lunes, noviembre 18, 2013

Salvados, Temporada 7 - Capítulo 4: "Nos Espían"

Anoche echaron el programa de Salvados en el que Jordi Évole me entrevisto para hablar de Seguridad Informática, Hacking y Espionaje. La charla que en antena fue de unos 10 minutos nos llevó como tres horas grabarla, y más de 3 días de conversaciones para enfocar el guión de la entrevista y las demos. Luego ellos eligieron las partes que les gustaba para que quedara como la podéis ver online ya.

Figura 1: Entrevista en Salvados Temporada 7, Capítulo 4: "Nos espían"

Me habían pedido desde el programa que evitara usar términos técnicos que pudieran no ser entendidos por todo el mundo, como "Troyano", "man in the middle" o "IPv6", así que en el vídeo uso siempre la palabra "virus" y defino el tráfico de red como "paquetitos o mensajitos".

Por supuesto, las demos de hacking de Facebook y Hotmail robando las passwords son reales y basadas en el ataque de SLAAC de Evil FOCA, pero realizando un Bridging HTTPs(IPv4)-HTTP(IPv6), a través de aprovechar el SSLStrip que hace Evil FOCA en los resultados de Google. Todo eso, por supuesto, no está explicado en el vídeo, pero si ves el vídeo de DEFCON 21 entenderás mejor el ataque.

Figura 2: Accediendo a credenciales de Facebook con el ataque de Evil FOCA

Respecto a la demo con el virus de Android, era un terminal mío infectado con un malware de espionaje de los muchos que se venden en Internet, y del que ya os hablé. Es el mismo que utilicé además en la última conferencia en San Sebastián para "espiar" a los jóvenes chicos de la organización que me guardaban el móvil. Repito lo que dije por aquí en su momento, y en Twitter anoche. Si buscas un antimalware para tu terminal, recuerda que hay Fake AV y Rogue AV para Andorid que pueden ser peor que el malware en sí.

Figura 3: Fotos robadas con el troyano al terminal Android infectado durante la entrevista

Yo no quería hacer nada que fuera ilegal, así que la red, a pesar de llamarse Free WiFi, tenía contraseña. El cliente al que robamos el Facebook y el Hotmail es un equipo mío y los datos de cuentas, de mensajes para espiar WhatsApp, los SMS, los e-mails, las llamadas, y demás datos que aparecen, estaban todos creados desde cero para ilustrar que se podía sacar esa información, pero todos son falsos, no le robamos ningún dato a nadie en las demos.

Saludos Malignos!

27 comentarios:

  1. Los que te seguimos habitualmente teniamos claro que no estabas incumpliendo la ley.
    Pero es cierto que hubiera sido divertido haber hackeado a un miembro del equipo del programa.
    Fue muy grande poder verte en un programa de TV como Salvados. Haber si la gente se conciencia de una vez.

    ResponderEliminar
  2. Se te veía que te mordidas la lengua. Creó que, aunque sea verdad, ha quedado muy pedante lo de "de los mejores del mundo" dicho por ti.

    Enhorabuena.

    ResponderEliminar
  3. Chemita, eres el puto amo.

    Y anoche pusiste el susto en el cuerpo a media España.

    A ver si se van enterando de la realidad.

    ResponderEliminar
  4. chema no conocía tu blog y me pierdo bastante en la terminología que utilizas, te seguiré porque me fascinó el tema. viendote ayer en salvados me dejó bastanten preocupado. por un problema personal con una tercera persona, temo qoue tal vez hayan entrado en mi movil. como se puede comprobar si tu movil está pinchado? es un iphone5

    ResponderEliminar
  5. La verdad no me ha gustado la forma en que lo has explicado, has dado a entender que es facilisimo, para gente que no tiene ni idea se ha creado un alarmismo tremendo.

    Habría estado bien matizar las dificultades que presenta el conseguir una pass sniffando con conexiones https, o abusar menos de la palabra "virus" a la hora de hablar de un programa que tienes que instalar en un móvil para que el propio móvil envíe todos esos datos.

    Eso fomenta el alarmismo, aunque también la concienciación, supongo que mucha culpa la tiene el propio programa a la hora de hacerte medir tus palabras.

    ResponderEliminar
  6. Francisco Sánchez Nauffal18/11/13 9:24 a. m.

    Enorme Chema. Gran programa y comparto mi opinión con algunos de por aquí: se notaba que te mordías la lengua.
    La gente no se da cuenta de que, a pesar de que no es algo que pueda hacer cualquiera de buenas a primeras, mirando un poco por ahí es relativamente fácil hacer lo que has explicado...y más!!

    Un saludo muy grande y sigue concienciando a la gente que desconoce los peligros de la red.

    ResponderEliminar
  7. El programa ha sido muy "sensacionalista" lo siento, o dudo de tu buena fe, pero el montaje del programa queda como una mala peli de "hackers", asi no se conciencia a la gente sobre seguridad informatica, asi se les asusta :(

    ResponderEliminar
  8. Muy buena la intervención, al menos ahora mucha gente se lo pensará un par de veces antes de conectarse a una wifi gratuita.

    Aunque si que es verdad que lo hiciste de modo que parecia tan sencillo que mi sobrina de 2 años podria capturar conversaciones de "guasap" sin querer trasteando con su movil de golosinas...

    Pero más vale que la gente le tenga un poco de respeto a estas cosas y conozca lo que se puede llegar a hacer.

    ResponderEliminar
  9. @Mario Esaro, no quisieron que usara el término malware o troyano, como dice el post. Lo de HTTPs ya lo he explicado en el artículo, es sencillo de hacer y de entender...

    Saludos!

    ResponderEliminar
  10. Hola muy buenas,estupendas las demos aun siendo simples sin palabras tecnicas, aunque la gente nos tache a los que nos gustan estos temas de "frikis de la seguridad" es bueno que se sepa que esto esta a la orden del dia.Un segidor de "Un informatico en el lado del mal"

    ResponderEliminar
  11. Muy interesante la entrevista de ayer, la lástima es que luego el programa se desvió hacia otros temas.

    La lástima es que el formato del programa implica poco tiempo con cada entrevistado... y así no se puede ser didáctico.

    No obstante es un paso, poco a poco la gente tiene que tener "cultura" del tema

    ResponderEliminar
  12. Lo de "de los mejores hackers del mundo" es totalmente cierto y hay que reconocerlo. Honor a quien honor merece.

    Saludos
    Daniel

    ResponderEliminar
  13. Chema!!!! eres un máquina!!! jajajajaja... qué bien mantienes ahí el tipo en la TV. ENHORABUENA!!!

    ResponderEliminar
  14. Hola Chema,
    no puedo ver el video: http://www.atresplayer.com/television/programas/salvados/temporada-7/capitulo-4-nos-espan_2013111501005.html

    en mi región.

    Saludos

    ResponderEliminar
  15. Chema, buen reportaje, pero no he podido terminar de ver el vídeo por este error al darle para verlo offline (creía que era para descargarlo y me equivoqué)

    El error: http://pastebin.kde.org/pkbiu7r0q
    ¿Podrías ayudarme? me he quedado con las ganas de ver el resto del vídeo y por más que cambie la ip, reinicie o cambie de navegador no puedo acceder :\

    ResponderEliminar
  16. Hola Chema!Estuve viendo el programa como todos los domingos pero este le presté más atención ya que sabía que salías tú. Soy un chaval aficionado a la informática y me encantó como lo hicisteis. Compañeros de clase me decían que después de haber visto el programa del domingo, les daban ganas de tirar el PC y el móvil jajaja. Buen trabajo.

    ResponderEliminar
  17. ¡¡¡Chema ya era conocido y reconocido antes de salir en Salvados!!!

    Si es cierto, Chema, que ahora las mujeres pensarán que tienes más sexapil jajaja.


    ¡Grande MALIGNO!

    David M.

    ResponderEliminar
  18. Muy buena aparición, lástima que breve... la verdad que los datos y tal que exponías daban el pego, (nada que ver con un episodio de mundo hacker donde le roban la sesión de ‘facecrok’ a una pobre chica y luego van a buscar-la, xD)

    PD, para mi gusto solo falto un pequeño detalle, TAPAR EL LOGO DE VAIO. jajjajaja

    Saludos.

    ResponderEliminar
  19. Muy buena aparición, lástima que breve... la verdad que los datos y tal que exponías daban el pego, (nada que ver con un episodio de mundo hacker donde le roban la sesión de ‘facecrok’ a una pobre chica y luego van a buscar-la, xD)

    PD, para mi gusto solo falto un pequeño detalle, TAPAR EL LOGO DE VAIO. jajjajaja

    Saludos.

    ResponderEliminar
  20. Tengo unas cuantas dudas, puede que alguna sea una burrada porque no he terminado de entender el ataque completamente:

    -Si un usuario usa https everywhere o configura usar siempre https en facebook este ataque no funcionaría, cierto?

    -Usando este ataque el usuario no ve el "candadito" en la página web, o en todo caso le saldría un mensaje de certificado incorrecto, verdad?

    -Si una web decide mitigar este ataque le valdría con hacer enviar un hash de la contraseña (calculado desde javascript) y posiblemente salteado con algún mensaje aleatorio enviado en el formulario? En caso afirmativo habría posibilidad también por parte del atacante de modificar el código de la página al vuelo para que envíe la contraseña y aun así la persona consiga loguearse correctamente para no levantar sospechas?

    ResponderEliminar
  21. @Anónimo, aquí van las respuestas:

    - https everywhere: Correcto.

    - Ver "candadito": Correcto en la home, no en los formularios si no avisan de contenido mixto. Es lo que pasa en todos los ataques SSLStrip.

    -hash de la contraseña (calculado desde javascript) y posiblemente salteado con algún mensaje aleatorio enviado en el formulario: Sería crackeable porque se conocen los datos del servidor. Solo ralentizaría el proceso.

    Saludos!

    ResponderEliminar
  22. Sigo tu blog hace unos meses, y me encantó tu participación en el programa (el único que veo de la TV). Enhorabuena.
    Pero, si me permites una sugerencia... Es respecto a tu lenguaje adaptado a todo el mundo: resultó. Y te agradecería mucho que, de vez en cuando, lo hicieras así en tu blog (no tengo nivel, como tantas otras personas, para entender todo lo que pones).

    ResponderEliminar
  23. Chema una pregunta.......si no tengo haceso fisico al movil como puedo enviarle el halware?

    ResponderEliminar
  24. Muy claro y didáctico en tus explicaciones. Felicidades y espero sigas de largo en el lado del mal para poder aprender.

    ResponderEliminar
  25. La página web de hackeo de teléfonos que pixelas, la puedes dar? no la encuentro de ninguna manera, gracias.

    ResponderEliminar
  26. hola chema muy buena tus charlas enlos programas, en las conferencias y demás felicidades soy un aficionado de la informática y hay mucho que aprender de ti.. sigue pasando trucos de seguridad informatica y demas temas interesantes..saludos desde bolivia..

    ResponderEliminar