martes, diciembre 28, 2010

La FOCA es una Botnet

********************************************************************************

UPDATE: Este artículo es una inocentada del día 28 de Diciembre, si lo lees, leelo como tal. La FOCA no tiene ningún troyano.... pero podría crearse una botnet así, ¿verdad?

Chema Alonso.
********************************************************************************

La FOCA es una botnet, o algo más o menos. Así nació y hoy quiero que lo sepáis. Todo comenzó en el año que visité el CNI. Allí, en una reunión secreta estuvimos hablando de como detener a los malos desplegando una herramienta que todo el mundo, motu proprio, descargara en sus ordenadores personales y que permitiera, en caso de una investigación puntual, saber quién ha sido.

“Verás Chema, imagínate que estamos buscando a alguien que haya enviado un determinado e-mail, necesitamos un programa al que le podamos decir, ¿está este e-mail en tu equipo? Y que conteste solo el equipo con la dirección IP que tenga ese correo electrónico”

Yo, contesté: “Lo que necesitáis es una megabotnet, ¿no?”

Y ellos replicaron: “Algo así, pero que no sea con el software de hacer botnets, que así al final siempre te pillan los antimalware”

“Entonces, lo que necesitáis es que haya una Función Oculta en Cada Aplicación que ejecute el usuario”, repliqué.

“Más o menos esa sería la idea”… (Ellos).

“¿Y si creamos una aplicación que guste mucho a todo el mundo y que lleve esa Función Oculta en Cada Aplicación que queréis vosotros?, si conseguimos que haya muchos usuarios en el mundo usándola se podría conseguir. Hay aplicaciones gratuitas de escritorio que las usan millones de usuarios…”, propuse.

“Adelante, ¿cuánto dinero costará el proyecto?”

Así nació FOCA, como la Función Oculta en Cada Aplicación que necesitaba el CNI, una herramienta que los usuarios debían utilizar en sus casas y que debía ser capaz de recibir comandos, ejecutar acciones y devolver respuestas con los resultados, todo ello delante del usuario y sin que se diera cuenta… ¿cómo hacerlo?

La aplicación elegida

Para crear esta aplicación decidimos que lo mejor sería buscar algo sencillo, que todo el mundo pudiera usar, y fue por eso que pensamos en MetaExtractor (y su versión OS OOMetaExtractor), una herramienta que nosotros usábamos internamente para limpiar metadatos, y que podría ser útil.


Figura 1: MetaExtractor, la herramienta elegida para llevar la FOCA

Le cambiamos el nombre y listo. Por eso, cuando mucha gente me pregunta ¿por qué se llama FOCA? Y siempre busco respuestas peregrinas. ¿La realidad? Es la Función Oculta en Cada Aplicación que buscábamos.

Recepción de comandos desde el C&C

Uno de los problemas al que nos enfrentábamos era el problema del prisionero. ¿Cómo comunicarnos con la FOCA sin levantar sospechas? Para ello tiré de una idea personal que tenía yo para generar una botnet que decidí no publicar nunca. La idea era muy sencilla. ¿Cuántas aplicaciones conocéis que tengan publicidad en el GUI? Muchas. ¿Y si el anuncio lleva oculto comandos en las imágenes publicitarias con técnicas de esteganografía? Sería chupado crear una botnet que en las narices de todo el mundo se comunicara el bot con el master y nadie se diera cuenta… ¡solo es publicidad!

Envío de comandos por publicidad

Por eso, la FOCA, desde el momento en que se empezó a desplegar lleva incrustada publicidad. Una publicidad que encubre los comandos que nosotros enviamos a todos los FOCAbots desde nuestros paneles de control.


Figura 2: FOCA Free con publicidad recibiendo comandos

La alerta saltó cuando alguien, jugando con Mitm, cambió la publicidad simplemente cambiando los DNS. Era fácil, no iba firmada digitalmente la transmisión de la publicidad, por lo que decidimos sacar una nueva versión en la que firmamos con https y autenticación del certificado la conexión. Esta medida tenía dos finalidades:

1) hacer más difíciles los análisis de seguridad de alguien que sospechara
2) hacer más difícil que, en el futuro, alguien nos pudiera quitar la botnet.


Recepción de resultados

Para recibir los datos enviados desde los clientes, decidimos usar el truco más viejo: Un simple GET que carga el fichero XML de la publicidad donde, el que tiene que decir algo añade las respuestas cifradas en un parámetro que se procesa en servidor. Sencillo y claro. ¿Quién lo iba a mirar si esto se produce solo de vez en cuando? Para hacer esto más rápido e interactivo, decidimos que la publicidad cambiase cada minuto, con lo que nos garantizamos que, cada minuto, tenemos una respuesta desde nuestros clientes.


Figura 3: Esquema de la Botnet FOCA

Ruptura de relaciones

Con esta arquitectura, conseguimos sacar información sobre muchos casos, o eso nos dijeron. Al principio nos pasaban los comandos a ejecutar y nosotros los metíamos en los ficheros de la publicidad con nuestra herramienta de esteganografía. Después les pasábamos los resultados. Pero la cosa se complicó.

Hubo un cambio en el ministerio del interior, y ya no nos dejaban ver los comandos. A partir de ese momento nosotros colocábamos las imágenes en un servidor, y ellos las modificaban para meter los comandos. Teníamos los accesos controlados, para evitar que viéramos los ficheros con los comandos. Los subían, los ejecutaban y tomaban los resultados sin que nosotros nos enteráramos. Hasta que nos cansamos.

Sin quererlo ni beberlo, nos habíamos convertido en una herramienta para no sabemos qué. Una herramienta de espionaje por parte del estado para investigar y detener a no sabemos qué. Éramos algo parecido a Echelon, pero en menor escala. Y yo no soportaba la presión.

Contraespionaje

Cada día querían más y más equipos y nos presionaban para seguir desarrollando nuevas funciones, para que diera más y más conferencias promocionándola, desplegando la FOCA por todo el mundo… por todo el mundo.

Harto de esa situación, decidí que había llegado la hora de enterarse de qué estaba pasando. Sin decir nada, creamos una FOCA modificada que pusimos en un FOCA Server. Esta FOCA, colgada a un conjunto de WiFis varias, estaba encendida 24x7 y su misión era descargar la publicidad, decodificar el mensaje e imprimirlo en un fichero de texto que cada día revisaba yo personalmente. Y me asusté.

Los comandos que pude leer eran puro espionaje, buscaban ordenadores concretos y personas concretas. Trucos tan sencillos como mirar la cuenta de correo configurada en el cliente de email para saber la IP de una persona. Y no buscaban a cualquiera. Buscaban a cargos de confianza de políticos, a los informáticos de determinadas empresas, y les obligaban a ejecutar programas en el equipo. Hasta a Letizia Ortiz le habían puesto una FOCA, supongo que con algún engaño se la enseñarían a usar, y ahora la tenían bajo sospecha.

Cuando vi todo lo que hacían, me enfadé, me enfadé mucho y conduje el malignomovil hasta la Carretera de la Coruña, lo dejé mal aparcado en la puerta y, mientras me apuntaban con pistolas grité para que me recibieran. Se estaban pasando y yo estaba desesperado.

Nacimiento de FOCA Pro

Tras hablar –discutir- de lo que estaban haciendo y de lo que había descubierto decidieron que deberíamos sacar una FOCA sin troyanizar, para que los profesionales de la seguridad no detectaran nunca esto, con lo que apareció la FOCA Pro… sin publicidad. Eso fue todo lo que conseguí y un montón de amenazas y oferta de dinero por mi silencio…


Figura 4: FOCA Pro, sin publicidad... y sin "el resto del paquete"

Denuncia Pública

Tras no dormir bien durante los últimos meses, creo que ya ha llegado la hora de contar esta historia. Tal vez mañana no pueda seguir escribiendo este blog, o tal vez mañana hayan conseguido cerrarlo, pero espero que esta historia sirva como advertencia a los que quieran jugar con los poderes fácticos de esta sociedad. Una vez que entras en el sistema, eres una pieza más, solo una pieza que, si da problemas o se rompe, simplemente se sustituye…

Saludos Malignos!

46 comentarios:

  1. Pero cualquiero profesional de seguridad con un firewall como ZoneAlarm bloquea la publicidad de la foca.

    ResponderEliminar
  2. jejeje que buena inocentada pero ya me pusiste a dudar

    ResponderEliminar
  3. Yo ya lo sabía. Es más, reverseando cierto código de la FOCA consegui cierto acceso a ciertas rutas que no quieras saber cuales son...
    ;)

    ResponderEliminar
  4. Es verdad o es una Joda viejo ???

    ResponderEliminar
  5. Hoy 28 de diciembre es dia de los inocentes todo esto de la foca botnet es solo una broma

    ResponderEliminar
  6. Aparte de ser una broma, es bastante interesante ese método del estenografía...

    ResponderEliminar
  7. Chemaaaaaaaaaaaaaa
    No te creo la inocentada :P

    ResponderEliminar
  8. malicious-mind28/12/10 5:57 a. m.

    y ademas fomenta que la peña compre la version pro...
    xD como te lo curras chema!

    te espero en el Up To Secure de Zaragoza!

    ResponderEliminar
  9. jajaja muy buena!!! pone a dudar a cualkiera, Muchas Gracias por el blog

    ResponderEliminar
  10. Jajajajajajaaaaa!!! XD

    Chema, ERES LAS OSTIA!!!! XDDD
    (Veo las etiquetas con que has etiquetado esta entrada al blog y lleva #foolish & #humor).

    Gracias por la inocentada, y feli'z 28/12/2010.

    Saludos desde El Salvador! =D

    ResponderEliminar
  11. quien dice que sea una inocentada?
    ¿habéis estegoanalizado la publicidad de la foca?..... Yo lo hice, que fuerte!!!!, ahora entenderán muchos pq no recomendaba usarla sin dar motivos... ya era hora que saliera a la luz...

    Que inteligente sacar algo tan sensible un día como éste.
    Alfonso

    ResponderEliminar
  12. Muchas veces las mayores verdades se dicen en broma.

    ResponderEliminar
  13. jajaja cada año te lo curras más

    ResponderEliminar
  14. Chema, al final vas a salir con las piernas rotas...

    ResponderEliminar
  15. No te creo ni cuando no es 28, como pa creerte hoy, mejor te creo .... mañana!!

    ResponderEliminar
  16. Pero mamones, que esto no es creer o no creer, es algo sencillo de comprobar, usad vuestras manitas y se comprueba facil.

    Por otro lado es evidente que es una broma.

    ResponderEliminar
  17. Damn it Chema, nos la has jugado bien! Ya puedes revisar bien el líquido de frenos de tu Malignomovil :@

    ResponderEliminar
  18. Más fue el tiempo perdido de un amigo revisando cada imagen png de la publicidad de la foca y ninguna tenia EoF y LSB.

    Buena broma te gastaste!!!!

    ResponderEliminar
  19. Yo cuando la intenté usar por primera vez (y única) me sacaba y metia la bandeja de cds al ritmo de Bad de Michael Jackson. Ahí sospeché que no era trigo limpio.

    Pero el nombre de Foca... ¿es porque es la novia del Foco?

    ResponderEliminar
  20. Por lo menos encripta el código de la foca si te quieres sacar una paja como esa!!! VB.Net que cagada!
    Cualquiera te lo lee!!

    ResponderEliminar
  21. Joder, Chemita, te has currado mas el post del dia de los inocentes que algunos de los tuyos .... Jejejeje, buenisimo, colega, buenisimo. Enhorabuena. @Neneland

    ResponderEliminar
  22. Inocente Inocente Inocente Inocente

    ResponderEliminar
  23. jajajaj acabo de sacar el disco duro del portatil donde había instalado la foca y lo he metido en un cubo de ácido, jajajaj que se jodan...

    ResponderEliminar
  24. Seran "higueputas" pues que se jodan. Yo he formateado los 125 equipos que administro en mi empresa. Les van a dar pol culo si buscan informacion. Venga, venga a por ellos que son pocos y cobardes ... >:-) @NeneLand

    ResponderEliminar
  25. la foca y el re-contra-espionaje XD

    ResponderEliminar
  26. Pues veamos cual es la IP a la que mandan los datos de las bots y todos a hacer pentesting con ella!!! jajaja

    Letizia Ortiz con la FOCA??? Creo que su nick underground es L3tI2i4... jaja

    Aver si por fin nos vemos que al final la semana pasada pusiste pies en polvorosa...

    Un saludo benigno.

    ResponderEliminar
  27. Hey hey... atento que ya empezaron a atacarte xD

    http://www.securitybydefault.com/2010/12/0day-xss-persistente-en-bloggercom-y.html

    Saludos...

    ResponderEliminar
  28. Chema, eres el puto amo! jaja, a mitad del articulo ya sabia que era una inocentada, por cojones xD. Una entrada muy currada y graciosa jaja

    un saludo!!

    ResponderEliminar
  29. Gracias! hace rato que no paran las carcajadas.

    ResponderEliminar
  30. M-Á-Q-U-I-N-A eso es lo que eres... enorme el artículo, gran reflexión a la que se puede llegar.

    ResponderEliminar
  31. Si... si ... inocentada jejjejej que gracia....

    ResponderEliminar
  32. Grande Chema, confiesas la verdad el día 28 para que nadie te crea y así luego si te trinca la bofia les puedes decir que ya lo avisaste...

    Seguid, seguid bajando la foca...

    ResponderEliminar
  33. Muy buena Chema... Lo unico que tienes un error en el post, admite que el trato lo hiciste con la TIA y no con el CNI :P

    ResponderEliminar
  34. Jajajajajaja, muy bueno, yo por medio post aun me lo creia, q imaginacion la del xema...
    Saludos!!!

    ResponderEliminar
  35. Jajajaj Chema, se te vaaaaaa XD. Muy buena la historia. Felices fiestas a todos.

    ResponderEliminar
  36. mmm, si no fuera hoy dia 28 de diciembre

    ResponderEliminar
  37. Ere' un mamón. Menos mal que me di cuenta de que era 28 a tiempo y mira que no uso FOCA .... XD Buena inocentada.

    ResponderEliminar
  38. Jajaja, ya sabía yo que al FOCA tenía algo aun más raro que su logo :P

    ResponderEliminar
  39. Ya era hora de que la verdad saliese a la luz!

    ResponderEliminar
  40. Lo sabíamos, pero la foca tiene un bug y nosotros también espiábamos a los de Informática64, hace tiempo.

    ResponderEliminar
  41. Es verdad nada como la Botnet de FOCA ya habia leido esto antes en un blog de norton, por eso nunca me confie de vos revisa el siguiente articulo Norton: Botnets En Latinoamerica Salud

    ResponderEliminar
  42. De las mejores inocentadas que leí, bien currada, aunque sea por lo que se lee en las respuestas XD, al punto que me movió a responderte.

    Buen blog.

    Gabriela

    ResponderEliminar
  43. Lo interesante, es que la metodología para repartir la botnet no es nueva.
    Sino fíjense como hacen los de Microsoft, te vende el software ya puerteado de fábrica. :-P

    ResponderEliminar
  44. Eres grande! xD Aunque quizá sea porque tienes mucho pelo y parece que seas más alto. En fin, vicisitudes de la vida aparte.

    Por seguir con el mismo adjetivo: Gran post y gran PedazoDeAplicación el bicho éste que llamáis FOCA!

    Lo importante de lo mucho que sabes es que lo transmites pa que to eR mundo lo entienda!

    Saludos.

    Javier.

    ResponderEliminar
  45. Conociendo este Pais estarán en el CNI viendo que "sección" lleva el tema: espero que lean los comentarios antes de montarse ellos mismos un pollo. La última frase es de argumentario de consultora multinacional: con dinero puedes comprar lo que quieras, pero no lo mejor y esto te lleva sin tránsito de "poder fáctico" a "poder folklórico".

    ResponderEliminar