvil, un SMS recibido en el terminal móvil, un token criptográfico externo o una llamada de teléfono. Y es aquí donde los atacantes focalizan sus esfuerzos.

En un informe reciente de ITU, ENISA y todos los organismos financieros relevantes, donde se analiza el posible fraude en los sistemas DFS, se ven que las superficies de ataque de estos códigos de confirmación de operaciones pueden ser las siguientes :

- SS7 (principalmente por medio de captura de mensajes SMS y USSD – ambos son mensajes SS7): En estos casos el atacante tiene que conseguir acceso a la red SS7 - porque es un empleado interno malicioso de la empresa de telecomunicaciones o vulnerando servidores de esta red -,  que aunque no es algo al alcance de todos los atacantes, sí que existen esos escenarios donde es posible acceder al medio físico o la red para generar el tráfico malicioso. Sería necesario acceder al tráfico de la operadora de comunicaciones, y por tanto las empresas de telecomunicaciones que tienen los servicios FinTech en su negocio, han tomado medidas de fortificación de estas redes SS7, aunque no todas.

- Conexiones móviles (2G/3G/4G/5G): Desde hace tiempo, los ataques a las conexiones entre los terminales móviles y las antenas de comunicación han sido un punto de riesgo. Los ataques RTL-SDR para romper el tráfico GSM, o las vulnerabilidades que se han ido descubriendo en 2G/3G/4G han hecho que se pudieran capturar – si se está cerca de la víctima -, los mensajes SMS
Estos ataques a las conexiones móviles se explican en el libro de Hacking de Comunicaciones Móviles (2G/3G/4G) se explica muy bien, y en este artículo de 2014 de Pedro Cabrera se puede ver un ejemplo. Los nuevos estándares 5G han tenido en cuenta la protección y el cifrado estas conexiones para dificultar la posibilidad de crackear este tráfico y acceder al contenido del SMS en texto plano.


- Clonado de SIM: Otra de las técnicas utilizadas por los atacantes consiste en tener el control de la tarjeta SIM de la víctima, para lo que se utilizan diferentes técnicas, como son el clonado de las tarjetas SIM, que se basa en vulnerabilidades criptografícas o debilidades en la cadena de seguridad de los proveedores de SIM – empresas de telecomunicaciones – a la hora de dar una copia de una tarjeta a una persona. 

- SIM Swapping: En este caso, con el objeto de tener el control de la SIM que pertenece al número de teléfono de la víctima, el atacante pide la portabilidad de un número de teléfono de una operadora a otra sin haber validado correctamente la identidad del que solicita la portabilidad. 

- Robo de 2FA en Apps TOTPs y SMS por Troyanos bancarios: Otra forma habitual de robar estos segundos factores de autenticación ha sido por medio de apps maliciosas, o troyanos instalados en el terminal. Solicitando acceso de lectura a los mensajes SMS en sistemas Android ha sido muy común, o directamente troyanizando el terminal llevándose las semillas de las apps TOTP

- Robo de Tokens en buzones de voz: Por último, como opción de accesibilidad, muchas plataformas permiten utilizar llamadas de voz para entregar los códigos de los Segundos Factores de Autenticación, lo que permite a algunos atacantes, aprovechar momentos en que el usuario tiene el terminal apagado – por ejemplo, en horario nocturno – y solicitar la entrega de los 2FA por voz. Esto lleva a que acabe el código en el buzón de voz grabado. Si no se ha fortificado el acceso al buzón de voz cambiando la contraseña por defecto – muy común en algunas operadoras de comunicaciones – entonces el atacante puede acceder al 2FA accediendo al mensaje del buzón de voz.

Como se puede ver, para fortificar el sistema de verificación de los DFS, es necesario hacer mejoras de seguridad a varios niveles. Desde la gestión de la seguridad en los terminales móviles, hasta en los protocolos de las redes de comunicaciones, y por supuesto en las apps de los propios MFS. Y por supuesto, en el Primer Factor de Autenticación, las credenciales de acceso al sistema.

Según encuestas realizadas por el grupo de trabajo ITU y la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA), menos del 30% de las empresas de telecomunicaciones de la Unión Europea (UE) y menos del 0,5% de las empresas de telecomunicaciones de los países en desarrollo habían implementado algunas medidas de mitigación para los riesgos de SMS, los protocolos inseguros de las SIM o los buzones de voz. Hay que tener presente que, un fallo criptográfico en la SIM Card obliga al cambio y distribución de millones de nuevas tarjetas, lo que no hace fácil una operativa automática y de costes eficiente.

La encuesta, y el informe es del año 2017, y es verdad que las empresas de telecomunicaciones han evolucionado sus sistemas, e incluso implantado soluciones RCS, pero la existencia del enorme mercado aún de Feature Phones,  la no apuesta por RCS de iOS que apuesta por su iMessages, y la base enorme de apps que aún utilizan SMS, hace que haya que seguir poniendo medidas de seguridad al sistema SMS, que seguirá un tiempo en esta industria.

El uso del SMS en texto claro

El sistema de mensajes SMS, que se pueden enviar tanto por las redes de conmutación de paquetes, como encapsulados en la red de datos, y que se utiliza como Segundo Factor de Autenticación en muchos de los MFS, no va cifrado. Así, como se ha dicho anteriormente, si alguien accede al tráfico de las tramas SS7 que aún se utilizan en la red de conmutación de circuitos y paquetes, podrá visualizar el contenido del mensaje, en este caso el código OTP de una operación Paypal. Como se ha dicho antes, para acceder y manipular las tramas SS7 es necesario estar dentro de la red SS7 o vulnerar la seguridad de un servidor de la red - como ha hecho el mundo del cibercrimen en ocasiones pasadas - pero si lo puede hacer podrá acceder al contenido del mensaje. 

Figura 6: Captura de un SMS de Paypal en un paquete SS7 desde la red telco

En la imagen anterior vemos la parte correspondiente a la pila TCP/IP, debajo de ella la parte de SS7 y en este caso concreto, un mensaje SS7 cuyo “Operation Code” es: “forwardSM” y se corresponde con un factor de doble autenticación enviado por PayPal. El detalle que deseo que observéis (independientemente de las debilidades y ataques de la red SS7), es que estáis observando todo el contenido en texto plano, como hemos dicho, algo que no se puede cambiar porque SMS no va cifrado, así que hay que fortificar la capa de red, sí o sí. Si analizamos únicamente el campo “TP-User-Data” en otras capturas de tráfico, vemos que estos mensajes SS7 en texto plano, son empleados por un sinnúmero de aplicaciones y empresas:

Figura 7: Mensajes SMS capturados desde la red SS7.

En el caso de los SMS, la protección es que para acceder a ellos hay que tener acceso al tráfico de red, así que si alguien desde el otro lado del mundo intenta acceder a estos mensajes no podrá, ya que solo se envían en una ruta de encaminamiento hacia donde se encuentra el número destinatario en la red, por eso los ataques se deben de hacer desde posiciones muy estratégicas, salvo que, como se ha dicho antes, alguien pueda vulnerar la red SS7 y colarse dentro de ella. 

Es decir, que si alguien consigue acceder a la red SS7, o conseguir una conexión GSM insegura entre la antena y el destinatario del SMS con un ataque RTL-SDR, podrán conseguir ver el Segundo Factor de Autenticación. Es verdad que para que les sea útil deben tener antes el Primer Factor de Autenticación del MFS.

En el caso de apps para gestión de tokens de verificación enviados desde el servidor, como es el caso de Latch y sus OTPs (que aunque sean TOTP no hay que confundir con los Latch Cloud TOTP que se generan en el dispositivo), o Authy, los datos se cifran usando la red datos, como podemos ver en el ejemplo en la imagen siguiente.

Figura 8: Captura cifrada de un paquete de Authy

En la imagen anterior, podemos ver el triple handshake TCP, una vez finalizado ya pasa al nivel aplicación con el protocolo SSLv2 empleando el algoritmo SHA2, en la ventana inferior de Wireshark, se ve perfectamente que el contenido es “ilegible”.

Aún así, el uso de las apps en el dispositivo para la generación de códigos TOTP o la recepción de tokens TOTP desde el servidor, siguen teniendo sus riesgos. Las apps maliciosas en el dispositivo pueden acceder a las semillas TOTP en apps con permisos inseguros, el uso de plataformas de canales de mensajería tipo WhatsApp o Telegram siguen relegando su seguridad en el SMS (que utilizan para verificar el inicio de sesión de las cuentas), y, lo aún más preocupante, los atacantes han descubierto que cuando se hace un ataque de phishing a una víctima, lo mejor es pedirle primero el usuario y la contraseña y después el 2FA, con lo que en esos entornos no les importa si el TOTP se ha enviado por un canal sin cifrar, cifrado o se ha generado en el dispositivo. Engañan al usuario para que se lo entregue.

Reflexión final

Por supuesto, el esfuerzo en seguridad el mundo de los DFS y los MFS implica hacer ejercicios conjuntos a nivel de redes de comunicación,  continuar el proceso de fortificación de las redes de conmutación de paquetes con mensajes SS7, proteger al máximo los puntos de defensa del tráfico por el que circulan los SMS, ya que mientras no haya un standard como SMS que funcione asociado a un dispositivo en iOS, Android y Feature Phones seguirá con nosotros, por supuesto, se pueden utilizar otros canales alternativos como apps, sistemas de mensajería OTT como WhatsApp, Telegram, RCS o iMessage para los 2FA, y también debemos fortificar las apps, añadir mecanismos de detección del fraude y concienciación de los usuarios con la protección de su Primer Factor de Autenticación, ya que si el atacante no consigue éste, nunca le servirá el 2FA para nada.


Como guía de mejores prácticas, se presenta a continuación exactamente lo que recomienda realizar DFS/ITU-T en su documento: “Security Aspects of Digital Financial Services (DFS)” Este documento presenta 21 recomendaciones que invito a que las leáis pues son la base de las medidas de seguridad en estas redes.

Autor: Alejandro Corletti

sábado, enero 30, 2021

Entrevista a Javier Padilla creador de "Mara Turing"

Ser periodista, aficionado al deporte, amante de los hackers y emprendedor es el camino que ha llevado a Javier Padilla a.k.a. "El Pady" a ser el creador de la serie de libros juveniles de "Mara Turing", donde la protagonista es una niña que tiene que vadear sus aventuras entre la acción, el hacking y la adolescencia. Como ya os publicó, Mi Hacker se los leyó estas navidades y lo pasó genial.

Figura 1: Entrevista a Javier Padilla creador de "Mara Turing"

Hoy he querido hacerle una entrevista, dentro de la serie cuestionarios que paso a muchas personas a lo largo de estos años, algo que estoy volviendo a retomar, para que conozcáis un poco mejor su trayectoria, que tiene medios de comunicación deportivos, magia, plataformas de comercio en Internet, libros de hackers y más cosas.
Si queréis contactar con Javi Padilla lo podéis hacer a través de su Perfil Público en MyPublicInbox, y si tenéis niños o niñas en la pre-adolescencia, tal vez esta serie de libros de Mara Turing sean un buen regalo para llevarles un poco más de la mano a este mundo de hackers y hacking.
 

Figura 3: Dame 2 Minutos de Javi Padilla: Programar o ser programado

Antes de sacar su último libro, participó en una sección de "Dame 2 Minutos" para hablar de esto, de programar o ser programado. De lo que es Mara Turing y su mundo de hackers. Hoy espero que os guste la entrevista.

1.- La primera pregunta es… ¿cómo se llega a meterse en el mundo de los medios digitales con portales como El Desmarque o Ten Golf? ¿Te gusta mucho el deporte?

Me gusta el emprendimiento online. El deporte me gusta —especialmente salir con la bicicleta—, pero no tanto como podría parecer por mis proyectos más conocidos. Lo que sí es cierto es que hemos aprendido a construir medios de comunicación online con cierto éxito gracias a haber “mamado” Internet desde lo inicios.

La clave ha estado en la utilización de software libre para ahorrar coste en las fases iniciales —y a mantenerlo en fases maduras—, y a hacer eso que llaman bootstrapping y que nosotros hicimos desde los inicios porque era la única forma de emprender cuando no tienes un euro en el bolsillo. ElDesmarque tiene ahora 9 millones de usuarios únicos mensuales y una plantilla con más de setenta personas y todo es gracias a mantener ese espíritu de startup.

2.- Pero esta no es tu única andadura de emprendimiento. ¿En qué otros proyectos te has involucrado montando empresas, startups o cosas similares?

Montamos en 2011 Moodyo, una red social de compras que nos llevó hasta Nueva York en 2013. Allí aprendimos mucho y comprendimos que íbamos tarde a la fiesta (risas). Perdimos mucho dinero con el porrazo que nos dimos. Después creamos una tienda de juguetes llamada Nabumbu. Aplicaba cosas de social-shopping que habíamos aprendido con Moodyo. Ese proyecto funcionó. Llegamos a procesar 30.000 pedidos al año y a superar el millón de euros de facturación. Sin embargo, comprendimos que nunca íbamos a poder con Amazon. Perdíamos dinero a pesar de duplicar facturación año a año.


Nos metimos después en iMagicBox y la convertimos en la mayor academia online de magos del mundo. Tenemos a 50.000 aprendices entre España, Latinoamérica, Francia y Alemania. Y ahora estamos creando dos academias online: Playhacks I/O (para jóvenes que quieren programar y aprender hacking… o a no ser hackeados) y una evolución de la academia de magia de la que esperamos poder decir algo pronto.

3.- ¿Y cómo llegas al mundo de los hackers?

Es un mundo que siempre me ha apasionado. En la Facultad de Informática de Sevilla había algunos chavales muy buenos haciendo “trastadas” en la red de la universidad. Yo me pegaba a ellos para aprender. Leí en su momento sobre los casos clásicos (Kevin Mitnick y Tsutomu Shimomura) y tiré del hilo hasta hacerme una idea del ecosistema hacker mundial.

Entonces conocí a muchos de los hackers españoles potentes y aluciné con la cantidad de buenos especialistas en seguridad informática que tenemos en España. Empezando por Bernardo Quintero, de Virustotal, y terminando por ti mismo…

4.- ¿Por qué Mara Turing? ¿Qué te hizo meterte de lleno a escribir aventuras en el mundo de los hackers?

He trabajado muchos años como profesor en el ámbito universitario y como colaborador en másters. Pronto comprendí que los alumnos fijan sus conocimientos mucho mejor cuando vinculas la emoción al aprendizaje. Con esa idea en mente me senté a analizar las iniciativas que existen para impulsar a los niños a convertirse en programadores. Casi siempre inciden en que “es la profesión del futuro” y cosas así. 


Para un niño “el futuro” es algo muy lejano. Y lo de “programar” suena a trabajar. Así que le di una vuelta al asunto: ¿Por qué no crear un personaje que provocara curiosidad? ¿Por qué no convertir el hacking en el hilo conductor de una aventura?

5.- Mis hijas están programando, haciendo tecnología, y para las niñas Mara Turing es una chica hacker como ellas. Pero… ¿por qué elegiste una niña como protagonista para tus libros?

En mis pocos ratos libres intento colaborar como mentor en aceleradoras de startups tecnológicas. Estoy con OpenFuture, entre otras, pero rara es la semana en que no me contacta algún emprendedor por LinkedIn para ver si puedo aconsejarle sobre adquisición de clientes en fases tempranas de un negocio y esas cosas…


En todos los proyectos constaté un problema que me pareció muy grave: había (hay) muy pocas mujeres emprendedoras en este área. En un mundo con 50% de hombres y 50% de mujeres, ¿cómo puede ser que el mundo tecnológico del mañana solo lo diseñen los primeros? En mi opinión, no tiene sentido.


Así que abandoné la figura clásica del hacker masculino con sudadera oscura a lo MR Robot y creé a Mara Turing. Ella, junto a Noa y Daniel, pronto comprenden la realidad de este nuevo mundo en el que vivimos: Programa o sé programado; hackea o sé hackeado. Y lo bonito es que hay muchas, muchas chicas que se han lanzado a programar tras leer El Despertar de los Hackers. Solo con eso ya es misión cumplida.

6.-¿Te esperabas el éxito y los premios que está recibiendo Mara Turing?

Mentiría si te dijera que no esperaba una buena acogida, pero más que por mí por la temática. Pero premios y estas cifras de ventas, jamás. De hecho, recuerdo que en mis primeras conversaciones con la editorial bajaron mucho mis expectativas. 


Ahora que hemos superado los 10.000 ejemplares vendidos —y más de 50.000 pirateados que tengamos constancia…— y vamos a Reino Unido y Estados Unidos con los dos primeros libros pensamos que sí podemos hacer algo bonito.

7.- Venga, ¿Cuándo sale el siguiente libro y de qué va?

Todavía estoy recuperándome del parto del tercero (risas). Ya estoy con la trama del cuarto, que espero publicarlo a finales de 2021, para cumplir con la misma pauta que he mantenido hasta ahora. En inglés saldrán los dos primeros a principios del mes de febrero: Rise of the Hackers y Evil Reborn. Tenemos mucha ilusión con la llegada de Mara Turing al mercado anglosajón.

8.- Javier, ¿te ves pegando el salto a la novela de “hackers” para adultos? ¿Haciendo un Daemon, un “Jinetes en la tormenta” o un “Hacker Épico”?

Eso son palabras mayores. Me encantaría, ¿eh? De hecho, quién sabe si mis lectores adolescentes deciden acompañarme más años en el futuro. Sería un placer envejecer con ellos y madurar como escritor. Me lo anotaré como reto. Soy muy fan de todo ese tipo de literatura. Hace poco salté al género de espías y me leí la vida de Oleg Gordievski, el agente doble del KGB que acabó desertando a Reino Unido. Es increíble que sobreviviera. Sudé mientras leía su historia… (risas). En ese espionaje de la Guerra Fría ya se dejaba entrever el germen de lo que ha sido después el entramado de cracking ruso que se puede ver en libros como Sandworm, de Andy Greenberg.

9.- En el libro te gusta meter referencias a hackers y personalidades históricas en forma de nombres, nicknames, o anécdotas, que luego tengo que ir explicando yo a Mi Hacker. ¿Has tenido un pasado "hacker" o "Black Hacker en el underground"?

Nunca he pasado de ser un aficionado al hacking. He hecho mis cositas, pero siempre a un nivel básico… Soy más de aprender para defenderme. Eso no significa que no lleve conmigo casi siempre un Kali Linux y me guste someter a fatiga las redes y dispositivos de mi entorno. Soy de los que mira el cable de los teclados extraños para ver si hay un keylogger físico y esas cosas… Pero no puedo decir que soy hacker. Tengo muchísimo respeto por ese oficio.

10.- Viendo tu historial, ¿en qué proyectos estás pensando ahora en meterte?

El primero es Playhacks I/O. Se trata de una comunidad de aprendizaje de programación, hacking y manejo de ordenadores para jóvenes a través de cursos divertidos. Estamos en plena preparación, aunque ya está la beta disponible. De forma paralela seguiré escribiendo los libros restantes de la saga de Mara Turing. Según va creciendo, cada vez es más complicado mantener la línea de tiempo, las tramas, etcétera. Finalmente, estoy dándole vueltas a un proyecto para ayudar a jóvenes sin recursos para que consideren el emprendimiento en tecnología como una vía para hacer su carrera profesional o, incluso, crear una empresa en un futuro no lejano.

FIN.

Saludos Malignos!

viernes, enero 29, 2021

O365 Toolkit: El kit de phishing OAuth para pentesters al estilo Sappo

En el año 2016 presentamos el trabajo de SAPPO, una herramienta que permitía hacer pruebas de concienciación a los empleados de una organización que utilizaba Office 365 o que utiliza cuentas de Outlook más orientadas al uso personal. Fue en Rooted CON 2016 cuando, junto a Chema Alonso, presentamos el trabajo. Era un SAPPO que solo utilizaba Office 365. Después lo adaptamos también a ejemplos de ataques con Sappo a Twitter o Dropbox,  o la presentación en sociedad de Ransomcloud O365. Todo gracias a los tokens OAuth.

Figura 1: O365 Toolkit: El kit de phishing OAuth para pentesters al estilo Sappo

A día de hoy seguimos enseñando a SAPPO en charlas para mostrar cómo el phishing evoluciona y no quieren tus credenciales, si no que les vale con un Token OAuth que les da acceso a tu correo, a tu OneDrive o a poder usar emails en tu nombre. Cuando se enseña el phishing, no siempre se habla de esto y debemos enseñar a la sociedad que los ataques evolucionan, como por ejemplo en el caso del Ataque QRCode Jacking con Sappo que os contamos..Así cómo también mostrar los riesgos de la IA utilizándola en el campo de las estafas para suplantar una voz o una imagen de alguien. Enseñar a una IA a hablar como una persona que reconocemos es algo, realmente, peligroso y que hace que algunas estafas hayan evolucionado.


Sappo también puede utilizar en un ejercicio de Red Team, ya que en muchas ocasiones los equipos de pentesting entran en contacto con organizaciones que utilizan Office 365. No hay muchas herramientas que hagan este tipo de cosas de forma ordenada y personalizable. 

Figura 3: RansomCloud O365

Hoy vamos a hablar de una herramienta llamada O365 Toolkit que hace lo mismo que hace nuestro querido SAPPO. Realmente, es un mundo interesante que se puede explorar. Tener un kit de herramientas específico para Office 365 u otros entornos que se apoyan en los Tokens OAuth es un entorno a estudiar, ya que no hay mucha herramienta que ayude a la auditoría o, en este caso, a un equipo de Red Team dentro de su ejercicio.


Es un kit de herramientas que permitirá al auditor/pentester llevar a cabo un ataque de phishing con Tokens OAuth. El objetivo será conseguir acceso a la cuenta a través de estos tokens. Hasta aquí nada nuevo. Esta técnica, la de la obtención y uso de los Tokens OAuth, fue utilizada por grupos como Fancy Bear (APT28) durante campañas en el pasado al dirigirse a Google. Las principales características de o365 toolkit son:

- Extracción de e-mails por palabras claves: Es decir, podemos buscar dentro de los mensajes de e-mail ciertas palabras clave.  
 
- Generar reglas ‘maliciosas’ en Outlook. 
 
- Extraer archivos, es decir, descargarlos desde OneDrive o SharePoint. 
 
- Inyectar macros en documentos de Word almacenados. Esta es una función para conseguir llegar a otras máquinas de la organización dentro del ejercicio de Red Team.

La verdad que analizando la herramienta, tiene bastantes cosas que son útiles y que permiten desde comprometer una cuenta de Office 365 hasta moverse lateralmente a otros equipos de la organización. La arquitectura de o365 toolkit está formada por la Interfaz de gestión, el Backend y el Phishing Endpoint, y puede verse en el Github de la herramienta.


Con el phishing endpoint podemos servir el HTML que realiza el engaño al usuario para obtener el token OAuth. Por ejemplo, se envía un e-mail con el contenido del HTMl. En el caso de SAPPO, ejemplificábamos en la charla de RootedCON 2016, con un e-mail que te ofrecía un ‘AntiSpam PRO’. En las pruebas de concienciación de empleados que se hacen en las organizaciones, suele ser un gancho estilo concurso o algún tipo de producto que se activaría en su cuenta.


Figura 6: Demo de Sappo en Office hecha por Chema Alonso

El backend recibirá el Token OAuth del usuario que proporciona permisos y cae en el paso anterior. Por último, la gestión de interfaz es la parte de la aplicación que será utilizada para interactuar con la API de Microsoft Graph y generar las apps OAuth.

Fichero de configuración de o365 toolkit

El fichero de configuración de o365 toolkit permite configurar el entorno de forma sencilla. Un ejemplo es el siguiente:

[server]
host = 127.0.0.1
externalport = 30662
internalport = 8080

[oauth]
clientid = [REDACTED]
clientsecret = [REDACTED]
scope = "offline_access contacts.read user.read mail.read mail.send files.readWrite.all files.read files.read.all openid profile"
redirecturi = "http://localhost:30662/gettoken"

La configuración que viene por defecto en el Github de la herramienta es bastante instructiva. Los scope indican los permisos que serán solicitados y en la parte “REDACTED” se indican los parámetros de la app OAuth. Cuando se obtiene un token, se puede ver una vista similar a esta en la parte web de o365 toolkit.

Figura 7: Interfaz de gestión de o365-attack-toolkit

Se puede ver que se puede utilizar las búsquedas dentro de los e-mails, enviar mensajes de correo electrónico, buscar en los archivos subidos de dicha cuenta y visualizar los ficheros, pudiendo manipularlos o reemplazarlos. En esta imagen se puede ver el acceso a los ficheros, pudiendo descargarlo o reemplazarlo directamente. Además, en el paso anterior, podíamos ver cómo podemos realizar la búsqueda sobre ficheros.

Figura 8: Búsquedas sobre ficheros

Sin duda es una herramienta interesante, escrita en go, y que puede ayudaros en un ejercicio de Red Team o un Ethical Hacking a conseguir los objetivos del ejercicio. Otra herramienta más que sumar a la mochila del pentester.

Saludos,

 Contactar con Pablo González

jueves, enero 28, 2021

Másters del Campus Internacional de Seguridad & la charla que tuvimos sobre el ecosistema de Ciberseguridad

Hace poco que dimos una charla en abierto para todo el mundo en la que Juanjo Salvador y yo pasamos un ratito de más de hora y media hablando un poco de ciberseguridad, de cómo prepararse, de cómo enfocar el futuro profesional en este campo. Hoy os la he publicado en mi canal de Youtube, para que podáis verla por si os interesa este mundo laboral nuestro en el que vivimos.


En la charla, que fue más que una presentación dogmática, una conversación entre dos colegas veteranos de este mundo, hablamos de incidentes de ciberseguridad, de por qué pasa esto, de como gestionar la seguridad en las empresas, de en qué dirección enfocarse profesionalmente, y de cómo comenzar paso a paso en este mundo. Si tienes interés, aquí la tienes.


Además de la charla, si realmente quieres prepararte, en el durante el mes de Marzo - y principios de Abril - van a dar comienzo las nuevas ediciones de los Másters del Campus Internacional de Ciberseguridad, que aunque ya están bastante llenas, quedan aún algunas plazas, pero debes preguntar cuanto antes. Estas son las fechas en las que dan comienzo cada uno de ellos, y si tienes interés debes ponerte en contacto "the sooner the better" que dicen los anglos. 

Másters del Campus Internacional de Ciberseguridad 
        ================================================
Marzo 2021
02: Máster Online en Ciberseguridad
09: Máster Online en Ciberinteligencia
30: Máster Online en Seguridad Ofensiva
30: Máster Online en Reversing, Análisis de Malware y Bug Hunting
Abril 2020
06: Máster Online Red & Blue Team
06: Máster Online en DevSecOps

Como sabes, yo estoy de mentor en todos estos Másters, donde están profesionales de la talla de Sergio de los Santos, Vicente Aguilera, Carlos Seisdedos, Yaiza Rubio, Pablo González, Felix Brezo, Pablo Sanemeterio, Eduardo Sánchez Toril, Carmen Torrano, Alvaro Nuñez-Romero y un largo plantel de profesionales en cada equipo formativo que merece la pena que los veas.


Y también, todos los alumnos tienen libros de 0xWord acompañando el material de estudio de los Másters de Ciberseguridad y 1.000 Tempos para contactar con profesionales de este campo de ciberseguridad en la plataforma de MyPublicInbox, para que puedas pedir consejo o solucionar dudas.

Saludos Malignos!

miércoles, enero 27, 2021

Conéctate al evento del Proyecto Maqueto y consigue con Google Cloud estos Tempos de MyPublicInbox para contactar con los ponentes

Como ya os anuncié, el próximo 3 de Febrero vamos a tener la Presentación del Proyecto Maquet en la Fundación Telefónica, y allí contaremos qué es lo que hemos hecho - publicaremos el pasaje que hemos escrito dentro del universo del Capitán Alatriste, utilizando una Inteligencia Artificial que hemos creado gracias a los servicios de Google Cloud AI, y lo vamos a retransmitir por Internet.
Para que puedas asistir en directo a la charla, solo debes seguir las indicaciones de la página del evento del Espacio de la Fundación Telefónica, donde verás los horarios, cómo conectarte y cómo participar a través de las redes sociales.

Figura 2: Proyecto Maquet: Una IA para escribir un relato del

Pero como queremos que sea lo más participativa posible, además del #Hashtag que tenéis para seguir todo a través de Twitter, o comentar en el streaming que vamos a hacer por medio de Youtube, podéis contactar si queréis un contacto más personal, privado y directo,  con todos los ponentes a través de la plataforma de MyPublicInbox, donde estamos todos los que participamos en este proyecto, y podéis contactar con nosotros. 

- Buzón Público de Arturo Pérez-Reverte
- Buzón Púbico Karina Sáiz Borgó
- Buzón Público de Salvador Larroca
- Buzón Público de Isaac Hernández
- Buzón Público de Chema Alonso

Y para que os animéis a ello, nuestros compañeros de Google Cloud AI han hecho una campaña similar a la que tenemos activa con ESET - que te permite conseguir 100 Tempos gratuitamente - para gracias al apoyo de Google conseguir otros 100 Tempos gratis, con solo acertar una pregunta sobre un vídeo centrado en otros proyectos maravillosos de innovación en Google que se han aprovechado de la Inteligencia Artificial.


Para ello, entra con tu cuenta de MyPublicInbox en la siguiente URL: https://mypublicinbox.com/google-promotion y podrás ver el vídeo. En él verás, como he dicho, una serie de proyectos de innovación, que se aprovechan de los avances en Cloud Computing e Inteligencia Artificial para llevarlos a cabo.


Después, te saldrá una pregunta sobre el vídeo, si la respondes correctamente, obtendrás los 100 Tempos. Si no la respondes correctamente, no pasa nada, tendrás más oportunidades. Podrás ver el vídeo otra vez y acceder a otra pregunta.


Estos Tempos irán a tu cuenta de MyPublicInbox y podrás usarlos cuando quieras, ya que no son para utilizarlos ahora mismo, sino cuando tú quieras. Eso sí, la campaña va a estar disponible solo hasta el día 5 de Febrero, así que no dejes pasar esta oportunidad.

Saludos Malignos!

martes, enero 26, 2021

Post a Post: 15 años escribiendo “Un informático en el lado del mal”

Es increíble cómo pasa el tiempo. Cómo va de rápido. Cómo vuela. Hoy hace ya eso que dice el título. Un total de 15 años desde que comencé a escribir este blog. Y cuando miro hacia atrás, despacio, cerrando los ojos y repasando los años uno a uno y cómo mi vida ha ido dando tumbos y cambiando… me da vértigo. He pasado de ser un “joven” de treinta años que estaba empezando a gobernar su vida, para convertirme en un hombre de muchos años y muchas vivencias.

Figura 1: Post a a Post: 15 años escribiendo “Un informático en el lado del mal

No me malinterpretéis. Sigo mirando a ese de treinta y veo muchas similitudes con el de hoy en día. No ha cambiado tanto en esencia. Me ha dado tiempo a errar y equivocarme mucho, pero a fuerza de hacer tantos intentos en todo, también me ha dado ocasión de cosechar algunas satisfacciones personales. Y he ido acompañando mi vida con escritos en este blog. Post a Post. Tal y como se construye una casa, ladrillo a ladrillo.

Y en cada uno de los artículos he ido dejando algo de mí. Algo que sabía. Algo que opinaba. Algo que sentía. Algo que compartía. Algo que escondía cifrado solo para mí. E incluso algunos con cifrados de clave pública para que fuera más divertido el tránsito de los comandos. Ha sido un viaje hasta aquí, y espero que siga siéndolo por muchos años más.

Mi autoimpuesto método de flagelación personal sacando tiempo cada día para este enemigo mío. Para este insaciable monstruo de las galletas que necesita más y más letras. Más sangre en forma de tinta vertida digitalmente en una plantilla que ni he cambiado ni cambiaré pese a los enamorados de la moda. Lo que cuenta es la historia que voy dejando para mí, no la edición en cartoné, bolsillo o retapada, que se haga de las letras que voy cosiendo mientras aporreo teclas una a una.

También es, para mí, una sucesión de compañeros de camino. Algunos que comenzaron conmigo y siguen aquí, otros que se fueron, otros que llegaron. Personas. Vivencias. Pruebas. Hacks. Polémicas. Desvaríos tecnológicos. Aprendizajes. Enseñanzas. Aventuras sin fin en un mundo que nunca se termina. Que continúa más allá de lo que nosotros vemos hoy. Más allá de lo que el tiempo que nos ha sido asignado nos dejará ver. Por eso siempre hay algo que postear nuevo.

Al principio, este blog no era nada más que para lo que fueron creados. Un cuaderno de bitácora para ser mi “Personal Brain Dump”. Luego fue mi columna de opinión. Mi psicólogo. Mi amigo en soledad. Mi novia en la mañana. Con la que desayunar en una cafetería y contarle lo que he vivido después de estar tiempo sin vernos. Mi sala de juegos con amigos. Mi púlpito. Mi asiento en primera fila para ver un espectáculo. Todo ello en un rincón pequeño que fue creciendo y creciendo… hasta cumplir los quince años.

Y es que, si alguna vez tuvo alguna vez un objetivo escribir este blog, hace mucho que lo perdió. Hace ya mucho tiempo que este rincón dejo de ser un medio para ser un fin. Para ser en esencia lo que es sin tener más que cumplir que enchufar a Chema Alonso a Matrix. A conectar todos los poros, de mi ser físico a la red de redes para llegar más lejos de lo que un grito mío puede hacer a través del aire. Para llegar allí a donde mis piernas no me van a poder llevar nunca. 

Ahora, cuando me siento a escribir en él lo afronto de otra forma. Con el fuego aún encendido pero controlado por los años, donde puedo elegir qué cantidad de aire meto a la llama, es una sensación que sabe a hogar. Sabe a ese punto de referencia en el espacio que hace que esté donde esté sienta que estoy en casa. Solo con tocarlo. Con entrar en la rutina de sentarme a estar con él un poco. Es como mirar al cielo y encontrar el camino a la ruta de mi día. Me organiza la vida. Me organiza el camino.

Muchas veces me habéis dicho – algunos de vosotros – que os ha venido bien en algún momento de vuestra vida, en mayor o menor media, lo que he publicado en este lado del mal. Algún artículo en el que he compartido consejos, o sobre cómo hacer alguna cosa, o vivencias de experiencias personales. Y me alegra que eso haya sido así, y aún sigáis leyendo todos los días las cosas en forma de post que salen por aquí, pero os garantizo que ha sido puramente egoísta escribir este blog, porque a mí me ha dado mucho más de lo que yo haya podido daros a vosotros a través de él.

Por otro lado, es inevitable no ver la evolución del blog. Yo he evolucionado durante estos quince años. He vivido muchas cosas diferentes. He pasado por experiencias buenas, diferentes y no tan buenas, como cualquiera de vosotros. Pero he sentido todas ellas porque aún sigo vivo. Y esas experiencias han generado un antes y un después en mí como persona. El hombre que entró en esa experiencia salió de alguna manera cambiado. Y por ende, este blog también se transformó. Como yo. Y seguirá haciéndolo. Seguirá siendo un reflejo en azul oscuro de mí, de mi trabajo, de mis experiencias y mis cosas a lo largo de los días. Y por tanto cambiará también en 2021. Un poco. A lo mejor casi imperceptible, que los cambios necesitan distancia para poder ser notados.

Así que seguiré escribiendo. Consumiendo los días que le queden a este blog, pues inevitablemente, tanto el tiempo de mi blog, como el mío, tienden a reducirse día a día. Ni rápido, ni lento, solo que ya hemos quemado – él y yo – quince años de camino. No sé los que nos quedarán, que ojalá sean muchos, pero lo que si puedo deciros es que, más que probablemente, lo haremos juntos mientras tenga fuerzas para acariciar las teclas, dictarle con voz, o conectarme cerebralmente a Internet… ya veremos que nos depara el futuro.

lunes, enero 25, 2021

Movistar Sound Atrévete: Hasta el 28 de Enero el jurado te escucha

Nos ha sorprendido gratamente el volumen de inscripciones en concurso de Movistar Sound Atrévete en el que ya tenemos cerca de 500 inscriptos en la competición, pero hasta el día 28 de Enero - día entero incluido - te puedes escribir, y para que te animes, los miembros del jurado nos han preparado unas palabras.

Figura 1: Movistar Sound Atrévete: Hasta el 28 el jurado te escucha

La verdad es que es una pasada ver la cantidad de músicos con talento que tenemos en este país, tal y como dice Álvaro Urquijo, toda una leyenda que con su grupo de Los Secretos revolucionó la música pop en español en el vídeo que han hecho con todos ellos.


Figura 2: El jurado de Movistar Sound Atrévete

Para participar, si quieres, puedes hacerlo desde la plataforma de LinkMusic, - donde además te puedes sacar automáticamente una cuenta de MyPublicInbox - y siguiendo estas instrucciones serás parte de uno de los que el jurado evaluará para pasar a la final.


Figura 3: Cómo participar en LinkMsc

Y ahora, os dejo los vídeos de invitación que han hecho todos y cada uno de los miembros del jurado, a saber: Georgina, Javi Nieves, Alberto Pérez de Izal, José Krespo de Despistados, Álvaro Urquijo de Los Secretos y Conchita.


Figura 4: Invitación de Conchita a Movistar Sound Atrévete


Figura 5: Invitación de Álvaro Urquijo de Los Secretos


Figura 6: Invitación de Alberto Pérez de Izal


Figura 7: Invitación de José Krespo de Los Despistaos


Figura 8: Invitación de Javi Nieves a Movistar Sound Atrévete


Figura 9: Invitación de Georgina Leon a Movistar Sound Atrévete

Además de ellos, estarán en el jurado Go Music, por medio de Hernán Portugal que es el CEO de esta startup para llevar la música y los conciertos por streaming, Estudio Uno por medio de Luis Criado que llevarán a cabo las grabaciones de los finalistas y nuestro compañero Cristobal Rodríguez Moure de Movistar Sound.


Figura 10: Entrevista GoMusic, David de Santiago y Chema Alonso

Nos está encantando ver las ganas que tenemos todos de que la música vuelva a sonar, que vuelva a haber decibelios de alegría, y que la tecnología se haya convertido en algo que nos ayude a completar la forma en que la disfrutamos. Si te apetece participar, no lo dudes: Atrévete.

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares