La estafa de las inversiones en BitCoin que usa la imagen de Dani Rovira, David Broncano y otras personas populares con Gremlin Ads y Fake News

Hace tiempo que se habló de esta estafa, pero recientemente han vuelto a invertir en campañas de anuncios en los principales medios de comunicación para engañar a más gente. La estafa es que hacen creer a las personas que algunos de los profesionales más populares y de mayor éxito han hecho una inversión en BitCoin y que les va de maravilla. Buscando dar confianza a las "víctimas" y atraerlos a su redil. Como el viejo timo de la estampita o el tocomocho.

Figura 1: La estafa de las inversiones en BitCoin que usa
la imagen de Dani Rovira, David Broncano y otras personas
populares con Gremlin Ads y Fake News

Si no conoces estos timos, todos se basan en lo mismo, en hacer creer al que va a ser estafado que es más listo que los demás, que los demás son tontos y no se dan cuenta, y que él puede aprovecharse porque es más listo. Pero al final, es él quien cae estafado. En este vídeo se explica muy bien.

Tocomocho y estampita

Y por supuesto, ganar dinero con la especulación de BitCoin se ha convertido también en una de las luces que más atracción ha generado entre los ávidos de ser más listos que los demás. No, no me entendáis mal, el crecimiento del valor de BitCoin ha tenido momentos espectaculares, y también caídas brutales. Hay gente que ha convertido unos dólares en casa, pero también ha habido caídas brutales.

Pero lo peor y más complicado de esto es que hay muchos "BitCoin", hay muchas criptomonedas, hay muchos exchangers, hay mucho que saber para saber dónde metes tu dinero y, sobre todo, que no es evidente que lo puedas sacar cuando quieras,. No quiero que este artículo sea sobre todas las cosas que hay que tener en cuenta cuando se hace una inversión en criptomonedas - sea cual sea -,  pero sí expresar que el fraccionamiento de las criptomonedas - del propio BitCoin incluido - y los markets es muy alta, y que su utilización no es tan evidente.

Figura 3: BitCoin: La tecnología Blockchain y su investigación

Si quieres conocer más sobre BitCoin y la tecnología y funcionamiento que subyace, nuestros compañeros Felix Brezo y Yaiza Rubio hablan de todos sus detalles en el libro "BitCoin: La tecnología BlockChain y su Investigación", que te recomiendo que leas si te gusta el mundo de la ciberseguridad y te atrae BlockChain y BitCoin. Verás que no es tan fácil como pensabas al inicio.

La "estampita" en el BitCoin

Y ahora viene el tema. En el Timo de la Estampita o el Tocomocho, tenemos dos personajes fundamentales. El "Tonto" que es el que no sabe aprovechar el valor de lo que tiene delante - que puede ser un billete de lotería premiado, o una quiniela de fútbol premiada, o una herencia , o una inversión fantástica sin perdida en Bitcoins -, y el "Enterado" que es otro listo que como tú, sabe que la oportunidad es buena y la va a aprovechar, la ha aprovechado o te deja que la aproveches sacándote algo para el tonto.

En cualquier caso, al final, ni hay cupón premiado, ni hay billetes, ni hay quiniela premiada, ni hay herencia, ni hay ganancias aseguradas en la inversión en BitCoin que has hecho en "esa" plataforma por mil motivos distintos. 

Figura 4: Anuncios patrocinados para la campaña de la estafa

En estas campañas, yo me he encontrado el "gancho" en anuncios patrocinados de artículos de principales diarios nacionales, como este caso que, haciendo clic en el artículo patrocinado de "10 Hábitos de las personas con éxito financiero", lleva a la campaña de "malvertising".

Gremlin Ads

Por supuesto, no es una campaña que sea fácil de detectar para los proveedores de ads de estos medios digitales, ya que son "Gremlin Ads". Es decir, se activan solo puntualmente mediante redireciones y técnicas de cloaking del artículo enlazado de "10 Hábitos de las personas con éxito financiero". Es decir, algunos verán ese artículo, y algunos otros, puntualmente, verán alguno como este.

Figura 5: Llegamos a la Fake News con la imagen robada usada como "Enterado"

Como podéis ver, esta estafa lo tiene todo para adaptar las estafas tradicionales al mundo de Internet y usar todas las tecnologías. Usa sitios web de Phishing - en este caso como si fuera de El Mundo - cuando realmente ha salido visitando El País, para lo que han comprado dominios especiales. 

Después, aplica la campañas de Malvertising gastando dinero en Ads para hacer SEO, BlackSEO y SEM, y por último usa BitCoin como reclamo usando Fake News para suplantar la imagen de personas populares en la figura del "Enterao" del timo tradicional. Una maravilla de cibercrimen.

Figura 6: El testimonio de un cliente satisfecho

El texto de la noticia es divertidísimo. El gestor de la inversión te pide 222 € y te promete que no vas a perder ni un céntimo, y el testigo que hizo la prueba lo saco dejando de llevar a su familia a restaurantes de comida basura con lo que: "hemos mejorado la alimentación además de tener la oportunidad de enriquecernos". Genial.

Figura 7: La misma noticia con la imagen del El País y David Broncano

Las personas que se han visto afectadas, por que lógicamente todas estas informaciones son mentira, son muchas. Se ha utilizado ilegalmente la imagen de David Broncano, Dani Rovira, Luis Suárez, Karlos Arguiñano, Natalia Oreiro, etcétera, y las imágenes de muchos medios de prestigio, como El País o El Mundo.

Figura 8: La misma noticia con la imagen de Luis Suárez

Al final, basta con que escribas el titular en Google, y automáticamente la opción de autocompletar te saca los nombres de las personas que se han visto afectadas por estas campañas para engañar a personas con inversiones "fantásticas" y "maravillosas". 

Figura 9: Lista de personas que han sido utilizadas en esta estafa

Como podéis ver, la estafa del hacker que cambia las notas, la estafa del nigeriano, la estafa del hacker profesional que puedes contratar para espiar el WhatsApp, o la web que te permite hackear Facebook en un minuto con su chiringuito, están ahí fuera esperándote en la red, así que aprende a protegerte de los peligros en Internet.

  Figura 10: Vídeo de webs para "Hackear Facebook en 1 minuto"

Os dejo los dos vídeos de los Hackers for Hire y de Cómo hackear Facebook con mi chiringuito para que si compartís este artículo con alguien que os haya hablado de estas inversiones fantásticas, pueda ver el resto de estafas.

Figura 11: Hackers for Hire "La estafa"

Y nada más, espero que os sea interesante esta información y que no caigáis ni vosotros ni ninguno de vuestros familiares y amigos, que cuando más les funcionan estas estafas, más estafas aparecen. Nosotros vamos a comenzar a reportar desde nuestro SOC de ElevenPaths las URLs de este tipo de campañas que detectemos a los motores de seguridad de nuestro servicio de Conexión Segura para evitar que lleguen a nuestros clientes el máximo posible.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

La base de datos de WhatsApp en iPhone sigue sin cifrar, y estamos en 2020

Durante muchos años y posts, he escrito recopilando las técnicas que existen para Espiar WhatsApp, y cómo se debe Fortificar WhatsApp a Prueba de Balas. Hemos ido viendo las evoluciones de seguridad de WhatsApp cambiando versión a versión, pero hay una en concreto que en iPhone, sigue siendo una debilidad que Facebook no ha arreglado con el paso de los años.

Figura 1: La base de datos de WhatsApp en iPhone sigue sin cifrar, y estamos en 2020

La característica a la que me refiero, que Facebook no ha arreglado con el paso de los años, tiene que ver con el cifrado de la base de datos de mensajes de chats de WhatsApp en iPhone, donde nos encontramos con que aún, en el año 2020, después de un número ingente de ataques a la privacidad de las personas, sigue sin cifrar. 

Figura 2: Libro de Hacking iOS: iPhone & iPad 2ª Edición

Estas debilidades en iPhone, son las que hemos ido utilizando a lo largo de los años para Hackear iOS: iPhone & iPad, y ésta de hoy es una que debería arreglar WhatsApp y tú deberías tener en cuenta. Las tres partes que recogen la fortificación de WhatsApp que os he recogido las tienes aquí:

- PARTE 1: Cómo evitar que te roben la cuenta de WhatsApp
- PARTE 2: Cómo evitar que te espíen los mensajes de WhatsApp
- PARTE 3: Cómo mejorar la privacidad con WhatsApp

Por supuesto, que un atacante llegue a la base de datos de mensajes de los chats de Whatsapp exige que antes hayan caído otras medidas de seguridad de tu dispositivo, pero no tiene sentido dejar una puerta abierta a un atacante, porque al final, la seguridad de tu WhatsApp queda en manos de otras medidas de seguridad y no aplica los principios de Defensa en Profundidad de cualquier proceso de fortificación de tecnología. Hace ya muchos años, en el año 2015, di una charla que se titulé Tu iPhone es tan (in)Seguro como tu Windows, donde hablaba de cómo la seguridad de tu smartphone - y por ende tu WhatsApp - puede depender del equipo Windows al que te pareas.

Figura 3: Tu iPhone es tan (in)seguro como tu Windows

Para que veas como funciona esto, puedes hacer una prueba muy sencilla con tu terminal iPhone. Basta con que te bajes una aplicación para gestionar tus ficheros de iPhone. En este caso iMazing que hace el trabajo de conectarse a tu iPhone si estás en un equipo en el que hayas confiado. Como se puede ver, cuando conectas un iPhone a tu MacOS o tu Windows para extraer fotos, hacer backup, etcétera, estás dando acceso a tu terminal iPhone a todo programa que corra con privilegios en tu Windows o Mac.

Figura 4: iMazing te extrae todos los ficheros haciendo un backup sin cifrar

Esos programas, antiguamente, se conectaban al sistema de ficheros de tu iPhone o iPad, pero Apple fortifico esta característica, y ya no es posible. La sandbox de aplicaciones es buena, y no se puede meter  mucha mano a las apps tal y como se hacía antes, con programas como iFunBox, pero... ¿quiere decir que esto no se puede hacer?

Figura 5: Acceder a la SandBox de la app de WhatsApp ya no se puede directamente 

Pues no, lo que hacen aplicaciones como iMazing es aprovecharse del pareado de tu equipo de confianza para hacer un backup SIN CIFRAR de tu iPhone al equipo pareado. Es decir, fuerzan una copia de seguridad desde el equipo MacOS o Windows al que conectas tu iPhone y extrae todos los ficheros sin cifrar de tu iPhone para dejarlos en el disco duro del equipo. Y entre ellos tu base de datos de WhatsApp.

Figura 6: Ficheros de iOS copiados al Mac

Así que, desde cualquier equipo pareado en el que confíe tu iPhone se puede extraer todo el sistema de ficheros de iPhone sin cifrar. Una vez que se realice ese backup sin cifrar, tendremos en el disco duro del ordenador la base de datos de WhatsApp, que como he dicho al principio, está sin cifrar también. Encontrar el fichero, es bastante sencillo, ya que es un hash y se puede localizar navegando conocido que se genera a partir de la ubicación del fichero dentro del sistema de archivos de iOS, y ya se puede navegar fácilmente por los backups desde tu MacOS.

Figura 7: Con estos tres ingredientes, tenemos todo

Así que, una vez localizado ese fichero, y sabiendo que ese fichero, llamado ChatStorage.sqlite, es un almacén de base de datos SQLite, lo único que tiene que hacer cualquiera es usar un visor de ficheros SQLite y abrirlo. 

Figura 8: En las tablas de la base de datos están los mensajes

Una vez que abras ese fichero, podrás ver que los mensajes de tus chats de WhatsApp están en texto plano y se pueden ver los mensajes que has enviado y recibido en cada uno de los chats.

Figura 9: Y toda la base de datos de contactos

Lo que quiere decir que la seguridad de tu WhatsApp depende de la seguridad de tu iPhone y, en este ejemplo concreto, de la seguridad de tu Windows, tal y como en el mundo del cibercrimen, de los APTs y de la privacidad personal, hemos visto durante los últimos años.

¿Debería cifrar WhatsApp la base de datos de mensajes en el dispositivo?

Pues si seguimos los principios de fortificación de sistemas informáticos, que dependen de aplicar Mínimo Privilegio Posible, Mínima Superficie de Exposición y Defensa en Profundidad, mi opinión personal está clara: 

Debería haberlo hecho hace años.

Mientras tanto, debes tener un cuidado especial de a qué equipos conectas tu iPhone ya que, aunque tú hagas copias de seguridad cifrada, con programas con iMazing se pueden forzar las copias de seguridad sin cifrar y todos tus archivos - fotos ocultas incluidas - se irán para allá. En este vídeo os explico lo que podéis ver en este artículo, pero contado por mí.

Figura 10: Notas sobre el (No) cifrado de la base de datos de WhatsApp en iPhone

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

GitHub Dorks: Buscando "Trufas" en GitHub usando TrufleHog & GitRob

El teletrabajo está demostrado que puedes ser más eficiente para las empresas de lo que la mayoría de las organizaciones pensaba hasta hace unos meses. Pero también puede traer consigo un incremento de “leaks” de información confidencial si no tenemos cuidado con la manera de implementarlo. Inspirándome en el post que escribí sobre el  "Google Dorks & Low Hanging Fruit: Open Redirects" podría decirse que esta es una segunda parte, ya que vamos a usar dorks similares para encontrar "trufas" en una de las plataformas que más está dando que hablar últimamente en la comunidad: Github

Figura 1: GitHub Dorks: Buscando "Trufas"
en GitHub usando TrufleHog & GitRob

Github es una plataforma para desarrolladores donde pueden compartir código en diferentes lenguajes de programación. En ella se permite editar simultáneamente un proyecto, lo que resulta de gran utilidad en escenarios de teletrabajo, pero si no se usa con cuidado, también presenta una gran amenaza a la seguridad de las empresas, ya que en este entorno es relativamente sencillo que a alguien se le termine escapando en el código que sube alguna KEY, algún TOKEN o contraseña…

Figura 2: Hacking con Buscadores 3ª Edición
de Enrique Rando

Y ahí viene la gracia, es un entorno fantástico para aplicar todas las técnicas de Hacking con Buscadores, pero en este caso dentro de la plataforma de GitHub, así que vamos a ver cuáles son sus posibilidades. En esta plataforma cuenta con un buscador con multitud de comandos, entre los más útiles destacaría:

Figura 3: Comandos de búsqueda en GitHub

Como podéis ver, se pueden utilizar comandos bastante específicos para localizar cosas jugosas, así que ahora es el momento de ver qué tipos de GitHub Dorks podemos crear para sacar partido en un entorno de búsqueda de objetivos en un pentesting.

Github Dorks

Teniendo estos comandos claros, las posibilidades son infinitas. Podemos probar filtrando por la organización objetivo y campos como “password”, “pwd”, “token”, “credential”….

Figura 4: Buscando "password" en GitHub

Con esta técnica podemos encontrarnos con auténticas bases de datos de usuarios y clientes volcadas en Github por descuido, así como credenciales de AWS (aws_secret), tokens calentitos que han sido recientemente indexados y que todavía no han expirado. Este tipo de técnicas son similares a las que se pueden ver en la charla de Chema Alonso de "Dorking & Pentesing with Tacyt", donde hacía dorks similares para buscar en el código fuente de las apps que el servicio de ElevenPaths tiene indexado, que es lo mismo que podemos hacer en GitHub.


Figura 5: Dorking & Pentesting con Tacyt por Chema Alonso
Aquí surge una segunda derivada, ya que si la organización cuenta con mecanismos de control contra leaks en Github, el riesgo no se mitiga por completo, ya que los trabajadores cuentan con su página personal en Github donde puede haber leaks fuera del radar de la organización. Veamos por ejemplo, Netflix, una compañía que si tiene un mecanismo de control de leaks en su repositorio oficial de Github:

Figura 6: Netflix Open Source Platform

Vemos que cuenta con 15 usuarios registrados en su repositorio oficial. Lo que podríamos hacer aquí es meternos en la página personal de cada uno de esos usuarios y buscar repositorios propios donde se suelen guardar notas o trozos de código que no están en el repositorio oficial y que son altamente peligrosos para la compañía. 

Si nos fijamos en la dimensión de Netflix, suena raro que tan solo cuente con 15 empleados desarrollando código, y esto no es así, el problema es que muchos de los que trabajan en el repositorio no han vinculado su perfil al de Netflix, algo todavía más peligroso, ya que podríamos buscar “developer” en Linkedin y filtrando por la organización podríamos obtener usuarios de Github que sabemos que trabajan pero cuyo perfil no está vinculado al de Netflix. 

Figura 7: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet
de Vicente Aguilera y Carlos Seisdedos

Utilizar Linkedin como fuente de datos OSINT es algo habitual, y el libro que publicaban ayer sobre OSINT y la investigación en redes sociales dedica un capítulo enorme solo a este asunto, como puedes ver en el índice del libro. Estos usuarios que trabajan en una compañía y lo anuncian en Linkedin, y luego no están vinculados a los repositorios oficiales de la empresa en Github son estos los que, por norma general, guardan la mayor cantidad de Leaks. Por suerte, Netflix ("rara avis") también tiene a estos usuarios controlados, pero no es lo habitual.

Trapos sucios de las organizaciones en Github

Otra de las curiosidades que nos está dejando esta cuarentena es una gran cantidad de discusiones en repositorios, en las que parece que los usuarios implicados no recuerdan que su conversación es pública. 

Figura 8: Issues & Discussions en GitHub

Para ello basta con buscar en las secciones “Issues” y “Discussions” donde los desarrolladores presentan un problema y discuten (no siempre de las mejores formas, poniendo en riesgo reputacional a la compañía) hasta conseguir solucionarlos.

Automatizando la búsqueda: TrufleHog & GitRob

Sería ideal que las organizaciones tuvieran alertas sobre posibles leaks en Github de sus empleados, para ello existen dos herramientas que permiten automatizar este proceso. La primera es TruffleHog que por supuesto está en GitHub y puedes ver en ejecución en la imagen siguiente en la que busca Keys de AWS que puedan estar fresquitas.

Figura 9: TruffleHog

Y la segunda que os dejo, que también está en GitHub, por supuesto, es Gitrob, que te animo a que pruebes un rato para ver qué es lo que eres capaz de encontrar. Recuerda que constantemente hay actualizaciones de código, así que siempre hay "trufas" frescas que localizar.

Figura 10: GitRob en GitHub

Hay que remarcar que las posibilidades son infinitas tanto para la parta atacante como para la atacada. Es especialmente importante que en entornos de teletrabajo seamos más cuidadosos que nunca y que trabajemos con la VPN de nuestra organización que nos permita tener una conexión segura. Estos escáneres también son susceptibles de ser usados por los “malignos” y no sería recomendable que ellos se enteraran antes que nosotros de que hemos tenido un “leak”. 

Figura: Contactar con Nico Waisman

Por último, me gustaría recalcar que el equipo de seguridad de GitHub se preocupa mucho por este tipo de leaks y ayuda a la comunidad de developers constantemente con herramientas y seminarios de concienciación. Cuenta en su equipo con grandes profesionales y siempre que desde la comunidad de hackers se ha reportado algo a GitHub lo han corregido y mejorado. Son developers trabajando para developers, y eso se nota. Ha sido una alegría ver que Nico Waisman está en el equipo como Senior VP de Innovación en Seguridad de GitHub, así que os podéis hacer una idea de cómo de serio se toma la seguridad esta compañía.

Un saludo,

Autor: Pablo García Pérez

Contactar con Pablo García

Nuevo libro de "Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet" de @0xWord

Desde hoy tenemos ya disponible a la venta el nuevo libro de 0xWord que han escrito Vicente Aguilera y Carlos Seisdedos dedicado a las técnicas de Open Source INTelligence (OSINT) centradas en la investigación de personas e identidades en Internet. Es un libro que explica las fuentes, las herramientas y las técnicas que pueden utilizar para sacar información de una persona, de una identidad, y también llegar a hacer el famoso doxing o desenmascaramiento de quién se oculta tras una cuenta en un servicio de la red.

Figura 1: Nuevo libro de "Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet" de 0xWord

La inteligencia conseguida mediante la obtención de información en fuentes abiertas (OSINT, Open Source Intelligence) se ha convertido en una de las más importantes disciplinas de la inteligencia por derecho propio. OSINT se ha convertido en un valor en alza en el sector profesional, tanto dentro del campo de la seguridad informática como en el de la ciberinvestigación, siendo utilizada por actores tan diversos como Fuerzas y Cuerpos de Seguridad, periodistas, investigadores privados, analistas de seguridad, o en el ámbito militar (donde tiene su origen) entre otros muchos sectores. Y de esta inteligencia se habla en el libro que tienes aquí:

Figura 2: Libro Open Source INTelligence (OSINT):
Investigar personas e Identidades en Internet

En la actualidad, más del 80% de la inteligencia generada por los analistas e investigadores procede de fuentes abiertas. Este hecho demuestra que la información no ha de ser secreta para que tenga valor y, por otro lado, revela que la respuesta a la mayoría de las preguntas que podamos formularnos se encuentra a nuestra disposición. La dificultad reside en saber llegar a la información adecuada, procesarla e interpretarla. Y en libro se cubre mucho del trabajo en esta disciplina, como puedes ver en el índice del mismo que os he subido a mi canal de SlideShare.

Figura 3: Índice del libro: "Open Source INTelligence (OSINT):Investigar personas e Identidades en Internet" de 0xWord

Como podéis ver en el índice, el libro presenta de forma ordenada una metodología, estrategias de búsqueda, selección de las fuentes, y verificación de la información para poder sobrevivir a la infoxicación y las fake news que en múltiples ocasiones dificulta y entorpece el correcto desarrollo del día a día a los investigadores y analistas de inteligencia. 

Los autores

Carlos Seisdedos es el responsable del área de ciberinteligencia en Isecauditors. Es investigador y analista de inteligencia en materia de seguridad internacional y ciberseguridad. Ha desarrollado su trayectoria profesional en el ámbito del análisis criminal y la ciberinvestigación dentro de las Fuerzas y Cuerpos de Seguridad. Y como no podía ser menos, es uno de los grandes especialistas en obtención de información mediante técnicas OSINT de nuestro país, siendo el creador de la herramienta “magneto” orientada a investigadores y analistas de inteligencia, de la que se habla en el libro.

Figura 4: Contactar con Carlos Seisdedos

Es ponente habitual en eventos y congresos de ciberseguridad y ciberinteligencia nacionales e internacionales, además de ser autor de múltiples artículos sobre ciberseguridad y ciberterrorismo, y colaborador en diversos medios de comunicación en temas sobre ciberseguridad. Si quieres contactar con él, puedes hacerlo a través de su buzón en MyPublicInbox: Contactar con Carlos Seisdedos.

Vicente Aguilera es socio y cofundador de Internet Security Auditors. Fundador y presidente del capítulo OWASP Spain y miembro del Consejo Técnico Asesor de la revista RedSeguridad. Colaborador en diversos proyectos open-source tan famosos como OWASP Testing Guide, OWASP Top 10, WASC Threat Classification, OSSTMM o ISSAF). 

Figura 5: Tinfoleak de Vicente Aguilera

También es amante de las técnicas OSINT y es autor de la herramienta “tinfoleak” orientada a analistas de inteligencia para el análisis de redes sociales y de la que se habla en el libro. En el sector de la ciberseguridad desde el año 2001, ha publicado vulnerabilidades en productos y servicios de Oracle, Google, Facebook y LinkedIn, entre otros. Ahí es nada el currículo de Vicente Aguilera, con el que puedes contactar a través de su buzón en MyPbulicInbox.

Figura 6: Contactar con Vicente Aguilera Díaz

Es ponente habitual en congresos de seguridad informática nacionales e internacionales, y colabora con diversos medios de comunicación en materia de ciberseguridad. Además, es docente en diversos Másteres de Seguridad Informática y de la Información. 

Como podéis ver, este libro, que ha llevado mucho tiempo de trabajo, es el resultado de muchos años de trabajo y del esfuerzo de dos grandes profesionales, así que espero que os guste y podáis sacarle partido a estas técnicas, tan importantes hoy en día en el mundo de la seguridad informática.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

MyPublicInbox: Hackers, Músicos, Periodistas y Artistas @mypublicinbox1 @0xWord

Cada cierto tiempo os traigo una pequeña actualización de cómo está yendo el proyecto de MyPublicInbox, con algunas novedades en cuanto a nuevas características, y algunos de los nuevos perfiles públicos que se han dado de alta en la plataforma. Actualmente el número de usuarios de la plataforma es más de 2.500 y cada día crece más y más deprisa, lo que nos anima mucho.

Figura 1: MyPublicInbox: Hackers, Músicos, Periodistas y Artistas

Hoy os he querido traer algunos perfiles públicos, y el fin de semana os publicaré algunos de los nuevos servicios que hemos habilitado para los perfiles públicos de la plataforma, por si os son de utilidad para mejorar vuestra presencia en Internet de una forma más segura.

Aurora Beltrán (Tahures Zurdos)

Si has seguido la música Rock en Español, es imposible que no hayas escuchado algunas de las canciones de Tahures Zurdos, con esa voz tan personal y bonita, como tiene Aurora Beltrán. Azul, Tatuados, Llueve, o Tocaré, son algunos de los temazos que forman parte del repertorio que siguen dando en todos conciertos en que los vayas a ver. Ahora puedes contactar con Aurora Beltrán en MyPublicInbox.

Figura: Contactar con Aurora Beltrán en MyPublicInbox

Y si no la has visto tocando y cantando nunca, merece la pena que veas alguna de sus actuaciones. Os dejo este "Que entre la luz" que está en Youtube para que disfrutes un poco de su música.

Figura: Tahures Zurdos "Que entre la luz"

Irma Soriano

Desde los 17 años trabajando como periodista, Irma Soriano es un referente en la comunicación en este país. Ha hecho televisión, radio y ahora redes sociales. Es una de las grandes de este país y ha trabajado con maestros como Iñaki Gabilondo o Jesús Hermida. Ahora la tienes disponible a través de su buzón en MyPublicInbox.

Figura: Contactar con Irma Soriano

Sinvergonza
Uno de los cómicos que hay que ir a ver en La Chocita de El Loro de Madrid en cuanto que pasemos de fase. Gonzalo Jiménez, conocido con el nombre de Sivergonza, tiene uno de esos espectáculos para destornillarse de risa. Ahora, si buscas un humorista para amenizar cualquier acto, le tienes disponible en su buzón de contacto público en MyPublicInbox.

Figura: Contactar con Gonzalo Jiménez "Sinvergonza"

Nico Waisman

Hablar de Nico sin dejarme llevar es difícil. Nico Waisman es de los mejores profesionales y personas que he conocido en el mundo de la seguridad informática. Ha sido el alma de Immunity, ponente en BlackHat en muchas ocasiones, uno de los que más ha apoyado la creación de la Ekoparty, y ahora es un Senior VP en GitHub donde dirige el laboratorio de investigación en seguridad. Y entre sus méritos cuenta con haber dado una charla con Chema Alonso y haberse tomado muchas cervezas con él. Ahora está en MyPublicInbox donde puedes contactar con uno de los mejores hackers de nuestra generación. El gran Nico Waisman.

Figura: Contactar con Nico Waisman

Isabel González

Periodista, y actualmente subdirectora del programa de radio "La mañana de Federico" en la emisora de radio de "Es Radio" donde trabaja con Federico Jiménez Losantos, Isabel González es ahora también un perfil público de MyPublicInbox. Ahora puedes contactar directamente con ella a través de su buzón público.

Figura: Contactar con Isabel González

 Ricardo Galli

Pocos pueden decir que han lanzado una empresa, pero en el caso de Gallir, poner en tu CV que fundaste Menéame es algo diferente y especial. Profesor en la Universidad de las Islas Baleares, experto en Inteligencia Artificial, Big Data, y trabajador incansable. Ricardo Galli es un ejemplo de esos "Wozniaks" creadores en el mundo de las empresas tecnológicas. Ahora puedes contactar con él en MyPublicInbox.

Figura: Contactar con Ricado Galli

ElenaSurfea

Esta hacker de las tablas se ha metido a la difícil y divertida tarea de aprender a hacer surf o skate después de los 40 años de edad, que es cuando yo aprendí a montarme sobre mi tabla. Me encantan sus vídeos y su motivación, y si te gusta el deporte y quieres disfrutar del placer de la tabla sobre asfalto o sobre olas, puedes contactar con ElenaSurfea a través de su buzón en MyPublicInbox.

Figura: Contactar con Elena Gómez aka Elena Surfea

Laura Davara

Autora de varios libros sobre delitos informáticos, privacidad, Laura Davara es abogada especialista en protección de datos y derecho en redes sociales, además de formadora en materia de privacidad, GDPR y el trabajo de los DPO. Es socia del despacho de abogados Davara&Davara y puedes contactar con ella para cualquier consulta profesional a través del buzón público de Laura Davara en MyPublicInbox.

Figura: Contactar con Laura Davara

Carolina Bonilla

Es periodista y experta en relaciones con medios de comunicación.  Ayuda a aumentar la visibilidad de profesionales independientes, Pymes y Startups en los medios, convirtiéndolos en fuente de información para los periodistas. Carolina lleva años dedicándose a la comunicación corporativa y dirige "Influenzzia", su gabinete de prensa para empresas, con bastante éxito. Si quieres aumentar la visibilidad de tu negocio haciéndole formar parte de las noticias y creando enlaces de calidad; elevar tu prestigio como profesional y generar confianza en inversores y clientes potenciales. Puedes contactar con ella en su buzón en MyPublicInbox.

Figura: Contactar con Carolina Bonilla

Nico Castellano

Y para completar esta lista, dejo a Nico Castellano, uno de los impulsores del hacking y el movimiento de las CONs en España. Es el "alma" detrás NoCONname, el congreso para hackers más longevo que se realiza en nuestro país. Por este congreso hemos pasado casi todos los ponentes del mundo del hacking y la seguridad informática, y cuenta con haber tenido a ilustres de la historia hablando allí. Ahora puedes contactar con Nico Castellano en su buzón en MyPublicInbox.

Figura: Contactar con Nico Castellano

Y estos son los que os he seleccionado hoy. Como podéis ver, el proyecto sigue vivo y creciendo a muy buen ritmo. Si quieres ver más perfiles, puedes verlo en la lista de Perfiles Públicos, y si quieres tener tu propio buzón en MyPublicInbox sabes que puedes hacerlo vía tu cuenta de Twitter, o puedes solicitarlo escribiendo a Ari donde revisarán tu petición.

Saludos Malignos!

Más Referencias:

- MyPublicInbox: Algunos perfiles del mundo del emprendimiento y la cultura

- Un directo en Instagram con Salva Espín y un Lobezno Digital en MyPublicInbox

- Una entrevista a Salvador Larroca, perfil público en MyPublicInbox

- Cómo hago Inbox Zero usando MyPublicInbox

- Cómo contactar con Kevin Mitnick, el hacker más famoso de la historia
- MyPublicInbox: Campaña contra el Coronavirus
- MyPublicInbox: Muchos más perfiles públicos

- MyPublicInbox: La plataforma que da un uso inteligente a tu ‘email’
- Cómo establecer relaciones profesionales y obtener respuesta gracias a MyPublicInbox
- ¡El e-mail ha muerto! ¡Larga vida al e-mail!

- MyPublicInbox: Un proyecto para el día internacional del correo

- MyPublicInbox: Para que contactes con ellos si eres fan como yo

- MyPublicInbox: Unos perfiles de artistas en el mundo del cómic

- MyPublicInbox: Un proyecto para acercarte a perfiles públicos relevantes.
- MyPublicInbox: Milestone ZERO
- MyPublicInbox: Servicio de Originales Digitales
- MyPublicInbox: La española que puede competir con Linkedin
- MyPublicInbox: Haz que te paguen por leer tu correo
- MyPublicInbox: Cuando 24 horas al día no son suficientes
- [Youtube]: MyPublicInbox por Chema Alonso

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo enumerar información del Active Directory sin dejar "huella" en el logging de un CMD

En muchas ocasiones no le dedicamos el tiempo adecuado a la enumeración de objetos, usuarios, características, propiedades, etcétera. Esto es algo importante en un ejercicio de Red Team o en un proyecto de Ethical Hacking. La posibilidad de interactuar a través de RPC con el dominio es siempre interesante, para ello haremos uso de una herramienta llamada rpcclient y que disponemos en Kali Linux.

Figura 1; Cómo enumerar información del Active Directory
sin dejar "huella" en el logging de un CMD 

En el artículo de hoy vamos a suponer un par de casos: el primero es un caso en el que la configuración de  seguridad de Windows Server 2016 no autentica las llamadas RPC, por lo que nos podemos conectar al servidor y empezar a trabajar. Esto puede ocurrir y es una cosa a validar en un Ethical Hacking, sin lugar a la duda.  

Figura 2: Libro Windows Server 2016:
Administración, Seguridad y Operaciones de
Ángel A. Nuñez en 0xWord

¿Cómo verifico esto? Es fácil, utilizando la siguiente instrucción: rpcclient -U “” -N [dirección IP]. El parámetro -U indica el usuario con el que vamos autenticar, en este caso ninguno. El parámetro -N indica que la autenticación es nula. El segundo caso, es compatible con el primero, y es disponer de la autenticación de un usuario y podernos conectarnos por RPC. Esto nos puede permitir hacer consultas y hacer un bypass del registro de acciones de un CMD o una Powershell. Esto es interesante. 

Windows Server 2016

¿Dónde se puede ver los valores y las configuraciones? Se pueden visualizar en las políticas del dominio a través del mmc.exe:

- Computer Configuration \ Administrative Templaes \ System \ Remote Procedure Call. 

- Aquí encontramos dos políticas interesantes: Restrictions for unauthenticated RPC clients y RPC endpoint mapper client authentication.

En el registro de Windows también se puede consultar en qué estado se encuentran estas políticas:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc. 

Aquí se puede encontrar, si existe la clave, los valores:

- RestrictRemoteClients

 

- EnableAuthEpResolution

Comprobando que se permiten los clientes no autenticados. Escenario 1

En algunas ocasiones, por compatibilidades, aplicaciones propias que hacen uso de esta tecnología o por cualquier otra razón, se configura de forma insegura un servidor. No es algo crítico el hecho de tener esto activo sin autenticación, pero no es recomendado. Cuando un pentester puede conectarse al Domain Controller o DC para hacer uso de las RPC y puede lanzar consultas, la enumeración está servida.

Figura 3: Pentesting con Powershell 2ª Edición

Una vez conectados con rpcclient podemos hacer uso de un comando denominado “enumdomusers” con el que podemos listar los usuarios de dominio. El comando nos devuelve el nombre de usuario y el RID. Hay que fijarse en el usuario con el RID 0x1f4 o, lo que es lo mismo, el ID 500. Ese usuario es el administrador. El RID de usuarios de dominio como “pablo”, “alvaro” o “fran” se puede ver también con este comando.

Figura 4: enumdomusers

Con el comando queryuser podemos pedir información del usuario, tal y como haríamos en un CMD con net user, por ejemplo. Lo interesante es el registro de acciones que evitamos con el uso de este tipo de cliente.

Figura 5: queryuser "pablo"

Otro ejemplo del comando queryuser es hacer la consulta a través del RID. Esto puede ser útil cuando accedemos a un AD donde hay una gran cantidad de usuarios y queremos buscar alguno en concreto, por ejemplo, el administrador siempre tiene el mismo RID. La información que devuelve este comando es muy amplia, así como interesante.

Figura 6: queryuser al "administrador" con el ID 500

Ahora vamos a pedir información de todos los usuarios o todas las cuentas, fijándonos en el campo “description”. Si nos fijamos en la cuenta de "Álvaro", vemos un texto que pone “123abc. Pass default changeme!”. El típico comentario que puede poner un administrador al crear la cuenta. Parece una contraseña por defecto. El comando ejecutado para obtener toda esta información es “querydispinfo”.

Figura 7: querydispinfo

Si recordamos recientemente hemos hecho un artículo sobre Crackmapexec, una herramienta que permite, entre otras cosas, poder ir probando credenciales a través de SMB y ver cuál hace login. Además, permitía hacer uso del hash y no de la credencial.

Figura 8: Libro de Hacking Windows

En este caso, tenemos la credencial en plano o potencialmente, una de ellas. Vamos a probar a ver qué ocurre sobre el usuario que se ha encontrado. Vemos que no hay acceso correcto, por lo que el usuario “Álvaro” hizo bien su trabajo y cambio la credencial al utilizar la cuenta por primera vez.

Figura 9: CME SMB

También recientemente, hemos hablado de la técnica Password Spraying, la cual viene perfecta en un entorno como el AD. ¿Por qué es perfecta? Si tenemos la idea de que alguien en el dominio tiene una credencial podemos buscarle gracias a la enumeración de usuarios y al uso de una credencial contra todas las cuentas. La herramienta crackmapexec nos permitirá hacerlo de forma sencilla. Para el ejemplo, podemos hacerlo manual, pero si hubiera un número notable de usuarios los meteríamos en un fichero, un usuario por línea, y utilizaríamos el nombre del fichero en el parámetro -u.

Figura 10: CMB SMB probando password

Aquí vemos que hemos encontrado la cuenta de un usuario llamado “pablo” que tiene la credencial activa. Este usuario no cambió la credencial por defecto y ha sido “cazado”. De ahí a tener una shell ya hay un paso muy pequeño, pero eso será en otro artículo.

Cuando RPC va autenticado. Escenario 2

En este pequeño escenario, la diferencia está en cómo accedemos al AD. En el caso anterior, se podía con autenticación nula, pero en este caso, la idea es que se ha conseguido la credencial de una forma previa al poder hacer uso de la herramienta rpcclient. 

Figura 11: enumprivs

Tras conectar e introducir la credencial correcta, conectamos de igual manera contra el AD. Para poner un ejemplo de los privilegios que tiene el usuario con el que hemos conectado, se puede hacer uso del comando enumprivs, tal y como se muestra en la imagen.

Más herramientas para el pentester

Una herramienta que no genera mucho ruido y que permite realizar consultas contra el AD de forma “discreta”. Si crees que pueden estar registrando las acciones que se hacen sobre una CMD o sobre una Powershell como, por ejemplo, con Powershell Transcription, puedes utilizar este tipo de enumeración a través de las RPC. 

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 12: Contactar con Pablo González