BiciMad, BonoPark, un pene erecto y denuncias por doquier

En la capital del mundo para los que de allí somos, la bella y linda ciudad que está centrada en la antaño región de Carpetani, se lanzó con notable éxito de afluencia el servicio BiciMad, una plataforma para poder alquilar vehículos no motorizados de dos ruedas y dos pedales, para con un manillar jugarse la vida lidiando entre autobús de la EMT, el motorista que toma la rotonda de Cibeles en "casco rojo" y coche buscando parking para no pagar zona verde, que va a precio de "sirlion del güeno".

En una semana de puesta en marcha ya tenía 4.000 usuarios registrados en el sistema y se habían pedido más de 6.000 servicios de alquiler. Todo iba de dulce y la alcaldesa pudo hacerse una foto de esas que gustan a los políticos.

Figura 1: La alcaldesa de Madrid en la presentación de BiciMad

Pero...como la gente no aprende, una vez más BiciMad, o mejor dicho, BonoPark, la empresa adjudicataria se había olvidado de hacer los deberes en temas de seguridad, y la cagó, cual Kobe Bryant, haciendo un triple desde el medio del campo:

1) Mal dimensionamiento del servicio: Al poco del lanzamiento entre faustos y algarabías, el servicio se cayó. No es que hubieran sufrido un ataque cibernético de DoS o DDoS, nada más lejos de la realidad. Simplemente el uso normal de los clientes en primera instancia llevó a la lona el servicio 

¿Cómo es posible que el servicio sufriera una denegación de servicio solo por la demanda de usuarios? Si esto ha sido así solo por el uso, hay que suponer que no tienen AntiDDoS ni nada similar, así que en el momento en que alguien le apunte una botnet o haga un ataque de amplificación, esto se va al suelo otra vez. 

Figura 2: Un kiosco de BiciMad sin servicio 

2) Sin auditoría de seguridad web: Clama al cielo ver que en la auditoría que le hicieron inicialmente, con cariño y sin necesidad de que la solicitaran, se pudiera ver que se habían dejado hasta las claves de los certificados publicadas.

Figura 3: Directory Listing en la web de BiciMad y ficheros de claves .pem

Con sus directory listing, con sus APIs sin proteger y con el volcado de todos los datos de la base de datos. Eso sí, como ellos dicen, nunca han sido hackeados.

3) Los kioscos interactivos, también si auditar: Ni sé ni cuantas veces he insistido en que cuando pones un Punto Interactivo, o un kiosco en los que los usuarios tienen acceso físico, la cosa puede acabar en drama. Ya he publicado múltiples ejemplos de estos fallos, pero en esta ocasión en BiciMad, la cosa llegó a las manos, o mejor dicho, a los penes, y acabó sufriendo el defacement de un pene que ha dado la vuelta al mundo.

Figura 4: El vídeo del pene de marras en el Totem de BiciMad 

Este ataque parece un homenaje al hacker que hizo algo parecido en la autopista de Moscú, poniendo un vídeo porno en un video-wall causando kilómetros y kilómetros de atascos, que sólo podrían haberse resuelto si los ciudadanos de Moscú pudieran disponer de un servicio de alquiler de bicicletas tipo BiciMoscú... oh, wait!

Dicho esto, ya los políticos aprovechan el caos que se está montando para cargar con el sistema de licitación, donde parece que la solvencia técnica ha sido lo menos valorado, y una vez más, la solvencia económica - o lo que es lo mismo, el que menos cobraba - se ha llevado el proyecto, dejando una pésima imagen de todo el proceso.

Figura 5: Bonopark denunciará a los atacantes de BiciMad

Eso sí, ahora han avisado que la empresa va a empezar a denunciar a todo el que hackee el sistema, según parece, por presiones del propio ayuntamiento. Espero que si se han llevado datos de los clientes, lo denuncien y los que tengan que velar por los datos robados de los ciudadanos tomen cartas en el asunto, que parece mentira que en el siglo XXI aún haya empresas que saquen cosas a Internet o la calle sin haber pasado una triste auditoría de seguridad externa.

Saludos Malignos!

El servidor de tarjetas de embarque de acceso prioritario

Era la noche antes del último día de estancia en Bogotá y mi compañero me trajo impreso la tarjeta de embarque del vuelo que me iba a traer de regreso a esta Madrid y esta España que tanto quiero. Estabamos en el lobby del hotel en el que me alojaba y fue entonces cuando vi que en el hotel tenían un equipo preparado con una impresora a modo de mini business center para que cualquiera pudiera imprimirse sus tarjetas de embarque libremente, quitanto esa molestia al personal de recepción.

Ya en el año 2008, cuando estuve viviendo una temporada en Londres me había topado con algo similar, y en aquel entonces pude darme cuenta de que la gente es capaz de dejar cualquier cosa en estos equipos, pudiendo hasta ver las fotos que la gente se hacía en sus visitas a Londres.

Figura 1: Copias de mensajes de correo electrónico en la caché de Internet Explorer

Me acerqué entre curioso y aburrido, pues estaba un poco cansado de todo un día largo de trabajo, a ver qué localizaba. Iba más pensando en si tenían algún sistema de fortificación en el equipo que no permitiera hacer cosas - ya sabéis como si fuera un Internet Kiosk o similar - que pensando en negligencia de uso, pero en estas cosas puede pasar de todo. 

La sesión estaba abierta, no sabía si estaba así por que era su estado natural o porque el último usuario había olvidado cerrarla. En el primer acercamiento, pulsé la tecla de Windows + E para ver si había alguna restricción pero.. nada. Todo abierto, incluida la red del hotel de los equipos de trabajo. La seguridad parecía no ser una prioridad, así que ya pierde un poco la gracia.

En ese punto, viendo que el equipo estaba entregado, lo único que se me ocurrió pensar es. "Vamos, no uso yo este equipo ni en broma.... pero.. ¿cuánta gente lo usará?" Como todo estaba abierto, se me ocurrió ir a ver qué gente habría uado el equipo mirando el historial de navegación, las descargas, las cookies, etcétera, pero en ese camino, cuando llegué a las descargas me paré, ya que no solo había bastantes archivos, sino que muchos de ellos eran tarjetas de embarque de vuelos.

Figura 2: Tarjetas de embarque (y correos electrónicos) en la carpeta de descargas del perfil del usuario de Windows

Las tarjetas de embarque son documentos que contienene información personal, lo que parece que a la gente no le preocupaba en demasía, pero además tienen el E-Ticket Number y el código del billete. Este código, además de utilizarse para entrar dentro del avión, donde se hace una comprobación fuerte de la identidad con la presentación del documento de identificación, se usa en otras dos zonas en los aeropuertos.

Figura 3: Una tarjeta de embarque de Iberia entre las descargas

El acceso a la zona de embarque y el acceso prioritario por el Fast Track

La primera de las zonas en las que se utiliza la tarjeta de embarque es para pasar - como era de esperar - a la zona de embarque, una zona que se supone que tiene control de acceso por las normas especiales que rigen allí. No es que a mí me motive visitar el aeropuerto más de lo que ya lo visito, así que lo único que me llamó la atención de los billetes que allí vi es que tenían el acceso Priority, que en algunos aeropuertos  - como el de Adolfo Suarez en Madrid - da la posibilidad de pasar el control de seguridad por el Fast Track que es mucho más cómodo y donde no se hace una autenticación fuerte. ¿Qué pasaría si alguien pasa el control con el código de una tarjeta de embarque y luego viene el autentico dueño a pasar el control? No lo sé.

El acceso a la Sala VIP

La segunda de las zonas en las que se puede utilizar una tarjeta de embarque con acceso prioritario es en la Sala VIP, por supuesto. Allí, en mi experiencia personal, tampoco he visto un proceso de autenticación fuerte en la que se exiga documentación, y preguntando sobre este asunto algunas personas me han confesado que con un billte business de una persona entran varios haciendo fotos al código de barras y entrando con unos minutos de separación. Al final, una persona puede entrar y salir de la Sala VIP tantas veces como quiera, y por tanto el sistema no da muchas alertas sobre esto... en algunas salas.

De cualquier forma, si tienes costumbre de imprimir las tarjetas de embaque en Business Center, o usas equipos en ciber cafés u hoteles, intenta no dejar ningún dato personal, no usar ninguna contraseña y si te ves obligado a hacerlo, borra absolutamente todo, cambia las passwords o cierra el Latch mientras puedas.

Saludos Malignos!

Hacer Jailbreak a un Kiosco de Internet con un Lumia 925

Estos días atrás me he topado con algunos Kioscos Interactivos por ahí perdidos que me han estado haciendo ojitos, como el caso del Kodak Kiosk que no contento con flirtear conmigo me pedía la password de Facebook. Hoy os quiero hablar de otros Kioscos Interactivos con los que he tenido una aventura romántica  y en especial un caso bastante curioso que os quiero contar en el artículo de hoy lunes. Digamos que mi primer contacto estos días fue con un Kiosco Interactivo colgado en un punto de venta.

Figura 1: Un Easy Kiosk con el disco duro roto.

Me hizo gracia en este caso el nombre de Easy Kiosco y verlo con el disco duro roto, pero luego ver que tenía un Intel Core 2 Duo P8400 me hizo darme cuenta de dos curiosidades. La primera que tuviera un micro que se comercializó entre los años 2006 y 2009, es decir, que tiene ya más de 5 años de vida. La segunda, es que esa P en Intel me sonaba que era para micros de equipos portátiles y no para sobremesas, lo que quiere decir que este Kiosco Interactivo probablemente corra un thin client nada más.

El segundo de los kioscos que me hizo ojitos era un Internet Kiosk. Un punto de esos que comercializan minutos de conexión en plan oficina de trabajo puntual. No solo cuenta con conexión a Internet sino que además permite imprimir documentos y realizar llamadas por teléfono desde el propio Kiosco Interactivo.

Figura 2: El Internet Kiosk

Como se puede ver, tiene una aplicación propia que se usa como interfaz único para todo. Es decir, usa un navegador propio, un interfaz de conexión propio para Skype, para llamar por teléfono y para el servicio de impresión de documentos. Por supuesto, haciendo clic en cualquier sitio está todo deshabilitado en el sistema, a pesar de que cuenta con un teclado que puedes aporrear a gusto para intentar llamar a funciones por medio de hot keys, como por ejemplo las Sticky Keys para hacer un jailbreak de la aplicación, tal y como se podía hacer en algunos kioscos del DNIe en el año 2012. Todo bloqueado en local.

Tras jugar con él unos minutos, decidí irme sin conectarme a Internet y probar algunos trucos más con su navegador, como probar a descargar un Eicar a ver si saltaba el antimalware. Al fin y al cabo supuse que debajo habría un sistema hecho a media, tal vez con una distribución de Linux tuneada que solo abría esa aplicación y me alejé. Al minuto una mujer de cierta edad se acercó al kiosco de Internet para para dejarme como un luser, ya que ella iba a conseguir romper en cuestión de segundos la jaula que el proceso de hardening del Kiosco Interactivo - tal vez incluso soportando iKAT (Interactive Kiosk Attack Tool) - había preparado.

La señora decidió utilizar una aproximación totalmente distinta a cualquier otra que yo hubiera pensado. Mientras que yo buscaba fallos en las aplicaciones y el sistema de fortificación utilizando el interfaz Touch en la pantalla, el teclado y el ratón, ella decidió usar el Kiosco de Internet por otro interfaz y para otra función, ya que como bien dice el gran Michael Howard "All input is evil until it proves otherwise".

Figura 3: Los conectores del Internet Kiosk

Para hacer el jailbreak solo tuvo que utilizar el Internet Kiosk para cargar su teléfono por el conector USB ya que para dar el servicio de impresión tiene conectores USB, conectores de tarjetas de memoria de múltiples formatos y hasta disquetera.

Al conectar su terminal, se produjo una llamada automática al sistema Plug & Play de los sistemas Microsoft Windows porque detectó nuevo hardware. En este caso, dio la casualidad de que la mujer había conectado un dispositivo con Windows Phone en un Nokia Lumia 925 y que el driver no estaba instalado en el sistema operativo, lo que lanzó un asistente de configuración del driver fuera de la jaula que había planteado el creador de la aplicación.

Figura 4: El asistente de configuración del driver para un Nokia Lumia 925

La mujer se asustó y se alejó del kiosco dejando el asistente en pantalla, momento que yo aproveché para volver a jugar con el Internet Kiosk. El  y el resto ya lo sabéis, desde ese punto se puede ver la red completa, luego llamar a la ayuda con F1 desde ese cuadro de dialogo, pedir la impresión de la ayuda, abrir el navegador de Internet Explorer y ... bueno, el resto ya os lo imagináis.

Figura 5: Examinando la red desde el kiosco Interactivo de Internet

Conseguir fortificar un Kiosco Interactivo es un trabajo bastante arduo, ya que el número de situaciones que pueden darse es enorme, y como puede verse en estos ejemplos, el propio hardware puede convertirse en un problema. Además, un Kiosco Interactivo tiene el inconveniente de que el impacto de un fallo puede ser enorme, desde un problema de imagen al acabar con un David Hasselhoff hasta un problema de exposición de información sensible de la red de tu organización. 

Frankfurt AirPort #troopers14 }XD pic.twitter.com/5YCTENzoD7
— Chema Alonso (@chemaalonso) marzo 19, 2014

Por supuesto, interactuar con un Kiosco Interactivo para hacer el jailbreak es como un juego, ya que además, cualquier actualización del software del sistema puede llevar a una nueva puerta de acceso, así que siempre que me encuentro uno le dedico unos minutos a ver qué pasa - como sé que también hacéis muchos de vosotros y más gente -.  Si te toca diseñar la seguridad de un Kiosco Interactivo, cuenta con esto.

Saludos Malignos!

KODAK Kiosk: Sonríe y dame tu password de Facebook

El otro día pasé a por material de dibujo a una de esas tiendas fotográficas que, con el auge de la fotografía digital y la falta de ventas en el revelado de carretes, decidieron reinventarse con ella y dar todo tipo de servicios, desde las fotocopias tradicionales, hasta la creación digital de álbumes, cuadros artísticos o impresión de instantáneas sobre cualquier material. Un supermercado de la fotografía digital que además vende cartulinas, pinceles y artilugios para los retratistas del trazo a trazo.

Al entrar me tope con una fila de kioscos de la empresa KODAK, lo que me llamó la atención. Había leído en las noticas que la empresa que se hizo famosa por el papel fotográfico y la fotografía analógica había entrado en concurso de acreedores en el año 2012, pero no sabía que aún seguían funcionando. No obstante, pensé que tal vez sus kioscos, llamados KODAK Picture KIOSK, podrían estar vendidos y por tanto sin ningún tipo de soporte por parte de la casa matriz, aunque lo cierto es que no tenía ninguna información al respecto.

Con los kioscos interactivos estos siempre me ha dado un poco de respecto eso de ir metiendo tu USB o tus tarjetas por ahí, ya que hacen copias en miniaturas de tus fotografías que luego a saber en que Thumbs.db o archivo de miniaturas quedan guardadas, así que siempre he pensado que el USB que lleves a uno de esos Kioscos mejor llevarlo limpio con solo lo estrictamente necesario y después de usarlo aplicar "fuego purificador" con un formateo de esos seguro, tras montarlo en un sistema operativo arrancado desde una Live CD. Llámame cuidadoso si quieres.

Al fin y al cabo, estos kioscos están expuestos a las manos de muchos usuarios que pasan por allí, y que como os he contado muchas veces, pueden ser explotados por los mas juguetones, como el Puesto de Información Multimedia del que os hablé o el Punto de Información Turística que acabó con un David Hasselhoff. Al final, los trucos para controlar un kiosco interactivo son muchos, y hay herramientas tan conocidas como iKAT (Interactive Kiosk Attack Tool) o trucos tan sencillos como las sticky keys que permiten tomar control de la máquina en muchos casos.

Figura 1: Fotograma del vídeo promocional de Kodak Picture Kiosk

Como había algo de cola, decidí darle un repaso rápido con la mirada, y la primera opción que tenía me capturo: "Imprimir tus fotos de Facebook". En ese momento pensé que deberían modernizarse ya que parece que las fotos que la gente quiere imprimir son más las de Instagram o Pinterest, pero supuse que estos kioscos ya deberían tener unos añitos.

Entré para ver cómo quedarían las fotos de mi Facebook que tengo públicas como forma de probar el servicio, cuando me tope con la parte de conexión de la cuenta. Cuando entre me di cuenta de que no quería imprimir mis fotos públicas sino las privadas. He de decir que había entrado esperando algo como una autenticación OAuth pidiéndome desde Facebook que aprobara la conexión de la aplicación de KODAK Picture KIOSK, pero no, lo que me topé es con que el kiosco no quería una aprobación basada de acceso, sino directamente mi usuario y mi password. WTF?

Figura 2: Solicitud de Usuario y contraseña de Facebook en Kodak Picture Kiosk

Por supuesto, si ya me preocupa la gestión que se pudiera hacer de los thumbnails de mis fotos, lo de darle mi password de Facebook a un kiosco de una tienda de fotografías es algo que solo haría si de ello dependiera mi vida ... y habría que ver si la pongo a la primera o no.

Visto esto me quedé pensando en que seguramente habría mucha gente que utilizaría ese servicio aunque a mí no me entrase en la cabeza, pero me imagino a los tipos de seguridad de KODAK diciendo eso de Gandalf de "INSENSATOS", y a los de negocio diciendo "Callad al friki que no nos deja hacer negocio". 

Figura 3: El aviso de los responsables de Seguridad de Kodak

El final de la historia ya os lo he contado al principio. Kodak entró en concurso de acreedores en 2012, así que los de negocio no debieron hacerlo muy bien, yo no puse mi USB y por supuesto tú no debes poner tu password de Facebook en ningún kiosco, por mucho de Kodak que sea.

Si por cualquier cosa necesitaras poner tu password en una app - repito que para algo se inventaron los sistemas OAuth para evitar esto -, puedes irte a las opciones de tu cuenta Facebook y en la parte de Seguridad generar una contraseña para una app.

Figura 4: Generación de una password para una app

Esto dará acceso a tus datos a la cuenta, pero nunca perderás el control de tu cuenta con tu contraseña maestra - que ya sabes que no es una sino tres -.

Saludos Malignos!

Sticky Keys en los kioskos del DNIe

Las Sticky Keys de los sistemas Windows dan mucho juego a la hora de saltarse las aplicaciones de bloqueo del sistema. Son muy útiles por ejemplo en entornos Citrix o Terminal Services con Windows Server 2008 para hacer el jailbreak - en los sistemas con Windows Server 2000 o 2003 se pueden utilizar para llegar al menú de impresora y hacer el jailbreak también -. Incluso pueden ayudar a saltar la protección de máquina caducada y permitir acceder al rearme de Windows con las Sticky Keys.

Por supuesto, en los kioskos, también pueden ser utilizadas para jugar un poco, como en este ejemplo que me ha enviado un lector - ¡Gracias s3ik0tr0n! - en el que se le ocurrió probarlo con los kioskos del DNIe.

Figura 1: Kiosko del DNIe con las Sticky Keys habilitadas

Así, mientras estás cambiando la clave del DNIe alguien se podría estar dando un paseo por la red y por los servidores que aparecieron en el árbol LDAP de la Policia....o hacer un David Hasselhoff al kiosko. En cualquier caso, por si alguien lo piensa, las Sticky Keys deben estar activadas en el kiosko para ser utilizadas, lo que habría que cancelar es la parte de configuración de las mismas.

En cualquier caso, si tienes un DNIe, yo no te recomiendo que lo hagas, puede que no les le haga gracia a alguien, así que te recomiendo mejor comprar el libro de Rames Sarwat sobre la tecnología del DNIe y lo usarlo para otras cosas.

Saludos Malignos!

iKAT: Interactive Kiosk Attack Tool (Vengenance Edition)

Paul Craig presentó ya en Defcon16 iKAT, una herramienta para atacar kioskos interactivos. Ya sabéis, el tipo de soluciones pensadas para dar información a paseantes en estaciones de tren, museos, o servicios en tiendas y aeropuertos, como máquinas de impresión de fotografías o servicios de Internet. Como buen amante del hacking, se pasa horas buscando nuevas formas de saltarse la seguridad de esos sistemas con nuevos trucos, y en Defcon19 presentó iKAT V (Vengenance Edition) (Aquí tienes las diapositivas y aquí el vídeo con las demos).

La gracia de esta solución es que aglutina un montón de técnicas que, tanto para Windows como para sistemas *NIX* intentan devolver una shell desde un kiosko interactivo. Muchos de los trucos se aprovechan de los protocolos registrados en los navegadores, para abrir programas externos, o de los componentes del sistema operativo con que están desarrolladas las aplicaciones - como en el truco de navegar sin navegador - o llamando a plugins, registrando componentes, y poniendo al límite las opciones de seguridad de los navegadores.

El número de trucos es variado, y por sugerencia popular, para no complicarnos demasiado cuando hay prisa - porque estemos vigilados o el tiempo sea limitado - añadieron el botón de 1Click PWN, para que le des, comiencen las pruebas y listo.

Figura 1: iKAT V (Vengenance Edition) para Windows con 1Click PWN

Debido a su simplicidad, yo he utilizado esta herramienta en algunas operaciones de "jailbreak" de Citrix o Terminal Services, simplemente navegando hasta la versión online, seleccionando la plataforma Windows y esperar a que salte la consola de comandos para continuar el camino. La solución ha sido incorporada a las tools de Metasploit, con lo que puede montarse en un entorno controlado para sistemas de auditoría de seguridad. Puedes probar la solución Metasploit Autopwn de iKAT online.

Además, no me gustaría terminar esta reseña a la herramienta sin hablar de F*CK Tool, una solución de Fortificación y Configuración de Kioskos que presentaron Sergio Adrián, Santiago Álvarez, Enertos Corral y Joaquín Pano como Proyecto de Fin de Master dirigido por Alejandro Ramos en el Master de Seguridad de la UEM, y que tenía como objetivo evitar este tipo de ataques.

Saludos Malignos!