jueves, octubre 17, 2013

Encontrar las guaridas de los ladrones de identidad (2 de 3)

Continuando con los dorks vistos en la primera parte del artículo, existe una buena cantidad de ellos que también pueden darnos información jugosa. Por ejemplo, también se puede ir directamente a por esas cuentas de usuario tan importantes y conocidas:
"program * url/host" "login root"
"program * url/host" "login admin"
"program * url/host" "login administrator"
O a por servicios básicos como las bases de datos y sus interfaces:
"program * url/host" "phpmyadmin"
"program * url/host * mysql"
O hacer búsquedas dirigidas a un determinado dominio:
"program * url/host" "google.com/ServiceLogin"
Cámbiese la URL de Google por el nombre de algún sitio donde se mueva dinero, tipo PayPal o una tienda online, y... También se puede salir a la caza de credenciales de No-IP o DynDNS. Al fin y al cabo, si alguien tiene un nombre de dominio asociado a una dirección IP dinámica, para algo lo querrá. Quizá porque tenga un PC controlado de forma remota, quizá porque lo use de puerta de entrada a algún sitio. Quizá...
"program * url/host" "no-ip.com"
Si lo que queremos es localizar quién ha buscado por números de serie de Microsoft Windows, pues ponemos algo como:
"program * url/host" "windows serial key"
"program * url/host" "microsoft windows"
Y, para una version determinada de Microsoft Windows:
"program * url/host" "microsoft windows 7"
… Y en muchos casos te aparecerá el dato en la propia página de resultados. Incluso se puede ir al encuentro del pirata. Primero localizamos un número de serie de esos que suelen usar quienes no tienen licencia:

Figura 7: Serials piratas de Windows XP

… y después localizamos quienes la utilizaron para instalarse un Microsoft Windows y luego decidieron instalarse sobre él el malware de tipo HC Stealer que se trata en este artículo:

Figura 8: Instalaciones con serials pirata infectados con HC Stealer

Otros Formatos de datos para los ladrones

Por supuesto, HC Stealer no es el único ladrón que anda suelto por ahí. En este ecosistema podemos toparnos con malware como iStealer, su antepasado, con Crime24, etcétera, etcétera, etcétera. De modo que tenemos unos cuantos formatos de recolección de datos más con los que podríamos enredar buscando en Internet. Vayan algunos ejemplos en los puntos siguientes:

Figura 9: Lista de usuarios y contraseñas

Figura 10: Cuentas de MSN en otro formato

Incluso hay quien tiene tantas cuentas que usa su propio formato de almacenamiento de los datos y las pone en formato ancho:

Figura 11: Cuentas formateadas en ancho grande

Ideas que se me vienen a la cabeza

Visto lo visto, creo que si eres un administrador de sistemas no es buena señal ver uno de estos logs de contraseñas en tus servidores. Ni tampoco es para alegrarse si lo que uno se encuentra en ellos es el fichero PHP que controla el cotarro (que lo más probable es que esté ofuscado). Y menos aún si la mala noticia está indexada por algún buscador. Ni que aparezca una dirección IP de tu organización en uno de estos logs.

Si das con estas cosas, y la fecha es reciente (y si no es reciente... puede que también), yo que tú me iría pidiendo unas pizzas, que la tarde-noche puede que sea entretenida. Alguien puede tener algo que no debiera en su equipo y es mejor quitarlo cuanto antes.

Seas un particular o pertenezcas a una organización, si una cuenta tuya o administrada por ti aparece en un listado puede ser indicio que tienes, o has tenido - y posiblemente tendrás - un problema con el malware. O alguien ha sido lo bastante listo como para hacerse con tu contraseña y utilizaba un sistema poco recomendable.

Otra cosa muy distinta es ver los datos como investigador. Descargarse cuanto listado encuentre y analizarlo, a ver qué conclusiones consigue sacar. Cosas como qué contraseñas usa la gente que usa la misma contraseña en todos los sitios. O si se utilizan contraseñas más seguras para unas cosas que para otras. O qué navegadores son más utilizados por las víctimas de este malware, etcétera.

Pero hay algo que no debe obviarse. Quien haya leído hasta aquí de forma atenta habrá notado que muchos de los casos mostrados en los ejemplos tenían fecha de hace 2 ó 3 años. En parte porque yo he intentado no poner nada que aún pudiera causar daño pero, sobre todo, porque en los resultados de los buscadores uno va a encontrar siempre más información antigua que nueva.

De hecho, cuando te pones a escribir, el propio Google te hace unas recomendaciones curiosas, indicio de que hay gente por ahí que anda buscando lo que no debería, tal y como os he explicado yo hasta este punto del artículo:

Figura 12: Proposiciones "indecentes"

Resumiendo: lo más probable es que la mayoría de los legítimos (o ilegítimos) propietarios de las contraseñas que encontremos las hayan cambiado ya. O que hayan cancelado sus cuentas. O que incluso los servicios a los que accedían con ellas ya no existan. De modo que habría que saber matizar los resultados para encontrar credenciales válidas. Pero es que, para mí, las contraseñas no son lo más relevante. Al menos, no a largo plazo.

Aunque no tuvieran contraseñas

Supongamos que encuentro que mi contraseña está publicada en algún sitio de estos. La cambio, desinfecto por si acaso mis PC para que no vuelva a ocurrir y... ¿todo resuelto? Para mí que no. Lo que queda aún puede hacerme daño. Veamos un ejemplo.

Hay ciertas webs que utilizan el documento nacional de identidad, el número de teléfono u otros datos identificativos. Ejemplos habituales son las grandes empresas. Así que si se busca sobre una de ellas…

Figura 13: Buscando información robada de un banco

Encontrar resultados ya da un poco de miedo. Porque el DNI puede aparecer en muchos sitios: BOE y otros boletines oficiales, listados de recogida de firmas para iniciativas legislativas, contratos de colaboración que se publican en Internet, datos de representantes de empresas, etcétera.

Y el teléfono o el correo electrónico muchas veces se hacen públicos como datos de contacto de empresas y personas, o en sitios de búsqueda de trabajo, o en anuncios de compra y venta. De modo que si uno se pone a hacer de detective puede ser un hilo del que empezar a tirar.

Pero incluso si uno se restringe a lo que encuentra en los logs de los stealers tiene para un rato. Si alguien toma uno de ellos y se fija en el login:

Figura 14: NIE de una persona

Como se puede observar en la imagen, la identificación comienza y termina por letra y en medio hay números. En España, ése es el formato del NIE, número de identificación de extranjería. O sea, se trataba de una persona de otro país. Cuando se analizan los datos del documento, ahí están:

Figura 15: Datos de conexión de esa persona

La contraseña, en realidad, no salía. Estaba en blanco. No sé por qué, pero tampoco creo que fuera lo más importante la contraseña, visto lo visto. Lo importante son los otros datos. Como la dirección IP que permite determinar, más o menos, por dónde vive la víctima y qué compañía le da acceso a Internet.

Pero es que, aparte de este dato puntual, hay más credenciales. Información sobre otros sitios web que pueden ayudar a crear un perfil de la persona a la que se refieren. Para ello se debe comprobar cuidadosamente el nombre de PC y/o la dirección IP de cada entrada, ya que los logs pueden tener datos de varias personas y no es cuestión de que mezclemos cosas que deben estar separadas.

En la tercera y última parte de este artículo veremos el final de lo que se puede llegar a sacar de una persona solo revisando los datos en las guaridas de los ladrones de contraseñas.

Autor: Enrique Rando
Escritor del libro Hacking con Buscadores

****************************************************************************************
Encontrar las guaridas de los ladrones de identidad (1 de 3)
Encontrar las guaridas de los ladrones de identidad (2 de 3)
Encontrar las guaridas de los ladrones de identidad (3 de 3)
****************************************************************************************

No hay comentarios:

Publicar un comentario