********************************************************************************
UPDATE: Este artículo es una inocentada del día 28 de Diciembre, si lo lees, leelo como tal. La FOCA no tiene ningún troyano.... pero podría crearse una botnet así, ¿verdad?
Chema Alonso.
********************************************************************************
La FOCA es una botnet, o algo más o menos. Así nació y hoy quiero que lo sepáis. Todo comenzó en el año que visité el CNI. Allí, en una reunión secreta estuvimos hablando de como detener a los malos desplegando una herramienta que todo el mundo, motu proprio, descargara en sus ordenadores personales y que permitiera, en caso de una investigación puntual, saber quién ha sido.
“Verás Chema, imagínate que estamos buscando a alguien que haya enviado un determinado e-mail, necesitamos un programa al que le podamos decir, ¿está este e-mail en tu equipo? Y que conteste solo el equipo con la dirección IP que tenga ese correo electrónico”
Yo, contesté: “Lo que necesitáis es una megabotnet, ¿no?”
Y ellos replicaron: “Algo así, pero que no sea con el software de hacer botnets, que así al final siempre te pillan los antimalware”
“Entonces, lo que necesitáis es que haya una Función Oculta en Cada Aplicación que ejecute el usuario”, repliqué.
“Más o menos esa sería la idea”… (Ellos).
“¿Y si creamos una aplicación que guste mucho a todo el mundo y que lleve esa Función Oculta en Cada Aplicación que queréis vosotros?, si conseguimos que haya muchos usuarios en el mundo usándola se podría conseguir. Hay aplicaciones gratuitas de escritorio que las usan millones de usuarios…”, propuse.
“Adelante, ¿cuánto dinero costará el proyecto?”
Así nació FOCA, como la Función Oculta en Cada Aplicación que necesitaba el CNI, una herramienta que los usuarios debían utilizar en sus casas y que debía ser capaz de recibir comandos, ejecutar acciones y devolver respuestas con los resultados, todo ello delante del usuario y sin que se diera cuenta… ¿cómo hacerlo?
La aplicación elegida
Para crear esta aplicación decidimos que lo mejor sería buscar algo sencillo, que todo el mundo pudiera usar, y fue por eso que pensamos en MetaExtractor (y su versión OS OOMetaExtractor), una herramienta que nosotros usábamos internamente para limpiar metadatos, y que podría ser útil.
Figura 1: MetaExtractor, la herramienta elegida para llevar la FOCA
Le cambiamos el nombre y listo. Por eso, cuando mucha gente me pregunta ¿por qué se llama FOCA? Y siempre busco respuestas peregrinas. ¿La realidad? Es la Función Oculta en Cada Aplicación que buscábamos.
Recepción de comandos desde el C&C
Uno de los problemas al que nos enfrentábamos era el problema del prisionero. ¿Cómo comunicarnos con la FOCA sin levantar sospechas? Para ello tiré de una idea personal que tenía yo para generar una botnet que decidí no publicar nunca. La idea era muy sencilla. ¿Cuántas aplicaciones conocéis que tengan publicidad en el GUI? Muchas. ¿Y si el anuncio lleva oculto comandos en las imágenes publicitarias con técnicas de esteganografía? Sería chupado crear una botnet que en las narices de todo el mundo se comunicara el bot con el master y nadie se diera cuenta… ¡solo es publicidad!
Envío de comandos por publicidad
Por eso, la FOCA, desde el momento en que se empezó a desplegar lleva incrustada publicidad. Una publicidad que encubre los comandos que nosotros enviamos a todos los FOCAbots desde nuestros paneles de control.
Figura 2: FOCA Free con publicidad recibiendo comandos
La alerta saltó cuando alguien, jugando con Mitm, cambió la publicidad simplemente cambiando los DNS. Era fácil, no iba firmada digitalmente la transmisión de la publicidad, por lo que decidimos sacar una nueva versión en la que firmamos con https y autenticación del certificado la conexión. Esta medida tenía dos finalidades:
1) hacer más difíciles los análisis de seguridad de alguien que sospechara
2) hacer más difícil que, en el futuro, alguien nos pudiera quitar la botnet.
Recepción de resultados
Para recibir los datos enviados desde los clientes, decidimos usar el truco más viejo: Un simple GET que carga el fichero XML de la publicidad donde, el que tiene que decir algo añade las respuestas cifradas en un parámetro que se procesa en servidor. Sencillo y claro. ¿Quién lo iba a mirar si esto se produce solo de vez en cuando? Para hacer esto más rápido e interactivo, decidimos que la publicidad cambiase cada minuto, con lo que nos garantizamos que, cada minuto, tenemos una respuesta desde nuestros clientes.
Figura 3: Esquema de la Botnet FOCA
Ruptura de relaciones
Con esta arquitectura, conseguimos sacar información sobre muchos casos, o eso nos dijeron. Al principio nos pasaban los comandos a ejecutar y nosotros los metíamos en los ficheros de la publicidad con nuestra herramienta de esteganografía. Después les pasábamos los resultados. Pero la cosa se complicó.
Hubo un cambio en el ministerio del interior, y ya no nos dejaban ver los comandos. A partir de ese momento nosotros colocábamos las imágenes en un servidor, y ellos las modificaban para meter los comandos. Teníamos los accesos controlados, para evitar que viéramos los ficheros con los comandos. Los subían, los ejecutaban y tomaban los resultados sin que nosotros nos enteráramos. Hasta que nos cansamos.
Sin quererlo ni beberlo, nos habíamos convertido en una herramienta para no sabemos qué. Una herramienta de espionaje por parte del estado para investigar y detener a no sabemos qué. Éramos algo parecido a Echelon, pero en menor escala. Y yo no soportaba la presión.
Contraespionaje
Cada día querían más y más equipos y nos presionaban para seguir desarrollando nuevas funciones, para que diera más y más conferencias promocionándola, desplegando la FOCA por todo el mundo… por todo el mundo.
Harto de esa situación, decidí que había llegado la hora de enterarse de qué estaba pasando. Sin decir nada, creamos una FOCA modificada que pusimos en un FOCA Server. Esta FOCA, colgada a un conjunto de WiFis varias, estaba encendida 24x7 y su misión era descargar la publicidad, decodificar el mensaje e imprimirlo en un fichero de texto que cada día revisaba yo personalmente. Y me asusté.
Los comandos que pude leer eran puro espionaje, buscaban ordenadores concretos y personas concretas. Trucos tan sencillos como mirar la cuenta de correo configurada en el cliente de email para saber la IP de una persona. Y no buscaban a cualquiera. Buscaban a cargos de confianza de políticos, a los informáticos de determinadas empresas, y les obligaban a ejecutar programas en el equipo. Hasta a Letizia Ortiz le habían puesto una FOCA, supongo que con algún engaño se la enseñarían a usar, y ahora la tenían bajo sospecha.
Cuando vi todo lo que hacían, me enfadé, me enfadé mucho y conduje el malignomovil hasta la Carretera de la Coruña, lo dejé mal aparcado en la puerta y, mientras me apuntaban con pistolas grité para que me recibieran. Se estaban pasando y yo estaba desesperado.
Nacimiento de FOCA Pro
Tras hablar –discutir- de lo que estaban haciendo y de lo que había descubierto decidieron que deberíamos sacar una FOCA sin troyanizar, para que los profesionales de la seguridad no detectaran nunca esto, con lo que apareció la FOCA Pro… sin publicidad. Eso fue todo lo que conseguí y un montón de amenazas y oferta de dinero por mi silencio…
Figura 4: FOCA Pro, sin publicidad... y sin "el resto del paquete"
Denuncia Pública
Tras no dormir bien durante los últimos meses, creo que ya ha llegado la hora de contar esta historia. Tal vez mañana no pueda seguir escribiendo este blog, o tal vez mañana hayan conseguido cerrarlo, pero espero que esta historia sirva como advertencia a los que quieran jugar con los poderes fácticos de esta sociedad. Una vez que entras en el sistema, eres una pieza más, solo una pieza que, si da problemas o se rompe, simplemente se sustituye…
Saludos Malignos!
UPDATE: Este artículo es una inocentada del día 28 de Diciembre, si lo lees, leelo como tal. La FOCA no tiene ningún troyano.... pero podría crearse una botnet así, ¿verdad?
Chema Alonso.
********************************************************************************
La FOCA es una botnet, o algo más o menos. Así nació y hoy quiero que lo sepáis. Todo comenzó en el año que visité el CNI. Allí, en una reunión secreta estuvimos hablando de como detener a los malos desplegando una herramienta que todo el mundo, motu proprio, descargara en sus ordenadores personales y que permitiera, en caso de una investigación puntual, saber quién ha sido.
“Verás Chema, imagínate que estamos buscando a alguien que haya enviado un determinado e-mail, necesitamos un programa al que le podamos decir, ¿está este e-mail en tu equipo? Y que conteste solo el equipo con la dirección IP que tenga ese correo electrónico”
Yo, contesté: “Lo que necesitáis es una megabotnet, ¿no?”
Y ellos replicaron: “Algo así, pero que no sea con el software de hacer botnets, que así al final siempre te pillan los antimalware”
“Entonces, lo que necesitáis es que haya una Función Oculta en Cada Aplicación que ejecute el usuario”, repliqué.
“Más o menos esa sería la idea”… (Ellos).
“¿Y si creamos una aplicación que guste mucho a todo el mundo y que lleve esa Función Oculta en Cada Aplicación que queréis vosotros?, si conseguimos que haya muchos usuarios en el mundo usándola se podría conseguir. Hay aplicaciones gratuitas de escritorio que las usan millones de usuarios…”, propuse.
“Adelante, ¿cuánto dinero costará el proyecto?”
Así nació FOCA, como la Función Oculta en Cada Aplicación que necesitaba el CNI, una herramienta que los usuarios debían utilizar en sus casas y que debía ser capaz de recibir comandos, ejecutar acciones y devolver respuestas con los resultados, todo ello delante del usuario y sin que se diera cuenta… ¿cómo hacerlo?
La aplicación elegida
Para crear esta aplicación decidimos que lo mejor sería buscar algo sencillo, que todo el mundo pudiera usar, y fue por eso que pensamos en MetaExtractor (y su versión OS OOMetaExtractor), una herramienta que nosotros usábamos internamente para limpiar metadatos, y que podría ser útil.
Figura 1: MetaExtractor, la herramienta elegida para llevar la FOCA
Le cambiamos el nombre y listo. Por eso, cuando mucha gente me pregunta ¿por qué se llama FOCA? Y siempre busco respuestas peregrinas. ¿La realidad? Es la Función Oculta en Cada Aplicación que buscábamos.
Recepción de comandos desde el C&C
Uno de los problemas al que nos enfrentábamos era el problema del prisionero. ¿Cómo comunicarnos con la FOCA sin levantar sospechas? Para ello tiré de una idea personal que tenía yo para generar una botnet que decidí no publicar nunca. La idea era muy sencilla. ¿Cuántas aplicaciones conocéis que tengan publicidad en el GUI? Muchas. ¿Y si el anuncio lleva oculto comandos en las imágenes publicitarias con técnicas de esteganografía? Sería chupado crear una botnet que en las narices de todo el mundo se comunicara el bot con el master y nadie se diera cuenta… ¡solo es publicidad!
Envío de comandos por publicidad
Por eso, la FOCA, desde el momento en que se empezó a desplegar lleva incrustada publicidad. Una publicidad que encubre los comandos que nosotros enviamos a todos los FOCAbots desde nuestros paneles de control.
Figura 2: FOCA Free con publicidad recibiendo comandos
La alerta saltó cuando alguien, jugando con Mitm, cambió la publicidad simplemente cambiando los DNS. Era fácil, no iba firmada digitalmente la transmisión de la publicidad, por lo que decidimos sacar una nueva versión en la que firmamos con https y autenticación del certificado la conexión. Esta medida tenía dos finalidades:
1) hacer más difíciles los análisis de seguridad de alguien que sospechara
2) hacer más difícil que, en el futuro, alguien nos pudiera quitar la botnet.
Recepción de resultados
Para recibir los datos enviados desde los clientes, decidimos usar el truco más viejo: Un simple GET que carga el fichero XML de la publicidad donde, el que tiene que decir algo añade las respuestas cifradas en un parámetro que se procesa en servidor. Sencillo y claro. ¿Quién lo iba a mirar si esto se produce solo de vez en cuando? Para hacer esto más rápido e interactivo, decidimos que la publicidad cambiase cada minuto, con lo que nos garantizamos que, cada minuto, tenemos una respuesta desde nuestros clientes.
Figura 3: Esquema de la Botnet FOCA
Ruptura de relaciones
Con esta arquitectura, conseguimos sacar información sobre muchos casos, o eso nos dijeron. Al principio nos pasaban los comandos a ejecutar y nosotros los metíamos en los ficheros de la publicidad con nuestra herramienta de esteganografía. Después les pasábamos los resultados. Pero la cosa se complicó.
Hubo un cambio en el ministerio del interior, y ya no nos dejaban ver los comandos. A partir de ese momento nosotros colocábamos las imágenes en un servidor, y ellos las modificaban para meter los comandos. Teníamos los accesos controlados, para evitar que viéramos los ficheros con los comandos. Los subían, los ejecutaban y tomaban los resultados sin que nosotros nos enteráramos. Hasta que nos cansamos.
Sin quererlo ni beberlo, nos habíamos convertido en una herramienta para no sabemos qué. Una herramienta de espionaje por parte del estado para investigar y detener a no sabemos qué. Éramos algo parecido a Echelon, pero en menor escala. Y yo no soportaba la presión.
Contraespionaje
Cada día querían más y más equipos y nos presionaban para seguir desarrollando nuevas funciones, para que diera más y más conferencias promocionándola, desplegando la FOCA por todo el mundo… por todo el mundo.
Harto de esa situación, decidí que había llegado la hora de enterarse de qué estaba pasando. Sin decir nada, creamos una FOCA modificada que pusimos en un FOCA Server. Esta FOCA, colgada a un conjunto de WiFis varias, estaba encendida 24x7 y su misión era descargar la publicidad, decodificar el mensaje e imprimirlo en un fichero de texto que cada día revisaba yo personalmente. Y me asusté.
Los comandos que pude leer eran puro espionaje, buscaban ordenadores concretos y personas concretas. Trucos tan sencillos como mirar la cuenta de correo configurada en el cliente de email para saber la IP de una persona. Y no buscaban a cualquiera. Buscaban a cargos de confianza de políticos, a los informáticos de determinadas empresas, y les obligaban a ejecutar programas en el equipo. Hasta a Letizia Ortiz le habían puesto una FOCA, supongo que con algún engaño se la enseñarían a usar, y ahora la tenían bajo sospecha.
Cuando vi todo lo que hacían, me enfadé, me enfadé mucho y conduje el malignomovil hasta la Carretera de la Coruña, lo dejé mal aparcado en la puerta y, mientras me apuntaban con pistolas grité para que me recibieran. Se estaban pasando y yo estaba desesperado.
Nacimiento de FOCA Pro
Tras hablar –discutir- de lo que estaban haciendo y de lo que había descubierto decidieron que deberíamos sacar una FOCA sin troyanizar, para que los profesionales de la seguridad no detectaran nunca esto, con lo que apareció la FOCA Pro… sin publicidad. Eso fue todo lo que conseguí y un montón de amenazas y oferta de dinero por mi silencio…
Figura 4: FOCA Pro, sin publicidad... y sin "el resto del paquete"
Denuncia Pública
Tras no dormir bien durante los últimos meses, creo que ya ha llegado la hora de contar esta historia. Tal vez mañana no pueda seguir escribiendo este blog, o tal vez mañana hayan conseguido cerrarlo, pero espero que esta historia sirva como advertencia a los que quieran jugar con los poderes fácticos de esta sociedad. Una vez que entras en el sistema, eres una pieza más, solo una pieza que, si da problemas o se rompe, simplemente se sustituye…
Saludos Malignos!
Pero cualquiero profesional de seguridad con un firewall como ZoneAlarm bloquea la publicidad de la foca.
ResponderEliminarjejeje que buena inocentada pero ya me pusiste a dudar
ResponderEliminarYo ya lo sabía. Es más, reverseando cierto código de la FOCA consegui cierto acceso a ciertas rutas que no quieras saber cuales son...
ResponderEliminar;)
te llevas las palmas de oro!!
ResponderEliminarEs verdad o es una Joda viejo ???
ResponderEliminarHoy 28 de diciembre es dia de los inocentes todo esto de la foca botnet es solo una broma
ResponderEliminarAparte de ser una broma, es bastante interesante ese método del estenografía...
ResponderEliminarChemaaaaaaaaaaaaaa
ResponderEliminarNo te creo la inocentada :P
y ademas fomenta que la peña compre la version pro...
ResponderEliminarxD como te lo curras chema!
te espero en el Up To Secure de Zaragoza!
jajaja muy buena!!! pone a dudar a cualkiera, Muchas Gracias por el blog
ResponderEliminarJajajajajajaaaaa!!! XD
ResponderEliminarChema, ERES LAS OSTIA!!!! XDDD
(Veo las etiquetas con que has etiquetado esta entrada al blog y lleva #foolish & #humor).
Gracias por la inocentada, y feli'z 28/12/2010.
Saludos desde El Salvador! =D
quien dice que sea una inocentada?
ResponderEliminar¿habéis estegoanalizado la publicidad de la foca?..... Yo lo hice, que fuerte!!!!, ahora entenderán muchos pq no recomendaba usarla sin dar motivos... ya era hora que saliera a la luz...
Que inteligente sacar algo tan sensible un día como éste.
Alfonso
Muchas veces las mayores verdades se dicen en broma.
ResponderEliminarjajaja cada año te lo curras más
ResponderEliminarChema, al final vas a salir con las piernas rotas...
ResponderEliminarNo te creo ni cuando no es 28, como pa creerte hoy, mejor te creo .... mañana!!
ResponderEliminarPero mamones, que esto no es creer o no creer, es algo sencillo de comprobar, usad vuestras manitas y se comprueba facil.
ResponderEliminarPor otro lado es evidente que es una broma.
Damn it Chema, nos la has jugado bien! Ya puedes revisar bien el líquido de frenos de tu Malignomovil :@
ResponderEliminarMás fue el tiempo perdido de un amigo revisando cada imagen png de la publicidad de la foca y ninguna tenia EoF y LSB.
ResponderEliminarBuena broma te gastaste!!!!
Yo cuando la intenté usar por primera vez (y única) me sacaba y metia la bandeja de cds al ritmo de Bad de Michael Jackson. Ahí sospeché que no era trigo limpio.
ResponderEliminarPero el nombre de Foca... ¿es porque es la novia del Foco?
Por lo menos encripta el código de la foca si te quieres sacar una paja como esa!!! VB.Net que cagada!
ResponderEliminarCualquiera te lo lee!!
Joder, Chemita, te has currado mas el post del dia de los inocentes que algunos de los tuyos .... Jejejeje, buenisimo, colega, buenisimo. Enhorabuena. @Neneland
ResponderEliminarInocente Inocente Inocente Inocente
ResponderEliminarjajajaj acabo de sacar el disco duro del portatil donde había instalado la foca y lo he metido en un cubo de ácido, jajajaj que se jodan...
ResponderEliminarSeran "higueputas" pues que se jodan. Yo he formateado los 125 equipos que administro en mi empresa. Les van a dar pol culo si buscan informacion. Venga, venga a por ellos que son pocos y cobardes ... >:-) @NeneLand
ResponderEliminarla foca y el re-contra-espionaje XD
ResponderEliminarPues veamos cual es la IP a la que mandan los datos de las bots y todos a hacer pentesting con ella!!! jajaja
ResponderEliminarLetizia Ortiz con la FOCA??? Creo que su nick underground es L3tI2i4... jaja
Aver si por fin nos vemos que al final la semana pasada pusiste pies en polvorosa...
Un saludo benigno.
Hey hey... atento que ya empezaron a atacarte xD
ResponderEliminarhttp://www.securitybydefault.com/2010/12/0day-xss-persistente-en-bloggercom-y.html
Saludos...
Chema, eres el puto amo! jaja, a mitad del articulo ya sabia que era una inocentada, por cojones xD. Una entrada muy currada y graciosa jaja
ResponderEliminarun saludo!!
Gracias! hace rato que no paran las carcajadas.
ResponderEliminarM-Á-Q-U-I-N-A eso es lo que eres... enorme el artículo, gran reflexión a la que se puede llegar.
ResponderEliminarSi... si ... inocentada jejjejej que gracia....
ResponderEliminarGrande Chema, confiesas la verdad el día 28 para que nadie te crea y así luego si te trinca la bofia les puedes decir que ya lo avisaste...
ResponderEliminarSeguid, seguid bajando la foca...
Muy buena Chema... Lo unico que tienes un error en el post, admite que el trato lo hiciste con la TIA y no con el CNI :P
ResponderEliminarJajajajajaja, muy bueno, yo por medio post aun me lo creia, q imaginacion la del xema...
ResponderEliminarSaludos!!!
Jajajaj Chema, se te vaaaaaa XD. Muy buena la historia. Felices fiestas a todos.
ResponderEliminarmmm, si no fuera hoy dia 28 de diciembre
ResponderEliminarEre' un mamón. Menos mal que me di cuenta de que era 28 a tiempo y mira que no uso FOCA .... XD Buena inocentada.
ResponderEliminarJajaja, ya sabía yo que al FOCA tenía algo aun más raro que su logo :P
ResponderEliminarYa era hora de que la verdad saliese a la luz!
ResponderEliminarLo sabíamos, pero la foca tiene un bug y nosotros también espiábamos a los de Informática64, hace tiempo.
ResponderEliminarEs verdad nada como la Botnet de FOCA ya habia leido esto antes en un blog de norton, por eso nunca me confie de vos revisa el siguiente articulo Norton: Botnets En Latinoamerica Salud
ResponderEliminarDe las mejores inocentadas que leí, bien currada, aunque sea por lo que se lee en las respuestas XD, al punto que me movió a responderte.
ResponderEliminarBuen blog.
Gabriela
Lo interesante, es que la metodología para repartir la botnet no es nueva.
ResponderEliminarSino fíjense como hacen los de Microsoft, te vende el software ya puerteado de fábrica. :-P
Eres grande! xD Aunque quizá sea porque tienes mucho pelo y parece que seas más alto. En fin, vicisitudes de la vida aparte.
ResponderEliminarPor seguir con el mismo adjetivo: Gran post y gran PedazoDeAplicación el bicho éste que llamáis FOCA!
Lo importante de lo mucho que sabes es que lo transmites pa que to eR mundo lo entienda!
Saludos.
Javier.
Conociendo este Pais estarán en el CNI viendo que "sección" lleva el tema: espero que lean los comentarios antes de montarse ellos mismos un pollo. La última frase es de argumentario de consultora multinacional: con dinero puedes comprar lo que quieras, pero no lo mejor y esto te lleva sin tránsito de "poder fáctico" a "poder folklórico".
ResponderEliminar