De Hacker a Hacker: Pablo González entrevista a Fernando Rubio Román de @MicrosoftES

Para hoy domingo os voy a dejar la última de las entrevistas entre hackers que ha hecho nuestro nuestro compañero a Pablo González a otro "hacker"  en este caso dedicado a ayudar a los profesionales a hacer una migración a la nube y un uso de la misma de manera segura. El gran Fernando Rubio Román, que es Azure Technical Specialist Manager en Microsoft, además de estar certificado como CISSP.

Figura 1: De Hacker a Hacker. Pablo González entrevista a  Fernando Rubio Román

La charla dura 37 minutos, y os la he subido a mi canal de Youtube para que la podáis disfrutar mientras estáis relajados este domingo, que ambas personas son también grandes divulgadores de tecnología como ya sabéis.

Figura 2: Contactar con Pablo González

Como es habitual en estas sesiones de "De Hacker a Hacker", en la charla, hablan de muchas cosas que tienen que ver también con formarse, con el impacto de la la seguridad en las soluciones profesionales para las empresas, en el nuevo mundo tecnológico de las compañías, etcétera.

Figura 3: Riesgos para la ciberseguridad con la Inteligencia Artificial

Pero como puedes ver en la imagen superior, también se tocan temas de mucha actualidad, como el impacto de la Inteligencia Artificial en Ciberseguridad, o el uso de las tecnologías de Cloud Computing de forma segura, que tiene que responder Fernando Rubio Román en la entrevista. Aquí tienes el vídeo completo.

Figura 4: De Hacker a Hacker. Pablo González entrevista a  Fernando Rubio Román

Y sobre todo, como sentirse atraído por esta pasión que es para nosotros la ciberseguridad. Si te apetece, puedes ver todas las sesiones que hemos tenido hasta el momento en la lista de reproducción de "De Hacker a Hacker".

Figura 5: Lista de reproducción "De Hacker a Hacker"

Además contactar con ellos de forma privada utilizando sus buzones públicos en la plataforma de MyPublicInbox. Sus cuentas son las que ves en la Figura 2 y la Figura 6 para que contactes con Pablo González y Fernando Rubio Román .

Figura 6: Contactar con Fernando Rubio Román

Y nada más por hoy sábado, disfrutad del fin de semana, aprended lo que podáis, recargad pilas para la próxima semana, y quiero listo a todo el mundo para hackear el futuro de cada uno el lunes a las 08:00.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

De Hacker a Hacker: Entrevista de Pablo González a "Shift"

Para hoy domingo os voy a dejar la última de las entrevistas entre hackers que ha hecho nuestro nuestro compañero a Pablo González a otro hacker dedicado al a formación de profesionales en nuestra disciplina, David "Shift", que tienes disponible ya.

Figura 1: De Hacker a Hacker. Pablo González entrevista a "Shift"

La charla dura 30 minutos, y os la he subido a mi canal de Youtube para que la podáis disfrutar mientras estáis relajados este domingo, que ambas personas son también grandes divulgadores de tecnología como ya sabéis.

Figura 2: Contactar con Pablo González

Como es habitual en estas sesiones de "De Hacker a Hacker", en la charla, hablan de muchas cosas que tienen que ver con formarse, aprender técnicas de hacking, cómo estudiar, practicar, dónde, y cómo conseguir avanzar en esta profesión de seguridad informática tan particular cómo es ésta. 

Figura 3: De Hacker a Hacker. Pablo González entrevista a "Shift"

Y sobre todo, como sentirse atraído por esta pasión que es para nosotros la ciberseguridad. David "Shift" nos dejó publicado tiempo atrás un artículo con su recomendación de 5 libros para comenzar desde cero en seguridad. Si te apetece, puedes ver todas las sesiones que hemos tenido hasta el momento en la lista de reproducción de "De Hacker a Hacker".

Figura 4: Lista de reproducción "De Hacker a Hacker"

Además contactar con ellos de forma privada utilizando sus buzones públicos en la plataforma de MyPublicInbox. Sus cuentas son las que ves en la Figura 2 y la Figura 5 para que contactes con Pablo González y David "Shift".

Figura 5: Contactar con David "Shift"

Y nada más por hoy domingo, que estamos en verano y espero que hoy podáis disfrutar de un día tranquilo, de algo de refrigerio y mucho descanso, que hay que llenar la cabeza con mucha diversión y alegría estos días, que es lo que siempre os recuerdo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

De Hacker a Hacker: Entrevista de Pablo González a Marta Barrio "Martrudix"

Para hoy domingo os voy a dejar la última de las entrevistas entre hackers que ha hecho nuestro nuestro compañero a una hacker súper-clase, que es buena profesional, buena persona y que da gusto aprender de ella. Se trata de - la magnifica Marta Barrio Marcos, a.k.a. "Martrudix", que además ha hecho de todo en el mundo del hacking, sigue empujando su proyecto Securiters.

Figura 1: De Hacker a Hacker. Pablo González entrevista a Marta Barrio "Martrudix"

La charla dura 50 minutos, y os la he subido a mi canal de Youtube para que la podáis disfrutar mientras estáis relajados este domingo, que ambas personas tan bien grandes divulgares de tecnología como pocos. 

Figura 2: Contactar con Pablo González

Martrudix, como nuestro compañero Pablo, mantienen también en común haber escrito libros para aprender hacking y seguridad informática. En el caso de Marta Barrio "Martrudix", escribió junto a Carlina Gómez Uriarte el libro de "Social Hunters: Hacking con Ingeniería Social en el Red Team", que está publicado en 0xWord.

Figura 3: "Social Hunters: Hacking con Ingeniería Social en el Red Team" 

de 0xWord. Escrito por Marta Barrio y Carolina Gómez

Además contactar con ellos de forma privada utilizando sus buzones públicos en la plataforma de MyPublicInbox. Sus cuentas son las que ves en la Figura 2 y la Figura 5 para que contactes con Pablo González y Marta Barrio "Martrudix".

Figura 4: Entrevista de Pablo González a Marta Barrio "Martrudix"
En la charla, hablan de muchas cosas que tienen que ver con formarse, aprender técnicas de hacking, cómo estudiar, practicar, dónde, y cómo conseguir avanzar en esta profesión de seguridad informática tan particular cómo es ésta. Y sobre todo, como sentirse atraído por esta pasión que es para nosotros la ciberseguridad.

Figura 5: Contactar con Marta Barrio "Mastrudix"

Y nada más por hoy domingo, que estamos en verano y espero que hoy podáis disfrutar de un día tranquilo, de algo de refrigerio y mucho descanso, que hay que llenar la cabeza con mucha diversión y alegría estos días..

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Social Hunters: Hacking con Ingeniería Social en el Red Team @0xWord

Son pocos los libros que publicamos nuevos al año en 0xWord, y teníamos muchas ganas de lanzar ya el título de "Social Hunters: Hacking con Ingeniería Social en el Red Team" dedicado a las técnicas que utilizan los hackers de la ingeniería social. El libro lo han escrito entre Marta Barrio y Carolina Gómez, y desde hoy lo puedes comprar en la tienda online de 0xWord.

Figura 1: "Social Hunters: Hacking con Ingeniería Social en el Red Team" 

de 0xWord. Escrito por Marta Barrio y Carolina Gómez

El libro está pensado para leerlo y aprender trucos sociales que se pueden utilizar para engañar a una víctima, ya sea en un ataque de Red Team, o en un esquema mucho más elaborado como el que se utilizó en Stuxnet, donde la ingeniería social también contó con una rol muy importante dentro de este famoso ataque.

Figura 2: "Social Hunters: Hacking con Ingeniería Social en el Red Team" 

de 0xWord. Escrito por Marta Barrio y Carolina Gómez

El libro tiene más de 200 páginas donde se aprenden trucos sobre nosotros los humanos, herramientas para recolectar detalles de ellos, y cómo preparar un buen gancho con un ataque de Phishing, o, incluso, preparando una trampa en su entorno físico sacando partido a las técnicas de Lockpicking. Os he subido el índice del libro a mi SlideShare.


Figura 3: Índice del libro "Social Hunters" de 0xWord.Escrito por Marta Barrio y Carolina Gómez

El libro lo han escrito Marta Barrio y Carolina Gómez, con las que puedes contactar en MyPublicInbox cuando quieras. En palabras de ellas mismas:

La ingeniería social supone el principal método usado por los delincuentes a la hora de engañar a sus víctimas, y esto aplica tanto a la vida analógica como digital, la naturaleza empática del ser humano, sus ganas de ayudar y caer bien hacen de él la víctima perfecta. Por esta razón si se quiere estar lo más protegido posible es imprescindible conocer los por qué, y los cómo.

Figura 4: Contactar con Marta Barrio

A lo largo del libro se hace un recorrido para intentar responder a estas preguntas, desde los principios en los que se apoya la ingeniería social, sus orígenes y casos reales, a cómo afectan a los seres humanos teniendo en cuenta la biología y su psicología.

Figura 5: Contactar con Carolina Gómez Uriarte

Pero no todo es teoría, para ver cómo aplicar este conocimiento se profundiza en ejemplos de dos de las técnicas usadas en ingeniería social y sus herramientas (una en entorno físico y otra digital).

Dos recordatorios importantes con MyPublicInbox

El primero de ellos es que con la compra de este libro recibirás 100 Tempos gratis que recibirás en la plataforma MyPublicInbox, por lo que no te olvides de indicar en las observaciones de tu pedido, la dirección de e-mail que has utilizado para registrarte en MyPublicInbox, de ese modo podremos cargarte los tempos en tu cuenta.

Figura 6: Canjear Tempos por vale de 0xWord

Y el segundo recordatorio es que, como sabes, puedes canjear tus Tempos de MyPublicInbox para comprar éste o cualquier otro libro de 0xWord. Lo puedes hacer por medio de una transferencia a la cuenta de 0xWord, o mediante la adquisición de un bono descuento con Tempos en la sección "Convierte tus Tempos" de MyPublicInbox.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Social Engineering Capture The Flag (SECTF) by @EuskalHack

Desde EuskalHack llevamos ya varios meses trabajando en la organización de la IV Edición de EuskalHack Security Congress en el que colabora desde hace años 0xWord, y al igual que en ediciones anteriores, nuestro principal objetivo sigue siendo ofreceros un congreso basado en la excelencia técnica, y en la cercanía entre ponentes, asistentes y miembros de la organización. Si alguno de vosotros está interesado en participar como ponente, aún estáis a tiempo, el proceso de Call For Papers permanecerá abierto hasta el día 14 de abril.

Figura 1: Social Engineering Capture The Flag (SECTF) by @EuskalHack

Como una de las principales novedades de esta edición, hemos desarrollado un CTF de Ingeniería Social, pero antes de entrar en detalle, me gustaría explicar el contexto que nos ha llevado a incluir esta iniciativa en el congreso de este año.

Ingeniería Social en el mundo del Cibercrimen

A nadie se le escapa el aumento que se está produciendo en el uso de las técnicas de ingeniería social, como parte fundamental de muchos de los ataques que más impacto están teniendo en los últimos años. Probablemente, lo primero que se nos venga a la cabeza sean los ataques de phishing, en cualquiera de sus variantes, con el business e-mail compromise como un claro ejemplo de las consecuencias que pueden tener este tipo de ataques para las empresas.

Y aunque con un componente mucho más técnico, no podemos olvidar el factor psicológico que lleva asociado un ataque de falso ransomware, falso antivirus, falsas infecciones o de falso Contact Center, tanto durante el proceso mediante el cual se pretende influenciar al objetivo para conseguir infectar su equipo, como a la hora de presionarlo para que acabe realizando el pago incluso sin haber sido infectado o sin tener ningún fallo.

Figura 2: Una falsa infección simulada para engañar a las víctimas

En los últimos tiempos hemos visto también como se ha venido utilizando información obtenida en los leaks de credenciales, para dotar de mayor credibilidad a los pretextos utilizados durante algunas campañas de extorsión. Me imagino que muchos de vosotros habréis recibido un correo donde os advierten que habéis sido grabados visitando páginas pornográficas y que, si no realizáis un pago, enviarán el video a todos vuestros conocidos, siendo una Fake sextorsión.

Cada vez más frecuente, pero tal vez menos conocido, tenemos lo que en términos de ingeniería social se conoce como “vishing", que no deja de ser una forma de influenciar a otras personas, en este caso utilizando llamadas telefónicas.

Figura 3: Webs creadas en la web de falsos soportes técnicos de Microsoft

Recientemente ha vuelto a saltar a la actualidad un buen ejemplo de esta práctica, conocido como la estafa del Falso soporte técnico de Microsoft, y que entra dentro de la categoría de estafas de soporte técnico y de la que la propia Microsoft ha tenido que dar aviso a los usuarios.

Si bien, este fraude esta dirigido a personas, principalmente, con un bajo nivel de concienciación en materia de seguridad, este tipo de ataques no son siempre tan evidentes y en muchas ocasiones buscan conseguir información aparentemente irrelevante (no existe la información irrelevante), para realizar lo que podríamos llamar una escalada de confianza.

Ataques de Ingeniería Social Avanzada: Fake News & AI

Este tipo de ataques, son en la mayoría de los casos indetectables, para un objetivo que no ha recibido formación específica, ya que cuando son realizados por un profesional con experiencia, se podría decir que son indistinguibles de la realidad.

En este sentido, me gustaría mencionar las Fake News, que tanto están dando que hablar en los últimos años, y que podrían estar consiguiendo manipular la opinión pública a nivel global. Estas, aunque a una escala mucho mayor, utilizan los mismos principios de ingeniería social que el resto de ataques que he mencionado anteriormente.

En cuanto al futuro, no parece que se vaya a revertir la tendencia. Los algoritmos de Deep learning, por ejemplo, están empezando a generar videos y audios falsos tan realistas, que van a permitir realizar ataques de ingeniería social impensables hace apenas unos años.

Aunque las técnicas de ingeniería social llevan entre nosotros bastantes años, y no se pronostica que vaya a haber un descenso en su incidencia, siguen sin establecerse por parte de muchas empresas e instituciones medidas adecuadas para la mitigación de las mismas. En mi opinión, esto se debe, en gran medida, al desconocimiento que existe sobre muchas de estas técnicas, siendo una de las facetas de los profesionales de la seguridad informática y el Ethical Hacking, que más posibilidades de desarrollo ofrece hoy en día.

Social Engineering Capture The Flag

La mejora de esta situación pasa, como en cualquier otro ámbito, por la concienciación de los usuarios, y el desarrollo de las habilidades de los profesionales. Por este motivo, con la intención de aportar nuestro granito de arena, hemos decidido organizar un CTF de ingeniería social, al estilo del SECTF que se viene celebrado en DefCON durante los últimos 10 años.

Aprovecho la ocasión para agradecer a Chris Hadnagy (@HumanHacker), organizador de ese evento que colaboró también en la creación de BackTrack (ahora el popular Kali Linux que usan todos los pentesters por todo el mundo), por todo el apoyo que me ha ofrecido durante el diseño de nuestro SECTF. La competición constará de dos fases.

La primera con una duración de tres semanas, transcurrirá online y se celebrará de forma previa al congreso. Todo proyecto de ingeniería social debe comenzar por un minucioso proceso de búsqueda y análisis de información, por este motivo durante la primera fase los participantes deberán recopilar toda la información que les sea posible, sobre el objetivo que les haya sido asignado, utilizando exclusivamente fuentes de información púbica u OSINT, y localizar el mayor número de piezas de información no sensible (flags) de la lista que les será proporcionada por la organización.

Esta es una fase de Inteligencia, y sé que Chema Alonso me va a matar si no cito aquí que Martina Matarí de Telefónica y sus compañeros del grupo "Las Matildes", ganaron el "Intel CTF de la DefCON 26", así que a ver si se animan y cuentan más de su experiencia para explicar qué tipo de actividades se hacen en este tipo de iCTFs y en qué se diferencia el uso de OSINT en un CTF clásico, en un SECTF y en un iCTF para que todo el mundo tenga claros los matices.

Figura 4: Equipo de "Las Matildes" ganadores del iCTF de la DefCON 26

Con toda la información recabada durante esta primera fase, los participantes deberán realizar un informe de calidad profesional, donde además deberán aparecer debidamente justificadas todas las flags conseguidas, y que les servirá como base para crear una estrategia que deberán poner en práctica durante la segunda fase.

En esta segunda fase, que se celebrará en directo durante el congreso en una sala acondicionada a tal efecto, los participantes dispondrán de 20 minutos para realizar llamadas telefónicas al objetivo, con la intención de volver a obtener todas las flag proporcionadas inicialmente, pero esta vez puntuarán el doble.

La información obtenida durante la fase OSINT, será de vital importancia para poder realizar las llamadas utilizando unos pretextos suficientemente trabajados, que permitan conseguir las flag de forma limpia, y siendo totalmente respetuosos con los objetivos.

Este es un factor que consideramos de vital importancia, y por eso hemos estado trabajando con diversos actores y profesionales, con el fin de ceñirnos al marco legal. Para ello, hemos desarrollado una normativa que deberán seguir todos los participantes, donde prima el máximo respeto hacia todas las partes implicadas.

Después del congreso, analizaremos toda la información obtenida por los participantes durante ambas fases, y redactaremos un informe detallado de las técnicas y herramientas utilizadas, así como recomendaciones para la mitigación de los ataques detectados. Nuestra intención es publicar este informe para que pueda ser consultado por cualquier persona, profesional o entidad interesada.

Call for Participantes

Así que, si te gustan los retos, y tienes ganas de aprender y compartir el conocimiento, no importa si eres un profesional de la ingeniería social, un pentester que busca mejorar sus habilidades, o este es tu primer contacto con la ingeniería social, apúntate al SECTF de la EuskalHack y ven a disfrutar de un evento hecho para todos los apasionados por la ingeniería social.

Figura 5: Fechas de Interés para el SECTF de la EuskalHack

Procuraremos publicar en Twitter consejos y ejemplos que ayuden a los participantes a orientar mejor sus estrategias, sobre todo de cara a la fase de llamadas, que es en la que es probable tengan menos experiencia.

De momento, como referente en el mundo de la ingeniería social, os recomendaría que visitaseis, si no lo habéis hecho ya, la página https://www.social-engineer.org. En esta web podréis encontrar, entre otras cosas, un framework con toda la información necesaria para iniciarse, y progresar en el mundo de la ingeniería social.

Figura 6: Recursos en Social Engineering ORG

Pero esta no es la única novedad que os traemos este año. En la misma línea de aprender, compartir y pasar un buen rato en compañía de otras personas apasionadas por el hacking, hemos preparado “Gau-Hack”. Se trata de un hackaton que se desarrollará en un espacio desenfadado, pensado para compartir experiencias y conocimientos, donde se trabajará por grupos en una serie de proyectos relacionados con el hacking.

Toda esta información y mucha más la podéis encontrar en http://securitycongress.euskalhack.org. Y si quieres mantenerte al día de todas las novedades puedes seguirnos en nuestra cuenta de Twitter @euskalhack

Autor: Angel Alonso (@1k0ru)

Evil FOCA, LiLaS y el Arte del Engaño

Cuando miramos un poco hacia atrás por el revisor puedo ver muchos proyectos a lo largo de los últimos veinte años. Proyectos que comenzaron como una idea, maduraron, y se convirtieron en parte de nuestro ADN. Algunos de esos proyectos como FOCA, Sappo, DirtyTooth, Evil FOCA, Latch o MetaShield, alcanzaron el estatus de ser parte de nuestro camino para siempre.

Figura 1: Evil FOCA, LiLaS y el Arte del Engaño

Pero lo más bonito es todos comenzaron con una idea muy simple. FOCA, comenzó como un proyecto llamado Metaextractor que ampliaba las funcionalidades de una PoC que preparamos para un congreso en la Open Source World Conference llamado OOMetaExtractor. Luego le fuimos añadiendo cosas y se convirtió en la FOCA, y lo derivamos a una versión de protección en forma de MetaShield Protector, ganando incluso premios a la innovación.

Figura 2: Presentación de OOMetaextractor (antes de FOCA)

Pero nunca sabes a dónde va a llegar una idea. Nunca sabes si ese proyecto va a tener sentido. Va a gustar. Va ser útil para alguien en el mundo real. Lo único que sí que sabemos es que hay que seguir proponiendo cosas, darle vueltas a los hacks una y otra vez para ver cuándo las piezas encajan todas a la vez. Por eso seguimos proponiendo cosas constantemente. Y hacemos hackathones para ver qué nuevas ideas aparecen y a quién se le ocurre conectar dos puntos de una forma especial. Diferente. Nueva. 

Figrua 3: CodeTalk for Developers sobre Evil FOCA

Muchas de las cosas que sacamos son especialmente mejoradas cuando alguien que viene de fuera las toca. Cuando alguien con una mirada distinta, diferente, amplía lo que nosotros creamos inicialmente. Por eso hacemos desde hace un año las CodeTalks For Developers en ElevenPaths, donde mostramos las entrañas de nuestros proyectos para que los desarrolladores puedan ampliar las funciones o crear cosas nuevas.

Figura 4: CodeTalk for Developers sobre LiLaS

Todas las sesiones las tenéis en esta lista, pero este verano hemos hecho dos nuevas sesiones dedicadas a los proyectos de Evil FOCA Open Source y al proyecto LiLaS que os dejo por aquí para ver si os estimula la creatividad a alguno de vosotros.

Figura 5: ElevenPaths Talk sobre "El Arte del Engaño"

Además, también nuestro equipo de CSAs ha preparado una nueva ElevenPaths Talks de la Temporada 4 dedicada al "Arte del Engaño", con lo que si quieres aprender cosas nuevas aquí tienes tres seminarios para verte a ratitos. No hay nada como buscar un huequito cada día para aprender un poco más. Siempre un poco más.

Saludos Malignos!

Nosotros también hackeamos un auto (como muchos otros)

En la última edición de la Ekoparty 12, he tenido la oportunidad de dar una charla relacionada con el mundo del Car Hacking junto a Sheila (@unapibageek que ya conoceréis por su proyecto CROZONO que usa drones y robots para hacer hacking) donde el objetivo final era hablar sobre Backdooring the Can pero donde también aprovechamos para dejar planteadas diferentes situaciones relacionadas con la temática debido a todo lo que ya se ha publicado en Internet y en los medios tradicionalistas sobre este tema. Son de ellas de las que quería hablar hoy.

Figura 1: Nosotros también hackeamos un auto (como muchos otros)

La primera de ellas viene relacionada a la típica pregunta que hacen siempre a los investigadores de seguridad cuando dedican tiempo y dinero en buscar fallas de seguridad en el sistema, sea este un protocolo de sistemas industriales como el de mi última charla en las ElevenPaths Talks o como en este caso un vehículo. ¿Por qué buscar fallas en un auto?


Figura 2: Analizando la seguridad de un protocolo industrial
Si bien la respuesta es obvia para la gran mayoría de los que leéis este blog, para muchos parece no serla. También hay otros que piensan que no hay valor en analizar un auto ya que, supuestamente para los más experimentados en este mundo del hacking, es obvio que va a estar “roto”. Para mí la respuesta es mucho más profunda: “Quiero seguir aprendiendo”.

Con el correr de los años, los automóviles fueron agregando cada vez más electrónica, y en mis principios, era todo un problema modificar un auto. Hoy en día hay cientos de lugares donde lo hacen como un servicio al cliente, aunque muchos de ellos no entiendan el potencial real de esos cambios desde la óptica de la seguridad - y en este caso no es Security, sino Safety -. Entender todo lo relacionado con la cantidad de protocolos y estándares de comunicaciones que existen dentro de un auto y que no son tan comunes en otros medios, es de por sí un hermoso desafío que me permite no aburrirme.

Figura 3: Backdooring the CANBus for Remote Car Hacking

Otra de las situaciones planteadas en la charla de la Ekoparty 12 que podéis ver en el vídeo, era referida a todas las formas de hacking de autos de las que ya se han hablado antes. Muchas de esos estudios no están necesariamente asociados al tema que tratamos nosotros del CANBus o a la tecnología de los “autos conectados”, cómo pueden ser las modificaciones sobre el odómetro, modificar los limitadores de velocidad (Chip Racing), y demás formas que uno asocia a la mecánica general  - porque antes así se hacía -  pero que ahora son técnicas de bypass o de ingeniería inversa de la electrónica que lleva el auto.

Hacking the CAN Bus

Finalmente abordamos el tema en cuestión de nuestro trabajo relacionado con el CAN Bus, y comentamos que la principal motivación de nuestra charla no era el solo hecho de explicar sobre las debilidades del CAN  - ya hay libros relacionados con este tema y hay muchas charlas asociadas - sino que lo que más nos movilizaba era poder hacer un estudio con autos de gama media para demostrar que esto no solo pasa en Jeep, BMW o en Tesla, sino que además puede pasar con un auto “más normal” a través del puerto de diagnóstico estándar OBD-II.

Figura 4: Noticia del hacking de Tesla Model S

Sheila y yo notamos que algunos habían tenido ideas similares pero sin embargo utilizaron placas con BlueTooth limitando el alcance del ataque a la distancia que soporte la placa (y mayormente apoyados en un Arduino). Nosotros lo hemos hecho a la vieja usanza utilizando un PIC 18F2685, un Transceiver MCP 2551 y un Shield de GPRS (sim800L) para poder controlar el PIC vía comandos por mensaje de texto.

Figura 5: Conexiones a los puertos de diagnóstico con el estándar OBD-II

En resumen, la idea se centra en poder utilizar técnicas de Ingeniería Social como las comentadas en el vídeo, para contar con unos segundos con el fin de colocar el dispositivo en el auto de la víctima, y luego controlarlo remotamente por medio de mensajes SMS.


Figura 6: Conferencia sobre técnicas de Ingeniería Social
Para ir cerrando el artículo quería comentarles que en estos últimos días, luego de ya unos meses presentada la charla y de continuar probando con diferentes autos de gama media, nos hicieron llegar por Twitter un artículo de Scientific American titulada: “Why Car Hacking Is Nearly Impossible” en donde el autor expone tres frases muy peculiares que quisiera destacar:

Figura 7: ¿El tiempo de estudio es un problema? Por eso se llaman APT (Advanced Persistent Threat)

¿Será que el autor ha sido siempre muy veloz y efectivo en sus investigaciones? Ya que para mi es común que aunque tardes un año en encontrar un bug y explotarlo, una vez descubierto, no necesitas un año más para volver a encontrarlo. Y además, ¿esta mal probar en los vehículos propios? Siempre pensé que probar en vehículos que no son propios sin autorización podría ser ilegal en la mayoría de los países. Creo que el próximo estudio lo haré con un auto que encuentre por allí en algún lado ;-)

Figura 8: Esta parte de la charla de Charlie Miller no la ha entenddio

¿Qué este bug se haya descubierto y realizado una PoC con una PC conectada, quiere decir que no se puede automatizar en algo más pequeño y controlado remotamente?? Bueno, nosotros ya nos hemos encargado de ello. No para el Tesla porque aún no cuento con uno, pero quizás debería pedirle al Big Boss que me regale uno con fines de investigación. [Nota de Chema Alonso: Buen intento, Claudio]

Por otro lado, en la demostración están dejando en claro que puede encenderse el auto, por lo cual, es una técnica que podrían utilizar los delincuentes para cometer un simple robo - como se ha visto en muchos otros casos - quizás donde el autor viva no sucedan estas cosas, pero en muchos de nuestros países los maleantes están atentos a toda forma de poder llevarse un auto.

Figura 9: Si no lo veo no lo creo (dice el autor)

Creo que en la vida hay afirmaciones que no deberían realizarse, ¿no? Ya hubo varios fabricantes como algún gigante de las bases de datos que han aprendido esta lección. Sin más, cierro el artículo con una frase de Einstein que suelo utilizar: “Todos somos ignorantes, pero no todos ignoramos las mismas cosas”.

Autor: Claudio Caracciolo (@holesec) Chief Security Ambassador at ElevenPaths

SAPPO: Spear APPs to steal OAuth-tokens (2 de 4)

Entendiendo cómo funciona el sistema descrito en la primera parte de este artículo, ya es posible trazar cómo sería un ataque de este tipo. El esquema que se debe seguir consistiría en los siguientes puntos.

1) Construir una aplicación Sappo para el IDP a atacar
2) Construir una URL con la solicitud del SCOPE (los permisos) adecuado
3) Conseguir el AuthCode cuando el usuario "bese" el "Sappo"
4) Con el AuthCode solicitar el AccessToken
5) Con el AccessToken acceder a todos los servicios vía API

Figura 11: Creando la aplicación Sappo

Construcción de la aplicación Sappo

Como en este ejemplo vamos a hacer el ataque contra cuentas de Office365 y Windows Live, necesitamos crear una aplicación Sappo en la plataforma Microsoft que nos ayude a extraer los datos de las cuentas que confíen en ella. Para ello, con cualquier cuenta de Outlook debemos ir a la dirección apps.dev.microsoft.com y crear una nueva aplicación. Allí recibiremos un Application ID y un Secret, además de que deberemos especificar un servidor con un end-point donde vamos a recibir el AuthCode y el AccessToken. Este servidor deberá estar en nuestra infraestructura y deberemos poner un programa que escuche las llamadas.

Figura 12: Creación de una aplicación en Microsoft

Para controlar la aplicación Sappo, en nuestra infraestructura "Sappo" registramos los datos de la app que acabamos de crear. Esto nos permitirá después poder hacer uso de la API de Office365 y/o Windows Live a través del AccessToken concedido a la app por parte del usuario directamente desde nuestra plataforma.

Figura 13: Registro de la app en Sappo

Una vez que ya tenemos la app creada, ya se pueden crear las solicitudes de permisos, para ello, será necesario que el usuario haga clic en YES por lo que la ingeniería social cobra mucha fuerza. En el ejemplo anterior la app la he llamado Sappo, para dejar claro que es a esta app a quién el usuario debe "besar", pero para conseguir mayor impacto en Ingeniería Social se deben buscar nombres más suculentos.

Figura 14: Una App llamada MS AntiSpam PRO O365

Para nuestra presentación, elegimos crear una app que simulara ser un AntiSpam Pro gratis, lo que no llamaría mucho la atención cuando se piden permisos para leer y escribir el correo electrónico. Pos supuesto, el domino del endpoint y el logotipo serán fundamentales para acabar de dar el efecto adecuado en cada caso. 

Construcción de la URL de petición de SCOPES

Para conseguir los permisos adecuados, el usuario debe navegar al servidor de Microsoft con una URL que debe llevar el siguiente formato:

GET https://login.microsoftonline.com/common/oauth2/authorize/common/oauth2/authorize?scope=[scope_list]& response_type=[code]&client_id=[client_id]&redirect_uri=[redirect_uri]

Como se puede ver, es necesario identificar qué app es la que solicita los permisos, en este caso Client_id, después hay que especificar la lista de permisos que se quieren obtener en Scope_List y por último que lo que se espera obtener es un AuthCode que deberá ser entregado en Redirect_URI.

Figura 15: Algunos SCOPES de Windows Live

La lista de permisos que hay en Windows Live es grande, y aunque en algunos de ellos se especifica que es posible leer y escribir el correo electrónico vía API, lo cierto es que en muchas cuentas no está permitido aún. Eso sí, se pueden acceder, por ejemplo, a los documentos de OneDrive como veremos en una de las demos, o a la lista de contactos.

Figura 16: Más SCOPES de Windows Live. Acceso a OneDrive y OneNote

En el caso de Office365 sí que están disponibles las APIs para acceder al correo electrónico y, por tanto, leer, enviar correos electrónicos o borrar mensajes de las diferentes carpetas del buzón de la víctima.

Figura 17: SCOPES en Office365

Una vez que se envía genera la URL, lo suyo es hacérsela llegar a la víctima mediante un correo electrónico que le engañe. En nuestro caso hemos elegido un correo de Microsoft que personaliza el mensaje y lo envía como si fuera un AntiSpam Pro. Esta personalización la hacemos directamente desde la herramienta Sappo, en la que solo debemos elegir una nueva víctima a la que vamos a enviar una app Sappo.

Figura 18: Enviando el ataque de Spear APP

El correo que se envía en este ataque está hecho como si fuera un mensaje auténtico, así que si el usuario no está especialmente alerta contra estos ataques se encontrará con la diatriba de si debe o no aprobar los permisos a esta "magnifica" app que hará que tenga menos spam en su bandeja de entrada.

Figura 19: Correo electrónico que invita a instalar Microsoft AntiSpam Pro en tu Office365

Cuando la víctima recibe el correo electrónico y hace clic en el enlace, acabará en una pantalla en la que se solicita su aprobación.

Figura 20: Pantalla de aceptación de permisos para la app "El beso del Sappo"

Como se puede ver, no es una web de phishing. No pide usuarios y contraseñas. Está bajo el dominio oficial de Microsoft, con HTTPs y un certificado de color verde precioso. Por supuesto, el filtro antiphishing del navegador no ha saltado y yo tengo un 2FA configurado ¿Qué puede ir mal?

Autores: Chema Alonso & Pablo González

*****************************************************************************************

- SAPPO: Spear APPs to steal OAuth-tokens (1 de 4)

- SAPPO: Spear APPs to steal OAuth-tokens (2 de 4)

- SAPPO: Spear APPs to steal OAuth-tokens (3 de 4)

- SAPPO: Spear APPs to steal OAuth-tokens (4 de 4)

*****************************************************************************************

Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fies nada de esa chica que te entra por WhatsApp

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo.

Figura 1: Badoo, una red para [...] tener una cita.

Una de las redes sociales en las que suelo mirar es Badoo, ya que, aunque aparentemente si no estás registrado no puedes ver a los miembros de esta comunidad y cuáles son sus comentarios, fotografías, con qué otros miembros interactúan, etc…, inspeccionando el fichero robots.txt de Badoo se puede observar que en él no aparece ninguna ruta sobre los perfiles de sus usuarios, y que por tanto los buscadores puede que accedan a esos datos.

Figura 2: El fichero robots.txt de Badoo no restringe los perfiles de los usuarios

Cualquiera podría pensar que dichos perfiles podrían estar indexados directamente en los motores de búsqueda, o que bien como le ha pasado en la historia a Facebook o Gmail esas URLs hubieran llegado allí por mala gestión de los enlaces y las opciones de indexación y caché de los buscadores así que directamente probé a buscar usuarios de Valladolid para ver qué información podría obtener de ellos en caso de que ésta fuera pública:

Figura 3: Resultados devueltos por Google tras buscar a gente de Valladolid

Por supuesto, si estás versado en el hacking con buscadores, la experiencia te deja claro que hay que buscar en Bing también, que algunos sitios limpian URLs en Google pero se olvidan de Bing, como ya le pasó a Facebook y también a la propia Gmail, aunque al final hayan borrado también allí.

Figura 4: Resultados de Valladolid en Badoo indexados en Bing

Tras consultar el primer resultado ofrecido por Google, pude comprobar que efectivamente era posible obtener información de los usuarios de la red aún sin estar dado de alta en ella:

Figura 6: Perfil de Badoo público, con comentarios en abierto y números de teléfono

Sorprende que además pueda observase cuáles son los mensajes que intercambian sus usuarios, ya que en alguno de ellos, como puede observarse se pueden obtener números de teléfonos personal de los usuarios de la red. Puede que pensaran que estaban poniendo un mensaje privado o simplemente que les de lo mismo, que la gente puede sorprendente siempre.

Llegados a este punto, el siguiente paso era aplicar un poco de ingeniería social, ya que si algunos usuarios habían mostrado tanto interés hacia un miembro de la red social dándole directamente su número de teléfono personal, sería más que probable que también usaran alguna aplicación de mensajería como por ejemplo WhatsApp y hacer algo como lo de buscar los perfiles de contactos en los programas de televisión nocturnos. Y efectivamente, tras añadir al usuario en mi agenda de teléfono pude comprobar cómo realmente éste era un usuario de Whatsapp y tenía una foto en su perfil.

Figura 7: El perfil WhatsApp de la persona que dejó el comentario en el perfil de Badoo indexado por Google

Para tener éxito en proceso de ingeniería social, es interesante recabar información de una víctima, así que, ya que disponía del número de su teléfono móvil, volví a consultar los buscadores a ver qué información mostraban en función del número de teléfono.

Figura 8: Un comentario en un foro dejando su nickname y su número de teléfono

Observamos cómo el usuario ha dejado el número de su teléfono móvil en más lugares por Internet y que también utiliza el alias prometeo_28; podemos inferir de este alias que su edad actual puede rondar los 36 años, ya que el año que en que dejé en mensaje de la figura anterior data de 2006.

Con toda esta información recabada, el último paso es muy sencillo, hacernos pasar por una chica de nombre Rocío y empezar a entablar una conversación para ir ganando su confianza y así que nos vaya suministrando fotografías comprometedoras e incluso la dirección de su domicilio…el límite lo pone tu imaginación.

Figura 9: El chat con prometeo_28

Observamos en la conversación de Whatsapp que es una persona soltera que ha empezado a trabajar esta semana, así que seguramente no aprobaría las oposiciones de bombero o quizás éstas no se convocasen, quién sabe. Lo mejor es que pregunta si me dio el número de teléfono. ¿Le decimos que se lo dio a todo el mundo al publicarlo en un comentario de Badoo y en un foro?

Si dejas mucha información tuya en Internet, cualquier día puedes tener un verdadero problema de seguridad en tu vida, y puede que te acaben estafando. Cuida tus datos personales como si fuera tu vida, que así lo son.... y cuidado con las chicas que te entran por chat...

Autor: Amador Aparicio
Twitter: (@amadapa)