El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Ya he hablado muchas veces de lo que llamamos El "leak" del login, o lo que es lo mismo, cómo saber que una persona tiene una cuenta en un servicio a base de aprovechar los intentos de intentar hacer las tres acciones que se pueden hacer con datos públicos de una persona, es decir, Iniciar Sesión, Crear una cuenta o Recuperar una contraseña, y analizar los mensajes de error.

Figura 1: El "leak" del Login en tu Banca Online con tu D.N.I. (NIF) o con tu C.I.F.

Para iniciar sesión en un servicio, para recuperar la contraseña, y para crear una cuenta, nos van a solicitar datos que normalmente son públicos, como son la dirección de correo electrónico, el usuario, o el número de teléfono. Datos, que en una tarjeta de visita pueden aparecer con mucha facilidad. Con estos datos se puede intentar iniciar sesión en un servicio, se puede intentar recuperar una contraseña, o se puede intentar crear una cuenta. 

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no

Si el sitio web en el que estamos probando, tanto al intentar iniciar sesión, al recuperar una contraseña o al intentar crear una cuenta, da un mensaje distinto cuando la dirección de correo electrónico o el número de teléfono existe previamente en el servicio, que cuando no existe, entonces podremos saber con facilidad si esa persona tiene una cuenta en esa plataforma, lo que es un leak de privacidad, como hemos visto en ejemplos varios:

• El leak del login en Instagram
• El leak del login en redes sociales de contactos íntimos de adultos
• El leak del login en Grindr

Con todos estos "leaks", es posible capturar el correo electrónico y/o el número de teléfono de una tarjeta de visita y sacar un mapa de los servicios en los que una persona tiene una cuenta, lo que da mucha información de su vida en la red. Con esta premisa, creamos el servicio de Dirty Business Card en nuestro equipo de Ideas Locas.

Figura 3: Demo de Dirty Business Card

Sin embargo, una de las cosas que también se puede extraer información de las entidades bancarias en las que una persona tiene cuenta, no solo por el número de teléfono (como vimos en el caso de Bizum) o la dirección de correo electrónico, lo que facilitaría los ataques de phishing bancario, enviando el correo de phishing del banco correcto a la persona correcta, sino que también se puede hacer por el número de DNI de una persona.

Figura 4: Libro DNI-e: Tecnología y usos

en 0xWord de Rames Sarwat

En algunos bancos, para saber si tienes cuenta o no con ellos, y poder activarte la Banca Online, te solicitan el número de DNI, y si tienen el "leak del login", entonces darán un mensaje diferente cuando ese DNI esté en sus sistemas a cuando no esté en sus sistemas, como en este ejemplo que podéis ver aquí, que para poder ver si tienes cuenta se solicita primero el número de DNI.

Figura 5: Activar el acceso a la Banca Online en un banco

Después, si la cuenta no existe, da un mensaje de error en el que invita a hacerse cliente de la entidad bancaria en concreto, como podéis ver en la imagen siguiente.

Figura 6: Ese DNI o tiene Banca Online

Mientras que si tienes una cuenta bancaria asociada a ese número de DNI (o CIF o NIF dependiendo del número que soliciten), entonces saldrá un proceso distinto para comenzar la recuperación de la contraseña.

Figura 7: Ese DNI tiene Banca Online en este Banco -> Leak

Por desgracia, en nuestro país, localizar el número de DNI, teniendo los dos apellidos y el nombre de una persona, no es demasiado complejo encontrar su número de DNI, ya que en el Boletín Oficial del Estado, en entidades públicas, listados de oposiciones, listados de notas, etcétera, se han publicado y se publican por transparencia, lo que no siempre es lo mejor por privacidad y seguridad.

Figura 8: Un poco de Hacking con Buscadores en Google o Bing y con

Nombre y Apellidos de una tarjeta de visita no es difícil dar con el DNI.

Además, como hemos visto en artículos anteriores, muchos sitios web solicitan con demasiada frecuencia el DNI y hay que tomar precauciones para evitar enviar copias del DNI con todos los datos que den demasiada información, e incluso se pueden enviar los documentos con marcas ocultas de Shaadow para saber en el futuro si ha habido un fallo de seguridad en la gestión de tu documentación.

Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Así que, si encuentras un "leak del login" en una entidad bancaria, lo suyo es que se lo reportes para que hagan menos "Verbose" el proceso y no sea fácil conocer si una persona ( o una organización ) tiene cuenta en esa entidad o no, ya que se lo ponemos más fácil a los malos, que con mucha información, y un poco de ingeniería social son capaces de hacer estragos en las personas menos informadas, como la banda que desarticuló la Policía. Y nos ayuda a todos a estar más protegidos contra los peligros en Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

¿Cuánto acierta tu dirección IP dónde vives o dónde estás? #GPS #Privacidad #GeoIP

En los últimos artículos de "Cómo saber dónde está un contacto de WhatsApp con los Estados" y "Cómo saber dónde vive un contacto de WhatsApp" compartiendo una canción, hablamos de utilizar la dirección IP como forma de localizar una ubicación GPS. Pero, la pregunta, es... ¿mi dirección IP da una ubicación GPS real o no? Pues bien, descúbrelo tú mismo.

Figura 1: ¿Cuánto acierta tu dirección IP dónde vives o dónde estás?

En primer lugar, averiguar tu dirección IP es tan fácil como preguntarle a Google "What is my IP" y te dice rápidamente desde qué dirección IP estás navegando en Internet. Fácil y rápido. 

Figura 2: ¿Saber la dirección IP? Pregúntale a Google

En segundo lugar, comprueba varias bases de datos de GeoIP que, no son todas igual de ajustadas. Hay que tener en cuenta que estas bases de datos se basan en un trabajo de actualización constante de la información de dónde se encuentran las direcciones IP y estas cambian constantemente, así que depende del trabajo que haya detrás de ellas, tendrán más o menos actualizada la información.

Figura 3: Artículo con diferentes GeoIPs.

Maxmind ha llegado muy cerca de mí con mi dirección IP

También, estas bases de datos se alimentan de información de actualización que dan los usuarios, así que cuanta más comunidad tiene detrás, más ajustada y acertada es la información. En dos pruebas hechas yo en diferentes bases de datos, el resultado ha sido totalmente distinto. 

Figura 4: Ejemplo de IP en una base de GeoIP

MaxMind ha acertado con la ciudad en la que estoy, con mi Código Postal,  y se ha quedado bastante cerca cumpliendo su radio de "accuracy" de 10 Km en mi caso (a bastante menos se ha quedado), y otra ha dado como resultado una ciudad cercana, lo que quiere decir que una de las dos tiene información sin actualizar.

Figura 5: Mismo ejemplo de búsqueda de IP en MaxMind.

Cambia el resultado un poco.

Estas bases de datos dan, por último, información de GPS, que puedes utilizar para buscar la coordenada en Google y saber cuánto de cerca de dónde estas es esa información GPS. Ten en cuenta que ese es el lugar en le que puede estar el concentrador de comunicación por el que estás saliendo.

Figura 6: En Google Maps pones las coordenadas GPS y te busca la

ubicación y las fotos de Street View. ¿Es tu zona?

¿No ha acertado? No pasa nada, eso quiere decir que esa base de datos no es lo suficientemente fina con los datos, pero puede existir otra que sí que lo sea o que acierte más adelante. ¿Ha quedado cerca? Pues ya sabes, cuando navegas desde esa dirección IP das información que puede indicar dónde estas.

Figura 7: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Y si es un enlace que te envía alguien por un chat de WhatsApp o de Telegram pues... ya sabes, es un riesgo más que debes evitar, que puede ser peligroso si quieres salvaguardar tu privacidad cuando estás conectado a Internet.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Cómo saber en qué ubicación se encuentra un contacto de WhatsApp con solo una canción

Hace poco se hablaba en este blog de cómo con los Estados de WhatsApp se pueden utilizar para saber dónde está, en que ubicación GPS, un contacto de WhatsApp. El truco es sencillo, captura la dirección IP desde la que un contacto de WhatsApp hace clic en un enlace publicado en un Estado. La gracia o la debilidad en ese punto es que WhatsApp no avisa de los riesgos de navegar a una dirección web que pueda estar controlada y que pueda capturar la dirección IP y su ubicación y, por otro lado, que cuando se da el registro de accesos a los estados lo da minutado con detalle, algo que no hace, por ejemplo, en las Stories de Instagram.

Figura 1: Cómo saber en qué ubicación se encuentra un

contacto de WhatsApp con solo una canción

Sin embargo, esto no es nada nuevo, y el truco para saber dónde se encuentra ubicada una persona, por ejemplo para saber dónde vive un contacto de WhatsApp, o dónde está e n un momento concreto alguien, se conoce desde hace tiempo haciendo lo mismo, es decir, haciendo que un contacto pinche en un enlace que le envías por el chat y que lleva a un servidor web controlado en el que se captura la dirección IP.

Figura 2: Esquema del ataque para capturar la dirección IP

En este caso tienes que hacer uso de la ingeniería social, y para hacerlo mucho más creíble todo, hemos hecho un ejemplo en donde configuras una dirección de una canción de Spotify que va a ser el gancho. El servidor, va a devolver una previsualización como el que devuelve, por ejemplo, Spotify, y el enlace será de un dominio controlado por ti. 

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Cuando el usuario habla clic y navegue a nuestro servidor, la página web que controlamos captura la dirección IP y hace un REDIRECT a la URL de Spotify donde se encuentra la canción que hemos usado de gancho, y la víctima podrá escucharla.

Figura 4: La primera URL hace el Preview de la canción porque:

1) Tiene un dominio y 2) no lleva parámetros

Como podéis ver, en la conversación de chat hay dos ejemplos para que podáis entender el comportamiento de WhatsApp. Si la URL tiene un dominio y no una dirección IP y, además, la URL no está parametrizada - lo que podría significar un parámetro de tracking de usuarios únicos, entonces hace la previsualización.

Figura 5: Datos que se pueden sacar de un servicio de GeoIP

Desde el punto de vista técnico es muy sencillo, pero obliga a hacer una URL diferente por cada contacto donde se quiera utilizar. O usar la misma dirección, pero de uno en uno para poder diferenciar quién hizo clic. 

Figura 6: Servicios de GeoIP en Internet

El resultado es el mismo, al final, si el usuario hace clic, se captura la dirección IP, se pasa por un servicio de GeoIP y se saca toda la información de geo-localización de esa dirección. 

Figura 7: El servicio devuelve coordenadas GPS

No siempre es muy ajustada, pero puede llegar a serlo. De pendiendo de la calidad del servicio de GeoIP, tendrás más fina y revisada la ubicación donde se encuentra esa dirección IP. Mañanas os cuento cómo revisar cómo de susceptible es tu dirección IP, para que lo pruebes en casa en un momento.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp #privacidad #hacking #WhatsApp

Hace unos años hicimos en el equipo de Ideas Locas un experimento bastante curioso utilizando unas funciones que de la app de Telegram para, utilizando la API que usaba por detrás  ( y ya veremos cómo en WhatsApp), monitorizar la actividad de conexión de una persona a su Telegram, y por tanto saber a qué horas se acostaba - más o menos - y en que momentos estaba online en su aplicación de mensajería de Telegram, como podéis ver en la Figura 2.

Figura 1: WhatsApp: Cómo te pueden espiar los horarios 24x7 por WhastApp 

Esta información, sacada de un plataforma de mensajería, era bastante peligrosa, ya que podrían controlar los horarios de una persona sin que ella lo supiera, solo por el hecho de utilizar un servicio. Fue una prueba de concepto que no publicamos, y que solo contamos en alguna presentación para explicar la problemática. ¿Pero qué pasa con WhatsAPP

Figura 2: Seguimiento de actividad de una persona por medio de Telegram

En el caso de WhatsApp lo hemos podido realizar de igual forma, pero en lugar de utilizando la API, haciendo un escenario un poco más engorroso. Tan sencillo como montar una imagen de un navegador con una cuenta de WhatsApp con una sesión iniciada de WhatsApp Web. En este navegador, utilizando el mismo Plugin que usamos para hacer WannaSap, el gusano que se distribuía por WhatsApp, hemos monitorizado los estados de Online y Last-Seen en las cabeceras de las conversaciones.

Un extraño te vigila por Last-Seen en WhatsApp

Para que uno extraño, es decir, un número de teléfono de una persona que no tienes en tu agenda pueda monitorizarte los horarios a través de WhatsApp, el atacante debe aprovecharse de una mala configuración de seguridad desde el punto de vista de privacidad, que *NO SÉ NI POR QUÉ EXISTE*. Es decir, creo que el que diseñó los valores de configuración de Last-Seen pensó que todas las opciones posibles eran que "Nadie" viera ese dato, que lo vieran "Solo los contactos", y la otra opción era "Todo el mundo". 

Figura 3: Valores de Last-Seen en WhatsApp

Sí, esas podrían ser tres opciones de configuración, pero desde el punto de vista de este servicio, la opción de "EveryOne" no debería ni existir dentro del universo de posibilidades de configuración. Es decir, en la app de WhatsApp solo se deberían poder configurar "Nobody" y "My Contacts" y ya. Pero si has decidido poner "EveryBody", pues te pueden monitorizar.

Figura 4: Last-Seen en WhatsApp Web de un número que no nos conoce

En esta imagen se puede ver que, desde un terminal con WhatsApp Web se puede ver la última conexión de un número de teléfono que no me tiene en su lista de contactos ni que nunca ha chateado con nosotros, así que automatizando un plugin en Firefox, es posible leer constantemente ese dato desde un VM y alimentar una base de datos con horarios de muestreo y datos de Last-Seen para hacer un Time-Line como el de la figura 2.

Un contacto de WhatsApp te vigila cuanto estás Online (24x7)

La cosa es aún más divertida si es un contacto de tu Agenda, ya que no necesita la opción de EveryOne en Last-Seen, sino que puede tomar ventajas del aviso que da WhatsApp de que estás Online. Así que, con la misma estrategia, con un Plugin de Firefox, hemos probado a monitorizar tres números de contacto buscando el texto online en la barra del chat.

Figura 5: Tus contactos siempre pueden saber cuándo estás Online.

Es una característica de "Engament" que fomenta el uso de WhatsApp

Y por supuesto, se puede hacer un Time-Line igual, marcando en el muestreo - cada 5 segundos - de si estaba online o no ese contacto cuando hemos "clickado" en su chat. La idea es que el plugin va haciendo un recorrido por los chats cada ciertos segundos, y guarda en una base de datos la hora de muestreo y si estaba Online o no. El resto es cruzar lo datos.

Figura 6: Monitorización constante de contactos para hacer un

Time-Line de conexiones de un contacto entre Online y Last-Seen.

Para esto, no hay solución más que saber a quién tienes en tu agenda de contactos, porque siempre va a poder configurarse un servicio como este, tal y como hemos hecho nosotros. Así que, cuidado a quién le das tu número de teléfono que le estás dando tus horarios de vida. Es peligroso. WhatsApp debería dejar que se configurase la opción de "Que no se sepa que estoy Online".

Figura 7: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Al final, como muchos de las formas de hacking de terminales móviles o apps móviles, tiene mucho que ver con weaponizar una función y conseguir que una característica se convierta en una herramienta de ataque para el usuario, lo que está mal.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo montar tu (Open) VPN con PFSense de forma sencilla #PyMES #Teletrabajo

La irrupción de la pandemia en nuestras cambió muchas cosas. Una de esas situaciones fue el fortalecimiento del teletrabajo y la necesidad de las empresas a amoldarse a un trabajo remoto debido a las necesidades que todos conocemos y la imposibilidad de poder tener contacto entre nosotros. Todo esto produjo una situación en la que muchas empresas tuvieron que amoldarse y empezar a emplear recursos para poder llevar a cabo el teletrabajo.

Figura 1: Cómo montar tu (Open) VPN con PFSense de forma sencilla

En muchas ocasiones, se cometieron errores, ya que se empezaron a exponer servidores a Internet con todo el riesgo que eso podía conllevar. Las soluciones más factibles, incluso cómodas, sería la instalación de una VPN para una empresa, independientemente del tamaño de ésta. Una forma segura (si todo está bien configurado) de acceder a los recursos internos de la organización y de disponer de una trazabilidad sencilla de quién se conecta y cuando a la organización.

Figura 2: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

En el artículo de hoy vamos a mostrar como se puede montar una OpenVPN, la cual es una de las posibilidades que trae PFSense, para implementar una VPN. Si eres una persona que viaja mucho y necesitas conexiones seguras en diferentes ubicaciones puede interesarte este tipo de soluciones. Montar una VPN en tu casa no es algo complejo a día de hoy con algo de conocimiento básico. PFSense simplifica el proceso de creación de la CA, del certificado del servidor, de los usuarios, etcétera.

 
Entorno: Comenzando

El entorno que vamos a suponer en este ejemplo es el siguiente:

• Disponemos de una solución PFSense.
• Tenemos una red LAN donde tenemos una serie de máquinas y recursos.
• Tenemos una red WAN, la cual es Internet.

Lo que vamos a hacer es configurar en PFSense, el cual es el que se encuentra entre esa LAN y esa WAN filtrando el tráfico, es decir, actuando de firewall, para poder implementar la VPN en dicho punto. La herramienta de Package Manager que dispone PFSense permite instalar paquetes y demás funcionalidades que hacen de esta suite all-in-one una buena solución para muchos entornos. Para poder exportar los perfiles de OVPN vamos a hacer uso de la instalación del paquete openvpn-client-export.

Figura 3: Instalación del paquete openvpn-client-export

Ahora vamos a llevar a cabo la instalación del servicio de OpenVPN en PFSense. Nos dirigimos al apartado VPN y seleccionamos OpenVPN. Seleccionamos ahora “Wizards”, el asistente que simplificará el proceso de creación de todo lo necesario.

Figura 4: Libro de Hardening de Servidores GNU/Linux 4ª Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

Al acceder a “Wizards” empezamos en el paso 6 del proceso y nos solicita el tipo de autenticación con el que se van a autenticar los usuarios de la VPN. Puede ser una base de datos local de usuarios que mantenga PFSense o podríamos incluso integrarlo con un servidor RADIUS o LDAP. En este ejemplo, usamos la base de datos de usuarios locales.

Figura 5: Configuración de RAS

Al pulsar sobre siguiente llegamos al apartado de generación de CA. Es un apartado importante, ya que posteriormente podremos gestionar revocaciones de certificados de usuarios, entre otras cosas. Generamos la CA para el servidor de VPN, simplemente seleccionamos el tamaño de clave y el nombre que le daremos a la CA. Además, hay que indicar los típicos parámetros de país, ciudad, tiempo de validez, etcétera.

Figura 6: Configuración de la Certification Authority

Damos a siguiente y nos encontramos con la generación del certificado del servidor. Seleccionamos el tamaño de clave y rellenamos los parámetros anteriores (tiempo de vida, país, ciudad, etcétera). Si alguna vez has implementado una OpenVPN a mano con el uso de OpenSSL para generar CA y certificados o con easy-RSA, verás la diferencia al instante, ya que la GUI enmascara muchos pasos manuales que, aunque necesarios, podían ser tediosos.

Figura 7: Configuración del Certificado del Servidor

Ahora nos aparece un gran número de opciones dentro de la configuración del servicio de VPN. Hay que ir analizando cada opción. Opciones como:

• Puerto: Es recomendable utilizar un puerto alto para montar el servicio, en vez de utilizar el puerto por defecto (1194).

• Descripción de la VPN: Nombre descriptivo.

• Tipo de protocolo: Sobre el que la VPN funcionará (UDP o TCP) y sobre que protocolo de red IPv4 o IPv6.

• Opciones criptográficas: TLS Auth, TLS Key, el tamaño de DH, algoritmos criptográficos que se pueden utilizar, el algoritmo de digest, etcétera.

• Configuración de red: De esto hablaremos un poco más adelante.

Figura 8: Configuración General de la VPN

Llegados a este punto, nos fijamos en la configuración del túnel, es decir, la configuración de red. El direccionamiento que se otorgará a los clientes, por defecto 10.0.8.0/24, aunque esto se puede personalizar como se puede ver en la imagen. Este direccionamiento podrá tener acceso a la red LAN, si así lo decidimos. Como se puede ver un poco más abajo, tenemos que indicar la red de área local, en este caso la 10.0.0.0/24 y es con la que tendremos visibilidad.

Figura 9: Opciones de Tunneling

Además, podemos configurar los diferentes parámetros de red que los clientes de la VPN recibirán por parte del servidor como, por ejemplo:

• Direcciones de los servidores DNS (pudiendo ser el propio PFSense el servidor DNS).
• Dirección del Gateway.
• Dirección del servidor NTP.
• Wins Server.
• Opciones NetBIOS.

Después, nos encontraremos con la posibilidad de crear automáticamente la regla en el firewall para permitir las conexiones a la OpenVPN desde clientes que se encuentren en la interfaz WAN. Además, existe otra opción para crear una regla que permite todo el tráfico desde los clientes a través del túnel.

Figura10: Firewall y OpenVPN

Cuando acabamos el proceso, se nos crea una nueva interfaz en el firewall. Esta interfaz es la de OpenVPN (tendremos LAN, WAN, DMZ si la tuviéramos). En la interfaz de WAN deberíamos ver la regla creada que da acceso a la OpenVPN y el puerto que hemos seleccionado. Mientras que en la interfaz OpenVPN deberíamos ver también una regla que nos permite sacar el tráfico a través del túnel.

Figura 11: Regla del tunel

Una vez finalizado el proceso, vamos con la parte de usuarios. Lo primero que hay que hacer es ir a crear un usuario o los usuarios necesarios. Vamos al apartado System -> User Manager y aquí gestionaremos el alta y baja de los diferentes usuarios. No se ha comentado, pero en el proceso de configuración también se elige cómo se autenticarán los usuarios (contraseña, certificado, contraseña más certificado…). Hemos elegido, contraseña y certificado. 

Damos de alta un nuevo usuario, tendremos que darle un nombre, podemos meterlo en un grupo con privilegios en el firewall o no, y podremos configurarle una contraseña y, además, indicar que debe disponer de un certificado para la conexión con la VPN.

Figura 12: Certificado para la conexión

Bien, ahora que ya tenemos todo listo, nos vamos al apartado de VPN y OpenVPN y vamos a la aplicación que instalamos al principio para exportar perfiles. Veremos una opción que nos permite exportar el perfil en formato OVPN. Este perfil es el que utilizará el usuario concreto para conectarse a la VPN. 

Figura 13: Conexión VPN funcionando

En cualquier instante se puede revocar el certificado o eliminar el usuario de la base de datos, por lo que el acceso quedará inhabilitado. A continuación, importamos el perfil a un cliente OpenVPN, por ejemplo, en Windows, y vemos como se realiza la conexión por la interfaz WAN. A partir de entonces, tendremos acceso a los recursos de la LAN (que es la red 10.0.0.0/24).

Figura 14: Hacking Windows: "Ataques a sistemas y redes Microsoft"
de Pablo González, Carlos García y Valentín Martín.

Sin duda, PFSense es un All-in-one que proporciona muchas posibilidades y en temas de seguridad no solo se queda con la VPN. Hay que recordar que se puede instalar un IDS, proxy, AV, ciertos elementos que fortifican la infraestructura y desde un punto de vista accesible a muchos. Es importante asegurarse que las configuraciones son realmente seguras.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

"Evil never Sleeps" o cómo un malware tipo PEGASUS en tu iPhone podría funcionar incluso después de apagar el terminal

Este mes de Mayo se ha publicado un paper más que interesante, y que recomiendo que lo leáis con calma, que se ha titulado "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" donde un equipo de Security Researchers se ha dedicado a estudiar la taxonomía de posibles ataques que se pueden realizar cuando un terminal iPhone esta apagado por su dueño, y piensa que está seguro contra cualquier malware o proceso de spyware en él. Error.

Figura 1: "Evil never Sleeps" o cómo un malware tipo PEGASUS

en tu iPhone podría funcionar incluso después de apagar el terminal

Es decir, el artículo explica en detalle todas las posibilidades por las que un malware, utilizando los servicios de iPhone & iPad con el sistema operativo iOS en modo desconectado - que siguen funcionando incluso cuando apagas el terminal - podrían seguir trabajando en pro del malware persistente en tu terminal que te estuviera espiando todo el rato y conectándose con su C&C.

Figura 2: "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" 

Este artículo recoge un estudio completo de cómo un malware instalado en un terminal iPhone usando algunas vulnerabilidades que pudieran existir, tanto en iOS como en el firmare, podrían ser utilizadas para que un malware controlara tu terminal incluso cuando lo tienes apagado. 

Figura 3: Diseño de cómo sería el funcionamiento de Introspection en SmartPhone

Esto, que parece ciencia ficción no lo es para nada, y ya tiempo atrás - hace muchos años - Edward Snowden contaba cómo la NSA estaba trabajando en este tipo de aplicaciones espía, y que para evitar esto, la única solución es crear un dispositivo de análisis físico de señales, que él llamó "Introspection". 

Figura 4: Recomendaciones de protección física de comunicaciones en iPhone

En el artículo, explica cómo se debe utilizar una solución como Introspection que evite la comunicación de un malware latente que utilice las funciones LPM (Low Power Mode) de un terminal iPhone que se activan con el terminal OFF, como son las comunicaciones del servicio Find My o Digital Card Key (DCK) 3.0, basadas en los nuevos chip BlueTooth que soportan comandos BlueTooth Low Energy (BLE) y Ultra WideBand (UWB), como evolución de las comunicaciones Near Filed Communications (NFC)

Figura 5: Protocolos que quedan activos en modo LPM cuando iPhone está OFF

Este artículo analiza las posibilidades por las que, si un malware consiguiera un control total de uno de los tres elementos principales de la cadena en un terminal iPhone que mantienen la seguridad completa del sistema, como son:

• Apps privilegiadas con acceso a funciones LPM en modo OFF
• Firmware del terminal iPhone
• Hardware del terminal iPhone

Entonces, ese malware, podría seguir comunicándose incluso con el terminal apagado. Para ello, como podéis imaginar, no es nada sencillo, pero ya hemos visto ataques en el pasado que han tomado ventajas de vulnerabilidades en todos los niveles para hackear el terminal iPhone o iPad, como hemos visto muchas veces.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Desde los primeros Jailbreak de los primeros iPhone, como fue el que uso el exploit limera1n que explotaba vulnerabilidades en el firmware y que no podía ser parcheado vía OTA, lo que lo hacía más que persistente, hasta los ataques de NAND Mirroring clonando el hardware y atacando el passcode para evitar el borrado de los datos, pasando por la infinidad de bugs en el sistema operativo iOS y sus apps que han permitido accesos privilegiados y Jailbreak. 

Figura 7: Modelo de Adversario que modifica el firmware del iPhone

Esto, que parece harto complicado, se puede realizar sin embargo mediante un proceso por el cual se aprovechan de una debilidad que ha incluido Apple en sus terminales, al permitir el patch de los nuevos chips de Bluetooth que se metan patches sin firmar, lo permite a los autores del artículo hacer una actualización del firmware de manera maliciosa, al estilo de los antiguos ataques de EvilGrade de Francisco Amato.

Figura 8: Modificación del firmware de Bluetooth con patches "unsigned"

Además, auditando en profundidad apps privilegiadas para el uso de funciones LPM en modo OFF, como es el caso de Find My, parece que no cumple promesa de seguridad que ofrece, dejando de funcionar el envío de paquetes de advertisement, y haciendo que el terminal se "pierda", lo que sería otra debilidad del sistema.

Figura 9: Malfuncionamiento de Find My

Todo este largo análisis que hace este artículo, al final abre un poco la paranoia del espionaje que abrió Edward Snowden en su momento. Si existen estas capacidades, y no hay forma de garantizar que alguien ha manipulado el hardware o que ha manipulado el software, o que hay un bug en una app con acceso privilegiado a las funciones LPM en modo OFF, entonces no hay forma de garantizar que no te hayan metido, por ejemplo, un PEGASUS. Y la siguiente derivada, ... ¿y si alguien ha dejado un bug a propósito en esas puertas para siempre tener acceso a todos los datos de todos los usuarios que tengan un terminal iPhone o iPad? 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)