Enemigos de Internet: Ciberespionaje nacional a disidentes

Me pasaron por correo electrónico el informe titulado "Enemigos de Internet" que han realizado en Reporteros Sin Fronteras y que fue publicado el día 12 de Marzo - elegido Día contra la censura en Internet -, y creo que lo deberíais leer todos, ya que completa la visión de los incidentes de ciberespionaje, centrándose en el que realizan los gobiernos sobre sus ciudadanos. Recoge algunos datos en un solo documento, que dejan claras algunas técnicas de ciberespionaje y actos de censura en Internet hechas por parte de algunos países. El comienzo del documento os lo dejo aquí, que merece la pena su lectura.

Figura 1: El informe de Reporteros sin fronteras sobre Enemigos de Internet 2013

"“Mi ordenador fue interceptado antes que yo”, es el testimonio de un activista sirio detenido y torturado por el régimen de Bachar Al-Assad. Karim Taymour, explica a un periodista de Bloomberg cómo le presentaron, en su interrogatorio, más de 1.000 páginas que detallaban sus conversaciones electrónicas y sus archivos intercambiados por Skype. Sus verdugos sabían manifiestamente tanto de él como si hubiesen estado en su habitación o en su ordenador. La vigilancia en Internet representa un peligro enorme para los periodistas, blogueros, periodistas ciudadanos y defensores de los derechos humanos."

En él informe se apunta a países como China, Siria, Bahréin, Vietnam e Irán como los países que más control y censura por Internet están aplicando a sus ciudadanos para acallar las críticas y a los detractores de sus regímenes. También se apuntan a las empresas que les venden productos para que consigan sus objetivos, donde se encuentran algunas como Gamma - la archiconocida empresa de FinFisher y FinSpy cuyos paneles de control han aparecido ya en 25 países-, Trovicor, Hacking Team, Amesys y Blue Coat.

Algunas estratégias sorprendentes usadas dan miedo. En Bahréin se alerta de que se crean cuentas Twitter falsas simulando las cuentas de los disidentes que buscan desenmascarar. A partir de ese momento, si alguien hace clic en ella, solicitan la dirección IP de la cuentas que han hecho clic para sacar toda la información posible de esa dirección IP y localizar a las personas detrás, con el objetivo de llegar al disidente. Para ello, antes censuran en todo el país las opciones de anonimato, tirando abajo conexiones Proxy, VPNs y acceso a la red TOR desde dentro del país. Es lo que tiene controlar toda la infraestructura de comunicaciones de un país.

De hecho, en Bahréin, el centro de comunicaciones de Nokia - Siemens Network, fue comprado por Trovicor, una de las empresas denunciadas en el informe y que vende software de espionaje para terminales móviles. Desde 1990 se dice que el estado de Bahréin cuenta con sus productos comprados e instalados en todo el país.

En el caso de China, sin contar los innumerables ataques a los miembros de organizaciones Pro-Tibet con malware dirigido, ni las acusaciones de ciberespionaje industrial en el informe Mandiant sobre APT 1 o la operación Aurora contra Google, es archiconocido su Gran Firewall y sus estructuras de man in the middle con entidades de certificación controladas por el gobierno - usar SSLCop es una buena idea si vas a China - donde se permite casi todo menos la privacidad.  En el informe se relatan muchas de las actividades de espionaje que realizan a través de las compañías que ofrecen los servicios de Internet y el espionaje de redes de VoIP como Skype.

Figura 2: Requisitos de los servicios de monitorización de Internet en Siria

El informe desgrana el resto de los países, como Siria o Irán, y dan recomendaciones que se pueden tomar para protegerse en ellos. En Siria se ha implantado un sistema de monitorización de todo Internet en el país - aunque luego veríamos como en Noviembre de 2012 tiraban abajo la conexión del país a Internet algo que volverían a hacer otra vez en Mayo de 2013 - y la Electronic Freedom Frontier alerta del uso de Darkomet y otras RAT para vigilar los equipos de los activistas contrarios al regimen. Algo similar a lo que se descubrió que sucedía en Egipto con FinFisher.

Figura 3: La factura de FinFisher y FinSpy descubierta en el gobierno de Egipto

No obstante, el informe da recomendaciones de uso de VPNs o TOR cuando sea posible para evitar las técnicas de Deep Packet Inspection, pero en ningún momento hace referencia a protegerse contra las JavaScript Botnets y el Browser Caché Poisoning que afecta hasta los sistemas con VPN, Proxy o TOR. Ya cuando presentamos esta técnica, contamos que habíamos visto que mucha gente usaba Facebook a través de Proxys anónimos en Internet, y uno de los motivos por lo que lo hacía era precisamente por esto, para evadir la censura en sus países.

De hecho, ya conté este año en RootedCON que había recibido una petición de ayuda para montar una JavaScript Botnet con soporte para SSL en Irán  para hacer ataques dirigidos con la botnet en JavaScript, y una oferta de compra de los datos que se capturaron durante el test de la JavaScript Botnet - que se borraron tras dar las charlas -, lo que evidentemente no hicimos.

En definitiva, el documento es digno de su lectura y análisis, pues aporta muchos datos que puede que te hagan cambiar la visión del control que pueden llegar a ejercer los gobernantes de un país cuando se vuelven en contra de sus ciudadanos. Si este tema te interesa, no dudes en visitar a menudo la web Spy Files de Wikileaks, donde se informa de todo lo acaecido en esta materia.

Saludos Malignos!

Catorce mil ciento siete

Hace justo un año, el 30 de Marzo de 2012, escribí un artículo llamado seis mil dos cientos veinte en el que hacía balance de cómo iba este loco proyecto de hacer una pequeña editorial de libros de seguridad informática, administración de sistemas y hacking que había surgido tiempo ha.

Figura 1: Algunos libros de la colección

Hoy, un año después me he parado a mirar de nuevo cómo han evolucionado las cosas en estos 12 meses, y no puedo estar más contento e ilusionado con el proyecto, ya que en menos de un año se han más que doblado los ejemplares que han llegado a manos de lectores de todo el mundo, ya que como bien dice el título, han sido ya 14.107 los ejemplares que hemos distribuido.

Muchos de ellos he visto como os llegaban, bien porque os los he entregado en mano, bien porque os los he "manchado" con algún garabato o algún No Luser, bien porque he visto las fotos que publicáis en Twitter cuando llegan o bien porque he leído vuestras críticas en vuestros blogs.

Figura 2: Libros de Alberto Cuesta fotografiados mientras los estrena su gata Paka

Durante estos 12 meses la colección se ha ampliado en 10 nuevos títulos que os he ido contando uno a uno por aquí, hemos alcanzado segundas y terceras ediciones de algunos de los libros y hemos creado canales de distribución por algunos países de Latino América, como son Argentina, Ecuador o Colombia, haciendo que cada vez sean más los lectores de los textos publicados.

Sin duda, los únicos responsables de todo esto son los autores de los libros, que no solo se han dejado liar por mí cuando se lo he ofrecido, sino que además han hecho su tarea de forma encomiable, precoupándose de hacer un texto que la gente disfrutara leyendo. Algo que nunca podré dejar de agradecérselo a todos.

El Top 5 de libros más vendidos desde que se comenzó con la editorial es:

1.- Análisis Forense Digital en Entornos Windows 2.216 ejemplares

2.- Hacking con Buscadores: Google, Bing, Shodan & Robtex 1.238 ej.

3.- Máxima Seguridad en Windows 1.195 ejemplares

4.- Hacker Épico 968 ejemplares

5.- Hacking de Aplicaciones Web: SQL Injection 908 ejemplares

Y centrándonos solo en el primer trimestre de 2013, los más solicitados son:

1.- Hacker Épico 619 ejemplares
2.- Metasploit para pentesters 433 ejemplares
3.- Wardog y el mundo 265 ejemplares
4.- Hacking de Aplicaciones Web: SQL Injection 261 ejemplares
5.- Hacking con Buscadores: Google, Bing, Shodan & Robtex 261 ejemplares

Figura 3: Libros distribuidos en el primer trimestre de 2013

Como veis, sigue siendo una editorial muy pequeña, con solo 23 títulos por ahora, y con tiradas muy limitadas, pero de la nos sentimos muy orgullosos y en la que atesoramos cada título alegría. La colección completa a día de hoy, que muchos la tenéis completa, es la siguiente:

- Libro 22: Desarrollo de Aplicaciones Android Seguras
- Libro 21: Wardog y el Mundo
- Libro 20: Hacking y Seguridad VoIP
- Libro 19: Microhistorias: Anécdotas y curiosidades de la Informática
- Libro 18: Hacker Épico
- Libro 17: Metasploit para pentesters
- Libro 16: Windows Server 2012 para IT Pros
- Libro 15: PowerShell: La navaja suiza de los administradores de sistemas
- Libro 14: Desarrollo Apps para iOS: iPad & iPhone
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicaciones Web: SQL Injection
- Libro 11: Aplicación del ENS con tecnologías Microsoft
- Libro 10: Hacking de comunicaciones Móviles
- Libro 9: Máxima Seguridad en Windows 2ª Edición
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores 2ª Edición
- Libro 6: Una al Día, 12 años de Seguridad (Últimos ejemplares)
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación LOPD
- Libro 1: Análisis Forense Windows 3ª Edición

Esperamos que os sigan gustando los nuevos títulos que están próximos a ser publicados, y que dentro de poco podamos distribuir los libros en más países de Latino América, que estamos trabajando en ello para poder daros nuevas noticias.

Saludos Malignos!

Cómo saber si un tweet es auténtico o es un fake

Estos días algunos se han escandalizado viendo lo que aparentemente es una forma sencilla de falsificar un tweet de una persona, por medio de un retweet. La idea es simple y bien construida, pero es fácil darse cuenta del engaño, ya que al final lo único que se hace es generar una imagen que pretende ser un tweet al que se ha hecho retweet. Sin embargo, se puede ver que es un enlace a una imagen.

Esto lo utilizó algún gracioso que pretendía convencer a la gente de que El País había twiteado una notica en la que se informaba de que el Rey estaba muy grave. Sin embargo, prestando atención a la imagen, se puede ver que es un enlace a una fotografía.

Figura 1: El falso Tweet que se comió mucha gente

Esto se hace por medio del servicio Lem-me Tweet That For You y cualquiera puede simular lo que quiera como si fuera un tweet de otro. Vamos, es como si lo hiciera con el Photoshop y lo subiera como imagen, solo que bien ajustados los colores para que el efecto sea perfecto.

Figura 2: Un tweet falso creado como si fuera la cuenta de Informatica64 en Twitter

Por supuesto, una captura de pantalla de un tweet tampoco justificaría que un tweet se puso, que ya sabemos que el Photoshop lo aguanta todo, o si no visitad la página de Photoshop Disasters para reiros un rato, o echad un ojo al ejercito de Corea del Norte utilizando la función de clonación para hacer propaganda. Para que no te la cuelen con el Photoshop, puedes utilizar herramientas como JPEGSnoop, que te informan de la probabilidad de que haya sido manipulada una imagen.

No obstante, si ves un tweet en tu línea temporal y quieres conservarlo para tener la garantía de que sirva como prueba de que se publicó a pesar de que el dueño lo borre, por ejemplo si te insultan, te amenazan, o alguien comete un delito por Twitter, lo mejor es que generes una evidencia digital del tweet. Esto lo puedes hacer usando por ejemplo eGarante para firmar la página de Twitter donde se vea dicho mensaje y conservar el fichero PDF firmado que se genera.

Figura 3: Tweet firmado digitalmente con egarante. Si se borra, se tiene un PDF firmado como prueba de su publicación.

Si Yolanda de Mena hubiera firmado su tweet premonitorio de la elección del Papa Francisco I con eGarante, no se hubiera generado tanta especulación sobre si existía o no un bug en Twitter que permitiera cambiar la fecha de un tweet.

Figura 4: El tweet de la premonición de la elección del Papa Francisco

Capturas de pantalla no valen para nada si lo que quieres es denunciar algo,  y ya has visto el porqué. Eso sí, pueden servir para escarnio público cuando todo el mundo sabe que el tweet es autentico, como en el caso de las puntuaciones del juego de Fátima Báñez que todo el mundo vio en tiempo real.

Saludos Malignos!

De Washington D.C. a Beijing con el bug de IIS Short Name

Jugando con la FOCA en el último RootedLab de Pentesting Web Applications encontramos el bug de IIS Short Name en un par de sitios bastante curiosos que he reportado como recuerdo de todos los que estuvimos en el curso para que no se nos olvide. Aprovechando que esta noche el jueves que viene sale el programa de Ciberguerra en Mundo Hacker en el que salgo yo hablando de esto y de China, aprovecho para contaros una pequeña prueba que hice respeto a este bug y este tema.

Viendo lo extendido que está ese bug, decidí jugar un poco con FOCA a ver en qué sitios crappy me encontraba el bug. Teniendo en cuenta que ahora están tan de moda las noticias de agresiones por Internet - especialmente entre China y EEUU que han protagonizado ya varios incidentes de ciberguerra como el ya famoso informe Mandiant sobre APT1 - pensé en hacer un poco de Hacking con Buscadores y usar Shodan para localizar algunos servidores IIS que pudieran ser vulnerables en el Gobierno de China y en el Army.mil americano.

Figura 1: Buscando servidores IIS con Shodan en el dominio gov.cn

La verdad es que a los 10 minutos había abandonado la tarea, ya que el número de sitios que tienen ese bugs en los dos bandos es enorme, lo que hace sea como si tuvieran casi, un listado de directorios abiertos en los servidores, ya que una vez localizado el resto es automatizar una herramienta como nuestro plugin de FOCA PRO IIS NTFS Short Name Fuzzer.

Figura 2: Pruebas para reconocer respuestas True y False en servidores IIS

En Gobierno de China probe un par de ellos al azar, y el segundo ya era vulnerable, tal y como puede verse en estas sencillas pruebas que han de hacerse. En este caso la respuesta True a un nombre de fichero.

Figura 3: Error 404 a ficheros que comiencen por "a" significa True

Y aquí está la respuesta False. Es decir, no hay ningún nombre de fichero que comience por x en este directorio.

Figura 4: Error 400 a ficheros que comiencen por "x" significa False

En el army.mil los resultados son prácticamente análogos, basta con tirar por Shodan y localizar varios de ellos, para que rápidamente salgan sitios booleanizables con preguntas True/False sobre nombres de archivos.

Figura 5: Error 404 a ficheros que comiencen por cualquier letra significa True

Figura 6: Error 500 en este caso significa que no hay ningún fichero que comience por "x"

La verdad es que este bug es bastante fácil de localizar, por eso fue tiro hecho el encontrar uno de ellos en Apple.com, y sorprende que en sitios tan preocupados como el army.mil, donde tienen en el Departamento de Defensa Americano el sistema CLEAR (Content, Locator, Examination, Analysis and Reporting) para encontrar hasta fugas de información con metadatos, dejen este bug tan abandonado.

Saludos Malignos!

Pasar de IPv4 a IPv6 con una respuesta DNS no pedida

Hasta el momento, la demostración del ataque SLAAC con Evil FOCA - incluido el de Bridging HTTP(IPv6) a HTTPs(IPv4) - se basan en una configuración dual IPv4 e IPv6, en la que la configuración de IPv4 está sólo como vínculo local, es decir, las direcciones 169.254.X.X sin configuración de servidor DNSv4.

Una configuración que nos tenía bastante extrañados, es cuando el equipo víctima solo cuenta con IPv6, es decir, IPv4 se ha desactivado de la torre de protocolos de la tarjeta de red, por lo que sólo cuenta la configuración de IPv6. En este entorno la extrañeza viene cuando se intenta resolver un hostname de Internet, ya que las preguntas son de registros A, en lugar de AAAA, a pesar de que el navegador por defecto tiene la configuración para buscar registros AAAA.

Figura 1: Configuración de Mozilla Firefox para buscar registros AAAA

Es decir, cuando un Windows 7 tiene configurado solo IPv6, las preguntas de resolución de nombres que se envían al servidor DNSv6 son para conseguir direcciones IPv4, algo que nos rompe el ataque de man in the middle en la red IPv6.

Para solucionarlo, ayer mismo se nos ocurrió probar a utilizar registros de respuesta múltiple, para que en la respuesta a una consulta de tipo A al servidor DNSv6, además de un registro A, le entregamos a la víctima un registro AAAA. Y funciona, se reciben los dos registros, pero la navegación por Internet va sobre IPv4 al ser un FQDN. Como esto no nos resolvía definitivamente el problema, al final decidimos probar una cosa que parece que no tiene mucho sentido, pero... que funcionó mejor que bien. 

La idea es tan sencilla como que cuando nos piden un registro tipo A, hacemos como si nos hubieran pedido un registro tipo AAAA, y listo. Esto se puede ver en la captura siguiente, que en una navegación a www.elladodelmal.com, se puede ver como se piden la resolución de todos los hosts vinculados de tipo A, pero la Evil FOCA contesta a todos con registros tipo AAAA.

Figura 2: La víctima pide registros A pero Evil FOCA responde con registros AAAA

Esto funciona perfectamente en Windows 7, y el misterio es que en el paquete de respuesta a una petición DNS va la consulta a la que se está respondiendo, y en ese punto Evil FOCA está modificando la pregunta, haciendo creer que se preguntó por un registro AAAA.

Figura 3: Evil FOCA responde como si le hubieran pedido un registro AAAA

Y la cosa funciona. Deberemos ver si esto es así en otros sistemas operativos, pero con este truco resolvemos un escenario que nos tenía con cara de poker. Curioso, ¿verdad?

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6) - HTTPs (IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
***************************************************************************************************

HoneyMap en el mapa de ataques a una red de Honey Pots

Ya hace tiempo que se publico el mapa del mundo en guerra, una página web basada en recolectar datos de los servidores de HoneyNet Project y representarlos en una página web sobre un mapa SVG con JavaScript. Basándose en el mismo proyecto, Deutsche Telekom ha puesto los datos de su red de servidores Honey Pot para que puedan ser vistos en tiempo real.

Figura 1: El mapa de los ataques a los honey pot de Deutsche Telekom

Entre los datos de esta red en concreto, sigue apareciendo los ataques a SMB y NetBIOS como los primeros de la lista, supongo que en parte por Conficker, en parte por la cantidad de scanners que buscan el famoso MS08-067 para entretenerse y divertirse largo tiempo con Metasploit y Meterpreter.

Figura 2: El Top 5 de tipos de ataques detectados

Los malos de esta película no son los Chinos como en el informe Mandiant, sino los Rusos, que lideran el top de direcciones IP de los atacantes. Supongo que será en buena parte por las famosas redes y servidores Bullet-Proof que tan buenos réditos económicos dan al país.

Figura 3: El Top 15 de los países "malos"

Si quieres hacer alguna representación similar de tu red de sensores, puedes hacerlo con este mismo software, ya que el código del proyecto lo tienes disponible en el Github de HoneyMap. Puedes aplicarlo para representar cualquier incidente en tiempo real utilizando coordenadas GPS y un mapa, para lo que debes repasarte previamente la tira 977 de XKCD.

Figura 4: Tipos de representaciones de mapas interpretadas por XKCD

He de pedirte que si te vas a meter en el apasionante mundo mapas, mires a ver si te animas a usar alguna representación distinta a la de Mercator, que yo me muero de ganas de ver estos mapas en representaciones tipo Dymaxion o Waterman Butterfly.

Saludos Malignos!

Secunia: Internet Explorer tuvo 5 veces menos fallos de seguridad que Google Chrome o Mozilla Firefox en 2012

La base de datos de expedientes de seguridad de Secunia es una de las que más consultamos siempre que se quiere ver cuántos bugs parcheados y no parcheados tiene un determinado software. También es útil ir a ella, junto a CVE Details, para buscar los bugs concretos de una versión concreta, de un producto a lo largo de sus versiones o de un fabricante de software concreto. 

Por supuesto, ellos también hacen su análisis de datos para poder evaluar lo que está pasando en el mundo de la seguridad informática. Así, este pasado 14 de Marzo publicaron el informe llamado Security Vulnerability Review 2013 que analiza los fallos de seguridad del año 2012 y en comparación con los años anteriores, prestando especial importancia al TOP 50, es decir, a los 50 programas más instalados y utilizados por el mundo, entre los que evidentemente se encuentran Google Chrome, Mozilla Firefox, Internet Explorer y - en lugar de Apple Safari -, Apple iTunes.

El informe viene a recoger las tendencias, en las que se puede ver que el número de Security Advisories, CVEs y Vulnerabilidades - diferencia entre CVE y vulnerabilidad porque un CVE pueden ser varias vulnerabilidades de código - se ha estancado un poco en 2012.

Figura 1: Historial Global de vulnerabilidades por años en el TOP 50

Además, recoge que los sistemas operativos Windows, han decrecido sustancialmente en cuanto al número de fallos de seguridad descubiertos que les han afectado, tanto a Windows XP, Windows Vista, o Windows 7. Windows 8 no estaba aún en el TOP 50, como tampoco lo estaba Mac OS X o Linux. 

Figura 2: Historico de vulnerabilidades en sistemas operativos MS Windows

Lo más significativo es que entre el TOP 50, el número de bugs por Third Party Programs, o software de terceros hecho para Microsoft Windows, el número en 2012 es brutal.

Figura 3: Bugs en Sistema Operativo, en Software de Microsoft y de Terceros en el TOP 50

Y aquí viene la sorpresa final para algunos, esos números tan feos en Third Party, viene principalmente por Google Chrome, Apple iTunes y Mozilla Firefox, que son con diferencia de largo, los tres programas con más advisories, CVEs y vulnerabilidades.

Figura 4: Google Chrome, Mozilla Firefox y Apple iTuns encabezan el top de CVEs y vulnerabilidades

Para muestra comparadlo con Microsoft Internet Explorer durante el año 2012, donde se puede ver cómo el número es como más de 5 veces menos.

Saludos Malignos!

Algunos eventos para el mes de Abril para apuntarse

Queda ya solo una semana para que se acabe el primer trimestre del año, y por suerte es la Semana Santa en España con lo que disfrutaremos de algún día de asueto más que merecido. Es por esto que, como hoy Domingo de Ramos lo que hay que hacer es disfrutar de la carrera de Fórmula 1 - a ver si mi primo Fernando nos da una buena alegría - y de las fiestas de turno, os voy a dejar solo una referencia de los eventos y demás saraos que tengo para este mes de Abril, por si alguno os encaja.

Antes de que acabe el año, tendré un par de participaciones en la radio, esta tarde a las 16:00 horas para hablar en el programa Ocatava Planta de la Cadena Ser Radio de cómo es el espacio de trabajo en Wayra, y el día 26, martes, a las 11:30 como cada martes en el programa de La Mañana con Javi Nieves, hablado de seguridad y hacking.

Update: Me olvidé de deciros que el jueves por la noche - ya el viernes - a las 00:35 se emitirá el tercer programa de Mundo Hacker TV, donde en esta ocasión saldré yo hablando de Ciberguerra y Ciberespionaje.

Ya en Abril, la primera semana estaré de nuevo en la radio de La Manaña el día 2 a las 11:30 y luego durante el día 3 estaré en Valencia, dando una pequeña charla sobre seguridad y hacking en la Universidad Politécnica de Valencia a la que puedes apuntarte, que es gratuita. Esa semana comienza también el Módulo III del FTSAI en Móstoles, dedicado a Ataques y Seguridad Web.

La segunda semana estaré el día 9 martes por la mañana en La Mañana, y por la tarde daré una charla en el Caixa Forum de Madrid, de 19:00 a 20:30 sobre seguridad IPv6. Es gratuita, pero aún no tengo un enlace que os pueda dejar para el registro, así que lo mejor es estar atentos si queréis venir.

Durante la tercera semana estaré el martes día 16 en La Mañana, y por la tarde daré un Webcast de Seguridad en Windows 8, dentro de la campaña Los 8 imprescindibles de Windows 8. Por último, estaré el día 18 estaré en el Security Forum de Barcelona.

Para acabar el mes estaré los días 23 y 30 - ambos martes - en el programa de radio de Javi Nieves, y pasaré a participar en una sesión de Securmática, que se realiza en Madrid los días 23 a 25 de Abril de este año.

Y eso es todo lo que tengo planificado para el mes de Abril, así que si algo os apetece, ya sabéis dónde podéis encontrarme.

Saludos Malignos!

En ciberguerra matar hackers civiles es legal

Supongo que todos los que estamos en este mundo de la seguridad y el hacking hemos sentido algo de nerviosismo en las tripas cuando ha salido a las noticias el Manual Tallinn que habla de esto, de que en ciberguerra, la legislación internacional aplicable justificaría el hecho de matar a un hacker civil que haya participado en un incidente de ciberguerra, ciberespionaje o ciberterrorismo.

Esta justificación dada por el Manual Tallinn que puedes leer online aquí se basa en la opinión de un grupo de 20 expertos en legislación internacional que han analizado las leyes de la guerra tradicionales aplicándolas al entorno digital, para llegar a esta conclusión en este informe que fue solicitado por la OTAN.

Figura 1: Tallinn Manual

Con ello, lo que no queda resuelto es qué grado de "implicación" debe tener un hacker para que pueda ser justificado un objetivo por implicarse en una operación, y esto es lo que realmente me preocupa, ya que cada uno interpreta las cosas como les suele venir bien.

Mis temores son, si alguien utiliza la FOCA para preparar un ataque, o hace una intrusión en sistema por medio de un Blind LDAP Injection,... ¿podría ser justificable internacionalmente que me mataran a mí? Si alguien utiliza Shodan para encontrar un sistema SCADA... ¿podría ser justificable matar a John Matherly? ¿Y si alguien usa Canvas para sus operaciones? ¿Y si se usa un exploit de un investigador de seguridad que vendió hace tiempo a una empresa de compra de vulnerabilidades?

El gran problema es que hay que tener en cuenta que en estas cosas, no es que sea o no legal, sino  que aseveraciones así hagan que alguno se lo crea, y eso es peligroso. Viendo el conocimiento que algunos mandos y políticos de ejércitos de todo el mundo, parece que presentar un exploit, publicar una nueva herramienta o una nueva técnica de hacking, en un blog o  en una conferencia tipo DefCON o Ekoparty puede ser apuntarse a una lista que puede que no mole un cacho.... 

Saludos Malignos!

Bridging HTTP(IPv6) - HTTPs (IPv4) con Evil FOCA

En la versión alpha que estamos peinando para que salta antes de que acabe Marzo ya está implementado el sistema de Bridging HTTP(IPv6) a HTTPs(IPv4) para poder realizar ataques de man in the middle en sitios web en los que solo funcionan bajo HTTPs. Esto es funciona en los procesos de login de Facebook, de Twitter o de Tuenti, con los mismos principios del ataque SLAAC del que ya hemos hablado. Vamos a ver un ejemplo con el login de Tuenti.

Fase 1: El ataque con la Evil FOCA

El ataque con Evil FOCA sigue siendo el mismo, enviar un paquete SLAAC para que el equipo se configure la dirección del atacante como puerta de enlace IPv6. Para que esto funcione, es necesario que el protocolo IPv4 no consiga configuración vía DHCP, y se configure con una dirección de vínculo local.

Figura 1: Enviando el paquete RA a la víctima

Una vez hecho el ataque con Evil FOCA, basta con mirar la configuración en la víctima para ver que tiene configuración IPv4 de vínculo local, configuración de IPv6 de vínculo local, y la dirección IPv6 en la tarjeta generada con SLAAC con conectividad con la puerta de enlace, que es la dirección IPv6 del atacante.

Figura 2: La víctima configura IPv6 con SLAAC y usa DNS Autodiscovery

Al resolver el dominio www.tuenti.com, aparece una dirección IPv6 generada por Evil FOCA cuando la víctima le envía las peticiones de resolución DNS a los servidores de DNS Autodiscovery configurados por defecto en IPv6.

Fas 2: La interceptación de las credenciales

El resto del trabajo lo hace Evil FOCA. Cada enlace HTTPs que viene en las páginas HTML de respuesta sufre un sslStrip, es decir, se le quita la "s", con lo que todos los enlaces entre la víctima y el atacante se hacen con HTTP. Así que la negociación de las credenciales de Tuenti irá en claro. En la web principal se puede ver como Evil FOCA ha entregado la página de login bajo HTTP en lugar de bajo HTTPs.

Figura 3: Navegando a Tuenti desde la víctima por IPv6

Una vez que el usuario manda la petición HTTP de login, Evil FOCA intentará comunicarse por HTTP con el servidor, pero si este no atiende más que por HTTPs, entonces repetirá la petición bajo HTTPs para obtener la respuesta. Eso sí, todo el tráfico con la víctima irá bajo HTTP, tal y como se puede ver en esta captura de WireShark donde aparecen las credenciales.

Figura 4: Las credenciales de login va sobre IPv6 usando HTTP

En la captura se puede ver como la negociación es sobre IPv6, utilizando una URI bajo HTTP, donde se envían el usuario y la contraseña, con lo que el hombre en medio podrá ver todos los datos, mientras que para la víctima será un proceso de navegación normal y corriente.

Figura 5: La víctima navega normalmente bajo HTTP usando IPv6

Actualmente con Evil FOCA este ataque funciona con la mayoría de sitios, y estamos depurando algunos sitos que hacen algunas verificaciones extras, pero Twitter, Facebook y Tuenti funcionan ya en este entorno. Recuerda que tenemos un libro de Ataques en redes de datos IPv4 e IPv6 para aprender más de estas cosas.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por pensar que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6) - HTTPs (IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
***************************************************************************************************

Cálico Electrónico: El principio del final de la Temporada 4

Esta semana hemos liberado el trailer del último capítulo de la Temporada 4 de Cálico Electrónico. Esta temporada, que comenzó en Mayo del 2012 ha salido integramente desde que el mayor superjirou de todos los tiempos está en Informática64, y ahora un año después, ya está casi acabada. Aquí tenéis el trailer del capítulo.

Como podéis ver, en este capítulo aparecen nuestros amigos los Huérfanos Electrónicos, motivo por el que quisimos recuperar todos los capítulos de la serie de Huérfanos Electrónicos original en HD a Ful. Además, la fecha oficial del estreno la hemos querido hacer coincidir con el Salón del Comic de Barcelona, donde habrá un stand de la Tienda Oficial de Cálico Electrónico. En la web, el capítulo final se publicará nada más terminar el salón, para que lo tengáis disponible todos los demás.

Para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone - además de la que ya hizo un fan para Android - donde podrás saber cuándo hemos publicado una nueva tira de comic de Deili Elecrónico o un nuevo capítulo de Cálico Electrónico. También tienes ya una aplicación para Windows 8 y estamos a la espera de la aprobación de otra para dispositivos iOS.

Si eres fan de Cálico Electrónico y te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico. Además te agradeceremos mucho que nos ayudes a continuar con el proyecto comprando algo de merchan en la Tienda Oficial.

Saludos Malignos!

Evil FOCA: Ataque SLAAC (4 de 4)

Para esta última parte he querido guardar solo un ejemplo de mantenimiento de sesión vía man in the middle en este entorno de red IPV6 - entre la víctima y la Evil FOCA - e IPv4 - entre la Evil FOCA y el servidor de Internet.

Mantenimiento de sesión web: El método POST

Para ello, he elegido un sitio que permite autenticar sin HTTP-s para que sea todo más rápido, como es El Otro Lado, y me he conectado desde la máquina de la víctima. Recordad que esta máquina tiene una dirección de vínculo local en IPv4 y la configuración de IPv6 le ha llegado vía SLAAC.

Figura 17: Conexión a una web con usuario y contraseña

En este entorno, la víctima introduce su usuario y contraseña, y lo envía por la red al atacante. Será el atacante el que se encargue de traducir las peticiones IPv6 a peticiones IPv4. Si capturamos el tráfico de red en la máquina donde está corriendo la Evil FOCA y buscamos las peticiones POST que se están generado, podremos ver que hay dos POST (y un par de retransmisiones).

Figura 18: Envío de peticiones POST entre víctima, Evil FOCA y Servidor Web de Internet

La primera petición es el POST que genera el proceso de login en la página web de ejemplo. Este proceso genera dos paquetes totalmente distintos. El primero de ellos, entre la víctima y la máquina de la Evil FOCA va sobre el protocolo IPv6, tal y como se puede ver en las direcciones origen y destino. El segundo de ellos va sobre IPv4, entre la máquina de la Evil FOCA y el servidor web en Internet al que se está conectando. Por supuesto, como la petición va en HTTP, se pueden ver todos los datos que se transmiten, por lo que se puede leer el usuario y la contraseña.

La segunda petición POST que se ve es la de safebrowsing del navegador web, y como en el caso anterior se puede observar cómo se está produciendo la doble petición por la red IPv6 y la red IPv4.

Mantenimiento de sesión web: Las cookies

Por supuesto, a la hora de responder el proceso es inverso. Desde la máquina de Evil FOCA se tienen las dos conversaciones, así basta con hacer un Follow TCP Stream del fujo de la sesión IPv4 o IPv6 - en este caso se ha hecho de IPv6 - para ver cómo la víctima envía las credenciales, y como el servidor contesta con todas las cookies necesarias para el mantenimiento normal de una sesión.

Figura 19: Las cookies de la sesión capturadas y enviadas por Evil FOCA

Esto conlleva a que el usuario tenga una experiencia normal, sin saber que está siendo controlada su conexión, y que está navegando por Internet usando IPv6, tal y como se puede ver en la siguiente imagen.

Figura 20: Sesión autenticada

Por motivos obvios, Evil FOCA en un entorno Bridging HTTP/HTTP-s entregará las cookies al cliente sin el flag Secure, para poder mantener los mismos resultados en sitios web que sólo den servicio por HTTP-s, pero eso os lo contaré en un artículo aparte.

Para acabar

De momento os he subido las diapositivas que utilicé en la charla de RootedCON/Troopers/UAH a mi SlideShare, y esta semana seguramente tengáis publicada ya la versión alpha de Evil FOCA para que esta Semana Santa hagáis muchas pruebas.

Hachetetepé dos puntos SLAAC SLAAC de Chema Alonso

Saludos Malignos!

***********************************************************************************

- Evil FOCA: Ataque SLAAC (1 de 4)

- Evil FOCA: Ataque SLAAC (2 de 4)

- Evil FOCA: Ataque SLAAC (3 de 4)

- Evil FOCA: Ataque SLAAC (4 de 4)

***********************************************************************************

Paneles de control de FinFisher localizados en 25 países

El kit FinFisher es una herramienta profesional que ha aparecido en muchos incidentes de ciberespionaje. Se vende como una solución para ayudar a los cuerpos de seguridad para controlar a los malos, pero lo cierto es que acaban siempre por aparecer en regímenes dictatoriales en los que se coartan libertades, como por ejemplo en Egipto, donde fue localizado tras la revolución ciudadana.

La versión para terminales móviles de FinFisher se llama FinSpy, y utiliza sistemas de infección de terminales usando las propias operadoras de comunicaciones, tal y como se puede ver en este anuncio viral usado para promocionar el producto.

Figura 1: Anuncio promocional de FinSpy mobile

La versión de FinSpy, para terminales iPhone, tiene soluciones para malware que se va a instalar en equipos que tengan realizado el jailbreak - es decir, sin la validación de code signing de Apple - lo que le permite instalarse como los troyanos al uso que se venden para uso "domestico" tipo iKeyGuard o FlexiSpy, o para instalarse en equipos sin jailbreak por medio de ataques dirigidos, usando los famosos provisioning profiles de los desarrolladores de Apple.

Este software utiliza unos paneles de control con unas características especiales que están siendo monitorizados por Citizen Lab, la misma organización que analizó FinSpy en su primera aparición para terminales iPhone. En su análisis, han descubierto que estos paneles de control de esta herramienta comercial de espionaje se pueden encontrar ya en 25 países, tal y como han reflejado en este mapa.

Figura 2: Los paneles de control de FinSpy aparecen en 25 países

Como se puede ver en el mapa, Indonesia y Estados Unidos es donde más paneles de control hay, aunque se puede encontrar en países como Qatar, Malaysia, Canada, México o Alemania, por citar algunos de los países donde hay algún grupo o persona que se ha gastado el dinero en montar la infraestructura que requiere este software de espionaje.

Hace tiempo que los ataques dirigidos a grupos de presión utiliza las herramientas de ciberespionaje, como en el caso del acoso de malware dirigido que sufren los grupos Pro-Tibet y el Dalai Lama, que día tras día sufren ataques dirigidos con nuevas versiones de malware, así que es difícil imaginar un mundo donde no haya alguien con recursos y poder que quiera utilizar este tipo de herramientas para conseguir sus objetivos.

Saludos Malignos!