Un informático en el lado del mal

Tapa la webcam o ponte sexy si usas Adobe Flash Player

noreply@blogger.com (Maligno) — Tue, 18 Jun 2013 22:02:00 +0000

Conozco desde hace tiempo el bug de Adobe Flash Player que por medio de un ataque de ClickJacking permitía activar la webcam y grabar al usuario que visita una web con robar solo unos clics para utilizar el configurador de la webcam en el sitio de Adobe. Este bug lo suponía solucionado desde el 2011, pero lo cierto es el descubridor del mismo ha vuelto a alertar de que aún no lo está.

Figura 1: PoC publicada en 2011

Yo he ido a probar la PoC que te tira una foto con un clickjacking de chicas sexies usando un OS X Mountain Lion 10.8.4, Google Chrome 27 y la última versión de Adobe Flash Player... y no lo está. Eso sí, al menos me ha salido la lucecita en el MacBook Pro para que me diera tiempo a sonreir, aunque no me he animado a ello como podéis ver.

Figura 2: Cara con la que he salido cuando he probado la PoC

Dos años parece más que suficiente para que Adobe se hubiera tomado esto más en serio, pero no ha sido así, por lo que se lo pueden estar pasando genial los malos. Un negativo para el equipo de seguridad de Adobe. Sea cual sea tu versión de Adobe Flash Player estás vulnerable, así que ya sabes lo que debes hacer: Tapa la webcam o ponte sexy para salir en Internet.

Saludos Malignos!

Políticos del G8 y G20 espiados por ingleses y americanos

noreply@blogger.com (Maligno) — Tue, 18 Jun 2013 04:33:00 +0000

El periódico The Guardian ha vuelto a soltar otra bomba mediática aprovechando las filtraciones de Edward Snowden, el ex-trabajador del CIA - acusado ahora de trabajar para China - que destapó el escándalo del espionaje del programa PRISM. En este caso ha liberado documentación que revela como el GCHQ (Govermnent Communications Headquarters) británico y la NSA (National Security Agency) americana espiaron a los políticos participantes en reuniones del G8 en Londres y el G20 en Sudáfrica, utilizando técnicas de hacking habituales. Esto sí que es un buen incidente de ciberespionaje entre países.

Figura 1: Uno de los documentos que revelan el espionaje en el G20

Según revelan en el periódico, se procedió a poner redes Rogue WiFi en Internet Cafés totalmente interceptadas, a las que se invitaba a conectarse a los delegados de las conferencias. También se espiaban las comunicaciones móviles para saber quién hablaba con quién. Se hackearon terminales BlackBerry para robar correos electrónicos, mensajes e históricos de llamadas. También se habla de ataques dirigidos al primer ministro turco y captura de las comunicaciones del primer ministro ruso Dmitry Medvedev conectadas a un satélite ruso.

Figura 2: Documento que explica los hackeos de las BlackBerry

Entre los documentos se han filtrado informes y conversaciones entre los espías en las que se discute la necesidad de tener los datos de las conversaciones telefónicas en tiempo real, y no solo los registros de llamada, para poder influir en la toma de decisiones que se tomaban en las reuniones del G8 y G20.

"In a live situation such as this, intelligence received may be used to influence events on the ground taking place just minutes or hours later. This means that it is not sufficient to mine call records afterwards – real-time tip-off is essential."

Esto parece sacado de las películas de Hollywood en las que en un torneo de poker los malos preparan sistemas de espionaje de cartas para poder ganar la partida sí o sí. No es de extrañar que todos los hackers y profesionales de la seguridad vayan a conferencias como DefCON y BlackHat sin utilizar ni un solo aparato electrónico en esas zonas. ¿Tendrán un dispositivo especial de espionaje también en ese tipo de eventos?

Saludos Malignos!

Saltar el passcode de un terminal iOS (iPhone & iPad)

noreply@blogger.com (Maligno) — Mon, 17 Jun 2013 04:33:00 +0000

Otro de los temas que se trata en el libro de Hacking iOS: iPhone & iPad tiene que ver con bugs y trucos para saltarse el passcode de un terminal iPhone o iPad. Esto tiene muchas derivadas dependiendo del tipo de dispositivo y la versión del software que esté instalado en él. Tener el passcode de un terminal permite acceder a todo el contenido del sistema operativo cuando no se tiene acceso a un equipo en el que el dueño del terminal ha hecho el "pareado" con Apple iTunes.

Si se tiene acceso al equipo con pairing, basta con conectar el teléfono al equipo y se tendrá acceso a casi todo el sistema de ficheros, con herramientas como iFunBox, pudiendo sacarse la base de datos de WhatsApp o cualquier otro dato de las aplicaciones.

Figura 1: Libro de Hacking iOS: iPhone & iPad

A lo largo del tiempo han ido apareciendo bugs que permiten saltar el passcode, pero no todos ellos permiten acceder a todos los datos por lo que a veces solo se accede a la aplicación de llamar, desde donde se pueden ver los contactos, el historial de llamadas y el carrete de fotos (al poder configurar una foto en un contacto), pero no mucho más. Estas son las alternativas:

Turcos para obtener el passcode en iPhone & iPad

- Exploit Limera1n: Si el terminal tiene un chip A4, es decir, si es un iPhone 4 o iPad 1 entonces se puede utilizar Gecko, una herramienta que permite - haciendo un tethering jailbreak temporal - lanzar un ataque de fuerza bruta en el mismo terminal y obtener el passcode. Se basa en iPhone-DataProtection y tiene el inconveniente de que si el terminal tiene un passcode complejo puede ser un proceso lento. Si has leído la novela Hacker Épico recordarás bien cómo se usa.

- Bug del teclado virtual en iPad utilizando Teensy 3.0: En iPad, al poner un teclado externo, cuando se fallan varias veces sólo se deshabilita el teclado virtual, pero no el físico. Con un Teensy 3.0 se puede hacer una emulación de un teclado y hacer un fuerza bruta para sacar el passcode. De nuevo, hay que tener en cuenta que si tiene un passcode complejo puede ser largo, y que además, aunque no se deshabilite el teclado virtual, sí que se podrían borrar los datos del terminal después de los 10 intentos. Afecta a todas las versiones de iOS hasta iOS 6.1.3 y todas las versiones de iPad.

- Marcas en la pantalla o Shoulder Surfing: Aunque parezca mentira, no hay muchas más opciones de averiguar el valor del passcode que no sea revisar las marcas de dedos en la pantalla - que se puede hacer en valores de passcode simples - , o hacer un poco de cotilleo por encima del hombro. De hecho hay trabajos donde visión artificial como iSpy creado para reconocer las pulsaciones de teclado en iPhone que podrían valer para passcodes complejos.

Bugs para saltar el passcode en iOS (iPhone & iPad)

- Bug de NO SIM en iOS 6.1.3 en iPhone 4: Este fallo se produce a través de las opciones de Voice Control para llamar por FaceTime. Se debe comenzar una llamada y cuando vaya a comenzar sacar la tarjeta SIM. Provocará que se acceda a la aplicación de llamar y contactos, pudiendo accederse al carrete de fotos, pero no a todo el sistema. Tienes un vídeo demostración en el artículo enlazado.

- Bug CVE-2013-0908 en iPhone 5 con iOS 6.1 a 6.1.2: El fallo se produce forzando un apagado del terminal desde el panel de llamadas de emergencia que se cancela. Luego hay que volver a hacer un intento de llamada de emergencia para saltarse el passcode. Son 7 pasos que tienes descritos en el artículo enlazado junto con varios vídeos demostrativos. En ningún caso se consigue acceder a todo el sistema, y sólo se permite acceder a la app de llamar, accediendo a contactos y fotos del carrete.

- Bug de NO SIM en iOS 5.0.1 [CVE-2012-0644]: Este fallo se produce en iPhone 3GS, iPhone 4 y también en iPhone 4S con iOS 5.0.1 y permite acceder sólo a la agenda de contactos y el carrete fotográfico. Para ello es necesario que esté la opción "desplazar para responder" activada. Esta opción permite que cuando se previsualiza una llamada perdida se pueda devolver la llamada solo con desplazar el mensaje hacia la derecha. El bug se produce si justo en ese momento se extrae la tarjeta SIM, ya que se produce otro evento que interrumpe el flujo del programa y permite acceder a los contactos. Tienes un vídeo demostración en el artículo enlazado.

- Bug de SmartCover en iPad en iOS 5.0: Un fallo gordo que permitía con un sencillo truco que consiste en dar a apagar el terminal iPad con el botón, pero antes de aceptar el apagado cerrar la SmartCover, volver a abrirla, y dar al botón de cancelar el apagado. Esto permite abrir la app que estuviera en primer plano - no permite ver todas las apps -. Tienes un vídeo demostración en el artículo enlazado.

- Bug de Acceso al carrete en iOS 5 por estación base falsa: Una de las características de iOS 5 es la posibilidad de utilizar el terminal como una cámara de fotos sin poner el passcode. En el carrete sólo se mostrarán las fotos hechas con fecha posterior a la última vez que se bloqueo con passcode el terminal. Utilizando una estación base de telefónica falsa es posible configurar una hora en el pasado, con lo que aunque se bloquee el terminal se podrá acceder a todas las fotos del carrete. En los terminales iPad sin 3G se hace mediante conexiones a Internet.

- Bug de Activator (Jailbreak) en iOS 4.3.3: Este fallo es similar al que hubo en iOS 4.1, pero en este caso el culpable fue una herramienta que solo puede utilizarse en terminales con jailbreak, que hacía un hooking de las teclas de control por debajo del bloqueo de passcode. Tienes un vídeo demostrativo en el artículo enlazado.

- Bug de llamada de emergencia en iOS 4.1: El bug permite acceder a la app de contactos, y por tanto realizar llamadas y ver las fotos del carrete de fotos. Basta con hacer una llamada de emergencia y cortarla apagando el terminal. Tienes un vídeo demostrativo en el artículo enlazado.

Trucos para usar iPhone o iPad sin conocer el passcode

- Bug de FaceTime en iOS: Por defecto los terminales iPhone 4, iPhone 4S e iPhone 5 con iOS 5 o superior permiten hacer llamadas por FaceTime e inspeccionar la agenda de contactos. Esto puede hacerse con el servicio de Voice Control desde el menú de llamadas de emergencias o utilizando Siri.

- Uso de Siri para acceder a datos: El asistente personal Siri en iPhone 4S o iPhone 5 permite acceder a contactos, hacer llamadas por Facetime, acceder al calendario de eventos, las notas o las alarmas. Usando Siri se puede establecer una alerta a las 4 de la mañana, jugar a robar una cuenta de Hotmail o Gmail con estilo y salero o consultar las notas de un OSX sincronizadas con Apple iCloud. Y por defecto se puede usar sin passcode.

- Mensajes de pantalla: Un terminal iOS puede mostrar por pantalla previsualización de mensajes de texto SMS - utilizables para el robo de cuentas Gmail/Hotmail -, mensajes de WhatsApp o de cualquier otra aplicación. Además puede ser utilizado para contestar llamadas, saber cómo se almacena un número en la agenda de contactos o ver qué reproducía el reproductor multimedia. Se pueden hacer ciertas acciones desde el terminal bloqueado aunque no demasiadas.

- Acceso al carrete de fotos de iPad: Por defecto los terminales iPad vienen pensados para poder ser también un marco de fotos, y en la pantalla de inicio hay un icono que permite acceder al carrete sin conocer el passcode.

Este tema, así como el de cómo instalar troyanos y espiar terminales iPhone, cómo usar Siri para robar cuentas de usuarios, como recuperar mensajes borrados de WhatsApp, controlar y espiar un WhatsApp en iPhone o cómo hacer un forense de iOS localizar el malware son solo algunos pasajes de las más de 300 páginas que conforman el libro de Hacking iOS: iPhone & iPad.

Saludos Malignos!

Los Vengadores más o menos

noreply@blogger.com (Maligno) — Sun, 16 Jun 2013 07:05:00 +0000

Hoy domingo voy a intentar tomarme el día tranquilo viendo las carreras de motos en el Gran Premio de Catalunya, disfrutando desde por la mañana con Maverick Viñales, Luis Salóm y Pol Espargaró para ver si terminamos viendo un carrerón de Marc Márquez, Dani Pedrosa y Jorge Lorenzo luchando con Valentino. Después voy a ver si consigo alguna cadena de TV donde emitan la final del torneo de tenis de Queen's con Andy Murray o el de Halle para ver a Roger Federer sobre hierba, que es un espectáculo digno de disfrutar. Luego, a eso de las 19:00 horas tocará sufrir de infarto en el Palau con la final de ACB entre el Real Madrid y el FC Barcelona Regal, para terminar el día con el partido de España contra Uruguay en la Copa Confederaciones.

Como podéis ver, tengo en mente tener un día de sufrimiento duro, que solo podré soportar gracias un corazón duro que tengo entrenado en mil batallas frente al televisor. Soy un tipo duro. Aprovecharé mientras para intentar reducir también algo el número de correos electrónicos que entre "Preguntas rápidas, respuestas lentas" y el "e-PingPong" ha superado ya el centenar de ellos sin responder.

Dicho hecho, voy a cumplir el ritual de publicar mi post diario en el blog con un dibujo, pero no es un No Lusers de los míos que hace tiempo que no encuentro ni tiempo ni inspiración para la ilustración, sino con uno de un buen amigo que me hizo llorar con el dibujo y la dedicatoria que venía por detrás. Esta es una imagen de la lámina A3 en la que viene el dibujo.

Figura 1: Avengers Informática64 con Perchita, Cálico Electronico, La FOCA y Josemaricariño

Gracias Sorian. Me ha encantado esta mezcla y la dedicatoria más aún.

Saludos Malignos!

Mea Culpa, Penny

noreply@blogger.com (Maligno) — Sat, 15 Jun 2013 06:20:00 +0000

Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de una de ellas: La de olvidarnos de cuidar de Penny.

Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN

Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología.

Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.

Durante muchos años nos hemos enrocado en definir a "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.

El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en su quehacer diario y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad... pero para Geeks.

Sheldon se conoce bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar por la WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID, luego sigue con el "usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK, cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle", para terminar con un "actualiza el firmware". Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.

No tiene sentido.

Algo no hemos hecho bien en la industria de la seguridad si para conectarse al Facebook usando la WiFi, tengo que dar un curso de tecnologías a mi madre - algo que seguramente ni disfrutará - cuando todos los terminales móviles vienen con un botón de "conectar". Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo - y que Hugo Teso no esté cerca -.

No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?

Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.

Saludos Malignos!

Sergio de los Santos fichado por Eleven Paths

noreply@blogger.com (Maligno) — Fri, 14 Jun 2013 07:53:00 +0000

Es un secreto a voces que desde hace años tengo admiración por el trabajo de Sergio de los Santos (@ssantosv), y que desde siempre había querido que trabajara conmigo, y que lo conseguí en cierta manera cuando conseguí que me escribiera el libro de Máxima Seguridad en Windows. Por supuesto, la excelente relación que siempre he mantenido con él ha sido extensiva a sus compañeros y jefes en Hispasec Sistemas, por lo que nunca he querido interferir en su trabajo.

Figura 1: Sergio de los Santos y yo ~~la noche~~ el día que nos conocimos

Anunciada la compra de Virus Total por Google, hablé con Bernardo y Román para decirles que "quería pedir la mano" de Sergio para que se viniera a trabajar conmigo a Telefónica, algo a lo que me autorizaron siempre que fuera bueno para él, así que comencé el cortejo para contratar a Sergio de los Santos, que al final aceptó venirse a Eleven Paths bajo una premisa:

"Pishita, me quiero quedar en Málaga, ¿me abres una oficina aquí?"

Y como no sé decir que no a Sergio, que es mi "consentida", al final cedí y le fichamos. Para ello abriremos desde el 1 de Julio un laboratorio de "ideas locas" que llevará Sergio de los Santos desde Málaga - inicialmente junto a la aceleradora de startups Bolt -, y donde se encargará de probar ideas y prototipos para la compañía. Junto a él tendrá un pequeño equipo de desarrollo, así que si te gusta la seguridad y sabes desarrollar bien puedes enviar el CV desde la web de Eleven Paths para trabajar junto a él en Málaga.

Saludos Malignos!

Tiras de cómic de Deili Electrónico 49 a 52

noreply@blogger.com (Maligno) — Thu, 13 Jun 2013 04:33:00 +0000

Hoy toca recuperar las Tiras de prensa de Deili Electrónico que publicamos semanalmente durante el último mes. Mientras estamos trabajando ya en Temporada 5 de Cálico Electrónico, así que si quieres ayudarnos a sponsorizar algún capítulo y publicitar tu producto o empresa en nuestra serie, no dudes en ponerte en contacto con nosotros en nuestro buzón de correos electrónico de sponsors.

Figura 1: Tiras Deili Electronico 49 a 52

Las tiras anteriores las podéis ver en los siguientes posts o en la web de Deili Electrónico:

- Tiras Deili Electrónico [01 - 04]
- Tiras Deili Electrónico [05 - 08]
- Tiras Deili Electrónico [09 - 12]
- Tiras Deili Electrónico [13 - 16]
- Tiras Deili Electrónico [17 - 20]
- Tiras Deili Electrónico [21 - 24]
- Tiras Deili Electrónico [25 - 28]
- Tiras Deili Electrónico [29 - 32]
- Tiras Deili Electrónico [33 - 36]
- Tiras Deili Electrónico [37 - 40]
- Tiras Deili Electrónico [41 - 44]
- Tiras Deili Electrónico [45 - 48]

Además durante este tiempo hemos seguido recuperado todo el material creado de esta serie, y sus spin-offs. Hemos seguido recuperando la Serie de Cálico Electrónico en Inglés y generado la página dedicada a los trabajos del creador Nikotxan donde podéis ver otras animaciones que no tienen nada que ver con Cálico Electrónico. De ellos, os traemos este último dedicado a SOLO: Mundo Canibal, que podéis apoyar en esta web.

Figura 2: SOLO: MUNDO CANIBAL

Para que te puedas enterar de todo esto con facilidad, recuerda que además tienes una aplicación de Cálico Electrónico para Windows Phone y una aplicación para Windows 8 - además de la que ya hizo un fan para Android - donde podrás saber cuándo hemos publicado una nueva tira de comic de Deili Elecrónico o un nuevo capítulo de Cálico Electrónico. Si eres fan de Cálico Electrónico y te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

Recuperar mensajes borrados de WhatsApp en iPhone

noreply@blogger.com (Maligno) — Wed, 12 Jun 2013 04:33:00 +0000

Ayer en Security By Default se publicaba la última herramienta de Recover Messages para proteger el borrado de mensajes de WhatsApp en terminales iPhone sin necesidad de realizar jailbreak. La idea de la solución es muy sencilla. Basta con conectar el terminal iPhone a un equipo, desbloquear el passcode - no es necesario si el terminal está pareado con ese sistema operativo - y con WhatsApp Anti-Delete Protection Tool proteger la app de WhatsApp.

Figura 1: WhastApp Anti-Delete Protection Tool

Este proceso genera una especie de "papelera de reciclaje" en WhatsApp que hace que todos los mensajes que se eliminan queden almacenados en ella. La "papelera de reciclaje" es invisible, por lo que nadie que inspeccione los mensajes de WhatsApp en la aplicación podrá verlos, pero sin embargo estos quedarán almacenados en la "papelera de reciclaje".

Cuando se vuelva a conectar el terminal a WhatsApp Anti-Delete Protection Tool, se podrán ver todos los mensajes que han sido eliminados en ese WhatsApp, pudiendo recuperarse el 100% de ellos. Aquí tenéis un vídeo que explica en detalle el funcionamiento.

Figura 1: WhatsApp Anti-Delete Protection Tool

La app NO necesita que el terminal tenga realizado jailbreak, y sólo es necesario tener acceso físico al mismo y conocer el passcode - o hacerlo desde un equipo pareado -. Recuerda que si quieres conocer más sobre recuperar mensajes borrados de WhatsApp puedes utilizar Recover Messages y que si quieres aprender más sobre la seguridad de iPhone puedes leer el libro Hacking iOS: iPhone & iPad o el blog de Seguridad Apple.

Saludos Malignos!

Seguridad proactiva con búsqueda de clientes inseguros

noreply@blogger.com (Maligno) — Tue, 11 Jun 2013 05:26:00 +0000

Hace un tiempo tuve el gusto de sentarme a la mesa con una persona responsable del software con el que yo había hecho alguna demo de hacking. En esa comida yo le expliqué que para hacer mi demo solo había necesitado hacer un poco de hacking con buscadores para encontrar uno de los muchos sitios que están inseguros en Internet. La respuesta fue que ellos han publicado guías e información sobre cómo montar bien su software, pero que muchos clientes o partners que lo instalan lo hacen mal, y por eso pasaba eso.

Ayer, cuando publiqué el artículo de las impresoras de HP con la opción de imprimir desde una URL que podrían ser utilizadas para atacar la DMZ de la organización que la ha dejado de forma insegura alguien de la organización de las impresoras me dijo que basta con poner la password, y que en los nuevos sistemas ya no funciona de esta forma, pero que los clientes y usuarios no se toman en serio la seguridad.

Ante tales respuestas yo les propuse una cosa que ahora os cuento aquí a vosotros: ¿por qué no convertir estas situaciones en una oportunidad para vosotros en vez de quejarse de los clientes que usan mal el software? Al final, si sabéis que son clientes vuestros, sabéis que lo tienen mal configurado y podéis localizarlos fácilmente usando los buscadores de Internet, la pregunta que me viene a la cabeza es: ¿por qué no buscar aquellos clientes que tienen mal las configuraciones de vuestro software y ofrecerles ayuda para dejarlo seguro?

Al final, tener una oportunidad de entablar una conversación con un cliente en estos tiempos siempre es positivo, y podéis quedar bien con ellos al tiempo que les ayudáis. Seguramente hasta tal vez se convierta en una oportunidad comercial que haga cuadrar el ROI de esta actividad y consiga que aumente la satisfacción de los clientes.

Es cierto que tal vez algunos clientes sean los culpables, pero seguro que hay alguno que cuando le digan que tiene abierta la impresora a Internet o configurado un determinado software de forma insegura toma precauciones para estar más seguro. ¿No os parece un buen programa de concienciación a los clientes?

Saludos Malignos!

Atacando a la DMZ desde una impresora de Internet

noreply@blogger.com (Maligno) — Mon, 10 Jun 2013 04:32:00 +0000

Un lector del blog me pasó un hilo en 4chan en el que hablaban de un fallo de protección de las impresoras HP publicadas en Internet que permiten imprimir archivos desde una URL de Internet. Para encontrar estas impresoras expuestas en Internet es fácil hacer algo de Hacking con Buscadores para localizarlas.

Figura 1: El hilo en el foro de 4Chan sobre este tema

Esta opción permite no sólo que alguien desde fuera haga uso del papel de tu impresora, te lance un ataque de D.O.S. o sea una incomodidad, sino que además, la impresora realiza la petición a una URL de Internet, con lo que se pueden plantear ataques a la Intranet o la DMZ - por ejemplo con una URL de ataque con un SQL Injection, o hacer un hacking similar al de los buscadores con arma de destrucción masiva.

Figura 2: Atacando una URL interna con SQL Injection usando la impresión desde URL

Por supuesto, además de que es un fallo de configuración claro en la implantación de las impresoras, por defecto esto debería estar capado con contraseña de administración, además de que deberían venir todos los modelos de impresoras con panel de administración web con un fichero robots.txt que evitase la indexación en los buscadores que respetan estos ficheros.

Saludos Malignos!

Podcasts: Ventanas en la red

noreply@blogger.com (Maligno) — Sun, 09 Jun 2013 15:03:00 +0000

La Ingeniera Informática que disfruta con su afición de periodista Pilar Movilla realiza en Radio 3W un podcast desde hace tiempo en el que ha invitado a varios miembros del mundo de la seguridad informática y el gran Wardog. Yo estuve invitado en el primer programa y lo he subido a Youtube para que el que quiera escucharlo.

Figura 1: Podcast Ventanas en la red - Una tarde con el maligno

Os dejo los enlaces de descarga de algunos de los podcasts para el que quiera escuchar el resto de ellos en la siguiente lista:

- Podcast: Una tarde con el maligno
- Podcast: Una tarde con Angelucho x1RedMásSegura
- Podcast: Una tarde con el Grupo de Delitos Telemáticos de la Guardia Civil
- Podcast: Wardog y el mundo
- Podcast: Delitos de pederastia en la red
- Podcast: Abogados de delitos informáticos
- Podcast: Otra tarde con el GDT
- Podcast: Hablando de hacking con SecNight

Saludos Malignos!

PRISM, FISA y el USA Patriot Act

noreply@blogger.com (Maligno) — Sat, 08 Jun 2013 06:41:00 +0000

Esta semana el escándalo a nivel mundial es famoso programa PRISM de la NSA (National Security Agency) de USA. Dicho programa fue primeramente desvelado por The Guardian afirmando que la empresa Verizon entregaba registro de todas las llamadas realizadas en Estados Unidos al gobierno. El presidente Obama en la comparecencia pública que ha dado recientemente confirmó que solo son los registros de llamadas y no la conversación en sí, para lo que es necesario utilizar otro programa más específico, pero para el que también tienen mecanismos en caso de necesidad.

Figura 1: Presentación del programa PRISM desvelada por Whashington Post / The Guardian

Después del boom mediático generado con esta información, el Washington Post publicaba información más detallada del denominado programa PRISM, donde se podía ver que los gigantes tecnológicos colaboran con el gobierno dando información de sus servicios desde el año 2007, y donde se encuentran Apple, Microsoft, Facebook, Google, Verizon, Yahoo!, etcétera.

Figura 2: Proveedores tecnológicos que supuestamente colaboran con PRISM

Rápidamente la polémica se ha centrado en si el gobierno tiene o no acceso directo a los servidores cuando les de la gana para acceder a los datos de los clientes de todos los servicios, algo que todos se han encargado de negar. Tanto Facebook, como Microsoft, como Apple, como Yahoo! han dicho que ellos no dan acceso a los servidores, aunque sí que entregan los datos que legalmente les solicitan.

Figura 3: Lo que entregan los proveedores tecnológicos a PRISM

Para aplacar los ánimos en Estados Unidos, la Oficina de Inteligencia ha publicado una nota de prensa de lo más "tranquilizadora" para el resto del mundo, ya que según dice textualmente esta sección del programa se usa sólo para el resto del mundo:

"They involve extensive procedures, specifically approved by the court, to ensure that only non-U.S. persons outside the U.S. are targeted, and that minimize the acquisition, retention and dissemination of incidentally acquired information about U.S. persons."

Es decir, que encajaría muy bien con por ejemplo los diputados españoles y sus terminales iPad, o cualquier ciudadano que no fuera de USA y no necesitarían utilizar ninguno de nuestros trucos de nuestro libro de Hacking iOS: iPhone & iPad. Lo cierto es que bajo orden judicial todos, inclusive los que han querido salir de la foto como DropBox diciendo que ellos no entregan ningún dato, están obligados a hacerlo.

Figura 4: Un ciudadano extranjero usando un iPad

Toda esta polémica de escuchas es algo de lo que he hablado en varias ocasiones, la famosa USA Patriot ACT, donde como podéis ver en la imagen los miembros firmantes se comprometen a colaborar entregando todo lo que veis ahí descrito, y que va desde registros de acceso hasta el contenido de las comunicaciones.

Figura 5: USA Patriot Act & FISA

Hay que tener en cuenta que las medidas de seguridad que ofrecen cada vez más las tecnologías evitan que se puedan interceptar todas las comunicaciones, y cosas tan comunes como un iMessage pueden ser imposibles de conseguir si no se cuenta con acceso a los servidores, tal y como reflejaba la nota interna de la DEA sobre sus problemas con iMessages.

Figura 6: Preocupación de la DEA por no poder interceptar los iMessages

Para ello, a colación de la sensibilidad nacional tras los atentados del 11-S se impulsaron muchas medidas de seguridad. Algunas visibles día a día en aeropuertos y controles de fronteras, y otras menos visibles en los sistemas informáticos como estas.

Figura 7: Brindis en la Casa Blanca. Obama, Apple, Facebook, Google y compañía

El presidente Obama ha dicho que no se puede tener 100% de seguridad con 100% de privacidad y 0 inconvenientes. Ahora cada uno debe decidir si esto le convence o no.

Saludos Malignos!

Eleven Paths: Hello World, Hello Future!

noreply@blogger.com (Maligno) — Fri, 07 Jun 2013 09:55:00 +0000

Al finalizar la RootedCON de este año ya os anticipé que Informática 64, la empresa que arrancamos Rodol y yo hace ya casi 14 años, quedaría integrada dentro de Telefónica Digital. Desde entonces nos hemos mudado al Distrito Telefónica en Las Tablas y hemos estado trabajando en la nueva empresa. Después de eso supongo que alguno habrá leído la nota que salió en Cinco Días en la que un periodista concienzudo en su trabajo fue capaz de descubrir que algo pasaba, cuando en el Boletín Oficial del Registro Mercantil apareció un nombramiento de una sociedad que se llamaba Telefónica Digital Identity & Privacy. Tiene todos mis respetos este periodista porque hizo bien su trabajo.

Figura 1: La noticia en Cinco Días

Lo cierto es que no habíamos querido anunciar nada hasta estar listos, y hoy era el día elegido para ello. La compañía que nace de las raíces de Informática 64 - que seguirá existiendo como laboratorio de investigación en seguridad informática - se llama Eleven Paths, y es donde desde hace ya algún tiempo estamos focalizando todos nuestros esfuerzos.

Figura 2: Esta es nuestra nueva marca

En todo este periodo muchos se han acercado a mí con cierta preocupación, pensando en que se iba a morir ese espíritu de riesgo, velocidad y cambio que siempre ha mantenido Informática64, haciendo mil cosas, y metido en cualquier berenjenal que tuviera que ver con la seguridad informática. Pero no es así, Eleven Paths nace con el objetivo de mantener ese espíritu de Start Up, pero con la potencia de Telefónica Digital, y así estamos trabajando desde el día 1. De hecho, si alguien pensaba que me iban a cambiar mucho, os dejo una fotografía de mi badge de acceso a las instalaciones de Telefónica.

Figura 3: Mi tarjeta de acceso a las instalaciones de Telefónica

Eleven Paths es una empresa de Telefónica Digital, pero tiene estructura independiente y libertad para seguir trabajando como lo hemos estado haciendo hasta ahora: Probando ideas y viendo si son útiles. Para ello, lo primero que he querido es rodearme de gente con el mismo espíritu de amor por la tecnología, así que además de mis compañeros de Informática 64 he conseguido que se venga a este proyecto a mi admirado David Barroso (@lostinsecurity), que se vendrá de responsable técnico de todos los proyectos.

Figura 4: David Barroso en la RootedCON

David Barroso tiene una amplia y dilatada carrera profesional en el mundo de la seguridad informática y tiene el honor de haber sido el primer español que habló en Black Hat. Los últimos años ha estado trabajando en el Vertical de Seguridad de Telefónica Digital, y para mí es la persona perfecta para ayudarnos a coordinar nuestro trabajo con los profesionales de allí, además de que es una mente pre-clara en el mundo de la seguridad.

Figura 5: Palako en un receso del CTF de la Hacking At Random 2009 en Holanda

El segundo de los compañeros a los que he convencido para que se vengan a Eleven Paths es Palako. Compañero de charlas en DefCON, BlackHat, ShmooCON y HackCON, un gran hacker, y ex Web Search Architect en Yahoo! tiene la experiencia que necesitamos para hacer que nuestros proyectos tengan un alcance global, así que será el que se encargará desde Londres de diseñar todos nuestros Back-ends.

Figura 6: Antonio Guzmán en un Curso de Verano de Seguridad Informática

También quería que todo lo que hiciéramos tuviera un sentido dentro de la industria, para lo que me fui a la Universidad y me traje a Antonio Guzmán. Bueno, al Doctor Antonio Guzmán. Antonio estuvo trabajando para Informática 64 en el pasado, y ha estado ayudándome a dar sentido a todos los papers que hemos publicado en los últimos años, por lo que quería tenerle aquí para que nos ayude en Eleven Paths a que todo lo que hagamos se integre perfectamente con el mundo de la tecnología que existe hoy en día.

Para darnos un poco más de velocidad y luz dentro del proceso de aprendizaje de todas las oportunidades que nos ofrece Telefónica Digital, se nos ha unido Mosiri, una profesional con años de experiencia en el liderazgo de proyectos globales. Por supuesto, los miembros de Informática 64, es decir, Rodol, Pablo González, Rocío, Ioseba, Germán, Tony, Rober, Jonnathan, José Miguel, Rubén, Antonio y compañía están preparando el próximo Kick Off de Eleven Paths, donde le enseñaremos a los nuevos cómo hemos hecho las cosas siempre aquí.

Hoy es nuestro primer día con el nuevo nombre, y es un día feliz. La veintena de personas que estamos por aquí trabajando estamos contentos por ello, y aunque no podemos contaros demasiado, si que os voy a dejar nuestros canales de comunicación. La web la tenéis en Eleven Paths, y hemos abierto una Página en Facebook y una cuenta en Twitter (@ElevenPaths), pero donde más cosas os iremos contando será en el blog que hemos abierto en Blog Eleven Paths y donde escribiremos todos - incluido yo -.

Saludos Malignos!

Te voy a lavar ese banner con jabón

noreply@blogger.com (Maligno) — Thu, 06 Jun 2013 04:30:00 +0000

Cuando yo era pequeño e iba aprendiendo a decir "palabrotas" mi mamá me decía eso que seguro que muchos habéis oído de "te voy a lavar la boca con jabón". Entonces no se llevaba eso de poner una hucha y echar una moneda cada vez que alguien decía una palabra malsonante. De eso me he acordado cuando Harkonen me pasó un banner de un sitio en el que el administrador se desquitaba a gusto.

Como tenía algo de tiempo que perder, busqué por algunos banners curiosos usando Shodan, y descubrí que hay muchos banners que lavar con jabón, porque no dejan títere con cabeza.

Figura 1: Un servidor en Argentina enfadado

Figura 2: Otro enfadado en Canadá. Para que digan que son tranquilos.

Entre ellos, los hay graciosos sacados de alguna película del gran Tarantino, pero otros muestran un poco de ira contra algún atacante.

Figura 3: Un americano homenajeando a Tarantino

Figura 4: Un mensaje para alguien que ha querido romper la seguridad

Por supuesto, como siempre, hay quien piensa que los malos son los Chinos, así que hay mensajes también para ellos.

Figura 5: Uno enfadado con los Chinos

Y algunos que solo disfrutan de esta forma de hablar, y aparece en los mensajes de los banners solo como extensión divertida del servicio...

Figura 6: Hola a ti también

Esto me recuerda mucho a los desarrolladores que docu-mentan en sus programas que os publiqué hace tiempo. Pásate un rato divertido buscando palabras raras en los banners usando Shodan. Es entretenido. Si a todos ellos los pilla mi mamá les lava a todos la boca con jabón.

Saludos Malignos!

Los troyanos policiales del borrador de la nueva ley

noreply@blogger.com (Maligno) — Wed, 05 Jun 2013 06:44:00 +0000

El revuelo ayer fue sin duda el debate de la noticia de que el Ministro de Justicia está pensando en una ley que permita a los cuerpos de seguridad del estado utilizar troyanos para infectar los equipos, smartphones y tablets de criminales de "presuntos" criminales. Este texto daría cobertura legal al uso de sistemas como FinFisher o HackingTeam que ya utilizan otros países como Alemania donde su uso es legal.

Figura 1: Países en Europa donde se han detectado paneles de control de FinFisher

Los problemas técnicos de la investigación policial

El proceso actual sigue estando basado en detectar la dirección IP desde la que se está realizando el delito, localizar la persona detrás de esa dirección IP, solicitar una orden judicial e incautar el equipo. Una vez obtenido el equipo, comenzar un estricto proceso de custodia de evidencias y basar todo en un análisis forense de los datos que se obtienen del terminal. Esto tiene muchos problemas técnicos en todas las fases, que todos conocemos:

- Investigar una dirección IP no siempre es fácil: En España hay una ley de secreto de las comunicaciones que evita que se pueda analizar mucho tráfico de red generado por una dirección IP, lo que dificulta mucho la investigación para detectar los actos delictivos.

- Las direcciones IP no tienen siempre que apuntar a una persona: Los criminales especializados en Internet se lo tienen bien aprendido esto, por eso utilizan conexiones desde direcciones IP de otros países, uso de proxies anónimos - como ya vimos en el caso de Owning Bad Guys {and mafia} using JavaScript Botnets -, redes TOR, o simplemente una red WiFi temporal o de otra persona.

- El cifrado de los datos: Si el equipo tiene TrueCrypt, FileVault, PGP o BitLocker, hay que pasar por un proceso previo de crackeo para luego hacer el análisis forense. Esto no siempre es fácil ni posible. Por ejemplo, un terminal iPhone 4S o iPhone 5 con un passcode complejo, del que el sospechoso se hubiera negado a proporcionar la clave y que hubiera sido apagado antes de ser interceptado, no podría ser analizado al no existir ninguna forma de extraer datos sin tener un equipo pareado o las copias de Apple iCloud.

Con el uso de troyanos como FinSpy o Hacking Team para infectar smartphones o tablets, lo que se busca es resolver este problema de raíz desde las redes del país, lo que daría a los cuerpos de seguridad la capacidad de acabar estos problemas de forma más definitiva.

Figura 2: Publicidad de Remote Control System de Hacking Team

Para ello, también sería necesario contar además con una inversión en exploits - además de trucos de habituales de ingeniería social - y con técnicas de mutación del troyano para evitar la detección de los mismos por medio de los antimalware. Problemas técnicos habituales que se resuelven con normalidad para hacer que estos ataques y estos troyanos no sean tan facilmente detectables como dicen algunos.

El auténtico debate no es técnico

La pregunta, por tanto, deja de ser técnica y recae más en un debate legal o ético para ver si estas medidas están acorde con lo que los ciudadanos de este país queremos o no queremos. Según el texto del borrador, se podría utilizar en delitos con condenas de penadas con más de 3 años, donde caen cosas tan severas como la pederastia o cosas como la piratería de música - bajo debate público largo tiempo -, lo que hace que se nos emborrone el debate sobre el uso que se puede dar a estas herramientas.

Por supuesto, el miedo de muchos es que con estos troyanos - como ya sucedió antes con la proliferación de las cámaras de seguridad que graban a los ciudadanos por las calles hace años, o la puesta en marcha del sistema de interceptación legal de las tele comunicaciones SITEL - caiga en malas manos, y acabe siendo nuestro país un estado totalitarista enemigo de Internet y de sus ciudadanos.

Figura 3: Resolución SITEL en el BOE. Año 2007.

Bajo mi punto de vista, si esto está controlado por la justicia, y hay un control férreo de estos sistemas de seguridad - y entre estos sistemas de seguridad incluyo las armas de fuego que se les dan a las personas que velan por nuestra seguridad, las cámaras de vigilancia que se ponen en las ciudades, los sistemas de comunicaciones como SITEL o estos nuevos troyanos - y se usan para que los malos no se vayan de rositas, creo que estaría bien dotar a nuestros protectores de todas las herramientas técnicas posibles y que no estén en inferioridad técnica frente a los delincuentes, que alguna vez viven con total impunidad.

Solo para que veáis con qué impunidad se sienten algunos, aquí os dejo una conversación que puede encontrarse en la Deep Web sin tener que hacer muchas piruetas. He tapado la foto para que sea lo menos dañino posible, porque creo que con los mensajes es suficiente para que os hagáis una idea.

Figura 4: Uno de tantos en la Deep Web. Algunos ponen hasta sus correos públicos.

Creo que lo que deberíamos conocer es más información sobre los controles que se harían de este tipo de tecnologías y limitar mejor su uso y aplicación, para que esto no sea algo arbitrario a cualquier ciudadano.

Saludos Malignos!

Un pequeño juego de ingeniería social en BlackHat 2010

noreply@blogger.com (Maligno) — Tue, 04 Jun 2013 01:33:00 +0000

Esta semana pasada me preguntaban por alguna anécdota que tuviera yo respecto a técnicas de ingeniería social. En este tema mi referente personal es mi amigo Claudio Caracciolo (@holesec) que además de gran experto y amante de este area, lo cuenta de maravilla en historias como la de la Ingeniería social en un banco parte 1 y parte 2, Ingeniería social en los hoteles parte 1 y parte 2, o en esta pequeña charla de TEDxUTN titulada "De las emociones a las experiencias" que debéis aprovechar para veros.

Figura 1: Claudio Caracciolo con "De las emociones a las experiencias"

Hecha la introducción, pasaré a contaros una de estas anécdotas, que tuvo lugar en la ya lejana BlackHat Europe 2010, en Barcelona, donde bajo el lema "This is my country, I am the law" monté una noche de lo más típico que suelo hacer yo en Barcelona con speakers y asistentes al evento. En aquella ocasión yo fui como Speaker Sustituto. Básicamente es que vas como reserva por si falta alguien, y no tienes que preocuparte de mucho más que de disfrutar el ambiente y ver charlas.

Allí en aquellas conferencias se dieron cita mucha gente del sector nacional, como José Selvi, Lorenzo Martínez, Ero Carrera, Ramón Pinuaga, Anelkaos, Nico Castellanos o el gran Fermín J. Serna. Junto a ellos, pues el panorama internacional con nombres como Roelof Temmingh (Maltego), Moxie Marlinspike, Enno Rey, Dani Mende o Mariano Nuñez di Croce. Y a todos los que quisieron los invité a venir al Bar Paco a tomar una cena compuesta por tapas, vino de la tierra y luego Licor de Hierbas.

La cena estuvo graciosa, pero he de decir que a Moxie no le convenció demasiado el Licor de Hierbas que catalogó como "La peor cosa que había tomado en mi vida", lo que nos llevó a tener una larga discusión sobre vinos que hemos continuado teniendo en otras conferencias sobre si en San Francisco se hace mejor o peor vino que en Europa... (¡y que haya que discutir esto!). El caso es que después de las tapas y los vinos, los llevé a tomar algo a "ya sabéis dónde vamos siempre" en Barcelona, para ver tocar alguna canción de Joaquín Sabina, comer kikos y echarnos unas risas con alguna bebida espiritual.

Allí estabamos, cuando a Moxie se le ocurrió hacer un juego de Ingeniería social. La cosa es que se apostó con nosotros a que siempre era capaz de ganarnos a Piedra, Papel o Tijera en una competición al mejor de 3. Al principio pensé que nos estaba proponiendo jugar la mutación de Piedra, Papel, Tijera, Lagarto o Spock, pero no, era el clásico juego.

Figura 2: Sheldon explicando Piedra, Papel, Tijera, Largato, Spock

Tenía que haber truco. Las reglas eran fáciles. Jugaríamos a Piedra, Papel o Tijera, y el que ganara mandaría al que perdiera a hacer una de las cosas más difíciles para un hacker: Hablar con una chica desconocida durante al menos dos minutos utilizando todos los trucos de ingeniería social. Nivel extremo, como podéis ver.

Como todos habíamos tomado algo de vino, licor de hierbas o alguna copa de esas espirituosas , ya no había Rajesh Koothrappali que se ocultase bajo una rara afección. Así que comenzamos a jugar. Yo seguía escamado por la afirmación a de Moxie, así que dejé a otros más valientes que comenzaran a sacar piedras, perder los papeles y ser cortados con las tijeras de las chicas que Moxie iba eligiendo antes de que pasaran los dos minutos estabelecidos como Check Point. Esto era así, porque Moxie siempre ganaba al juego... y parecía todo muy normal.

Cayó nuestro amigo Claudio de Guatemala - hacker de ingeniería social que se hizo periodista para ir invitado a todas las BlackHat -, nuestro amigo alemán Dani Mende también cayó, y llegó el momento en que me liaron para que luchara contra Moxie al fatídico juego de Piedra, Papel o Tijera. La culpa creo que la tuvieron Fermín y Anelkaos que decidieron comenzar una campaña de "Chema es un gallina", para que al final me animara "voluntariamente" a jugar en el juego.

En la primera ronda de Piedra, Papel o Tijera, Moxie me dijo: "I told you. I always win." Le miré y le contesté "Let´s see this time". Y sacamos. Y me ganó. "Me ca&%$ en to!", pensé. Sacamos otra vez. Y gané. Sonreí. Moxie sonrió también. Sacamos. Y perdí. "Jooooder!".

Todos se empezaron a ~~descojonar~~ reir, esperando a ver cuál era la chica que Moxie me elegía. Y seleccionó un par de chicas en una mesa separada. Hasta el momento todos habían fallado en el intento de superar los dos minutos hablando con las chicas elegidas, pero yo no estaba dispuesto a que esto me pasara.

Nunca se me había dado mal eso de hablar con las chicas, he de decir, pero siempre fue más por intuición que por otra cosa. Me acerqué a ellas, e intenté recordar algunos trucos de ingeniería social ya que el juego iba de eso. Empecé a recordar algunos trucos de una charla que había visto hace muchos años en el cuartel general de Microsoft en Redmond sobre ingeniería social, titulada "Hacking People" que había impartido Steve Riley en un MVP Security Summit. De ella no recordaba muchas cosas, pero había una que nunca se me olvidó: "La gente quiere ayudar". Solo había un problema, saber en qué me podrían querer ayudar esas chicas a mí.

Como me había llevado mi gorro a rayas, confié todo a su fuerza. Cuando llegué a su mesa y me miraron, me di cuenta de que yo estaba de pié y ellas sentadas, lo que me daba a mí una posición más alta y me distanciaba de ellas, así que me puse de cuclillas en el suelo apoyado con los brazos en la mesa mirándolas yo de abajo arriba. No quería parecer amenazante.

- "Hola, perdonad que os moleste chicas, pero es que necesito algo de ayuda, ¿sois de aquí?", pregunté.
- "No, no somos de aquí, somos de Bilbao", contestó una de ellas.

Arrea. En este punto, si eres de España y conoces las leyendas que se cuentan de lo difícil que es ligar en el País Vasco, ya podrás imaginarte que esto se acaba de complicar varios enteros de repente. He aquí un ejemplo del tiempo necesario para ligar con una chica vasca según Vaya Semanita.

Figura 3: Ligar en el País Vasco según Vaya Semanita. Una relación de pareja.

Miré de reojo entre un mechón de mi pelo a ver a la panda de hackers que se descojonaba en la otra mesa mientras yo ponía cara de circunstancias. Pero decidí pasar al ataque.

- "Vaya, ¿las dos? ¿Y cómo habéis llegado aquí?", las inquirí de nuevo intentando que el reloj corriera lo suficientemente rápido como para superar la prueba.
- "Pues hemos venido a un congreso", respondió una de ellas.

Ahá, aquí había tema de conversación. Yo estaba en pleno doctorado, así que algo sabía de estos asuntos.

- "¿Estás haciendo el doctorado?", pregunté. El tiempo corría a mi favor.

Se miraron extrañadas y me contestó una:

- "Sí, ¿por?".
- "Yo también estoy con ello, pero me tiene loco. ¿En qué area lo estáis haciendo?"

Y ahí llegó el milagro:

- "Antenas de comunicaciones móviles y seguridad. Somos ingenieras de Telecomunicaciones de la Universidad del País Vasco", me dijo una.

Gracias dios del bit por esta casualidad histórica. En ese punto me giré, miré a mis compañeros, y supe que los dos minutos iban a pasar con toda tranquilidad hablando de temas técnicos. Dentro de mí ya estaba celebrando la victoria.

Figura 4: La celebración interna de la victoria que estaba por llegar. No es inusual.

Por supuesto gané la apuesta. Después les conté la historia del concurso de ingeniería social, las llevé a la mesa con todos los demás, y ... seguimos hablando de frikadas durante un buen rato hasta que sufrí otro ataque de otro maestro de ingeniería social, llegada la hora de la irnos. Fermín J. Serna nos convencía de que era hora de irnos al hotel, nos empaquetaba en el taxi, y cuando ya estábamos todos dentro decía: "Creo que me voy a quedar a acompañar a *Whoever*", mientras cerraba la puerta del taxi y nos mandaba para el hotel.

Al final, Moxie no me dijo el truco, pero yo sabía que tenía que haber un truco con el puñetero juego de Piedra, Papel o Tijera... y lo cierto es que hay un algoritmo que enseña como ganar siempre, así que cuando nos volvimos a ver en Noruega al tiempo, volvimos a jugar...

Figura 5: El algoritmo que permite ganar siempre. Lo del Spock & Roll es ilegal.

No es como el Truco de robar las passwords de Hotmail con Siri y el iPhone, pero hay que reconocer que nos echamos unas buenas risas esa noche en el bar porque un hacker que se sabía este algoritmo nos retó con un tajante "I always win".

Saludos Malignos!

3 de Junio: Ciberlunes en 0xWord

noreply@blogger.com (Maligno) — Mon, 03 Jun 2013 06:04:00 +0000

Hoy en España es lo que se ha denominado "El ciberlunes". Una iniciativa similar al Black Friday americano que se ha trasladado a los comercios online en España. Por eso, hoy, para todos las entregas de libros que se hagan en España, vamos a aplicar un descuento a todas las compras de libros que se realicen de 09:00 A.M a 09:00 P.M. en nuestra web de 0xWord con el código: Ciberlunes

Figura 1: Hoy ciberlunes en 0xWord

Los Packs de libros, que ya cuentan con descuentos, tendrán solo una rebaja de un 5% y siempre que sea con entrega en España. Si quieres llevarte la colección completa con los 26 títulos, no creo que tengas mejor oportunidad que ésta.

Saludos Malignos!

Un-CLEAR: Cómo enFOCAr un ataque desde el pasado

noreply@blogger.com (Maligno) — Sun, 02 Jun 2013 07:07:00 +0000

Hace ya bastante tiempo os dejé el caso de Cómo enFOCAr un ataque dirigido utilizando los metadatos que se obtienen de los documentos publicados en la web, uno de los ejemplos ejemplares de casos con metadatos. Ese ejemplo que dejé es el mismo que usamos en la DefCON 17 con la mda.mil. Por supuesto, después de esas demos delante el gobierno americano decidió buscar alguna solución.

Figura 1: Ningún doc de mda.mil indexado por Google

La Missile Defense Agency tomó el camino del medio, y si se buscan documentos .doc ahora en su web aparecen cero. Por otro lado, el Departamento de Defensa Americano comenzó a utilizar CLEAR, una aplicación que examina los ficheros buscando metadatos e información oculta para evitar fugas de información inadvertidas. Vamos, que hace lo que la FOCA pero para evitar problemas como el del ejemplo de enFOCAr un ataque dirigido.

Figura 2: Descripción del programa CLEAR del DoD americano

Sin embargo, los ficheros con esa información pueden estar en cualquier sitio ya, así que aunque no estén en Google, haciendo un poco de hacking con buscadores utilizando en este caso el práctico y útil Archive.org, es posible encontrar los ficheros borrados de la mda.mil.

Figura 3: Docs dejaron de publicarse en 2009 archivados en Archive.org

Y por supuesto, todos ellos están aún llenos de metadatos, pues los ficheros se fueron del servidor web con toda la fuga de información inadvertida en ellos, esperando que alguien busque esos datos allí.

Figura 4: Usuarios e información oculta en doc

Al igual que en el caso de la intrusión de Anonymous de HBGary, donde se publicaron los correos con los archivos adjuntos en ellos, una vez que la fuga se ha producido lo único que puedes hacer es cambiar la infraestructura. Es decir, si no quieres que la información de que existe ese servidor FOLTA interno - y todos los demás que aparecen en todos los ficheros - pueda ser utilizada, lo mejor es cambiar la infraestructura de red. Lo que significa que debería de dejar de existir un servidor que se llame FOLTA internamente.

Figura 5: Rutas a servidores internos en docs

Por supuesto, la información que se proteja desde el día que se tomaron medidas para evitar las fugas ya no la vamos a poder conseguir, por eso es tan importante que aquí en España se comience a aplicar también el Esquema Nacional de Seguridad donde hay un apartado específico relativo a los riesgos de seguridad con los metadatos.

Saludos Malignos!

Cloud-LANs: La nube se comerá las redes de area local

noreply@blogger.com (Maligno) — Sat, 01 Jun 2013 09:53:00 +0000

Hace poco en una entrevista me preguntaron si esto del Cloud es una moda pasajera o había venido para quedarse y hasta dónde podría llegar. Yo sobre esto hace ya unos meses que he hablado con muchos compañeros y le había dicho que después de comerse los servicios con el hosting, los servidores con el housing, el hardware del CPD con la infraestructura como servicio y las VPS, donde se configurar routers y switches virtuales, y de comerse los clientes con las arquitecturas VDI, el siguiente paso era comerse las LANs y las redes WiFi.

Según mi teoría "evolutiva", las conexiones a Internet a día de hoy son más importantes que las conexiones a las LAN, ya que los usuarios tienen más servicios en Internet que en red local / intranet. Y cada vez, con la entrada masiva de las empresas en las nubes de Internet seguirá creciendo en porcentaje. Así, los equipos del futuro vendrán todos con conexión a Internet basada en 3G, 4G, LTE o lo que venga en el futuro y solo para algunas cosas será necesario hacer cosas en red local, como imprimir o compartir algo con un servidor de la LAN o un compañero de trabajo.

Como ya tenemos la posibilidad de definir redes virtuales en la nube, lo que deberíamos ser capaces es también de definir nuestras LANs en la nube, sin preocuparnos de electrónica de red tipo Ethernet o WiFi en mi empresa, y donde toda la LAN estará creada en la nube y los equipos solo deberán conectarse a su LAN en la nube para estar en la empresa.

¿Es necesario estar en la LAN para tener Internet?

A día de hoy muchos equipos solo tienen acceso a Internet cuando se conectan a la LAN, pero en el futuro estoy convencido de que esto ya no será necesario. Los tablets y smartphones vienen con posibilidad de tener Internet con 3G, y ya hay portátiles con esa posibilidad. Apple tiene una patente sacada para meter una antena 3G en los teclados, y desde hace años tiene prototipos de Mac que ya llevaban incorporadas antenas 3G en su diseño. En Dell, ya es posible comprar portátiles con 4G por defecto.

Figura 1: Prototipo de MacBook con Antena 3G

Esto quiere decir que yo creo que el hacking y seguridad de comunicaciones móviles será la disciplina que más habrá que dominar en el futuro, ya que los ataques en redes locales (arp-spoofing, SLAAC, etc...) irán muriendo poco a poco en las LANs, para tener que replantear estos ataques en las Cloud-LANs del futuro, donde las máquinas de los atacantes deberán estar subidas a también en esa Cloud-LAN de Internet.

Pero esto solo es una opinión personal, y puede que el futuro vaya por otro lado. Esta es mi opinión y la respuesta a una pregunta que me hicieron sobre el futuro de la Cloud. ¿Qué pensáis vosotros?

Saludos Malignos!

Un pequeño "truco de bar" de iPhone con Siri, Gmail o Hotmail y Twitter

noreply@blogger.com (Maligno) — Fri, 31 May 2013 06:52:00 +0000

Desde que participé en la escritura del libro de "Hacking de dispositivos iOS: iPhone & iPad" siempre que hay una sobremesa a los comensales con iPhone les pido con amabilidad y dulzura su terminal para jugar con él. Les enseño a reconocer los modelos con solo verlos para saber si es un iPhone 4 o un iPhone 4S, a saber si tiene un iOS 6.X o un iOS 5.X con solo jugar con la pantalla bloqueada, sacar los códigos IMEI de las bandejas de SIM, a hacer llamadas con FaceTime, usar los bugs de saltar el passcode, etc... vamos algunos de los trucos de iPhone Local Tricks que recogí en el capítulo 2 del libro.

De todos ellos, hay uno que si se da bien es como la demo de How To Impress with FOCA, Connection String Attacks & Citrix, debido a lo espectacular e impactante de la demo. Os la cuento por si pilláis a alguien cerca que caiga y podéis triunfar en una sobremesa como si supieras tocar la guitarra.

Paso 1: Busca un iPhone 4S o un iPhone 5

Tienes que buscar a alguien que tenga un terminal de estas características porque buscamos que tenga Siri. Para eso, reconocer al iPhone 5 es muy fácil porque es distinto, pero para reconocer iPhone 4S también, ya que es el iPhone 4 con los dos cortes de la antena exterior en el mismo lado.

Paso 2: Comprueba que tiene passcode y Siri activado

Si te ha tocado el típico que no tiene passcode: Regáñale. No nos vale para la demo, ya que se trata de hacer todo con el terminal bloqueado. Si tiene passcode comprueba que tiene Siri activado. Para eso pulsa el botón unos segundos y espera a que salga Siri.

Paso 3: Averigua su dirección de e-mail

Este es el primer truco de Siri que puedes usar. Basta que preguntes: "¿Quién soy yo?" a Siri, y te responderá amablemente mostrándote la información del dueño del terminal iPhone. Ahí aparecerá más que probablemente su dirección de correo. Para la demo nos valen las cuentas de Gmail o Hotmail, así que tienes que tener suerte.

Figura 1: Averiguado quién es el dueño del telefóno

Paso 4: Usa tu teléfono y pide resetear la contraseña

Con tu terminal en la mano conéctate a Gmail o Hotmail y di que quieres recuperar la contraseña por medio de tu teléfono. De esa forma podrás ver unos números del terminal y solicitar que te llegue al iPhone que tienes en la otra mano el SMS con el código.

Figura 2: Pidiendo resetear la contraseña con un código enviado por SMS

Paso 5: Previsualización del código SMS en el iPhone

Si hay suerte y tiene la previsualización de mensajes SMS en el terminal, podrás ver el código que es necesario para cambiarle la contraseña, así que introduce el código y róbale la cuenta... Eso sí, con gracia y salero para que no se enface mucho.

Figura 3: Previsualización del SMS en la pantalla bloqueada

Paso 6: Publícalo en Twitter

Siri también puede publicar en Twitter con el terminal bloqueado, así que usa Siri para poner un twitt que diga: "Con mucha gracia y salero, me acaban de robar la cuenta de Gmail en mi cara".

Se tienen que dar muchas consecuencias juntas, pero si se dan - y algunas veces se dan - la cara de la otra persona merece que termines haciéndole una foto con su propio iPhone - que también puedes hacerlo sin passcode -. Si no se dan todas, pero al menos tiene activado Siri, configúrale una alarma a las 3 de la mañana, para que se acuerde de ti por la noche.

Saludos Malignos!

Sistemas resistentes a ciberamenazas y otras ciberguerras

noreply@blogger.com (Maligno) — Thu, 30 May 2013 05:46:00 +0000

Esta semana parece que ya no hay que preocuparse por ocultar la carrera militar de todos los países en el mundo de Internet, así que bastaba con leer unas cuantas noticias para que saliera que si China está preparando unas pruebas de Ciberguerra en una base militar de Mongolia, que si el ejercito de Indonesia prepara una unidad militar altamente entrenada para operar en Internet o que los americanos se quejan de ataques de robo de información militar por parte de China.

De todas esas noticias y artículos hay dos que creo que merece la pena darles una lectura. El primero de ellos es del Departamento de Defensa Americano que aboga por Sistemas Militares Resistentes y las Ciberamenazas Avanzadas. En ese diseño que propone creo que les encaja muy bien la idea que os dejé por aquí de diseño de sistemas "Pentesting by Desing" para que soporten un pentesting continuo 24x7 durante 365 días al año.

Figura 1: Sistemas Militares Resistentes y las Ciberamenazas Avanzadas

Además, de él, lo más curioso ha sido este párrafo que os dejo aquí donde - supongo que para meter mucho miedo a los que gestionan el presupuesto de los USA - se afirma que se ha sufrido el robo de información técnica detallada de cómo funcionan ciertos sistemas de defensa de alta importancia para la seguridad nacional.

Figura 2: El enemigo está en nuestras redes, dice el Departamento de Defensa Americano

El otro informe que creo que os debéis leer es el de Operation HangOver, donde desde Norman se intenta descubrir cómo desde la India se está haciendo algo similar a lo que apuntaba el informe Mandiant sobre APT1 de China. Es decir, que también hay un ciberjercito de índios dedicado al ciberespionaje.

Figura 3: Informe sobre las actividades de ciberguerra desde India

A este grupo se le atribuye el malware utilizado en ataques dirigidos contra activistas africanos firmado digitalmente con un Apple Developer ID para infectar equipos OS X Mountain Lion - al que se llamó OSX/KitM.a - y del que se encontraron más muestras usando Virus Total. Vamos, que si te apasiona este mundo de los incidentes de ciberespionaje y ciberguerra tienes para leer un rato.

Saludos Malignos!

Cómo meter un troyano en iOS y espiar un iPhone o iPad

noreply@blogger.com (Maligno) — Wed, 29 May 2013 05:07:00 +0000

A pesar de que un terminal iPhone o iPad con iOS cuenta con muchas protecciones contra apps no deseadas en la AppStore, y de que el sistema está limitado a usuarios no privilegiados por defecto, siguen existiendo posibilidades y formas de meter un malware dentro de un terminal iPhone o iPad para espiar a su dueño. Esto es algo que se explica en detalle en el capítulo de Malware en iOS del libro Hacking iOS: iPad & iPhone, pero os voy a hacer un resumen de las distintas posibilidades.

1.- Terminal iPhone con Jailbreak usando Cydia: Si el usuario ha realizado Jailbreak existen varias formas de instalarle el malware al terminal. La primera de ella sería posible instalar el troyano desde algún repositorio usando Cydia. Para ello habría que subir la app del troyano a Cydia u otro repositorio y convencer al usuario que instale esa aplicación con trucos de ingeniería social, como por ejemplo dentro de un juego.

Figura 1: Pasos para instalar FlexiSpy en iOS con Jailbreak. Repositorios a añadir.

Muchos repositorios de apps con Jailbreak no son tan escrupulosos en los controles y es posible subir una app con un troyano en ella. En los repositorios oficiales no es tan sencillo, pero como ya vimos ha habido algún caso de apps maliciosas haciendo click fraud en este intro. El troyano FlexiSPY se descarga desde Cydia.

2.- Terminal con Jailbreak usando Juice Jacking: Si el terminal tiene Jailbreak y no se han cambiado las contraseñas de los usuarios por defecto entonces se puede poner el troyano usando una conexión OpenSSH o USBMux con solo conectar el terminal a un equipo desde el que se va a hacer el Juice Jacking. Un troyano que se puede instalar para este método es iKeyGuard.

Figura 2: Proceso de instalación de iKeyGuard en iOS con Jailbreak

Nota: En la próxima BlackHat se ha anunciado la presentación de MacTrans, un cargador que por medio de Juice Jacking inyecta malware en un terminal iOS in jailbreak.

3.- El terminal no tiene Jailbreak y tiene un passcode complejo pero tiene un chip A4: Los terminales iPhone 4 y los iPad 1 cuentan con un bug Limera1n en el BootROOM que permite que se pueda hacer Jailbreak en el arranque sin necesidad de conocer el passcode. Haciendo el Jailbreak es posible instalar un Custom Bundle - un programa empaquetado que se ejecuta en el terminal - para meter OpenSSH o un malware con RedSn0w en el terminal una vez hecho el Jailbreak. Eso sí, el terminal quedaría con Jailbreak y el usuario podría darse cuenta, aunque los troyanos comerciales ocultan las pistas de ello. Es necesario tener acceso físico.

Figura 3: Instalación de Custom Bundle en un terminal con Jailbreak

4.- El terminal no tiene Jailbreak, pero tiene un chip A4 y un passcode sencillo: En ese caso lo mejor es hacer un proceso de ruptura del passcode haciendo un Untethered Jailbreak usando iPhone DataProtection o Gecko. Una vez averiguado el passcode se reinicia el terminal para que pierda el Untethered Jailbreak y se inicia sesión con él passcode para instalar un troyano basado en un provisioning profile - fichero de despliegue temporal firmado por un Apple Developer ID -. Para ello será necesario tener acceso físico al terminal y haber creado un malware a medida - esto se explica en detalle en el libro de Hacking iOS: iPhone & iPad.

Figura 4: Muestra de FinSpy para iOS firmada por un Apple Developer ID

Este truco es el que utiliza FinSpy para iOS de FinFisher para hacer ataques dirigidos, y será necesario obtener del terminal no también el UDID para crear el provisioning profile.

5.- El terminal no tiene Jailbreak y es un iPhone 4S o iPhone 5, así que se usa un Provisioning Profile: A pesar de que un terminal no tenga hecho el Jailbreak, si es posible convencer al usuario de que acepte un provisioning profile - o se ha podido averiguar el passcode con algún truco local -, será posible instalar un troyano en el equipo si este va firmado digitalmente. Por ello, si se cuenta con un Apple Developer ID se puede firmar el código e instalarlo en el equipo aun no habiéndose hecho el Jailbreak.

Si se tiene acceso físico al equipo y se conoce el passcode o se tiene acceso a un equipo con el que está pareado, entonces se podría instalar fácilmente el troyano con el provisioning profile o incluso utilizar la herramienta WhatsApp Anti-Delete Protection Tool para monitorizar los mensajes de WhatsApp borrados.

6.- Sin Jailbreak, sin acceso físico y sin provisioning profile vía App Store: Aunque parece que meter un malware un la AppStore es muy complicado, ya ha habido casos de software malicioso introducido vía AppStore como Find & Call, los robos de datos de los juegos de Storm-8, o los comportamientos "maliciosos" de algunas apps como Twitter for iOS o Path.

Figura 5: Los juegos de Storm 8 que robaban datos

Además, hemos tenido caso de apps "no maliciosas" que han insertado malware para Windows o usado técnicas de descarga de malware, además de contar con pruebas de concepto como la de InstaStock de Charly Miller. Todas ellas pasaron todos los controles de la AppStore. Si eres capaz de hacerlo tú, solo deberías convencer al usuario de que se instalase esa app.

Esto es solo un resumen del capítulo del Libro de Hacking iOS: iPhone & iPad que hemos escrito entre muchos profesionales de la seguridad, y que de verdad creo que ha sido uno de los mejores libros publicados por nosotros hasta el momento.

Saludos Malignos!

Charlas y Conferencias para Junio de 2013

noreply@blogger.com (Maligno) — Tue, 28 May 2013 04:39:00 +0000

Durante el mes de Junio además de estar todos los martes en la radio, voy a participar en algunos eventos en las ciudades de Madrid, Barcelona y Lima (Perú), así que si te interesa y puedes asistir a alguno de ellos, aquí tienes toda la información disponible.

Barcelona

En Junio estaré en el I Congreso de Seguridad en la Red dedicado a Ciberespionaje y Ciberseguridad que tendrá lugar en la Universidad Oberta de Catalunya el próximo día 4 de Junio. La jornada creo que está llena y no hay plazas, pero si ya estás apuntado aprovecho para recordarte que no faltes, y si no puedes venir avises para que los que están en lista de espera puedan asistir.

Además, el día 14 volveré a estar por allí en la gira OWASP EU 2013, junto con un buen plantel de ponentes. Creo que este evento aún no está lleno, así que si quieres y puedes asistir aprovecha para registrarte cuanto antes.

Madrid

En Madrid estaré en un par de eventos. El primero de ellos el día 6 de Junio en Bolsalia, al que puedes apuntarte cuanto antes, y después el día 26 de Junio en una sesión para clientes de Telefónica, así que si quieres asistir habla con tu comercial de Telefónica para que te ayude a registrarte.

Lima (Perú)

Algo similar sucederá en Perú, donde el día 19 de Junio estaré en Lima en otro evento de clientes de Telefónica, por lo que si quieres asistir deberás hablar con tu responsable de cuenta en Telefónica y conseguir que te reserve alguna plaza. Yo no controlo ninguno de estos registros.

Radio e Internet

Como llevo haciendo desde el mes de Septiembre, estaré todas las semanas del mes en el programa de Radio de Javi Nieves (@javinieves) en La Mañana de la Cope. Todos los martes un poco pasadas las 11 de la mañana. Se puede escuchar por streaming por Internet.

Además, durante este mes de Junio comenzará en Móstoles el Módulo V del FTSAI, dedicado a seguridad WiFI, VoIP, VPNs e IM, y si no puedes apuntarte a nada por el trabajo siempre puedes encargarte uno de nuestros libros en la nueva editorial 0xWord.

Saludos Malignos!

¡Recoja ya sus cuentas de servicio y váyase de la empresa!

noreply@blogger.com (Maligno) — Mon, 27 May 2013 06:38:00 +0000

Cuando un empleado entra en una empresa a trabajar recibe una cuenta de correo electrónico. Esa cuenta dejará de ser suya cuando termine su relación contractual con la compañía que le aprovisionó de esa dirección de correo electrónico, y por tanto todas las cuentas de servicios de Internet que se hayan asociado a ellas. Esto es especialmente importante si esa dirección de correo electrónico es una cuenta de correo de tipo "piedra clave", es decir, sobre la que recae la recuperación de todas las contraseñas de otras cuentas de servicio.

Figura 1: Un e-mail como piedra de clave

Para cualquier empresa es sencillo saber si una dirección de correo electrónico corporativa de un ex-empleado está asociada a un servicio, ya que en casi todos los sitios de Internet es posible conocer si la dirección está en uso en en él. Para ello, se puede utilizar:

- El servicio de Login: Al introducir la cuenta de correo electrónico en el proceso de login es posible conocer si la cuenta existe o no en el servicio. El caso más claro de esto es FaceBook, donde te saca hasta la foto de la persona.

- El servicio de recuperación de contraseñas: En la mayoría de los sitios web se puede pedir que te envíen un correo electrónico para recuperar la contraseña. Muchos dicen si existe o no existe esa cuenta. Un ejemplo de ellos es Menéame, que al intentar recuperar la clave dice si existe o no.

Figura 2: Recuperación de contraseña en Meneame

- El proceso de alta de nuevas cuentas: En este caso, cuando se desea crear una nueva cuenta, si se usa una dirección de correo electrónico que ya tiene asociado esa dirección de correo electrónico sale un mensaje de error. Un ejemplo de esto es Twitter, donde se avisa de este hecho.

Al final, si te han despedido, en cualquier momento una empresa podría recuperar la cuenta de correo electrónico - o asignarla a otra persona - y con ella podrían secuestrarte o borrarte todas las cuentas en redes sociales - como ya vimos en el caso de Instagram donde no se valida que seas el dueño de la cuenta -, así que más vale que lleves apuntado dónde la has utilizado.

Saludos Malignos!

Pentesting by Desing

noreply@blogger.com (Maligno) — Sun, 26 May 2013 08:03:00 +0000

Cuando se hace la auditoría de seguridad a una empresa lo más probable es que siempre acabes entregando un informe en el que se demuestra que ha sido posible entrar - si no a todo - a zonas importanters del sistema. Además, siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes al sistema o fallos de configuración en el entorno que abren definitivamente la puerta.

Esto en la vida real se puede ver fácilmente en lo sencillo que es encontrar vulnerabilidades en sitios web de grandes compañías como Apple, o en webs de proyectos de importancia como el Senado o la web de la famosa Presidencia Europea de España, que acaban sufriendo por errores fácilmente detectables en una auditoría de seguridad.

Aún así, muchos de los sitios webs que acaban siendo vulnerados han pasado alguna auditoría de seguridad en algún momento de su ciclo de vida, lo que hace dudar más si cabe, sobre si el modelo de auditoría de seguridad externa que contratan muchas empresas tiene sentido o no. O lo que es lo mismo, responder a la pregunta de por qué en la mayoría de los casos en los que se hace una auditoría de seguridad, se descubren cosas graves. La respuesta a esta pregunta es sencilla:

El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24x7 durante todo el ciclo de vida de tu sistema.

Todos los días a todas horas debería estar el sistema informática bajo el ataque del pentester. Para ello tu sistema tiene que estar diseñado con soporte para Pentesting desde la fase de diseño. Y si no, pues perderás la guerra y acabarás owneado.

Mi teoría es que mientras te ataquen más los más malos que los buenos, tienes las de perder, y para ello es necesario contar con un proceso de pentesting diferente. No se puede contar con una grupo de pentesters durante una semana que vengan y te demuestren que pueden colarse en tu sistema. Así lo único que estás contrastando es que en la próxima auditoría que te obliguen a hacer dentro de un año volverás a ser comprometido - si no totalmente, al menos parcialmente -.

Pentesting Continuo

Entre el tiempo que pasa entre un proceso de pentesting y otro tu sistema informático va a sufrir cientos de mutaciones provocadas por actualización del software de los servidores, el software de los clientes y/o toda la electrónica de red. También habrá actualizaciones y cambios en el código de tus sitios web que habrán realizado tus desarrolladores. Tus certificados digitales se habrán hecho un poco más viejos, algunos hasta habrán caducado, y las contraseñas de tus usuarios habrán sido usadas de forma insegura en cientos de sitios. Por supuesto, tu sistema informatico habrá crecido en tamaño, quieras o no, un buen porcentaje.

A todo esto, habrá que sumar unos cuantos miles de charlas en conferencias de seguridad y hacking en las que se habrán publicado cientos de herramientas, cientos de nuevos trucos de hacking y cientos de bugs en componentes que utilizas en tus sistemas.

Todos estos cambios, todas estas nuevas herramientas, todo este nuevo conocimiento estará ya en el arsenal de un pentester que habrá seguido estudiando Kung-Fu para darle una buena paliza a tu sistema la próxima vez que te encuentre.

¿Y si tengo el al equipo de pentesting interno?

Genial. Si tienes un equipo de seguridad haciendo pentesting todo el día, con formación continua, con capacidad de lanzar una prueba contra un sistema todos los días a cualquier hora, sin necesidad de pasar una enorme lista de restricciones antes, entonces estarás haciendo lo que te digo: Pentesting Continuo.

Pero si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testear el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido, ya que tu sistema no cuenta con Pentesting by Desing.

Tus sistemas tienen que estar diseñados para soportar el acoso 24x7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24x7 de los buenos. Si no es así, los malos ya han ganado y es cuestión de tiempo que acabes con un defacement de LulzSec - u otro grupo - o una portada en los medios de comunicación por un bug de renombre.

Yo sistematicamente pruebo los bugs nuevos que aparecen con sitios que deberían tener un cierto nivel de preocupación con estos temas, como los metadatos con la Misile Defense Agency o en las agencias de inteligencia mundiales, los .DS_Store con Apple y Google, o los fallos de IIS Short Name en webs de Beijing y Washington D.C. Al final ni ellos tienen un sistema de Pentesting continuo 24x7.

Pentesting by Design

Para que puedas tener un proceso de auditoría que sea más rápida y efectiva que los ataques de los malos tienes que hacer que tu sistema cuente con el Pentesting by Design. Esto quiere decir que el dimensionamiento de la memoria, el almacenamiento y el ancho de banda de la línea de comunicaciones en tu sistema esté diseñado con el porcentaje necesario para dar una calidad de servicio adecuada a tus usuarios, más el porcentaje destinado al ataque continuo de los malos, más el porcentaje necesario para que tu sistema pueda sufrir un proceso de Pentesting Continuo 24x7 desde el primer día.

¿Es suficiente esto?

Pues no, por supuesto. El Pentesting by Desing te permitirá realizar un Pentesting Continuo de tu equipo, lo que te permitira sólo que los procesos de auditoría de seguridad tengan las mismas oportunidades que un atacante malo, pero luego deberás seguir haciendo los deberes en todas las fases de gestión de la seguridad de tus sistemas.

Saludos Malignos!